Nachtrag zum Datenverarbeitungsvertrag

Letzte Aktualisierung: 21. März 2023

Dieser Nachtrag zum Datenverarbeitungsvertrag ("DPA") zwischen Ihnen, dem Nutzer, sowie einer von Ihnen vertretenen Firma oder sonstigen Geschäftseinheit (zusammenfassend der „Kunde“) und der VistaPrint Vertragspartei (zusammenfassend „VistaPrint“) wird durch Verweis in den Vertrag aufgenommen, ergänzt die Bestimmungen zur Nutzung der verschiedenen VistaPrint Dienstleistungen in ihrer jeweils gültigen Fassung (zusammenfassend der „Vertrag“) und ist Bestandteil dieser Bestimmungen. Dieser DPA tritt in Kraft, wenn und soweit VistaPrint (je nach Sachlage) als Auftragsverarbeiter oder Anbieter von Dienstleistungen personenbezogener Daten im Auftrag des Kunden im Rahmen dieses Vertrages handelt. Dieser DPA tritt zum Datum des Inkrafttretens des Vertrags in Kraft und ersetzt alle zuvor geltenden Bestimmungen in Bezug auf ihren Gegenstand und bleibt bis zur Kündigung des Vertrags in Kraft.

1. DEFINITIONEN

"Angemessenes Land" bezeichnet, soweit anwendbar, (i) bei Anwendbarkeit der EU-DSGVO den Europäischen Wirtschaftsraum ("EWR") oder ein Land oder Gebiet, das nach Auffassung der Europäischen Kommission ein angemessenes Schutzniveau gewährleistet; (ii) bei Anwendbarkeit der GDPR des Vereinigten Königreichs das Vereinigte Königreich oder ein Land oder Gebiet, das gemäß § 17A des UK Data Protection Act 2018 in seiner geänderten oder ersetzten Fassung einen angemessenen Datenschutz gewährleistet, und (iii) sofern das Schweizer DSG in seiner geänderten oder ersetzten Fassung Anwendung findet, die Schweiz oder ein Land oder Gebiet außerhalb der Schweiz, das als Land oder Gebiet mit angemessenem Schutzniveau durch den Eidgenössischen Datenschutz- und Informationsbeauftragten anerkannt worden ist.

"Geschäftszweck" bezeichnet den in Anhang I bezeichneten Zweck, zu dem VistaPrint personenbezogene Daten erhält oder auf diese zugreift.

"Datenschutzgesetze“ bezeichnet alle anwendbaren Datenschutzgesetze und -vorschriften, die auf eine Partei anwendbar sind, einschließlich, aber nicht beschränkt auf die EU-Datenschutzgesetze und die US-Datenschutzgesetze sowie alle sonstigen staatlichen oder nationalen Datenschutz-, Privatsphäre- oder Datensicherheitsgesetze, die auf den Umfang der Dienstleistungen anwendbar sind, und zwar jeweils in der aktuellen Fassung.

"Personenbezogene Daten von Endnutzern“ bezeichnet personenbezogene Daten von Besuchern und Nutzern der Dienstleistungen des Kunden, die von VistaPrint im Auftrag des Kunden für die Erbringung der Dienstleistungen verarbeitet werden.

"EU-Datenschutzgesetze“ bezeichnet (i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die die Richtlinie 95/46/EG aufhebt (Allgemeine Datenschutz-Grundverordnung oder „EU-DSGVO“), (ii) die DSGVO, wie sie gemäß § 3 des European Union (Withdrawal) Act 2018 in das innerstaatliche Recht des Vereinigten Königreichs übernommen wurde (die „UK-DSGVO“), (iii) das Schweizerische Bundesgesetz über den Datenschutz vom 19. Juni 1992 und die dazugehörigen Verordnungen („DSG“), (iv) die EU-Richtlinie 2002/58/EG über den Schutz der Privatsphäre und elektronische Kommunikation, und (v) alle Gesetze der EU-Mitgliedstaaten oder des Vereinigten Königreichs, die gemäß den Punkten (i) - (iii) erlassen wurden, jeweils in der jeweils aktuellen Fassung.

Die Begriffe "personenbezogene Daten“, "betroffene Person“, "Verarbeitung“ oder "Verarbeiten“, "Verantwortlicher“ und "Auftragsverarbeiter“ haben die in den geltenden Datenschutzgesetzen oder, falls dort nicht definiert, in der DSGVO festgelegte Bedeutung, und die Begriffe "Unternehmen“ und "Anbieter“ haben die ihnen im CCPA zugewiesene Bedeutung.

"Dienstleistungen“ bezeichnet die verschiedenen Dienstleistungen, die VistaPrint dem Kunden auf seiner Webseite zur Verfügung stellt, wenn und soweit VistaPrint (je nach Sachlage) als Auftragsverarbeiter oder Dienstleister im Namen des Kunden gemäß dem entsprechenden Vertrag handelt, einschließlich, aber nicht beschränkt auf den ProAdvantage Programmvertrag und die ProShop Nutzungsbedingungen.

"Standardvertragsklauseln“ oder "SCC“ bezeichnet (i) in Fällen, in denen die EU-DSGVO und/oder das Schweizer DSG Anwendung finden, die Standardvertragsklauseln der EU, wie sie durch den Beschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden („EU SCC“), und (ii) wenn die UK-DSGVO Anwendung findet, die EU SCC in der Fassung des Addendums für den internationalen Datentransfer zu den Standardvertragsklauseln der EU-Kommission, das vom UK Information Commissioner's Office herausgegeben wurde („UK Addendum“), jeweils in der aktuellen Fassung. Die EU SCC und das UK Addendum werden durch Verweis einbezogen und sind integraler Bestandteil dieses DPA.

