GLOBALE DATENSCHUTZPFLICHTEN
ZULETZT AKTUALISIERT: 21. November 2022
- Diese globalen Datenschutzpflichten (die „globalen Datenschutzpflichten“) legen bestimmte Datenschutzpflichten fest, deren Einhaltung wir von unseren Lieferanten und anderen Partnern (gemeinschaftlich: „Partner“) im Zusammenhang mit ihrer Bereitstellung von Produkten und Dienstleistungen für uns erwarten. Diese globalen Datenschutzpflichten sind eine Ergänzung zu und Bestandteil von allen Vereinbarungen, die wir mit unseren Partnern geschlossen haben und in die diese globalen Datenschutzpflichten aufgenommen wurden (die „Vereinbarung“).
- Abhängig von unserer Beziehung zu dem betreffenden Partner gelten unterschiedliche Abschnitte dieser globalen Datenschutzpflichten. In jedem Abschnitt wird angegeben, wann er Anwendung findet.
- Dieser Abschnitt gilt für alle Partner.
- Im Rahmen dieser globalen Datenschutzpflichten haben die folgenden Begriffe jeweils die nachstehend angegebene Bedeutung:
- „Verantwortlicher“ bezeichnet eine natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
- „Kunde“, „wir“, „uns“ und „unser“ bezeichnen: (i) das Warner Bros. Discovery-Unternehmen, das in der Vereinbarung genannt wird und Partei der Vereinbarung ist; und (ii) jedes verbundene Unternehmen oder jede Tochtergesellschaft, die das in der Vereinbarung genannte Warner Bros. Discovery-Unternehmen kontrolliert, von diesem kontrolliert wird oder mit diesem unter einer gemeinsamen Kontrolle steht.
- „Datenschutzrecht“ bezeichnet alle bundesrechtlichen, landesrechtlichen, kommunalrechtlichen, ausländischen, internationalen, multinationalen oder sonstigen Verfassungen, Gesetze, Statuten, Verträge, Regeln, Vorschriften, Verordnungen, Kodizes und Anleitungen von Regulierungsbehörden, die für deren Auslegung oder Durchsetzung zuständig sind, in Bezug auf die Verarbeitung von personenbezogenen Daten zum Schutz der Privatsphäre, des Datenschutzes (des Schutzes von personenbezogenen Daten) oder der Cybersicherheit, in deren jeweils geltenden Fassung;
- „Betroffene Person“ bezeichnet die Person, auf die sich personenbezogene Daten beziehen;
- „Ersuchen einer betroffenen Person“ bezeichnet den Antrag einer betroffenen Person zur Wahrnehmung ihrer Rechte auf Information, Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, Nichtverkauf, Löschung sowie alle ähnlichen Ersuchen;
- „Beschreibung der Verarbeitung“ bezeichnet die Beschreibung der personenbezogenen Daten, die von dem Partner im Rahmen der Vereinbarung verarbeitet werden;
- „EWR” bezeichnet den Europäischen Wirtschaftsraum;
- „EWR-Datenübermittlung“ bezeichnet die Übermittlung personenbezogener Daten, die der DSGVO unterliegen, in ein Land oder Gebiet außerhalb des EWR, das von der EU-Kommission nicht als ein Land mit angemessenem Datenschutz erachtet wurde;
- „EWR-Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer gemäß dem Durchführungsbeschluss (EU) 2016/679 des Europäischen Parlaments und des Rates, angenommen durch den Durchführungsbeschluss der Europäischen Kommission vom 4. Juni 2021 C(2021) 3972, abrufbar unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=en;
- „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung).
- „Informationssicherheitspflichten“ bezeichnet alle anwendbaren Informationssicherheitspflichten, die der Vereinbarung als Anhang beigefügt sind oder auf andere Weise einen Teil der Vereinbarung bilden;
- „Andere Datenübermittlungen“ bezeichnet die Übermittlung personenbezogener Daten: (i) die dem Recht eines Landes unterliegt, das die Übermittlung personenbezogener Daten in ein anderes Land einschränkt, da es nicht als geeignet für den Empfang solcher personenbezogenen Daten erachtet wird (ein „Einschränkungen vorsehendes Land“); und (ii) die keine EWR-Datenübermittlung oder UK-Datenübermittlung ist;
- „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich aller als „persönlich identifizierbare Informationen“, „persönliche Informationen“, „persönliche Daten“ oder in ähnlicher Weise bezeichnete Informationen im Sinne des jeweiligen Datenschutzrechts, beschränkt auf diejenigen personenbezogenen Daten, die der Partner im Zusammenhang mit der Vereinbarung verarbeitet;
- „Verarbeitung“ oder „Verarbeiten“ bezeichnet jede mit oder ohne Hilfe automatisierter Verfahren ausgeführten Maßnahme oder Reihe von Maßnahmen im Zusammenhang mit personenbezogenen Daten, einschließlich des Erhebens, des Erfassens, der Organisation, des Ordnens, der Speicherung, der Anpassung oder Veränderung, des Abfragens, der Verwendung, der Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, des Abgleichs oder der Verknüpfung, der Einschränkung, des Löschens oder der Vernichtung von personenbezogenen Daten;
- „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
- „Sicherheitsvorfall“ bezeichnet: (i) jede schwerwiegende Unterbrechung der Verarbeitungsvorgänge des Partners; (ii) jede unbefugte Aneignung, jeden unrechtmäßigen Verlust, jeden unerlaubten Zugriff, jede unerlaubte Nutzung und jeden Missbrauch, jeden unrechtmäßigen Verlust des Zugriffs auf und Verlust der Verwendung von personenbezogenen Daten (einschließlich des Verlustes eines Datenträgers, auf dem personenbezogene Daten gespeichert werden); oder (iii) jede Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung, zur Verwendung oder zum Missbrauch, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt;
- „Sensible personenbezogene Daten“ bezeichnet personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, die körperliche oder geistige Gesundheit, das Sexualleben oder die sexuelle Orientierung hervorgehen, die Verarbeitung von genetischen oder biometrischen Daten zur eindeutigen Identifizierung einer betroffenen Person, personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherheitsmaßnahmen, staatlich ausgestellte Identifikationsnummern, Kontozugangsdaten, Bankkontonummern, einschließlich Zahlungskartennummern, genaue Geolokalisierungsdaten, Inhalte von Mitteilungen, die nicht an den Partner oder Kunden gerichtet sind, sowie solche Untergruppen von personenbezogenen Daten, die nach dem Datenschutzrecht des jeweiligen Landes, das Beschränkungen vorsieht, als „sensibel“ gelten oder einen erhöhten Schutz erfordern.
