Skip to Content
Go back
BAS-IP / NACHTRAG ZUR DATENVERARBEITUNG

Zuletzt aktualisiert: [10.12.2025]

Dieser Zusatz zur Datenverarbeitung (im Folgenden ‚DPA‚) wird zwischen Ihnen (im Folgenden ‚Kunden‚, ‚Sie‚, ‚Ihr‘) und BAS-IP DISTRIBUTION LTD (im Folgenden das ‚Unternehmen‚, ‚BAS-IP‚, ‚wir‚, ‚uns‚ oder ‚unsere‚) abgeschlossen, im Folgenden einzeln als ‚Partei‚ oder gemeinsam als ‚ bezeichnetPartys‚. Dieses DPA ergänzt die  zwischen den Parteien geschlossenen Geschäftsbedingungen (im Folgenden die ‚Vereinbarung‘).

Dieses DPA regelt die Verarbeitung personenbezogener Daten, die der Kunde im Zusammenhang mit der Nutzung der Produkte und Dienstleistungen von BAS-IP (zusammen die ‚Dienstleistungen‘) an BAS-IP bereitstellt, sowie alle personenbezogenen Daten, die BAS-IP im Rahmen der Erbringung der Dienstleistungen für den Kunden erhält.

Sofern in diesem DPA nicht anders definiert, haben alle in diesem DPA verwendeten Großbuchstaben die im Abkommen festgelegten Bedeutungen. Dieses DPA bleibt bis zum Ende der Vereinbarung zwischen Ihnen und uns in Kraft, die Ihre Nutzung der Dienste regelt. Im Falle eines Konflikts zwischen diesem DPA und dem Abkommen haben die Bestimmungen dieses DPA in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.

1. Definitionen

Für die Zwecke dieses DPA gelten folgende Definitionen:

Kundendaten“ bezeichnet alle personenbezogenen Daten, die der Kunde im Zusammenhang mit den Diensten hochlädt, überträgt oder anderweitig an BAS-IP bereitstellt, sowie alle personenbezogenen Daten, die BAS-IP im Rahmen der Erbringung der Dienstleistungen verarbeitet.

Datenschutzgesetze“ bezeichnet alle anwendbaren Gesetze und Vorschriften im Zusammenhang mit der Verarbeitung von Kundendaten, einschließlich der der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, des Vereinigten Königreichs, wie zum Beispiel:

  • die EU-Datenschutzverordnung (EU-DSGVO);
  • der britischen Datenschutzverordnung (UK DSGVO);
  • das Datenschutzgesetz 2018;
  • das Data (Use and Access) Act 2025 (DUAA);
  • alle anderen geltenden Datenschutzgesetze und -vorschriften, soweit sie auf die Vertragsparteien und die Bearbeitungsaktivitäten nach diesem DPA gelten, alle anderen geltenden Gesetze und Vorschriften gelten.

Datenübertragungsmechanismus“ bezeichnet jeden rechtlich anerkannten Mechanismus, Instrument oder Rahmen, der die Übertragung von Kundendaten von einer Rechtsordnung in eine andere in Übereinstimmung mit den geltenden Datenschutzgesetzen erlaubt, einschließlich – ohne Einschränkung – der EU-Standardvertragsklauseln und des UK-Zusatzes.

EU-SCCs“ bedeutet EU-Standardvertragsklauseln für die Übertragung von Kundendaten an Dritte Länder gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die durch die Durchführungsentscheidung der Europäischen Kommission 2021/914 vom 4. Juni 2021 genehmigt wurde, wie derzeit festgelegt bei https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Datenschutzverordnung (DSGVO)“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten und über den freien Austausch solcher Daten sowie die Aufhebung der Richtlinie 95/46/EG.

Internationaler Datentransfer“ bezeichnet jede Übertragung von Kundendaten aus einem Land, in dem die Daten erhoben werden, an ein Land außerhalb dieser Gerichtsbarkeit, in dem die geltenden Datenschutzgesetze geeignete Schutzmaßnahmen für eine solche Übertragung erfordern.

Öffentliche Behörde“ bezeichnet eine Regierungsbehörde oder Strafverfolgungsbehörde, einschließlich gerichtlicher Behörden.

