Vertraglicher Anhang - Vereinbarung zur Auftragsverarbeitung (AVV)

Artikel 1: Definitionen

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen, wie in der Datenschutz-Grundverordnung (DSGVO) definiert.
Verantwortlicher: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.
Verletzung des Schutzes personenbezogener Daten: Eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Datenübermittlung: Jede Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR), einschließlich an ein Drittland oder eine internationale Organisation.
Cloud-Dienst: Jeder Dienst zur Verarbeitung, Speicherung oder Verwaltung personenbezogener Daten, der vom Auftragsverarbeiter über Cloud-Infrastrukturen bereitgestellt wird.
Für den Dienst erforderlicher Zugriff: Jeder Zugriff auf personenbezogene Daten, der für die Erbringung der definierten vertraglichen Dienste zwingend erforderlich ist, einschließlich Bereitstellung, Wartung, technischer Support, Systemüberwachung und Störungsbehebung, unter Ausschluss jeglichen Zugriffs für kommerzielle Analysen, Profiling oder Direktmarketing.
HDS (Hébergeur de Données de Santé): Spezifischer Status in Frankreich für Hosting-Anbieter von Gesundheitsdaten, der eine Zertifizierung durch eine akkreditierte Stelle erfordert.

Artikel 2: Gegenstand

Dieser Anhang regelt die Bedingungen und Modalitäten für die Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrags, einschließlich der Nutzung von Cloud-Diensten. Er soll sicherstellen, dass die Parteien die Verpflichtungen aus der DSGVO und den französischen Gesetzen zum Schutz personenbezogener Daten einhalten, falls der Auftragsverarbeiter als HDS zertifiziert ist, sowie die Anforderungen des CISPE-Verhaltenskodex erfüllen.

Artikel 3: Pflichten des Verantwortlichen

Rechtmäßigkeit der Verarbeitung: Der Verantwortliche verpflichtet sich, personenbezogene Daten rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise gemäß Artikel 5 und 6 der DSGVO zu verarbeiten.
Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
Datenminimierung: Der Verantwortliche muss sicherstellen, dass die erhobenen Daten dem Zweck angemessen, maßgeblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind.
Richtigkeit der Daten: Es liegt in der Verantwortung des Verantwortlichen sicherzustellen, dass die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind.
Sicherheit der Daten: Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau gemäß Artikel 32 der DSGVO zu gewährleisten. Dies schließt die regelmäßige Bewertung der Sicherheitsmaßnahmen der genutzten Cloud-Dienste ein.

Artikel 4: Pflichten des Auftragsverarbeiters

4.1 Verarbeitung gemäß Weisungen und Zugriffsbeschränkung

Der Auftragsverarbeiter verpflichtet sich:

Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch eine rechtliche Verpflichtung hierzu verpflichtet ist.
Seinen Zugriff auf personenbezogene Daten strikt auf den in Artikel 1 definierten für den Dienst erforderlichen Zugriff zu beschränken.
Sich ausdrücklich jeder Verarbeitung personenbezogener Daten zu folgenden Zwecken zu enthalten:
- Data Mining oder Datenexploration
- Profiling von Endnutzern oder Verhaltensanalyse
- Direktmarketing oder gezielte Werbung
- Jegliche kommerzielle Nutzung, die nicht mit der Ausführung der vertraglichen Dienste zusammenhängt.

4.2 Richtlinie für die Zugriffsverwaltung

Der Auftragsverarbeiter unterhält eine detaillierte Richtlinie für die Verwaltung des Zugriffs auf Kundendaten, die Folgendes umfasst:

Verfahren für die Erteilung und den Widerruf von Zugriffsberechtigungen
Identifikation autorisierter Personen und ihrer Zugriffsebenen
Physische und technische Zugriffskontrollen auf Infrastrukturen
Vollständige Protokollierung der Zugriffe mit einer Aufbewahrungsfrist von mindestens 24 Monaten
Verfahren für die Verwaltung von Notfallzugriffen und Aufsicht