- „Dienste“ besitzt die in der Vereinbarung beschriebene Bedeutung oder bezeichnet, falls die Vereinbarung keine Definition vorsieht, die Produkte oder Dienstleistungen, die der Partner uns gemäß der Vereinbarung bereitstellt;
- „Unterauftragsverarbeiter“ bezeichnet die natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Auftragsverarbeiters verarbeitet;
- „UK-Datenübermittlungen“ bezeichnet die Übermittlung personenbezogener Daten, die der UK GDPR unterliegen, in ein Land oder Gebiet außerhalb des Vereinigten Königreichs, das vom britischen Kabinettsminister nicht als ein Land mit angemessenem Datenschutz erachtet wurde;
- „UK GDPR“ (britische Datenschutz-Grundverordnung) bezeichnet die DSGVO, wie sie gemäß Artikel 3 des EU-Gesetzes 2018 (Austrittsgesetz) zu einem Teil der Gesetze von England und Wales, Schottland und Nordirland geworden ist; und
- „UK SCC Addendum“ (britischer Nachtrag zu den Standardvertragsklauseln) bezeichnet den Vorlagenzusatz, der vom Büro des britischen Informationsbeauftragten herausgegeben und dem britischen Parlament am 2. Februar 2022 gemäß § 119A des britischen Datenschutzgesetzes 2018 vorgelegt wurde, in seiner überarbeiteten Version nach Artikel 18, verfügbar unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
- Dieser Abschnitt gilt für alle Partner.
- Einhaltung der Gesetze. Der Partner hat sich an alle geltenden Datenschutzbestimmungen zu halten und Datenschutz in einem angemessenen Umfang zu gewährleisten, um seinen Pflichten aus dem geltenden Datenschutzrecht nachzukommen. Der Partner hat den Kunden unter wmprivacy@warnermedia.com zu benachrichtigen, wenn er feststellt, dass er seinen sich aus dem Datenschutzrecht ergebenden Pflichten nicht mehr nachkommen kann. Der Kunde hat das Recht, geeignete Maßnahmen zu ergreifen, um eine unbefugte Verarbeitung personenbezogener Daten durch den Partner zu beseitigen und zu korrigieren.
- Sicherheit. Der Partner hat technische und organisatorische Maßnahmen umzusetzen und zu pflegen, die zum Schutz personenbezogener Daten geeignet und in Bezug darauf angemessen sind. Die Sicherheitsmaßnahmen des Partners müssen zu Folgendem gedacht sein: (i) Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten; (ii) Schutz vor erwarteten Bedrohungen oder Gefahren für die Sicherheit oder Integrität personenbezogener Daten; und (iii) Schutz vor unbefugter Verarbeitung.
- Mitteilungen Dritter. Wenn der Partner Mitteilungen von einer Einzelperson, einer Aufsichtsbehörde, einer Regierungsbehörde oder einem anderen Dritten erhält, die Folgendes betreffen:
- die Verarbeitung personenbezogener Daten durch den Partner in Verbindung mit der Vereinbarung; oder
- die Verarbeitung personenbezogener Daten durch den Kunden,
hat der Partner (sofern das geltende Recht ihm dies nicht verbietet) den Kunden (unter wmprivacy@warnermedia.com) unverzüglich darüber zu informieren, alle Einzelheiten dieser Mitteilung offenzulegen und jede Zusammenarbeit zu leisten, die der Kunde in angemessener Weise verlangt, um auf diese Mitteilung zu reagieren. Der Partner darf ohne vorherige Genehmigung des Kunden nicht selbst auf solche Mitteilungen reagieren, es sei denn, dass er dazu gesetzlich verpflichtet ist.
- Reaktion auf Anfragen und Vorfälle. Der Partner darf den Kunden (einschließlich dessen Tochtergesellschaften oder verbundenen Unternehmen) in folgenden Fällen nicht ohne dessen vorherige schriftliche Genehmigung nennen: (i) Reaktion gegenüber einer betroffenen Person; (ii) Offenlegung in Bezug auf die Verarbeitung; (iii) Meldung eines Sicherheitsvorfalls; oder (iv) Offenlegung gegenüber einer Datenschutzbehörde oder einer anderen juristischen Person in Bezug auf die Verarbeitung.
- Laufzeit und Fortgeltung.
- Vorbehaltlich Abschnitt 3.6 (b) enden die Bestimmungen dieser globalen Datenschutzpflichten, wenn der Partner die Verarbeitung personenbezogener Daten in Verbindung mit der Vereinbarung einstellt.
- Ungeachtet Abschnitt 3.6 (a) bleiben die Abschnitte 3.4, 3.5 und 3.7 auch nach Beendigung oder Ablauf der Vereinbarung und dieser globalen Datenschutzpflichten weiter gültig.
- Übersetzungen. Im Fall eines Widerspruchs zwischen der englischen Version dieser globalen Datenschutzpflichten und einer anderen Version in einer anderen Sprache hat die englische Version Vorrang.