"Unterauftragsverarbeiter“ bezeichnet jedes von VistaPrint, einschließlich seiner nahe stehenden Unternehmen, zur Erfüllung seiner Verpflichtungen gemäß dem Vertrag oder dieser DPA hinzugezogene Unternehmen.

"Bewertung des Übermittlungsrisikos“ bezeichnet die zusätzlichen Garantien zur Ergänzung der in den SCC und im UK Addendum vorgesehenen Garantien.

"US-Datenschutzgesetze“ bezeichnet alle anwendbaren Gesetze und Verordnungen einer Gerichtsbarkeit in den Vereinigten Staaten, die sich auf den Schutz der Privatsphäre, den Datenschutz oder die Datensicherheit beziehen (jeweils in der aktuellen Fassung), einschließlich, aber nicht beschränkt auf den California Consumer Privacy Act in der durch den California Privacy Rights Act geänderten Fassung, in Verbindung mit den auf dieser Grundlage erlassenen Verordnungen (zusammen als "CCPA“ bezeichnet), den Virginia Consumer Data Protection Act, den Colorado Privacy Rights Act, den Connecticut Data Privacy Act und den Utah Consumer Privacy Act.

Sonstige großgeschriebene Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, haben die in diesem Vertrag angegebene Bedeutung.

2. AUFGABEN UND UMFANG DER VERARBEITUNG

2.1. Aufgaben der Parteien. Die Parteien vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten des Endnutzers im Rahmen dieses DPA der Kunde (je nach Sachlage) als Verantwortlicher oder Unternehmen und VistaPrint (je nach Sachlage) als Datenverarbeiter oder Dienstleister handelt.

Der Kunde nimmt zur Kenntnis, dass VistaPrint als unabhängiger Verantwortlicher in Bezug auf personenbezogene Daten handelt, die VistaPrint unmittelbar von Kunden oder Besuchern über seine verbraucherorientierten Anwendungen und Dienstleistungen erhebt.

2.2. Umfang der Verarbeitung. Jede Partei ist verpflichtet, alle anwendbaren Datenschutzgesetze und ihre jeweiligen Verpflichtungen aus dem Vertrag und diesem DPA in Bezug auf die Verarbeitung der personenbezogenen Daten des Endnutzers, wie in Anhang I erläutert, einzuhalten. Unbeschadet des Vorstehenden verpflichtet sich VistaPrint, dasselbe Maß an Datenschutz zu gewährleisten, das das CCPA von Unternehmen (gemäß der Definition in CCPA) verlangt.

3. VERPFLICHTUNGEN DER PARTEIEN

3.1. Verpflichtungen des Kunden. Mit der Nutzung der von VistaPrint erbrachten Dienstleistungen gilt folgendes:

(i) Der Kunde gewährleistet und sichert zu, dass er die betroffenen Personen benachrichtigt und dass er alle Rechtsgrundlagen geschaffen und alle Einwilligungen eingeholt hat, die gemäß den geltenden Datenschutzgesetzen erforderlich sind, damit VistaPrint und seine Unterauftragsverarbeiter die personenbezogenen Daten der Endnutzer in seinem Namen verarbeiten und die Dienstleistungen gemäß diesem Vertrag, einschließlich diesem DPA, erbringen können.

(ii) Für die Richtigkeit und Qualität der zur Verfügung gestellten personenbezogenen Daten der Nutzer sowie für die Rechtmäßigkeit der Mittel, mit denen der Kunde die personenbezogenen Daten der Nutzer erwirbt, offenlegt und verarbeitet, ist ausschließlich der Kunde verantwortlich. Für die Einhaltung der geltenden Datenschutzgesetze im Hinblick auf die eigenständige Erhebung und Verarbeitung personenbezogener Daten, die nicht im Zusammenhang mit den Dienstleistungen stehen, haftet ausschließlich der Kunde selbst.

(iii) Der Kunde weist VistaPrint an, die personenbezogenen Daten der Nutzer gemäß diesem DPA in seinem Namen zu verarbeiten und stellt sicher, dass seine Anweisungen mit den geltenden Datenschutzgesetzen übereinstimmen. Dieser DPA und der Vertrag sind die vollständigen und endgültigen Anweisungen des Kunden an VistaPrint. Zusätzliche Anweisungen, die über den Umfang des Vertrages oder diesem DPA hinausgehen, müssen gesondert schriftlich vereinbart werden, einschließlich etwaiger zusätzlicher Gebühren, die vom Kunden an VistaPrint für die Ausführung dieser zusätzlichen Anweisungen zahlbar sind.

3.2. Verpflichtungen von VistaPrint. VistaPrint wird in Bezug auf die Verarbeitung der personenbezogenen Daten der Nutzer

(i) die personenbezogenen Daten der Nutzer nur für den Geschäftszweck und in Übereinstimmung mit den Anweisungen des Kunden verarbeiten, soweit die Anweisungen mit dem Vertrag und dieser DPA vereinbar sind;

(ii) die personenbezogenen Daten der Nutzer als vertrauliche Informationen behandeln und sie nur in dem Umfang und auf die Art und Weise verarbeiten, wie es für die Erfüllung der Verpflichtungen aus dem Vertrag und für die in Anhang I unten genannten Zwecke erforderlich ist. VistaPrint darf personenbezogene Daten von Endnutzern nicht für sonstige Zwecke verarbeiten, es sei denn, VistaPrint ist gesetzlich dazu verpflichtet. In einem solchen Fall wird VistaPrint den Kunden vor der Verarbeitung schriftlich über diese gesetzliche Bestimmung informieren, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses;

