ADDENDUM ZUR ANBIETERDATENVERARBEITUNG

Dieses Addendum zur Datenverarbeitung („DPA“) ist Teil der Vereinbarung zwischen Vapotherm und der in der Vereinbarung genannten Partei (wie in diesem Addendum verwendet, „Anbieter“) und gilt in dem Umfang, in dem (i) der Anbieter personenbezogene Daten im Namen von Vapotherm im Rahmen der Erbringung von Dienstleistungen verarbeitet und (ii) die Vereinbarung dieses DPA durch Verweis ausdrücklich einschließt. Zur Vermeidung von Zweifeln umfassen alle Verweise auf die Vereinbarung dieses DPA (einschließlich der Standardvertragsklauseln, sofern anwendbar).

ERKLÄRUNGEN:

  1. Vapotherm und der Anbieter sind Parteien einer Dienstleistungsvereinbarung (die „Vereinbarung).
  2. Die vom Anbieter zu erbringenden Dienstleistungen beinhalten die Verarbeitung von personenbezogenen Daten im Auftrag von Vapotherm. Dementsprechend und wie von der anwendbaren Datenschutzgesetzen gefordert haben Vapotherm und der Anbieter vereinbart, dieses Addendum zur Datenverarbeitung (das „Addendum“) abzuschließen.

OPERATIVE BEGRIFFE:

  1. Definitionen und Auslegung
    • In diesem Addendum:

Hat „Vereinbarung“ die in Erklärung 1 dargelegte Bedeutung.

Bezeichnet „CCPA-Verbraucher“ einen „Verbraucher“ laut der Definition des California Consumer Privacy Act (CCPA).

Bezeichnet „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Bezeichnen „Datenschutzgesetze“ (i) die Datenschutz-Grundverordnung (EU) 2016/679 und alle Gesetze und/oder Verordnungen, die diese umsetzen oder gemäß dieser Verordnung erlassen wurden bzw. die diese ändern, ersetzen, wieder in Kraft setzen oder konsolidieren sowie alle anderen anwendbaren Gesetze in Bezug auf die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre, die in einer relevanten Gerichtsbarkeit bestehen können, einschließlich, falls zutreffend, der von Aufsichtsbehörden herausgegebenen Leitlinien und Verhaltenskodizes („DSGVO“); (ii) California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. Code §§ 1798.100 et seq. („CCPA“); und (iii) alle anderen Datenschutzgesetze, die für die Verarbeitung personenbezogener Daten gemäß diesem Addendum gelten.

Bezeichnet „betroffene Person“ eine identifizierte oder identifizierbare natürliche Person, einschließlich, aber nicht beschränkt auf einen CCPA-Verbraucher.

Bezeichnen „EU-Modellklauseln“ Standardvertragsklauseln, die von der Europäischen Kommission für Übermittlungen gemäß der DSGVO angenommen oder genehmigt wurden (und wenn mehr als ein Satz solcher Klauseln für eine Übermittlung gelten kann, der jüngste dieser Sätze), oder jegliche Nachfolgeklauseln, die von der Kommission oder einer relevanten Aufsichtsbehörde für Übermittlungen gemäß den geltenden Datenschutzgesetzen genehmigt wurden.

Haben „personenbezogene Daten“ die Bedeutung, die ihnen in der anwendbaren Datenschutzgesetzen zugewiesen wird, einschließlich und ohne Einschränkung „persönliche Informationen“, wie dieser Begriff im CCPA definiert ist, und beziehen sich auf alle derartigen Daten, die vom Anbieter im Auftrag von Vapotherm in Verbindung mit der Vereinbarung verarbeitet werden.

Bezeichnen „Verarbeiter“, „Verarbeitung“ oder „verarbeiten“ (oder eine Abwandlung davon) jeden Vorgang oder eine Reihe von Vorgängen, die an personenbezogenen Daten oder an Gruppen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Zugänglichmachen, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten, wobei „verarbeiten“ entsprechend ausgelegt wird.

Bezeichnet „Sicherheitsverletzung“ jede versehentliche, unbefugte oder rechtswidrige Zerstörung, Änderung, Offenlegung oder den Verlust von oder jeden Zugriff auf personenbezogene Daten, die der Anbieter im Rahmen der Erbringung der Dienstleistungen verarbeitet, wobei

Verkauf“ und „verkaufen“ die ihnen im CCPA zugewiesene Bedeutung haben.