- Keine Haftungsbeschränkung. Um Zweifel zu vermeiden sei klargestellt, dass die Haftung der Parteien nach diesen globalen Datenschutzpflichten keinen in der Vereinbarung enthaltenen Einschränkungen oder Ausschlüssen unterliegt.
- Dieser Abschnitt findet Anwendung, soweit:
- der Partner personenbezogene Daten als Auftragsverarbeiter im Namen des Kunden verarbeitet; oder
- die Vereinbarung ausdrücklich festlegt, dass dieser Abschnitt Anwendung findet.
- Weisungen. Der Partner darf personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Weisungen des Kunden verarbeiten (es sei denn, die Verarbeitung dieser personenbezogenen Daten ist aufgrund einer rechtlichen Verpflichtung erforderlich, der der Partner unterliegt: in diesem Fall informiert der Partner den Kunden über die rechtliche Verpflichtung, bevor er mit der Verarbeitung beginnt, es sei denn die rechtliche Verpflichtung verbietet die Information des Kunden). Die dokumentierten Weisungen des Kunden umfassen die Verarbeitung personenbezogener Daten: (i) soweit dies für den Partner erforderlich ist, um die Dienste zu erbringen und andere Verpflichtungen gemäß der Vereinbarung zu erfüllen; und (ii) soweit der Kunde von Zeit zu Zeit andere Weisungen in schriftlicher Form erteilt. Der Partner hat den Kunden unverzüglich zu benachrichtigen, wenn ein Auftrag oder eine Weisung des Kunden nach Ansicht des Partners gegen das geltende Datenschutzrecht verstößt.
- Beschreibung der Verarbeitung. Eine Beschreibung des Gegenstands und der Dauer der Verarbeitung, der Art und des Zwecks der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien der betroffenen Personen wird in der Beschreibung der Verarbeitung festgelegt.
- Nutzungsbeschränkung. Der Partner ist nicht berechtigt: (i) personenbezogene Daten zu verkaufen oder anderweitig im Austausch gegen Geld oder eine sonstige geldwerte Gegenleistung offenzulegen; (ii) personenbezogene Daten zu einem anderen Zweck als dem konkreten Zweck der Erbringung der Leistungen oder gemäß den Weisungen des Kunden zu verarbeiten; (iii) personenbezogene Daten außerhalb der unmittelbaren Geschäftsbeziehung zwischen dem Partner und dem Kunden zu verarbeiten; oder (iv) die personenbezogenen Daten mit anderen personenbezogenen Daten zu kombinieren, die er von oder im Auftrag anderer juristischer oder natürlicher Personen erhalten oder von Verbrauchern erhoben hat. Der Partner bestätigt, dass er die in diesem Abschnitt enthaltenen Beschränkungen versteht und einhalten wird.
- Ersuchen von betroffenen Personen. Der Partner hat den Kunden unverzüglich über alle Ersuchen oder Mitteilungen von oder im Auftrag von betroffenen Personen in Bezug auf die von ihm in Verbindung mit den Diensten verarbeiteten personenbezogenen Daten zu informieren. Dies muss geschehen, ohne dass er der betroffenen Person antwortet, mit Ausnahme der Bestätigung des Erhalts des Ersuchens oder der Mitteilung. Dies gilt, sofern das Datenschutzrecht nicht etwas anderes vorschreibt oder der Kunde den Partner anderweitig anweist. Der Partner hat den Kunden so zu unterstützen, wie dies erforderlich ist, um dem Kunden zu ermöglichen, dem Ersuchen der betroffenen Personen wirksam abzuhelfen. Dies umfasst unter anderem auch die Unterstützung durch Bereitstellung geeigneter technischer und organisatorischer Maßnahmen sowie aller erforderlichen Produkteigenschaften und -funktionen. Der Partner hat diese Unterstützung unverzüglich zu leisten, auf jeden Fall aber innerhalb von 5 (fünf) Tagen nach dem Ersuchen der betroffenen Person oder der Bitte des Kunden um Unterstützung. In geeigneten Fällen und auf vertretbares Verlangen des Kunden unterstützt der Partner den Kunden bei der Information der betroffenen Personen über die Verarbeitung von personenbezogenen Daten, indem er ihnen unter anderem dem Datenschutzrecht entsprechende Datenschutzhinweise oder eine entsprechende Erklärung bereitstellt oder sie darauf hinweist. Der Partner muss vollständige und genaue Aufzeichnungen über Ersuchen von betroffenen Personen führen, an deren Abhilfe er beteiligt ist, und dem Kunden angemessenen Zugang dazu gewähren.
- Vertraulichkeitspflichten der Mitarbeiter. Der Partner hat zu gewährleisten, dass alle seine Mitarbeiter in Bezug auf personenbezogene Daten Vertraulichkeitsverpflichtungen unterliegen.
- Sicherheit. Der Partner hat die in den Informationssicherheitspflichten festgelegten Informationssicherheitsverfahren und -praktiken umzusetzen und zu pflegen.
- Prüfung und Unterstützung. Ungeachtet etwaiger Prüfungsbestimmungen in den Informationssicherheitspflichten muss der Partner:
- dem Kunden jegliche Informationen und Unterstützung bereitstellen, die bei vernünftiger Betrachtung erforderlich sind, um die Einhaltung dieser globalen Datenschutzpflichten durch den Partner zu bestätigen. Dies umfasst auch die Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen und bei der Zusammenarbeit mit Datenschutzbehörden. Der Partner hat dem Kunden weiter die Unterstützung zu gewähren, die für die Einhaltung des Datenschutzrechts vernünftigerweise erforderlich ist; und
- auf Weisung des Kunden sein Datenschutzkonzept und seine Einrichtungen, in denen personenbezogene Daten verarbeitet werden, einer Prüfung auf Einhaltung dieser globalen Datenschutzpflichten und/oder des maßgeblichen Datenschutzrechts zu unterziehen. Die Prüfung kann vom Kunden oder einem in dessen Namen Beauftragten durchgeführt werden, sofern der Beauftragte einer für den Partner annehmbaren Vertraulichkeitsvereinbarung zustimmt. Der Kunde kündigt die Prüfung ausreichend im Voraus an und führt sie während der üblichen Geschäftszeiten durch, ohne den Betrieb des Partners unangemessen zu stören. Zur Vermeidung von Zweifeln wird klargestellt, dass diese Bestimmung den Partner nicht dazu verpflichtet, einem Kunden Zugang zu den vertraulichen Informationen anderer Kunden des Partners zu gewähren.
