Zwischen

Gilt diese Datenverarbeitungsvereinbarung („DPA“) für jedes Unternehmen, jede Organisation oder Einzelperson, die als Verantwortlicher agiert (der „Verantwortliche“), und die die 82DASH-Plattform von:

82DASH Ltd

71–75 Shelton Street, Covent Garden, London, Vereinigtes Königreich, WC2H 9JQ
(als der „Verarbeiter“)

Präambel

Der Verarbeiter betreibt die 82DASH-Plattform, einen nutzergenerierten Inhaltsdienst, der es Inhaltsanbietern ermöglicht, Inhalte, einschließlich personenbezogener Daten, hochzuladen, die von Kundenfirmen kommerziell genutzt werden können. Gemäß dem Hauptvertrag nutzt der Verantwortliche die 82DASH-Plattform, um solche von Erstellern eingereichten Inhalte für seine eigenen definierten Zwecke zu empfangen.

In diesem Kontext bestimmt der Verantwortliche die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten innerhalb der Inhalte und fungiert daher als Verantwortlicher gemäß den geltenden Datenschutzgesetzen. Der Verarbeiter handelt ausschließlich im Auftrag des Verantwortlichen und verarbeitet personenbezogene Daten ausschließlich zu dem Zweck, das Empfangen, die Übertragung und die technische Handhabung der über die 82DASH-Plattform eingereichten Daten zu erleichtern.

In Übereinstimmung mit Artikel 28 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, „DSGVO“) sind die Parteien verpflichtet, eine Datenverarbeitungsvereinbarung abzuschließen, um die rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.

Diese Datenverarbeitungsvereinbarung („DPA“) ist integraler Bestandteil des Hauptvertrags und regelt die Datenschutzverpflichtungen der Parteien bezüglich der Verarbeitung von personenbezogenen Daten über die 82DASH-Plattform. Die Ausführung dieser DPA erfolgt ohne separate Vergütung, es sei denn, es wird ausdrücklich schriftlich etwas anderes vereinbart. Im Falle von Diskrepanzen zwischen dieser Datenverarbeitungsvereinbarung in anderen Sprachen und der englischen Version gilt die englische Version.

1.0  Zustimmung zu den Bedingungen

Durch elektronisches Akzeptieren dieser DPA (z.B. durch Ankreuzen eines Kästchens oder Klicken auf „Ich stimme zu“) erkennt der Verantwortliche an und stimmt zu, an deren Bedingungen gebunden zu sein. Diese DPA ist integraler Bestandteil des Hauptvertrags zwischen den Parteien und regelt die Verarbeitung von personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen, insbesondere der Verordnung (EU) 2016/679 („DSGVO“).

2.0 Begriffsdefinitionen

1. „EU-Datenschutzrecht“ bezeichnet die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, „DSGVO“) und alle anwendbaren umsetzenden oder ergänzenden Datenschutzgesetze der EU-Mitgliedstaaten, soweit diese für die Parteien gelten.
   
   

2. „Verantwortlicher“ bedeutet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, wie in Artikel 4(7) DSGVO definiert.

3. „Auftragsverarbeiter“ meint eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, wie in Artikel 4(8) DSGVO definiert.

4. „Betroffene Person“ bedeutet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten vom Verantwortlichen oder Verarbeiter verarbeitet werden, wie in Artikel 4(1) DSGVO definiert.

5. „Personenbezogene Daten“ meint alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen, wie in Artikel 4(1) DSGVO definiert.

6. „DSGVO“ bezieht sich auf die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

7. Begriffe, die in dieser DPA nicht ausdrücklich definiert sind, haben die ihnen in der DSGVO zugewiesene Bedeutung.

8. Im Falle eines Widerspruchs zwischen den in dieser DPA verwendeten Definitionen und denen in der DSGVO haben die Definitionen der DSGVO Vorrang.

3.0 Gegenstand

1. Der Verarbeiter stellt eine Inhaltsbereitstellungs- und nutzergenerierte Inhaltsplattform (82DASH) zur Verfügung, über die personenbezogene Daten, die von Erstellern hochgeladen wurden, an den Verantwortlichen übertragen werden. Der Verarbeiter verarbeitet solche personenbezogenen Daten ausschließlich im Auftrag des Verantwortlichen und in strikter Übereinstimmung mit den dokumentierten Anweisungen des Verantwortlichen. Der Umfang, die Art und die Zwecke der Verarbeitung sind im Hauptvertrag definiert und in Anhang 1 zu dieser DPA weiter ausgeführt.

