Nachtrag zur Datenverarbeitung

Zuletzt aktualisiert: 25 Oktober 2023

Dieser Nachtrag zur Datenverarbeitung (Data Processing Addendum, „DPA“) ist Teil der Vereinbarung („Vereinbarung“) zwischen dem oder den Unternehmen der LexisNexis Risk Solutions („LNRS“), über das/die LNRS dem Kunden oder Lizenznehmer (wie in der Vereinbarung definiert und nachfolgend als „Kunde“ bezeichnet) und gegebenenfalls seinen verbundenen Unternehmen bestimmte Produkte oder Servicess („Servicess“) bereitstellt, und in der auf diesen DPA verwiesen wird.
I.          Definitionen
    
 
 
1.          „Datenschutzgesetze“ bezeichnet alle geltenden Datenschutzgesetze, -regeln, -vorschriften, -verordnungen, -anordnungen und sonstigen behördlichen Vorgaben.

 
2.                „Die Begriffe „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“, „Auftragsverarbeiter“ und „betroffene Person“ besitzen die Bedeutung, die ihnen in den Datenschutzgesetzen zugeschrieben wird, und wenn die Datenschutzgesetze gleichwertige oder entsprechende Begriffe verwenden, wie z. B. „personenbezogene Informationen“ anstelle von „personenbezogene Daten“, gelten diese hierin als identisch.
II.        Geltungsbereich
              
 
               Dieser DPA gilt für die Verarbeitung personenbezogener Daten durch LNRS im Auftrag des Kunden und gegebenenfalls der verbundenen Unternehmen des Kunden im      Rahmen der Vereinbarung.
III.        Umfang der Verarbeitung
         
 
1.            Die Verarbeitung durch LNRS unterliegt diesem DPA, insbesondere wird LNRS die personenbezogenen Daten nur auf dokumentierte Anweisungen des Kunden verarbeiten, einschließlich in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dies ist durch für LNRS geltende Gesetze vorgeschrieben. In diesem Fall wird LNRS den Kunden vor der Verarbeitung über diese rechtliche Anforderung informieren, es sei denn, das betreffende Gesetz verbietet diese Mitteilung durch LNRS aus wichtigen Gründen des öffentlichen Interesses.

 
2.   Der Gegenstand der Verarbeitung sind die personenbezogenen Daten, die im Rahmen dieser Vereinbarung in Bezug auf die Services zur Verfügung gestellt werden. Die Dauer der Verarbeitung entspricht der Dauer der Bereitstellung der Services im Rahmen der Vereinbarung bis zur Entsorgung der personenbezogenen Daten in Übereinstimmung mit der Vereinbarung. Die Art und der Zweck der Verarbeitung stehen in Verbindung mit der Bereitstellung der Services im Rahmen der Vereinbarung. Die Arten der verarbeiteten personenbezogenen Daten sind diejenigen, die im Rahmen der Services durch den oder auf Anweisung des Kunden an LNRS übermittelt werden. Die Kategorien der betroffenen Personen sind diejenigen, deren personenbezogene Daten im Rahmen der Services durch den oder auf Anweisung des Kunden an LNRS übermittelt werden.

 
3.    Die Vereinbarung, einschließlich dieses DPA, sowie die Nutzung und Konfiguration der Services durch den Kunden stellen die vollständigen und abschließenden dokumentierten Anweisungen an LNRS für die Verarbeitung der personenbezogenen Daten dar. Zusätzliche oder alternative Anweisungen müssen gesondert zwischen den Parteien vereinbart werden. LNRS wird sicherstellen, dass seine Mitarbeiter, die an der Verarbeitung der personenbezogenen Daten beteiligt sind, diese Daten nur auf dokumentierte Anweisung des Kunden hin verarbeiten, es sei denn, eine solche Verarbeitung ist nach geltendem Recht vorgeschrieben.
         
IV.            Vertraulichkeit 
         
        LNRS wird sicherstellen, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.
         
V.          Sicherheit der Verarbeitung  
         
    1.    Unter Berücksichtigung des Stands der Technik, der Kosten für die Umsetzung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten natürlicher Personen werden der Kunde und LNRS geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie in der Vereinbarung beschrieben und einschließlich, aber nicht beschränkt auf, soweit angemessen:
         
         (a) der Pseudonymisierung und Verschlüsselung personenbezogener Daten;
         
         (b) der Fähigkeit, die anhaltende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten;
         
         (c) der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen; und
         
          (d) eines Prozesses zur regelmäßigen Prüfung, Bewertung und Beurteilung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Verarbeitungssicherheit.
         
