Anhang 1

Datenaustausch, Datenübertragung und geteilte Daten

1 Datenaustausch

1.1 Beide Parteien erkennen an, dass jede Partei ausschließlich die Rechtsgrundlage und die Bedingungen bestimmt, unter denen sie die im Rahmen dieser Vereinbarung weitergegebenen personenbezogenen Daten (die "geteilten Daten") verarbeitet, wie in ihrer jeweiligen Datenschutzerklärung oder einem anderen Hinweis dargelegt, der nach den geltenden Datenschutzgesetzen in der jeweils gültigen Fassung erforderlich ist.

1.2 Die Datenschutzerklärung von ComponentSource finden Sie hier.

1.3 Jede Partei und ihre Mitarbeitenden, Arbeitnehmer*innen, Erfüllungsgehilfe*in oder Berater*innen ("Personal") werden ihren jeweiligen Verpflichtungen gemäß den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung der geteilten Daten nachkommen und die geteilten Daten in Übereinstimmung mit ihrer jeweiligen Datenschutzerklärung verarbeiten.

1.4 Sie stellen sicher, dass Sie über eine Rechtsgrundlage für die Verarbeitung geteilter Daten verfügen, die den geltenden Datenschutzgesetzen entspricht, und dass Sie ComponentSource keine freigegebenen Daten in Bezug auf eine betroffene Person zur Verfügung stellen, der zum Zeitpunkt der Erhebung der geteilten Daten keine Kopie der Datenschutzerklärung zur Verfügung gestellt wurde;

1.5 Jede Partei wird:

1.5.1 unverzüglich die Informationen, die Unterstützung und/oder den Zugang bereitstellen, die die andere Partei vernünftigerweise verlangen kann, um auf eine Anfrage einer betroffenen Person zu antworten und die Einhaltung ihrer Verpflichtungen gemäß den geltenden Datenschutzgesetzen in Bezug auf Sicherheit, Benachrichtigungen über Verstöße, Audit, Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden und/oder Aufsichtsbehörden sicherzustellen;

1.5.2 sicherstellen, dass die geteilten Daten korrekt und vollständig sind;

1.5.3 innerhalb von zwei (2) Werktagen der anderen Partei schriftlich mitteilen: (i) wenn sie eine ihrer Verpflichtungen gemäß Klausel 1 dieses Anhangs nicht erfüllt hat; (ii) wenn festgestellt wird, dass eine der geteilten Daten ungenau oder unvollständig ist; (iii) mit Einzelheiten zu Anfragen betroffener Personen infolge der Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen. In keinem Fall werden Sie ohne die vorherige schriftliche Zustimmung von ComponentSource direkt auf eine solche Anfrage oder Korrespondenz antworten, es sei denn, dies ist durch geltende Datenschutzgesetze vorgeschrieben oder steht in keinem Zusammenhang mit den Verarbeitungsaktivitäten von ComponentSource; und (iv) jede vermutete, potenzielle, tatsächliche oder drohende Verletzung des Schutzes personenbezogener Daten, die von ihm oder einem Dritten in seinem Namen verarbeitet werden; und

1.5.4 die andere Partei von allen Verbindlichkeiten freizustellen, die sich aus oder im Zusammenhang mit einem Verstoß gegen diesen Anhang ergeben, einschließlich aller Beträge, die von der entschädigten Partei an einen Dritten (einschließlich seines Personals) gezahlt oder zu zahlen sind, die nicht bezahlt oder zahlbar gewesen wären, wenn der Verstoß gegen diesen Anhang nicht stattgefunden hätte. Zur Vermeidung von Missverständnissen vereinbaren die Parteien, dass eine in dieser Vereinbarung festgelegte Haftungsbeschränkung oder ein Haftungsausschluss nicht für ihre Entschädigungs- oder Erstattungsverpflichtungen gemäß diesem Anhang gilt.

1.6 Sie werden:

1.6.1 mit ComponentSource auf seine schriftliche Anfrage unverzüglich jede weitere Vereinbarung und/oder angemessene Sicherheitsvorkehrungen abschließen, die nach den geltenden Datenschutzgesetzen für die internationale Übermittlung der geteilten Daten erforderlich sind, wie z. B. die Standardvertragsklauseln in der von der Europäischen Kommission oder einer anderen zuständigen Stelle gemäß den geltenden Datenschutzgesetzen herausgegebenen Form;

1.6.2 sicherstellen, dass für alle geteilten Daten, die Sie von betroffenen Personen in anderen Gerichtsbarkeiten als Ihrer eigenen erhalten, angemessene internationale Übertragungsgarantien in Übereinstimmung mit den geltenden Datenschutzgesetzen getroffen werden;

