Datenschutzanforderungen für Lieferanten

Transkript

1 Aktualisiert: 15. Februar Begriffsbestimmungen Datenschutzanforderungen für Lieferanten 1.1 Vertrag bezeichnet den Dienstleistungsrahmenvertrag, die allgemeinen Bestellbedingungen oder sonstige Verträge, nach denen der Dienstleister Dienstleistungen gegenüber dem Kunden erbringt. 1.2 Dienstleister bezeichnet den Dienstleister oder Lieferanten, der die im Vertrag niedergelegten Dienstleistungen erbringt. 1.3 Kunde bezeichnet das Unternehmen der RELX Group, das die im Vertrag geregelten Dienstleistungen in Anspruch nimmt. 1.4 Personenbezogene Daten bezeichnet die persönlichen Informationen oder personenbezogenen Daten, die der Dienstleister im Auftrag des Kunden gemäß dem Vertrag Verarbeitet. 1.5 Verarbeiten bezeichnet die Verarbeitung oder den sonstigen Zugriff auf Personenbezogene Daten oder Vorgänge oder Vorgangsreihen daran, und Verarbeitung und Verarbeitet sind entsprechend zu verstehen. 1.6 Datenschutzgesetze bezeichnet alle Gesetze, Regelungen, Verordnungen, Erlasse, Verfügungen oder sonstigen Verpflichtungen, die für den Schutz oder die Verarbeitung Personenbezogener Daten gelten, einschließlich sofern einschlägig der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ( DSGVO ) gültig ab 25. Mai 2018, und alle diese umsetzende, daraus abgeleitete oder damit zusammenhängende Rechtsvorschriften, Regelungen oder Verordnungen der Europäischen Union ( Union ), eines EU-Mitgliedstaats ( Mitgliedstaat ) oder des Vereinigten Königreichs. 1.7 Die Begriffe personenbezogene Daten, betroffene Person, Verarbeitung, Verantwortlicher, Auftragsverarbeiter, Verletzung des Schutzes personenbezogener Daten und Aufsichtsbehörde haben die gleiche Bedeutung, die ihnen in den Datenschutzgesetzen zugewiesen wird, und soweit in Datenschutzgesetzen die Begriffe persönliche Informationen, verantwortliche Stelle oder Auftragsdatenverarbeiter verwendet werden, sind sie als jeweils gleichbedeutend mit den Begriffen personenbezogene Daten, Verantwortlicher und Auftragsverarbeiter zu verstehen. 2. Beschreibung der Verarbeitung Art und Zweck der vom Dienstleister im Auftrag des Kunden ausgeführten Verarbeitungstätigkeiten müssen mit der Erbringung der vertraglich niedergelegten Dienstleistungen in Verbindung stehen.

2 Die Dauer der Verarbeitung richtet sich nach der Dauer der Berechtigung des Kunden, die Dienstleistungen gemäß den Vorgaben des nachfolgenden Paragraphen 15 zu erhalten oder zu nutzen. Bei den Kategorien betroffener Personen handelt es sich um Endbenutzer des Kunden, Kunden, Interessenten, Geschäftspartner, Lieferanten, Auftragnehmer, Mitarbeiter, Vertreter, Berater und/oder sonstige Personen, über die dem Dienstleister im Rahmen der Dienstleistungen Personenbezogene Daten durch den Kunden oder auf dessen Weisung übermittelt werden. Die Art der Personenbezogenen Daten umfasst Kontaktdaten, Einzelheiten zur beruflichen Tätigkeit, Profilinformationen, eindeutige Kennungen und sonstige Arten personenbezogener Daten, die in den Datenschutzgesetzen festgelegt sind, und/oder Dokumente, Bilder oder sonstige Personenbezogene Daten enthaltende Inhalte, die dem Dienstleister im Rahmen der Dienstleistungen durch den Kunden oder auf dessen Weisung übermittelt werden. Alle zusätzlichen Einzelheiten über die vom Dienstleister im Auftrag des Kunden ausgeführten Verarbeitungstätigkeiten und die die Verarbeitung betreffenden Weisungen an den Dienstleister durch den Kunden sind in einer Leistungsbeschreibung, Bestellung oder einem anderen Zusatz zum Vertrag darzulegen. 3. Verarbeitungsbeschränkungen Der Dienstleister Verarbeitet die Personenbezogenen Daten nur soweit erforderlich (i) für die Erfüllung seiner Verpflichtungen aus dem Vertrag und (ii) ansonsten gemäß den dokumentierten Weisungen des Kunden, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten oder sonstigem geltenden Recht, dem der Dienstleister unterliegt, zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Dienstleister dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 4. Personal Der Dienstleister hat zu gewährleisten, dass sich die zur Verarbeitung der Personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und die Personenbezogenen Daten ausschließlich auf Weisung des Kunden Verarbeiten, es sei denn, dass sie nach dem Unionsrecht, dem Recht der Mitgliedstaaten oder sonstigem geltenden Recht zur Verarbeitung verpflichtet sind. 5. Sicherheit Der Dienstleister hat geeignete technische und organisatorische Maßnahmen, einschließlich derjenigen, die im Vertrag festgelegt sind, umzusetzen und aufrechtzuerhalten, so dass die Verarbeitung Personenbezogener Daten durch ihn den Anforderungen der DSGVO (einschließlich aller gemäß Artikel 32 der DSGVO erforderlichen Maßnahmen) entspricht, soweit diese anwendbar sind, um den Schutz der Rechte der betroffenen Personen zu gewährleisten und ein Schutzniveau zu bieten, das mindestens mit dem nach den Datenschutzgesetzen erforderlichen Schutz vergleichbar ist. 2