Sensible Kundendaten“ sind Kundendaten, die rassische oder ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen oder Gewerkschaftsmitgliedschaft, genetische oder biometrische Daten offenbaren, um eine natürliche Person eindeutig zu identifizieren, Daten zur Gesundheit, das Sexualleben oder die sexuelle Orientierung einer Person oder Daten zu strafrechtlichen Verurteilungen und Straftaten.

Dienstleistungen“ bezeichnet die vom Unternehmen an den Kunden erbrachten Dienstleistungen.

Aufsichtsbehörde“ bezeichnet eine unabhängige öffentliche Behörde, die für die Überwachung der Anwendung der Datenschutzgesetze verantwortlich ist.

Technische und organisatorische Sicherheitsmaßnahmen“ bedeuten Maßnahmen zum Schutz personenbezogener Daten vor unbeabsichtigter Zerstörung oder unbeabsichtigtem Verlust, Änderung, unbefugter Weitergabe oder Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk beinhaltet, sowie gegen alle anderen rechtswidrigen Verarbeitungsformen.

UK DSGVO“ bezeichnet die zurückbehaltene Version der EU-Datenschutzverordnung, wie sie Teil des britischen Rechts ist, zusammen mit allen Änderungen, die durch das Datenschutzgesetz 2018 und alle anderen anwendbaren britischen Gesetze zur Verarbeitung personenbezogener Daten vorgenommen wurden.

UK-Nachtrag“ bedeutet das internationale Datenübertragungs-Addendum zu den EU-Standardvertragsklauselen, das vom Informationsbeauftragten für Parteien, die eingeschränkte Übermittlungen vornehmen, im Sinne der britischen Datenschutzgesetze, wie sie derzeit bei https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf festgelegt sind, erlassen wurden.

Verantwortlicher„, „Verarbeiter„, „Unterbearbeiter„, „Datensubsubjekt„, „personenbezogene Daten“ und „Verarbeitung“ haben die in den Datenschutzgesetzen angegebenen Bedeutungen.

2. Rollen und Verantwortlichkeiten

Wenn BAS-IP Kundendaten in Ihrem Auftrag im Zusammenhang mit Dienstleistungen verarbeitet, erkennen Sie an und stimmen Sie zu, dass Sie in Bezug auf die Verarbeitung von Kundendaten ein Verantwortlicher oder Bearbeiter sind und wir ein Verarbeiter oder Unterbearbeiter (gemäß den Datenschutzgesetzen) in Ihrem Namen handeln. Eine Beschreibung dieser Bearbeitung ist in Anhang 1 dieses DPA festgehalten. Dieses DPA gilt entsprechend für etablierte Rollen und nicht für Situationen, in denen wir gemäß der Datenschutzrichtlinie von BAS-IP als Verantwortlicher agieren.

Ist der Kunde ein Bearbeiter, gewährt der Kunde gegenüber BAS-IP die Gewährung, dass die Anweisungen und Handlungen des Kunden bezüglich personenbezogener Daten, einschließlich der Ernennung von BAS-IP als Unterbearbeiter und, wo zutreffend, der Abschluss der EU-SCCs oder anderer Zusatzartikel gemäß Abschnitt 9 dieses DPA (einschließlich der möglichen Änderungen in Abschnitt 9 unten), bereits bestanden haben (und werden,  für die Dauer dieses DPA weiterhin von der zuständigen dritten Verantwortlichen autorisiert werden.

3. Anweisungen

Die Parteien sind sich einig, dass dieses DPA und die antreffende Vereinbarung die vollständigen und endgültigen dokumentierten Anweisungen des Kunden bezüglich der Verarbeitung von Kundendaten (im Folgenden die ‚Anweisungen‚) darstellen, bei der der Kunde als Verantwortlicher oder Bearbeiter agiert und BAS-IP als Bearbeiter oder Unterbearbeiter gemäß Datenschutzgesetzen agiert.

Jegliche zusätzlichen oder alternativen Anweisungen müssen schriftlich von den Parteien vereinbart werden und müssen mit diesem DPA und der Vereinbarung übereinstimmen.

4. Beschreibung der Verarbeitung

Die Verarbeitung von Kundendaten im Namen des Kunden im Zusammenhang mit Dienstleistungen ist in Anhang 1 dieses DPA beschrieben. Wir behalten uns das Recht vor, die Beschreibung der Bearbeitung von Zeit zu Zeit zu aktualisieren, um neue Funktionen der Dienste widerzuspiegeln.

