Dieser Zusatz zur Datenverarbeitung ("DPA") ist Teil des Master Subscription Agreement (der "Vertrag") zwischen dem Kunden und brainboost.
1.1 Gegenstand. Diese DPA regelt die Bereitstellung der personenbezogenen Daten des Kunden durch den Kunden und die Verarbeitung der personenbezogenen Daten des Kunden durch brainboost im Rahmen der Vereinbarung. Alle in Großbuchstaben geschriebenen Begriffe, die in dieser DPA nicht ausdrücklich definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung gegeben wird. Wenn und soweit Formulierungen in dieser DPA oder einer ihrer Anlagen im Widerspruch zur Vereinbarung stehen, hat diese DPA Vorrang.
1.2 Dauer und Fortbestand. Diese DPA wird mit dem Datum des Inkrafttretens der Vereinbarung verbindlich und gilt bis zum Ablauf oder der Beendigung der Vereinbarung oder bis zur Rückgabe oder Löschung der personenbezogenen Daten des Kunden gemäß Abschnitt 8.1, je nachdem, was später eintritt.
Für die Zwecke dieser Datenschutzrichtlinie gelten die folgenden Begriffe und die im Hauptteil dieser Datenschutzrichtlinie definierten Begriffe.
"Verantwortlicher" bezeichnet die Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
"Personenbezogene Kundendaten" bezeichnet Kundendaten, die nach geltendem Datenschutzrecht "personenbezogene Daten" oder "persönliche Informationen" sind.
"Datenschutzgesetz(e)" bezeichnet alle weltweiten Datenschutzgesetze und -vorschriften, die auf personenbezogene Kundendaten anwendbar sind, einschließlich, falls zutreffend, des EU/UK-Datenschutzgesetzes in seiner jeweils gültigen Fassung. Zur Vermeidung von Zweifeln sei darauf hingewiesen, dass, wenn brainboosts Verarbeitungstätigkeiten in Bezug auf die personenbezogenen Daten des Kunden nicht in den Anwendungsbereich eines Datenschutzgesetzes fallen, dieses Gesetz für die Zwecke dieser Vereinbarung nicht anwendbar ist.
"EEA" bezeichnet den Europäischen Wirtschaftsraum.
"EU/UK-Datenschutzgesetz" bedeutet: (i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung) (die "EU-DSGVO"); (ii) die GDPR in der Fassung, die durch Abschnitt 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs und des UK Data Protection Act 2018 (zusammen die "UK GDPR") in das Recht des Vereinigten Königreichs übernommen wurde; (iii) die EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG); und (iv) alle anwendbaren nationalen Datenschutzgesetze, die im Rahmen, gemäß oder nach der
"Eingeschränkte Übermittlung" bedeutet: (i) wenn die EU-DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das nicht Gegenstand einer Angemessenheitsbestimmung der Europäischen Kommission ist; und (ii) wenn die UK-DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht auf der Grundlage von Angemessenheitsbestimmungen gemäß Abschnitt 17A des United Kingdom Data Protection Act 2018 unterliegt, unabhängig davon, ob eine solche Übermittlung direkt oder über eine Weiterübermittlung erfolgt.
"SCCs" bedeutet: (i) wenn die EU-DSGVO Anwendung findet, die Vertragsklauseln im Anhang des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ("EU SCCs"); und (ii) wenn die UK GDPR Anwendung findet, Standarddatenschutzklauseln für Auftragsverarbeiter, die gemäß Artikel 46 Absatz 2 Buchstabe c oder d der UK GDPR angenommen wurden ("UK SCCs").
"Sicherheitsvorfall(e)" bezeichnet jede unbefugte oder rechtswidrige Verletzung der Sicherheit, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf Kundendaten, die im Rahmen oder in Verbindung mit dem Vertrag verarbeitet werden, einschließlich, aber nicht beschränkt auf personenbezogene Kundendaten, geführt hat oder von der vernünftigerweise angenommen wird, dass sie dazu geführt hat.
"Unterauftragsverarbeiter" bezeichnet einen Dritten, der von brainboost mit der Verarbeitung von personenbezogenen Daten des Kunden im Rahmen
3.1 Dokumentierte Anweisungen. Die Parteien erkennen an und sind sich einig, dass der Kunde der Verantwortliche für die personenbezogenen Daten des Kunden ist und brainboost der Verarbeiter dieser personenbezogenen Daten des Kunden ist. brainboost verarbeitet die personenbezogenen Daten des Kunden als Dienstleister ausschließlich für den/die zwischen den Parteien vereinbarten Geschäftszweck(e) und wie in der Vereinbarung, dieser DPA und den ausdrücklich schriftlich vereinbarten Anweisungen der Parteien vorgesehen (zusammen der "Geschäftszweck"). brainboost kann dem Kunden die Möglichkeit geben, personenbezogene Daten des Kunden zu Forschungszwecken freiwillig zu übermitteln. Der Kunde wird brainboost nicht anweisen, personenbezogene Daten des Kunden unter Verstoß gegen geltendes Recht (einschließlich Datenschutzgesetze) zu verarbeiten. brainboost ist nicht verpflichtet, die Einhaltung des geltenden Rechts (einschließlich Datenschutzgesetze) bei der Nutzung der Services durch den Kunden zu überwachen. brainboost wird jedoch, sofern dies nicht gesetzlich untersagt ist, (i) den Kunden schriftlich informieren, wenn brainboost vernünftigerweise davon ausgeht, dass ein Konflikt zwischen den Anweisungen des Kunden und dem anwendbaren Recht (einschließlich Datenschutzgesetzen) besteht, oder anderweitig versucht, die personenbezogenen Daten des Kunden in einer Weise zu verarbeiten, die mit den Anweisungen des Kunden unvereinbar ist, und (ii) in einem solchen Fall jegliche Verarbeitung der betroffenen personenbezogenen Daten des Kunden einstellen (mit Ausnahme der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Daten des Kunden), bis der Kunde neue Anweisungen erteilt, die brainboost einhalten kann. Wird diese Bestimmung geltend gemacht, haftet brainboost dem Kunden gegenüber nicht für die Nichterbringung der Leistung, bis sich die Parteien auf neue Anweisungen einigen.
3.2 Zertifizierung von Dienstleistern. brainboost wird nicht: (a) die personenbezogenen Daten des Kunden verkaufen; (b) die personenbezogenen Daten des Kunden für andere Zwecke als für den Geschäftszweck aufbewahren, nutzen oder offenlegen, einschließlich der Aufbewahrung, Nutzung oder Offenlegung der personenbezogenen Daten für einen anderen kommerziellen Zweck als die Erbringung seiner Dienstleistungen im Rahmen des Vertrags; (c) die personenbezogenen Daten des Kunden außerhalb der direkten Geschäftsbeziehungen zwischen dem Kunden und brainboost aufbewahren, nutzen oder offenlegen.
3.3 Ermächtigung zum Einsatz von Unterauftragsverarbeitern. Soweit es zur Erfüllung der vertraglichen Pflichten von brainboost erforderlich ist, ermächtigt der Kunde brainboost hiermit, Unterauftragsverarbeiter zu beauftragen. Eine aktuelle Liste der brainboost Unterauftragsverarbeiter kann in den brainboost Sicherheitsstandards eingesehen werden. Der Kunde erkennt an und stimmt zu, dass brainboosts Einsatz solcher Unterauftragsverarbeiter die Anforderungen dieser DPA erfüllt.