Dieser Nachtrag zum Datenschutz („Nachtrag“) mit Wirkung zum 25. Mai 2018 ist Teil des bestehenden Vertrags, einschließlich seiner eventuellen Verlängerung und in der jeweils von den Parteien geänderten Fassung (zusammen der „Hauptvertrag“) zwischen: (i) Newforma, Inc. oder der jeweiligen Tochtergesellschaft von Newforma (wie unten definiert und angegeben), die mit dem Kunden in Vertragsbeziehung steht (wie im Hauptvertrag definiert und als Ausführender dieses Nachtrags), in eigenem Namen und als Vertreter für jede Tochtergesellschaft von Newforma (zusammen „Newforma”); und (ii) dem Kunden (wie im Hauptvertrag definiert und als Ausführender dieses Nachtrags) in seinem eignen Namen und als Vertreter für jede Tochtergesellschaft des Kunden (zusammen „Kunde”).
Die in diesem Nachtrag verwendeten Begriffe haben die in diesem Anhang festgelegte Bedeutung. Alle Begriffe, die hierin nicht definiert werden, besitzen die im Hauptvertrag festgelegte Bedeutung. Mit Ausnahme der nachstehenden Änderungen bleiben die Bedingungen des Hauptvertrags uneingeschränkt gültig.
In Anbetracht der gegenseitigen Verpflichtungen erklären sich die Parteien damit einverstanden, dass die nachstehenden Bedingungen als Zusatz zum Hauptvertrag hinzugefügt werden. Sofern sich aus dem Zusammenhang nichts anderes ergibt, beziehen sich die Hinweise in diesem Nachtrag zu dem Hauptvertrag auf den Hauptvertrag in der durch diesen Nachtrag geänderten Fassung.
1. Definitionen
1.1 In diesem Nachtrag haben die folgenden Begriffe die unten angegebenen Bedeutungen und ähnliche Begriffe sind entsprechend auszulegen:
1.1.1 „Geltende Gesetze“ bezeichnen (a) das Recht der Europäischen Union oder der Mitgliedstaaten in Bezug auf personenbezogene Daten von Kunden, für die ein Mitglied der Kundengruppe den EU-Datenschutzgesetzen unterliegt; und (b) jedes andere anwendbare Recht in Bezug auf personenbezogene Daten von Kunden, für die ein Mitglied der Kundengruppe anderen Datenschutzgesetzen unterliegt;
1.1.2 „Tochtergesellschaft des Kunden” bezeichnet eine juristische Person, die im Besitz des Kunden steht oder von ihm verwaltet wird oder in dessen gemeinsamen Besitz oder unter gemeinsamer Verwaltung steht, wobei Verwaltung als der direkte oder indirekte Besitz mit Weisungsbefugnis und Richtlinienkompetenz gegenüber dem Management definiert ist, sei es durch den Besitz von Stimmrechten, durch Vertrag oder anderweitig;
1.1.3 „Kundengruppenmitglied” ist der Kunde oder eine Tochtergesellschaft des Kunden;
1.1.4 „Persönliche Daten des Kunden“ sind alle personenbezogenen Daten, die von einem Auftragsverarbeiter im Auftrag eines Kundengruppenmitglieds gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;
1.1.5 „Auftragsverarbeiter” bezeichnet Newforma oder weitere Auftragsverarbeiter;
1.1.6 „Datenschutzgesetze” sind EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze eines anderen Landes;
1.1.7 „EWR“ bezeichnet den Europäischen Wirtschaftsraum;
1.1.8 „EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, wie von Fall zu Fall in innerstaatliches Recht eines jeden Mitgliedstaats umgesetzt und in ihrer geänderten Fassung ersetzt oder aufgehoben, einschließlich durch die DSGVO und Gesetze zur Umsetzung oder Ergänzung der DSGVO;
1.1.9 „DSGVO” bezeichnet die EU-Datenschutz-Grundverordnung 2016/679;
1.1.10 „Tochtergesellschaft von Newforma“ bezeichnet eine Organisation, die im Besitz von Newforma steht oder von Newforma verwaltet wird oder in dessen gemeinsamen Besitz oder unter gemeinsamer Verwaltung steht, wobei Verwaltung als der direkte oder indirekte Besitz mit Weisungsbefugnis und Richtlinienkompetenz gegenüber dem Management definiert ist, sei es durch den Besitz von Stimmrechten, durch Vertrag oder anderweitig. Zu den Tochtergesellschaften von Newforma gehören derzeit Newforma EMEA Ltd, Newforma UK Ltd, Newforma France SARL, Newforma Deutschland GmbH, Newforma Kanada ULC, Newforma Asia Pacific Pte Ltd und Newforma Australien Pte Ltd.
