GLOBALE VERPFLICHTUNGEN AUF DEN DATENSCHUTZ
ZULETZT AKTUALISIERT: 12. März 2024
- Diese globalen Verpflichtungen auf den Datenschutz (die „globalen Datenschutzpflichten“) legen bestimmte Datenschutzpflichten fest, von denen wir erwarten, dass unsere Händler, Anbieter und andere Partner (gemeinschaftlich: „Partner“) diese im Zusammenhang mit ihrer Bereitstellung von Produkten und Dienstleistungen für uns einhalten. Diese globalen Datenschutzpflichten sind ein Zusatz zu und Bestandteil von allen Vereinbarungen, die wir mit unseren Partnern geschlossen haben und in die diese globalen Datenschutzpflichten integriert wurden (die „Vereinbarung“).
- Die Geltung der verschiedenen Abschnitte dieser globalen Datenschutzpflichten hängt im Einzelnen von unserer Beziehung zum betreffenden Partner ab. In jedem Abschnitt wird angegeben, wann er Anwendung findet.
- Dieser Abschnitt gilt für alle Partner.
- Im Rahmen dieser globalen Datenschutzpflichten haben die folgenden Begriffe jeweils die nachstehend angegebene Bedeutung:
- Sofern in der Vereinbarung nicht anderweitig festgelegt, bezeichnet und umfasst der Begriff „KI“ oder „künstliche Intelligenz“ jede Form der künstlichen Intelligenz oder Informationstechnologie, unabhängig von den angewendeten spezifischen Techniken oder Ansätzen, die die Fähigkeit aufweist, Aufgaben auszuführen, menschliche kognitive Fähigkeiten zu simulieren oder Outputs wie Inhalte, Prognosen, Empfehlungen oder Entscheidungen erzeugt. Dies umfasst, ohne darauf beschränkt zu sein, Technologien und Methodologie wie maschinelles Lernen (beaufsichtigtes, unbeaufsichtigtes und bestärkendes Lernen, einschließlich Deep Learning (mehrschichtigem Lernen) und neuronalen Netzwerken), generativer KI, der Verarbeitung natürlicher Sprache, Computervision, großer Sprachmodelle („LLM“), Logik- und wissensbasierter Ansätze (einschließlich Wissensrepräsentation, induktiver logischer Programmierung, Informationsbanken, Inferenz- und deduktive Maschinen (Regelinterpreter), Schlussfolgerungs- und Expertensysteme) sowie statistischen Techniken. KI umfasst alle aktuellen und künftigen Fortschritte, Methoden und Anwendungen im Bereich der künstlichen Intelligenz sowie alle anderen Technologien, die hier nicht ausdrücklich erwähnt werden und innerhalb dieses Bereichs entwickelt werden oder entstehen;
- „KI-Output“ bezeichnet die ausgegebenen Ergebnisse einer KI, die aus eingegebenen Prompts (Eingabeaufforderungen) generiert werden;
- „Automatisierte Entscheidungsfindung“ bezeichnet eine Entscheidung über eine betroffene Person unter Verwendung eines Systems, einer Software oder eines Prozesses (einschließlich der Nutzung von KI), die ohne jegliche menschliche Beteiligung getroffen wird oder die eine menschliche Entscheidungsfindung unterstützt;
- „Verantwortlicher“ bezeichnet eine Person oder ein Unternehmen, die bzw. das allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
- „Kunde“, „wir“, „uns“ und „unser“ bezeichnen (i) das Warner Bros. Discovery Unternehmen, das in der Vereinbarung benannt und Partei der Vereinbarung ist und (ii) jedes verbundene Unternehmen oder jede Tochtergesellschaft, die das Warner Bros. Discovery Unternehmen beherrscht, von diesem beherrscht bzw. kontrolliert wird oder mit diesem unter einer gemeinsamen Beherrschung steht.
- „Datenschutzrecht“ bezeichnet alle bundesrechtlichen, landesrechtlichen, kommunalrechtlichen, regionalen und örtlichen, ausländischen, internationalen, multinationalen oder sonstigen Verfassungen, Gesetze, Satzungen, Verträge, Regeln, Vorschriften, Verordnungen, Kodizes und der für deren Auslegung oder Durchsetzung zuständigen Regulierungsbehörden erlassenen Orientierungshilfen und ähnliches, in deren jeweils geltenden Fassung, die einen Bezug zur Verarbeitung von personenbezogenen Daten, zum Schutz der Privatsphäre, zum Datenschutz (dem Schutz von personenbezogenen Daten) oder der Cybersicherheit haben;
- „Betroffene Person“ bezeichnet die Person, auf die sich personenbezogene Daten beziehen;
- „Ersuchen einer betroffenen Person“ bezeichnet den Antrag einer betroffenen Person auf Information, Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, Nichtverkauf sowie alle ähnlichen Ersuchen;
- „Beschreibung der Verarbeitung“ bezeichnet die Beschreibung der personenbezogenen Daten, die vom Partner im Rahmen der Vereinbarung verarbeitet werden;
- „EWR“ bezeichnet den Europäischen Wirtschaftsraum;
- „EWR-Drittlandübermittlung“ bezeichnet die Übermittlung personenbezogener Daten (a) die der DSGVO unterliegen, (b) an einen Empfänger in einem Land oder Gebiet außerhalb des EWR, das (c) nicht Gegenstand eines Angemessenheitsbeschlusses der EU-Kommission ist;
- „EWR-Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer unter Geltung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates gemäß des Durchführungsbeschlusses der Europäischen Kommission vom 4. Juni 2021 C(2021) 3972, abrufbar unter https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_de;
- „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung).