2. Diese DPA legt die jeweiligen Verpflichtungen und Rechte der Parteien nach dem EU-Datenschutzrecht in Bezug auf die Verarbeitung personenbezogener Daten fest. Im Falle eines Konflikts zwischen dieser DPA und dem Hauptvertrag haben die Bestimmungen dieser DPA in Bezug auf Datenschutzangelegenheiten Vorrang.

3. Die Bestimmungen dieser DPA gelten für alle vom Verarbeiter, seinen Mitarbeitern oder autorisierten Beauftragten im Rahmen des Hauptvertrags durchgeführten Verarbeitungstätigkeiten, wenn solche Tätigkeiten personenbezogene Daten betreffen, die vom oder für den Verantwortlichen stammen oder erfasst wurden.

4. Die Dauer dieser DPA ist an die Dauer des Hauptvertrags gekoppelt, es sei denn, es wird in dieser DPA oder durch geltendes Datenschutzrecht (z.B. Aufbewahrungspflichten oder Vorschriften zur Datenrückgabe/-löschung nach Kündigung) anders geregelt.

4.0 Weisungsrecht

1. Der Verarbeiter sammelt, verarbeitet oder verwendet personenbezogene Daten ausschließlich im Rahmen des Hauptvertrags und in strikter Übereinstimmung mit den dokumentierten Anweisungen des Verantwortlichen. Dies schließt insbesondere den Datenexport in Drittländer oder an internationale Organisationen ein.

2. Wenn die Verarbeitung durch die Gesetze der Europäischen Union oder eines Mitgliedstaats, dem der Verarbeiter unterliegt, vorgeschrieben ist, informiert der Verarbeiter den Verantwortlichen über solche gesetzlichen Anforderungen vor der Verarbeitung, es sei denn, diese Gesetze verbieten solche Mitteilungen aus wichtigen Gründen des öffentlichen Interesses.

3. Die Anweisungen des Verantwortlichen sind zunächst in dieser DPA festgelegt und können vom Verantwortlichen jederzeit in schriftlicher oder textlicher Form (z.B. E-Mail) geändert, ergänzt oder ersetzt werden. Rechtmäßige Anweisungen können, aber sind nicht beschränkt auf, Anweisungen zur Berichtigung, Löschung, Anonymisierung, Einschränkung oder Übertragung personenbezogener Daten.

4. Alle Anweisungen sind von beiden Parteien zu dokumentieren. Anweisungen, die über den im Hauptvertrag definierten Leistungsumfang hinausgehen, werden als Antrag auf eine Änderung der Leistung behandelt und können ein separates Abkommen oder eine Änderung erforderlich machen.

5. Wenn der Verarbeiter eine Anweisung des Verantwortlichen für unklar, widersprüchlich oder im Widerspruch zu EU-Datenschutzrecht stehend hält, muss der Verarbeiter den Verantwortlichen unverzüglich benachrichtigen. Der Verarbeiter kann die Ausführung einer solchen Anweisung so lange aussetzen, bis sie entweder vom Verantwortlichen bestätigt oder geändert wird. Der Verarbeiter muss die Ausführung einer offensichtlich rechtswidrigen Anweisung ablehnen.

5.0 Art der verarbeiteten personenbezogenen Daten, Personengruppen

1. Im Rahmen der Erfüllung des Hauptvertrags hat der Verarbeiter Zugang zu und verarbeitet nur die personenbezogenen Daten, die von Inhaltserstellern über die 82DASH-Plattform bereitgestellt oder zur Verfügung gestellt werden, ausschließlich zu dem Zweck, dem Verantwortlichen die Nutzung solcher Inhalte gemäß den vereinbarten Diensten zu ermöglichen.
   
   

2. Die Kategorien von personenbezogenen Daten und betroffenen Personen sind in Anhang 1 zu dieser DPA spezifiziert. Diese umfassen typischerweise Identifikationsinformationen (z.B. Name, Erscheinung, Social Media Handle, Audio-/Videoinhalt), die freiwillig von den Erstellern übermittelt wurden und können in bestimmten Fällen Daten umfassen, die in besondere Kategorien gemäß Artikel 9 DSGVO fallen, wenn diese ausdrücklich von der betroffenen Person bereitgestellt werden.

