3.1 Verarbeitung von Personenbezogenen Daten durch Mews
Mews behandelt Personenbezogene Daten als Vertrauliche Informationen und Verarbeitet Personenbezogene Daten nur im Auftrag und in Übereinstimmung mit den dokumentierten Anweisungen des Partners für die folgenden Zwecke: (i) Verarbeitung gemäß dem Vertrag; (ii) Verarbeitung, die von Autorisierten Benutzern im Rahmen ihrer Nutzung der Dienste veranlasst wird; und (iii) Verarbeitung zur Erfüllung anderer dokumentierter, angemessener Anweisungen des Partners (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen des Vertrags übereinstimmen. Der Partner beauftragt Mews hiermit, die Betroffenen Personen per E-Mail über die Verarbeitung ihrer Personenbezogenen Daten im Auftrag des Partners und über die Möglichkeit zu informieren, die Mews-Dienste zur Verwaltung der Daten, Buchungen und damit verbundenen Dienstleistungen der Betroffenen Personen zu verwenden. Mews führt ein Protokoll über die tatsächlich durchgeführten Verarbeitungsvorgänge.
3.2 Technische und organisatorische Maßnahmen
Mews unterhält und implementiert angemessene und geeignete technische und organisatorische Maßnahmen, die darauf abzielen, Personenbezogene Daten gegen -ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu Personenbezogenen Daten zu schützen und die Sicherheit der Personenbezogenen Daten und der zur Bereitstellung der Dienste verwendeten Plattformen gemäß der Beschreibung in den Datenschutzgesetzen sicherzustellen. Bei der Umsetzung derartiger Maßnahmen ist Mews berechtigt, bei der Bestimmung dessen, was angemessen ist, die aktuelle Standardpraxis zu berücksichtigen sowie die Verhältnismäßigkeit der Kosten für die Umsetzung derartiger Maßnahmen im Vergleich zum potenziellen Schaden für die Betroffenen Personen zu prüfen, vor dem die Umsetzung dieser Maßnahmen schützen soll.
3.3 Personal
Mews stellt sicher, dass sein mit der Verarbeitung Personenbezogener Daten befasst Personal über seine Pflichten und Verantwortlichkeiten im Rahmen dieses Vertrags informiert ist, eine entsprechende Schulung erhalten hat und über die Vertraulichkeit der Personenbezogenen Daten Kenntnis hat. Das „Personal“ bedeutet diejenigen Mitarbeiter und/oder Vertreter, Berater, Unterauftragnehmer oder sonstige Dritte: (i) die von Mews eingestellt werden, damit das Mews seine Verpflichtungen gegenüber dem Partner im Rahmen des Vertrags oder des Nachtrags erfüllen kann, und (ii) die im Wesentlichen im gleichen Umfang Vertraulichkeitsverpflichtungen unterliegen, wie sie im Vertrag und im Nachtrag festgelegt sind. Mews stellt sicher, dass der Zugang des Personals auf die Personenbezogenen Daten auf diejenigen Personen beschränkt ist, die die Dienste gemäß dem Vertrag erbringen, und dass die Vertraulichkeitsverpflichtungen des Personals auch nach der Beendigung des Arbeitsverhältnisses des Personals bestehen bleiben.
3.4 Benachrichtigungen.
Mews benachrichtigt den Partner so schnell wie wirtschaftlich vertretbar in schriftlicher Form über:
3.4.1 jede Mitteilung einer Person in Bezug auf (i) die Rechte einer Person auf Zugang, Änderung, Berichtigung, Löschung oder Sperrung ihrer Personenbezogenen Daten; (ii) das Recht einer Person auf Berichtigung, Einschränkung oder Löschung ihrer Personenbezogenen Daten, auf Datenübertragbarkeit, auf Widerspruch gegen die Verarbeitung und darauf, keiner automatisierten Entscheidungsfindung unterworfen zu sein; und (iii) jede Beschwerde über die Verarbeitung Personenbezogener Daten durch den Partner; soweit dies nicht gesetzlich untersagt ist, jede Vorladung oder sonstige gerichtliche oder behördliche Anordnung oder jedes Verfahren, das den Zugang zu oder die Offenlegung von Personenbezogenen Daten verlangt;
3.4.2 alle Beschwerden, Benachrichtigungen oder sonstigen Mitteilungen, die sich auf die Einhaltung der Datenschutzgesetze und die Verarbeitung Personenbezogener Daten durch den Partner beziehen, soweit dies nicht gesetzlich untersagt ist. Mews bietet dem Partner eine wirtschaftlich angemessene Zusammenarbeit und Unterstützung (zu Kostenlasten des Partners) in Bezug auf eine solche Beschwerde, Benachrichtigung oder Mitteilung; und
3.4.3 im Falle einer wesentlichen Sicherheitsverletzung der Dienste, die zu -ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung von beziehungsweise unbefugtem Zugang zu Personenbezogenen Daten führt, von der wir gemäß dem anwendbaren Recht Kenntnis erhalten („Sicherheitsverletzung“). Mews wird sich in angemessener Weise bemühen, die Ursache einer solchen Sicherheitsverletzung zu ermitteln und die notwendigen und zumutbaren Schritte zu unternehmen, die für den Partner akzeptabel sind, um die Ursache einer solchen Sicherheitsverletzung zu beheben, soweit die Behebung sich im Rahmen der zumutbaren Einflussnahme von Mews befindet. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die vom Partner verursacht wurden.