5. Pflichten des Kunden

5.1. Die Verpflichtungen des Controllers

Im Rahmen des DPA ist der Mandant, wenn er als Verantwortlicher auftritt, für die Einhaltung aller Anforderungen verantwortlich, die für den Kunden als Verantwortlicher gemäß den Datenschutzgesetzen gelten.

Wenn Sie als Controller agieren, müssen Sie:

(a) Wahrung der Genauigkeit, Qualität, Vertraulichkeit und Sicherheit der Kundendaten;

(b) Ihre Verpflichtungen gemäß Datenschutzgesetzen einzuhalten und nachzukommen, einschließlich der Rechte der betroffenen Personen, Datensicherheit und Vertraulichkeit, und sicherzustellen, dass Sie eine angemessene rechtliche Grundlage für die Verarbeitung personenbezogener Daten haben;

(c) BAS-IP nur Kundendaten bereitzustellen, die rechtmäßig erworben wurden, und sicherzustellen, dass diese Daten angemessen, relevant und verhältnismäßig zu den beabsichtigten Zwecken sind;

(d) sicherzustellen, dass Ihre Anweisungen an BAS-IP bezüglich der Verarbeitung von Kundendaten den Datenschutzgesetzen entsprechen, einschließlich der Prinzipien der Datenminimierung, Zweckbegrenzung und Speicherbeschränkung.

5.2. Verpflichtungen des Bearbeiters

Im Rahmen des DPA ist der Mandant, wenn er als Bearbeiter agiert, für die Einhaltung aller Anforderungen verantwortlich, die für den Mandanten als Bearbeiter gemäß den Datenschutzgesetzen gelten.

Wenn du als Prozessor agierst, musst du:

(a) BAS-IP nur mit Verarbeitungsanweisungen zu versorgen, die die dokumentierten Anweisungen des jeweiligen Controllers genau widerspiegeln;

(b) BAS-IP nur Kundendaten bereitzustellen, die rechtmäßig vom jeweiligen Verantwortlichen bezogen wurden und die ausreichend, relevant und auf das für die zulässige Zwecke notwendige Notwendigkeit beschränkt sind;

(c) Transparenz gegenüber dem jeweiligen Controller bezüglich der Beauftragung von BAS-IP und etwaigen Unterprozessoren wahren;

(d) in Ihrer Funktion als Bearbeiter alle Verpflichtungen aus den geltenden Datenschutzgesetzen einzuhalten;

(e) sicherzustellen, dass Ihr Personal oder jede Dritte, die auf Kundendaten zugreifen, diese DPA und die Vereinbarung einhalten.

6. BAS-IP-Verpflichtungen

6.1. Allgemeine Verpflichtungen

Wenn BAS-IP als Prozessor/Subprozessor agiert, müssen wir:

(a) Kundendaten gemäß Ihren Anweisungen und ausschließlich für die angegebenen Zwecke zu verarbeiten;

(b) Sie informieren, wenn BAS-IP nach vernünftiger Meinung:

(i) Ihre Anweisungen gegen die geltenden Datenschutzgesetze verstoßen oder möglicherweise verstoßen; oder

(ii) BAS-IP kann Ihre Anweisungen nicht befolgen;

(c) geeignete technische und organisatorische Maßnahmen umsetzen und aufrechterhalten, um die Vertraulichkeit der Kundendaten zu gewährleisten;

(d) Einhaltung aller geltenden Datenschutzgesetze, einschließlich Verpflichtungen in Bezug auf die Rechte der betroffenen Personen, Datensicherheit und Vertraulichkeit;

(e) durch schriftliche Verträge oder andere rechtlich bindende Mittel sicherzustellen, dass jeder Unterbearbeiter, der mit der Verarbeitung von Kundendaten im Auftrag von BAS-IP beauftragt ist, gleichwertigen Datenschutzverpflichtungen gemäß diesem DPA und der Vereinbarung unterliegt;

(f) genaue Aufzeichnungen aller in Ihrem Namen durchgeführten Bearbeitungsaktivitäten gemäß diesem DPA zu führen und Ihnen diese auf Anfrage zur Verfügung zu stellen;

(g) Sie ohne unnötige Verzögerung zu benachrichtigen, falls BAS-IP erfährt, dass von Ihnen bereitgestellte Kundendaten ungenau, unvollständig oder veraltet sind;

(g) Anwendung angemessener und notwendiger Schutzmaßnahmen oder Einschränkungen bei der Verarbeitung sensibler Kundendaten, wie es durch Datenschutzgesetze oder die Anweisungen vorgeschrieben ist;

(h) Ihnen alle angemessen notwendigen Informationen bereitstellen, um die Einhaltung der Verpflichtungen von BAS-IP gemäß den geltenden Datenschutzgesetzen nachweisen zu können.