    2.    Bei der Beurteilung des angemessenen Sicherheitsniveaus werden insbesondere die Risiken berücksichtigt, die durch die Verarbeitung entstehen, insbesondere durch versehentliche oder rechtswidrige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden.
         
    3.    Der Kunde und LNRS werden Maßnahmen ergreifen, um sicherzustellen, dass jede natürliche Person, die im Auftrag des Kunden oder von LNRS handelt und Zugriff auf personenbezogene Daten hat, Daten nur auf Anweisung des Kunden hin verarbeitet, es sei denn, sie ist nach geltendem Recht zu einer Verarbeitung verpflichtet.
         
    4.    Ungeachtet anderslautender Bestimmungen kann LNRS seine Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, vorausgesetzt, dass eine solche Änderung oder Aktualisierung nicht zu einer wesentlichen Verschlechterung des durch die Vereinbarung gebotenen Schutzes führt.

VI.  

        Unterverarbeitung
 
1.            Der Kunde erteilt LNRS hiermit die allgemeine Genehmigung, andere Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten gemäß dieses DPA zu beauftragen. LNRS führt eine Liste solcher Auftragsverarbeiter unter https://risk.lexisnexis.com/corporate/dpa/sub-processors und LNRS kann diese Liste von Zeit zu Zeit aktualisieren. Mindestens 14 Tage vor der Erteilung einer Genehmigung zur Verarbeitung der personenbezogenen Daten für einen neuen Auftragsverarbeiter wird LNRS diese Liste auf seiner Website aktualisieren. Der Kunde kann ohne Strafe der Änderung widersprechen, vorbehaltlich des Streitbeilegungsverfahrens gemäß der Vereinbarung oder anwendbarer Rückerstattungs- oder Kündigungsrechte, die dem Kunden möglicherweise im Rahmen der Vereinbarung zustehen.
         
    2.    Wenn LNRS einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Kunden beauftragt, werden diesem anderen Auftragsverarbeiter durch einen Vertrag oder durch die Datenschutzgesetze dieselben Datenschutzverpflichtungen auferlegt, wie sie in diesem DPA vorgesehen sind. Wenn dieser andere Auftragsverarbeiter die Datenschutzverpflichtungen nicht erfüllt, bleibt LNRS (vorbehaltlich der Bedingungen der Vereinbarung) gegenüber dem Kunden für die Erfüllung der Pflichten dieses anderen Auftragsverarbeiters uneingeschränkt haftbar.

 VII. 
     Rechte betroffener Personen
    
 
 
1.          Unter Berücksichtigung der Art der Verarbeitung wird LNRS den Kunden durch angemessene technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, um die Verpflichtung des Kunden zu erfüllen, auf Anfragen zur Ausübung der Rechte betroffener Person zu antworten.
         
    2.    LNRS wird, soweit gesetzlich zulässig, den Kunden unverzüglich über alle bei LNRS eingehenden Anfragen betroffener Personen informieren und angemessen mit dem Kunden zusammenarbeiten, damit dieser seine Verpflichtungen im Rahmen der Datenschutzgesetze in Bezug auf solche Anfragen erfüllen kann. Der Kunde ist für alle angemessenen Kosten verantwortlich, die sich daraus ergeben, dass LNRS den Kunden bei der Erfüllung dieser Verpflichtungen unterstützt.

VIII.              Unterstützung für den Kunden
         
 
         LNRS wird den Kunden bei der Sicherstellung der Einhaltung seiner Pflichten in Bezug auf Datensicherheit, Meldungen über Verletzungen des Schutzes personenbezogener Daten und anderer Pflichten gemäß den Datenschutzgesetzen unterstützen, wobei die Art der Verarbeitung und die LNRS zur Verfügung stehenden Informationen zu berücksichtigen sind.

