Einleitung

Dieser Nachtrag ist integraler Bestandteil der Kooperationsvereinbarung und der Hauptgeschäftsbedingungen, die unter https://www.mews.com/en/terms-conditions/master („Hauptgeschäftsbedingungen“) verfügbar sind, oder jedem anderen Vertrag (den Hauptgeschäftsbedingungen oder einer solchen anderen Vereinbarung, die im Folgenden auch als der „Vertrag“ bezeichnet wird), der zwischen dem Verbundenen Unternehmen von Mews („Mews“) und Ihnen („Partner“) gemäß der Definition im jeweiligen Vertrag geschlossen wird. Dieser Nachtrag ergänzt die Bestimmungen des zwischen Mews und dem Partner abgeschlossenen Vertrags; im Falle widersprüchlicher Bestimmungen zwischen dem Vertrag und diesem Nachtrag ist dieser Nachtrag maßgeblich, es sei denn, die Parteien vereinbaren in dem Vertrag ausdrücklich schriftlich spezifische Abweichungen von diesem Nachtrag.

1. Begriffsbestimmungen

Im Rahmen dieses Nachtrags haben die Begriffe mit großgeschriebenem Anfangsbuchstaben die folgenden Bedeutungen.  Begriffe mit großgeschriebenem Anfangsbuchstaben, die hierin nicht anders definiert sind, haben die Bedeutung, die ihnen im Vertrag oder in den Hauptgeschäftsbedingungen zugewiesen wird.

„Verbundene(s) Unternehmen“ bedeutet in Bezug auf ein Unternehmen, dass das „Verbundene Unternehmen“ jedes andere Unternehmen ist, welches das ursprüngliche Unternehmen direkt oder indirekt kontrolliert, von ihm kotrolliert wird oder unter direkter oder indirekter gemeinsamer Kontrolle durch das ursprüngliche Unternehmen steht. Ein Unternehmen kontrolliert ein anderes Unternehmen, wenn dieses Unternehmen direkt oder indirekt entweder (i) 20 % oder mehr der Aktien besitzt, die über normale Stimmrechte für die Wahl der Vorstandsmitglieder dieses Unternehmens verfügen, oder (ii) befugt ist, sei es durch den Besitz stimmberechtigter Wertpapiere, durch Vertrag oder auf andere Weise die Geschäftsführung anzuweisen oder die Richtlinien des anderen Unternehmens zu veranlassen.

„Autorisierter Benutzer“ bedeutet eine Person, die vom Partner autorisiert wurde, entweder über die Mews-Plattform, das Mews-Konto, per E-Mail oder auf andere Weise Zugang zur Mews-Plattform und/oder zum Mews-Konto zu nehmen und Mews Anweisungen zu erteilen und Mitteilungen von Mews zu erhalten.

„Verantwortlicher“ bedeutet eine natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

„Datenschutzgesetze“ bedeutet die EU-Datenschutzgesetze, die Datenschutzgesetze des Vereinigten Königreichs, den CCPA und/oder andere anwendbare Datenschutzgesetze des Landes, in dem das Mews-Verbundene Unternehmen gemäß der Definition im Vertrag eingetragen ist.

„Betroffene Person“ bedeutet die identifizierte oder identifizierbare Person, auf die sich die Personenbezogenen Daten beziehen.

„EU-Datenschutzgesetze“ bedeutet die Datenschutz-Grundverordnung und die EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG).

„DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

„Personenbezogene Daten“ bedeutet alle Informationen, die sich auf (i) eine identifizierte oder identifizierbare natürliche Person und/oder (ii) eine identifizierte oder identifizierbare juristische Person beziehen (wobei diese Informationen durch Datenschutzgesetze ähnlich wie Daten zur Identifizierung einer lebenden Person geschützt sind); hierunter fallen im Rahmen dieses Nachtrags personenbezogene Daten von Gästen, d. h. Daten aus den Kontaktformularen, Kontakt- und Identifikationsinformationen, einschließlich Name, Titel, E-Mail-Adresse und Adresse, Personalausweis- und/oder Passnummern, Zahlungsdetails, Präferenzen der Gäste und Details zu den Diensten des Partners sowie beschränkte Verbindungs- und Standortdaten (Stadt). Die personenbezogenen Daten enthalten keine besonderen Kategorien personenbezogener Daten.

„Verarbeitung“ oder „Verarbeitet“ bedeutet jeden Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, und zwar unabhängig davon, ob dies mit automatischen Mitteln geschieht oder nicht; zur Klarstellung: die Verarbeitung anderer Informationen als Personenbezogener Daten (z. B. anonymisierter Daten) zum Zweck der Verbesserung der Mews-Dienste fällt nicht in den Anwendungsbereich dieses Nachtrags.

„Auftragsverarbeiter“ oder „Unterauftragsverarbeiter“ bedeutet eine natürliche oder juristische Person, die Personenbezogene Daten im Auftrag eines Verantwortlichen und/oder eines Auftragsverarbeiters verarbeitet.

„Dienste“ bedeutet im Rahmen dieses Nachtrags die Dienstleistungen, die gemäß dem Vertrag von Mews für den Partner erbracht werden.

„Standardvertragsklauseln“ oder „SCCs“ (Standard Contractual Clauses) bedeutet die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 4. Juni 2021.

„Aufsichtsbehörde“ bedeutet eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedstaat oder einem anderen Land gemäß der DSGVO oder einem entsprechenden Gesetz eingerichtet wurde.

„Datenschutzgesetze des Vereinigten Königreichs“ bedeutet alle Gesetze zum Datenschutz, zur Verarbeitung personenbezogener Daten, zum Schutz der Privatsphäre und/oder zur elektronischen Kommunikation, die jeweils im Vereinigten Königreich gelten, einschließlich der Datenschutz-Grundverordnung des Vereinigten Königreichs und des Data Protection Act 2018.

„UK-DSGVO“ bedeutet die DSGVO in der Fassung, in der sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs in britisches Recht umgesetzt wurde.