1.1.11 „Eingeschränkte Übermittlung” bedeutet:
1.1.11.1 Übermittlung personenbezogener Daten eines Kunden von einem Kundengruppenmitglied an einen Auftragsverarbeiter; oder
1.1.11.2 eine Weiterübermittlung personenbezogener Daten des Kunden von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter oder zwischen zwei Unternehmen eines Auftragsverarbeiters,
in Fällen, bei denen eine solche Übermittlung durch Datenschutzgesetze nicht gestattet ist (oder durch die Bedingungen von Datenübermittlungsverträgen, die zur Datenübermittlungsbeschränkung entsprechend der Datenschutzgesetze vereinbart wurden), ohne das Vorliegen von Standardvertragsklauseln gemäß Abschnitt 5.4.3 oder 11 unten. Zur Vermeidung von Zweifeln: wenn eine Übermittlung personenbezogener Daten im Rahmen der Datenschutzgesetze im Ausfuhrland zugelassenen ist, z. B. bei Übermittlungen aus der Europäischen Union in ein Land (wie die Schweiz) oder ein System (wie das US Privacy Shield), das von der Kommission aufgrund der Gewährleistung eines angemessenen Schutzniveaus genehmigt wird oder unter eine zulässige Ausnahmeregelung fällt, handelt es sich bei dieser Übermittlung um keine eingeschränkte Übermittlung;
1.1.12 „Leistungen” bezeichnet Software, Dienstleistungen und andere Aktivitäten, die Mitgliedern der Kundengruppe durch oder im Namen von Newforma vertragsgemäß zur Verfügung gestellt werden;
1.1.13 „Standardvertragsklauseln“ bezeichnen die vertraglichen Klauseln, wie sie von der Europäischen Kommission von Zeit zu Zeit angenommen werden; und
1.1.14 „Weiterer Auftragsverarbeiter“ ist jede Person (einschließlich einer dritten Partei und aller Tochtergesellschaften von Newforma, ausgenommen Mitarbeiter von Newforma oder eines Subunternehmers), die im Auftrag von Newforma oder einer Tochtergesellschaft von Newforma mit der Verarbeitung personenbezogener Daten für ein Kundengruppenmitglied in Verbindung mit dem Hauptvertrag beauftragt wurde.
1.2 Die Begriffe, „Kommission”, „Verantwortlicher”, „betroffene Person„, „Mitgliedstaat“, „personenbezogene Daten”, „Verletzung des Schutzes personenbezogener Daten„, „Verarbeitung” und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der DSGVO und ähnliche Ausdrücke sind entsprechend auszulegen.
1.3 Das Wort „einschließen“ soll ohne Einschränkung als einschließen verstanden werden und sinnverwandte Begriffe sind entsprechend auszulegen.