- Sicherheitsvorfälle. Der Partner hat den Kunden und die Hotline des WarnerMedia Security Operations Center unter der Telefonnummer (001) 404-827-1900 und per E-Mail an cybersecurity@WarnerMedia.com unverzüglich, spätestens jedoch innerhalb von 48 (achtundvierzig) Stunden nach Bekanntwerden eines tatsächlichen oder begründet vermuteten Sicherheitsvorfalls zu unterrichten. Auf Weisung des Kunden hat der Partner alle Informationen und jede Unterstützung bereitzustellen, die der Kunde vernünftigerweise benötigt, um einen Sicherheitsvorfall zu untersuchen, zu entschärfen und zu beheben. Dies umfasst mindestens all diejenigen Informationen oder Unterstützungsmaßnahmen, die nach dem geltenden Datenschutzrecht erforderlich sind oder die der Kunde benötigt, um den Sicherheitsvorfall zu melden. Der Partner verpflichtet sich, erst nach Absprache mit dem betroffenen Kunden öffentliche Erklärungen über einen Sicherheitsvorfall abzugeben oder eine Datenschutzbehörde oder betroffene Person darüber zu unterrichten. Der Partner ist für alle Kosten, Verbindlichkeiten, Verluste, Schäden und Auslagen (einschließlich der Anwaltskosten) verantwortlich, die dem Kunden aus oder in Verbindung mit einem Sicherheitsvorfall entstehen, der sich auf personenbezogene Daten auswirkt, die vom Partner, seinen verbundenen Unternehmen, Bevollmächtigten oder Unterauftragsverarbeitern verarbeitet werden. Er hat diese dem Kunden auf Verlangen zu zahlen/erstatten.
- Unterauftragsverarbeitung. Der Partner kann einen Unterauftragsverarbeiter beauftragen oder ihm anderweitig gestatten, personenbezogene Daten in seinem Namen zu verarbeiten. Dies gilt allerdings nur unter der Voraussetzung, dass der Partner:
- mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließt, die diesem Verpflichtungen auferlegt, die die personenbezogenen Daten nicht weniger schützen als die Verpflichtungen in den Bestimmungen dieser auf den Partner Anwendung findenden globalen Datenschutzpflichten;
- angemessene Due-Diligence-Überprüfungen durchführt, um sicherzustellen, dass der Unterauftragsverarbeiter die Leistung erbringen kann, die erbracht werden muss, damit der Partner seinen Verpflichtungen gemäß den Bestimmungen dieser auf ihn Anwendung findenden globalen Datenschutzpflichten nachkommen kann;
- den Kunden im Voraus und schriftlich über jeden neuen Unterauftragsverarbeiter unterrichtet, den der Partner zu beauftragen beabsichtigt. Der Kunde kann innerhalb von 30 (dreißig) Tagen nach Zugang dieser Mitteilung der Beauftragung des neuen Unterauftragsverarbeiters durch den Partner widersprechen. Falls der Kunde innerhalb dieser Frist nicht widerspricht, kann der Partner dem Unterauftragsverarbeiter die Verarbeitung von personenbezogenen Daten gestatten. Widerspricht der Kunde jedoch der Beauftragung eines Unterauftragsverarbeiters, hat sich der Partner unverzüglich mit den Beanstandungen des Kunden auseinanderzusetzen und diesen innerhalb von 10 (zehn) Tagen nach Zugang abzuhelfen. Kann der Partner die Einwände des Kunden nicht innerhalb der Frist von 10 (zehn) Tagen zur Zufriedenheit des Kunden ausräumen, ist der Kunde berechtigt, die Vereinbarung jederzeit durch schriftliche Mitteilung an den Partner mit sofortiger Wirkung zu kündigen, ohne dass eine Entschädigung geschuldet wird. Der Partner darf dem neuen Unterauftragsverarbeiter die Verarbeitung von personenbezogenen Daten nicht gestatten während: (i) der Frist von 30 (dreißig) Tagen nach der Mitteilung über sein Vorhaben, einen neuen Unterauftragsverarbeiter zu beauftragen; oder (ii) solange Einwände des Kunden gegen die Beauftragung eines Unterauftragsverarbeiters nicht zur Zufriedenheit des Kunden ausgeräumt wurden; und
- für die Verarbeitung personenbezogener Daten durch jeden Unterauftragsverarbeiter uneingeschränkt selbst haftbar bleibt.
- Vernichtung oder Rückgabe. Bei Beendigung oder Ablauf der Vereinbarung oder auf anderweitige Weisung des Kunden ist der Partner verpflichtet, in Übereinstimmung mit den Weisungen des Kunden: (i) eine vollständige Kopie der personenbezogenen Daten, die er im Zusammenhang mit der Vereinbarung verarbeitet hat, in einer Form und einem Format, auf das sich die Parteien in vertretbarer Weise verständigt haben, an den Kunden zurückzugeben; und (ii) die personenbezogenen Daten (einschließlich aller Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden und die er im Zusammenhang mit der Vereinbarung verarbeitet hat, sicher zu vernichten.
- Dieser Abschnitt findet Anwendung, soweit:
- der Partner unabhängig die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, die er in Verbindung mit der Vereinbarung verarbeitet; oder
- die Vereinbarung ausdrücklich festlegt, dass dieser Abschnitt Anwendung findet.