4.3 Allgemeine Pflichten

Vertraulichkeit: Der Auftragsverarbeiter muss sicherstellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
HDS-Zertifizierung: Der Auftragsverarbeiter erklärt, als Host für Gesundheitsdaten zertifiziert zu sein und diese Zertifizierung während der gesamten Vertragslaufzeit aufrechtzuerhalten.
Sicherheit der Verarbeitung: Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der von ihm verarbeiteten personenbezogenen Daten, einschließlich solcher, die über Cloud-Dienste verarbeitet werden, gemäß Artikel 32 der DSGVO zu gewährleisten.
Unterauftragsverhältnisse: Der Auftragsverarbeiter darf ohne vorherige spezifische und schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter hinzuziehen. Im Falle eines genehmigten Unterauftragsverhältnisses muss der Auftragsverarbeiter sicherstellen, dass der weitere Auftragsverarbeiter dieselben Datenschutzpflichten einhält.
Unterstützung des Verantwortlichen: Der Auftragsverarbeiter muss den Verantwortlichen nach Möglichkeit dabei unterstützen, dessen Pflichten zur Datensicherheit, zur Meldung von Datenschutzverletzungen, zur Durchführung von Datenschutz-Folgenabschätzungen und zur vorherigen Konsultation von Aufsichtsbehörden zu erfüllen.
Datenlokalisierung: Der Auftragsverarbeiter muss klare Informationen über die Orte der Datenspeicherung und -verarbeitung in den Cloud-Infrastrukturen bereitstellen und sicherstellen, dass diese Orte den geltenden Datenschutzbestimmungen entsprechen.

Artikel 5: Beschreibung der Verarbeitung

Der Auftragsverarbeiter ist berechtigt, personenbezogene Daten im Namen des Verantwortlichen zu verarbeiten, die zur Erbringung der Dienste erforderlich sind. Die Art und Kategorie der Verarbeitungsvorgänge im Zusammenhang mit den personenbezogenen Daten werden vom Verantwortlichen entsprechend den spezifischen Anforderungen jedes Dienstes festgelegt. Die Zwecke der Verarbeitung werden vom Verantwortlichen bestimmt und dem Auftragsverarbeiter mitgeteilt. Art und Kategorien der verarbeiteten personenbezogenen Daten werden vom Verantwortlichen festgelegt. Die Kategorien der betroffenen Personen werden vom Verantwortlichen identifiziert. Zur Durchführung der Dienste stellt der Verantwortliche dem Auftragsverarbeiter die erforderlichen Informationen zur Verfügung. Die Dauer der Verarbeitung wird vom Verantwortlichen basierend auf den Anforderungen der bereitgestellten Dienste festgelegt.

Artikel 6: Rechte der betroffenen Personen

Auskunft und Berichtigung: Der Verantwortliche und der Auftragsverarbeiter müssen es den betroffenen Personen ermöglichen, ihre Rechte auf Auskunft und Berichtigung ihrer personenbezogenen Daten gemäß den Artikeln 15 und 16 der DSGVO auszuüben.
Löschung und Einschränkung der Verarbeitung: Die betroffenen Personen müssen ihre Rechte auf Löschung ihrer Daten (Recht auf Vergessenwerden) oder auf Einschränkung der Verarbeitung gemäß den Artikeln 17 und 18 der DSGVO ausüben können.
Datenübertragbarkeit: Der Verantwortliche muss, sofern anwendbar, die Übertragbarkeit der personenbezogenen Daten der betroffenen Personen gemäß Artikel 20 der DSGVO gewährleisten.
Widerspruch: Die betroffenen Personen müssen ihr Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten gemäß Artikel 21 der DSGVO ausüben können.

6.1 Modalitäten für die Ausübung von Rechten

Als Auftragsverarbeiter unterstützt Cloud Temple den Verantwortlichen bei der Erfüllung der Rechte der betroffenen Personen nach folgenden Modalitäten:

Standardprozess:

Anfragen werden in der Regel vom Verantwortlichen über die üblichen Kommunikationskanäle eingereicht: Account Manager und Service Delivery Manager.
Der Auftragsverarbeiter leistet im Rahmen seiner Rolle als Auftragsverarbeiter und der Fähigkeiten seiner Dienste technische Unterstützung.

Direkter Kontakt:

Für Ausnahmefälle oder spezifische Fragen kann der Datenschutzbeauftragte von Cloud Temple direkt kontaktiert werden: DPD@cloud-temple.com
Ein Validierungs-Workflow durch den Cloud Temple DPO wird beibehalten, um die Konsistenz der Antworten zu gewährleisten.
Die Rückverfolgbarkeit von Anfragen und ergriffenen Maßnahmen wird sichergestellt.

