Auftragsdatenverarbeitungsvereinbarung

1. Datenverarbeitung.

1.1 Anwendungsbereich und Rollen. Diese AVV gilt für die Verarbeitung von Kundendaten durch MANSIO. In diesem Zusammenhang handelt MANSIO als Auftragsverarbeiter gegenüber dem Kunden, der entweder als Verantwortlicher oder als Verarbeiter von Kundendaten handeln kann.

1.2 Einzelheiten der Datenverarbeitung.

1.2.1 Gegenstand. Der Gegenstand der Datenverarbeitung gemäß dieser AVV sind die Kundendaten.

1.2.2 Dauer. Im Verhältnis zwischen MANSIO und dem Kunden wird die Dauer der Datenverarbeitung im Rahmen dieser DPA vom Kunden bestimmt.

1.2.3 Zweck. Der Zweck der Datenverarbeitung im Rahmen dieser AVV ist die Erbringung der vom Kunden von Zeit zu Zeit in Auftrag gegebenen Dienstleistungen.

1.2.4 Art der Verarbeitung. Berechnung, Speicherung und andere Dienste, wie in der Dokumentation beschrieben und vom Kunden von Zeit zu Zeit veranlasst.

1.2.5 Art der Kundendaten. Kundendaten, die unter den MANSIO-Konten des Kunden zu den Diensten hochgeladen werden.

1.2.6 Kategorien von Datensubjekten. Zu den betroffenen Personen können Kunden, Mitarbeiter, Lieferanten und Endnutzer des Kunden gehören.

1.3 Einhaltung von Gesetzen. Jede Partei wird bei der Durchführung dieser AVV alle auf sie anwendbaren und für sie verbindlichen Gesetze, Regeln und Vorschriften einhalten, einschließlich der anwendbaren Datenschutzgesetze wie der DSGVO.

2. Anweisungen des Kunden. Die Parteien vereinbaren, dass diese AVV und der Vertrag (einschließlich der Bereitstellung von Anweisungen durch den Kunden über Konfigurationstools und APIs, die von MANSIO für seine Dienste zur Verfügung gestellt werden) die dokumentierten Anweisungen des Kunden in Bezug auf die Verarbeitung von Kundendaten durch MANSIO darstellen („dokumentierte Anweisungen„). MANSIO wird Kundendaten nur in Übereinstimmung mit den dokumentierten Anweisungen verarbeiten (die, wenn der Kunde als Auftragsverarbeiter agiert, auf den Anweisungen seiner Controller basieren können). Zusätzliche Anweisungen, die über die dokumentierten Anweisungen hinausgehen (falls vorhanden), bedürfen einer vorherigen schriftlichen Vereinbarung zwischen MANSIO und dem Kunden, einschließlich einer Vereinbarung über etwaige zusätzliche Gebühren, die der Kunde an MANSIO für die Ausführung solcher Anweisungen zu zahlen hat. Der Kunde ist berechtigt, diese DPA und den Vertrag zu kündigen, wenn MANSIO sich weigert, vom Kunden angeforderte Anweisungen zu befolgen, die außerhalb des Umfangs der in dieser DPA erteilten oder vereinbarten Anweisungen liegen oder von diesen abgeändert wurden. In Anbetracht der Art der Verarbeitung stimmt der Kunde zu, dass es unwahrscheinlich ist, dass MANSIO sich eine Meinung darüber bilden kann, ob dokumentierte Anweisungen gegen geltendes Datenschutzrecht verstoßen. Sollte MANSIO zu einer solchen Einschätzung gelangen, wird MANSIO den Kunden unverzüglich darüber informieren, wobei der Kunde berechtigt ist, seine dokumentierten Anweisungen zurückzuziehen oder zu ändern.