3.5 Kein Anerkenntnis
Der Partner erklärt sich damit einverstanden, dass die Verpflichtung von Mews zur Meldung der Sicherheitsverletzung nicht als Anerkenntnis eines Verschuldens oder einer Haftung von Mews in Bezug auf diese Sicherheitsverletzung ausgelegt wird.
3.6 Datenrückgabe und Löschung
Vorbehaltlich der in den geltenden Gesetzen festgelegten Beschränkungen gibt Mews dem Partner alle dauerhaften Personenbezogenen Daten (sofern sie nicht bereits gemäß den geltenden Gesetzen gelöscht wurden) nach standardisierten Verfahren und innerhalb wirtschaftlich angemessener Fristen zurück.
3.7 Compliance durch Mews
Mews hält sich an die Datenschutzgesetze, die für seine eigenen Tätigkeiten und die Erbringung der Dienste im Rahmen des Vertrags sowie für seine Verpflichtungen aus diesem Nachtrag gelten.
3.8 Gemeinsame Nutzung von Daten
a) DSGVO, dem Dritten Zugang zu allen Personenbezogene Daten und allen anderen Daten zu gewähren, die im Mews-Konto des Partners verarbeitet werden. Der Partner ist verantwortlich für die Einholung aller erforderlichen Einwilligungen der Betroffene Personen oder sonstiger Dritter für die gemeinsame Nutzung der Daten gemäß den geltenden Datenschutzgesetzen. Der Partner verpflichtet sich, Mews und seine Verbundenen Unternehmen von allen Ansprüchen, die von Betroffenen Person oder von Dritten aufgrund der Verletzung dieser Klausel erhoben werden, einschließlich aller Verbindlichkeiten, Schäden, Verluste, Kosten und Ausgaben, in vollem Umfang freizustellen, zu verteidigen und schadlos zu halten.
3.9 Integrationen
Die Mews-Plattform bietet mehrere Integrationen. Durch die Verbindung oder das Abonnement der jeweiligen Integration über das Mews-Konto beauftragt der Partner Mews gemäß Artikel 28 (3) a) DSGVO, dem jeweiligen Integrationspartner Zugang zu den Personenbezogenen Daten zu gewähren, die im Mews-Konto des Partners verarbeitet werden, soweit dies für die Interoperation der Dienste oder Produkte des Integrationspartners mit den Mews-Diensten erforderlich ist.
3.10 Überprüfung
Der Partner hat das Recht, eine Überprüfung durchzuführen, um zu prüfen, ob Mews seinen in Artikel 28 DSGVO und in diesem Nachtrag festgelegten Verpflichtungen nachkommt. Mews gestattet dem Partner die Durchführung der Überprüfung unter den folgenden Bedingungen:
- Der Partner bittet Mews mindestens 30 (dreißig) Tage im Voraus schriftlich um die Durchführung der Überprüfung;
- Der Partner wird die Tagesordnung für eine solche Überprüfung in der Benachrichtigung gemäß (i) angeben;
- Die Überprüfung findet nicht öfter als einmal pro Jahr statt;
- Alle damit verbundenen Kosten und Ausgaben werden vom Partner getragen und Mews auf Verlangen erstattet; und
- Die Überprüfung darf nicht länger als einen Arbeitstag (8 Stunden) des Mews-Vertreters beanspruchen.
Falls der Partner die Prüfung durch eine dritte unabhängige Partei - einen externen zugelassenen Prüfer - verlangt, kann Mews einen externen zugelassenen Prüfer, der vom Partner mit der Durchführung der Überprüfung beauftragt wurde, ablehnen, wenn der Prüfer nach angemessener Meinung von Mews nicht ausreichend qualifiziert oder unabhängig, ein Wettbewerber von Mews oder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Ablehnung muss der Partner einen anderen Prüfer bestellen. In dem Falle, dass der Partner innerhalb eines Kalenderjahres mehr als eine Überprüfung verlangt, muss er die vorherige schriftliche Genehmigung von Mews einholen und die mit diesen Überprüfungen verbundenen Kosten tragen und Mews alle angemessenen Kosten für diese Überprüfungen erstatten. Auf Verlangen des Partners teilt Mews dem Partner die geschätzten Kosten mit, die ihm bei einer solchen Überprüfung voraussichtlich entstehen werden, und zwar in dem Umfang, der vom Partner in der bereitgestellten Tagesordnung angegeben ist.