- Hinweis und Transparenz. Der Partner muss klare und leicht einsehbare Datenschutzhinweise einführen und pflegen, die die betroffenen Personen (deren personenbezogene Daten der Partner in Verbindung mit der Vereinbarung verarbeitet) darüber informieren, wie der Partner ihre personenbezogenen Daten verarbeitet. Diese Datenschutzhinweise müssen dem geltenden Recht entsprechen.
- Sicherheitsvorfälle. Der Partner hat den betreffenden Kunden unverzüglich über jeden tatsächlichen oder begründet vermuteten Sicherheitsvorfall zu informieren, der sich auf die im Zusammenhang mit der Vereinbarung verarbeiteten personenbezogenen Daten auswirkt. Außerdem muss der Partner dem Kunden unverzüglich Informationen über die Art des Sicherheitsvorfalls, die betroffenen personenbezogenen Daten und seine Reaktion auf den Sicherheitsvorfall und dessen Entschärfung zukommen lassen.
- Dieser Abschnitt gilt für Partner, wenn eine EWR-, eine UK- oder eine andere Datenübermittlung stattfindet.
- Datenübermittlungen (Auftragsverarbeiter). Dieser Abschnitt gilt, wenn Abschnitt 4 (Bestimmungen für Auftragsverarbeiter) Anwendung findet.
- EWR-Datenübermittlungen. Falls und in dem Umfang, in dem personenbezogene Daten, die vom Partner verarbeitet werden, einer EWR-Datenübermittlung unterliegen, werden die EWR-Standardvertragsklauseln durch Verweis hierin aufgenommen und gelten wie folgt:
- Geltungsbereich. Der Partner fungiert als Datenimporteur und der Kunde als Datenexporteur ;
- Kopplung. Für die Zwecke von Abschnitt I, Klausel 7, gilt die fakultative Kopplungsklausel.
- Module. MODUL 2 (Übermittlung von einem Verantwortlichen an einen Auftragsverarbeiter) findet Anwendung;
- Weisungen. Für die Zwecke von Abschnitt II, Klausel 8.1 (Modul 2) sind die Weisungen an den Datenimporteur Weisungen zur Verarbeitung von personenbezogenen Daten, die für die Durchführung der vom Partner erbrachten Dienste und/oder zur Lieferung der von ihm bereitgestellten Produkte erforderlich sind und die im Einklang mit der Vereinbarung näher bestimmt werden können;
- Unterauftragsverarbeiter. Für die Zwecke von Abschnitt II, Klausel 9 (Modul 2) gilt Option 2 (und die Frist, innerhalb derer der Datenimporteur den Datenexporteur über beabsichtigte Änderungen unterrichten muss, beträgt 30 (dreißig) Tage im Voraus);
- Abhilfe. Für die Zwecke von Abschnitt II, Klausel 11 findet die optionale Bestimmung keine Anwendung;
- Rechtswahl. Für die Zwecke von Abschnitt IV, Klauseln 17 und 18 vereinbaren die Parteien, dass ihre jeweiligen Verpflichtungen im Rahmen der EWR-Standardvertragsklauseln dem Recht der Republik Irland und der Gerichtsbarkeit der irischen Gerichte unterliegen, soweit dies nach dem geltenden Datenschutzrecht zulässig ist.
- Vervollständigung von Anhang I, Teil A. Anhang I, Teil A (Liste der Vertragsparteien) gilt als ergänzt durch: (i) die Angaben zum Kunden (als Datenexporteur); und (ii) die Angaben zum Partner (als Datenimporteur), jeweils wie in der Vereinbarung festgelegt;
- Vervollständigung von Anhang I, Teil B. Anhang I, Teil B (Beschreibung der Datenübermittlung) der EWR-Standardvertragsklauseln gilt hiermit als mit den in der Beschreibung der Datenverarbeitung angegebenen Informationen ausgefüllt;
- Vervollständigung von Anhang I, Teil C. In Bezug auf Anhang I, Teil C (Zuständige Aufsichtsbehörde) der EWR-Standardvertragsklauseln wählen die Parteien die Datenschutzbehörde der Republik Irland, soweit dies nach dem geltenden Datenschutzrecht zulässig ist;
- Vervollständigung von Anhang II. Anhang II der EWR-Standardvertragsklauseln (Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit) gilt hiermit als durch die Bestimmungen zu den Informationssicherheitspflichten ergänzt; und
- Widersprüche zwischen verschiedenen Bedingungen. Im Falle von Widersprüchen oder Konflikten zwischen den EWR-Standardvertragsklauseln und diesem Abschnitt sind die Bestimmungen so auszulegen, dass sie den betroffenen Personen den größtmöglichen Schutz bieten.
- Auslegung von EWR-Standardvertragsklauseln für Länder, die Beschränkungen vorsehen. Wenn und soweit die Offenlegung personenbezogener Daten durch den Kunden gegenüber dem Partner eine andere Datenübermittlung darstellt, werden die EWR-Standardvertragsklauseln hierin durch Verweis aufgenommen und gelten wie oben beschrieben in diesem Absatz von Abschnitt 6 mit folgenden Ausnahmen: (i) Bezugnahmen auf die Begriffe „EU“, „Union“, „EU-Mitgliedstaat“ oder „Mitgliedstaat“ in den EWR-Standardvertragsklauseln beziehen sich stattdessen auf das betreffende Land, das die Beschränkungen vorsieht; (ii) Bezugnahmen auf die Begriffe „Verordnung (EU) 2016/679“ oder „diese Verordnung“ beziehen sich stattdessen auf das Datenschutzrecht des Landes, das die Beschränkungen vorsieht, und Verweise auf einzelne Bestimmungen oder Artikel der DSGVO werden durch die entsprechenden Bestimmungen oder Artikel im Datenschutzrecht des Landes ersetzt, das Beschränkungen vorsieht; (iii) Bezugnahmen auf den Begriff „Aufsichtsbehörde“ beziehen sich auf die Datenschutzbehörde des betreffenden Landes, das die Beschränkungen vorsieht; (iv) Bezugnahmen auf den Begriff „Klauseln“ beziehen sich auf diesen Abschnitt, soweit er die Klauseln einbezieht und ändert.