Der Verarbeiter darf keine personenbezogenen Daten über die in Anhang 1 aufgeführten Kategorien hinaus verarbeiten, es sei denn, er erhält darüber eine ausdrückliche schriftliche Anweisung des Verantwortlichen.

6.0 Sicherheitsmaßnahmen des Verarbeiters

1. Der Verarbeiter ist in seiner Rolle als Plattform zur Vermittlung und Übertragung von nutzergenerierten Inhalten von Erstellern an Kundenfirmen (Verantwortliche) verpflichtet, die geltenden Datenschutzgesetze einschließlich der DSGVO einzuhalten. 
   
   

2. Der Verarbeiter ist dafür verantwortlich, sicherzustellen, dass seine interne Organisation und Betriebsabläufe so gestaltet und aufrechterhalten werden, dass sie die Anforderungen des EU-Datenschutzrechts erfüllen. Gemäß Artikel 32 DSGVO hat der Verarbeiter geeignete technische und organisatorische Maßnahmen zum Schutz der von ihm verarbeiteten personenbezogenen Daten umzusetzen. Diese umfassen mindestens:

a) Maßnahmen zur Pseudonymisierung und/oder Verschlüsselung personenbezogener Daten, soweit angebracht;

b) Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten;

c) Maßnahmen zur Sicherstellung der Möglichkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Ereignis eines technischen oder physischen Zwischenfalls rechtzeitig wiederherzustellen;

d) Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Sicherstellung der Sicherheit der Verarbeitung.

3. Die aktuell vom Verarbeiter implementierten technischen und organisatorischen Maßnahmen sind in Anhang 2 zu dieser DPA detailliert dargestellt. Der Verarbeiter kann diese Maßnahmen von Zeit zu Zeit aktualisieren oder ändern, vorausgesetzt, dass solche Aktualisierungen nicht zu einem geringeren Sicherheitsniveau führen als die vertraglich vereinbarten Maßnahmen.

   
   

4. Der Verarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten ermächtigten Personen (einschließlich Mitarbeitern, Auftragnehmern oder Vertretern) entsprechenden Vertraulichkeitsverpflichtungen gemäß Artikel 28(3)(b) DSGVO unterliegen. Der Verarbeiter stellt sicher, dass solche Verpflichtungen vertraglich festgelegt und wirksam durchgesetzt werden. Auf Anfrage wird dem Verantwortlichen ein entsprechender Nachweis dieser Vertraulichkeitsverpflichtungen zur Verfügung gestellt.

7.0 Informationspflichten des Verarbeiters

1. Im Falle einer Verletzung des Schutzes personenbezogener Daten, einschließlich Sicherheitsvorfällen im Zusammenhang mit den im Auftrag des Verantwortlichen verarbeiteten Inhalten oder personenbezogenen Daten, sei es durch 82DASH, dessen Personal oder seine autorisierten Subunternehmer, wird der Verarbeiter den Verantwortlichen unverzüglich schriftlich benachrichtigen und in jedem Fall nicht später als 48 Stunden nach Kenntnisnahme eines solchen Vorfalls. Dies gilt auch für Prüfungen oder Untersuchungen durch eine Aufsichtsbehörde, die sich direkt auf Verarbeitungsaktivitäten beziehen, die im Auftrag des Verantwortlichen durchgeführt werden. Die Benachrichtigung beinhaltet mindestens:

a) Eine Beschreibung der Art der Verletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;

b) Eine Beschreibung der vom Verarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Vorfalls und, soweit zutreffend, zur Minderung möglicher nachteiliger Auswirkungen.

2. Der Verarbeiter wird unverzüglich notwendige Maßnahmen ergreifen, um die Daten zu sichern und möglichen Schaden für die betroffenen Personen zu minimieren.

   
   

3. Der Verarbeiter wird dem Verantwortlichen auf Anfrage oder Entdeckung aktualisierte Informationen oder relevante Daten bereitstellen, wenn die Daten des Verantwortlichen von einer der oben beschriebenen Verletzungen betroffen sind.

   
   

4. Im Falle, dass die Daten des Verantwortlichen Gegenstand von Zugriff, Beschlagnahmung, Konfiszierung, Insolvenz- oder Vollstreckungsverfahren oder ähnlichen Maßnahmen durch Dritte sind, informiert der Verarbeiter den Verantwortlichen unverzüglich. In solchen Fällen macht der Verarbeiter allen beteiligten Parteien und Behörden klar, dass sich die Kontrolle über solche Daten ausschließlich beim Verantwortlichen gemäß der DSGVO befindet.