Bezeichnen „Dienstleistungen“ die vom Anbieter an Vapotherm zu erbringenden Dienstleistungen gemäß und wie in der Vereinbarung näher beschrieben.

Bezeichnet „Unterauftragsverarbeiter“ jede dritte Partei, die vom Anbieter in Übereinstimmung mit der Vereinbarung oder diesem Addendum (wie zutreffend) mit der Verarbeitung von personenbezogenen Daten beauftragt wird.

  • Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bestimmungen der Vereinbarung und dieses Addendums haben die Bestimmungen dieses Addendums Vorrang. Sofern nicht ausdrücklich in diesem Addendum geändert und ergänzt, bleiben alle in der Vereinbarung enthaltenen Bedingungen, Bestimmungen und Anforderungen in vollem Umfang in Kraft und gelten für dieses Addendum.
  1. Beziehung derParteien
    • Der Anbieter stimmt zu, dass Vapotherm der Datenverantwortliche und der Anbieter der Datenverarbeiter in Bezug auf die personenbezogenen Daten ist, die der Anbieter im Zuge der Erbringung der Dienstleistungen verarbeitet.
    • Für die Zwecke des CCPA erkennen die Parteien an und vereinbaren, dass der Anbieter bei der Erfüllung seiner Verpflichtungen gemäß der Vereinbarung als „Dienstleister“ und nicht als „Dritter“ laut der Definition dieser Begriffe im CCPA handelt.
    • Wenn der Anbieter personenbezogene Daten im Rahmen der Erbringung der Dienstleistungen verarbeitet. Der Anbieter wird:
      • Personenbezogene Daten nur in Übereinstimmung mit schriftlichen Anweisungen von Vapotherm verarbeiten, wobei es sich um spezifische Anweisungen oder Anweisungen allgemeiner Natur handeln kann, wie in diesem Addendum dargelegt oder wie anderweitig von Vapotherm dem Anbieter von Zeit zu Zeit mitgeteilt wird. Sollte der Anbieter aufgrund von Datenschutzgesetzen, denen der Anbieter unterliegt, verpflichtet sein, die personenbezogenen Daten zu einem anderen Zweck zu verarbeiten, hat der Anbieter Vapotherm zuerst darüber zu informieren, es sei denn, diese Gesetze verbieten dies aus wichtigen Gründen des öffentlichen Interesses;
      • jederzeit die geltenden Datenschutzgesetze einhalten und Vapotherm unverzüglich benachrichtigen, wenn nach Ansicht des Anbieters eine von Vapotherm erteilte Anweisung zur Verarbeitung personenbezogener Daten gegen die geltenden Datenschutzgesetze verstößt; und
      • keine personenbezogenen Daten verkaufen;
      • personenbezogene Daten nicht (a) für andere Zwecke als für den spezifischen Zweck der Erbringung der Leistungen gemäß dieser Vereinbarung im Auftrag von Vapotherm oder (b) außerhalb der direkten Geschäftsbeziehung zwischen dem Anbieter und Vapotherm oder wie anderweitig durch die anwendbaren Datenschutzgesetze erlaubt speichern, verwenden oder offenlegen.
  1. Einzelheiten der Verarbeitung personenbezogener Daten
    • Das Addendum zur Datenverarbeitung der Vereinbarung enthält bestimmte Informationen über die Verarbeitung personenbezogener Daten, wie sie in Artikel 28(3) DGSVO (und möglicherweise in gleichwertigen Anforderungen anderer Datenschutzgesetze) gefordert werden. Vapotherm ist berechtigt, das Addendum zur Datenverarbeitung der Vereinbarung von Zeit zu Zeit durch schriftliche Mitteilung an den Anbieter in angemessener Weise zu ändern, soweit Vapotherm dies zur Erfüllung dieser Anforderungen für erforderlich hält. Nichts im Addendum zur Datenverarbeitung der Vereinbarung (auch nicht in der gemäß dieser Ziffer 3.1 geänderten Fassung) verleiht irgendeiner Partei dieses Addendums irgendein Recht oder erlegt dieser irgendeine Verpflichtung auf.
  2. Unterstützung
    • Der Anbieter unterstützt Vapotherm unter Berücksichtigung der Art der Verarbeitung:
      • durch den Einsatz geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Sicherheit der personenbezogenen Daten