- UK-Datenübermittlungen. Falls und in dem Umfang, in dem personenbezogene Daten, die vom Partner verarbeitet werden, einer UK-Datenübermittlung unterliegen, wird das UK SCC Addendum durch Verweis hierin aufgenommen und gilt wie folgt:
- Vervollständigung von Tabelle 1. Tabelle I des UK SCC Addendum wird mit den Angaben zum Kunden (als Datenexporteur) und den Angaben zum Partner (als Datenimporteur) wie in der Vereinbarung vorgesehen ausgefüllt. Das „Startdatum“ ist das Startdatum, das Datum des Inkrafttretens oder ein gleichwertiges Datum der Vereinbarung. Der „Hauptansprechpartner“ für den Kunden ist der „Chief Privacy Officer“ (Datenschutzbeauftragte) oder der Beauftragte dieser Person, der per E-Mail an wmprivacy@warnermedia.com erreichbar ist. Der „Hauptansprechpartner“ für den Partner wird dem Kunden von Zeit zu Zeit mitgeteilt. Dabei sind auch die spezifische Stellenbezeichnung und E-Mail-Adresse des Ansprechpartners zu nennen.
- Vervollständigung der Tabellen 2 und 3. Tabelle 2 des UK SCC Addendums wird vervollständigt durch die Auswahl der „Genehmigten EU-Standardvertragsklauseln, einschließlich der Anhangs-Informationen, und mit lediglich den folgenden Modulen, Klauseln oder optionalen Bestimmungen der genehmigten EU-Standardvertragsklauseln, die für die Zwecke dieser Zusatzregelung in Kraft getreten sind“. Für die Zwecke der Tabellen 2 und 3 des UK SCC Addendums werden die „Genehmigten EU-Vertragsklauseln“ wie oben in diesem Absatz von Abschnitt 6 beschrieben ausgefüllt.
- Vervollständigung von Tabelle 4. Tabelle 4 des UK SCC Addendums wird durch die Auswahl von „keine Partei“ vervollständigt.
- Widersprüche zwischen verschiedenen Bedingungen. Im Falle von Widersprüchen oder Konflikten zwischen dem UK SCC Addendum und diesen globalen Datenschutzpflichten hat das UK SCC Addendum Vorrang.
- Datenübermittlungen (Verantwortliche). Dieser Abschnitt gilt, wenn Abschnitt 5 (Bestimmungen für Verantwortliche) Anwendung findet.
- EWR-Datenübermittlungen. Falls und in dem Umfang, in dem personenbezogene Daten, die von dem Partner verarbeitet werden, einer EWR-Datenübermittlung unterliegen, werden die EWR-Standardvertragsklauseln durch Verweis hierin aufgenommen und gelten wie folgt:
- Geltungsbereich. Der Partner fungiert als Datenimporteur und der Kunde als Datenexporteur;
- Kopplung. Für die Zwecke von Abschnitt I, Klausel 7, gilt die fakultative Kopplungsklausel.
- Module. MODUL 1 (Übermittlung von einem Verantwortlichen an einen Verantwortlichen) findet Anwendung;
- Abhilfe. Für die Zwecke von Abschnitt II, Klausel 11 findet die optionale Bestimmung keine Anwendung;
- Rechtswahl. Für die Zwecke von Abschnitt IV, Klauseln 17 und 18 vereinbaren die Parteien, dass ihre jeweiligen Verpflichtungen im Rahmen der EWR-Standardvertragsklauseln dem Recht der Republik Irland und der Gerichtsbarkeit der irischen Gerichte unterliegen, soweit dies nach dem geltenden Datenschutzrecht zulässig ist.
- Vervollständigung von Anhang I, Teil A. Anhang I, Teil A (Liste der Vertragsparteien) gilt als ergänzt durch: (i) die Angaben zum Kunden (als Datenexporteur); und (ii) die Angaben zum Partner (als Datenimporteur), jeweils wie in der Vereinbarung festgelegt;
- Vervollständigung von Anhang I, Teil B. Anhang I, Teil B (Beschreibung der Datenübermittlung) der EWR-Standardvertragsklauseln gilt hiermit als mit den in der Beschreibung der Datenverarbeitung angegebenen Informationen ausgefüllt;
- Vervollständigung von Anhang I, Teil C. In Bezug auf Anhang I, Teil C (Zuständige Aufsichtsbehörde) der EWR-Standardvertragsklauseln wählen die Parteien die Datenschutzbehörde der Republik Irland, soweit dies nach dem geltenden Datenschutzrecht zulässig ist;
- Vervollständigung von Anhang II. Anhang II der EWR-Standardvertragsklauseln (Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit) gilt hiermit als durch die Bestimmungen zu den Informationssicherheitspflichten ergänzt; und
- Widersprüche zwischen verschiedenen Bedingungen. Im Falle von Widersprüchen oder Konflikten zwischen den EWR-Standardvertragsklauseln und diesem Abschnitt sind die Bestimmungen so auszulegen, dass sie den betroffenen Personen den größtmöglichen Schutz bieten.