Eingang von Anfragen: Falls eine betroffene Person eine Anfrage zur Ausübung ihrer Rechte (Auskunft, Berichtigung, Löschung, Widerspruch, Einschränkung oder Übertragbarkeit) direkt an den Auftragsverarbeiter richtet, verpflichtet sich dieser, sie innerhalb von maximal 72 Stunden nach Eingang schriftlich an den Kunden weiterzuleiten. Der Auftragsverarbeiter wird der betroffenen Person ohne vorherige schriftliche Anweisung des Verantwortlichen nicht direkt antworten.

Technische Unterstützung und Ausführung: Der Auftragsverarbeiter verpflichtet sich, den Kunden unter den folgenden Bedingungen zu unterstützen, um die Ausübung von Rechten zu ermöglichen:

Auskunft und Übertragbarkeit: Der Auftragsverarbeiter stellt dem Kunden Tools oder Verfahren zur Verfügung, die die Extraktion von Gesundheitsdaten in einem strukturierten und gängigen Format ermöglichen.
Konsultation von Protokollen: In Übereinstimmung mit den Sicherheitsverpflichtungen ermöglicht der Host dem Kunden die Einsicht in die Zugriffsprotokolle für personenbezogene Gesundheitsdaten (DSCP), um Anfragen zu Datenzugriffen zu beantworten.
Berichtigung und Löschung: Der Auftragsverarbeiter verpflichtet sich, auf begründete Anfrage des Kunden die technischen Operationen zur endgültigen Änderung oder Löschung von Daten in Produktions- und Backup-Umgebungen auszuführen und ihm eine schriftliche Bestätigung darüber zukommen zu lassen.
Einschränkung: Im Falle einer Anfrage zur Einschränkung der Verarbeitung arbeitet der Auftragsverarbeiter mit dem Kunden zusammen, um technische Maßnahmen zur Isolierung oder Sperrung der betreffenden Daten umzusetzen.
Dokumentation: Der Auftragsverarbeiter stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um nachzuweisen, dass die getroffenen technischen Maßnahmen die tatsächliche Wahrung der Rechte von Einzelpersonen ermöglichen.

Artikel 7: Sicherheits- und Vertraulichkeitsmaßnahmen

Der Auftragsverarbeiter verpflichtet sich insbesondere, ausreichende Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit von personenbezogenen Daten, insbesondere Gesundheitsdaten, zu ergreifen, die im Rahmen der Dienste anvertraut und verarbeitet werden, namentlich:

Ergreifen geeigneter technischer und organisatorischer Maßnahmen, um personenbezogene Daten gegen versehentliche oder unrechtmäßige Zerstörung, versehentlichen Verlust, Veränderung, unbefugte Offenlegung oder Zugang sowie gegen jede andere Form unrechtmäßiger Verarbeitung zu schützen.
Personenbezogene Daten nicht für eigene Rechnung oder für Dritte zu verwenden und nicht ohne vorherige schriftliche Zustimmung des Verantwortlichen oder des Endkunden zu übertragen.
Sicherstellen, dass Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, angemessenen Vertraulichkeitsverpflichtungen unterliegen.
Keine Kopien oder Vervielfältigungen personenbezogener Daten ohne vorherige schriftliche Genehmigung des Verantwortlichen oder des Endkunden anzufertigen (es sei denn, dies ist für die Erbringung der vom Dienstleister im Rahmen des Vertrags erbrachten Dienste erforderlich).
Den Verantwortlichen über jeden versehentlichen oder unbefugten Zugriff auf personenbezogene Daten, jeden Verstoß gegen Vorschriften zu personenbezogenen Daten oder jeden Verdacht auf einen solchen Verstoß so bald wie möglich, spätestens jedoch 48 Stunden nach Kenntniserlangung, zu informieren.
Je nach Wahl des Verantwortlichen die personenbezogenen Daten bei Vertragsende zu löschen oder zurückzugeben und vorhandene Kopien zu vernichten, sofern keine gesetzliche Verpflichtung zur Aufbewahrung besteht.
Eine Informationssicherheitsrichtlinie sowie ein logisches und physisches Zugriffsrechtemanagement zu implementieren, die während der gesamten Vertragslaufzeit aufrechterhalten und weiterentwickelt werden müssen.
Verschlüsseln der gespeicherten Daten.

