ANHANG 1: DATENSCHUTZBESTIMMUNGEN

1. Anwendungsbereich

Die Bestimmungen dieser Anlage („Datenschutzbestimmungen“) regeln die Verarbeitung personenbezogener Daten bei der Nutzung der Software und Services von FotoWare durch den Kunden.

Im Falle einer Abweichung zwischen den Nutzungsbedingungen und der vorliegenden Vereinbarung haben die Bestimmungen der Datenschutzbestimmungen Vorrang.

2. Definitionen

Die hier aufgelisteten Begriffe, die nicht in den vorstehenden Nutzungsbedingungen oder in einem Auftragsformular definiert sind, haben die untenstehende Bedeutung.

„Datenschutzgrundverordnung“ oder „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

„Personenbezogene Daten“ sind jegliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

„Datenschutzgesetze“ bezeichnet die europäischen Datenschutzgesetze, einschließlich die DSGVO sowie nationale Datenschutzgesetze zur Umsetzung der europäischen Datenschutzgesetze, die auf den Kunden Anwendung finden.

„Standardvertragsklauseln“ bezeichnet die in Artikel 46 DSGVO beschriebenen Standarddatenschutzbestimmungen für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Datenschutzniveau gewährleistet ist.

„Unterauftragsverarbeiter“ bezeichnet weitere von FotoWare mit der Verarbeitung von Daten beauftragte Auftragsverarbeiter.

Die hierin verwendeten Begriffe „betroffene Person“, „Verarbeitung“, „Auftragsverarbeiter“ und „Aufsichtsbehörde“ haben die in der DSGVO festgelegte Bedeutung und die Begriffe „Datenimporteur“ und „Datenexporteur“ haben die in den Standardvertragsklauseln festgelegte Bedeutung.

3. Verarbeitung von Personenbezogenen Daten

Im Rahmen des Betriebs und der Bereitstellung des Service verarbeitet FotoWare bestimmte Personenbezogene Daten im Auftrag des Kunden. Als Teil des Service kann FotoWare auch Informationen über Computer oder Geräte, auf denen der Service genutzt wird, die Nutzung des Service und die Leistung des Service automatisch hochladen. Wie FotoWare diese Informationen nutzt, unterliegt den Datenschutzbestimmungen und der Datenschutzerklärung von FotoWare (abrufbar unter: http://www.fotoware.com/company/legal/privacy-policy).

4. Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen

Der Kunde ist Verantwortlicher für die Personenbezogenen Daten und FotoWare Auftragsverarbeiter dieser Daten, außer in Fällen, in denen (a) der Kunde selbst als Auftragsverarbeiter von personenbezogenen Daten handelt und FotoWare somit Unterauftragsverarbeiter ist, es sei denn (b) dies wurde in der Order Form anderweitig festgelegt. FotoWare wird die Personenbezogenen Daten nur auf Grundlage von dokumentierten Weisungen des Kunden verarbeiten. Wenn der Kunde ein Auftragsverarbeiter ist, versichert er gegenüber FotoWare, dass die Weisungen des Kunden, einschließlich der Beauftragung von FotoWare als Auftragsverarbeiter oder Unterauftragsverarbeiter, durch den jeweiligen Verantwortlichen genehmigt wurden.

FotoWare kann Personenbezogene Daten auf anderer Grundlage als einer Weisung des Kunden verarbeiten, wenn FotoWare hierzu gesetzlich verpflichtet ist. In solch einem Fall ist FotoWare verpflichtet, den Kunden vor der Verarbeitung über die gesetzliche Vorschrift zu informieren, es sei denn das entsprechende Gesetz untersagt die Inkenntnissetzung aus wichtigen Gründen des öffentlichen Interesses.

Als Verantwortlicher ist der Kunde allein verantwortlich dafür, unabhängig zu prüfen, ob die technischen und organisatorischen Maßnahmen für den Service den Anforderungen des Kunden entsprechen, einschließlich seiner Sicherheitspflichten aus der DSGVO oder anderer anwendbarer Datenschutzgesetze und -bestimmungen.

Der Kunde sichert zu und gewährleistet, dass er über eine Rechtsgrundlage für die Verarbeitung der betreffenden personenbezogenen Daten verfügt. Des Weiteren versichert und gewährleistet der Kunde, dass der Inhalt nicht rechtswidrig ist und keine Rechte Dritter verletzt werden. In diesem Zusammenhang stellt der Kunde FotoWare von sämtlichen Ansprüchen und Klagen Dritter im Zusammenhang mit der Verarbeitung Personenbezogener Daten ohne Rechtsgrundlage gemäß diesen Nutzungsbedingungen frei.