- Auslegung von EWR-Standardvertragsklauseln für Länder, die Beschränkungen vorsehen. Wenn und soweit die Offenlegung personenbezogener Daten durch den Kunden gegenüber dem Partner eine andere Datenübermittlung darstellt, werden die EWR-Standardvertragsklauseln hierin durch Verweis aufgenommen und gelten wie oben beschrieben in diesem Absatz von Abschnitt 6 mit folgenden Ausnahmen: (i) Bezugnahmen auf die Begriffe „EU“, „Union“, „EU-Mitgliedstaat“ oder „Mitgliedstaat“ in den EWR-Standardvertragsklauseln beziehen sich stattdessen auf das betreffende Land, das die Beschränkungen vorsieht; (ii) Bezugnahmen auf die Begriffe „Verordnung (EU) 2016/679“ oder „diese Verordnung“ beziehen sich stattdessen auf das Datenschutzrecht des Landes, das die Beschränkungen vorsieht, und Verweise auf einzelne Bestimmungen oder Artikel der DSGVO werden durch die entsprechenden Bestimmungen oder Artikel im Datenschutzrecht des Landes ersetzt, das Beschränkungen vorsieht; (iii) Bezugnahmen auf den Begriff „Aufsichtsbehörde“ beziehen sich auf die Datenschutzbehörde des betreffenden Landes, das die Beschränkungen vorsieht; (iv) Bezugnahmen auf den Begriff „Klauseln“ beziehen sich auf diesen Abschnitt, soweit er die Klauseln einbezieht und ändert.
- UK-Datenübermittlungen. Falls und in dem Umfang, in dem personenbezogene Daten, die von dem Partner verarbeitet werden, einer UK-Datenübermittlung unterliegen, wird das UK SCC Addendum durch Verweis hierin aufgenommen und gilt wie folgt:
- Vervollständigung von Tabelle 1. Tabelle I des UK SCC Addendum wird mit den Angaben zum Kunden (als Datenexporteur) und den Angaben zum Partner (als Datenimporteur) wie in der Vereinbarung vorgesehen ausgefüllt. Das „Startdatum“ ist das Startdatum, das Datum des Inkrafttretens oder ein gleichwertiges Datum der Vereinbarung. Der „Hauptansprechpartner“ für den Kunden ist der „Chief Privacy Officer“ (Datenschutzbeauftragte) oder der Beauftragte dieser Person, der per E-Mail an wmprivacy@warnermedia.com erreichbar ist. Der „Hauptansprechpartner“ für den Partner wird dem Kunden von Zeit zu Zeit mitgeteilt. Dabei sind auch die spezifische Stellenbezeichnung und E-Mail-Adresse des Ansprechpartners zu nennen.
- Vervollständigung der Tabellen 2 und 3. Tabelle 2 des UK SCC Addendums wird vervollständigt durch die Auswahl der „Genehmigten EU-Standardvertragsklauseln, einschließlich der Anhangs-Informationen, und mit lediglich den folgenden Modulen, Klauseln oder optionalen Bestimmungen der genehmigten EU-Standardvertragsklauseln, die für die Zwecke dieser Zusatzregelung in Kraft getreten sind“. Für die Zwecke der Tabellen 2 und 3 des UK SCC Addendums werden die „Genehmigten EU-Vertragsklauseln“ wie oben in diesem Absatz von Abschnitt 6 beschrieben ausgefüllt.
- Vervollständigung von Tabelle 4. Tabelle 4 des UK SCC Addendums wird durch die Auswahl von „keine Partei“ vervollständigt.
- Widersprüche zwischen verschiedenen Bedingungen. Im Falle von Widersprüchen oder Konflikten zwischen dem UK SCC Addendum und diesem Abschnitt hat das UK SCC Addendum Vorrang.
- Zusätzliche Bestimmungen für grenzüberschreitende Datenübermittlungen. Dieser Abschnitt gilt, wenn und soweit personenbezogene Daten, die vom Partner verarbeitet werden, einer EWR-Datenübermittlung, einer UK-Datenübermittlung oder einer anderen Datenübermittlung unterliegen.
Ergänzende Maßnahmen
- Die Parteien erkennen das Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 an und vereinbaren, dass zusätzliche Maßnahmen erforderlich sein können, um sicherzustellen, dass personenbezogene Daten, die einer EWR- oder UK-Datenübermittlung unterliegen, ein im Wesentlichen gleichwertiges Schutzniveau wie die Schutzvorkehrungen bieten, die diese Daten bei einer Verarbeitung in ihrem Ursprungsgebiet erhalten (zusätzlich zu den in den EWR-Standardvertragsklauseln enthaltenen Schutzvorkehrungen). Dementsprechend haben die Parteien die in Abschnitt 6.4 (b) bis (g) beschriebenen Maßnahmen als ergänzende Maßnahmen vereinbart, um zur Sicherstellung dieser wesentlichen Gleichwertigkeit beizutragen.
- Wenn der Partner Kenntnis von einer Anfrage oder Forderung einer Strafverfolgungs-, Regulierungs-, Justiz- oder Regierungsbehörde (einer „Behörde“) erhält, in der der Zugriff auf einige oder alle im Zusammenhang mit der Vereinbarung verarbeiteten Daten oder eine Kopie davon verlangt werden, hat der Partner:
- den Kunden unverzüglich über das Ersuchen einer solchen Behörde zu informieren;
- wenn Abschnitt 4 (Bestimmungen für Auftragsverarbeiter) Anwendung findet, die Behörde darüber zu informieren, dass der Partner ein Auftragsverarbeiter personenbezogener Daten ist und der Kunde ihm nicht gestattet hat, diese personenbezogenen Daten der Behörde gegenüber offenzulegen;
- die Behörde darüber zu informieren, dass alle Anfragen oder Forderungen betreffend den Zugang zu diesen personenbezogenen Daten dem Kunden (als Verantwortlichem) schriftlich mitgeteilt oder zugestellt werden müssen; und
- vorbehaltlich Abschnitt 6.4 (c) der Behörde keinen Zugriff auf solche personenbezogenen Daten zu gewähren, wenn und solange der Kunde dies nicht schriftlich genehmigt hat.