6.2. Mitteilungen an einen Kunden

Nach Erkenntnissen informieren wir Sie über jede rechtsverbindliche Anfrage zur Offenlegung von Kundendaten durch eine öffentliche Behörde, es sei denn, es ist uns gesetzlich verboten, den Kunden zu informieren, beispielsweise um die Vertraulichkeit einer Untersuchung durch eine öffentliche Behörde zu wahren. Wir informieren Sie, wenn BAS-IP von einer Mitteilung, Anfrage oder Untersuchung einer Aufsichtsbehörde bezüglich der Verarbeitung von Kundendaten gemäß diesem DPA zwischen Ihnen und uns erfährt.

6.3. Vertraulichkeit

Wir greifen nicht auf Kundendaten zu, nutzen oder geben Dritten keine Kundendaten weiter, außer in jedem Fall, wenn dies notwendig ist, um die Dienstleistungen zu erhalten oder bereitzustellen oder um vertragliche und rechtliche Verpflichtungen oder eine verbindliche Anordnung einer öffentlichen Stelle (wie etwa eine Vorladung oder eine gerichtliche Anordnung) zu erfüllen.

Wir stellen sicher, dass jeder Mitarbeiter/Auftragnehmer, dem wir den Zugriff auf Kundendaten in unserem Namen erlauben, angemessenen Vertraulichkeits-, Vertrags- oder gesetzlichen Pflichtverpflichtungen in Bezug auf Kundendaten unterliegt.

6.4. Sicherheitsmaßnahmen

Wir werden geeignete technische und organisatorische Maßnahmen umsetzen und aufrechterhalten, um Kundendaten vor Datenpannen wie tatsächlicher oder vermuteter versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Weitergabe von oder Zugriff auf Kundendaten, die übertragen, gespeichert oder anderweitig verarbeitet wurden (im Folgenden die ‚Sicherheitsvorfälle‚) gemäß unseren Sicherheitsstandards gemäß Anhang 2 dieses DPA zu schützen.

Sie erkennen an, dass Sicherheitsmaßnahmen technischen Fortschritten unterliegen, sodass wir Anhang 2 dieses DPA nach eigenem Ermessen ändern oder aktualisieren können, vorausgesetzt, eine solche Änderung oder Aktualisierung führt nicht zu einer wesentlichen Beeinträchtigung der durch Anhang 2 dieses DPA angebotenen Sicherheitsmaßnahmen.

6.5. Sicherheitsvorfall

Wenn wir von einem Sicherheitsvorfall erfahren, werden wir:

  • Sie ohne unnötige Verzögerung benachrichtigen, sobald wir von dem Sicherheitsvorfall erfahren haben;
  • rechtzeitige Informationen zum Sicherheitsvorfall bereitzustellen (die Art der personenbezogenen Daten, die Kategorien und die potenzielle Anzahl der betroffenen Personen oder Datensätze), sobald diese bekannt werden oder von Ihnen vernünftigerweise angefordert werden; und
  • ergreifen Sie umgehend angemessene Maßnahmen, um einen Sicherheitsvorfall einzudämmen und zu untersuchen, damit Sie die zuständigen Behörden und/oder betroffenen Datenpersonen über den Sicherheitsvorfall informieren können.

Unsere Benachrichtigung über oder Reaktion auf einen Sicherheitsvorfall ist nicht als Bestätigung einer Schuld oder Haftung im Zusammenhang mit dem Sicherheitsvorfall durch uns zu verstehen.