- „Informationssicherheitspflichten“ bezeichnet alle anwendbaren Informationssicherheitspflichten, die der Vereinbarung beigefügt sind oder auf andere Weise einen Teil der Vereinbarung bilden;
- „Sonstige Eingeschränkte Länderübergreifende Datenübermittlung“ bezeichnet die Übermittlung personenbezogener Daten (i) die den Gesetzen eines Landes unterliegt, das die Übermittlung personenbezogener Daten in ein anderes Land einschränkt, wenn dort kein angemessenes Schutzniveau herrscht, um die personenbezogenen Daten zu empfangen (ein „Beschränkungen auferlegendes Land“) und (ii) die keine EWR-Drittlandübermittlung oder UK-Drittlandübermittlung ist;
- „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich aller als „persönlich/personenbezogene identifizierbare Information“, „persönlichen/personenbezogenen Informationen“, „persönlichen Daten“ oder in ähnlicher Weise bezeichneten Informationen im Sinne des jeweiligen anwendbaren Datenschutzrechts, beschränkt auf diejenigen personenbezogenen Daten, die der Partner im Zusammenhang mit der Vereinbarung verarbeitet;
- „Verarbeitung“ oder „Verarbeiten“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, einschließlich des Erhebens, des Erfassens, der Organisation, des Ordnens, der Speicherung, der Anpassung oder Veränderung, des Abfragens, der Verwendung, der Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, des Abgleichs oder der Verknüpfung, der Einschränkung, des Löschens oder der Vernichtung;
- „Auftragsverarbeiter“ bezeichnet eine Person oder ein Unternehmen, die bzw. das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
- „Sicherheitsvorfall“ bezeichnet (i) alle unautorisierten Aneignungen, Verluste, Zugriffe, Nutzungen und jeder Missbrauch, Verluste des Zugriffs auf oder die Verwendung von personenbezogenen Daten (einschließlich des Verlustes eines Datenträgers, auf dem personenbezogene Daten gespeichert werden) oder (ii) jede Verletzung der Sicherheit, die versehentlich oder rechtswidrig zur Vernichtung, zum Verlust, zur Veränderung, zur Verwendung oder zum Missbrauch, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt;
- „Sensible personenbezogene Daten“ bezeichnet personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, die körperliche oder geistige Gesundheit, das Sexualleben oder die sexuelle Orientierung hervorgehen, die Verarbeitung von genetischen oder biometrischen Daten zur eindeutigen Identifizierung einer betroffenen Person, personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherheitsmaßregeln, staatlich ausgestellte Identifikationsnummern, Kontozugangsdaten, Bankkontonummern einschließlich Zahlungskartennummern, genaue Geolokalisierungsdaten, Kommunikationsinhalte, die nicht an den Partner oder Kunden gerichtet sind, sowie solche Unterkategorien von personenbezogenen Daten, die nach dem Datenschutzrecht des die Beschränkungen auferlegenden Landes als „sensibel“ gelten oder einen erhöhten Schutz erfordern.
- „Dienste“ besitzt die in der Vereinbarung beschriebene Bedeutung oder bezeichnet, falls die Vereinbarung keine Definition vorsieht, die Produkte oder Dienstleistungen, die der Partner uns gemäß der Vereinbarung bereitstellt bzw. erbringt;
- „Unterauftragsverarbeiter“ bezeichnet die Person oder das Unternehmen, die bzw. das personenbezogene Daten im Auftrag eines Auftragsverarbeiters verarbeitet;
- „Trainingsdaten“ bezeichnet Daten, die zum Training oder anderweitigen Verbesserung oder Steigerung der Fähigkeiten einer KI verwendet werden;
- „UK-Drittlandübermittlung“ bezeichnet die Übermittlung personenbezogener Daten (a) die der UK GDPR (der britischen Datenschutz-Grundverordnung) unterliegen (b) an einen Empfänger in einem Land oder Gebiet außerhalb Großbritanniens, das (c) nicht Gegenstand eines Angemessenheitsbeschlusses des zuständigen UK Secretary of State ist;
- „UK GDPR“ bezeichnet die DSGVO, wie sie gemäß Artikel 3 des EU-Austrittsgesetzes 2018 zu einem Teil der Gesetze von England und Wales, Schottland und Nordirland geworden ist und;
- „UK SCC Addendum“ (britischer Zusatz betreffend der EWR-Standardvertragsklauseln) bezeichnet den Musterzusatz, der vom Büro des britischen Informationsbeauftragten herausgegeben und dem britischen Parlament am 2. Februar 2022 gemäß § 119A des britischen Datenschutzgesetzes 2018 vorgelegt wurde, in seiner nach Artikel 18 überarbeiteten Version, verfügbar unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
- Dieser Abschnitt gilt für alle Partner.
- Einhaltung des Rechts. Der Partner hat sich an das geltende und anwendbare Datenschutzrecht zu halten und Maßnahmen zum Datenschutz in einem angemessenen Umfang bereitzustellen, um seinen daraus folgenden Verpflichtungen nachzukommen. Der Partner hat den Kunden unter wbdprivacy@wbd.com zu benachrichtigen, wenn er feststellt, dass er seinen Verpflichtungen aus dem anwendbaren Datenschutzrecht nicht mehr nachkommen kann. Der Kunde hat das Recht, geeignete Maßnahmen zu ergreifen, um eine unautorisierte Verarbeitung personenbezogener Daten durch den Partner zu beseitigen und zu korrigieren.
- Sicherheit. Der Partner hat technische und organisatorische Maßnahmen umzusetzen und zu pflegen, die zum Schutz personenbezogener Daten angemessen und geeignet sind. Die Sicherheitsmaßnahmen des Partners müssen zu folgendem in der Lage sein: (i) Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten; (ii) Schutz vor erwarteten Bedrohungen oder Gefahren für die Sicherheit oder Integrität personenbezogener Daten; und (iii) Schutz vor unbefugter Verarbeitung.
- Kommunikation mit Dritten. Wenn der Partner Mitteilungen oder sonstige Kommunikation von einer Einzelperson, einer Behörde, einer staatlichen Stelle oder einem anderen Dritten erhält, die
- die Verarbeitung personenbezogener Daten durch den Partner in Verbindung mit der Vereinbarung oder
- die Verarbeitung personenbezogener Daten durch den Kunden betrifft,
hat der Partner (sofern zulässig nach geltendem Recht) den Kunden (unter wbdprivacy@wbd.com) sofort darüber zu informieren, alle Einzelheiten dieser Kommunikation offenzulegen und jede Unterstützung zu leisten, die der Kunde in angemessener Weise verlangt, um auf diese Kommunikation zu reagieren. Der Partner darf ohne vorherige Genehmigung des Kunden nicht selbst auf solche Mitteilungen oder sonstige Kommunikation reagieren, es sei denn, dass er dazu gesetzlich verpflichtet ist.
- Reaktion auf Anfragen und Vorfälle. Der Partner darf den Kunden (einschließlich dessen Tochtergesellschaften oder verbundenen Unternehmen) bei folgenden Kommunikationen nicht ohne dessen vorheriger schriftlicher Genehmigung (Textform genügt) nennen: (i) Antworten gegenüber einer betroffenen Person; (ii) Offenlegungen in Bezug auf die Verarbeitung; (iii) Meldung eines Sicherheitsvorfalls oder; (iv) Offenlegungen gegenüber einer Datenschutzbehörde oder einem anderen Rechtssubjekt (z.B. sonstiger Behörden) in Bezug auf die Verarbeitung.