3. Vertraulichkeit von Kundendaten. MANSIO wird nicht auf Kundendaten zugreifen oder diese verwenden oder an Dritte weitergeben, es sei denn, dies ist notwendig, um die Dienste aufrechtzuerhalten oder zur Verfügung zu stellen, oder es ist notwendig, um das Gesetz oder eine gültige und verbindliche Anordnung einer Regierungsbehörde (wie eine Vorladung oder ein Gerichtsbeschluss) zu erfüllen. Wenn eine staatliche Stelle MANSIO eine Anfrage nach Kundendaten sendet, wird MANSIO versuchen, die staatliche Stelle umzuleiten, damit sie diese Daten direkt vom Kunden anfordert. Als Teil dieser Bemühungen kann MANSIO die grundlegenden Kontaktinformationen des Kunden an die staatliche Stelle weitergeben. Wenn MANSIO gezwungen ist, Kundendaten an eine staatliche Stelle weiterzugeben, wird MANSIO den Kunden in angemessener Weise über die Forderung informieren, um dem Kunden die Möglichkeit zu geben, eine Schutzverfügung oder ein anderes geeignetes Rechtsmittel zu beantragen, es sei denn, MANSIO ist dies gesetzlich untersagt.

4. Vertraulichkeitsverpflichtungen des Personals von MANSIO. MANSIO untersagt seinen Mitarbeitern die Verarbeitung von Kundendaten ohne Genehmigung von MANSIO, wie in den Sicherheitsstandards beschrieben. MANSIO erlegt seinen Mitarbeitern entsprechende vertragliche Verpflichtungen auf, einschließlich relevanter Verpflichtungen hinsichtlich Vertraulichkeit, Datenschutz und Datensicherheit.

5. Sicherheit der Datenverarbeitung

5.1 MANSIO hat die technischen und organisatorischen Maßnahmen, wie sie in den Sicherheitsstandards und diesem Abschnitt beschrieben sind, eingeführt und wird diese beibehalten. Insbesondere nutzt MANSIO AWS und das AWS-Netzwerk als Unterauftragsverarbeiter für die Verarbeitung von Kundendaten. AWS hat die folgenden technischen und organisatorischen Maßnahmen implementiert und wird diese beibehalten:

(a) Sicherheit des AWS-Netzwerks, wie in Abschnitt 1.1 der Sicherheitsstandards dargelegt;

(b) physische Sicherheit der Einrichtungen gemäß Abschnitt 1.2 der Sicherheitsstandards;

(c) Maßnahmen zur Kontrolle der Zugangsrechte für autorisiertes Personal zum AWS-Netz gemäß Abschnitt 1.3 der Sicherheitsstandards und

(d) Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der von AWS umgesetzten technischen und organisatorischen Maßnahmen, wie in Abschnitt 2 der Sicherheitsstandards beschrieben.

5.2 Der Kunde kann sich dafür entscheiden, technische und organisatorische Maßnahmen zum Schutz der Kundendaten zu ergreifen. Solche technischen und organisatorischen Maßnahmen umfassen die folgenden, die der Kunde von MANSIO, wie in der Dokumentation beschrieben, oder direkt von einem Drittanbieter erhalten kann:

(a) Pseudonymisierung und Verschlüsselung zur Gewährleistung eines angemessenen Sicherheitsniveaus;

(b) Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der vom Kunden betriebenen Verarbeitungssysteme und -dienste; Maßnahmen, die es dem Kunden ermöglichen, in angemessener Weise Sicherungskopien zu erstellen und zu archivieren, um die Verfügbarkeit und den Zugang zu den Kundendaten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und

(c) Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der vom Kunden getroffenen technischen und organisatorischen Maßnahmen.

6. Unterauftragsverarbeitungen.

6.1 Autorisierte Unterverarbeiter. Der Kunde erteilt MANSIO die allgemeine Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten im Namen des Kunden („Unterauftragsverarbeiter„) gemäß diesem Abschnitt zu beauftragen. Auf der Website von MANSIO (derzeit unter https://mansio-logistics.com/en-us/cdpa/) sind die derzeit von MANSIO beauftragten Unterauftragsverarbeiter aufgeführt. Mindestens 30 Tage bevor MANSIO einen Unterauftragsverarbeiter einstellt, wird MANSIO die entsprechende Website aktualisieren und dem Kunden einen Mechanismus zur Verfügung stellen, mit dem er über diese Aktualisierung informiert wird. Um einem Unterauftragsverarbeiter zu widersprechen, kann der Kunde: (i) den Vertrag gemäß seinen Bestimmungen kündigen; (ii) die Nutzung des Dienstes, für den MANSIO den Unterauftragsverarbeiter beauftragt hat, einstellen.