2. Datenverarbeitung

2.1 Verarbeitung Personenbezogener Daten

Mews und der Partner erkennen an, dass der Partner in Bezug auf die Verarbeitung relevanter Personenbezogener Daten der Verantwortliche oder primäre Auftragsverarbeiter ist. Mews Verarbeitet Personenbezogene Daten nur als Auftragsverarbeiter oder Unterauftragsverarbeiter (je nach Nutzung der Dienste durch den Partner) im Auftrag des Partners und nur in dem Umfang und auf die Art und Weise, wie es für die in diesem Nachtrag und gemäß diesem Vertrag genannten Zwecke erforderlich ist oder wie vom Partner von Zeit zu Zeit anderweitig angewiesen. Wenn Mews begründeten Anlass zu der Annahme hat, dass eine Anweisung des Partners: (i) gegen geltende Gesetze und Vorschriften oder (ii) gegen die Bestimmungen des Vertrags oder des Nachtrags verstößt, unternimmt Mews alle angemessenen Anstrengungen, um den Partner hierüber zu informieren; Mews ist berechtigt, die Ausführung der betreffenden Anweisung aufzuschieben, bis vom Partner in dem von Mews geforderten Umfang geändert wurde, um Mews von der Rechtmäßigkeit der Anweisung zu überzeugen, oder bis sie vom Partner und Mews einvernehmlich als rechtmäßig anerkannt wird.

3. Verarbeitung durch Mews

3.1 Verarbeitung von Personenbezogenen Daten durch Mews

Mews behandelt Personenbezogene Daten als Vertrauliche Informationen und Verarbeitet Personenbezogene Daten nur im Auftrag und in Übereinstimmung mit den dokumentierten Anweisungen des Partners für die folgenden Zwecke: (i) Verarbeitung gemäß dem Vertrag; (ii) Verarbeitung, die von Autorisierten Benutzern im Rahmen ihrer Nutzung der Dienste veranlasst wird; und (iii) Verarbeitung zur Erfüllung anderer dokumentierter, angemessener Anweisungen des Partners (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen des Vertrags übereinstimmen. Der Partner beauftragt Mews hiermit, die Betroffenen Personen per E-Mail über die Verarbeitung ihrer Personenbezogenen Daten im Auftrag des Partners und über die Möglichkeit zu informieren, die Mews-Dienste zur Verwaltung der Daten, Buchungen und damit verbundenen Dienstleistungen der Betroffenen Personen zu verwenden. Mews führt ein Protokoll über die tatsächlich durchgeführten Verarbeitungsvorgänge.

3.2 Technische und organisatorische Maßnahmen

Mews unterhält und implementiert angemessene und geeignete technische und organisatorische Maßnahmen, die darauf abzielen, Personenbezogene Daten gegen -ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu Personenbezogenen Daten zu schützen und die Sicherheit der Personenbezogenen Daten und der zur Bereitstellung der Dienste verwendeten Plattformen gemäß der Beschreibung in den Datenschutzgesetzen sicherzustellen. Bei der Umsetzung derartiger Maßnahmen ist Mews berechtigt, bei der Bestimmung dessen, was angemessen ist, die aktuelle Standardpraxis zu berücksichtigen sowie die Verhältnismäßigkeit der Kosten für die Umsetzung derartiger Maßnahmen im Vergleich zum potenziellen Schaden für die Betroffenen Personen zu prüfen, vor dem die Umsetzung dieser Maßnahmen schützen soll.

3.3 Personal

Mews stellt sicher, dass sein mit der Verarbeitung Personenbezogener Daten befasst Personal über seine Pflichten und Verantwortlichkeiten im Rahmen dieses Vertrags informiert ist, eine entsprechende Schulung erhalten hat und über die Vertraulichkeit der Personenbezogenen Daten Kenntnis hat. Das „Personal“ bedeutet diejenigen Mitarbeiter und/oder Vertreter, Berater, Unterauftragnehmer oder sonstige Dritte: (i) die von Mews eingestellt werden, damit das Mews seine Verpflichtungen gegenüber dem Partner im Rahmen des Vertrags oder des Nachtrags erfüllen kann, und (ii) die im Wesentlichen im gleichen Umfang Vertraulichkeitsverpflichtungen unterliegen, wie sie im Vertrag und im Nachtrag festgelegt sind. Mews stellt sicher, dass der Zugang des Personals auf die Personenbezogenen Daten auf diejenigen Personen beschränkt ist, die die Dienste gemäß dem Vertrag erbringen, und dass die Vertraulichkeitsverpflichtungen des Personals auch nach der Beendigung des Arbeitsverhältnisses des Personals bestehen bleiben.

3.4 Benachrichtigungen.

Mews benachrichtigt den Partner so schnell wie wirtschaftlich vertretbar in schriftlicher Form über:

3.4.1 jede Mitteilung einer Person in Bezug auf (i) die Rechte einer Person auf Zugang, Änderung, Berichtigung, Löschung oder Sperrung ihrer Personenbezogenen Daten; (ii) das Recht einer Person auf Berichtigung, Einschränkung oder Löschung ihrer Personenbezogenen Daten, auf Datenübertragbarkeit, auf Widerspruch gegen die Verarbeitung und darauf, keiner automatisierten Entscheidungsfindung unterworfen zu sein; und (iii) jede Beschwerde über die Verarbeitung Personenbezogener Daten durch den Partner; soweit dies nicht gesetzlich untersagt ist, jede Vorladung oder sonstige gerichtliche oder behördliche Anordnung oder jedes Verfahren, das den Zugang zu oder die Offenlegung von Personenbezogenen Daten verlangt;

3.4.2 alle Beschwerden, Benachrichtigungen oder sonstigen Mitteilungen, die sich auf die Einhaltung der Datenschutzgesetze und die Verarbeitung Personenbezogener Daten durch den Partner beziehen, soweit dies nicht gesetzlich untersagt ist. Mews bietet dem Partner eine wirtschaftlich angemessene Zusammenarbeit und Unterstützung (zu Kostenlasten des Partners) in Bezug auf eine solche Beschwerde, Benachrichtigung oder Mitteilung; und

3.4.3 im Falle einer wesentlichen Sicherheitsverletzung der Dienste, die zu -ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung von beziehungsweise unbefugtem Zugang zu Personenbezogenen Daten führt, von der wir gemäß dem anwendbaren Recht Kenntnis erhalten („Sicherheitsverletzung“). Mews wird sich in angemessener Weise bemühen, die Ursache einer solchen Sicherheitsverletzung zu ermitteln und die notwendigen und zumutbaren Schritte zu unternehmen, die für den Partner akzeptabel sind, um die Ursache einer solchen Sicherheitsverletzung zu beheben, soweit die Behebung sich im Rahmen der zumutbaren Einflussnahme von Mews befindet. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die vom Partner verursacht wurden.