- Laufzeit und Fortgeltung.
- Die Regelungen dieser globalen Datenschutzpflichten enden, wenn der Partner die Verarbeitung personenbezogener Daten in Verbindung mit der Vereinbarung beendet.
- Ungeachtet entgegenstehender Regelungen in diesem Abschnitt 3 (Bestimmungen für alle Partner) bleiben die Abschnitte 3.4, 3.5, 3.8 und Abschnitt 7 auch nach Beendigung oder Ablauf der Vereinbarung und dieser globalen Datenschutzpflichten weiter gültig.
- Übersetzungen. Im Fall eines Widerspruchs zwischen der englischen Version dieser globalen Datenschutzpflichten und einer anderen Version in einer anderen Sprache hat die englische Version Vorrang.
- Keine Haftungsbeschränkung. Klarstellend wird darauf hingewiesen, dass die Haftung der Parteien nach diesen globalen Datenschutzpflichten keinen in der Vereinbarung enthaltenen Einschränkungen oder Ausschlüssen unterliegt.
- Keine Partnerschaft. Keine Bestimmung dieser globalen Datenschutzpflichten ist so zu verstehen, dass dadurch ein Beschäftigungs-, Joint-Venture-, Agentur- oder Partnerschaftsverhältnis zwischen den Parteien begründet wird. Keine der Parteien ist befugt, gegenüber Dritten, einzelnen Unternehmen oder der Öffentlichkeit in einer Weise zu handeln, die auf eine solche Beziehung zur anderen Partei hinweist.
- Dieser Abschnitt gilt in dem Umfang, in dem
- der Partner personenbezogene Daten als Auftragsverarbeiter des Kunden verarbeitet oder
- die Vereinbarung ausdrücklich bestimmt, dass dieser Abschnitt Anwendung findet.
- Weisungen. Der Partner darf personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Weisungen des Kunden verarbeiten (es sei denn, der Partner ist aufgrund von anwendbaren rechtlichen Bestimmungen zu einer weiteren Verarbeitung verpflichtet. In diesem Fall muss der Partner den Kunden vor Beginn der Verarbeitung über dieses rechtliche Erfordernis informieren, es sei denn, die anwendbaren gesetzlichen Bestimmungen verbieten eine solche Benachrichtigung des Kunden.). Die dokumentierten Weisungen des Kunden umfassen, dass personenbezogene Daten so zu verarbeiten sind, (i) wie es erforderlich ist, damit der Partner die Dienste bereitstellen und andere Verpflichtungen gemäß der Vereinbarung erbringen kann und (ii) sonstige Weisungen die der Kunde von Zeit zu Zeit schriftlich (Textform genügt) anderweitig erlässt. Der Partner hat den Kunden unverzüglich zu benachrichtigen, wenn ein Auftrag oder eine Weisung des Kunden nach Ansicht des Partners gegen das anwendbare Datenschutzrecht verstößt.
- Beschreibung der Verarbeitung. Eine Beschreibung des Gegenstands und der Dauer der Verarbeitung, der Art und des Zwecks der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien der betroffenen Personen wird in der Beschreibung der Verarbeitung festgelegt.
- Nutzungsbeschränkung. Der Partner ist nicht berechtigt (i) personenbezogene Daten zu verkaufen oder anderweitig im Austausch gegen Geld oder eine sonstige geldwerte Gegenleistung offenzulegen, (ii) personenbezogene Daten zu anderen Zwecken als dem konkreten Zweck der Erbringung der Leistungen oder dem den Weisungen des Kunden folgenden Zwecks zu verarbeiten, (iii) personenbezogene Daten außerhalb der unmittelbaren Geschäftsbeziehung zwischen dem Partner und dem Kunden zu verarbeiten, oder (iv) die personenbezogenen Daten mit anderen personenbezogenen Daten zu kombinieren, die er von oder im Auftrag anderer Personen erhalten oder von Verbrauchern erhoben hat. Der Partner bestätigt, dass er die in diesem Abschnitt enthaltenen Beschränkungen versteht und einhalten wird.
- Ersuchen von betroffenen Personen. Der Partner informiert den Kunden unverzüglich über alle Ersuchen oder Kommunikationen die von der betroffenen Person oder im Auftrag der betroffenen Personen in Bezug auf die von ihr in Verbindung mit den Diensten verarbeiteten personenbezogenen Daten geäußert werden. Mit Ausnahme der Bestätigung des Erhalts des Ersuchens oder der Kommunikation ist der Partner nicht berechtigt, der betroffenen Person zu antworten, es sei denn, dass das anwendbare Datenschutzrecht dies vorsieht oder der Kunde den Partner zur Antwort anweist. Der Partner unterstützt den Kunden wie dies erforderlich ist, um dem Kunden zu ermöglichen, dem Ersuchen der betroffenen Personen wirksam abzuhelfen. Dies umfasst unter anderem auch die Unterstützung durch Bereitstellung geeigneter technischer und organisatorischer Maßnahmen sowie das zur Verfügung stellen aller erforderlichen Produkteigenschaften und -funktionen. Der Partner hat diese Unterstützung unverzüglich zu leisten, in jedem Fall aber innerhalb von 5 (fünf) Tagen nach dem Ersuchen der betroffenen Person oder der Bitte des Kunden um Unterstützung. In geeigneten Fällen und auf nachvollziehbares Verlangen des Kunden unterstützt der Partner den Kunden bei der Information der betroffenen Personen über die Verarbeitung von personenbezogenen Daten, indem er ihnen unter anderem in Einklang mit dem Datenschutzrecht stehende anwendbare Datenschutzrichtlinien oder Datenschutzhinweise übermittelt oder die betroffene Person auf diese hin- und verweist. Der Partner muss vollständige und genaue Aufzeichnungen über Ersuchen von betroffenen Personen führen, an deren Abhilfe er beteiligt ist, und dem Kunden angemessenen Zugang zu diesen Aufzeichnungen gewähren.
- Vertraulichkeitspflichten der Mitarbeiter. Der Partner hat zu gewährleisten, dass alle seine Mitarbeiter Vertraulichkeitsverpflichtungen unterliegen die auch auf personenbezogene Daten Anwendung finden.
- Sicherheit. Der Partner hat die in den Informationssicherheitspflichten festgelegten Informationssicherheitsverfahren und -praktiken umzusetzen und zu pflegen.