6.2 Verpflichtungen des Unterauftragsverarbeiters. Wenn MANSIO einen Unterauftragsverarbeiter wie in Abschnitt 6.1 beschrieben autorisiert:

(i) beschränkt MANSIO den Zugriff des Unterauftragsverarbeiters auf die Kundendaten auf das, was für die Erbringung oder Aufrechterhaltung der Services in Übereinstimmung mit der Dokumentation erforderlich ist, und MANSIO untersagt dem Unterauftragsverarbeiter den Zugriff auf die Kundendaten für andere Zwecke;

(ii) MANSIO schließt einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter ab, und soweit der Unterauftragsverarbeiter dieselben Datenverarbeitungsdienste erbringt, die MANSIO im Rahmen dieser DPA erbringt, erlegt MANSIO dem Unterauftragsverarbeiter dieselben vertraglichen Verpflichtungen auf, die MANSIO im Rahmen dieser AVV hat; und

(iii) MANSIO bleibt für die Einhaltung der Verpflichtungen aus dieser AVV und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich, die eine Verletzung der Verpflichtungen von MANSIO aus dieser AVV zur Folge haben.

7. Unterstützung von MANSIO bei Anfragen von Betroffenen. Unter Berücksichtigung der Art der Verarbeitung unterstützt MANSIO den Kunden bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Personen gemäß dem geltenden Datenschutzrecht. Wenn eine betroffene Person eine Anfrage an MANSIO stellt, wird MANSIO diese Anfrage unverzüglich an den Kunden weiterleiten, sobald MANSIO festgestellt hat, dass die Anfrage von einer betroffenen Person stammt, für die der Kunde verantwortlich ist. Der Kunde ermächtigt MANSIO, in seinem Namen und im Namen seiner Verantwortlichen, wenn der Kunde als Auftragsverarbeiter auftritt, jeder betroffenen Person, die eine Anfrage an MANSIO stellt, zu antworten und zu bestätigen, dass MANSIO die Anfrage an den Kunden weitergeleitet hat. Die Parteien vereinbaren, dass die Weiterleitung von Anfragen betroffener Personen an den Kunden durch MANSIO gemäß diesem Abschnitt den Umfang und das Ausmaß der erforderlichen Unterstützung des Kunden darstellt.

8. Benachrichtigung bei Sicherheitsvorfällen.

8.1 Sicherheitsvorfall. MANSIO wird (a) den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls benachrichtigen und (b) geeignete Maßnahmen ergreifen, um den Sicherheitsvorfall zu beheben, einschließlich Maßnahmen zur Abmilderung der aus dem Sicherheitsvorfall resultierenden nachteiligen Auswirkungen.

8.2 MANSIO-Unterstützung. Um den Kunden in die Lage zu versetzen, einen Sicherheitsvorfall an Aufsichtsbehörden oder betroffene Personen (je nach Fall) zu melden, wird MANSIO mit dem Kunden zusammenarbeiten und ihn unterstützen, indem es in die Meldung gemäß Abschnitt 8.1(a) die Informationen über den Sicherheitsvorfall aufnimmt, die MANSIO in der Lage ist, dem Kunden offenzulegen, wobei die Art der Verarbeitung, die MANSIO zur Verfügung stehenden Informationen und etwaige Beschränkungen für die Offenlegung der Informationen, wie z. B. Vertraulichkeit, berücksichtigt werden. Unter Berücksichtigung der Art der Verarbeitung stimmt der Kunde zu, dass er am besten in der Lage ist, die wahrscheinlichen Folgen eines Sicherheitsvorfalls zu bestimmen.

8.3 Erfolglose Sicherheitsvorfälle. Der Kunde stimmt zu, dass:

(i) ein erfolgloser Sicherheitsvorfall nicht unter diesen Abschnitt 8 fällt. Ein erfolgloser Sicherheitsvorfall ist ein Vorfall, der zu keinem unbefugten Zugriff auf Kundendaten oder auf Geräte oder Einrichtungen von MANSIO führt, in denen Kundendaten gespeichert sind, und könnte unter anderem Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Packet Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff über die Header hinaus führen) oder ähnliche Vorfälle umfassen; und

(ii) die Verpflichtung von MANSIO, einen Sicherheitsvorfall gemäß diesem Abschnitt 8 zu melden oder darauf zu reagieren, ist nicht als Anerkennung eines Verschuldens oder einer Haftung von MANSIO in Bezug auf den Sicherheitsvorfall zu verstehen und wird nicht als solche ausgelegt.