5. Einhaltung der Datenschutzgesetze

FotoWare informiert den Kunden unverzüglich, wenn FotoWare der Ansicht ist, dass die Verarbeitung von Personenbezogenen Daten gemäß diesen Datenschutzbestimmungen zu irgendeinem Zeitpunkt die geltenden Datenschutzgesetze verletzt. Der Kunde ist dann berechtigt, die Verarbeitung von Personenbezogenen Daten aussetzen, bis FotoWare diese entweder bestätigt oder ändert.

FotoWare wird den Kunden im Rahmen seiner Verpflichtungen gemäß den anwendbaren Datenschutzgesetzen in angemessenem Umfang unterstützen und informieren. Dies umfasst die Pflicht, den Kunden im Hinblick auf die Verarbeitungssicherheit, Meldung von Datenschutzverletzungen und Kommunikation mit den Betroffenen Personen, eine Datenschutz-Folgenabschätzung und die vorherige Abstimmung mit der jeweiligen Aufsichtsbehörde zu unterstützen und zu informieren.

6. Einzelheiten der Verarbeitung


Die Parteien erkennen hiermit an und vereinbaren Folgendes:

Die Verarbeitung dauert so lange an, wie der Kunde berechtigt ist, den Service zu nutzen, und bis sämtliche Personenbezogenen Daten gemäß den Weisungen des Kunden oder den Nutzungsbedingungen entweder gelöscht oder zurückgegeben wurden;

Art und Zweck der Verarbeitung ist die Bereitstellung des Service gemäß den Nutzungsbedingungen und/oder der Order Form und kann die Strukturierung, die Speicherung, den Abruf, die Weitergabe durch Übermittlung, die Beschränkung und die Löschung von Personenbezogenen Daten umfassen;

Die Arten von Personenbezogenen Daten, die im Rahmen des Service verarbeitet werden, umfassen Dateien, wie etwa Texte, Audio- und Videodateien, Bilder, Präsentationen oder sonstige Inhalte, die der Kunde hochgeladen hat; und

Die Kategorien von betroffenen Personen umfassen die Vertreter/innen und Endnutzer/innen des Kunden, wie Mitarbeiter/innen, Auftragnehmer/innen, Partner/innen und Kunden/Kundinnen des Kunden.

7. Rechte von Betroffenen Personen

FotoWare kommt angemessenen Aufforderungen des Kunden nach, Unterstützung bei Anfragen betroffener Personen zu leisten. Erhält FotoWare in Verbindung mit einem Service, in dessen Rahmen FotoWare ein Auftragsverarbeiter oder Unterauftragsverarbeiter ist, eine Anfrage von einer betroffenen Person des Kunden hinsichtlich der Ausübung eines Rechts bzw. mehrerer Rechte aus der DSGVO, wird FotoWare die betroffene Person auffordern, diese Anfrage direkt an den Kunden zu richten. Der Kunde ist für die Beantwortung dieser Anfragen verantwortlich, was gegebenenfalls auch über die Funktionen des Service erfolgen kann.

8. Unterauftragsverhältnisse

FotoWare ist berechtigt, Dritte mit der Erbringung bestimmter Leistungen in seinem Namen zu beauftragen. Der Kunde stimmt der Beauftragung dieser Dritten als Unterauftragsverarbeiter zu. Die vorstehenden Ermächtigungen stellen die vorherige schriftliche Zustimmung des Kunden zur Beauftragung der Unterauftragsverarbeitung der Personenbezogenen Daten durch FotoWare dar.

Ein Überblick über die Unterauftragsverarbeiter von FotoWare ist unter https://www.fotoware.com/company/legal/data-processors abrufbar.

FotoWare ist für die Einhaltung dieser Datenschutzbestimmungen durch seine Unterauftragsverarbeiter verantwortlich. Wenn FotoWare Unterauftragsverarbeiter beauftragt, wird FotoWare mittels eines schriftlichen Vertrags sicherstellen, dass der Unterauftragsverarbeiter nur in dem Umfang auf Personenbezogene Daten zugreifen und diese nutzen kann, wie es für die Bereitstellung der vertraglich geschuldeten Leistungen erforderlich ist, und dass es dem Unterauftragsverarbeiter verboten ist, die Personenbezogenen Daten für sonstige Zwecke zu nutzen. FotoWare stellt sicher, dass Unterauftragsverarbeiter durch schriftliche Vereinbarungen dazu verpflichtet sind, mindestens das durch FotoWare selbst zugesicherte Datenschutzniveau zu gewährleisten.