Der Auftragsverarbeiter implementiert ein System zur Kontrolle des Zugriffs auf Kundendaten, umfassend:

Ein starkes Authentifizierungs- und Identitätsmanagementsystem
Eine Richtlinie des geringsten Privilegs mit regelmäßiger Überprüfung der Berechtigungen
Trennung von Kundenumgebungen und Datenisolierung
Ein umfassendes Protokollierungssystem mit automatischen Warnmeldungen
Regelmäßige Audits von Zugriffen und Sicherheitskontrollen.

Artikel 8: Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten oder Gesundheitsdaten muss der Auftragsverarbeiter den Verantwortlichen unverzüglich nach Kenntniserlangung benachrichtigen. Diese Meldung muss Folgendes enthalten:

Die Art der Verletzung des Schutzes personenbezogener Daten
Die Kategorien und ungefähre Anzahl der betroffenen Personen
Die Kategorien und ungefähre Anzahl der betroffenen Datensätze
Name und Kontaktdaten der Anlaufstelle, bei der weitere Informationen erhältlich sind
Die wahrscheinlichen Folgen der Datenschutzverletzung
Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Diese Benachrichtigung muss die potenziellen Auswirkungen auf die in der Cloud gehosteten Daten und die zu ihrer Behebung ergriffenen Maßnahmen spezifizieren, sodass der Verantwortliche diese Verletzung der zuständigen Aufsichtsbehörde und gegebenenfalls den betroffenen Personen gemäß Artikel 33 der DSGVO melden kann.

Artikel 9: Datenübermittlungen in Länder außerhalb der Europäischen Union

9.1 Datenlokalisierung je nach Diensten

Cloud-Dienste:

Alle personenbezogenen Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert.
Alle Infrastrukturen und Rechenzentren befinden sich in der Europäischen Union.
Der Kunde kann aus den verfügbaren europäischen Standorten geografische Zonen für die Verarbeitung auswählen.
Es findet keine Verarbeitung oder Speicherung von Daten außerhalb der Europäischen Union statt.

Managed Services (Infogérance):

Personenbezogene Daten werden standardmäßig innerhalb der Europäischen Union verarbeitet und gespeichert.
Technische Support-Teams außerhalb der Europäischen Union müssen möglicherweise im Rahmen der Leistungserbringung auf die Daten zugreifen, dies geschieht jedoch ausschließlich mit vorheriger schriftlicher Zustimmung des Verantwortlichen.
Diese Zugriffe sind strikt auf betriebliche Erfordernisse beschränkt und durch die entsprechenden DSGVO-Garantien abgesichert.

9.2 Bedingungen für Übermittlungen außerhalb der EU

Jeder Zugriff oder jede Übermittlung personenbezogener Daten durch Teams oder an Drittländer darf nur durchgeführt werden mit:

Der vorherigen schriftlichen Genehmigung des Verantwortlichen für den betreffenden Dienst.
Einhaltung der durch die DSGVO, insbesondere in den Artikeln 44 bis 50, festgelegten Bedingungen.
Der Umsetzung angemessener Garantien, wie beispielsweise von der Europäischen Kommission genehmigte Standardvertragsklauseln oder das Vorliegen eines Angemessenheitsbeschlusses.
Der Beschränkung des Zugriffs ausschließlich auf betriebliche Erfordernisse.

Artikel 10: Dauer und Beendigung der Verarbeitung

10.1 Vertragsende

Bei Beendigung des Hauptvertrags verpflichtet sich der Auftragsverarbeiter, gemäß den Anweisungen des Verantwortlichen alle personenbezogenen Daten zu löschen oder an den Verantwortlichen zurückzugeben und bestehende Kopien zu vernichten, sofern keine anderslautende rechtliche Verpflichtung besteht.

10.2 Wiederherstellungsprozess

Der Auftragsverarbeiter stellt einen detaillierten Leitfaden zur Verfügung, der es dem Verantwortlichen ermöglicht, seine Daten in einem standardisierten und nutzbaren Format wiederherzustellen, einschließlich:

Verfügbare Exportformate
Verfahren zur Wiederherstellung
Bereitstellungsfristen
Verfügbare technische Unterstützung.