3.5 Kein Anerkenntnis

Der Partner erklärt sich damit einverstanden, dass die Verpflichtung von Mews zur Meldung der Sicherheitsverletzung nicht als Anerkenntnis eines Verschuldens oder einer Haftung von Mews in Bezug auf diese Sicherheitsverletzung ausgelegt wird.

3.6 Datenrückgabe und Löschung

Vorbehaltlich der in den geltenden Gesetzen festgelegten Beschränkungen gibt Mews dem Partner alle dauerhaften Personenbezogenen Daten (sofern sie nicht bereits gemäß den geltenden Gesetzen gelöscht wurden) nach standardisierten Verfahren und innerhalb wirtschaftlich angemessener Fristen zurück.

3.7 Compliance durch Mews

Mews hält sich an die Datenschutzgesetze, die für seine eigenen Tätigkeiten und die Erbringung der Dienste im Rahmen des Vertrags sowie für seine Verpflichtungen aus diesem Nachtrag gelten.

3.8 Gemeinsame Nutzung von Daten

a) DSGVO, dem Dritten Zugang zu allen Personenbezogene Daten und allen anderen Daten zu gewähren, die im Mews-Konto des Partners verarbeitet werden. Der Partner ist verantwortlich für die Einholung aller erforderlichen Einwilligungen der Betroffene Personen oder sonstiger Dritter für die gemeinsame Nutzung der Daten gemäß den geltenden Datenschutzgesetzen. Der Partner verpflichtet sich, Mews und seine Verbundenen Unternehmen von allen Ansprüchen, die von Betroffenen Person oder von Dritten aufgrund der Verletzung dieser Klausel erhoben werden, einschließlich aller Verbindlichkeiten, Schäden, Verluste, Kosten und Ausgaben, in vollem Umfang freizustellen, zu verteidigen und schadlos zu halten.

3.9 Integrationen

Die Mews-Plattform bietet mehrere Integrationen. Durch die Verbindung oder das Abonnement der jeweiligen Integration über das Mews-Konto beauftragt der Partner Mews gemäß Artikel 28 (3) a) DSGVO, dem jeweiligen Integrationspartner Zugang zu den Personenbezogenen Daten zu gewähren, die im Mews-Konto des Partners verarbeitet werden, soweit dies für die Interoperation der Dienste oder Produkte des Integrationspartners mit den Mews-Diensten erforderlich ist.

3.10 Überprüfung

Der Partner hat das Recht, eine Überprüfung durchzuführen, um zu prüfen, ob Mews seinen in Artikel 28 DSGVO und in diesem Nachtrag festgelegten Verpflichtungen nachkommt. Mews gestattet dem Partner die Durchführung der Überprüfung unter den folgenden Bedingungen:
  • Der Partner bittet Mews mindestens 30 (dreißig) Tage im Voraus schriftlich um die Durchführung der Überprüfung;
  • Der Partner wird die Tagesordnung für eine solche Überprüfung in der Benachrichtigung gemäß (i) angeben;
  • Die Überprüfung findet nicht öfter als einmal pro Jahr statt;
  • Alle damit verbundenen Kosten und Ausgaben werden vom Partner getragen und Mews auf Verlangen erstattet; und
  • Die Überprüfung darf nicht länger als einen Arbeitstag (8 Stunden) des Mews-Vertreters beanspruchen.
Falls der Partner die Prüfung durch eine dritte unabhängige Partei - einen externen zugelassenen Prüfer - verlangt, kann Mews einen externen zugelassenen Prüfer, der vom Partner mit der Durchführung der Überprüfung beauftragt wurde, ablehnen, wenn der Prüfer nach angemessener Meinung von Mews nicht ausreichend qualifiziert oder unabhängig, ein Wettbewerber von Mews oder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Ablehnung muss der Partner einen anderen Prüfer bestellen. In dem Falle, dass der Partner innerhalb eines Kalenderjahres mehr als eine Überprüfung verlangt, muss er die vorherige schriftliche Genehmigung von Mews einholen und die mit diesen Überprüfungen verbundenen Kosten tragen und Mews alle angemessenen Kosten für diese Überprüfungen erstatten. Auf Verlangen des Partners teilt Mews dem Partner die geschätzten Kosten mit, die ihm bei einer solchen Überprüfung voraussichtlich entstehen werden, und zwar in dem Umfang, der vom Partner in der bereitgestellten Tagesordnung angegeben ist.

4. Verarbeitung durch den Partner

4.1 Verarbeitung von Personenbezogenen Daten durch den Partner

Der Partner Verarbeitet bei der Nutzung der Dienste personenbezogene Daten gemäß den Anforderungen der Datenschutzgesetze. Zur Klarstellung: der Partner garantiert, dass seine Anweisungen für die Verarbeitung Personenbezogener Daten mit den Datenschutzgesetzen übereinstimmen und dass er keine Anweisungen oder Aufträge erteilt, die Mews zu Maßnahmen oder Vorgehensweisen verpflichten, die rechtswidrig sind oder anderweitig nicht mit den Datenschutzgesetzen übereinstimmen. Dem Partner obliegt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Personenbezogenen Daten und der Mittel, mit denen der Partner Personenbezogene Daten erworben hat. 

4.2 Compliance des Partners

Zusätzlich zu den im Vertrag genannten Verpflichtungen des Partners ist dieser verantwortlich für (i) die Integrität, Sicherheit, Pflege und den angemessenen Schutz der Personenbezogenen Daten und (ii) die Sicherstellung der Einhaltung aller geltenden Gesetze und Vorschriften zu Privatsphäre, Datenschutz und Datensicherheit in Bezug auf: (a) seine Verarbeitung der Personenbezogenen Daten, (b) seine Nutzung der Dienste und (c) sämtliche Registrierungs- oder Meldepflichten in Bezug auf die Datenverarbeitung, denen der Partner gemäß den geltenden Gesetzen unterliegt.