2. Die Verarbeitung der personenbezogenen Daten des Kunden
2.1 Newforma und die einzelnen Tochtergesellschaften von Newforma verarbeiten personenbezogene Daten des Kunden nur auf der Grundlage der dokumentierten Anweisungen des betreffenden Kundengruppenmitglieds, es sei denn, die Verarbeitung ist nach den geltenden Gesetzen, denen der betreffende Auftragsverarbeiter unterliegt, erforderlich. In diesem Fall ist Newforma oder die jeweilige Tochtergesellschaft von Newforma verpflichtet, das betreffende Kundengruppenmitglied über diese gesetzliche Verpflichtung vor der entsprechenden Verarbeitung zu informieren.
2.2 Jedes Kundengruppenmitglied:
2.2.1 Beauftragt hiermit Newforma und alle Tochtergesellschaften von Newforma (und genehmigt Newforma und allen Tochtergesellschaften von Newforma jeden weiteren Auftragsverarbeiter anzuweisen):
2.2.1.1 Personenbezogene Daten des Kunden zu verarbeiten und
2.2.1.2 insbesondere poersonenbezogener Daten des Kunden in jedwedes Land oder Gebiet zu übermitteln,
so wie es für die Erbringung der Leistungen und im Einklang mit dem Hauptvertrag angemessen und erforderlich ist, und
2.2.2 Sichert zu und gewährleistet, dass es zu allen relevanten Zeitpunkten weiterhin ordnungsgemäß und wirksam ermächtigt ist und sein wird, die Anweisung in Abschnitt 2.2.1 im Namen der jeweiligen Tochtergesellschaft des Kunden zu geben.
2.3 Anhang 1 dieses Nachtrags enthält bestimmte Informationen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch den Auftragsverarbeiter gemäß Artikel 28 (3) der DSGVO (und möglicherweise entsprechender Vorschriften anderer Datenschutzgesetze). Der Kunde kann von Zeit zu Zeit angemessene Änderungen zu Anhang 1 durch schriftliche Mitteilung an Newforma vornehmen, so wie sie der Kunde in angemessenem Rahmen für erforderlich hält, um diese Anforderungen zu erfüllen. Nichts in Anhang 1 (einschließlich der Änderungen gemäß dieses Abschnitts 2.3) überträgt Rechte oder Verpflichtungen auf eine Vertragspartei dieses Nachtrags.
3. Mitarbeiter von Newforma und Tochtergesellschaften von Newforma
Newforma und jede Tochtergesellschaft von Newforma trifft angemessene Vorkehrungen, um die Zuverlässigkeit eines Mitarbeiters, Vertreters oder Auftragnehmers eines Auftragsverarbeiters zu gewährleisten, der Zugriff auf die personenbezogenen Daten des Kunden hat. Es wird sichergestellt, dass in jedem Fall der Zugriff streng auf die Personen beschränkt ist, die davon Kenntnis erlangen müssen oder Zugang zu den relevanten personenbezogenen Daten des Kunden haben müssen, soweit dies für die Zwecke des Hauptvertrags und zur Einhaltung geltender Gesetze im Zusammenhang mit den Pflichten dieser Person gegenüber dem Auftragsverarbeiter erforderlich ist, um sicherzustellen, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Geheimhaltungspflichten unterliegen.
4. Sicherheit
4.1 Unter Berücksichtigung des Stands der Technik, der Kosten der Durchführung sowie der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere der Folgen für die Rechte und Freiheiten natürlicher Personen müssen Newforma und jede Tochtergesellschaft von Newforma in Bezug auf die persönlichen Daten des Kunden geeignete und wirtschaftlich angemessene technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 (1) DSGVO genannten Maßnahmen.
4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen Newforma und jede Tochtergesellschaft von Newforma insbesondere die von der Verarbeitung ausgehenden Risiken hinsichtlich der Verletzung des Schutzes personenbezogener Daten.
5. Weitere Auftragsverarbeitung
5.1 Jedes Kundengruppenmitglied ermächtigt Newforma und jede Tochtergesellschaft von Newforma (und gestattet es jedem weiteren Auftragsverarbeiter, der in Übereinstimmung mit diesem Abschnitt 5 ernannt ist) weitere Auftragsverarbeiter, in Übereinstimmung mit diesem Abschnitt 5 und allen Beschränkungen im Hauptvertrag, zu ernennen.