IX.          Beendigung der Verarbeitung
    
 
                          Nach Ablauf oder Kündigung der Nutzung der Services durch den Kunden und sofern das geltende Recht keine Speicherung der personenbezogenen Daten verlangt, wird der Kunde LNRS anweisen, die personenbezogenen Daten in Einklang mit den in der Vereinbarung für die Services festgelegten Bedingungen und Fristen, falls vorhanden, zu löschen oder zurückzugeben. Falls die Vereinbarung dem Kunden die Wahl lässt, die personenbezogenen Daten entweder zu löschen oder zurückzugeben, und der Kunde diese Wahlmöglichkeit nicht innerhalb von 30 Tagen nach Beendigung der Vereinbarung ausübt, weist der Kunde LNRS hiermit an, die personenbezogenen Daten zu löschen, es sei denn, das geltende Recht verlangt die Speicherung der personenbezogenen Daten. In solchen Fällen wird LNRS die personenbezogenen Daten so bald wie möglich löschen.
X.                      Audits
                          
                  Die Rechte zur Durchführung von Audits sind in der Vereinbarung festgelegt. In Abwesenheit solcher Bestimmungen in der Vereinbarung erfolgen, sofern die Datenschutzgesetze dies erfordern, Audits (i) vorbehaltlich der Unterzeichnung angemessener Vertraulichkeits- oder Geheimhaltungsvereinbarungen; (ii) nicht mehr als einmal pro Jahr, es sei denn, es wurde unter Einhaltung einer Frist von 30 Tagen eine vertretbare Annahme einer Nichteinhaltung der Vereinbarung schriftlich mitgeteilt und ein Plan für eine solche Überprüfung bereitgestellt; und (iii) zu einem einvernehmlich vereinbarten Zeitpunkt, an einem einvernehmlich vereinbarten Ort und auf einvernehmlich vereinbarte Art und Weise.

XI.           Grenzüberschreitende Übermittlung
         
                 LNRS wird sicherstellen, dass, soweit personenbezogene Daten aus dem Land des Kunden durch LNRS in ein anderes Land übermittelt werden, eine solche Übermittlung angemessenen Sicherheitsvorkehrungen unterliegt, die ein angemessenes Schutzniveau in Übereinstimmung mit den Datenschutzgesetzen bieten.

XII.          

Verletzung des Schutzes personenbezogener Daten

                LNRS wird den Kunden unverzüglich benachrichtigen, nachdem LNRS Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhalten hat, die im Rahmen dieses DPA verarbeitete personenbezogene Daten betrifft, und wird angemessen auf die Anfrage des Kunden nach weiteren Informationen antworten, damit der Kunde seine Pflichten gemäß den Datenschutzgesetzen erfüllen kann.

XIII.        Aufzeichnungen über Verarbeitungstätigkeiten
       
             LNRS wird alle gemäß den Datenschutzgesetzen erforderlichen Aufzeichnungen aufbewahren und, soweit sie die Verarbeitung der personenbezogenen Daten im Auftrag des Kunden betreffen, bei Bedarf zur Verfügung stellen.

XIV.            Rechtsgrundlage für die Verarbeitung
         
                    Der Kunde gewährleistet, dass er, sofern dies gemäß den Datenschutzgesetzen erforderlich ist, alle betroffenen Personen benachrichtigt und die erforderliche Einwilligung von den betroffenen Personen oder ihren gesetzlichen Vertretern oder Vormund eingeholt hat.
XV.              Landesspezifische Bedingungen
               
              Soweit LNRS personenbezogene Daten verarbeitet, die aus einer der unten aufgeführten Gerichtsbarkeiten stammen oder anderweitig den Datenschutzgesetzen dieser Gerichtsbarkeiten unterliegen, gelten die darin angegebenen Bedingungen in Bezug auf die jeweiligen Gerichtsbarkeiten zusätzlich zu den vorstehenden Bedingungen.
               