8.4 Kommunikation. Benachrichtigungen über etwaige Sicherheitsvorfälle werden einem oder mehreren Administratoren des Kunden auf eine von MANSIO gewählte Weise, einschließlich per E-Mail, zugestellt. Es liegt in der alleinigen Verantwortung des Kunden, sicherzustellen, dass die Administratoren des Kunden korrekte Kontaktinformationen auf der MANSIO-Plattform und eine sichere Übertragung zu jeder Zeit gewährleisten.

8.5 Benachrichtigungspflichten. Wenn MANSIO den Kunden über einen Sicherheitsvorfall benachrichtigt oder der Kunde anderweitig von einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung von oder einem Zugriff auf Kundendaten Kenntnis erlangt, ist der Kunde dafür verantwortlich, (a) festzustellen, ob eine daraus resultierende Benachrichtigungs- oder sonstige Verpflichtung nach dem anwendbaren Datenschutzrecht besteht, und (b) die erforderlichen Maßnahmen zu ergreifen, um diesen Verpflichtungen nachzukommen. Dies schränkt die Verpflichtungen von MANSIO gemäß diesem Abschnitt 8 nicht ein.

9. AWS-Zertifizierungen und -Audits.

9.1 AWS ISO-Zertifizierung und SOC-Berichte. Zusätzlich zu den in dieser AVV enthaltenen Informationen wird MANSIO auf Anfrage des Kunden und unter der Voraussetzung, dass die Parteien ein anwendbares NDA abgeschlossen haben, die folgenden AWS-Dokumente und Informationen zur Verfügung stellen:

(i) die ausgestellten Zertifikate für die ISO 27001-Zertifizierung, die ISO 27017-Zertifizierung, die ISO 27018-Zertifizierung und die ISO 27701-Zertifizierung (oder die Zertifizierungen oder andere Unterlagen, die die Einhaltung solcher alternativen Standards belegen, die im Wesentlichen gleichwertig zu ISO 27001, ISO 27017, ISO 27018 und ISO 27701 sind); und

(ii) den Bericht über die System- und Organisationskontrollen (SOK) 1, den Bericht über die System- und Organisationskontrollen (SOK) 2 und den Bericht über die System- und Organisationskontrollen (SOK) 3 (oder die Berichte oder sonstigen Unterlagen, in denen die von AWS durchgeführten Kontrollen beschrieben werden, die die SOK 1, SOK 2 und SOK 3 ersetzen oder ihnen im Wesentlichen gleichwertig sind).

9.2 AWS-Audits. AWS setzt externe Prüfer ein, um die Angemessenheit seiner Sicherheitsmaßnahmen zu überprüfen, einschließlich der Sicherheit der physischen Rechenzentren, von denen aus AWS seine Dienste anbietet. Dieses Audit: (a) wird mindestens einmal jährlich durchgeführt; (b) wird gemäß den ISO 27001-Standards oder anderen alternativen Standards durchgeführt, die im Wesentlichen mit ISO 27001 gleichwertig sind; (c) wird von unabhängigen Sicherheitsexperten auf Kosten von AWS durchgeführt; und (d) führt zur Erstellung eines Auditberichts („Bericht„), der zu den vertraulichen Informationen von AWS gehört.

9.3 Prüfberichte. Auf schriftliche Anfrage des Kunden und unter der Voraussetzung, dass die Parteien ein anwendbares Geheimhaltungsabkommen (NDA) abgeschlossen haben, stellt MANSIO dem Kunden eine Kopie des Berichts zur Verfügung, damit der Kunde in angemessener Weise die Einhaltung der Verpflichtungen von MANSIO bzw. AWS gemäß dieser AVV überprüfen kann.

9.4 Datenschutzfolgenabschätzung und vorherige Konsultation. Unter Berücksichtigung der Art der Verarbeitung und der AWS zur Verfügung stehenden Informationen unterstützt MANSIO den Kunden mit Hilfe von AWS bei der Einhaltung der Verpflichtungen des Kunden in Bezug auf die Datenschutz-Folgenabschätzung und die vorherige Konsultation, indem es die von AWS gemäß diesem Abschnitt 9 zur Verfügung gestellten Informationen bereitstellt.