5.2 Newforma und jede Tochtergesellschaft von Newforma kann die von Newforma oder einer Tochtergesellschaft von Newforma bereits zum Zeitpunkt des Inkrafttretens dieses Nachtrags beauftragten weiteren Auftragsverarbeiter weiterhin beschäftigen, vorbehaltlich der Zustimmung von Newforma und jeder Tochtergesellschaft von Newforma, sofern sie die in Abschnitt 5.4 genannten Verpflichtungen erfüllen.
5.3 Newforma wird dem Kunden eine vorherige schriftliche Mitteilung über die Ernennung eines neuen Auftragsverarbeiters zukommen lassen, einschließlich aller Einzelheiten der vom Auftragsverarbeiter durchzuführenden Verarbeitung. Wenn der Kunde innerhalb von zehn (10) Kalendertagen nach Erhalt dieser Mitteilung gegenüber Newforma schriftlich (aus berechtigten Gründen) gegen die vorgeschlagene Beauftragung Widerspruch einlegt, dürfen weder Newforma noch eine Tochtergesellschaft von Newforma den vorgeschlagenen Auftragsverarbeiter einsetzen (oder persönliche Daten des Kunden weitergeben), bis angemessene Schritte zur Behebung der von einem Kundengruppenmitglied erhobenen Einwände unternommen wurden und dem Kunden eine angemessene schriftliche Erklärung der unternommenen Schritte zur Verfügung gestellt wurde.
5.4 In Bezug auf die einzelnen weiteren Auftragsverarbeiter soll Newforma oder die jeweilige Tochtergesellschaft von Newforma:
5.4.1 bevor der Auftragsverarbeiter erstmalig persönliche Daten des Kunden verarbeitet (oder gegebenenfalls gemäß Abschnitt 5.2), eine angemessene Sorgfaltspflicht walten lassen, um sicherzustellen, dass der Auftragsverarbeiter in der Lage ist, das in dem Hauptvertrag geforderte Schutzniveau für persönliche Daten des Kunden zu gewahrleisten;
5.4.2 sicherstellen, dass die Vereinbarung zwischen einerseits (a) Newforma, oder (b) der relevanten Tochtergesellschaft von Newforma oder (c) dem relevanten zwischengeschalteten Auftragsverarbeiter und auf der anderen Seite dem Auftragsverarbeiter einem schriftlichen Vertrag mit Bedingungen, die mindestens denselben Schutz für die persönlichen Daten des Kunden bieten wie die in diesem Nachtrag beschriebenen und die die Anforderungen von Artikel 28 (3) der Datenschutz-Grundverordnung erfüllen, unterliegt;
5.4.3 Wenn diese Vereinbarung eine eingeschränkte Übermittlung beinhaltet, sicherstellen, dass die Standardvertragsklauseln zu allen relevanten Zeitpunkten in die Vereinbarung zwischen einerseits Newforma oder b) der betreffenden Tochtergesellschaft von Newforma oder c) dem relevanten zwischengeschalteten Auftragsverarbeiter einbezogen sind; und auf der anderen Seite der Auftragsverarbeiter, oder bevor der Auftragsverarbeiter personenbezogene Daten des Kunden verarbeitet, sicherstellen, dass eine Vereinbarung abgeschlossen wird, die die Standardvertragsklauseln mit dem/den relevanten Kundengruppenmitglied/ern einschließt (und der Kunde stellt sicher, dass jeder verbundene Partner des Kunden bei der Erfüllung und Ausführung der Standardvertragsklauseln mitwirkt); und
5.4.4 dem Kunden Kopien der Vereinbarungen mit den Auftragverarbeitern zur Überprüfung auf Nachfrage zur Verfügung stellt (diese können bearbeitet werden, um Informationen zu entfernen, die für die Bestimmungen dieses Nachtrags nicht relevant sind).