(iii) den Kunden bei der Einhaltung seiner Verpflichtungen nach den geltenden Datenschutzgesetzen unterstützen, was unter anderem die Durchführung einer erforderlichen Beurteilung der Auswirkungen auf die Privatsphäre oder die vorherige Konsultation der zuständigen Datenschutzbehörden auf angemessenes Verlangen des Kunden einschließen kann;

(iv) den Kunden informieren, wenn VistaPrint der Ansicht ist, dass die Verarbeitungsanweisungen des Kunden geltende Datenschutzgesetze verletzen. In einem solchen Fall behält sich VistaPrint das Recht vor, die Verarbeitung personenbezogener Daten des Endnutzers einzustellen, bis der Kunde neue Anweisungen erteilt; während eines solchen Zeitraums haftet VistaPrint dem Kunden nicht für die Nichterbringung der Dienstleistungen aus diesem Vertrag;

(v) sicherstellen, dass die Beschäftigten und Unterauftragsverarbeiter von VistaPrint, die Zugang zu personenbezogenen Daten von Nutzern haben, einer angemessenen Geheimhaltungspflicht unterliegen;

(vi) den Kunden informieren, wenn festgestellt wird, dass VistaPrint seinen Verpflichtungen aus diesem DPA oder den Datenschutzgesetzen nicht mehr nachkommen kann;

(vii) den Kunden unverzüglich über alle Anfragen von betroffenen Personen oder Vollzugsbehörden in Bezug auf die Verarbeitung personenbezogener Daten von Endnutzern informieren, damit der Kunde auf solche Anfragen reagieren kann, und

(viii) unverzüglich die Zusammenarbeit und Unterstützung leisten, die der Kunde vernünftigerweise benötigt, um seine Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf Anfragen der betroffenen Person oder auf Anfragen der zuständigen staatlichen Regulierungs- oder Aufsichtsbehörde zu erfüllen.

Soweit die geltenden Datenschutzgesetze zulassen, kann VistaPrint aggregierte und anonymisierte Daten, die aus den persönlichen Daten der Nutzer abgeleitet wurden ("anonymisierte Daten"), intern verwenden, um die Qualität der Dienstleistungen zu verbessern, wobei jedoch solche anonymisierten Daten keine personenbezogenen Daten im Sinne der geltenden Datenschutzgesetze darstellen.

3.3. Unzulässige Verarbeitungsaktivitäten durch VistaPrint. VistaPrint wird Folgendes unterlassen:

(i) die personenbezogenen Daten der Endnutzer zu verkaufen oder zu veräußern (wie im CCPA definiert) oder die personenbezogenen Daten der Endnutzer für kommerzielle Zwecke (wie im CCPA definiert) oder außerhalb der unmittelbaren Geschäftsbeziehung mit dem Kunden und ohne vorherige schriftliche Genehmigung des Kunden aufzubewahren, zu nutzen oder offenzulegen, und

(ii) die personenbezogenen Daten des Endnutzers mit seinen eigenen Daten oder den Daten anderer Parteien zu vermischen oder zu verknüpfen, es sei denn, dies ist zur Erbringung der Dienstleistungen unbedingt erforderlich.
VistaPrint bestätigt, dass es die in dieser DPA dargelegten Beschränkungen der Nutzung personenbezogener Daten von Endnutzern in Verbindung mit den Dienstleistungen verstanden hat und einhalten wird.

4. RECHTE DER BETROFFENEN PERSON

Soweit VistaPrint in der Lage ist, und in Übereinstimmung mit dem anwendbaren Recht, wird VistaPrint unter Berücksichtigung der Art der Verarbeitung angemessene Unterstützung leisten, damit der Kunde auf alle Anfragen von betroffenen Personen auf Ausübung ihrer Rechte nach dem anwendbaren Datenschutzgesetz reagieren kann. Sämtliche Kosten, die VistaPrint im Zusammenhang mit der Hilfeleistung entstehen, gehen zu Lasten des Kunden. Sollte eine solche Anfrage unmittelbar an VistaPrint gerichtet werden, wird VistaPrint den Kunden darüber informieren, sofern dies VistaPrint nicht gesetzlich untersagt ist, und es obliegt allein dem Kunden, auf eine solche Anfrage zu reagieren. VistaPrint übernimmt keine Verantwortung für Informationen, die dem Kunden in gutem Glauben unter Berufung auf diesen Abschnitt zur Verfügung gestellt wurden.

5. UNTERAUFTRAGSVERARBEITER

5.1. Allgemeine Vollmacht. Der Kunde ermächtigt VistaPrint hiermit allgemein, Unterauftragsverarbeiter (einschließlich der verbundenen Unternehmen) mit der Verarbeitung personenbezogener Daten von Endnutzern zu beauftragen, um die Dienstleistungen zu erbringen und seine Verpflichtungen aus diesem Vertrag und dieser DPA zu erfüllen. VistaPrint wird dem Kunden, vorbehaltlich der Vertraulichkeitsbestimmungen des Vertrages und auf vorherige Anfrage des Kunden, eine Liste der von ihm eingebundenen Auftragsverarbeiter zur Verfügung stellen.

5.2. Verantwortlichkeiten. VistaPrint wird seinen Unterauftragsverarbeitern im Wesentlichen dieselben vertraglichen Verpflichtungen auferlegen, die VistaPrint gemäß diesem DPA auferlegt sind, soweit dies auf die Art der von dem jeweiligen Unterauftragsverarbeiter erbrachten Dienstleistungen zutrifft.