2 INTERNATIONALE DATENÜBERTRAGUNG

EWR-zu-Nicht-EWR-Übertragungen

2.1 Wenn gemeinsam genutzte Daten, die aus dem EWR stammen, in ein Gebiet außerhalb des EWR (einschließlich des Vereinigten Königreichs) übertragen werden, das nicht als angemessenes Gebiet ausgewiesen wurde, gilt das entsprechende Modul der EU-SCCs für eine solche Übertragung gemäß den in dieser Klausel 2 festgelegten Anforderungen und zusätzlich zu den Bedingungen dieser Vereinbarung wie folgt:

2.1.1 Es wird davon ausgegangen, dass jede Partei in Bezug auf die offengelegten geteilten Daten in ihrem eigenen Namen und in ihrem eigenen Namen am Modul 1 der EU-SCCs teilgenommen hat;

2.1.2 Die Bestimmungen von Anhang 1 (Zulässige Zwecke) gelten als in Anhang I zu Modul 1 der EU SCCs festgelegt;

2.1.3 Die Bestimmungen von Anhang 2 (Sicherheitsmaßnahmen) gelten als in Anhang II zu Modul 1 der Musterklauseln festgelegt;

2.1.4 Die Klausel 7 (Docking-Klausel) wird deaktiviert;

2.1.5 Das fakultative Element von Klausel 11(a) (Wiedergutmachung) wird aufgehoben.

2.1.6 Die folgende fakultative Klausel 13(a) (Aufsicht) wird ausgewählt:

2.1.6.1 Irland fungiert als zuständige Aufsichtsbehörde, die dafür verantwortlich ist, dass der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübermittlung gemäß Anhang I Abschnitt C einhält.

2.1.7 Die Option [1] von Klausel 17 (Anwendbares Recht) wird ausgewählt und es gilt das folgende anwendbare Recht:

2.1.7.1 Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte Dritter zulässt. Die Parteien kommen überein, dass dies das Recht Irlands sein wird.

2.1.8 Der folgende Gerichtsstand und die folgende Gerichtsbarkeit werden in Klausel 18(b) (Wahl des Gerichtsstands und Gerichtsstandes) ausgewählt:

2.1.8.1 Die Vertragsparteien vereinbaren, dass dies die Gerichte Irlands sind (Mitgliedstaat angeben).

2.1.9 Der Datenimporteur wird personenbezogene Daten nicht an Dritte weitergeben, die sich außerhalb des EWR im selben Land wie der Datenimporteur oder in einem anderen Drittland befinden (eine "Weitergabe"), es sei denn, der Dritte ist oder stimmt zu, an die EU-SCCs im Rahmen des entsprechenden Moduls gebunden zu sein. Im Übrigen darf eine Weitergabe durch den Datenimporteur nur erfolgen, wenn der Dritte anderweitig angemessene Garantien gemäß Art. 46 oder 47 EU-DSGVO in Bezug auf die Verarbeitung sicherstellt.

2.1.10 Im Falle einer Lücke oder eines Konflikts zwischen dieser Vereinbarung und dem anwendbaren Modul der EU-SCCs haben die Bestimmungen des anwendbaren Moduls Vorrang.

Übertragungen vom Vereinigten Königreich in den Nicht-EWR

2.2 Wenn geteilte Daten, die aus dem Vereinigten Königreich stammen, in ein Gebiet außerhalb des Vereinigten Königreichs übertragen werden, das nicht als angemessenes Gebiet ausgewiesen wurde, gelten die EU-SCCs, wie in Klausel 2 oben erläutert, und der internationale Datenübermittlungsnachtrag des Vereinigten Königreichs zu den EU-SCCs (UK SCC Addendum) zusätzlich zu den Bedingungen dieser Vereinbarung und zusätzlich wie folgt für die Übertragung:

2.2.1 Es wird davon ausgegangen, dass jede Partei die EU-SCCs und das UK SCC Addendum in ihrem eigenen Namen und in ihrem eigenen Namen in Bezug auf die offengelegten geteilten Daten unterzeichnet hat.

2.2.2 Die Beschreibung der Übertragung und die technischen und organisatorischen Maßnahmen sind in Anhang 1 und Anhang 2 dieses Anhangs festgelegt.

2.2.3 Die Bestimmungen von Anhang 2 (Sicherheitsmaßnahmen) gelten als in Anhang 2 zu den alten Musterklauseln festgelegt; und

2.2.4 Im Falle eines Widerspruchs zwischen dieser Vereinbarung und den EU-SCCs und dem UK SCC Addendum hat letzteres Vorrang.