   
   

5. Der Verarbeiter wird den Verantwortlichen unverzüglich über wesentliche Änderungen informieren, die das technische und organisatorische Sicherheitsniveau nach § 5(2) erheblich verringern könnten.

   
   

6. Der Verarbeiter und gegebenenfalls dessen benannter Vertreter führen ein Verzeichnis aller Kategorien von Verarbeitungsaktivitäten im Auftrag des Verantwortlichen gemäß Artikel 30(2) DSGVO. Solche Aufzeichnungen werden dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

   
   

7. Der Verarbeiter wird dem Verantwortlichen angemessene Unterstützung bei der Erstellung und Führung seines eigenen Verzeichnisses von Verarbeitungstätigkeiten gemäß Artikel 30(1) DSGVO gewähren, indem er relevante Informationen rechtzeitig und angemessen zur Verfügung stellt.

8.0 Rollen und Verantwortlichkeiten

Rolle als Auftragsverarbeiter:

1. Der Verarbeiter handelt im Auftrag des Verantwortlichen, sammelt und verwaltet Daten, die von Erstellern übermittelt werden. In dieser Funktion verarbeitet der Verarbeiter personenbezogene Daten ausschließlich gemäß den Anweisungen des Verantwortlichen und wie im Hauptvertrag, dieser Datenverarbeitungsvereinbarung (DPA) und den geltenden Gesetzen, insbesondere der DSGVO, festgelegt. Der Verarbeiter darf die personenbezogenen Daten nicht für eigene Zwecke oder über den Rahmen der Anweisungen des Verantwortlichen hinaus verarbeiten, ohne vorherige schriftliche Zustimmung des Verantwortlichen einzuholen.

   
   

2. Der Verarbeiter ist verantwortlich für die Implementierung angemessener technischer und organisatorischer Maßnahmen, um die Sicherheit und Vertraulichkeit der personenbezogenen Daten zu gewährleisten und seine Verpflichtungen gemäß Artikel 28 der DSGVO zu erfüllen.

Rolle als Verantwortlicher:

Nach der Übertragung von Inhalten und Daten übernimmt der Verantwortliche die Rolle des Verantwortlichen. In dieser Funktion ist der Verantwortliche verantwortlich für die weitere Nutzung, Verarbeitung und Einhaltung der geltenden Datenschutzgesetze. Insbesondere ist der Verantwortliche verantwortlich für:

1. Sicherzustellen, dass die Verarbeitung personenbezogener Daten mit den Grundsätzen der DSGVO, einschließlich Fairness, Rechtmäßigkeit, Transparenz und Zweckbindung, übereinstimmt.
   
   

2. Klarstellung und Transparenz gegenüber den betroffenen Personen (Erstellern) über die Zwecke der Datenverarbeitung, die rechtliche Grundlage der Verarbeitung und deren Rechte nach der DSGVO.
   
   

3. Reagieren auf Anfragen von betroffenen Personen, die ihre Rechte geltend machen (z.B. Zugriffsrecht, Recht auf Berichtigung, Löschung, Verarbeitungseinschränkung, Datenübertragbarkeit, Widerspruch).
   
   

4. Die rechtliche Grundlage für jede weitere Verarbeitung personenbezogener Daten gemäß Art. 6 und 9 der DSGVO zu dokumentieren und zu gewährleisten.
   
   

5. Durchführen der erforderlichen Datenschutz-Folgenabschätzungen (DPIAs), wenn diese durch die DSGVO vorgeschrieben sind.
   
   

6. Umsetzung geeigneter Schutzmaßnahmen, einschließlich vertraglicher Vereinbarungen mit dem Verarbeiter oder anderen Drittanbieter-Prozessoren, um sicherzustellen, dass die Datenverarbeitung die Anforderungen der DSGVO erfüllt.
   
   

7. Der Verantwortliche erkennt an, dass er voll verantwortlich bleibt, die Einhaltung der DSGVO zu gewährleisten und alle datenschutzrelevanten Probleme, die nach der Übertragung der Daten durch den Verarbeiter auftreten, zu lösen.

