Nachtrag zum Datenschutz

Zuletzt aktualisiert: 25 Oktober 2023

Dieser Nachtrag zum Datenschutz (Data Protection Addendum, „DPA“) ist Teil der Vereinbarung („Vereinbarung“) zwischen dem oder den Unternehmen der LexisNexis Risk Solutions („LNRS“), über das/die LNRS dem Kunden oder Lizenznehmer (wie in der Vereinbarung definiert und nachfolgend als „Kunde“ bezeichnet) und gegebenenfalls seinen verbundenen Unternehmen bestimmte Produkte oder Servicess („Servicess“) bereitstellt, und in der auf diesen DPA verwiesen wird.

I.          Definitionen
    
 
 
   1.          „Datenschutzgesetze“ bezeichnet alle geltenden Datenschutzgesetze, -regeln, -vorschriften, -verordnungen, -anordnungen und sonstigen behördlichen Vorgaben.
 
   2.      Die Begriffe „Verantwortlicher“, „personenbezogene Daten“, „Verarbeitung“ und „betroffene Person“ besitzen die Bedeutung, die ihnen in den Datenschutzgesetzen zugeschrieben wird, und wenn die Datenschutzgesetze gleichwertige oder entsprechende Begriffe verwenden, wie z. B. „personenbezogene Informationen“ anstelle von „personenbezogene Daten“, gelten diese hierin als identisch.

II.                    Geltungsbereich
    
 


 
             Dieser DPA gilt für die Verarbeitung personenbezogener Daten, die jede der Parteien im Rahmen der Vereinbarung von der jeweils anderen Partei und gegebenenfalls von deren verbundenen Unternehmen erhält, mit Ausnahme von personenbezogenen Daten, die eine der Parteien im Auftrag der anderen Partei verarbeitet.

III.  

         Rollen und Einschränkungen der Parteien
 
1.         Die Parteien bestätigen, dass jede von ihnen allein und unabhängig die Zwecke und Mittel der Verarbeitung bestimmt und daher jede von ihnen ein unabhängiger Verantwortlicher für die personenbezogenen Daten ist. Die Parteien verarbeiten die personenbezogenen Daten nicht als gemeinsame Verantwortliche und werden dies auch nicht tun.
         
 
2.    Jede Partei wird ihre Verpflichtungen gemäß den Datenschutzgesetzen erfüllen, und jede Partei ist einzeln und allein für ihre eigene Einhaltung der Datenschutzgesetze verantwortlich. Nichts in diesem DPA ändert Einschränkungen, die für die Rechte einer Partei zur Nutzung oder anderweitigen Verarbeitung der personenbezogenen Daten im Rahmen der Vereinbarung gelten.
         
    3.    Der Kunde stimmt zu, dass die von LNRS erhaltenen personenbezogenen Daten in Übereinstimmung mit den Datenschutzgesetzen erfasst, übermittelt und anderweitig verarbeitet wurden, einschließlich durch die Bereitstellung der Informationen, die in der geltenden Datenschutzerklärung der LexisNexis Risk Solutions unter https://risk.lexisnexis.com/corporate/processing-notices angegeben sind.
         
    4.    Der Kunde stimmt zu, dass LNRS alle Authentifizierungsdetails, Kontodaten, Nutzungsdaten, Servicessprotokolle und andere verarbeitete personenbezogenen Daten gemäß der Datenschutzrichtlinie der LexisNexis Risk Solutions unter https://risk.lexisnexis.com/corporate/privacy-policy verarbeitet, wie es für die Bereitstellung, Verwaltung oder Sicherung der Servicess erforderlich ist.
         
    5.    Der Kunde stimmt zu, dass Mitarbeiter, die personenbezogene Daten verarbeiten, eine angemessene Datenschutzschulung erhalten (einschließlich der gemäß den Datenschutzgesetzen erforderlichen Schulungen).
IV.                   Rechte betroffener Personen
    
 


 
             Jede Partei ist für die Beantwortung von Anfragen betroffener Personen verantwortlich. Keine Partei ist verpflichtet, die andere über eine Anfrage einer betroffenen Person zu informieren oder im Namen der anderen Partei zu antworten.
V.                      Unterstützung
 
               Jede Partei wird mit der anderen Partei kooperieren und diese unterstützen, soweit dies vernünftigerweise erforderlich ist, um es der anderen Partei zu ermöglichen, ihre Verpflichtung gemäß den Datenschutzgesetzen zu erfüllen, wobei die Art der Verarbeitung und die der Partei zur Verfügung stehenden Informationen zu berücksichtigen sind.
VI.                      Grenzüberschreitende Übermittlung
 
               Jede Partei wird sicherstellen, dass, soweit personenbezogene Daten von der Partei in ein anderes Land übermittelt werden, eine solche Übermittlung geeigneten Sicherheitsvorkehrungen unterliegt, die ein angemessenes Schutzniveau in Einklang mit den Datenschutzgesetzen bieten.
VII.            Landesspezifische Bedingungen
           
            Soweit eine der Parteien personenbezogene Daten verarbeitet, die aus einem der unten aufgeführten Rechtsgebiete stammen oder anderweitig den Datenschutzgesetzen dieser Rechtsgebiete unterliegen, gelten die darin angegebenen Bedingungen in Bezug auf die jeweiligen Rechtsgebiete zusätzlich zu den vorstehenden Bedingungen.
             
