Vereinbarung zur Auftragverarbeitung Für Docusign Services
Versionsdatum: 1. Dezember 2022
Diese Auftragsverarbeitungsvereinbarung für Docusign Services („AVV“) ist Bestandteil der Vereinbarung und wird in diese aufgenommen. Sofern in dieser AVV nicht anders definiert, haben die in Großbuchstaben geschriebenen Begriffe die in der Vereinbarung festgelegte Bedeutung. Im Falle eines Konflikts zwischen diesen Dokumenten gilt die folgende Rangfolge (in absteigender Reihenfolge): (a) Verbindliche Datenschutzvorschriften (Binding Corporate Rules); (b) die hierin enthaltenen Standardvertragsklauseln; (c) der Hauptteil der AVV; (d) alle der AVV beigefügten Dokumente; und (e) die Vereinbarung.
1. BEGRIFFSBESTIMMUNGEN. Für die Zwecke dieser AVV:
„Verbindliche Datenschutzvorschriften“ bezeichnet Docusigns interne Verbindliche Datenschutzvorschriften für Auftragsverarbeiter, deren aktuellste Version auf der Webseite von Docusign unter https://trust.docusign.com/en-us/trust-certifications/gdpr/bcr-p-processor-privacy-code/ verfügbar ist.
„Verantwortlicher“, „Unternehmen“, „Auftragsverarbeiter“ und „Service Provider“ (oder gleichwertige Begriffe) haben die in den Datenschutzgesetzen festgelegte Bedeutung.
„Datenschutzverletzung“ bezeichnet jeden versehentlichen oder unrechtmäßigen Erwerb, jede Zerstörung, jeden Verlust, jede Änderung, jede unbefugte Offenlegung oder jeden unbefugten Zugriff auf die von Docusign verwalteten Personenbezogenen Daten.
„Datenschutzgesetze“ bezeichnet alle anwendbaren Gesetze, Verordnungen und sonstigen rechtsverbindlichen Anforderungen in jeder Rechtsordnung in Bezug auf Datenschutz, Datensicherheit und Benachrichtigung bei Datenschutzverletzungen, die für die Verarbeitung Personenbezogener Daten durch Docusign gelten, einschließlich, aber nicht beschränkt auf die anwendbaren Gesetze, den California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff. und alle zugehörigen Verordnungen und Änderungen, einschließlich der Änderungen des California Privacy Rights Act („CCPA“), sobald diese in Kraft treten; die Datenschutz-Grundverordnung, Verordnung (EU) 2016/679 („DSGVO“); das Schweizer Bundesgesetz über den Datenschutz („DSG“); den United Kingdom Data Protection Act of 2018 („UK GDPR“); den Australian Privacy Act (No. 119, 1988) (in der geänderten Fassung) („Privacy Act“); den kanadische Personal Information Protection and Electronic Documents Act („PIPEDA“); das Gesetz Nr. 13.709 vom 14. August 2018, General Personal Data Protection Law (in der geänderten Fassung des Gesetzes Nr. 13.853 vom 8. Juli 2019) („LGPD“); und den Singapore Personal Data Protection Act 2012 (No. 26 of 2012) („PDPA“).
„Betroffene Person“ bezeichnet eine identifizierte oder identifizierbare natürliche Person, auf die sich die Personenbezogenen Daten beziehen (oder ein entsprechender Begriff in den Datenschutzgesetzen).
„EU-Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln, die gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, abrufbar unter http://data.europa.eu/eli/dec_impl/2021/914/oj und wie in Ziffer 7 unten vervollständigt.
„Personenbezogene Daten“ umfasst „personenbezogene Daten“, „personenbezogene Informationen“, „personenbezogene identifizierbare Informationen“ oder gleichwertige Begriffe, die von Docusign in Verbindung mit der Erbringung von Docusign Services im Rahmen der Vereinbarung verarbeitet werden, und diese Begriffe haben die gleiche Bedeutung wie in den Datenschutzgesetzen definiert.
„Verarbeitung“ und „Verarbeiten“ hat die in den Datenschutzgesetzen und im Sicherheitsanhang für Docusign Services festgelegte Bedeutung und umfasst jeden Vorgang oder jede Reihe von Vorgängen, die mit Personenbezogenen Daten oder einer Reihe von Personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht, wie z. B. das Erheben, Aufzeichnen, Organisieren, Erstellen, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Nutzen, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.