      • bei der Sicherstellung der Einhaltung der Verpflichtungen gemäß Artikel 32 bis 36 DSGVO, unter Berücksichtigung der dem Anbieter zur Verfügung stehenden Informationen; und
      • wenn Vapotherm eine Datenschutz-Folgenabschätzung in Bezug auf die Verarbeitung der personenbezogenen Daten vornimmt, wird der Anbieter Vapotherm in angemessener Weise bei dieser Abschätzung und jeder nachfolgenden Konsultation mit dem Information Commissioners Office (ICO) in Verbindung mit dieser Abschätzung in Übereinstimmung mit den Artikeln 35 und 36 DSGVO unterstützen;
      • indem er Vapotherm alle Informationen zur Verfügung stellt, die Vapotherm vernünftigerweise anfordert, damit Vapotherm die Erfüllung der in Artikel 28 DSGVO dargelegten Verpflichtungen bezüglich der Ernennung von Auftragsverarbeitern nachweisen kann; und
      • durch die Bereitstellung einer angemessenen Unterstützung, um auf eine Anfrage der betroffenen Person oder einer Anfrage von Datenschutzbehörden in Bezug auf die Verarbeitung von personenbezogenen Daten zu reagieren.
  3. Sicherheitsmaßnahmen und Verletzungen des Schutzes personenbezogener Daten
    • Der Anbieter hat angemessene technische und organisatorische Maßnahmen zu ergreifen und aufrechtzuerhalten, um die personenbezogenen Daten gegen unbefugte oder unrechtmäßige Verarbeitung und gegen zufälligen Verlust, Zerstörung, Beschädigung, Diebstahl, Änderung oder Offenlegung zu schützen. Diese Maßnahmen müssen dem Schaden angemessen sein, der aus einer unbefugten oder unrechtmäßigen Verarbeitung, einem versehentlichen Verlust, einer versehentlichen Zerstörung, Beschädigung oder einem Diebstahl der personenbezogenen Daten resultieren könnte, und zwar unter Berücksichtigung der Art der zu schützenden personenbezogenen Daten.
    • Im Falle einer Sicherheitsverletzung wird der Anbieter:
      • unverzüglich Maßnahmen ergreifen, um die Sicherheitsverletzung zu untersuchen und die Auswirkungen derselben zu identifizieren, zu verhindern und zu mindern sowie die Sicherheitsverletzung zu beheben;
      • Vapotherm unverzüglich (aber spätestens innerhalb von 24 Stunden) benachrichtigen und Vapotherm eine Beschreibung der zu diesem Zeitpunkt bekannten Details der Sicherheitsverletzung bereitstellen, darunter:
        • die voraussichtlichen Auswirkungen der Sicherheitsverletzung;
        • die Kategorien und die ungefähre Zahl der betroffenen Personen und deren Wohnsitzland sowie die Kategorien und die ungefähre Zahl der betroffenen personenbezogenen Datensätze;
        • das Risiko, das die Sicherheitsverletzung für die betroffenen Personen darstellt; und
        • die vom Anbieter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Sicherheitsverletzung und Abmilderung ihrer nachteiligen Auswirkungen
      • und diese Informationen zeitnah aktualisieren, sobald weitere Details bekannt werden, sowie alle anderen Informationen, die Vapotherm vernünftigerweise in Bezug auf die Sicherheitsverletzung anfordern kann; und
      • keine Unterlagen, Mitteilungen, Hinweise, Pressemitteilungen oder Berichte bezüglich der Sicherheitsverletzung ohne vorherige schriftliche Zustimmung von Vapotherm veröffentlichen (es sei denn, dies ist gesetzlich vorgeschrieben).
  1. Unterauftragsverarbeitung
    • Vapotherm stimmt zu, dass der Anbieter Unterauftragsverarbeiter ernennen kann, um ihn bei der Erbringung der Dienstleistungen zu unterstützen, indem dieser personenbezogene Daten ausschließlich zum Zweck der Erbringung der Dienstleistungen verarbeitet, vorausgesetzt, dass diese Unterauftragsverarbeiter: (i) sich verpflichten, bei der Verarbeitung der personenbezogenen Daten nur nach den Anweisungen des Anbieters zu handeln (die mit den Verarbeitungsanweisungen von Vapotherm übereinstimmen müssen); und (ii) sich verpflichtet, die personengezogenen Daten nach einem Standard zu schützen, der mit den Anforderungen dieses Addendums übereinstimmt.