6.6. Rückgabe oder Löschung von Client-Daten

Nach Beendigung oder Ablauf der zwischen Ihnen und uns geschlossenen Vereinbarung werden wir alle Kundendaten in unserem Besitz oder Kontrolle löschen oder zurückgeben. Diese Anforderung gilt nicht insoweit, als wir gemäß geltendem Recht oder den jeweiligen vertraglichen Verpflichtungen verpflichtet sind, einige oder alle Kundendaten zu speichern.

6.7. Angemessene Unterstützung

Wir erklären uns bereit, dem Kunden angemessene Unterstützung beizubringen:

(a) jede Anfrage eines Datenträgers bezüglich des Zugriffs auf oder der Behebung, Löschung, Beschränkung, Portabilität, Sperre oder Löschung von Kundendaten, die wir im Namen des Kunden verarbeiten. Falls ein betroffener Person eine solche Anfrage direkt an uns sendet, gilt Abschnitt 7 dieses DPA;

(b) die Untersuchung des Sicherheitsvorfalls und die Mitteilung notwendiger Benachrichtigungen zu diesen Sicherheitsvorfällen, vorbehaltlich Abschnitt 6.5 dieses DPA;

(c) Erstellung von Datenschutz-Folgenabschätzungen (die sogenannten „DPIAs„) und, falls erforderlich, die Konsultation des Kunden mit der Aufsichtsbehörde gemäß den Artikeln 35 und 36 der DSGVO.

6.8 Prüfung und Zertifizierung

6.8.1 Prüfung der Aufsichtsbehörde

Wenn eine Aufsichtsbehörde eine Prüfung unserer Datenverarbeitungseinrichtungen verlangt, die wir nutzen, um die Kundendaten zu verarbeiten, um die Einhaltung der Datenschutzgesetze des Kunden festzustellen oder zu überwachen, werden wir mit der Prüfung kooperieren. Der Mandant ist für alle Kosten und Gebühren im Zusammenhang mit einer solchen Prüfung verantwortlich, einschließlich aller angemessenen Kosten und Gebühren für jede Zeit, die wir für eine solche Prüfung aufwenden, zusätzlich zu den Gebühren für von uns erbrachte Leistungen.

6.8.2 Prüfungen

Der Kunde kann vor Beginn der Bearbeitung und in regelmäßigen Abständen die von uns ergriffenen technischen und organisatorischen Maßnahmen prüfen. Wenn der Kunde der Verantwortliche für die von uns in seinem Namen verarbeiteten personenbezogenen Daten ist, nach angemessener und rechtzeitiger Vorabvereinbarung, während der regulären Geschäftszeiten und ohne Unterbrechung unseres Geschäftsbetriebs, können wir dem Mandanten alle notwendigen Informationen zur Nachweis der Einhaltung seiner in Artikel 28 der DSGVO festgelegten Verpflichtungen bereitstellen und Prüfungen ermöglichen und zu ihnen beitragen,  einschließlich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Prüfer im Zusammenhang mit der Bearbeitung durchgeführt werden.

Wir werden dem Kunden auf schriftliche Anfrage und innerhalb angemessener Frist alle für eine solche Prüfung notwendigen Informationen zur Verfügung stellen, soweit diese Informationen in unserer Kontrolle liegen und wir nicht durch geltendes Recht, eine Vertraulichkeitspflicht oder eine andere Verpflichtung gegenüber Dritten daran gehindert sind, diese offenzulegen.

7. Anfragen an die betroffenen Personen

Falls sich ein Antragsberechtigter bezüglich der Ausübung seiner Rechte gemäß den Datenschutzgesetzen (insbesondere Anfragen auf Zugriff, Behebung oder Löschung von Kundendaten) an uns wendet, werden wir alle angemessenen Anstrengungen unternehmen, um solche Anfragen an Sie weiterzuleiten. Wenn wir gesetzlich verpflichtet sind, auf eine solche Anfrage zu reagieren, werden wir Sie umgehend benachrichtigen und Ihnen eine Kopie der Anfrage zur Verfügung stellen, es sei denn, es ist uns gesetzlich untersagt.

8. Subprozessoren

BAS-IP hat die allgemeine schriftliche Genehmigung des Kunden für die Beauftragung von Subprozessoren aus einer vereinbarten Liste. BAS-IP verpflichtet sich, den Kunden mindestens 10 Tage vor der Beauftragung des betreffenden Unterprozessors über beabsichtigte Änderungen an dieser Liste bezüglich der Hinzufügung oder Ersatz von Unterprozessoren zu informieren, wodurch der Client die Möglichkeit hat, solchen Änderungen Einspruch zu erstatten. BAS-IP stellt dem Kunden die notwendigen Informationen zur Verfügung, damit dieser das Recht auf Einspruch ausüben kann.