10. Kunden-Audits. Wenn der Kunde sich für die Durchführung eines Audits, einschließlich einer Inspektion, entscheidet, hat er das Recht, in seinem eigenen Namen und im Namen seiner für die Verarbeitung Verantwortlichen, wenn der Kunde als Auftragsverarbeiter fungiert, gemäß dem anwendbaren Datenschutzrecht oder den Standardvertragsklauseln, MANSIO mit der Durchführung des in Abschnitt 10 beschriebenen Audits zu beauftragen. Wenn der Kunde diese Anweisung bezüglich des Audits ändern möchte, hat er das Recht, eine Änderung dieser Anweisung zu verlangen, indem er MANSIO eine schriftliche Mitteilung, wie im Vertrag vorgesehen, zukommen lässt. Wenn MANSIO sich weigert, eine vom Kunden verlangte Anweisung in Bezug auf Audits, einschließlich Inspektionen, zu befolgen, ist der Kunde berechtigt, den Vertrag gemäß seinen Bestimmungen zu kündigen.

11. Übermittlung von personenbezogenen Daten.

11.1 Regionen. MANSIO kann den/die Ort(e) angeben, an dem/denen die Kundendaten innerhalb des AWS-Netzwerks verarbeitet werden (jeweils eine „Region“), einschließlich Regionen im EWR. Sobald MANSIO seine Wahl getroffen hat, wird AWS keine Kundendaten aus der/den vom Kunden gewählten Region(en) übertragen, es sei denn, dies ist erforderlich, um die vom Kunden in Auftrag gegebenen Services zu erbringen, oder es ist notwendig, um das Gesetz oder eine gültige und verbindliche Anordnung einer staatlichen Stelle einzuhalten.

11.2 Anwendung von Standardvertragsklauseln. Die Standardvertragsklauseln gelten nur für Kundendaten, die der DSGVO unterliegen und entweder direkt oder durch Weitergabe in ein Drittland übertragen werden (jeweils eine „Datenübertragung“).

11.2.1 Wenn der Kunde als für die Verarbeitung Verantwortlicher handelt, gelten die Klauseln für die Verarbeitung durch den für die Verarbeitung Verantwortlichen für eine Datenübermittlung.

11.2.2 Handelt der Kunde als Auftragsverarbeiter, so gelten für eine Datenübermittlung die Klauseln für Auftragsverarbeiter. In Anbetracht der Art der Verarbeitung stimmt der Kunde zu, dass es unwahrscheinlich ist, dass MANSIO die Identität der für die Verarbeitung Verantwortlichen des Kunden kennt, da MANSIO keine direkte Beziehung zu den für die Verarbeitung Verantwortlichen des Kunden hat, und daher wird der Kunde die Verpflichtungen von MANSIO gegenüber den für die Verarbeitung Verantwortlichen des Kunden gemäß den Verarbeiter-zu-Verarbeiter-Klauseln erfüllen.

12. Beendigung der AVV. Diese AVV bleibt bis zur Beendigung des Abkommens (das „Beendigungsdatum“) in Kraft.

13. Rückgabe oder Löschung von Kundendaten. Bis zum Beendigungsdatum und für 90 Tage nach dem Beendigungsdatum wird MANSIO gemäß den Bedingungen des Vertrags die Kundendaten zurückgeben oder löschen, wenn der Kunde eine solche Rückgabe oder Löschung verlangt. Spätestens am Ende dieses 90-Tage-Zeitraums wird der Kunde alle MANSIO-Konten, die Kundendaten enthalten, schließen.

14. Informationspflichten. Wenn Kundendaten im Rahmen eines Konkurs- oder Insolvenzverfahrens oder ähnlicher Maßnahmen durch Dritte beschlagnahmt werden, während sie von MANSIO verarbeitet werden, wird MANSIO den Kunden unverzüglich informieren. MANSIO wird alle relevanten Parteien in einem solchen Verfahren (z.B. Gläubiger, Konkursverwalter) unverzüglich darüber informieren, dass alle Kundendaten, die Gegenstand eines solchen Verfahrens sind, Eigentum und Verantwortungsbereich des Kunden sind und dass die Kundendaten ausschließlich in der Verfügungsgewalt des Kunden liegen.