Übertragungen von Nicht-EWR zu Nicht-EWR

2.3 Wenn ein Datenimporteur gemeinsam genutzte Daten verarbeitet, die aus einem Nicht-EWR-Gebiet (das "Exportgebiet") stammen und die Verarbeitung in einem Gebiet stattfindet, das sich vom Ausfuhrgebiet (das "Einfuhrgebiet") unterscheidet, verarbeitet der Datenimporteur die freigegebenen Daten nach einem Standard, der mit dem/den anwendbaren Datenschutzgesetz(en) des Exportgebiets übereinstimmt. Insbesondere informiert der Datenexporteur den Datenimporteur über alle Standards, die von ihm durch das/die geltende(n) Datenschutzgesetz(e) verlangt werden, und arbeitet uneingeschränkt mit dem Datenimporteur zusammen, um sicherzustellen, dass seine Verarbeitung der geteilten Daten mit diesen Standards übereinstimmt.

2.4 In jedem Fall, wenn ein anwendbares Datenschutzgesetz mit den Bestimmungen dieser Vereinbarung kollidiert, dann im Umfang eines Konflikts:

2.4.1 Wenn der von den anwendbaren Datenschutzgesetzen geforderte Datenschutzstandard den in dieser Vereinbarung geforderten Standard überschreitet, verarbeitet der Datenimporteur die weitergegebenen Daten nach einem Standard, der mit dem/den anwendbaren Datenschutzgesetz(en) übereinstimmt; und

2.4.2 Wenn der in dieser Vereinbarung geforderte Datenschutzstandard den Standard der geltenden Datenschutzgesetze überschreitet, verarbeitet der Datenimporteur die weitergegebenen Daten nach einem Standard, der mit dieser Vereinbarung übereinstimmt.

Zeitplan 1

Zulässiger Zweck ist wie oben definiert.

Verarbeitung - Geteilte Daten

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien früherer, gegenwärtiger und zukünftiger betroffener Personen:

  • Mitarbeiter
  • Endbenutzer
  • Verlage
  • Reseller

Kategorien von Daten

Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien:

  • Angaben zur Person: Name und Kontaktdaten
  • Zahlungsdetails: Zahlungsmethode und Details; und Zahlungshistorie und Korrespondenz.
  • Profilinformationen: Kontoinformationen, die von oder über die betroffene Person im Zusammenhang mit den Diensten gesammelt werden.
  • Gerätedaten: IP-Adressen, Cookie-Daten, Gerätekennungen und ähnliche gerätebezogene Informationen.
  • Nutzungs- und Analyseinformationen: Statistische und analytische Daten, die aus der Nutzung des Dienstes durch den Kunden gesammelt werden.
  • Umfragedaten: Demografische Informationen und Feedback, die von der betroffenen Person freiwillig in Umfragen eingereicht werden (einschließlich Daten zu Rasse / ethnischer Herkunft).
  • Korrespondenzdaten: Korrespondenz und andere Mitteilungen (einschließlich rechtmäßig aufgezeichneter Telefonkommunikationsdaten) mit der betroffenen Person zum Zwecke der Bereitstellung von Kundensupport.
  • Marketingpräferenzen: Newsletter-Abonnements und andere Präferenzen im Zusammenhang mit Marketing oder Werbung.
  • Andere Kategorien personenbezogener Daten, die Datenexporteure an Datenimporteure übermitteln dürfen.

Empfänger Die übermittelten personenbezogenen Daten dürfen nur an folgende Empfänger oder Kategorien von Empfängern weitergegeben werden:

  • Unternehmen in derselben Gruppe wie der Datenimporteur: Soweit dies für die in diesen Klauseln beschriebenen Zwecke und vorbehaltlich der in diesen Klauseln festgelegten Schutzmaßnahmen erforderlich ist.
  • Mitarbeiter des Datenimporteurs: Ordnungsgemäß autorisierte Vertriebs-, Marketing-Kundensupport-, IT- und andere Mitarbeiter, Manager und Direktoren des Datenimporteurs haben Zugriff auf die personenbezogenen Daten auf einer Need-to-Know-Basis für die Erfüllung ihrer Rollen und streng für die oben beschriebenen Zwecke.
  • Drittanbieter: Buchhalter, Wirtschaftsprüfer, Rechtsanwälte und andere externe professionelle Berater; Call-Center-Dienstleister; IT-Systeme, Support- und Hosting-Dienstleister; Kreditkartentransaktionsprozessoren; Werbe-, Marketing-, Marktforschungs- und Analysedienstleister; Banken und Finanzinstitute; Anbieter von Dokumenten- und Datensatzverwaltung; und ähnliche Drittanbieter und ausgelagerte Dienstleister, die den Datenimporteur bei der Durchführung von Geschäftsaktivitäten unterstützen.
  • Öffentliche Stellen und Strafverfolgungsbehörden: Ordnungsgemäß autorisierte Mitarbeiter bei öffentlichen Stellen und Strafverfolgungsbehörden, die Informationen des Datenimporteurs in Übereinstimmung mit geltendem Recht anfragen oder melden müssen.