Wenn Abschnitt 9 dieses DPA Anwendung findet, unterliegt das Verfahren zur Beauftragung von Subprozessoren den einschlägigen Bestimmungen von Abschnitt 9 dieses DPA. In einem solchen Fall haben die Bestimmungen von Abschnitt 9 Vorrang.

Die vereinbarte Liste der Unterprozessoren ist in Anhang 3 dieses DPA festgehalten.

9. Übertragungen von Kundendaten

9.1. Allgemeines

Sie erkennen an und stimmen zu, dass die Nutzung von BAS-IP-Diensten die Übertragung von Kundendaten in andere Rechtsordnungen in Übereinstimmung mit den geltenden Datenschutzgesetzen erfordern kann.

Wo solche Übertragungen angemessene Schutzmaßnahmen erfordern, werden die geltenden Datenübertragungsmechanismen verwendet, wie die EU-SCCs und das UK-Addendum. Diese Datenübertragungsmechanismen sind in dieses DPA integriert und bilden einen integralen Bestandteil davon, wie in Abschnitten 9.2 weiter beschrieben. und 9,3.

Im Falle eines Konflikts zwischen den Bestimmungen dieses DPA und den anwendbaren Datenübertragungsmechanismen haben die Bestimmungen des einschlägigen Datenübertragungsmechanismus ausschließlich in dem Umfang dieses Konflikts Vorrang.

9.2. Übertragungen nach der DSGVO

Wenn die Verarbeitung von Kundendaten in Ihrem Auftrag im Zusammenhang mit Dienstleistungen eine „Übertragung“ gemäß der DSGVO darstellt, gelten Standardvertragsklauselen.

Wenn Sie ein Controller sind und wir ein Prozessor, gilt Modul Zwei der EU-SCCs, und wenn Sie ein Prozessor sind und wir ein Subprozessor, gilt Modul Drei der EU-SCCs.

Für die Zwecke der EU-SCCs ist BAS-IP ein „Data Importer“ und Sie sind ein „Data Exporter“.

Die relevanten Bestimmungen der EU-SCCs sind durch Referenz aufgenommen und ein integraler Bestandteil dieses DPA. Klauseln und Anhänge der EU-SCCs gelten als wie folgt abgeschlossen:

(i) in Klausel 7 gilt die optionale Andockklausel nicht;

(ii) In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung). Für die Zwecke von Klausel 9(a) beträgt die Frist zur Information des Datenexporteurs 10 Tage;

(iii) In Klausel 11 gilt die optionale Bestimmung nicht;

(iv) In Klausel 13 gilt je nach Fall eine bestimmte Option;

(v) In Klausel 17 gilt Option 1. Die EU-SCCs werden durch das Recht der Bundesrepublik Deutschland geregelt;

(vi) in Klausel 18(b) werden Streitigkeiten von den Gerichten der Bundesrepublik Deutschland entschieden;

(vii) Anhang I der EU-SCCs gilt als vollständig mit den in Anhang 1 dieses DPA genannten Informationen abgeschlossen;

(viii) Anhang II der EU-SCCs gilt als vollständig mit den in Anhang 2 dieses DPA genannten Informationen abgeschlossen.

9.3. Übertragungen im Rahmen des britischen Datenschutzrahmens

Wenn die Verarbeitung von Kundendaten in Ihrem Namen im Zusammenhang mit Dienstleistungen eine „eingeschränkte Übertragung“ nach britischen Datenschutzgesetzen darstellt, gilt der UK-Zusatz.

Wenn Sie ein Controller sind und BAS-IP ein Prozessor ist, gilt Modul Zwei der EU-SCCs, und wenn Sie ein Prozessor sind und wir ein Subprozessor, gilt Modul Drei der EU-SCCs, wie in Absatz 9.2 ergänzt. dieser DPA.

Für den Zweck des UK-Zusatzes ist BAS-IP ein „Importeur“ und Sie sind ein „Exporteur“.