- Prüfung und Unterstützung. Ungeachtet etwaiger Auditregelungen in den Informationssicherheitspflichten muss der Partner
- dem Kunden jegliche Informationen und Unterstützungen bereitstellen, die bei vernünftiger Betrachtung erforderlich sind, um die Einhaltung dieser globalen Datenschutzpflichten durch den Partner zu verifizieren. Dies umfasst auch die Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen und der Kommunikation mit Datenschutzbehörden. Der Partner hat dem Kunden weiter die Unterstützung zu gewähren, die für die Einhaltung des Datenschutzrechts vernünftigerweise erforderlich ist; und
- auf Weisung des Kunden sein Datenschutzkonzept und seine Einrichtungen, in denen personenbezogene Daten verarbeitet werden, einer Prüfung auf Einhaltung dieser globalen Datenschutzpflichten und/oder des anwendbaren Datenschutzrechts zu unterziehen. Die Prüfung kann vom Kunden oder einem in dessen Namen Beauftragten durchgeführt werden, sofern der Beauftragte einer für den Partner annehmbaren Vertraulichkeitsvereinbarung zustimmt. Der Kunde kündigt die Prüfung ausreichend im Voraus an und führt sie während der üblichen Geschäftszeiten durch, ohne den Betrieb des Partners unangemessen zu stören. Zur Klarstellung: Diese Bestimmung erfordert nicht, dass der Partner uns Zugang zu den vertraulichen Informationen seiner anderen Geschäftspartner und Geschäftskunden (einschl. Verbraucher) gewährt.
- Sicherheitsvorfälle. Der Partner hat den Kunden per E-Mail an cybersecurity@wbd.com unverzüglich, spätestens jedoch innerhalb von 48 (achtundvierzig) Stunden nach Bekanntwerden eines tatsächlichen oder begründet vermuteten Sicherheitsvorfalls zu unterrichten. Auf Weisung des Kunden hat der Partner alle Informationen und jede Unterstützung bereitzustellen, die der Kunde vernünftigerweise benötigt, um einen Sicherheitsvorfall zu untersuchen, einzudämmen und zu beheben. Dies umfasst mindestens alle diejenigen Informationen oder Unterstützungsmaßnahmen, die nach dem anwendbaren Datenschutzrecht erforderlich sind oder die der Kunde benötigt, um den Sicherheitsvorfall zu melden. Der Partner verpflichtet sich, erst nach Absprache mit dem betroffenen Kunden öffentliche Erklärungen über einen Sicherheitsvorfall abzugeben oder eine Datenschutzbehörde oder betroffene Person darüber zu unterrichten. Der Partner ist für alle Kosten, Verbindlichkeiten, Verluste, Schäden und Auslagen (einschließlich der Anwaltskosten) verantwortlich, die dem Kunden aus oder in Verbindung mit einem Sicherheitsvorfall entstehen, der sich auf personenbezogene Daten auswirkt, die vom Partner, seinen verbundenen Unternehmen, Bevollmächtigten oder Unterauftragsverarbeitern verarbeitet werden. Er hat diese dem Kunden auf Verlangen zu zahlen/erstatten.
- Unterauftragsverarbeitung. Der Partner kann einen Unterauftragsverarbeiter beauftragen oder anderweitig gestatten, dass dieser die personenbezogenen Daten verarbeitet, vorausgesetzt, dass der Partner
- mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließt, die diesem Verpflichtungen auferlegt, die die personenbezogenen Daten nicht weniger schützen als die Verpflichtungen in den Bestimmungen dieser globalen Datenschutzpflichten, die auf den Partner Anwendung finden;
- Eine angemessene Due-Diligence-Überprüfungen durchführt, um sicherzustellen, dass der Unterauftragsverarbeiter die Leistungen erbringen kann, die erforderlich sind, damit der Partner seinen Verpflichtungen gemäß der Bestimmungen dieser globalen Datenschutzpflichten nachkommen kann;
- Den Kunden im Voraus und schriftlich über jeden neuen Unterauftragsverarbeiter unterrichtet, den er beabsichtigt zu beauftragen. Der Kunde kann innerhalb von 30 (dreißig) Tagen nach Zugang dieser Mitteilung über die Beauftragung des neuen Unterauftragsverarbeiters durch den Partner widersprechen. Falls der Kunde innerhalb dieser Frist nicht widerspricht, kann der Partner dem Unterauftragsverarbeiter die Verarbeitung der personenbezogenen Daten gestatten. Widerspricht der Kunde jedoch der Beauftragung eines Unterauftragsverarbeiters, hat sich der Partner unverzüglich mit den Einwänden des Kunden auseinanderzusetzen und diesen innerhalb von 10 (zehn) Tagen nach Zugang der Einwände abzuhelfen. Kann der Partner die Einwände des Kunden nicht innerhalb der Frist von 10 (zehn) Tagen zur Zufriedenheit des Kunden ausräumen, ist der Kunde berechtigt, die Vereinbarung jederzeit durch schriftliche Mitteilung (Textform genügt) an den Partner mit sofortiger Wirkung zu kündigen, ohne dass eine Entschädigung geschuldet wird. Der Partner darf dem neuen Unterauftragsverarbeiter die Verarbeitung von personenbezogenen Daten während (i) der Frist von 30 (dreißig) Tagen nach der Mitteilung über sein Vorhaben, einen neuen Unterauftragsverarbeiter zu beauftragen oder (ii) solange Einwände des Kunden gegen die Beauftragung eines Unterauftragsverarbeiters nicht zur Zufriedenheit des Kunden ausgeräumt wurden nicht gestatten und
- bleibt für die Verarbeitung personenbezogener Daten durch jeden Unterauftragsverarbeiter uneingeschränkt haftbar.
- Vernichtung oder Rückgabe. Bei Beendigung oder Ablauf der Vereinbarung oder auf anderweitige Weisung des Kunden ist der Partner verpflichtet, in Übereinstimmung mit den Weisungen des Kunden (i) dem Kunden oder einem von diesem benannten Dritten eine vollständige Kopie der personenbezogenen Daten, die er im Zusammenhang mit der Vereinbarung verarbeitet hat, in einer Form und einem Format, auf das sich die Parteien in vertretbarer Weise verständigt haben, zurückzugeben und (ii) die personenbezogenen Daten (einschließlich aller Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden und die er im Zusammenhang mit der Vereinbarung verarbeitet hat, sicher zu vernichten.
- Dieser Abschnitt gilt in dem Umfang, in dem
- der Partner unabhängig die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, die er in Verbindung mit der Vereinbarung verarbeitet; oder
- die Vereinbarung ausdrücklich bestimmt, dass dieser Abschnitt Anwendung findet.