5.5 Newforma und jede Tochtergesellschaft von Newforma stellt sicher, dass jeder Auftragsverarbeiter die Verpflichtungen aus den Abschnitten 2.1, 3, 4, 6.1, 7.2, 8 und 9.1 erfüllt, wie sie für die Verarbeitung von personenbezogenen Daten des Kunden gelten, als ob er Vertragspartei zu diesem Nachtrag anstatt Newforma wäre.
6. Rechte der betroffenen Person
6.1 Unter Berücksichtigung der Art der Verarbeitung und ausschließlich im Zusammenhang mit den Leistungen unterstützen Newforma und jede Tochtergesellschaft von Newforma jedes Kundengruppenmitglied bei der Durchführung geeigneter technischer und organisatorischer Maßnahmen, soweit dies wirtschaftlich vertretbar ist, bei der Erfüllung der Verpflichtungen der Kundengruppenmitglieder hinsichtlich Anfragen zur Ausübung der Rechte von betroffenen Personen gemäß den Datenschutzgesetzen, soweit sie vom Kunden als angemessen erachtet werden.
6.2 Newforma soll:
6.2.1 den Kunden unverzüglich benachrichtigen, wenn ein Auftragsverarbeiter eine Anfrage einer betroffenen Person gemäß eines Datenschutzgesetzes in Bezug auf personenbezogene Daten des Kunden erhält; und
6.2.2 sicherstellen, dass der Auftragsverarbeiter nicht auf diese Anfrage reagiert, außer auf die dokumentierten Anweisungen des Kunden oder der betreffenden Tochtergesellschaft des Kunden oder gemäß geltender Gesetze, denen der Auftragsverarbeiter unterliegt, in welchem Fall Newforma in dem von den geltenden Gesetzen zugelassenen Umfang den Kunden über diese gesetzlichen Anforderung informiert, bevor der Auftragsverarbeiter auf die Anfrage reagiert.
7. Verletzung des Schutzes personenbezogener Daten
7.1 Newforma wird den Kunden ohne unangemessene Verzögerung darüber informieren, dass Newforma oder ein Auftragsverarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhalten hat, die sich auf personenbezogene Daten des Kunden auswirkt. Der Kunde erhält ausreichende Informationen, damit jedes Kundengruppenmitglied seinen Verpflichtungen zur Meldung oder Unterrichtung der betroffenen Personen gemäß den Datenschutzgesetzen nachkommen kann.
7.2 Newforma arbeitet mit dem Kunden und jedem Kundengruppenmitglied zusammen und trifft alle wirtschaftlich vertretbaren Schritte, die vom Kunden zur Unterstützung bei der Untersuchung, Minderung und Beseitigung jeder solchen Verletzung des Schutzes personenbezogener Daten gefordert werden.
8. Datenschutz-Folgenabschätzung und vorherige Konsultation
Newforma und jede Tochtergesellschaft von Newforma leisten für jedes Kundengruppenmitglied eine angemessene Unterstützung bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit den Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die von einem Kundengruppenmitglied gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze verlangt werden, jeweils nur in Bezug auf die Verarbeitung personenbezogener Daten von Kunden und unter Berücksichtigung der Art der Verarbeitung und der Informationen, die den Auftragsverarbeitern zur Verfügung stehen.
9. Löschung oder Rückgabe von persönlichen Daten des Kunden
9.1 Vorbehaltlich der Abschnitte 9.2 und 9.3 müssen Newforma und jede Tochtergesellschaft von Newforma unverzüglich und in jedem Fall innerhalb von 60 Tagen nach dem Beendigungsdatum der Leistungen im Zusammenhang mit der Verarbeitung personenbezogener Daten des Kunden (das „ Beendigungsdatum”) die betreffenden Daten löschen und sicherstellen, dass alle Kopien dieser personenbezogenen Daten des Kunden gelöscht wurden.