Unabhängige Rolle des Verarbeiters als Verantwortlicher:

Zusätzlich zur Rolle als Auftragsverarbeiter im Namen des Verantwortlichen kann der Verarbeiter auch als unabhängiger Verantwortlicher für eigene Zwecke agieren, einschließlich aber nicht beschränkt auf Folgendes:

1. Durchführung von Analysen, Produktverbesserungen und KI-Entwicklung basierend auf aggregierten, anonymisierten oder pseudonymisierten Daten.
   
   

2. Erhebung von Daten für interne Berichts- und Betriebszwecke, die Systemleistungsanalysen, Nutzerengagement-Statistiken und andere geschäftsbezogene Metriken umfassen können.

Als unabhängiger Verantwortlicher ist der Verarbeiter dafür verantwortlich sicherzustellen, dass er alle geltenden Datenschutzgesetze, einschließlich der DSGVO, einhält und den betroffenen Personen angemessene Hinweise darüber liefert, wie ihre Daten für diese Zwecke verwendet werden. Der Verarbeiter wird auch alle Anfragen von betroffenen Personen, die direkt mit seinen eigenen Verarbeitungstätigkeiten zusammenhängen, gegenüber den betroffenen Personen selbstständig handeln.

9.0 Einsatz von Subunternehmern

1. Der Verarbeiter leistet die vereinbarten Dienste oder spezifische Teile davon, wie in Anhang 3 aufgeführt, mit Unterstützung der dort benannten Subunternehmer. Der Verarbeiter darf in Verbindung mit der Erfüllung seiner vertraglichen Verpflichtungen zusätzliche Subunternehmer beauftragen. Der Verantwortliche wird unverzüglich über die beabsichtigte Hinzufügung oder den Austausch von Subunternehmern per E-Mail an die vom Verantwortlichen angegebene Adresse informiert.
   
   

2. Der Verarbeiter wählt jeden Subunternehmer mit gebührender Sorgfalt aus und stellt seine Zuverlässigkeit und Fähigkeit sicher, die geltenden Datenschutzanforderungen zu erfüllen. Jeder vom Verarbeiter beauftragte Subunternehmer muss durch Datenschutzverpflichtungen gebunden sein, die den in dieser DPA festgelegten Pflichten wesentlich entsprechen. Der Verarbeiter muss sicherstellen, dass die Rechte des Verantwortlichen, insbesondere das Inspektions- und Prüfungsrecht, auch direkt gegenüber jedem beauftragten Subunternehmer ausgeübt werden können.
   
   

3. Wenn ein Subunternehmer in einem Drittland außerhalb des Europäischen Wirtschaftsraums ansässig ist, muss der Verarbeiter sicherstellen, dass ein solcher Subunternehmer angemessene Garantien gemäß Artikel 44 ff. DSGVO bietet. Dies umfasst, soweit erforderlich, die Ausführung von Standardvertragsklauseln und die Implementierung ergänzender Maßnahmen zur Gewährleistung eines im Wesentlichen gleichwertigen Schutzniveaus. Der Verantwortliche behält sich das Recht vor, der Beauftragung oder dem Austausch von Subunternehmern gemäß Artikel 28(2) DSGVO zu widersprechen.

10.0 Internationale Datentransfers

Der Verantwortliche und der Verarbeiter erkennen an:

1. Falls der Verarbeiter oder Verantwortliche außerhalb des EWR ansässig ist oder personenbezogene Daten außerhalb des EWR verarbeitet, müssen alle Übertragungen personenbezogener Daten den Anforderungen der Artikel 44 ff. der DSGVO entsprechen. Der Verantwortliche stellt sicher, dass solche Übertragungen durch die von der EU-Kommission festgelegten Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission vom 04. Juni 2021), wie in Anhang 4 dargelegt, sowie alle ergänzenden Maßnahmen zur Einhaltung dieser Klauseln geregelt werden.
   
   

2. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser DPA und den Standardvertragsklauseln gehen die Bestimmungen der Standardvertragsklauseln vor.
   
   

3. Im Falle einer Neufassung der Standardvertragsklauseln verpflichten sich beide Parteien, die aktualisierten Bedingungen unverzüglich zu akzeptieren, um die Einhaltung der DSGVO bezüglich internationaler Datenübertragungen in Drittländer sicherzustellen.
   
   

4. Falls alternative Übertragungsmechanismen gemäß Artikel 44 ff. der DSGVO verfügbar werden, können beide Parteien diese zusätzlichen Mechanismen neben den Standardvertragsklauseln implementieren, um rechtmäßige Datenübertragungen zu gewährleisten.