- Hinweis und Transparenz. Der Partner muss eine verständliche und an auffälliger Stelle verfügbare Datenschutzrichtlinie bzw. Datenschutzhinweise einführen und pflegen, die die betroffenen Personen (deren personenbezogene Daten der Partner in Verbindung mit der Vereinbarung verarbeitet) darüber informiert, wie der Partner ihre personenbezogenen Daten verarbeitet. Diese Datenschutzrichtlinie bzw. die Datenschutzhinweise müssen allen anwendbaren Gesetzen entsprechen.
- Sicherheitsvorfälle. Der Partner hat den betreffenden Kunden unverzüglich über jeden tatsächlichen oder begründet vermuteten Sicherheitsvorfall zu informieren, der sich auf die im Zusammenhang mit der Vereinbarung verarbeiteten personenbezogenen Daten auswirkt. Außerdem muss der Partner dem Kunden unverzüglich Informationen über die Art des Sicherheitsvorfalls, die betroffenen personenbezogenen Daten und seine Reaktion auf den Sicherheitsvorfall und dessen Entschärfung zukommen lassen.
- Vertraulichkeit. Der Partner hat zu gewährleisten, dass alle seine Mitarbeiter Vertraulichkeitsverpflichtungen unterliegen die auch auf personenbezogene Daten Anwendung finden.
- Dieser Abschnitt gilt für Partner, wenn eine EWR- bzw. eine UK-Drittlandübermittlung oder eine Sonstige Eingeschränkte Länderübergreifende Datenübermittlung stattfindet.
- Datenübermittlungen (Auftragsverarbeiter). Dieser Abschnitt gilt, wenn Abschnitt 4 (Bestimmungen für Auftragsverarbeiter) Anwendung findet.
- EWR-Drittlandübermittlungen. Falls und in dem Umfang, in dem personenbezogene Daten, die vom Partner verarbeitet werden, eine EWR-Drittlandübermittlung darstellen, werden die EWR-Standardvertragsklauseln hiermit einbezogen und gelten wie folgt:
- Anwendung. Der Partner ist Datenimporteur, der Kunde Datenexporteur;
- Kopplung. Die in Abschnitt I, Klausel 7 vorgesehene fakultative Kopplungsklausel findet für diese Zwecke Anwendung;
- Module. Es gilt MODUL 2 (Übermittlung von Verantwortlichen an Auftragsverarbeiter);
- Weisungen. Im Sinne von Abschnitt II, Klausel 8.1 (Modul 2) wird der Datenimporteur angewiesen, personenbezogene Daten zu verarbeiten, soweit dies notwendig für die Erbringung der vom Partner bereitgestellten Dienste und/oder die Lieferung der vom Partner bereitgestellten Produkte ist, und wie dies in der Vereinbarung näher konkretisiert ist;
- Unterauftragsverarbeiter. Für Abschnitt II, Klausel 9 (Modul 2) gilt Option 2 (und die Frist, innerhalb derer der Datenimporteur den Datenexporteur über beabsichtigte Änderungen unterrichten muss, beträgt 30 (dreißig) Tage im Voraus);
- Rechtsbehelf. Unter Abschnitt II, Klausel 11 gilt die optionale Bestimmung nicht;
- Rechtswahl. Für Abschnitt IV, Klauseln 17 und 18 vereinbaren die Parteien, dass ihre jeweiligen Verpflichtungen im Rahmen der EWR-Standardvertragsklauseln dem Recht der Republik Irland und der Gerichtsbarkeit der Gerichte der Republik Irland unterliegen, soweit dies nach dem anwendbaren Datenschutzrecht zulässig ist.
- Vervollständigung von Anhang I, Teil A. Anhang I, Teil A (Liste der Vertragsparteien) wird vervollständigt durch (i) die Angaben zum Kunden (als Datenexporteur) und (ii) die Angaben zum Partner (als Datenimporteur), jeweils wie in der Vereinbarung abgebildet;
- Vervollständigung von Anhang I, Teil B. Anhang I, Teil B (Beschreibung der Datenübermittlung) der EWR-Standardvertragsklauseln wird hiermit mit den in der Beschreibung der Datenverarbeitung angegebenen Informationen ausgefüllt;
- Vervollständigung von Anhang I, Teil C. In Bezug auf Anhang I, Teil C (Zuständige Aufsichtsbehörde) der EWR-Standardvertragsklauseln wählen die Parteien die Datenschutzbehörde der Republik Irland, soweit dies nach dem anwendbaren Datenschutzrecht zulässig ist;
- Vervollständigung von Anhang II. Anhang II der EWR-Standardvertragsklauseln (Technische und organisatorische Maßnahmen einschließlich zur Gewährleistung der Sicherheit der Daten) wird durch die Bestimmungen zu den Informationssicherheitspflichten vervollständigt;
- Widersprüche zwischen verschiedenen Bedingungen. Im Falle von Widersprüchen oder Konflikten zwischen den EWR-Standardvertragsklauseln und diesem Abschnitt sind die Regelungen so auszulegen, dass sie den betroffenen Personen den größtmöglichen Schutz bieten.
- Anwendung der EWR-Standardvertragsklauseln bei Beschränkungen auferlegenden Ländern. Wenn und soweit die Offenlegung personenbezogener Daten durch den Kunden gegenüber dem Partner eine Sonstige Eingeschränkte Länderübergreifende Datenübermittlung darstellt, werden die EWR-Standardvertragsklauseln hiermit einbezogen und gelten wie oben in diesem Absatz von Abschnitt 6 beschrieben mit folgender Maßgabe: (i) Bezugnahmen auf die Begriffe „EU“, „Europäische Union“, „EU-Mitgliedstaat“ oder „Mitgliedstaat“ in den EWR-Standardvertragsklauseln beziehen sich stattdessen auf das die Beschränkungen auferlegende Land; (ii) Bezugnahmen auf die Begriffe „Verordnung (EU) 2016/679“ oder „diese Verordnung“ beziehen sich stattdessen auf das Datenschutzrecht des die Beschränkungen auferlegenden Landes und Verweise auf einzelne Bestimmungen oder Artikel der DSGVO werden durch die entsprechenden Bestimmungen oder Artikel im Datenschutzrecht des die Beschränkungen auferlegenden Landes ersetzt; (iii) Bezugnahmen auf den Begriff „Aufsichtsbehörde“ beziehen sich auf die Datenschutzbehörde des die Beschränkungen auferlegenden Landes; (iv) Bezugnahmen auf den Begriff „Klauseln“ beziehen sich auf diesen Abschnitt, soweit er die Klauseln einbezieht und ändert.