5.3. Widerspruchsrecht in Bezug auf neue Unterauftragsverarbeiter. Bei der Einbindung neuer Unterauftragsverarbeiter wird VistaPrint den Kunden so schnell wie möglich darüber informieren, wenn und soweit eine solche Einbindung im Zusammenhang mit der Erbringung der entsprechenden Dienstleistungen steht.

5.3.1. Der Kunde kann der Ernennung oder dem Austausch eines Unterauftragsverarbeiters durch VistaPrint innerhalb einer Frist von zehn (10) Werktagen nach Erhalt der Mitteilung schriftlich widersprechen, wobei er sich auf angemessene Gründe in Bezug auf anwendbare Datenschutzgesetze berufen kann. In einem solchen Fall kann VistaPrint nach eigenem Ermessen wirtschaftlich vertretbare Anstrengungen unternehmen (ist aber nicht dazu verpflichtet), um Ihnen eine alternative Lösung zur Verfügung zu stellen, um die Verarbeitung der personenbezogenen Daten der Endkunden durch den neuen oder ersetzten Unterauftragsverarbeiter zu vermeiden. Bis VistaPrint eine Entscheidung bezüglich des Widerspruchs des Kunden getroffen hat, kann VistaPrint verpflichtet sein, die Verarbeitung der persönlichen Daten des Endkunden vorübergehend auszusetzen, einschließlich, falls dies erforderlich ist, den Zugang zum Kundenkonto auszusetzen oder zu beschränken oder bestimmte Funktionen der dem Kunden angebotenen Dienstleistungen auszusetzen oder zu beschränken. Sollte VistaPrint nach vernünftigem Ermessen in der Lage sein, die Dienstleistungen für den Kunden in Übereinstimmung mit der Vereinbarung ohne den Unterauftragsverarbeiter zu erbringen und sich nach eigenem Ermessen dafür entscheiden, so hat der Kunde keine weiteren Rechte gemäß diesem Abschnitt in Bezug auf die vorgeschlagene Nutzung des Unterauftragsverarbeiters.

5.3.2. Sollte VistaPrint nach eigenem Ermessen den Einsatz des Unterauftragsverarbeiters verlangen und nicht in der Lage sein, den Einwand des Kunden bezüglich des vorgeschlagenen Einsatzes des neuen oder ersetzenden Unterauftragsverarbeiters innerhalb von dreißig (30) Tagen nach Erhalt Ihres begründeten Einwandes zu erfüllen, kann der Kunde die entsprechende Vereinbarung mit Wirkung zum Datum, an dem VistaPrint den Einsatz des neuen oder ersetzenden Unterauftragsverarbeiters beginnt, ausschließlich in Bezug auf die Dienstleistungen, die den vorgeschlagenen neuen Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten nutzen, durch schriftliche Mitteilung an VistaPrint kündigen. Eine solche Kündigung erfolgt unbeschadet aller Gebühren, die dem Kunden vor der Kündigung der betroffenen Dienstleistungen entstanden sind und der Kunde hat keine weiteren Ansprüche gegen VistaPrint im Zusammenhang mit der Kündigung der betroffenen Dienstleistungen.

5.3.3. Widerspricht der Kunde der Ernennung eines neuen Unterauftragsverarbeiters durch VistaPrint nicht schriftlich innerhalb von zehn (10) Werktagen nach Erhalt der Mitteilung, so gilt dies als Zustimmung des Kunden zu diesem neuen Unterauftragsverarbeiter.

5.4. Haftung. VistaPrint haftet für jegliche Verstöße gegen diese Datenschutzbestimmungen, die durch Handlungen oder Unterlassungen seiner Unterauftragsverarbeiter verursacht werden, in demselben Maße wie VistaPrint für seine eigenen Verstöße haftet, sofern in der Vereinbarung nichts anderes festgelegt ist.

6. INTERNATIONALE DATENÜBERMITTLUNGEN

6.1. Allgemeines. Im Rahmen der Erbringung der Dienstleistungen ermächtigt der Kunde VistaPrint, seine verbundenen Unternehmen und seine Unterauftragsverarbeiter, personenbezogene Daten des Endnutzers zu speichern, zu verarbeiten und an jeden Ort auf der Welt zu übermitteln, an dem VistaPrint, seine verbundenen Unternehmen oder Unterauftragsverarbeiter Datenverarbeitungsprozesse unterhalten. Wenn personenbezogene Daten aus der EU, dem Vereinigten Königreich oder der Schweiz in Länder außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz übermittelt werden, wird VistaPrint die Verarbeitung personenbezogener Daten aus der EU, dem Vereinigten Königreich oder der Schweiz außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz nur zulassen oder verarbeiten, wenn eine der folgenden Bedingungen erfüllt ist:

a) die personenbezogenen Daten der Nutzer aus der EU, dem Vereinigten Königreich oder der Schweiz werden in ein angemessenes Land übermittelt; oder

b) zwischen VistaPrint und dem Kunden bzw. zwischen VistaPrint und dem Unterauftragsverarbeiter liegen die Standardvertragsklauseln und die Bewertung des Übermittlungsrisikos vor.

6.2. Übermittlung personenbezogener Daten in der EU. Soweit personenbezogene Daten aus einem EWR-Land, für welches die DSGVO den internationalen Charakter der Übermittlung regelt, übermittelt werden, sind die EU SCC Teil dieses und werden folgendermaßen als vollständig betrachtet:

(i) Die Bestimmungen von Modul zwei (Verantwortlicher zu Auftragsverarbeiter) finden Anwendung, wenn der Kunde ein Verantwortlicher und Datenexporteur von personenbezogenen Daten und VistaPrint ein Auftragsverarbeiter und Datenimporteur in Bezug auf diese personenbezogenen Daten ist.