2. UMFANG UND ZWECKE DER VERARBEITUNG
2.1 Abhängig von den Datenschutzgesetzen ist der Kunde ein Verantwortlicher oder ein Unternehmen (Business) und Docusign ist ein Auftragsverarbeiter oder ein Service Provider in Bezug auf die Verarbeitung Personenbezogener Daten durch Docusign zur Erbringung der Docusign Services gemäß der Vereinbarung. Diese AVV gilt für die Verarbeitung Personenbezogener Daten durch Docusign im Auftrag des Kunden oder eines Verbundenen Unternehmens des Kunden (je nach Anwendbarkeit) für die Bereitstellung der Docusign Services, wie in der Vereinbarung festgelegt.
2.2 Der Umfang, die Art, die Zwecke und die Dauer der Verarbeitung, die Arten der verarbeiteten Personenbezogenen Daten und die Betroffenen Personen sind in dieser AVV, einschließlich der Anlage A., festgelegt.
2.3 Docusign Verarbeitet Personenbezogene Daten ausschließlich: (a) zur Erfüllung ihrer Verpflichtungen gegenüber dem Kunden im Rahmen der Vereinbarung, einschließlich dieser AVV; (b) im Auftrag des Kunden gemäß den Anweisungen des Kunden; und (c) unter Einhaltung der Datenschutzgesetze. Docusign wird keine Personenbezogenen Daten „verkaufen“ (wie dieser Begriff in Anführungszeichen in den Datenschutzgesetzen definiert ist), Personenbezogene Daten für Zwecke der „kontextübergreifenden verhaltensbasierten Werbung“ oder der „gezielten Werbung“ (wie diese Begriffe in den Datenschutzgesetzen definiert sind) „teilen“ oder Verarbeiten oder anderweitig Personenbezogene Daten für andere Zwecke als die hierin festgelegten oder außerhalb der direkten Geschäftsbeziehung mit dem Kunden Verarbeiten. Docusign ist nicht berechtigt zu versuchen, Personenbezogene Daten mit nicht-Personenbezogenen Daten oder anderen Daten ohne die ausdrückliche Einwilligung des Kunden zu verknüpfen, zu identifizieren oder anderweitig eine Beziehung zwischen ihnen herzustellen.
2.4 Der Kunde hat sicherzustellen, dass: (a) alle solchen Mitteilungen gemacht und alle Einwilligungen eingeholt wurden, die nach den Datenschutzgesetzen erforderlich sind, damit Docusign (und ihre Verbundenen Unternehmen und Unterauftragsverarbeiter) Personenbezogene Daten gemäß der Vereinbarung und dieser AVV verarbeiten kann; (b) alle Datenschutzgesetze eingehalten wurden und weiterhin eingehalten werden; und (c) er das Recht hat und weiterhin haben wird, Personenbezogene Daten an Docusign zur Verarbeitung gemäß den Bedingungen der Vereinbarung und dieser AVV zu übermitteln oder Zugang dazu zu gewähren.
2.5 Sofern in der Vereinbarung nicht anders festgelegt, erklärt sich der Kunde damit einverstanden, Docusign keine sensiblen oder besonderen Kategorien von Personenbezogenen Daten zur Verfügung zu stellen, die Docusign besondere Datensicherheits- oder Datenschutzverpflichtungen auferlegen würden, die über die in dieser AVV (einschließlich einer Anlage zur AVV) oder der Vereinbarung festgelegten Verpflichtungen hinausgehen oder sich von diesen unterscheiden.
3. ANFORDERUNGEN AN DIE VERARBEITUNG PERSONENBEZOGENER DATEN. Docusign hat:
(a) sicherzustellen, dass die Personen, die sie zur Verarbeitung der Personenbezogenen Daten ermächtigt, in Bezug auf diese Tätigkeit der Vertraulichkeitspflicht unterliegen oder entsprechend gesetzlich zur Vertraulichkeit verpflichtet sind.