Die einschlägigen Bestimmungen im UK-Addendum sind durch Referenz aufgenommen und ein integraler Bestandteil dieses DPA. Die Tabellen im UK-Addendum gelten als wie folgt:

(i) Tabelle 1 in Teil 1 gilt als vollständig mit den in Anhang 1 dieses DPA genannten Informationen, die offizielle Registrierungsnummer des Importeurs ist 328138502 und die offizielle Registrierungsnummer des Exporteurs ist im Konto des Kunden enthalten, falls vorhanden;

(ii) Tabelle 2 in Teil 1 gilt als entsprechend mit den in Unterabschnitt 9.2 festgelegten Informationen abgeschlossen. dieser DPA;

(iii) Tabelle 3 in Teil 1 gilt als mit den in den Anhängen 1, 2 und 3 dieses DPA genannten Informationen abgeschlossen;

(iv) In Tabelle 4 in Teil 1 darf keine der Parteien dieses Addendum gemäß Abschnitt 19 des britischen Addendums beenden.

ANHANG 1 – BESCHREIBUNG DER BEARBEITUNG

LISTE DER PARTEIEN

Client (Datenexporteur)

Name: Du, ‚Kunde‘

Adresse: Die relevanten Informationen sind im Konto des Kunden enthalten.

Name, Position und Kontaktdaten der Kontaktperson: Die relevanten Informationen sind im Konto des Kunden enthalten.

Aktivitäten, die mit den unter diesen Klauseln übertragenen Daten relevant sind: Erbringung der Dienstleistungen.

Unterschrift und Datum: Die Parteien sind sich einig, dass die Abschluss der Vereinbarung durch den Datenexporteur die Ausführung dieses DPA sowohl durch den Datenimporteur als auch den Datenexporteur darstellt. Das Datum der Registrierung des Kontos auf der Plattform gilt als Datum der Ausführung dieses DPA.

Rolle: Controller oder Prozessor

BAS-IP DISTRIBUTION LTD (Datenimporteur)

Name: BAS-IP DISTRIBUTION LTD

Adresse: Crown House, 27 Old Gloucester Street, London, England

Name, Position und Kontaktdaten der Kontaktperson der Kontaktperson: [bitte Name, Position und Kontaktdaten einfügen, z. B. E-Mail]

Aktivitäten, die mit den unter diesen Klauseln übertragenen Daten relevant sind: Erbringung der Dienstleistungen.

Unterschrift und Datum: Die Parteien sind sich einig, dass die Abschluss der Vereinbarung durch den Datenexporteur die Ausführung dieses DPA sowohl durch den Datenimporteur als auch den Datenexporteur darstellt. Das Datum der Registrierung des Kontos auf der Plattform gilt als Datum der Ausführung dieses DPA.

Rolle: Prozessor oder Subprozessor

BESCHREIBUNG DER ÜBERTRAGUNG

  1. Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden:
  • Kunden des Kunden;
  • andere Datenpersonen, deren personenbezogene Daten im Rahmen der vom Unternehmen erbrachten Dienstleistungen an den Kunden übertragen werden.
  • Kategorien der übertragenen personenbezogenen Daten:
  • personenbezogene Daten zu den Kunden des Kunden;
  • weitere personenbezogene Daten, die während der vom Unternehmen erbrachten Dienstleistungen an den Kunden übertragen werden können.
  • Sensible Daten wurden (sofern zutreffend) übertragen und angewendet, Einschränkungen oder Schutzmaßnahmen angewendet, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen:

Der Datenimporteur darf nur dann Zugang zu sensiblen Daten erhalten, wenn diese vom Kunden bereitgestellt werden, und ausschließlich in dem für die Erbringung der Dienstleistungen erforderlichen Umfang. In solchen Fällen setzt der Datenimporteur die in Anhang 2 festgelegten technischen und organisatorischen Maßnahmen sowie alle anderen geeigneten und notwendigen Schutzmaßnahmen oder Einschränkungen um, wobei die Art der sensiblen Daten und die mit deren Verarbeitung verbundenen Risiken berücksichtigt werden, in Übereinstimmung mit den geltenden Gesetzen und Vorschriften.

  • Die Häufigkeit des Transfers:

Die personenbezogenen Daten werden kontinuierlich übertragen.