11.0 Anfragen und Rechte der betroffenen Personen

Der Verarbeiter unterstützt den Verantwortlichen in einem kommerziell angemessenen Umfang mit geeigneten technischen und organisatorischen Maßnahmen, um seinen Verpflichtungen gemäß den Artikeln 12-23 und 32-36 der DSGVO, insbesondere hinsichtlich nutzergenerierter Inhalte, nachzukommen.

Übt eine betroffene Person direkt gegenüber dem Verarbeiter in Bezug auf ihre nutzergenerierten Inhalte Rechte, wie das Recht auf Auskunft gemäß Artikel 15, Berichtigung gemäß Artikel 16 oder Löschung gemäß Artikel 17, aus, benachrichtigt der Verarbeiter den Verantwortlichen unverzüglich, damit dieser solche Anfragen im Einklang mit der DSGVO verwalten und beantworten kann.

12.0 Verantwortlichkeiten des Verantwortlichen bei Beendigung

Diese DPA bleibt in Kraft, solange der Verantwortliche weiterhin die Plattformdienste des Verarbeiters nutzt. Bei Kündigung des Kontos des Verantwortlichen:

1. Der Verarbeiter wird alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten löschen oder anonymisieren, sofern der Verarbeiter nicht gesetzlich verpflichtet ist, die Daten aufzubewahren.
   
   

2. Der Verantwortliche ist verantwortlich dafür, sicherzustellen, dass alle personenbezogenen Daten, die ihm vor der Beendigung vom Verarbeiter übertragen wurden, in Übereinstimmung mit den geltenden Datenschutzgesetzen aufbewahrt, verwaltet und entsorgt werden. Dazu gehört die Sicherstellung der Einhaltung aller laufenden Verpflichtungen zur Datenaufbewahrung oder weiteren Verarbeitung, soweit dies gesetzlich vorgeschrieben oder für eigene betriebliche Bedürfnisse des Verantwortlichen erforderlich ist.

13.0 Schlussklauseln

1. Diese DPA bleibt für die Dauer des Hauptvertrags in Kraft, es sei denn, sie wird früher gemäß den geltenden Gesetzen oder den hierin enthaltenen Bestimmungen beendet. Bei Beendigung wird der Verarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten löschen oder zurückgeben, es sei denn, gesetzliche Verpflichtungen verlangen etwas anderes.

   
   

2. Diese DPA stellt die vollständige Vereinbarung zwischen den Parteien in Bezug auf ihren Gegenstand dar und ersetzt alle vorherigen Vereinbarungen oder Absprachen. Änderungen müssen schriftlich erfolgen und von beiden Parteien vereinbart werden (elektronische Kommunikation genügt).

   
   

3. Sollte eine Bestimmung dieser DPA ganz oder teilweise ungültig oder undurchsetzbar sein oder werden, so wird die Gültigkeit der übrigen Bestimmungen davon nicht berührt.

   
   

4. Diese DPA unterliegt den auf den Verarbeiter anwendbaren Gesetzen entsprechend dem Gerichtsstand des eingetragenen Sitzes des Verarbeiters. Der ausschließliche Gerichtsstand für alle Streitigkeiten im Zusammenhang mit dieser DPA liegt beim Sitz des Verarbeiters.

   
   

5. Falls die personenbezogenen Daten aus nutzergenerierten Inhalten, die der Verarbeiter im Auftrag des Verantwortlichen verarbeitet, durch Dritte gefährdet werden (z.B. Beschlagnahme, Konfiszierung, rechtliche Ansprüche), Insolvenz-, Insolvenzverfahrens- oder andere Ereignisse, die deren Vertraulichkeit oder Verfügbarkeit gefährden könnten, wird der Verarbeiter den Verantwortlichen ohne unangemessene Verzögerung benachrichtigen.

   
   

6. Diese DPA wird elektronisch abgeschlossen. Keine physische Unterschrift ist erforderlich. Durch die Annahme dieser DPA per Kontrollkästchen, Click-Wrap oder andere digitale Annahmemethoden bestätigt der Verantwortliche, dass er die Bestimmungen gelesen, verstanden und sich rechtlich daran gebunden hat.

Anlagen

Anhang 1 - Beschreibung der Verarbeitungstätigkeiten, Zwecke, verarbeitete personenbez