4.3 Mitteilungen

Der Partner erklärt sich damit einverstanden, alle erforderlichen Mitteilungen an Einzelpersonen zu senden und die erforderlichen Einwilligungen und Rechte in Bezug auf die Bereitstellung von Diensten durch Mews an den Partner einzuholen. Wenn Mews eine in Unterabschnitt 3.4.1 oder 3.4.3 beschriebene Mitteilung erhält und den Partner davon in Kenntnis setzt, liegt es in der Verantwortung des Partners, auf die Mitteilung zu antworten und alle anderen angemessenen Maßnahmen in Bezug auf die Mitteilung zu ergreifen. Der Partner erklärt sich damit einverstanden, Mews unverzüglich über jede unbefugte Nutzung der Dienste oder des Partnerkontos oder über jede andere Sicherheitsverletzung der Dienste zu informieren.

4.4  Technische und organisatorische Maßnahmen

Dem Partner obliegt die alleinige Verantwortung dafür, Sicherheitsmaßnahmen und andere technische und organisatorische Maßnahmen zu ergreifen und aufrechtzuerhalten, die der Art und dem Umfang der Personenbezogenen Daten angemessen sind, die der Partner speichert oder anderweitig über die Dienste Verarbeitet. Dem Partner obliegt auch die Verantwortung für die Nutzung der Dienste durch seine Mitarbeiter, alle Personen, denen der Partner den Zugang zu den Diensten oder deren Nutzung gestattet, und alle Personen, die aufgrund der Nichteinhaltung angemessener Sicherheitsvorkehrungen Zugang zu seinen Personenbezogenen Daten oder den Diensten erhalten, selbst wenn eine solche Nutzung nicht vom Partner genehmigt wurde.

4.5 Gemeinsame Nutzung von Daten mit anderen Partnern

Innerhalb der Mews-Plattform kann der Partner das/die Mews-Konto/Konten als Teil eines Datenaustausch-Clusters mit anderen Konten/Konten einrichten („Cluster“); das bedeutet, dass der Partner und der/die für die Verantwortliche(n) dieser anderen Konten die Personenbezogenen Daten ihrer Kunden (bestehende und zukünftige Kunden, einschließlich der in das/die Mews-Konto/Konten importierten Kunden) gemeinsam nutzen und gemeinsam verarbeiten. Dem Partner obliegt die alleinige Verantwortung dafür, dass die Verarbeitung Personenbezogener Daten im Cluster allen geltenden Datenschutzgesetzen entspricht und dass der Partner über entsprechende Vereinbarungen zur gemeinsamen Nutzung der Daten verfügt.

Der Partner erkennt an, dass die Einrichtung seines/seiner Mews-Kontos/Konten als Teil eines Clusters nicht rückgängig zu machen ist. Indem der Partner seine/seine Mews-Kontos/-Konten als Teil eines Clusters einrichtet, beauftragt er Mews als Auftragsverarbeiter, die Personenbezogenen Daten innerhalb dieses Clusters zu verarbeiten. Sollte der Partner aus dem Cluster austreten wollen, ist dies nur durch die Einrichtung eines neuen Mews-Kontos möglich. Da die Einrichtung eines Clusters nicht rückgängig zu machen ist, setzt der Partner die gemeinsame Verarbeitung Personenbezogener Daten in seinem/ihren alten Mews-Konto/Konten fort, es sei denn, diese Personenbezogenen Daten werden aus dem Cluster gelöscht (eine solche Löschung unterliegt der ordnungsgemäßen Zusammenarbeit mit anderen Partnern innerhalb des Clusters und den Kosten, die Mews auf Anfrage zu erstatten sind).

5. Zusammenarbeit

5.1 Zusammenarbeit zwischen dem Partner und Mews

Der Partner und Mews verpflichten sich, in wirtschaftlich angemessener Weise zusammenzuarbeiten, soweit dies zum Schutz der Personenbezogenen Daten gemäß den geltenden Gesetzen, Artikeln 35 und 36 DSGVO erforderlich ist, um eine Datenschutz-Folgenabschätzung in Bezug auf die Nutzung der Dienste durch den Partner durchzuführen, soweit der Partner nicht anderweitig Zugang zu den relevanten Informationen hat und soweit diese Informationen für Mews verfügbar sind. Der Partner muss bei der angemessenen Untersuchung von Ausfällen des Diensts, Sicherheitsproblemen und mutmaßlichen Sicherheitsverletzungen durch Mews kooperieren. Der Partner unterstützt Mews in angemessener Weise bei der Zusammenarbeit oder der vorherigen Konsultation mit der Aufsichtsbehörde bei deren Erfüllung ihrer Aufgaben im Zusammenhang mit diesem Abschnitt, soweit dies nach der DSGVO oder geltendem Recht erforderlich ist.

5.2 Unterstützung von Mews bei den Compliance-Anforderungen des Partners

Während der Laufzeit des Vertrags zwischen dem Partner und Mews kann der Partner verlangen, dass Mews den Partner bei seinen Bemühungen unterstützt, seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen und -vorschriften einzuhalten, vorausgesetzt, (i) die angeforderte Unterstützung ist für Dienste relevant, die die Verarbeitung Personenbezogener Daten unterstützen, (ii) die angeforderte Unterstützung ist wirtschaftlich zumutbar und steht in einem angemessenen Verhältnis zum Ziel der Aufgabe, bei der Mews um Unterstützung gebeten wird, und (iii) falls MEWS Systems der Unterstützung zustimmt, alle damit verbundenen Kosten und Ausgaben (einschließlich der Kosten für den Zeitaufwand seiner Mitarbeiter) vom Partner getragen und Mews auf Anfrage erstattet werden.