  • Art der Verarbeitung:

Die Verarbeitung personenbezogener Daten umfasst Folgendes: Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Ausrichtung oder Kombination, Beschränkung, Löschung oder Vernichtung.

  • Zweck der Datenübertragung und weiteren Verarbeitung:

Der Zweck der Datenverarbeitung nach diesen Klauseln ist die Erbringung der Dienstleistungen für den Datenexporteur durch den Datenimporteur gemäß der Vereinbarung zwischen dem Datenimporteur und dem Datenexporteur.

  • Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls das nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums:

Die personenbezogenen Daten werden für die Dauer dieses DPA, das zwischen dem Datenimporteur und dem Datenexporteur geschlossen wird, gespeichert, sofern nicht schriftlich anders vereinbart oder der Datenimporteur nach geltendem Recht verpflichtet ist, einige oder alle der übertragenen personenbezogenen Daten aufzubewahren.

  • Für Übertragungen an (Sub-)Prozessoren geben Sie auch den Gegenstand, die Art und die Dauer der Verarbeitung an:

Gegenstand: Die Erbringung von Dienstleistungen

Natur: Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Ausrichtung oder Kombination, Einschränkung, Auslöschung oder Zerstörung.

Dauer: die Erbringung der Dienstleistungen für den Datenimporteur durch den (Sub-)Prozessor im Rahmen des zwischen dem Datenimporteur und dem (Unter-)Bearbeiter geschlossenen Dienstleistungsvertrag.

ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Gemäß Klausel 13 wird die zuständige Aufsichtsbehörde nach diesen Klauseln je nach Version von Klausel 13(a) für den Datenexporteur bestimmt.

ANHANG 2 – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN, UM DIE SICHERHEIT DER DATEN ZU GEWÄHRLEISTEN

Beschreibung der technischen und organisatorischen Maßnahmen, die von den Datenimporteuren umgesetzt werden, um ein angemessenes Sicherheitsniveau zu gewährleisten, wobei die Art, der Umfang, der Kontext und der Zweck der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden:

  • Data Importer verpflichtet sich, die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit aller personenbezogenen Daten während seiner gesamten Verarbeitungsaktivitäten zu wahren und sicherzustellen, dass personenbezogene Daten vor Verlust und Zerstörung geschützt sind, indem geeignete interne Informationssicherheitsrichtlinien, Verfahren und andere geeignete Maßnahmen umgesetzt werden.
  • Data Importer gewährt den Zugang zu personenbezogenen Daten strikt nach Need-to-know-Basis, und diese Daten sind nur autorisiertem Personal zugänglich.
  • Data Importer hat rollenbasierte Zugriffskontroll- und Zugriffskontrolllisten implementiert, um eine strikte Trennung der Benutzerzugriffsrechte zu gewährleisten.
  • Die Informationssicherheitsverfahren von Data Importer unterliegen regelmäßigen Überprüfungen.
  • Data Importer nutzt zuverlässige Dienstleister und überwacht die technischen und organisatorischen Maßnahmen, die sie ergriffen haben, um sicherzustellen, dass personenbezogene Daten jederzeit geschützt sind.
  • Data Importer hat Maßnahmen umgesetzt, die darauf abzielen, die Vertraulichkeit und Integrität personenbezogener Daten während der Datenübertragungen zu schützen.
  • Data Importer hat technische und organisatorische Maßnahmen umgesetzt, die darauf abzielen, Sicherheitsvorfälle einzudämmen und weiteren Datenverlust und -schäden zu verhindern.

ANHANG 3 – SUBPROZESSOREN

Der Prüfer hat die Nutzung folgender Unterprozessoren genehmigt:

Subprozessor 1

Name: Hetzner Online GmbH / Hetzner Finland Oy

Adresse: Industriestr. 25, 91710 Gunzenhausen, Deutschland / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finnland

Name, Position und Kontaktdaten der Kontaktperson: [email protected] 

Beschreibung der Verarbeitung: Hosting der Daten auf den Servern der Hetzner Online GmbH / Hetzner Finland Oy

Subprozessor 2

Name: DigitalOcean, LLC

Adresse: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Vereinigte Staaten

Name, Position und Kontaktdaten der Kontaktperson der Kontaktperson: [email protected] 

Beschreibung der Verarbeitung: Hosting der Daten auf den Servern von DigitalOcean, LLC