3 6. Benachrichtigung des Kunden über Anträge Soweit rechtlich zulässig, hat der Dienstleister den Kunden unverzüglich schriftlich über alle Anträge einer betroffenen Person, Aufsichtsbehörde oder eines sonstigen Dritten, über Vorladungen oder sonstige gerichtliche oder verwaltungsrechtliche Anordnungen, Anfragen einer staatlichen Stelle oder sonstige Verfahren zu benachrichtigen, die dem Dienstleister mit dem Ziel des Zugriff auf oder der Offenlegung von Personenbezogenen Daten zugehen. Der Kunde hat das Recht, einer solchen Maßnahme zu widersprechen oder diesbezüglich zu intervenieren oder den betreffenden Antrag auf eigene Kosten anstelle und im Namen des Dienstleisters zu bearbeiten, sofern dies nicht gesetzlich ausgeschlossen ist. Der Dienstleister hat mit dem Kunden in diesen Verfahren in angemessener Weise zusammenzuarbeiten. 7. Unterstützung des Kunden 7.1 Unter Berücksichtigung der Art der Verarbeitung hat der Dienstleister den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen zu unterstützen, um seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den Datenschutzgesetzen (einschließlich Kapitel III der DSGVO) genannten Rechte der betroffenen Person nachzukommen. 7.2 Der Dienstleister hat den Kunden bei der Einhaltung seiner Pflichten in Bezug auf die Datensicherheit, die Meldung von Verletzungen des Schutzes personenbezogener Daten und sonstiger Pflichten aus den Datenschutzgesetzen (einschließlich Artikel 32 bis 36 der DSGVO) unter Berücksichtigung der Art der Verarbeitung und der dem Dienstleister zur Verfügung stehenden Informationen zu unterstützen. 8. Verletzungen des Schutzes personenbezogener Daten Der Dienstleister hat den Kunden unverzüglich zu benachrichtigen, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, und angemessene Anstrengungen zu unternehmen, um den Kunden bei der Untersuchung und Beseitigung der Verletzung des Schutzes personenbezogener Daten zu unterstützen. 9. Rechenschaftspflicht 9.1 Vorbehaltlich des Vorliegens angemessener Vertraulichkeitsverpflichtungen hat der Dienstleister dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der Datenschutzgesetze (einschließlich der in Artikel 28 der DSGVO niedergelegten Pflichten) zur Verfügung zu stellen und Überprüfungen, einschließlich Inspektionen, die vom Kunden oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen. 9.2 Der Dienstleister hat den Kunden unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. 3