(ii) Die Bestimmungen von Modul drei (Auftragsverarbeiter) finden Anwendung, wenn VistaPrint ein Auftragsverarbeiter ist, der im Namen eines Verantwortlichen handelt und personenbezogene Daten exportiert, und der Unterauftragsverarbeiter ein Auftragsverarbeiter und Datenimporteur in Bezug auf diese personenbezogenen Daten ist.

(iii) Klausel 7 (a)-(c) findet Anwendung;

(iv) Klausel 9, Option 2 findet Anwendung, wobei die Frist für die Vorabmitteilung von Änderungen des Auftragsverarbeiters sich nach dem in den Bestimmungen dieses DPA für Auftragsverarbeiter festgelegten Verfahren für die Mitteilung richtet.

(v) Klausel 11 findet keine Anwendung;

(vi) Klausel 17, Option 1 findet Anwendung, wobei für die EU SCC das in diesem Vertrag angegebene Recht gilt, sofern es sich um das Recht eines EU-Mitgliedstaates handelt, das die Rechte Dritter anerkennt; andernfalls gilt das Recht der Niederlande;

(vii) Gemäß Klausel 18 (b) sind für Streitigkeiten die in diesem Vertrag genannten Gerichte zuständig, sofern diese Gerichte ihren Sitz in einem EU-Mitgliedstaat haben; andernfalls sind die Gerichte in den Niederlanden zuständig. In jedem Fall sind Klausel 17 und Klausel 18 (b) dahingehend übereinstimmend, dass der Gerichtsstand und die Zuständigkeit nach dem Land des anwendbaren Rechts zu wählen sind;

(viii) Die Anhänge der EU SCC werden um die in Anhang I, Anhang II und Anhang III dieses DPA aufgeführten relevanten Informationen ergänzt, und

(ix) Wenn und soweit die EU SCC mit einer Bestimmung dieser DPA in Widerspruch stehen, gehen die EU SCC im Rahmen eines solchen Widerspruchs vor.

6.3. Übermittlung personenbezogener Daten in der UK. Soweit personenbezogene Daten aus dem Vereinigten Königreich übermittelt werden, für die die UK DSGVO den internationalen Charakter der Übermittlung regelt, gelten die in § 6.2 genannten EU SCC zusammen mit dem UK Addendum und werden wie folgt als vollständig betrachtet:

(i) Die Tabellen 1 bis 3 in Teil 1 des UK Addendums gelten als vollständig, wenn die in den Anhängen dieser DPA enthaltenen Informationen verwendet werden;

(ii) Tabelle 4 in Teil 2 des UK Addendums gilt als vollständig, wenn „Importeur“ ausgewählt wird, und

(iii) Etwaige Widersprüche zwischen den EU SCC und dem UK Addendum werden gemäß § 10 und § 11 des UK Addendums geregelt.

6.4. Übermittlung personenbezogener Daten in der Schweiz. Soweit personenbezogene Daten aus der Schweiz in einer Weise übermittelt werden, die Verpflichtungen nach dem Bundesgesetz über den Datenschutz in der Schweiz („DSG“) auslösen würde, gelten die EU SCC für solche Übermittlungen und gelten als so modifiziert, dass sie einschlägige Verweise und Definitionen enthalten, die die EU SCC zu einem angemessenen Instrument für solche Übermittlungen nach dem DSG werden lassen, wie unter anderem folgende Punkte:

(i) Die zuständige Aufsichtsbehörde in Anhang I.C der EU SCC unter Klausel 13 ist der Eidgenössische Datenschutz- und Informationsbeauftragte der Schweiz;

(ii) Das anwendbare Recht für vertragliche Ansprüche nach Klausel 17 der EU SCC ist das Schweizer Recht oder das Recht eines Landes, das Rechte als Drittbegünstigter zulässt und gewährt;

(iii) Der in den EU SCC verwendete Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass er betroffenen Personen in der Schweiz die Möglichkeit nimmt, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäß Klausel 18 Buchstabe c) einzuklagen, und

(iv) Die EU SCC schützen auch die Daten von juristischen Personen bis zum Inkrafttreten des überarbeiteten DSG.

6.5. Zusätzliche Sicherheitsmaßnahmen. Soweit VistaPrint personenbezogene Daten von betroffenen Personen verarbeitet, die im EWR, im Vereinigten Königreich oder in der Schweiz ansässig sind oder den dort geltenden Datenschutzgesetzen unterliegen, hat VistaPrint eine Reihe zusätzlicher Sicherheitsmaßnahmen bezüglich der Übertragung dieser personenbezogenen Daten aus diesen Ländern getroffen. VistaPrint hat eine Beurteilung des Übermittlungsrisikos vorgenommen, die dem Kunden auf an die E-Mail-Adresse [email protected] gerichtete schriftliche Anfrage zur Verfügung gestellt wird.

7. DATENSICHERHEIT UND MITTEILUNG VON DATENSCHUTZVERLETZUNGEN

7.1. Sicherheitsmaßnahmen. VistaPrint hat angemessene technische und organisatorische Sicherheitsmaßnahmen eingeführt und wird diese aufrecht erhalten, um personenbezogene Daten von Endnutzern vor unbefugter oder unrechtmäßiger Verarbeitung und versehentlichem Verlust oder Veränderung zu schützen („Sicherheitsvorfall“). VistaPrint hat insbesondere die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen umgesetzt.