9.2 Vorbehaltlich Abschnitt 9.3 kann der Kunde nach eigenem Ermessen innerhalb von 10 Tagen nach Ablauf des Beendigungsdatums Newforma und jede Tochtergesellschaft von Newforma schriftlich dazu auffordern, (a) eine vollständige Kopie aller persönlichen Daten des Kunden an den Kunden durch sichere Datenübermittlung in einem Format, wie es Newforma vom Kunden mitgeteilt wird, zu senden; und (b) Daten zu löschen und sicherzustellen, dass alle anderen Kopien der personenbezogenen Daten des Kunden, die von einem Auftragsverarbeiter verarbeitet wurden, gelöscht wurden. Newforma und jede Tochtergesellschaft von Newforma müssen einer solchen schriftlichen Aufforderung innerhalb von 60 Tagen nach dem Beendigungsdatum nachkommen.
9.3 Jeder Auftragsverarbeiter darf personenbezogene Daten des Kunden in dem von geltenden Gesetzen vorgeschriebenen Umfang aufbewahren, und zwar nur in dem Umfang und auf die Dauer der geltenden Gesetze und immer vorausgesetzt, dass Newforma und jedes Tochterunternehmen von Newforma die Vertraulichkeit aller personenbezogenen Daten des Kunden gewährleistet und sicherstellt, dass solche persönlichen Daten des Kunden nur verarbeitet werden, wenn dies für die Zwecke erforderlich ist, die in den geltenden Gesetzen festgelegt sind, die ihre Speicherung erfordern, und für keinen anderen Zweck.
10. Prüfungsrechte
10.1 Vorbehaltlich der Abschnitte 10.2-10.3 stellen Newforma und jede Tochtergesellschaft von Newforma jedem Kundengruppenmitglied auf Anfrage alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieses Zusatzes erforderlich sind, und ermöglichen Prüfungen, einschließlich Inspektionen, durch jedes Kundengruppenmitglied oder einen Prüfer, der von einem Kundengruppenmitglied in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch die Auftragsverarbeiter beauftragt wurde.
10.2 Ein Kundengruppenmitglied darf einen externen Prüfer nur für die Zwecke von Abschnitt 10.1 einsetzen, wenn der Prüfer von Newforma genehmigt wurde, wobei diese Genehmigung nicht unbillig verweigert, verzögert oder an Bedingungen geknüpft werden darf.
10.3 Der Kunde oder die betreffende Tochtergesellschaft des Kunden, die eine Prüfung durchführt, muss Newforma oder der betreffenden Tochtergesellschaft von Newforma eine angemessene Benachrichtigung über eine nach Abschnitt 10.1 durchzuführende Prüfung oder Inspektion geben und sicherstellen, dass jeder seiner beauftragten Prüfer angemessene Anstrengungen unternimmt, die Beschädigung, Verletzung oder Störung des Geländes, der Ausrüstung, des Personals und der Geschäftsabläufe der Auftragsverarbeiter zu vermeiden (oder gering zu halten), während sich das Personal während einer solchen Prüfung oder Inspektion in diesen Räumlichkeiten befindet. Ein Auftragsverarbeiter braucht für die Zwecke einer solchen Prüfung oder Inspektion keinen Zugang zu seinen Räumlichkeiten gewähren:
10.3.1 jeder Person, es sei denn, er oder sie erbringt angemessene Nachweise der Identität und Berechtigung;
10.3.2 außerhalb der üblichen Geschäftszeiten in diesen Räumlichkeiten, es sei denn, die Prüfung oder Inspektion muss auf Notfallbasis durchgeführt werden und der Kunde oder die betreffende Tochtergesellschaft des Kunden, die eine Prüfung durchführen, hat vor dem Besuch außerhalb der Geschäftszeiten Newforma oder der betreffenden Tochtergesellschaft von Newforma mitgeteilt, dass dies der Fall ist; oder
10.3.3 für mehr als eine Prüfung oder Inspektion in Bezug auf jeden Auftragsverarbeiter in einem Zeitraum von jeweils zwölf (12) Monaten.