FotoWare kann Unterauftragsverarbeiter ersetzen oder neue Unterauftragsverarbeiter beauftragen. FotoWare wird den Kunden über neue Unterauftragsverarbeiter informieren, und zwar mindesten 30 Tage, bevor FotoWare diesem Unterauftragsverarbeiter Zugriff auf Personenbezogene Daten gewährt.

Wenn der Kunde dem neuen Unterauftragsverarbeiter nicht zustimmt, können die Nutzungsbedingungen ohne zusätzliche Kosten für den Kunden beendet werden, vorausgesetzt FotoWare erhält die schriftliche Kündigung vor Ablauf der vorstehend festgelegten 30-Tagefrist unter Angabe der Gründe für die Ablehnung. Hat der Kunde gemäß Ziffer 13 der Nutzungsbedingungen den Jahresplan gewählt, so hat er Anspruch auf eine Erstattung im Verhältnis zum restlichen bereits bezahlten Leistungszeitraum.

9. Übertragung Personenbezogener Daten

FotoWare wird Personenbezogene Daten ohne die vorherige schriftliche Zustimmung des Kunden nicht aus dem Land, in dem der Kunde FotoWare die Daten ursprünglich zur Verfügung gestellt hat, in ein anderes Land übertragen. Personenbezogene Daten, die an einem Ort innerhalb des Europäischen Wirtschaftsraums („EWR“) zur Verfügung gestellt werden, können an einen anderen Ort innerhalb des EWR übertragen werden.

Werden Personenbezogene Daten in ein Land außerhalb des EWR oder an eine internationale Organisation übertragen, wird FotoWare mit dem Datenimporteur die EU-Standardvertragsklauseln für die Übermittlung der Personenbezogenen Daten an Auftragsverarbeiter in Drittländern abschließen (Modul 3 der EU-Standardvertragsklauseln).

FotoWare kann Personenbezogene Daten in Länder außerhalb des EWR oder an internationale Organisationen übertragen, wenn FotoWare hierzu gesetzlich verpflichtet ist. In solch einem Fall ist FotoWare verpflichtet, den Kunden vor der Verarbeitung über die gesetzliche Vorschrift zu informieren, es sei denn das entsprechende Gesetz untersagt eine Inkenntnissetzung aus wichtigen Gründen des öffentlichen Interesses.

Des Weiteren wird FotoWare sämtliche für die Einhaltung der Datenschutzgesetze im Rahmen der grenzüberschreitenden Übermittlung der Personenbezogenen Daten schriftlichen Vereinbarung abschließen bzw. Erklärungen oder Stellungnahmen abgeben, die (im Rahmen der angemessenen Bestimmung des Kunden) erforderlich sind, unabhängig davon, ob die Übermittlung an oder von FotoWare stattfindet.

10. Datensicherheit

FotoWare wird die für die Einhaltung der anwendbaren Datenschutzgesetze im Rahmen der Verarbeitung der Personenbezogenen Daten erforderlichen angemessenen technischen und organisatorischen Maßnahmen ergreifen und sicherstellen, dass die Rechte der betroffenen Personen gewahrt bleiben.

FotoWare entwickelt im angemessenen Rahmen Sicherheitsverfahren und -standards, setzt diese um und erhält sie aufrecht, um die Personenbezogenen Daten vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Änderung oder unbefugter Offenlegung bzw. unbefugtem Zugriff zu schützen (nachfolgend „Datenschutzverletzungen“). Eine Nutzung der Informationssysteme und Personenbezogenen Daten entgegen der etablierten Routinen, Weisungen des Kunden oder anwendbaren Datenschutzgesetze sowie Sicherheitsverstöße werden auch als Datenschutzverletzung behandelt.

Ein Überblick über die einzelnen Sicherheitsmaßnahmen, die FotoWare ergriffen hat, um die Vorgaben der Datenschutzgesetze zu erfüllen, ist unter https://www.fotoware.com/company/legal/how-fotoware-protects-your-data abrufbar. FotoWare kann die Sicherheitsmaßnahmen zwar jederzeit ändern, muss jedoch gewährleisten, dass die Maßnahmen die Vorgaben der anwendbaren Datenschutzgesetze einhalten.