6. Unterverarbeitung

6.1 In Bezug auf Dritte oder Unterauftragnehmer für die Verarbeitung Personenbezogener Daten kann Mews einen Dritten (Unterauftragsverarbeiter) nur mit vorheriger Zustimmung des Partners für die Verarbeitung Personenbezogener Daten beauftragen, vorausgesetzt, die Bestimmungen zur Datenverarbeitung und zum Datenschutz im Vertrag mit dem Unterauftragsverarbeiter in Bezug auf die Personenbezogenen Daten stimmen im Wesentlichen mit den in diesem Nachtrag festgelegten Bestimmungen überein, vorausgesetzt, der Vertrag mit dem Unterauftragsverarbeiter in Bezug auf die Personenbezogenen Daten endet bei Kündigung des Vertrags aus beliebigem Grund automatisch. Die folgenden Personen werden vom Partner durch Unterzeichnung dieses Nachtrags für die Zwecke dieses Vertrags zugelassen: (i) die in Anhang III zu dieser Nachtrag aufgeführten Unterauftragsverarbeiter, (ii) die Verbundene Unternehmen von Mews und (iii) alle vom Partner über seinen Autorisierten Benutzer autorisierten Unterauftragsverarbeiter durch Autorisierung einer Integration mit Mews-Diensten über ein MEWS-Konto oder auf andere Weise. Mews kann während der Laufzeit des Vertrags neue Unterauftragsverarbeiter in die Verarbeitung einbeziehen, vorausgesetzt, dass diese Unterauftragsverarbeiter nur in dem Maße Zugang zu Personenbezogenen Daten haben und diese verwenden, wie es für die Erfüllung der an sie übertragenen Verpflichtungen erforderlich ist.

6.2 Ablehnungsrecht in Bezug auf neue Unterauftragsverarbeiter

Der Partner kann den Einsatz eines neuen Unterauftragsverarbeiters durch Mews ablehnen, indem er Mews innerhalb von zehn (10) Werktagen (business days) nach Erhalt der Mitteilung von Mews schriftlich benachrichtigt und die Mängel angibt. Sollte der Partner einen neuen Unterauftragsverarbeiter ablehnen, wird Mews sich bemühen, zusätzliche Garantien (die die angegebenen Mängel abdecken) zu ergänzen oder den Unterauftragsverarbeiter (vis-a-vis dem Unterauftragsverarbeiter) zu ändern; sollte Mews Systems dazu nicht in der Lage sein, wird Mews angemessene Anstrengungen unternehmen, um dem Partner eine Änderung der Dienste zur Verfügung zu stellen oder eine wirtschaftlich zumutbare Änderung der Konfiguration oder Nutzung der Dienste durch den Partner zu empfehlen, um die Verarbeitung Personenbezogener Daten durch den beanstandeten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Partner unzumutbar zu belasten. Wenn Mews nicht in der Lage ist, eine solche Änderung innerhalb eines angemessenen Zeitraums, der dreißig (30) Tage nicht überschreiten darf, zur Verfügung zu stellen, kann der Partner nur den Teil der Dienste kündigen, der von Mews nicht ohne den Einsatz des abgelehnten neuen Unterauftragsverarbeiters erbracht werden kann. Hierzu muss er Mews darüber schriftlich in Kenntnis setzen. Mews erstattet dem Partner alle im Voraus bezahlten Gebühren für die verbleibende Laufzeit des Vertrags nach dem Datum des Inkrafttretens der Kündigung in Bezug auf den beendeten Teil der Dienste; dies stellt den einzigen und ausschließlichen Rechtsbehelf des Partners im Zusammenhang mit der Einführung eines neuen Unterauftragsverarbeiters dar.

6.3 Haftung

Mews haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, in dem Mews haften würde, wenn Mews die Dienste jedes Unterauftragsverarbeiters gemäß den Bedingungen dieses Nachtrags unmittelbar ausführen würde, sofern im Vertrag nichts anderes festgelegt ist.

7. Datenübermittlung

7.1 Datenübermittlung

Die Parteien sind sich darüber einig, Personenbezogene Daten nur dann aus der Europäischen Union/dem Europäischen Wirtschaftsraum an ein Drittland zu übermitteln, wenn eine der folgenden Bedingungen zutrifft: (a) es liegt ein anwendbarer Beschluss der Europäischen Kommission vor, der besagt, dass das Drittland ein angemessenes Schutzniveau gewährleistet; oder (b) die Übermittlung kann erfolgen, weil Mews geeignete Garantien gemäß Artikel 46 der DSGVO bereitgestellt hat und die Voraussetzung erfüllt ist, dass durchsetzbare Rechte der Betroffenen Person und wirksame Rechtsbehelfe für Betroffene Personen zur Verfügung stehen; oder (c) die Ausnahmen gelten für bestimmte Fälle gemäß Artikel 49 DSGVO.

7.2 Standardvertragsklauseln

Für die Zwecke von Artikel 7.1 (b) dieses Nachtrags kommen die Parteien überein, dass Standardvertragsklauseln als geeignete Garantien gelten.

Um die Datenübermittlung von/an Drittländer(n) in/aus der Europäischen Union/dem Europäischen Wirtschaftsraum zu ermöglichen, werden die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) hiermit durch Verweis in diesen Nachtrag aufgenommen und bilden einen integralen Bestandteil dieses Nachtrags wie folgt:

7.2.1. Für die Zwecke Personenbezogener Daten, die den EU-Datenschutzgesetzen unterliegen („EU-Daten“):

(i) gilt Modul 2 (Verantwortlicher an Auftragsverarbeiter) der SCCs, wenn der Partner Auftragsverarbeiter ist, und es gilt Modul 3 (Auftragsverarbeiter an Unterauftragsverarbeiter) der SCCs, wenn der Partner der Verantwortliche ist;

(ii) gilt in Klausel 9 die Option 2, und die Frist für die Vorankündigung von Änderungen des Unterauftragsverarbeiters ist in Klausel 6 (Unterauftragsverarbeitung) dieses Nachtrags festgelegt;

(iii) wird in Klausel 11 die fakultative Formulierung nicht angewendet;

(iv) gilt in Klausel 17 die Option 1, und die EU-SCC unterliegen dem niederländischen Recht;

(v) sind nach Klausel 18 Buchstabe b) für die Beilegung von Streitigkeiten die Gerichte der Niederlande zuständig;

(vi) gilt Anhang I der SCC mit den Angaben in Anhang I dieses Nachtrags als ausgefüllt; gilt Anhang II der SCC mit den Angaben in Anhang II dieses Nachtrags als ausgefüllt;

7.2.2. Die Übermittlung von Personenbezogenen Daten, die den UK-Datenschutzgesetzen unterliegen („UK-Daten“) wird durch Anhang IV - UK Addendum zu den SCCs geregelt.