    • Der Auftragnehmer hat Vapotherm vor Unterzeichnung dieses Addendums eine Liste der Unterauftragsverarbeiter zur Verfügung zu stellen. Vor der Beauftragung eines neuen Unterauftragsverarbeiters hat der Anbieter diese mitzuteilen. Vapotherm kann der Änderung durch Mitteilung innerhalb von 14 Tagen nach der Mitteilung widersprechen, sofern der Widerspruch auf angemessenen datenschutzrechtlichen Gründen beruht. Die Parteien werden gemeinsam an der Beseitigung des Widerspruchs arbeiten. Kann dieser Widerspruch nicht in zumutbarer Weise abgeholfen werden, wird der Anbieter den betreffenden Unterauftragsverarbeiter entweder nicht beauftragen oder ihn ersetzen. Sollte dies nicht möglich sein, kann Vapotherm den Vertrag aussetzen oder kündigen.
    • Wenn der Anbieter die Genehmigung hat, Unterauftragsverarbeiter im Rahmen dieses Addendums einzusetzen, muss jeder eingesetzte Unterauftragsverarbeiter als „Service Provider“ im Sinne des CCPA qualifiziert sein. Der Anbieter darf personenbezogenen Daten an den Unterauftragsverarbeiter offenlegen, wenn dies laut CCPA als Verkauf definiert ist.
  2. Audit
    • Der Anbieter ist verpflichtet, Vapotherm und seinen jeweiligen Auditoren oder Bevollmächtigten die Durchführung von Audits oder Inspektionen während der Laufzeit der Vereinbarung zu gestatten, was die Gewährung eines angemessenen Zugangs zu den Räumlichkeiten, Ressourcen und dem im Zusammenhang mit der Erbringung der Dienstleistungen eingesetzten Personals des Anbieters einschließt, und jede angemessene Unterstützung zu gewähren, um Vapotherm bei der Ausübung seiner Auditrechte gemäß diesem Absatz zu unterstützen. Der Zweck eines Audits gemäß diesem Paragraphen besteht ausschließlich in der Überprüfung, ob der Anbieter personenbezogene Daten in Übereinstimmung mit den Verpflichtungen des Anbieters gemäß diesen Bedingungen verarbeitet.
    • Jeder dritte Prüfer oder Beauftragte, der im Auftrag von Vapotherm handelt, unterliegt einer Vertraulichkeitsvereinbarung.
    • Jegliche Audits müssen während angemessener Geschäftszeiten stattfinden und dürfen die normalen Geschäftspraktiken des Anbieters nicht stören.
  3. Laufzeit und Beendigung; Löschung oder Vernichtung von personenbezogenen Daten
    • Dieses Addendum tritt mit dem Datum des Inkrafttretens der Vereinbarung in Kraft und endet automatisch mit der Beendigung oder dem Ablauf der Vereinbarung, ohne dass es einer weiteren Handlung einer der Parteien bedarf. Die Verpflichtungen des Anbieters und die Rechte von Vapotherm aus diesem Addendum bleiben solange bestehen, wie der Anbieter personenbezogene Daten, gegebenenfalls einschließlich anonymisierter oder aggregierter Daten, verarbeitet oder speichert.
    • Nach Beendigung der Dienstleistung hat der Anbieter auf Verlangen von Vapotherm diese personenbezogenen Daten sicher zu vernichten oder an Vapotherm zurückzugeben und bestehende Kopien zu löschen, sofern nicht die Datenschutzgesetze die Speicherung dieser personenbezogenen Daten vorschreiben.
  4. Datenübermittlung
    • Der Anbieter stimmt zu, die Verpflichtungen eines Datenimporteurs gemäß den von der Europäischen Kommission verabschiedeten EU-Modellklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittstaaten einzuhalten, die durch Verweis in dieses Addendum aufgenommen werden. Der Anbieter erkennt an, dass Vapotherm ein Datenexporteur ist. Die Anlage zur Datenverarbeitung der Vereinbarung gilt als Anlage 1 zu den EU-Modellklauseln.
  5. Entschädigung und Haftungsbeschränkung
    • Zur Vermeidung von Zweifeln gelten alle Haftungsfreistellungs- und -beschränkungsbestimmungen der Vereinbarung auch für dieses Addendum.