FotoWare wird seine Mitarbeiter, die Zugriff auf die Personenbezogenen Daten haben, im angemessenen Umfang im Hinblick auf die in diesen Datenschutzbestimmungen festgelegten Anforderungen an Geheimhaltung, Vertraulichkeit und Datensicherheit schulen.

FotoWare wird sämtliche Personenbezogenen Daten und sonstige vertrauliche Informationen vertraulich behandeln. FotoWare wird des Weiteren sicherstellen, dass sich jede Person - unabhängig davon, ob angestellt oder beauftragt -, die im Auftrag von FotoWare Zugriff auf Personenbezogene Daten hat oder gemäß diesen Datenschutzbestimmungen an deren Verarbeitung beteiligt ist, (i) zur Vertraulichkeit verpflichtet ist und dass (ii) sie über die hierin festgelegten Verpflichtungen Kenntnis hat und diese einhält. Diese Vertraulichkeitsverpflichtung gilt auch nach Beendigung der Nutzungsbedingungen fort.

11. Datenschutzverletzung und Meldung

FotoWare wird den Kunden unverzüglich nach Kenntnisnahme einer Datenschutzverletzung hierüber informieren.

Die Mitteilung wird die Auswirkungen der Verletzung auf die Leistungen und die von FotoWare ergriffenen korrektiven Maßnahmen im angemessenen Umfang zusammenfassen.

FotoWare wird mit dem Kunden vollumfänglich bei allen angemessenen und rechtmäßigen Bemühungen zusammenarbeiten, eine Datenschutzverletzung zu verhindern, einzudämmen oder zu berichtigen.

FotoWare wird im angemessenen Umfang Routinen und systematische Prozesse zur Nachverfolgung von Datenschutzverletzungen etablieren, die die Wiederherstellung des normalen Zustands, Beseitigung der Ursache der Datenschutzverletzung und Verhinderung einer Wiederholung derselben abdecken.

12. Audit und Verzeichnis der Verarbeitungstätigkeiten

Sofern von der DSGVO vorgegeben, wird FotoWare sämtliche gemäß Artikel 30(2) erforderlichen Verzeichnisse führen und diese dem Kunden auf Anfrage zur Verfügung stellen, sofern dies auf die im Auftrag des Kunden verarbeiteten Personenbezogenen Daten Anwendung findet.

Um sich von der Einhaltung dieser Datenschutzbestimmungen zu überzeugen, kann der Kunde eine Prüfung durch einen unabhängigen zur Vertraulichkeit verpflichteten Dritten durchführen lassen. Eine solche Prüfung hat die angemessenen Sicherheitsvorschriften von FotoWare einzuhalten und darf die Geschäftstätigkeiten von FotoWare nicht unangemessen beeinträchtigen.

Der Kunde hat die Prüfung FotoWare zwei Wochen im Voraus schriftlich anzuzeigen.

Die im Rahmen der durchgeführten Prüfung erlangten Erkenntnisse werden von den Parteien besprochen und bewertet und gegebenenfalls von einer der oder von beiden Parteien gemeinsam entsprechend umgesetzt.

Die Kosten des Audits sind werden vom Kunden getragen.

13. Haftung

Die Haftung der Parteien für Schäden, die betroffene Personen oder andere natürliche Personen erleiden und die sich aus der Verletzung von Datenschutzgesetzen durch eine Partei ergeben, ist abschließend in Artikel 82 DSGVO geregelt.

Die Haftungsbeschränkungen gemäß Ziffer 22 der Nutzungsbedingungen finden keine Anwendung auf Haftungsfälle, die sich aus Artikel 82 DSGVO ergeben.

14. Aufbewahrung und Löschung

Der Kunde kann während der Laufzeit seines Service-Abonnements jederzeit auf die im darin gespeicherten Personenbezogenen Daten zugreifen und diese extrahieren und löschen.

FotoWare wird die Personenbezogenen Daten, die noch im Service gespeichert sind, für 90 Tage nach Ablauf oder Beendigung des Abonnements des Kunden in einem Account mit eingeschränkter Funktion aufbewahren, sodass der Kunde die Daten extrahieren kann. Nach Ablauf dieser Aufbewahrungsfrist wird FotoWare den Account des Kunden deaktivieren und die Personenbezogenen Daten innerhalb eines weiteren Zeitraums von 90 Tagen löschen, es sei denn FotoWare ist gesetzlich berechtigt oder verpflichtet, diese Daten aufzubewahren, oder gemäß diesen Datenschutzbestimmungen entsprechend hierzu befugt.