8. Mitteilung

8.1 Der Partner erklärt sich damit einverstanden, dass jeder Autorisierte Benutzer des Partners kontaktiert werden kann und berechtigt ist, alle Mitteilungen in Bezug auf diesen Nachtrag zu erhalten.

9. CCPA

9.1 Mews erkennt an, dass es im Hinblick auf alle von ihm im Rahmen dieses Vertrags verarbeiteten Personenbezogenen Informationen der Partner als Dienstanbieter fungiert.

9.2 Sofern nicht durch geltendes Recht vorgeschrieben oder zwischen den Parteien ausdrücklich vereinbart, ist es Mews untersagt:

  • Personenbezogene Informationen des Partners zu verkaufen;
  • Personenbezogene Informationen des Partners für andere Zwecke als den spezifischen Zweck der Erbringung der Dienste gemäß dem Vertrag aufzubewahren, zu verwenden oder offenzulegen;
  • Personenbezogene Informationen des Partners für einen anderen als den in dem Vertrag festgelegten kommerziellen Zweck zu speichern, zu verwenden oder offenzulegen; oder
  • Die Personenbezogenen Informationen des Partners außerhalb der unmittelbaen Geschäftsbeziehung zwischen Mews und dem Partner zu speichern, zu verwenden oder offenzulegen.
9.3 Mews bestätigt, die Verantwortlichkeiten und Einschränkungen, die sich aus diesem Nachtrag, dem CCPA und anderen geltenden Datenschutzgesetzen und -vorschriften ergeben, zu kennen und einzuhalten.

9.4 In dieser Klausel 9:

9.4.1 bedeutet „CCPA“ das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act), California Civil Code §§1798.100 et seq., einschließlich aller Änderungen und Durchführungsbestimmungen, die am oder nach dem Datum des Inkrafttretens dieses Nachtrags in Kraft treten; und

9.4.2 bedeutet „Personenbezogene Informationen des Partners“ alle Daten des Partners, die „personenbezogene Informationen“ im Sinne des CCPA sind;

9.4.3 hat „Dienstanbieter“ die in Abschnitt 1798.140(v) des CCPA festgelegte Bedeutung.

10. Sonderklauseln für den US-Markt

10.1 Diese Klausel 10 gilt nur, wenn es sich bei der Vertragspartei um Mews mit Sitz in den Vereinigten Staaten von Amerika handelt.

10.2 COPPA

Der Schutz der Privatsphäre von Kindern ist besonders wichtig. Der Children's Online Privacy and Protection Act („COPPA“) schreibt vor, dass Online-Diensteanbieter die Einwilligung der Eltern einholen müssen, bevor sie in den Vereinigten Staaten von Amerika wissentlich persönlich identifizierbare Informationen von Kindern unter 13 Jahren online erheben. Mews respektiert die Rolle der Eltern oder Erziehungsberechtigten bei der Überwachung der Online-Aktivitäten ihrer Kinder. Dementsprechend beschränkt Mews die Erhebung personenbezogener Informationen von Kindern auf das Maß, das für die Teilnahme an den Diensten und deren künftige Verbesserung erforderlich ist. Mews erhebt keine Personenbezogenen Daten von Kindern, die nicht im Vertrag aufgeführt sind. Mews behält sich das Recht vor, die Verarbeitung von Daten zu verweigern, die vom Partner bereitgestellt werden und die gegen diese Klausel 10.2 verstoßen.

10.3 Verwendung von Partnerdaten durch Dritte

Sofern nicht anders vereinbart, sind alle Daten, die Mews vom Partner zur Verfügung gestellt werden, Vertrauliche Informationen. Mews wird keine Daten für andere Zwecke als zur Ausübung seiner Rechte und Erfüllung seiner Pflichten im Zusammenhang mit der Durchführung der Dienste verwenden. Der Partner erkennt an, dass zur ordnungsgemäßen Ausführung der Dienste die von ihm an Mews übermittelten Informationen Dritten zur Verfügung gestellt werden, um die Ausführung der Dienste zu ermöglichen. Der Partner erkennt an, dass diese Dritten keine Vertreter von Mews sind und Mews nicht für die Handlungen und Unterlassungen dieser Dritten verantwortlich ist. Mews verlangt von Dritten, denen Personenbezogenen Daten von Partnern zur Verfügung gestellt werden, das gleiche Datenschutzniveau anzuwenden, wie es in diesem Nachtrag dargelegt ist und wie es die geltenden Gesetze vorschreiben. Die Art der Verwendung von Daten der Partner ist in der Mews-Datenschutzerklärung geregelt. Diese finden Sie unter https://app.mews.com/Platform/Document/PrivacyPolicy.

11. Schlussbestimmungen

11.1 Drittbegünstigte

Die Betroffenen Personen sind die einzigen Drittbegünstigten der SCCs; andere Drittbegünstigte des Vertrags und dieses Nachtrags gibt es nicht. Ungeachtet des Vorstehenden gelten der Vertrag und die Bedingungen dieses Nachtrags nur für die Parteien und übertragen keine Rechte auf verbundene Unternehmen des Partners, Endnutzer des Partners oder dritte Betroffene Personen.

11.2 Anwendbares Recht

Dieser Nachtrag ändert nichts an dem Abschnitt über das anwendbare Recht des Vertrags, das -zur Klarstellung- für alle Ansprüche maßgeblich ist, die im Rahmen des Vertrags und dieses Nachtrags geltend gemacht werden.

11.3 Haftungsbeschränkung

Die Rechtsbehelfe des Partners, einschließlich der seiner Verbundenen Unternehmen, und die Haftung von Mews, die sich aus diesem Nachtrag und den SCCs ergeben oder damit zusammenhängen, unterliegen den Haftungsbeschränkungen und Haftungsausschlüssen, die im Vertrag festgelegt sind; falls im Vertrag keine Haftungsbeschränkungen festgelegt sind, vereinbaren und erklären die Parteien, dass der Gesamtschaden, der sich aus der Verletzung dieses Nachtrags und/oder der SCCs ergeben kann, zehntausend Euro nicht übersteigen darf.