            Europäischer Wirtschaftsraum, Vereinigtes Königreich und Schweiz
             
     
1.   Soweit eine der Parteien personenbezogene Daten aus dem Europäischen Wirtschaftsraum („EWR“), dem Vereinigten Königreich von Großbritannien („Vereinigtes Königreich“) oder der Schweiz an die andere Partei mit Sitz außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz übermittelt und soweit die Parteien sich nicht auf einen alternativen Übertragungsmechanismus oder eine alternative Grundlage gemäß den Datenschutzgesetzen stützten, wird davon ausgegangen, dass die Parteien in Bezug auf eine solche Übermittlung die Standardvertragsklauseln abgeschlossen haben, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021, verfügbar unter http://data.europa.eu/eli/dec_impl/2021/914/oj, erlassen wurden („Klauseln“), wobei Folgendes gilt:
  1.  die empfangende Partei ist der „Datenimporteur“ und die andere Partei ist der „Datenexporteur“;
  2.  Modul Eins gilt, die Module Zwei, Drei undVier, die Fußnoten, Klausel 11(a) Option und Klausel 17 Option 2 entfallen, und die entsprechenden Anhänge werden jeweils mit den im DPA und der Vereinbarung (wie zutreffend) dargelegten Informationen ausgefüllt;
  3.  die „zuständige Aufsichtsbehörde“ ist die Aufsichtsbehörde in Irland;
  4.  die Klauseln unterliegen irischem Recht;
  5.  alle Streitigkeiten, die sich aus den Klauseln ergeben, werden von den Gerichten Irlands beigelegt; und
  6.  im Falle eines Widerspruchs zwischen den Bedingungen der Vereinbarung und den Klauseln haben die Klauseln Vorrang.
     
2.   In Bezug auf die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich gelten die Klauseln, wie sie in Abschnitt 1 oben umgesetzt sind, vorbehaltlich der folgenden Änderungen:
  1.  die Klauseln werden gemäß Teil 2 des Nachtrags zur internationalen Datenübermittlung zu den Standardvertragsklauseln der Europäischen Kommission geändert, die gemäß Abschnitt 119A des britischen Datenschutzgesetzes 2018 (UK Data Protection Act 2018) herausgegeben wurden, in der jeweils geänderten oder ersetzten Fassung („UK-Nachtrag“);
  2.  die Tabellen 1 bis 3 in Teil 1 des UK-Nachtrags werden jeweils mit den im DPA und der Vereinbarung (wie zutreffend) dargelegten Informationen ausgefüllt; und
  3.  Tabelle 4 in Teil 1 des UK-Nachtrags wird durch Auswahl von „keine Partei“ ausgefüllt.
     
3.    In Bezug auf die Übermittlung personenbezogener Daten aus der Schweiz gelten die Klauseln, wie sie in Abschnitt 1 oben umgesetzt sind, vorbehaltlich der folgenden Änderungen:
  1.  Verweise auf „Verordnung (EU) 2016/679“ gelten als Verweise auf das Schweizer Bundesgesetz über den Datenschutz („DSG“);
  2.  Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt das DSG ersetzt;
  3.  Verweise auf „EU“, „Union“, „ein Mitgliedstaat“ und „Gesetze eines Mitgliedstaats“ werden durch Verweise auf „Schweiz“ oder „Gesetze der Schweiz“ ersetzt;
  4.  der Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Möglichkeit des Zugriffs auf ihre Rechte ausgeschlossen werden;
  5.  Klausel 13(a) und Teil C von Anhang I werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte;
  6.  die Klauseln unterliegen Schweizer Recht; und
  7.  alle Streitigkeiten, die sich aus den Klauseln ergeben, werden von den Gerichten der Schweiz beigelegt.
             
            Vereinigte Staaten 
             
            U.S. Privacy Laws Addendum
             
            Brasilien
             
         1.            Jede Partei muss:
  1. ihre Verpflichtungen gemäß dem brasilianischen Datenschutzgesetz Nr. 13.709 aus dem Jahr 2018 (Lei Geral de Proteção de Dados Pessoais, „LGPD“) erfüllen;
  2. Aufzeichnungen über die von ihr durchgeführte Verarbeitung personenbezogener Daten führen;
  3. einen Datenschutzbeauftragten ernennen; und
  4. Sicherheits-, technische und administrative Maßnahmen ergreifen, die geeignet sind, personenbezogene Daten vor unbefugtem Zugriff und vor versehentlicher oder rechtswidriger Vernichtung, Verlust, Veränderung, Weitergabe oder jeglicher Form unzulässiger oder illegaler Verarbeitung zu schützen, einschließlich der geltenden technischen Mindeststandards, die von der nationalen Behörde festgelegt wurden.
         2.            Soweit eine der Parteien personenbezogene Daten aus Brasilien an die andere Partei außerhalb Brasiliens übermittelt, wird die empfangende Partei die Grundsätze und Rechte der betroffenen Person respektieren und die Datenschutzvorschriften des LGPD einhalten.