              Europäischer Wirtschaftsraum, Vereinigtes Königreich und Schweiz
               
   
    1.            Soweit der Kunde personenbezogene Daten aus dem Europäischen Wirtschaftsraum („EWR“), dem Vereinigten Königreich von Großbritannien („Vereinigtes Königreich“) oder der Schweiz an LNRS mit Sitz außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz übermittelt und soweit die Parteien sich nicht auf einen alternativen Übertragungsmechanismus oder eine alternative Grundlage gemäß den Datenschutzgesetzen stützten, wird davon ausgegangen, dass die Parteien in Bezug auf eine solche Übermittlung die Standardvertragsklauseln abgeschlossen haben, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021, verfügbar unter http://data.europa.eu/eli/dec_impl/2021/914/oj, erlassen wurden („Klauseln“), wobei Folgendes gilt:
  1.  der Kunde ist der „Datenexporteur“ und LNRS ist der „Datenimporteur“;
  2.  die Fußnoten, Klausel 9(a) Option 1, Klausel 11(a) Option und Klausel 17 Option 1 entfallen, der Zeitraum in Klausel 9(a) Option 2 beträgt 14 Tage und die entsprechenden Anhänge werden jeweils mit den im DPA und der Vereinbarung angegebenen Informationen ausgefüllt;
  3.  soweit der Kunde als Verantwortlicher und LNRS als Auftragsverarbeiter handelt, gilt Modul 2 und die Module 1, 3 und 4 entfallen, und soweit jede der Parteien als Auftragsverarbeiter handelt, gilt Modul 3 und die Module 1, 2 und 4 entfallen;
  4.  die „zuständige Aufsichtsbehörde“ ist die Aufsichtsbehörde in Irland;
  5.  die Klauseln unterliegen irischem Recht;
  6.  alle Streitigkeiten, die sich aus den Klauseln ergeben, werden von den Gerichten Irlands beigelegt; und
  7.  im Falle eines Widerspruchs zwischen den Bedingungen der Vereinbarung und den Klauseln haben die Klauseln Vorrang.
             
   
    2.   In Bezug auf die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich gelten die Klauseln, wie sie in Abschnitt 1 oben umgesetzt sind, vorbehaltlich der folgenden Änderungen:
  1.  die Klauseln werden gemäß Teil 2 des Nachtrags zur internationalen Datenübermittlung zu den Standardvertragsklauseln der Europäischen Kommission geändert, die gemäß Abschnitt 119A des britischen Datenschutzgesetzes 2018 (UK Data Protection Act 2018) herausgegeben wurden, in der jeweils geänderten oder ersetzten Fassung („UK-Nachtrag“);
  2.  die Tabellen 1 bis 3 in Teil 1 des UK-Nachtrags werden jeweils mit den im DPA und der Vereinbarung (wie zutreffend) dargelegten Informationen ausgefüllt; und
  3.  Tabelle 4 in Teil 1 des UK-Nachtrags wird durch Auswahl von „keine Partei“ ausgefüllt.
               
   
    3.    In Bezug auf die Übermittlung personenbezogener Daten aus der Schweiz gelten die Klauseln, wie sie in Abschnitt 1 oben umgesetzt sind, vorbehaltlich der folgenden Änderungen:
  1.  Verweise auf „Verordnung (EU) 2016/679“ gelten als Verweise auf das Schweizer Bundesgesetz über den Datenschutz („DSG“);
  2.  Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt das DSG ersetzt;
  3.  Verweise auf „EU“, „Union“, „ein Mitgliedstaat“ und „Gesetze eines Mitgliedstaats“ werden durch Verweise auf „Schweiz“ oder „Gesetze der Schweiz“ ersetzt;
  4.  der Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Möglichkeit des Zugriffs auf ihre Rechte ausgeschlossen werden;
  5.  Klausel 13(a) und Teil C von Anhang I werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte;
  6.  die Klauseln unterliegen Schweizer Recht; und
  7.  alle Streitigkeiten, die sich aus den Klauseln ergeben, werden von den Gerichten der Schweiz beigelegt.
               
              Vereinigte Staaten
               
         
  U.S. Privacy Laws Addendum
               
              Südafrika 
               
          1.    Soweit LNRS personenbezogene Daten im Geltungsbereich des südafrikanischen Gesetzes zum Schutz personenbezogener Daten, Nr. 4 von 2013 (Protection of Personal Information Act, No. 4 of 2013, „POPIA“) für den Kunden verarbeitet, wird LNRS weiterhin die in Abschnitt 19 des POPIA genannten Sicherheitsmaßnahmen implementieren und aufrechterhalten.
          2. 
LNRS wird den Kunden unverzüglich benachrichtigen, wenn begründete Gründe zur Annahme bestehen, dass unbefugte Personen auf die personenbezogenen Daten einer betroffenen Person zugegriffen oder diese erlangt haben.