7.2. Mitteilung über Datenschutzverletzungen. Sofern VistaPrint von einem Sicherheitsvorfall Kenntnis erlangt, der personenbezogene Daten von Endnutzern betrifft, wird VistaPrint angemessene Schritte unternehmen, um den Kunden unverzüglich zu benachrichtigen, und wird:

(i) dem Kunden die Informationen über den Sicherheitsvorfall zur Verfügung zu stellen, die VistaPrint unter Berücksichtigung der Art der Dienstleistungen, der VistaPrint zur Verfügung stehenden Informationen und etwaiger Beschränkungen für die Offenlegung der Informationen, z. B. aus Gründen der Vertraulichkeit, vernünftigerweise offenlegen kann.

(ii) Auf Verlangen des Kunden leistet VistaPrint angemessene Unterstützung, um den Kunden in die Lage zu versetzen, die zuständigen Behörden oder die betroffenen Personen gemäß den geltenden Datenschutzgesetzen zu informieren.

Ein Sicherheitsvorfall umfasst keine erfolglosen Versuche oder Tätigkeiten, die die Sicherheit der personenbezogenen Daten von Endnutzern nicht gefährden. Eine Mitteilung oder Reaktion seitens VistaPrint auf einen Sicherheitsvorfall stellt kein Eingeständnis eines Fehlers oder einer Haftung in Bezug auf diesen Sicherheitsvorfall dar.

8. AUDITS

8.1. Auditberichte. VistaPrint stellt auf schriftliche Anfrage des Kunden in angemessenen Abständen (max. einmal pro Jahr) und unter Einhaltung der Vertraulichkeitsverpflichtungen eine Kopie der jeweils letzten Zusammenfassungen von Audits, Zertifizierungen oder Berichten von Dritten zur Verfügung, soweit zutreffend. Die Parteien vereinbaren, dass die in den geltenden Datenschutzgesetzen beschriebenen Audit-Rechte des Kunden durch die Bereitstellung solcher Zusammenfassungen und/oder Berichte durch VistaPrint erfüllt werden.

8.2. Aufsichtsbehörde Audit. VistaPrint gewährt dem Kunden einen angemessenen Zugang zu seinen Unterlagen und Systemen im Falle eines von einer staatlichen Regulierungs- oder Aufsichtsbehörde verlangten Audits zur Einhaltung der geltenden Datenschutzgesetze.

8.3. Vertrauliche Informationen. Alle von VistaPrint nach diesem Abschnitt 8 zur Verfügung gestellten Informationen stellen vertrauliche Informationen dar. VistaPrint ist nicht verpflichtet, Geschäftsgeheimnisse wie Algorithmen, Quellcode, Handelsgeheimnisse und ähnliche Informationen offen zu legen.

9. DATENLÖSCHUNG

Die Parteien vereinbaren, dass VistaPrint nach Kündigung dieses DPA oder nach schriftlicher Aufforderung durch den Kunden alle personenbezogenen Daten des Endnutzers und alle Kopien davon so schnell wie möglich in Übereinstimmung mit den Bestimmungen dieses Vertrages und den geltenden Gesetzen sicher vernichten und sämtliche Unterauftragsverarbeiter dazu veranlassen wird. Ungeachtet des Vorstehenden kann VistaPrint die personenbezogenen Daten des Endnutzers ganz oder teilweise aufbewahren, wenn dies im Rahmen dieses Vertrages oder aufgrund geltender Gesetze oder Vorschriften (einschließlich geltender Datenschutzgesetze) erforderlich ist, wobei jedoch die personenbezogenen Daten des Endnutzers weiterhin gemäß den Bestimmungen dieses Vertrages und der geltenden Datenschutzgesetze geschützt sind.

10. VERSCHIEDENES

10.1. Hierarchie. Im Falle von Unstimmigkeiten oder Widersprüchen zwischen den Bestimmungen dieses DPA und den Bestimmungen des Vertrages haben die Bestimmungen dieses DPA im Zusammenhang mit der Verarbeitung personenbezogener Daten von Endnutzern im Umfang dieses Widerspruchs Vorrang. Im Falle eines Widerspruchs zwischen den Standardvertragsklauseln (sofern anwendbar), dieses DPA oder dem Vertrag haben die Standardvertragsklauseln Vorrang.

10.2. Aktualisierungen des DPA. VistaPrint kann diesen DPA bei Bedarf von Zeit zu Zeit ändern und wird die jeweils aktuelle Version auf der Website veröffentlichen. Alle derartigen Änderungen oder Modifikationen werden mit ihrer Veröffentlichung wirksam. Mit der weiteren Nutzung der Dienstleistungen nach Inkrafttreten der Änderungen erklärt sich der Kunde damit einverstanden, den geänderten DPA als verbindlich zu betrachten.

10.3. Anwendbares Recht. Dieser DPA unterliegt den Bestimmungen des anwendbaren Rechts und der Gerichtsbarkeit in diesem Vertrag und ist entsprechend auszulegen, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben.

10.4. Haftungsbeschränkung. Alle Tätigkeiten im Rahmen dieses DPA (einschließlich und ohne Einschränkung der Verarbeitung personenbezogener Daten von Endnutzern) unterliegen weiterhin den in diesem Vertrag festgelegten Haftungsbeschränkungen.

10.5 Kontakt. Alle Fragen zu diesem DPA sind an den Datenschutzbeauftragten unter [email protected] zu richten. VistaPrint wird bestrebt sein, Meldungen bezüglich der Nutzung personenbezogener Daten von Endnutzern in Übereinstimmung mit diesem DPA und dem Vertrag zu klären.