11. Eingeschränkte Übermittlung
11.1 Jedes Kundengruppenmitglied stimmt hiermit zu, dass Newforma oder das entsprechende Newforma-Tochterunternehmen personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums („EWR“), einschließlich in die und in den Vereinigten Staaten, verarbeiten und übertragen kann. Newforma stellt zusammen mit den anderen Tochtergesellschaften von Newforma angemessene und wirtschaftlich sinnvolle Schutzmaßnahmen bereit, um sicherzustellen, dass die Verarbeitung und Übermittlung außerhalb des EWR in Übereinstimmung mit den geltenden EU-Datenschutzgesetzen erfolgt. Solche Schutzmaßnahmen können insbesondere aus dem Privacy Shield und/oder Standardvertragsklauseln bestehen, wie sie von der Europäischen Kommission von Zeit zu Zeit angenommen werden. Jedes Kundengruppenmitglied als Datenexporteur autorisiert hiermit Newforma und jedes Tochterunternehmen von Newforma, mit jeder anderen Tochtergesellschaft von Newforma als Datenimporteur im Namen und im Auftrag dieses Kundengruppenmitglieds Standardvertragsklauseln einzugehen.
11.2 Die Standardvertragsklauseln treten gemäß Abschnitt 11.1 zu dem jeweils späteren Zeitpunkt in Kraft:
11.2.1 wenn der Datenexporteur Vertragspartei wird;
11.2.2 wenn der Datenimporteur Vertragspartei wird; und
11.2.3 bei Beginn der betreffenden eingeschränkten Übermittlung.
11.3 Abschnitt 11.1 gilt nicht für eine eingeschränkte Übermittlung, es sei denn, sie bewirkt zusammen mit anderen angemessenen Schritten zur Einhaltung (die, zur Vermeidung von Zweifeln, nicht das Einholen von Einwilligungen der betroffenen Personen beinhalten), dass die betreffende eingeschränkte Übermittlung ohne Verletzung des anwendbaren Datenschutzgesetzes durchgeführt wird.
12. Rangfolge
12.1 Nichts in diesem Nachtrag verringert die Verpflichtungen von Newforma oder einer Tochtergesellschaft von Newforma gemäß dem Hauptvertrag in Bezug auf den Schutz personenbezogener Daten oder gestattet Newforma oder einer Tochtergesellschaft von Newforma die Verarbeitung (oder gestattet Newforma die Erlaubnis zur Verarbeitung) personenbezogener Daten in einer Weise, die vom Hauptvertrag verboten ist. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen diesem Nachtrag und den Standardvertragsklauseln besitzen die Standardvertragsklauseln Vorrang.
12.2 Vorbehaltlich des Abschnitts 12.1 in Bezug auf den Gegenstand dieses Nachtrags, haben, im Falle von Widersprüchen zwischen den Bestimmungen dieses Nachtrags und anderen Vereinbarungen zwischen den Parteien, einschließlich des Hauptvertrags und einschließlich (sofern nicht ausdrücklich schriftlich anders vereinbart, unterzeichnet im Namen der Parteien) Vereinbarungen, die nach dem Datum dieses Nachtrags geschlossen wurden oder geltend gemacht werden sollen, die Bestimmungen dieses Nachtrags Vorrang.