11.4 Laufzeit

Nach Kündigung des Vertrags bleibt dieser Nachtrag so lange in Kraft, bis Mews die Verarbeitung Personenbezogener Daten im Auftrag des Partners einstellt.

11.5 Kündigung

Mews kann diesen Nachtrag kündigen, wenn Mews dem Partner alternative Mechanismen anbietet, die den Verpflichtungen der geltenden Datenschutzgesetze entsprechen.

11.6 Ausfertigungen

Dieser Nachtrag kann in mehreren Ausfertigungen unterzeichnet werden, die zusammen als ein Original gelten.

Anhang I

Liste der Parteien
  • Datenexporteur
    Der Datenexporteur ist der Partner
  • Datenimporteur
    Der Datenimporteur ist Mews
1. - Beschreibung der Datenübermittlung

Kategorien betroffener Personen

Die übermittelten personenbezogenen Daten können sich auf Einzelpersonen beziehen, über die der Datenexporteur über das von Mews gehostete System und/oder die Dienste personenbezogene Daten übermittelt oder speichert, wozu in der Regel Personen (Gäste oder Interessenten) gehören, die die Dienste des Partners nutzen.

Datenkategorien

Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien: in den Kontaktformularen enthaltene Daten der Gäste, Kontakt- und Identifizierungsinformationen, einschließlich Name, Titel, E-Mail und Adresse, Personalausweis- und/oder Passnummern, Zahlungsangaben, Präferenzen der Gäste und Angaben zu den Dienstleistungen des Partners sowie begrenzte Verbindungs- und Standortdaten (Stadt) in elektronischer Form, die im Rahmen der Mews-Dienste an den Datenimporteur übermittelt werden (bereitgestellt durch den jeweiligen Unterauftragsverarbeiter/Importeur)

Sensible Daten

Sensible Daten wie z. B. Informationen über Behinderungen und Ernährungsgewohnheiten, können übermittelt werden, wenn die betroffenen Personen beschließen, Informationen dieser Art weiterzugeben. Es gelten die technischen und organisatorischen Maßnahmen gemäß Anhang II.

Verarbeitungsvorgänge

Die übermittelten personenbezogenen Daten sind Gegenstand der folgenden grundlegenden Verarbeitungstätigkeiten: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung. Der Partner muss im Zusammenhang mit seiner Nutzung der Dienste angemessene Sicherheitsvorkehrungen treffen. Dies beinhaltet eine angemessene Verschlüsselung aller personenbezogenen Daten, die auf dem gehosteten System gespeichert sind oder von diesem übermittelt werden.

Häufigkeit der Übermittlung

Fortlaufend

Art und Gegenstand der Verarbeitung

1. Speicherung (Hosting) und andere Verarbeitungen, die für die Erbringung, Aufrechterhaltung und Verbesserung der Dienste, die dem Partner im Rahmen des Vertrags bereitgestellt werden, erforderlich sind,

2. Kundenbetreuung, die dem Partner von Fall zu Fall gewährt wird,

3. Offenlegungen in Übereinstimmung mit dem Vertrag und wie gesetzlich vorgeschrieben, und

4. Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung.

Dauer der Verarbeitung

Laufzeit

Zweck(e) der Datenübermittlung und Weiterverarbeitung

(i) Verarbeitung zur Bereitstellung, Wartung, Unterstützung und Verbesserung der Dienste, die dem Partner gemäß dem Vertrag bereitgestellt werden;

(ii) Verarbeitung, die von Benutzern bei der Nutzung der Dienste veranlasst werden; und

(iii) Verarbeitung zur Befolgung anderer dokumentierter, angemessener Anweisungen des Partners (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen des Vertrags (einschließlich dieses Nachtrags) übereinstimmen.

1. - Zuständige Aufsichtsbehörde

In Bezug auf EU-Daten ist die zuständige Aufsichtsbehörde die niederländische Datenschutzbehörde (die „Niederländische DSB“).

Anhang II - Technische und organisatorische Maßnahmen

Beschreibung der von dem/den Datenimporteur(en) ergriffenen technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen) zur Sicherstellung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen. Der Datenimporteur ergreift Sicherheitsmaßnahmen, die den Anforderungen des Vertrags, des Nachtrags und der gemäß dem Vertrag erstellten Zusatzdokumente entsprechen. Die durchgeführten Sicherheitsmaßnahmen sind hier verfügbar: https://www.mews.com/en/platform-documentation#security


Anhang III – Genehmigte Unterauftragsverarbeiter

Die Liste der genehmigten Unterauftragsverarbeiter von Mews finden Sie unter https://www.mews.com/en/platform-documentation#subprocessors


Anhang IV - UK Addendum zu den SCCs

Datum dieses Nachtrags
  • Dieses UK Addendum gilt ab: Dem gleichen Datum wie der Vertrag.
Hintergrund