ANHANG I - BESCHREIBUNG DER VERARBEITUNG/ÜBERMITTLUNG

A. LISTE DER PARTEIEN

Datenexporteur(e):

  • Name: Die als „Kunde“ bezeichnete Person oder der im Konto des Kunden angegebene Name.
  • Adresse: Die Rechnungsadresse des Kunden, wie sie im Konto des Kunden hinterlegt ist.
  • Name, Position und Kontaktdaten der Kontaktperson: Die im Konto des Kunden hinterlegten Kontaktinformationen.
  • Tätigkeiten im Zusammenhang mit den nach diesen Klauseln übermittelten Daten: Jegliche Tätigkeiten, die für den Bezug der von VistaPrint in Verbindung mit diesem Vertrag bereitgestellten Dienstleistungen relevant sind.
  • Unterschrift und Datum: Mit dem Abschluss dieses DPA gilt der Datenexporteur als Unterzeichner der hierin enthaltenen Standardvertragsklauseln und Anhänge zum Datum des Inkrafttretens des DPA.
  • Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher

Datenimporteur(e):

  • Name: VistaPrints Vertragspartei, wie im Vertrag angegeben.
  • Adresse: Adresse der VistaPrint Vertragspartei, wie im Vertrag angegeben.
  • Name, Position und Kontaktdaten der Kontaktperson: [email protected].
  • Tätigkeiten im Zusammenhang mit den nach diesen Klauseln übermittelten Daten: Verarbeitung personenbezogener Daten in Verbindung mit der Nutzung der VistaPrint Dienstleistungen durch den Kunden.
  • Unterschrift und Datum: Durch den Abschluss des DPA gilt der Datenimporteur als Unterzeichner der hierin enthaltenen Standardvertragsklauseln und Anhänge zum Datum des Inkrafttretens des DPA.
  • Rolle (Verantwortlicher/Verarbeiter): Verarbeiter

B. BESCHREIBUNG DER ÜBERMITTLUNG

Kategorien der betroffenen Personen: Zu den betroffenen Personen zählen unter anderem:

  • Endnutzer (die natürliche Personen sind), wie bestehende und potenzielle Kunden, Klienten oder Besucher, die Nutzer der Dienstleistung des Kunden sind.
  • Aktuelle, ehemalige oder potenzielle Kundenvertreter, Arbeitnehmer, Bewerber, Vertreter, Berater, Freiberufler, Geschäftspartner, Subunternehmer und/oder Mitarbeiter (die natürliche Personen sind).
  • Dritte , mit denen der Kunde im Rahmen der Dienstleistung zusammenarbeitet.

Kategorien personenbezogener Daten: Übermittelte personenbezogene Daten in dem Umfang und der Art, die der Verantwortliche nach eigenem Ermessen bestimmt.

Übermittelte sensible Daten (falls zutreffend) und angewandte Einschränkungen oder Sicherheitsmaßnahmen: Die Parteien beabsichtigen nicht, sensible Daten zu übermitteln.

Häufigkeit der Übermittlung: Kontinuierlich in Abhängigkeit von der Nutzung der Dienstleistungen durch den Kunden.

Art der Verarbeitung: Vertragsgemäße Erbringung der Dienstleistungen.

Zweck(e) der Datenübermittlung und Weiterverarbeitung: Wir dürfen Ihre personenbezogenen Daten für die folgenden Zwecke (und die damit verbundenen Aufgaben) verwenden, wobei dies in Übereinstimmung mit dem Vertrag und in einer Weise geschieht, die verhältnismäßig ist und die personenbezogenen Daten der Endnutzer respektiert:

  • Erbringung der Dienstleistungen für Sie,
  • Ausführung Ihrer Anweisungen,
  • Erfüllung und Durchsetzung des Vertrags und dieses DPA,
  • Verteidigung Ihrer Rechte,
  • Vorbeugung, Untersuchung und Milderung von Datensicherheitsrisiken und -vorfällen, Betrug, Fehlern und/oder rechtswidrigen oder verbotenen Tätigkeiten,
  • Einhaltung der geltenden Gesetze und Vorschriften

Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, soweit dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird: VistaPrint wird die personenbezogenen Daten bis zur Kündigung des Vertrages und in Übereinstimmung mit § 9 DPA aufbewahren, sofern in diesem Vertrag nichts anderes festgelegt ist.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben: Die Unterauftragsverarbeiter verarbeiten personenbezogene Daten in dem Umfang, der für die Erbringung der Dienstleistungen gemäß dem Vertrag und für die Dauer des Vertrags erforderlich ist, sofern nichts anderes schriftlich vereinbart wurde.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Benennung der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13: Die niederländische Datenschutzbehörde, es sei denn, § 6 des DPA schreibt etwas anderes vor.

ANHANG II - TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

VistaPrint ergreift derzeit die folgenden technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz, der Vertraulichkeit und der Integrität personenbezogener Daten. Bitte beachten Sie, dass VistaPrint diese Maßnahmen nach eigenem Ermessen ändern kann. Etwaige vorgenommene Änderungen werden die Sicherheit und den Schutz personenbezogener Daten insgesamt nicht wesentlich mindern.