10.3 Fristen für die Datenlöschung

Der Auftragsverarbeiter verpflichtet sich zu folgenden Fristen:

Logische Löschung: innerhalb von 48 Stunden nach der Anfrage
Endgültige physische Löschung: innerhalb von 30 Kalendertagen nach der logischen Löschung
Löschbestätigung: Vernichtungszertifikat, ausgestellt innerhalb von 5 Werktagen nach der physischen Löschung.

Diese Verpflichtung erstreckt sich auch auf Daten, die auf Backup-Medien in Cloud-Infrastrukturen gespeichert sind, es sei denn, eine gesetzliche Verpflichtung verlangt ihre Aufbewahrung. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen mit rechtlicher Begründung und Aufbewahrungsfrist.

Artikel 11: Dokumentation und Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem Anhang festgelegten Verpflichtungen nachzuweisen, und ermöglicht und trägt zu Audits bei, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, um die Einhaltung dieses Anhangs und der DSGVO zu überprüfen.

Der Auftragsverarbeiter stellt dem Verantwortlichen zur Verfügung:

Eine spezielle Seite, die alle Compliance-Prozesse auflistet und auf dem neuesten Stand gehalten wird unter: https://www.cloud-temple.com/demarches-conformite/
Verfügbare Konformitätszertifikate (ISO 27001, SecNumCloud, HDS, ISAE, etc.)
Empfehlungen für die sichere Nutzung von Cloud Temple-Diensten, einschließlich:
- Best Practices zum Schutz des Zugriffs auf die Cloud-Konsole
- Kontrollierte Verwaltung von Zugriffen und Berechtigungen
- Sicherung der über Cloud-Dienste bereitgestellten Ressourcen.

Artikel 12: Verzeichnis von Verarbeitungstätigkeiten

12.1 Inhalt des Verzeichnisses

Der Auftragsverarbeiter führt ein elektronisches Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 2 DSGVO. Dieses Verzeichnis enthält die Liste der Kunden, für die Cloud Temple als Auftragsverarbeiter tätig ist, mit für jeden Kunden:

Kontaktdaten des Kundenunternehmens und des Datenschutzbeauftragten (Name, Vorname, Telefon, E-Mail)
Die Kategorien von Verarbeitungen, die im Namen dieses Kunden durchgeführt werden
Übermittlungen in ein Drittland außerhalb der Europäischen Union, falls zutreffend
Die umgesetzten technischen und organisatorischen Sicherheitsmaßnahmen.

12.2 Automatisierte Verwaltung

Das Verzeichnis wird automatisch aktualisiert bei:

Vertragsabschlüssen mit neuen Kunden
Änderungen bestehender Dienste
Weiterentwicklungen der Sicherheitsmaßnahmen.

12.3 Zugriff auf das Verzeichnis

Auf schriftliche Anfrage:

Der Verantwortliche kann nur auf die ihn betreffenden Informationen im Verzeichnis zugreifen.
Die zuständigen Behörden (CNIL, ANSSI, etc.) können im Rahmen ihrer Kontrollaufgaben auf das vollständige Verzeichnis zugreifen.

Der Auftragsverarbeiter hat ab Eingang der Anfrage eine Frist von 15 Werktagen, um die angeforderten Informationen mitzuteilen. Ein Validierungsprozess für legitime Anfragen ist implementiert, um die Vertraulichkeit sensibler Informationen sicherzustellen.

Artikel 13: Weitere Auftragsverarbeiter

Der Auftragsverarbeiter muss möglicherweise einen oder mehrere externe Dienstleister/Zulieferer mit der Erbringung spezifischer Leistungen beauftragen, die unter den Vertrag fallen. Zu diesem Zweck kann der Auftragsverarbeiter unter seiner Verantwortung einen oder mehrere Unterauftragsverarbeiter zweiter Ebene beauftragen, mit dem alleinigen Zweck, einen Teil der für das verwaltete System erforderlichen Dienste zu erbringen.

Der Auftragsverarbeiter verpflichtet sich, einen bindenden Rechtsakt mit jedem weiteren Unterauftragsverarbeiter abzuschließen, den er für die Datenverarbeitung beauftragt, um ihm die Einhaltung der Anforderungen der DSGVO und der gleichen Pflichten wie die in Artikel 20.2 vorgesehenen aufzuerlegen. Insbesondere muss der Auftragsverarbeiter sicherstellen, dass der von ihm beauftragte weitere Unterauftragsverarbeiter hinreichende Garantien für die Umsetzung der erforderlichen Sicherheitsmaßnahmen bietet, insbesondere im Zusammenhang mit Gesundheitsdaten.