- UK-Drittlandübermittlungen. Falls und in dem Umfang, in dem personenbezogene Daten, die vom Partner verarbeitet werden, eine UK-Drittlandübermittlung darstellen, wird das UK SCC Addendum hiermit aufgenommen und gilt wie folgt:
- Vervollständigung von Tabelle 1. Tabelle 1 des UK SCC Addendum wird mit den Angaben zum Kunden (als Datenexporteur) und den Angaben zum Partner (als Datenimporteur) wie in der Vereinbarung vorgesehen vervollständigt. Als Startdatum (start date) gilt das Datum des Inkrafttretens der Vereinbarung oder ein diesem Datum entsprechendes. Der Hauptansprechpartner (key contact) auf Seiten des Kunden ist der Leiter der Datenschutzabteilung (Head of Privacy) oder ein von diesem Beauftragter, der per E-Mail an wbdprivacy@wbd.com erreichbar ist. Der Hauptansprechpartner auf Seiten des Partners wird dem Kunden von Zeit zu Zeit einschließlich dessen Stellenbezeichnung und E-Mail-Adresse mitgeteilt.
- Vervollständigung der Tabellen 2 und 3. Tabelle 2 des UK SCC Addendums wird vervollständigt durch die Auswahl der Option der Genehmigten EWR-Standardvertragsklauseln, einschließlich der Anhangs-Informationen und mit lediglich den folgenden Modulen, Klauseln oder optionalen Bestimmungen der genehmigten EWR-Standardvertragsklauseln, die für die Zwecke dieser Zusatzregelung in Kraft getreten sind (the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum). Für die Zwecke der Tabellen 2 und 3 des UK SCC Addendums werden die Genehmigten EWR-Standardvertragsklauseln wie oben in diesem Absatz von Abschnitt 6 beschrieben vervollständigt.
- Ausfüllen von Tabelle 4. Tabelle 4 des UK SCC Addendums wird durch die Auswahl von keine Partei (neither party) vervollständigt.
- Widersprüche zwischen verschiedenen Bedingungen. Im Falle von Widersprüchen oder Konflikten zwischen dem UK SCC Addendum und diesen globalen Datenschutzpflichten hat das UK SCC Addendum Vorrang.
- Datenübermittlungen (Verantwortliche). Dieser Abschnitt gilt, wenn Abschnitt 5 (Bestimmungen für Verantwortliche) Anwendung findet.
- EWR-Drittlandübermittlungen. Falls und in dem Umfang, in dem personenbezogene Daten, die vom Partner verarbeitet werden, eine EWR-Drittlandübermittlung darstellen, werden die EWR-Standardvertragsklauseln hiermit einbezogen und gelten wie folgt:
- Anwendung. Der Partner ist Datenimporteur, der Kunde Datenexporteur;
- Kopplung. Die in Abschnitt I, Klausel 7 vorgesehene fakultative Kopplungsklausel findet Anwendung;
- Module. Es gilt MODUL 1 (Übermittlung von Verantwortlichen an Verantwortliche);
- Rechtsbehelf. Unter Abschnitt II, Klausel 11 gilt die optionale Bestimmung nicht;
- Rechtswahl. Für Abschnitt IV, Klauseln 17 und 18 vereinbaren die Parteien, dass ihre jeweiligen Verpflichtungen im Rahmen der EWR-Standardvertragsklauseln dem Recht der Republik Irland und der Gerichtsbarkeit der Gerichte der Republik Irland unterliegen, soweit dies nach dem anwendbaren Datenschutzrecht zulässig ist;
- Vervollständigung von Anhang I, Teil A. Anhang I, Teil A (Liste der Vertragsparteien) wird vervollständigt durch (i) die Angaben zum Kunden (als Datenexporteur) und (ii) die Angaben zum Partner (als Datenimporteur), jeweils wie in der Vereinbarung abgebildet;
- Vervollständigung von Anhang I, Teil B. Anhang I, Teil B (Beschreibung der Datenübermittlung) der EWR-Standardvertragsklauseln wird mit den in der Beschreibung der Datenverarbeitung angegebenen Informationen ausgefüllt;
- Vervollständigung von Anhang I, Teil C. In Bezug auf Anhang I, Teil C (Zuständige Aufsichtsbehörde) der EWR-Standardvertragsklauseln wählen die Parteien die Datenschutzbehörde der Republik Irland, soweit dies nach dem anwendbaren Datenschutzrecht zulässig ist;
- Vervollständigung von Anhang II. Anhang II der EWR-Standardvertragsklauseln (Technische und organisatorische Maßnahmen einschließlich zur Gewährleistung der Sicherheit der Daten) wird durch die Bestimmungen zu den Informationssicherheitspflichten vervollständigt;
- Widersprüche zwischen verschiedenen Bedingungen. Im Falle von Widersprüchen oder Konflikten zwischen den EWR-Standardvertragsklauseln und diesem Abschnitt sind die Bestimmungen so auszulegen, dass sie den betroffenen Personen den größtmöglichen Schutz bieten.
- Anwendung der EWR-Standardvertragsklauseln bei Beschränkungen auferlegenden Länder. Wenn und soweit die Offenlegung personenbezogener Daten durch den Kunden gegenüber dem Partner eine Sonstige Eingeschränkte Länderübergreifende Datenübermittlung darstellt, werden die EWR-Standardvertragsklauseln hiermit einbezogen und gelten wie oben in diesem Absatz von Abschnitt 6 beschrieben mit folgender Maßgabe: (i) Bezugnahmen auf die Begriffe „EU“, „Europäische Union“, „EU-Mitgliedstaat“ oder „Mitgliedstaat“ in den EWR-Standardvertragsklauseln beziehen sich stattdessen auf das die Beschränkungen auferlegende Land; (ii) Bezugnahmen auf die Begriffe „Verordnung (EU) 2016/679“ oder „diese Verordnung“ beziehen sich stattdessen auf das Datenschutzrecht des die Beschränkungen auferlegenden Landes und Verweise auf einzelne Bestimmungen oder Artikel der DSGVO werden durch die entsprechenden Bestimmungen oder Artikel im Datenschutzrecht des die Beschränkungen auferlegenden Landes ersetzt; (iii) Bezugnahmen auf den Begriff „Aufsichtsbehörde“ beziehen sich auf die Datenschutzbehörde des die Beschränkungen auferlegenden Landes; (iv) Bezugnahmen auf den Begriff „Klauseln“ beziehen sich auf diesen Abschnitt, soweit er die Klauseln einbezieht und ändert.