Zeitplan 2

Sicherheitsmaßnahmen

Technische und organisatorische Sicherheitsmaßnahmen

ComponentSource verwendet eine Vielzahl von Sicherheitsmaßnahmen und -verfahren, um personenbezogene Daten zu schützen, einschließlich, aber nicht beschränkt auf:

  1. Benannte Mitarbeitende, die für die Implementierung von ComponentSource-Sicherheitsverfahren verantwortlich sind.
  2. Aufrechterhaltung von Datenschutz-, Aufbewahrungs- und Sicherheitsrichtlinien, die regelmäßig und mindestens einmal jährlich überprüft werden.
  3. Daten- und Netzwerksicherheitskontrollen, die einen eingeschränkten Zugriff und den Einsatz kommerzieller Verschlüsselungstechnologien nach Industriestandard umfassen.
  4. Passwortkontrollen, um sicherzustellen, dass starke und eindeutige Passwörter verwendet und regelmäßig aktualisiert werden.
  5. Zugangskontrollen, die den elektronischen Zugriff auf personenbezogene Daten und Systemfunktionen auf der Grundlage von Aufgabenbereichen und Managementebene einschränken und den Widerruf des Zugriffs für Mitarbeiter umfassen, die das Unternehmen verlassen.
  6. Multi-Faktor-Authentifizierung und Verwendung eines virtuellen privaten Netzwerks für jeden Fernzugriff auf Systeme oder personenbezogene Daten.
  7. Einsatz von Firewalls und Sicherheitssoftware zur Erkennung, Filterung und Abwehr von Angriffen sowie Einsatz von Verschlüsselungssoftware bei der Übertragung personenbezogener Daten.
  8. Ereignisprotokollierung und zugehörige Überwachungsverfahren zur proaktiven Aufzeichnung der Systemaktivität und des Benutzerzugriffs für Untersuchungs- und Routineprüfungen.
  9. Physische und Umgebungssicherheit des Serverraums und anderer Bereiche, die personenbezogene Daten enthalten, um unbefugten Zugriff zu verhindern und personenbezogene Daten vor Gefahren wie Feuer oder Wasserschäden zu schützen.
  10. Betriebspraktiken und Kontrollen für die Konfiguration, Überwachung und Wartung von Technologie- und Informationssystemen nach Industriestandards, einschließlich der sicheren Entsorgung von Systemen und Medien, die alle personenbezogenen Daten vor der endgültigen Freigabe aus dem Besitz von ComponentSource unentzifferbar oder unwiederbringlich machen.
  11. Netzwerksicherheitskontrollen, einschließlich Unternehmensfirewalls und Intrusion Detection-Systeme, um Systeme vor Eindringlingen zu schützen und den Umfang eines erfolgreichen Angriffs zu begrenzen.
  12. Regelmäßige Schwachstellenbewertung, Patch-Management und andere Überwachungsverfahren, um die Erkennung und Abwehr oder Minderung von identifizierten Sicherheitsbedrohungen, Viren und anderem bösartigen Code zu unterstützen.
  13. Business-Continuity-Verfahren zur Aufrechterhaltung der Erbringung von Dienstleistungen und der Sicherheit personenbezogener Daten im Falle von Notfall- oder Katastrophensituationen.

Zusätzliche nützliche Informationen (Speichergrenzen und andere relevante Informationen)

Personenbezogene Daten werden nicht länger aufbewahrt, als es für die oben beschriebenen Zwecke erforderlich ist oder soweit dies nach geltendem Recht erforderlich ist. In jedem Fall werden personenbezogene Daten niemals länger aufbewahrt, als dies nach geltendem Recht zulässig ist.

Anlaufstellen für alle datenbezogenen Anfragen oder Wünsche:
dpm@componentsource.com ODER in dringenden Fällen
ComponentSource unter: (770) 250 6105 oder +44 1189 822108

CSWWLIC 11/2023