Falls der weitere Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nachkommt, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen in vollem Umfang haftbar, unbeschadet der in den Artikeln 79 und 82 DSGVO festgelegten Rechte der betroffenen Personen.

Die Liste der zugelassenen weiteren Unterauftragsverarbeiter ist wie folgt:

Unterauftragsverarbeiter	Tätigkeit	Standort	Genehmigungsdatum
Digital Realty	Datacenter-Hosting	Frankreich / EU	15/01/2025
Data4	Datacenter-Hosting	Frankreich / EU	15/01/2025
Telehouse	Datacenter-Hosting	Frankreich / EU	15/01/2025
Iron Mountain	Band-Outsourcing	Frankreich / EU	15/01/2025

hinweis

Iron Mountain ist nicht HDS-zertifiziert.

Zusätzlich zu diesen Unterauftragsverarbeitern kommen die des Vertrags hinzu.

Während der Laufzeit des Vertrags kann der Verantwortliche jederzeit beim Auftragsverarbeiter auf die Aktualisierung dieser Liste zugreifen. Der Auftragsverarbeiter teilt dem Verantwortlichen jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder den Ersatz anderer Auftragsverarbeiter schriftlich mit, mindestens 30 Kalendertage vor der Umsetzung. Für jeden neuen kritischen Unterauftragsverarbeiter ist eine vorherige spezifische Genehmigung des Verantwortlichen erforderlich.

Artikel 14: Haftung

Der Verantwortliche und der Auftragsverarbeiter erkennen an, dass sie für Schäden haftbar gemacht werden können, die durch eine Verarbeitung personenbezogener Daten verursacht werden, die nicht mit der DSGVO und den geltenden französischen Gesetzen übereinstimmt. Der Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Artikel 15: Änderungen

Jede Änderung dieses Anhangs muss Gegenstand einer schriftlichen Zusatzvereinbarung sein, die von beiden Parteien unterzeichnet wird. Die Änderungen müssen den Anforderungen der DSGVO und der französischen Gesetze zum Schutz personenbezogener Daten entsprechen.

Artikel 16: Anwendbares Recht und Gerichtsstand

Dieser Anhang unterliegt französischem Recht. Für alle Streitigkeiten im Zusammenhang mit seiner Auslegung oder Ausführung sind ausschließlich die französischen Gerichte zuständig. Bei Abweichungen zwischen den Sprachversionen dieses Anhangs ist die französische Version maßgeblich.

Artikel 1: Definitionen​

Artikel 2: Gegenstand​

Artikel 3: Pflichten des Verantwortlichen​

Artikel 4: Pflichten des Auftragsverarbeiters​

4.1 Verarbeitung gemäß Weisungen und Zugriffsbeschränkung​

4.2 Richtlinie für die Zugriffsverwaltung​

4.3 Allgemeine Pflichten​

Artikel 5: Beschreibung der Verarbeitung​

Artikel 6: Rechte der betroffenen Personen​

6.1 Modalitäten für die Ausübung von Rechten​

Artikel 7: Sicherheits- und Vertraulichkeitsmaßnahmen​

Artikel 8: Meldung von Datenschutzverletzungen​

Artikel 9: Datenübermittlungen in Länder außerhalb der Europäischen Union​

9.1 Datenlokalisierung je nach Diensten​

9.2 Bedingungen für Übermittlungen außerhalb der EU​

Artikel 10: Dauer und Beendigung der Verarbeitung​

10.1 Vertragsende​

10.2 Wiederherstellungsprozess​

10.3 Fristen für die Datenlöschung​

Artikel 11: Dokumentation und Audits​

Artikel 12: Verzeichnis von Verarbeitungstätigkeiten​

12.1 Inhalt des Verzeichnisses​

12.2 Automatisierte Verwaltung​

12.3 Zugriff auf das Verzeichnis​

Artikel 13: Weitere Auftragsverarbeiter​

Artikel 14: Haftung​

Artikel 15: Änderungen​

Artikel 16: Anwendbares Recht und Gerichtsstand​