Auslegung dieses UK Addendums

  • Werden in diesem UK Addendum Begriffe verwendet, die in den SCCs definiert sind, so haben diese Begriffe die gleiche Bedeutung wie in den SCCs.
  • Dieser UK Addendum ist im Lichte der Bestimmungen der UK-Datenschutzgesetze zu lesen und auszulegen, und zwar so, dass er die Absicht erfüllt, die in Artikel 46 (2) (d) der UK-DSGVO geeigneten Garantien zu bieten.
  • Sollten die in diesem UK Addendum enthaltenen Bestimmungen die SCCs in einer Weise ändern, die gemäß den SCCs oder der vom Information Commissioner herausgegebenen Vorlage für den Nachtrag (nachstehend „Genehmigtes UK Addendum“) nicht zulässig ist, so werden diese Änderungen nicht in dieses UK Addendum aufgenommen, sondern die entsprechenden Bestimmungen der SCCs treten an ihre Stelle.
  • Im Falle von Unstimmigkeiten oder Widersprüchen zwischen den UK-Datenschutzgesetzen und diesem UK Addendum sind die UK-Datenschutzgesetze maßgebend.
  • Wenn die Bedeutung dieses UK Addendums unklar ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die am ehesten mit den UK-Datenschutzgesetzen übereinstimmt.
  • Sämtliche Verweise auf Gesetze (oder spezifische Bestimmungen von Gesetzen) beziehen sich auf die Gesetze (oder spezifischen Bestimmungen), die sich im Laufe der Zeit ändern können. Dies gilt auch für den Fall, dass diese Gesetze (oder spezifische Bestimmungen) nach Abschluss dieses UK Addendums konsolidiert, wieder in Kraft gesetzt und/oder ersetzt worden sind.
Reihenfolge
  • Obwohl in Klausel 5 der SCCs festgelegt ist, dass die SCCs Vorrang vor allen damit verbundenen Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass für die Übermittlung von UK- Daten die Reihenfolge in dieser Klausel Vorrang hat. Bei Unstimmigkeiten oder Widersprüchen zwischen dem Genehmigten UK Addendum und den hierin aufgenommenen SCCs hat das Genehmigte UK Addendum Vorrang vor den hierin aufgenommenen SCCs, es sei denn, die unstimmigen oder widersprüchlichen Bestimmungen der hierin aufgenommenen SCCs bieten einen besseren Schutz für die betroffenen Personen. In diesem Fall haben diese Bestimmungen Vorrang vor diesem UK Addendum. Sofern dieses UK Addendum hierin aufgenommene SCCs enthält, die zum Schutz von Übermittlungen geschlossen wurden, die der DSGVO unterliegen, erkennen die Parteien an, dass dieses UK Addendum diese hierin aufgenommenen SCCs in keiner Weise beeinflusst.
Einbindung der SCCs
  • Dieses UK Addendum enthält die SCCs, die insoweit wie folgt geändert werden, als dies erforderlich ist:
  • Sie gelten gemeinsam für Datenübermittlungen des Datenexporteurs an den Datenimporteur, soweit bei dieser Übermittlung die UK-Datenschutzgesetze auf die Verarbeitung durch den Datenexporteur anwendbar sind; und
  • Sie bieten für die Übermittlungen geeignet Garantien gemäß Artikel 46 (2) (d) der Gesetze der UK-DSGVO.
  • Wenn der Partner Verantwortlicher ist, gilt Modul 2 (Verantwortlicher an Auftragsverarbeiter) der SCCs, und wenn der Partner der Auftragsverarbeiter ist, gilt Modul 2 (Auftragsverarbeiter an Unterauftragsverarbeiter) der SCCs;
  • In Klausel 9 der SCCs gilt Option 2, und die Frist für die Vorankündigung von Änderungen des Unterauftragsverarbeiters ist in Klausel 6 (Unterauftragsverarbeitung) dieses Auftragsverarbeitungsvertrags festgelegt;
  • In Klausel 11 der SCCS wird die fakultative Formulierung nicht angewendet;
  • Klausel 2 der SCC gilt ohne den Wortlaut „und in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter — Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679“.
  • Klausel 6 der SCCs Beschreibung der Übermittlung(en) wird ersetzt durch: „Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B des Nachtrags angegeben, sofern bei dieser Übermittlung die UK-Datenschutzgesetze auf die Verarbeitung durch den Datenexporteur Anwendung finden.“
  • Klausel 8.7 (i) von Modul 1 der SCCs wird ersetzt durch: „Sie erfolgt an ein Land, für das Angemessenheitsvorschriften nach Artikel 17A der UK-DSGVO gelten, die die Weiterübermittlung abdecken“
  • Klausel 8.8 (i) der Module 2 und 3 der SCC werden ersetzt durch: „Die Weiterübermittlung erfolgt an ein Land, für das Angemessenheitsvorschriften nach Artikel 17A der UK-DSGVO gelten, die die Weiterübermittlung abdecken.“
  • Anhang I der SCCs gilt mit den in Anhang I dieses Nachtrags aufgeführten Informationen als ausgefüllt. Anhang II der SCCs gilt mit den in Anhang II des Nachtrags aufgeführten Informationen als ausgefüllt. Anhang III der SCCs gilt mit den in Anhang III dieses Nachtrags aufgeführten Informationen als ausgefüllt.
  • Verweise auf die „Verordnung (EU) 2016/679“, „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ und „diese Verordnung“ werden alle durch „UK-Datenschutzgesetze“ ersetzt. Verweise auf einen bestimmten Artikel oder bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch die entsprechenden Artikel oder Abschnitte der UK-Datenschutzgesetze ersetzt;
  • Verweise auf die Verordnung (EU) 2018/1725 werden entfernt.
  • Verweise auf „Europäische Union“, „Union“, „EU“, „EU-Mitgliedstaat“, „Mitgliedstaat“ und „EU oder Mitgliedstaat“ werden alle durch „Vereinigtes Königreich“ ersetzt;
  • Der Verweis auf „Klausel 12(c)(i)“ in Klausel 10(b)(i) von Modul eins der SCCs wird durch „Klausel 11(c)(i) der SCCs“ ersetzt;
  • Klausel 13(a) der SCCs und Teil C von Anhang II der SCCs werden nicht verwendet;
  • Die Begriffe „zuständige Aufsichtsbehörde“ und „Aufsichtsbehörde“ werden jeweils durch den Information Commissioner ersetzt;
  • Klausel 16(e), Unterabschnitt (i) der SCCs wird ersetzt durch: „Der Staatssekretär erlässt gemäß Abschnitt 17A des Data Protection Act 2018 Vorschriften für die Übermittlung personenbezogener Daten, auf die diese Klauseln Anwendung finden;“
  • Klausel 17 der SCCs wird durch „Diese SCCs unterliegen dem Recht von England und Wales“ ersetzt.
  • Klausel 18 der SCCs wird durch folgenden Wortlaut ersetzt: „Alle Streitigkeiten, die sich aus diesen SCCs ergeben, werden von den Gerichten Englands und Wales beigelegt. Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten jedes Landes im Vereinigten Königreich erheben. Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.”
  • Die Fußnoten zu den SCCs sind, mit Ausnahme der Fußnoten 8, 9, 10 und 11, nicht Bestandteil des UK Addendums.
  • Wenn der Information Commissioner eine überarbeitete Fassung des Genehmigten UK Addendums herausgibt, wird dieses UK Addendum ab dem darin angegebenen Anfangsdatum automatisch entsprechend dem überarbeiteten Genehmigten UK Addendum geändert, sofern die Parteien nichts anderes vereinbaren.