1- Verhinderung des Zugangs Unbefugter zu den für die Verarbeitung oder Nutzung personenbezogener Daten verwendeten Systemen (physische Zugangskontrolle), insbesondere durch folgende Maßnahmen:

  • Zugangskontrolle für kritische oder sensible Bereiche
  • Vorfallprotokolle
  • Automatisierte Zugangskontrollsysteme
  • ID- oder Chipkartenleser
  • Schulungen zur Sensibilisierung im Bereich Sicherheit

2- Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen (logische Zugangskontrolle), insbesondere durch folgende Maßnahmen:

  • Netzwerkgeräte wie Intrusion Detection Systeme, Router und Firewalls.
  • Sichere Anmeldung mit einer eindeutigen Nutzer-ID / einem eindeutigen Passwort, einschließlich Vorschriften zur Komplexität des Kennworts und ggf. einer Mehrfaktor-Authentifizierung.
  • Die Richtlinie schreibt die Sperrung von nicht besetzten Arbeitsplätzen vor. Das Passwort für den Bildschirmschoner ist so eingerichtet, dass eine automatische Sperrung sichergestellt ist, falls der Nutzer vergisst, die Arbeitsstation zu sperren.
  • Protokollierung und Analyse der Systemnutzung.
  • Rollenbasierter Zugang zu wichtigen Systemen, die personenbezogene Daten enthalten.
  • Verfahren für routinemäßige Systemaktualisierungen zur Behebung bekannter Schwachstellen.
  • Verschlüsselung von Laptop-Festplatten.
  • Überwachung von Sicherheitsschwachstellen in wichtigen Systemen.
  • Bereitstellung und Aktualisierung von Antiviren-Software.
  • Netzwerkgeräte wie Intrusion Detection Systeme, Router und Firewalls.
  • Einhaltung des Datensicherheitsstandards der Kreditkartenbranche.

3- Sicherstellung, dass die zur Nutzung eines Systems berechtigten Personen nur auf die Daten zugreifen können, auf die sie ein Zugriffsrecht haben, und dass personenbezogene Daten während der Verarbeitung oder Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Datenzugangskontrolle), insbesondere durch folgende Maßnahmen:

  • Netzwerkgeräte wie Intrusion Detection Systeme, Router und Firewalls.
  • Sichere Anmeldung mit einer eindeutigen Nutzer-ID / einem eindeutigen Passwort, einschließlich Vorschriften zur Komplexität des Kennworts und ggf. einer Mehrfaktor-Authentifizierung.
  • Protokollierung und Analyse der Systemnutzung.
  • Rollenbasierter Zugang zu wichtigen Systemen, die personenbezogene Daten enthalten.
  • Verschlüsselung von Laptop-Festplatten.
  • Bereitstellung und Aktualisierung von Antiviren-Software.
  • Einhaltung des Datensicherheitsstandards der Kreditkartenbranche.

4- Sicherstellung, dass personenbezogene Daten während der elektronischen Übermittlung, des Transports oder der Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können, indem folgende Maßnahmen getroffen werden:

  • Sichere Anmeldung mit einer eindeutigen Nutzer-ID / einem eindeutigen Passwort, einschließlich Vorschriften zur Komplexität des Kennworts und ggf. einer Mehrfaktor-Authentifizierung.
  • Sichere Übermittlungsprotokolle.
  • Protokollierung und Analyse der Systemnutzung.
  • Rollenbasierter Zugang zu wichtigen Systemen, die personenbezogene Daten enthalten.
  • Netzwerkgeräte wie Intrusion Detection Systeme, Router und Firewalls.
  • Einsatz eines VPN.

5- Sicherstellung, dass personenbezogene Daten ausschließlich in Übereinstimmung mit den Unternehmensrichtlinien verarbeitet werden, indem die folgenden Maßnahmen ergriffen werden:

  • Obligatorische Schulungen zum Thema Sicherheit und Datenschutz für alle Beschäftigten.
  • Verfahren zur Einstellung von Mitarbeitern, wobei für Beschäftigte in Schlüsselpositionen, die Zugang zu wichtigen personenbezogenen Daten haben, ein detailliertes Bewerbungsformular ausgefüllt werden muss, sofern dies nach lokalem Recht zulässig ist.
  • Sorgfältige Auswahl geeigneter Mitarbeiter und Dienstleister.
  • Abschluss angemessener Datenverarbeitungsverträge mit Unterauftragsverarbeitern, die geeignete technische und organisatorische Sicherheitsmaßnahmen beinhalten.

6- Sicherstellung, dass personenbezogene Daten gegen unbeabsichtigte Vernichtung oder unbeabsichtigten Verlust geschützt sind (Verfügbarkeitskontrolle), insbesondere durch folgende Maßnahmen:

  • Regelmäßige Überprüfung der Wirksamkeit der Sicherheitsmaßnahmen.
  • Datensicherungsverfahren und Wiederherstellungssysteme.
  • Redundante Server an einem separaten Standort.
  • Unterbrechungsfreie Stromversorgung und Notstromaggregat.
  • Dezentrale Aufbewahrung.
  • Überwachung und Steuerung des Klimas der Serverräume.
  • Bereitstellung und Aktualisierung von Antiviren-Software.
  • Systemwiederherstellungs- und Notfallplan.

7- Sicherstellung, dass Daten, die für unterschiedliche Zwecke oder unterschiedliche Auftraggeber erhoben wurden, getrennt verarbeitet werden können (Trennungskontrolle), insbesondere durch folgende Maßnahmen:

  • Rollenbasierter Zugang zu wichtigen Systemen, die personenbezogene Daten enthalten.
  • Trennung von Test- und Echtzeitdaten.
  • Einhaltung des Datensicherheitsstandards der Kreditkartenbranche.

ANHANG III - LISTE DER UNTERAUFTRAGSVERARBEITER

Eine Liste der von uns beauftragten Unterauftragsverarbeiter und des Zwecks ihrer Beauftragung ist auf Anfrage des Kunden erhältlich.