(b) den Kunden in folgenden Fällen unverzüglich zu benachrichtigen: (i) Beschwerden Dritter oder Betroffener Personen über die Verarbeitung Personenbezogener Daten; oder (ii) behördliche Ersuchen um Zugang zu oder Informationen über die Verarbeitung Personenbezogener Daten durch Docusign im Namen des Kunden, es sei denn, dies ist nach geltendem Recht untersagt. Docusign hat dem Kunden eine wirtschaftlich angemessene Zusammenarbeit und Unterstützung in Bezug auf solche Anfragen zu gewähren. Wenn es Docusign durch geltende Gesetze untersagt ist, dem Kunden die Einzelheiten eines behördlichen Ersuchens offenzulegen, hat Docusign alle verfügbaren rechtlichen Mittel zu nutzen, um alle Forderungen nach Datenzugriff durch das geltende behördliche Verfahren anzufechten, die Docusign erhält. Docusign hat in solchen Fällen auch alle damit verbundenen Bestimmungen über Nicht-Offenlegung zu nutzen, die in Docusigns Law Enforcement Guidelines festgelegt sind, abrufbar unter https://www.docusign.com/legal/law-enforcement.
(c) den Kunden in angemessener Weise bei der Durchführung einer Datenschutz-Folgenabschätzung für die Verarbeitung oder geplante Verarbeitung Personenbezogener Daten durch den Kunden zu unterstützen und mit ihm zusammenarbeiten, wenn dies nach den Datenschutzgesetzen erforderlich ist.
(d) wirtschaftlich angemessene Unterstützung und Zusammenarbeit mit dem Kunden bei der Konsultation von Aufsichtsbehörden in Bezug auf die Verarbeitung oder geplante Verarbeitung Personenbezogener Daten des Kunden zu leisten, einschließlich der Erfüllung jeglicher Verpflichtung zur Konsultation mit einer Aufsichtsbehörde in Bezug auf die Verarbeitung oder geplante Verarbeitung Personenbezogener Daten durch Docusign, die für Docusign gemäß den Datenschutzgesetzen gilt.
(e) die Beschränkungen des CCPA gemäß 1798.140 (e)(6) in Bezug auf die Kombination Personenbezogener Daten mit Personenbezogenen Daten einzuhalten, die von oder im Namen einer oder mehrerer anderer Personen für die im CCPA aufgezählten Zwecke erhalten wurden. In Bezug auf ihre Verpflichtungen gemäß CCPA bestätigt Docusign, dass sie diese im Rahmen dieser AVV einhalten wird (einschließlich, aber nicht beschränkt auf die Einschränkungen gemäß den Ziffern 2 und 3).
(f) den Kunden unverzüglich zu benachrichtigen, wenn Docusign feststellt, dass: (i) Docusign ihren Verpflichtungen aus dieser AVV oder den Datenschutzgesetzen nicht mehr nachkommen kann oder (ii) eine Anweisung des Kunden nach Ansicht von Docusign Datenschutzgesetze verletzt.
4. AUSKUNFTSERSUCHEN BETROFFENER PERSONEN
4.1 Für den Fall, dass Docusign ein Auskunftsersuchen direkt von einer Betroffenen Person bezüglich ihrer Rechte gemäß den Datenschutzgesetzen erhält, hat Docusign den Kunden unverzüglich über das Auskunftsersuchen zu informieren, wenn die Betroffene Person den Kunden als Verantwortlichen identifiziert hat und Personenbezogene Daten der Gegenstand dieses Auskunftsersuchens sind. Docusign ist berechtigt, die Betroffene Person darüber zu informieren, dass Docusign den Kunden über das Auskunftsersuchen informiert hat. Docusign hat den Kunden in angemessener Weise bei der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen bei der Beantwortung von Auskunftsersuchen der Betroffenen Person zu unterstützen; jedoch erkennt der Kunde an und stimmt zu, dass der Kunde als Verantwortlicher allein für die Beantwortung der Auskunftsersuchen Betroffener Person verantwortlich ist und dass Docusign nicht dafür verantwortlich ist, einer Betroffenen Person für oder im Namen des Kunden zu antworten.