4 10. Sub-Auftragsverarbeiter 10.1 Der Dienstleister verpflichtet sich keinen anderen Auftragsverarbeiter für die Verarbeitung Personenbezogener Daten in Anspruch zu nehmen ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Kunden. Im Fall einer allgemeinen schriftlichen Genehmigung hat der Dienstleister den Kunden über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter zu informieren, wodurch der Kunde die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben Nimmt der Dienstleister die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Auftrag des Kunden auszuführen, so sind diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht, dem Recht des betreffenden Mitgliedstaats oder sonstigem geltenden Recht dieselben Datenschutzpflichten aufzuerlegen, die hierin und in dem Vertrag oder anderen Rechtsinstrument zwischen den Parteien festgelegt sind. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Dienstleister im vollen Umfang für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters Der Kunde genehmigt hiermit dem Dienstleister die Einbindung weiterer Auftragsverarbeiter zur Verarbeitung Personenbezogener Daten. Der Dienstleister informiert den Kunden über beabsichtigte Änderungen dieser Auftragsverarbeiter mittels dessen Webseite oder des im Vertrag vorgesehenen Benachrichtigungsmechanismus. 11. Verarbeitungsort Personenbezogene Daten können in jedes Land übertragen werden, in dem der Dienstleister und die von ihm in Anspruch genommenen Auftragsverarbeiter Einrichtungen unterhalten, sofern geeignete Garantien gemäß den Datenschutzgesetzen (einschließlich Artikel 46 der DSGVO) vorliegen. 12. Weiterübermittlungen im Rahmen des Privacy Shield Handelt es sich bei dem Kunden um ein US-amerikanisches Unternehmen, das sich Privacy Shield zertifiert hat ( und personenbezogene Daten (gemäß der Begriffsbestimmung im Privacy Shield) infolge seiner Privacy Shield-Zertifizierung an den Dienstleister als Erfüllungsgehilfen zur Verarbeitung (gemäß der Begriffsbestimmung im Privacy Shield) weiter übermittelt, verpflichtet sich der Dienstleister: (i) diesen personenbezogenen Daten mindestens das gleiche Schutzniveau zu gewähren, das in den Grundsätzen des Privacy Shield und den anwendbaren ergänzenden Grundsätzen vorgesehen ist; (ii) den Kunden zu benachrichtigen, wenn er feststellt, dass er seiner Verpflichtung zur Gewährung eines diesen Grundsätzen entsprechenden Schutzniveaus nicht mehr nachkommen kann; (iii) nach Benachrichtigung, einschließlich gemäß vorstehender Ziffer (ii), zumutbare und geeignete Schritte zu unternehmen, um die Verarbeitung zu beenden und jegliche unbefugte Verarbeitung der personenbezogenen Daten rückgängig zu machen und (iv) der Kunde kann auf Verlangen dem Handelsministerium der Vereinigten Staaten und jeder weiteren Aufsichtsbehörde, die im Zusammenhang mit der Durchsetzung des Privacy Shield ein Zugangsrecht hat, eine Kopie dieses Dokuments und der maßgeblichen Bestimmungen des Vertrages zur Verfügung stellen. 4

5 13. Schulungen Der Dienstleister hat für das Personenbezogene Daten Verarbeitende Personal geeignete Datenschutzschulungen durchzuführen (einschließlich in der gegebenenfalls in den Datenschutzgesetzen vorgesehenen Form). 14. Ansprüche Sieht sich der Kunde einem tatsächlichen oder möglichen Anspruch aus oder im Zusammenhang mit einem Verstoß gegen die Datenschutzgesetze (z. B. Artikel 82 der DSGVO) in Bezug auf die vom Dienstleister nach dem Vertrag erbrachten Dienstleistungen gegenüber, hat der Dienstleister umgehend alle Materialien und Informationen zur Verfügung zu stellen, die für die Verteidigung gegen den Anspruch und die dem Anspruch zugrundeliegenden Umstände von Bedeutung sind. 15. Vernichtung Unmittelbar nach Abschluss der Erbringung der Verarbeitungsleistungen oder auf Verlangen des Kunden zu einem früheren Zeitpunkt, hat der Dienstleister nach Wahl des Kunden alle Personenbezogenen Daten zu löschen oder an den Kunden oder einen von ihm benannten Vertreter (in dem vom Kunden in vertretbarer Weise geforderten Datenformat) zurückzugeben und bestehende Kopien zu löschen, sofern nicht nach dem Unionsrecht, dem Recht der Mitgliedstaaten oder sonstigem geltenden Recht eine Verpflichtung zur Aufbewahrung der Personenbezogenen Daten besteht. Auf Verlangen des Kunden hat der Dienstleister die Vernichtung schriftlich zu bestätigen. 5