- Ungeachtet des Abschnitts 6.4 (b) (iv) darf der Partner nach Erhalt einer Anfrage oder Forderung durch eine solche Behörde personenbezogene Daten auch ohne vorherige schriftliche Genehmigung des Kunden an eine Behörde weitergeben, wenn folgende Voraussetzungen gegeben sind (sofern eine solche Weitergabe nicht gesetzlich verboten ist):
- Der Partner hat den Kunden angemessen im Voraus über eine solche Anfrage oder Forderung informiert, um dem Kunden angemessene Gelegenheit zu geben, Widerspruch einzulegen oder eine Schutzverfügung oder andere geeignete Abhilfe zu erwirken;
- der Partner arbeitet in angemessener Weise mit dem Kunden zusammen, sodass der Kunde Widerspruch einlegen oder eine Schutzverfügung oder andere geeignete Abhilfe beantragen kann, wobei die Kosten und Auslagen des Partners für diese Zusammenarbeit vom Kunden zu tragen sind; und
- der Partner legt in jedem Fall lediglich den Teil der personenbezogenen Daten offen, zu dessen Offenlegung er gesetzlich verpflichtet ist.
- Wenn der Partner personenbezogene Daten gegenüber einer Behörde offenlegt, darf der Partner diese personenbezogenen Daten nur in dem Umfang offenlegen, in dem er gesetzlich dazu verpflichtet ist, und nur unter Einhaltung der geltenden rechtmäßigen Verfahren.
- Der Partner darf personenbezogene Daten nicht wissentlich in einer Massen- oder wahllosen Offenlegung offenlegen, die über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist.
- Der Partner muss eine schriftliche Richtlinie für Anfragen von Behörden zu personenbezogenen Daten einführen, pflegen und einhalten, die mindestens Folgendes verbietet:
- Massen- oder wahllose Offenlegungen personenbezogener Daten in Bezug auf betroffene Personen in Europa; und
- die Offenlegung personenbezogener Daten in Bezug auf betroffene Personen in Europa gegenüber einer Behörde ohne Vorladung, Anordnung, Verfügung, Dekret, Ladung oder andere rechtlich bindende Anordnung, die die Offenlegung derartiger personenbezogener Daten zwingend vorschreibt.
- Der Partner hat im Einklang mit bewährten Branchenpraktiken Maßnahmen zum Schutz personenbezogener Daten vor dem Abfangen einzuführen und zu pflegen. Dies muss auch den Schutz der Daten vor einem Abfangen während der Übermittlung vom Kunden zum Partner und zwischen verschiedenen Systemen und Diensten umfassen. Dazu gehören, dass ein Netzwerkschutz vorhanden ist und gepflegt wird, der Angreifern die Möglichkeit verwehrt, Daten während der Übermittlung abzufangen, sowie die Verschlüsselung von Daten während ihrer Übermittlung, um Angreifern die Möglichkeit zu verwehren, die Daten auszulesen.
Zusätzliche Bestimmungen für die Datenübermittlung
- Der Partner verpflichtet sich, nach Treu und Glauben mit dem Kunden zusammenzuarbeiten, um zusätzliche Dokumente zu unterschreiben und zusätzliche Schutzmaßnahmen einzusetzen oder die Verarbeitung auf bestimmte Gebiete zu beschränken, wenn der Kunde dies für die Durchführung von EWR-, UK- oder anderen Datenübermittlungen (je nach Sachlage) für erforderlich hält.
- Wenn der Partner zu irgendeinem Zeitpunkt personenbezogene Daten verarbeitet, die aus einem Land stammen, das die Übermittlung der personenbezogenen Daten in ein anderes Land einschränkt, da es nicht als geeignet für den Empfang solcher personenbezogenen Daten erachtet wird, hat der Partner auf Anweisung des Kunden:
- alle erforderlichen Maßnahmen zu ergreifen und Vereinbarungen abzuschließen, die nach dem geltenden Datenschutzrecht in dem betreffenden Land erforderlich sind, um eine Verarbeitung zu legitimieren; und
- ein angemessenes Schutzniveau für personenbezogene Daten des Kunden sicherzustellen.
- Für den Fall, dass eine zuständige Datenschutzbehörde einen Datenübertragungsmechanismus, auf den sich die Parteien stützen, als ungültig erachtet oder eine zuständige Datenschutzbehörde oder ein maßgebliches Gesetz verlangen, dass die Übermittlung von personenbezogenen Daten ausgesetzt oder auf bestimmte Rechtssysteme beschränkt wird, kann der Kunde nach eigenem Ermessen verlangen, dass der Partner die Verarbeitung von personenbezogenen Daten einstellt. Der Partner hat mit dem Kunden in gutem Glauben zusammenzuarbeiten, um die Nutzung eines alternativen Datenübertragungsmechanismus zu erleichtern, zusätzliche Schriftstücke zu unterzeichnen, zusätzliche Schutzvorkehrungen einzusetzen oder die Verarbeitung auf bestimmte Rechtssysteme zu beschränken.
- Dieser Abschnitt gilt für alle Partner.
- Zusätzlich zu den in der Vereinbarung festgelegten Haftungsfreistellungsverpflichtungen des Partners muss der Partner den Kunden in Bezug auf alle Ansprüche, Klagen, Kosten, Verbindlichkeiten, Verluste, Schäden und Auslagen (einschließlich Anwaltskosten) schad- und klaglos stellen, die dem Kunden aus oder in Verbindung mit Folgendem entstehen: (i) einem Sicherheitsvorfall; oder (ii) einem Verstoß gegen diesen Zusatz durch den Partner oder seine verbundenen Unternehmen, Unterauftragsverarbeiter (einschließlich der Unterauftragsverarbeiter, die von verbundenen Unternehmen des Partners beauftragt wurden) und Bevollmächtigten. Dies umfasst, ohne darauf beschränkt zu sein, einen Anspruch oder eine Handlung einer Datenschutzbehörde oder einer betroffenen Person.
ZURÜCK