4.2 Für den Fall, dass der Kunde von einer Betroffenen Person ein Auskunftsersuchen oder eine Anfrage bezüglich der von Docusign verarbeiteten Personenbezogenen Daten erhält, kann der Kunde entweder: (a) auf seine Docusign Services zugreifen, die Personenbezogene Daten enthalten, um das Auskunftsersuchen oder die Anfrage zu bearbeiten; oder (b) sofern ein solcher Zugriff für den Kunden nicht möglich ist, den Docusign-Kundensupport kontaktieren, um zusätzliche Unterstützung zu erhalten, damit der Kunde das Auskunftsersuchen oder die Anfrage bearbeiten kann.
5. DATENSICHERHEIT
5.1 Docusign hat angemessene administrative, technische, physische und organisatorische Maßnahmen zu ergreifen, um Personenbezogene Daten zu schützen. Die Einzelheiten zu den spezifischen Sicherheitsmaßnahmen, die für die Docusign Services gelten, sind in den Verbindlichen Datenschutzvorschriften, der Vereinbarung und im Sicherheitsanhang für Docusign Services beschrieben. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen von Docusign dem technischen Fortschritt und der Entwicklung unterliegen und dass Docusign berechtigt ist, die Sicherheitsmaßnahmen von Zeit zu Zeit zu aktualisieren oder zu ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der vom Kunden erworbenen Docusign Services führen.
5.2 Der Kunde ist verantwortlich für die ordnungsgemäße Implementierung von Zugriffs- und Nutzungskontrollen und die Konfiguration bestimmter Merkmale und Funktionen der Docusign Services, die der Kunde nutzen möchte, und erklärt sich damit einverstanden, dass er dies in Übereinstimmung mit der DSGVO und dieser Vereinbarung in einer Weise tut, die er für angemessen hält, einschließlich, aber nicht beschränkt auf die Aufrechterhaltung angemessener Sicherheit, des Schutzes, der Löschung und der Sicherung seiner eigenen Personenbezogenen Daten.
6. DATENSCHUTZVERLETZUNG. Docusign hat den Kunden unverzüglich nach Bekanntwerden einer Datenschutzverletzung zu benachrichtigen und den Kunden bei der Einhaltung seiner Verpflichtungen im Zusammenhang mit einer Datenschutzverletzung zu unterstützen, insbesondere durch:
(a) Ergreifen wirtschaftlich angemessener Maßnahmen, um die Auswirkungen der Datenschutzverletzung abzumildern und das Risiko für die Betroffenen Personen zu verringern, deren Personenbezogene Daten betroffen waren; und
(b) Bereitstellung der folgenden Informationen für den Kunden, soweit bekannt:
(i) die Art der Datenschutzverletzung, einschließlich, soweit möglich, wie es zu der Datenschutzverletzung kam, die Kategorien und die ungefähre Zahl der Betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen Personenbezogenen Daten;
(ii) die wahrscheinlichen Folgen der Datenschutzverletzung; und
(iii) Maßnahmen, die Docusign ergriffen hat oder zu ergreifen plant, um die Datenschutzverletzung zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung der möglichen negativen Auswirkungen und Ursachen.
(c) Die Verpflichtung von Docusign zur Meldung einer Datenschutzverletzung gemäß dieser AVV ist nicht als Anerkennung eines Verschuldens oder einer Haftung von Docusign in Bezug auf eine solche Datenschutzverletzung zu verstehen und wird auch nicht als solche ausgelegt. Der Kunde ist allein für die Entscheidung verantwortlich, ob die Betroffenen Personen benachrichtigt werden sollen, und eine solche Benachrichtigung vorzunehmen, sowie zu entscheiden, ob die zuständigen Aufsichtsbehörden über eine Datenschutzverletzung zu benachrichtigen sind, wie es für die eigenen Geschäfte und Aktivitäten des Kunden erforderlich ist. Ungeachtet des Vorstehenden erklärt sich der Kunde damit einverstanden, sich mit Docusign in angemessener Weise über den Inhalt der vom Kunden beabsichtigten öffentlichen Erklärungen oder erforderlichen Mitteilungen für Betroffene Personen und/oder Mitteilungen an die zuständigen Aufsichtsbehörden bezüglich der Datenschutzverletzung abzustimmen.