- UK-Drittlandübermittlungen. Falls und in dem Umfang, in dem personenbezogene Daten, die vom Partner verarbeitet werden, eine UK-Drittlandübermittlung darstellen, wird das UK SCC Addendum durch Verweis hiermit einbezogen und gilt wie folgt:
- Vervollständigung von Tabelle 1. Tabelle 1 des UK SCC Addendum wird mit den Angaben zum Kunden (als Datenexporteur) und den Angaben zum Partner (als Datenimporteur) wie in der Vereinbarung angegeben befüllt. Als Startdatum (start date) gilt das Datum des Inkrafttretens der Vereinbarung oder ein diesem Datum entsprechendes. Der Hauptansprechpartner (key contact) auf Seiten des Kunden ist der Leiter der Datenschutzabteilung (Head of Privacy) oder ein von diesem Beauftragter, der per E-Mail an wbdprivacy@wbd.com erreichbar ist. Der Hauptansprechpartner auf Seiten des Partners wird dem Kunden von Zeit zu Zeit einschließlich dessen Stellenbezeichnung und E-Mail-Adresse mitgeteilt.
- Vervollständigung der Tabellen 2 und 3. Tabelle 2 des UK SCC Addendums wird vervollständigt durch die Auswahl der Option der Genehmigten EWR-Standardvertragsklauseln, einschließlich der Anhangs-Informationen und mit lediglich den folgenden Modulen, Klauseln oder optionalen Bestimmungen der genehmigten EWR-Standardvertragsklauseln, die für die Zwecke dieser Zusatzregelung in Kraft getreten sind (the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum). Für die Zwecke der Tabellen 2 und 3 des UK SCC Addendums werden die Genehmigten EWR-Standardvertragsklauseln wie oben in diesem Absatz von Abschnitt 6 beschrieben vervollständigt.
- Vervollständigung von Tabelle 4. Tabelle 4 des UK SCC Addendums wird durch die Auswahl von keine Partei (neither party) vervollständigt.
- Widersprüche zwischen verschiedenen Bedingungen. Im Falle von Widersprüchen oder Konflikten zwischen dem UK SCC Addendum und diesen globalen Verpflichtungen auf den Datenschutz hat das UK SCC Addendum Vorrang.
- Zusätzliche Bestimmungen für grenzüberschreitende Datenübermittlungen. Dieser Abschnitt gilt, wenn und soweit personenbezogene Daten, die vom Partner verarbeitet werden, einer EWR-Drittlandübermittlung, einer UK-Drittlandübermittlung oder einer Sonstigen Eingeschränkten Länderübergreifenden Datenübermittlung unterliegen.
Ergänzende Maßnahmen
- Die Parteien kennen das Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 und stimmen dahingehend überein, dass zusätzliche Maßnahmen erforderlich sein können, um sicherzustellen, dass für personenbezogene Daten, die einer EWR- oder UK- Drittlandübermittlung unterliegen, ein im Wesentlichen gleichwertiges Schutzniveau hergestellt wird wie diese Daten bei einer Verarbeitung in ihrem Herkunftsland erhalten würden (zusätzlich zu den bereits in den EWR-Standardvertragsklauseln enthaltenen Schutzmaßnahmen). Dementsprechend haben die Parteien die in Abschnitt 6.4 (b) bis (g) beschriebenen Maßnahmen als ergänzende Maßnahmen vereinbart, um zur Sicherstellung dieser wesentlichen Gleichwertigkeit beizutragen.
- Wenn der Partner Kenntnis von einer freiwilligen oder verpflichtenden Anfrage oder Forderung einer Strafverfolgungs-, Regulierungs-, Justiz- oder Regierungsbehörde (einer „Behörde“) erhält, in der der Zugriff auf einige oder alle im Zusammenhang mit der Vereinbarung verarbeiteten personenbezogenen Daten oder eine Kopie davon verlangt werden, hat der Partner
- den Kunden unverzüglich über das Ersuchen einer solchen Behörde zu informieren;
- wenn Abschnitt 4 (Bestimmungen für Auftragsverarbeiter) Anwendung findet, die Behörde darüber zu informieren, dass der Partner ein Auftragsverarbeiter personenbezogener Daten ist und der Kunde ihm nicht gestattet hat, diese personenbezogenen Daten der Behörde gegenüber offenzulegen;
- die Behörde darüber zu informieren, dass alle Anfragen oder Forderungen betreffend den Zugang zu diesen personenbezogenen Daten dem Kunden (als Verantwortlichen) schriftlich mitgeteilt oder zugestellt werden müssen und
- vorbehaltlich Abschnitt 6.4 (c) der Behörde keinen Zugriff auf solche personenbezogenen Daten zu gewähren, es sei denn, dies wurde schriftlich (Textform genügt) vom Kunden genehmigt.
- Ungeachtet des Abschnitts 6.4 (b) (iv) darf der Partner nach Erhalt einer Anfrage oder Forderung durch eine solche Behörde personenbezogene Daten auch ohne vorherige schriftliche Genehmigung (Textform genügt) des Kunden an eine Behörde weitergeben (sofern nicht gesetzlich verboten), wenn folgende Voraussetzungen gegeben sind:
- Der Partner hat den Kunden angemessen im Voraus über eine solche Anfrage oder Forderung informiert, um dem Kunden angemessene Gelegenheit zu geben, Widerspruch einzulegen oder eine Schutzverfügung oder andere geeignete Abhilfe zu erwirken;
- Der Partner arbeitet in angemessener Weise mit dem Kunden zusammen, sodass der Kunde Widerspruch einlegen oder eine Schutzverfügung oder andere geeignete Abhilfe beantragen kann, wobei die Kosten und Auslagen des Partners für diese Zusammenarbeit vom Kunden zu tragen sind;
- Der Partner legt in jedem Fall lediglich den Teil der personenbezogenen Daten offen, zu dessen Offenlegung er gesetzlich verpflichtet ist.
- Wenn der Partner personenbezogene Daten gegenüber einer Behörde offenlegt, darf der Partner diese personenbezogenen Daten nur in dem Umfang offenlegen, in dem er gesetzlich dazu verpflichtet ist und nur im Einklang mit dem geltenden rechtmäßigen Verfahren.
- Der Partner darf personenbezogene Daten nicht wissentlich in einer massenhaften oder wahllosen Art und Weise, die über das hinausgeht, was in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist, offenlegen.