15. Gesamte Vereinbarung; Konflikt. Diese AVV enthält die Standardvertragsklauseln durch Verweis. Sofern sie nicht durch diese AVV geändert wird, bleibt die Vereinbarung in vollem Umfang in Kraft und wirksam. Im Falle eines Konflikts zwischen der Vereinbarung und dieser AVV haben die Bedingungen dieser AVV Vorrang, mit der Ausnahme, dass die Servicebedingungen Vorrang vor dieser AVV haben. Die Standardvertragsklauseln werden durch dieses Dokument in keiner Weise verändert oder modifiziert.

16. Definitionen. Sofern in der Vereinbarung nicht anders definiert, haben alle in dieser DPA verwendeten Begriffe in Großbuchstaben die nachstehend angegebene Bedeutung:

„API“ bedeutet eine Anwendungsprogrammschnittstelle.
„Anwendbares Datenschutzrecht“ bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung von Kundendaten durch eine Partei anwendbar und für diese verbindlich sind, einschließlich, soweit anwendbar, die DSGVO.

„AWS-Netzwerk“ bezeichnet die Server, Netzwerkgeräte und Hostsoftwaresysteme (z. B. virtuelle Firewalls), die unter der Kontrolle von AWS stehen und zur Erbringung der Services verwendet werden.

„Verbindliche Unternehmensregeln“ hat die Bedeutung, die ihm in der DSGVO gegeben wird. „Verantwortlicher“ hat die Bedeutung, die ihm in der DSGVO zugewiesen wird.

„Verantwortlicher-Auftragsverarbeiter-Klauseln“ bezeichnet die Standardvertragsklauseln zwischen Verantwortlichen und Verarbeitendern für Datenübertragungen, wie sie durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und derzeit unter https://d1.awsstatic.com/Controller_to_Processor_SCCs.pdf zu finden sind.

„Kundendaten“ bezeichnet die personenbezogenen Daten, die unter den MANSIO-Konten des Kunden auf die Dienste hochgeladen werden.

„Dokumentation“ bezeichnet die jeweils aktuelle Dokumentation für die Dienste, die sich unter https://mansio-logistics.com/en-us/cdpa/ befindet.

„EWR“ bezeichnet den Europäischen Wirtschaftsraum.

„DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

„Personenbezogene Daten“ bedeutet personenbezogene Daten, persönliche Informationen, persönlich identifizierbare Informationen oder andere gleichwertige Begriffe (jeweils wie im geltenden Datenschutzrecht definiert).

„Verarbeitung“ hat die Bedeutung, die ihm in der DSGVO gegeben wird, und „verarbeiten“, „verarbeiten“ und „verarbeitet“ werden entsprechend ausgelegt.

„Auftragsverarbeiter“ hat die in der DSGVO festgelegte Bedeutung.

„Auftragsverarbeiter-Klauseln“ bezeichnet die Standardvertragsklauseln zwischen Auftragsverarbeitern für Datenübermittlungen, wie sie durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und derzeit unter https://d1.awsstatic.com/Processor_to_Processor_SCCs.pdf zu finden sind.

„Region“ hat die Bedeutung, die ihm in Abschnitt 11.1 dieser DSGVO gegeben wird.

„Sicherheitsvorfall“ bezeichnet eine Verletzung der Sicherheit von MANSIO, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Kundendaten führt.

„Sicherheitsstandards“ bezeichnet die Sicherheitsstandards, die dieser DPA als Anhang 1 beigefügt sind.

„Standardvertragsklauseln“ bedeutet (i) die Klauseln für den Vertrag zwischen Verantwortlichem und Auftragsverarbeiter oder (ii) die Klauseln für den Vertrag zwischen Auftragsverarbeiter und Auftragsverarbeiter, je nach Anwendbarkeit gemäß den Abschnitten 11.2.1 und 11.2.2.

„Drittland“ bedeutet ein Land außerhalb des EWR, das von der Europäischen Kommission nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie in der DSGVO beschrieben).