12.3 Mitteilungen im Rahmen dieses Nachtrags bedürfen der Schriftform und werden persönlich abgegeben, per eingeschriebenem Brief versandt oder per Kurierdienst zugestellt. Mitteilungen gelten als wirksam, wenn sie erhalten wurden, oder bei versuchter Zustellung, falls die Annahme verweigert wird. Mitteilungen sind an Newforma oder an 1750 Elm Street zu senden, 9. Stock, Manchester, NH 03104 USA, z. Hd.: Legal. Mitteilungen an den Kunden werden per Kurierdienst zugestellt oder an die primäre Rechnungsadresse des Kunden, die Newforma vorliegt, gesendet.
Anhang 1: DETAILS DER VERARBEITUNG VON PERSONENBEZOGENEN DATEN DES UNTERNEHMENS
Umfang, Art und Zweck der Verarbeitung
Die verarbeiteten und übermittelten personenbezogenen Daten unterliegen folgenden grundlegenden Verarbeitungsaktivitäten:
Die personenbezogenen Daten werden im Zusammenhang mit der Bereitstellung von vertraglich vereinbarten Leistungen an Kunden und Endnutzer des Kunden von Newforma und seinen verbundenen Unternehmen verarbeitet und übermittelt. Je nach den Merkmalen der spezifischen Leistungen, können die Verarbeitungsvorgänge bestehen aus:
1. Der Speicherung und Verarbeitung in Newformas Rechenzentren in Verbindung mit der Erbringung der Leistungen;
2. Dem Hosting von gesicherten Internet-Portalen für die Präsentation von Informationen in Verbindung mit Leistungen;
3. Dem Erstellen von Rechnungen und ergänzenden Informationen zur Rechnungsstellung;
4. Der Zurverfügungstellung technischen Supports;
5. Implementierungsservices und Schulung; sowie
6. Anderen Verarbeitungen wie sie in der Regel zur Bereitstellung von Projekt-Informationsmanagement als Service durchgeführt werden.
Dauer der Verarbeitung
Newforma wird die Verarbeitung und Übermittlung der personenbezogenen Daten des Kunden nach Ende der Bereitstellung der relevanten Leistungen innerhalb einer angemessenen Frist zur Beendigung der Verarbeitung und Übermittlung einstellen.
Kategorien betroffener Personen
Newforma verarbeitet und übermittelt personenbezogene Daten von Kontaktpersonen und Kundenendnutzern, die Newformas Leistungen in Anspruch nehmen.
Arten von personenbezogenen Daten
Die verarbeiteten oder übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien:
1. Zu den Kontaktpersonen des Kunden können folgende Kategorien gehören: Name, Titel, Geschlecht und geschäftliche Kontaktangaben (Geschäftsadresse, Telefonnummer, E-Mail-Adresse usw.);
2. In Bezug auf die Endnutzer, die die Leistungen in Anspruch nehmen, können die Kategorien, je nach den Merkmalen der spezifischen angebotenen Leistungen und in dem Umfang, der sich auf eine identifiziertte oder identifizierbare natürliche Person bezieht, Folgendes umfassen:
a. Name, Geschlecht, Abteilung, geschäftliche Kontaktdaten (E-Mail, Telefon, Mobiltelefon, Fax), Standort des Hauptsitzes und andere Kontaktdaten in dem vom Endnutzer bereitgestellten Umfang;
b. Benutzernamen und andere Anmeldedaten oder Anmeldeinformationen;
c. Details zu Anrufaufzeichnungen und andere Kommunikationsdetails im Zusammenhang mit ausgehender und eingehender Kommunikation (Telefonnummern, IP-Adressen und andere Kommunikationserkennungsinformationen, Datum, Uhrzeit und Dauer des Gesprächs und andere Daten, die im Allgemeinen für die Bereitstellung von Kommunikationsdiensten verarbeitet werden);
d. Hochgeladene Dateien, Nachrichten und Notizen;
e. Voicemail- und Anrufaufzeichnungen; und
f. Videoaufnahmen und Details zu Schulungsteilnehmern (Name, Telefonnummer und E-Mail-Adresse, sofern angegeben, IP-Adresse des Teilnehmercomputers).