- Der Partner muss eine schriftliche Richtlinie für Anfragen von Behörden zu personenbezogenen Daten vorhalten, pflegen und einhalten, die mindestens Folgendes verbietet:
- Massen- oder wahllose Offenlegungen personenbezogener Daten in Bezug auf betroffene Personen in Europa;
- Die Offenlegung personenbezogener Daten in Bezug auf betroffene Personen in Europa gegenüber einer Behörde ohne Vorladung, Anordnung, Verfügung, Beschlüsse, Ladung oder anderer rechtlich bindender Anordnung, die die Offenlegung derartiger personenbezogener Daten zwingend vorschreibt.
- Der Partner hat im Einklang mit bewährten Branchenpraktiken Maßnahmen zum Schutz personenbezogener Daten vor dem Abfangen vorzuhalten und zu pflegen. Dies muss auch den Schutz der Daten vor einem Abfangen während der Übermittlung vom Kunden zum Partner und zwischen verschiedenen Systemen und Services umfassen. Dazu gehört, (i) dass ein Netzwerkschutz vorhanden ist und gepflegt wird, der Angreifern die Möglichkeit verwehrt Daten während der Übermittlung abzufangen, sowie (ii) die Verschlüsselung von Daten während deren Übermittlung, um Angreifern die Möglichkeit zu verwehren, die Daten auszulesen.
Zusätzliche Bestimmungen für die Datenübermittlung
- Der Partner verpflichtet sich, in gutem Glauben mit dem Kunden zusammenzuarbeiten und zusätzliche Dokumente bzw. Verträge abzuschließen, zusätzliche Schutzmaßnahmen einzusetzen oder die Verarbeitung auf bestimmte Gebiete zu beschränken, soweit der Kunde dies für die Durchführung von EWR-, UK-Drittlandübermittlungen oder Sonstigen Eingeschränkten Länderübergreifenden Datenübermittlungen (je nach Sachlage) für erforderlich hält.
- Wenn der Partner zu irgendeinem Zeitpunkt personenbezogene Daten verarbeitet, die aus einem Beschränkungen auferlegenden Land stammen, das die Übermittlung der personenbezogenen Daten in eine andere Rechtsordnung, die nicht als angemessen für den Erhalt solcher personenbezogenen Daten angesehen wird einschränkt, hat der Partner auf Weisungen des Kunden
- alle erforderlichen Maßnahmen zu ergreifen und Vereinbarungen abzuschließen, die nach dem anwendbaren Datenschutzrecht in dem betreffenden Land erforderlich sind, um die Verarbeitung zu legitimieren und
- ein angemessenes Schutzniveau für personenbezogene Daten des Kunden sicherzustellen.
- Für den Fall, dass eine zuständige Datenschutzbehörde einen Datenübertragungsmechanismus, auf den sich die Parteien stützen, als ungültig erachtet oder eine zuständige Datenschutzbehörde oder ein anwendbares Gesetz verlangen, dass die Übermittlung von personenbezogenen Daten ausgesetzt oder auf bestimmte Jurisdiktionen beschränkt wird, kann der Kunde nach eigenem Ermessen verlangen, dass der Partner die Verarbeitung von personenbezogenen Daten einstellt. Der Partner hat mit dem Kunden in gutem Glauben zusammenzuarbeiten, um die Nutzung eines alternativen Datenübertragungsmechanismus zu ermöglichen, zusätzliche Dokumente bzw. Verträge abzuschließen, zusätzliche Schutzmaßnahmen einzusetzen oder die Verarbeitung auf bestimmte Jurisdiktionen zu beschränken.
- Dieser Abschnitt gilt für alle Partner.
- Zusätzlich zu den in der Vereinbarung festgelegten Haftungsfreistellungsverpflichtungen des Partners verteidigt, der Partner den Kunden - und stellt diesen frei und hält ihn schadlos - in Bezug auf alle Ansprüche und Klagen Dritter, Kosten, Verbindlichkeiten, Verluste, Schäden und Auslagen (einschließlich von Anwaltskosten), die dem Kunden aus oder in Verbindung mit Folgendem entstehen: (i) Einem Sicherheitsvorfall oder (ii) einem Verstoß gegen diese globalen Datenschutzpflichten durch den Partner oder seine verbundenen Unternehmen, Unterauftragsverarbeiter (einschließlich der Unterauftragsverarbeiter, die von verbundenen Unternehmen des Partners beauftragt wurden) und Bevollmächtigten. Dies umfasst, ohne darauf beschränkt zu sein, auch Ansprüche oder eine Handlung einer Datenschutzbehörde oder einer betroffenen Person.
- Dieser Abschnitt gilt in dem Umfang, in dem der Partner:
- Dem Kunden im Rahmen der Vereinbarung KI oder den Zugriff darauf bereitstellt; oder
- KI nutzt, um Dienste im Rahmen der Vereinbarung ganz oder teilweise bereitzustellen.
- Der Partner hat die vom Kunden in angemessener Weise angeforderten Informationen über die Nutzung von KI durch den Partner im Zusammenhang mit der Erfüllung seiner Verpflichtungen aus der Vereinbarung zur Verfügung zu stellen. Dies umfasst auch die Informationen, die der Kunde zur Durchführung von Datenschutz-Folgenabschätzungen und für Bewertungen der durch den Einsatz von KI hervorgerufenen Verzerrungen (sog. AI Bias) benötigt.
- Der Partner sichert zu und garantiert, dass: (i) Alle Trainingsdaten für jegliche KI, die dem Kunden in Verbindung mit der Vereinbarung zur Verfügung gestellt oder die vom Partner zur Erfüllung seiner Verpflichtungen im Rahmen der Vereinbarung verwendet werden: (A) Vollständig im Einklang mit geltendem Recht und ohne Verletzung der Rechte Dritter beschafft wurden; (B) keine personenbezogenen Daten enthielten oder enthalten; (ii) der Partner personenbezogene Daten, die er im Zusammenhang mit der Vereinbarung erhält, nicht verwenden wird, um KI-Outputs von jeglicher KI zu trainieren, zu verbessern, zu steigern oder zu veranlassen. Weiter wird er dies auch Dritten nicht ermöglichen oder diesen eine solche Nutzung gestatten; und (iii) der Partner bei der Erfüllung seiner Verpflichtungen im Rahmen der Vereinbarung keine automatisierte Entscheidungsfindung vornehmen und dem Kunden auch keine automatisierte Entscheidungsfindung ermöglichen wird.
FRÜHERE VERSIONEN ANZEIGEN