7. UNTERAUFTRAGSVERARBEITER
7.1 Der Kunde erkennt an und stimmt zu, dass Docusign Verbundene Unternehmen und andere Unterauftragsverarbeiter (wie in den Datenschutzgesetzen definiert) einsetzen kann, um Personenbezogene Daten in Übereinstimmung mit dieser AVV und den Datenschutzgesetzen zu verarbeiten. Für den Fall, dass Docusign ihre Rechte oder Pflichten in Bezug auf Personenbezogene Daten an Unterauftragsverarbeiter vergibt, einschließlich an Verbundene Unternehmen, hat Docusign Maßnahmen zu ergreifen, um Unterauftragsverarbeiter auszuwählen und zu behalten, die in der Lage sind, angemessene Datenschutz- und Sicherheitsmaßnahmen zu ergreifen, um Personenbezogene Daten in Übereinstimmung mit den Datenschutzgesetzen und dieser AVV zu schützen, und bleibt für die Erfüllung aller ihrer Verpflichtungen aus der Vereinbarung und dieser AVV verantwortlich, unabhängig davon, ob sie von Docusign, den Verbundenen Unternehmen oder Unterauftragsverarbeitern erfüllt werden oder nicht.
7.2 Die Liste der Unterauftragsverarbeiter für Docusign Services ist auf der Webseite von Docusign unter https://www.docusign.com/trust/privacy/subprocessors-list abrufbar („Liste der Unterauftragsverarbeiter“), und die Benachrichtigung über neue Unterauftragsverarbeiter für Docusign Services wird über einen Abonnement-Mechanismus zur Verfügung gestellt, wie auf der Webseite von Docusign beschrieben. Der Kunde erklärt sich damit einverstanden, die Liste der Unterauftragsverarbeiter zu abonnieren, damit Docusign den Kunden über neue Unterauftragsverarbeiter für die entsprechenden Docusign Services informieren kann. Docusign hat eine aktuelle Liste der Unterauftragsverarbeiter zu führen und den Kunden dreißig (30) Tage im Voraus über jeden neuen Unterauftragsverarbeiter zu informieren, der der Liste der Unterauftragsverarbeiter hinzugefügt wird. Falls der Kunde einen wirtschaftlich begründeten Einwand gegen einen neuen Unterauftragsverarbeiter hat, hat Docusign angemessene Anstrengungen zu unternehmen, um dem Kunden eine Änderung der Docusign Services zur Verfügung zu stellen oder eine wirtschaftlich begründete Änderung der Nutzung der Docusign Services durch den Kunden zu empfehlen, um die Verarbeitung Personenbezogener Daten durch den beanstandeten Unterauftragsverarbeiter zu vermeiden, ohne dass eine wesentliche Änderung der Nutzung der betroffenen Docusign Services durch den Kunden erforderlich ist. Der Kunde ist berechtigt, nach eigenem Ermessen die Vereinbarung zu beenden, falls Docusign nicht in der Lage ist, eine angemessene Änderung vorzunehmen, um den Einspruch des Kunden gegen den Unterauftragsverarbeiter zu beheben.
8. GRENZÜBERSCHREITENDE DATENÜBERMITTLUNG
8.1 Docusign wird keine grenzüberschreitende Übermittlung von Personenbezogenen Daten vornehmen oder Personenbezogene Daten direkt oder indirekt in ein Land außerhalb des Landes übermitteln, in dem diese Personenbezogenen Daten erhoben wurden, ohne die Datenschutzgesetze einzuhalten. Wenn Docusign Personenbezogene Daten übermittelt, hat Docusign sicherzustellen, dass ein rechtmäßiger Datentransfermechanismus vorhanden ist, bevor Personenbezogene Daten von einem Land in ein anderes übermittelt werden.
8.2 Soweit die Verarbeitung Personenbezogener Daten durch Docusign eine grenzüberschreitende Übermittlung Personenbezogener Daten beinhaltet, die den Verpflichtungen zur grenzüberschreitenden Übermittlung gemäß den Datenschutzgesetzen unterliegt, gelten die Verbindlichen Datenschutzvorschriften für die Verarbeitung Personenbezogener Daten durch Docusign und/oder ihre Verbundenen Unternehmen im Rahmen der Erbringung der Docusign Services gemäß der Vereinbarung. Die Verbindlichen Datenschutzvorschriften werden durch Verweis in diese AVV aufgenommen, und Docusign verpflichtet sich, wirtschaftlich angemessene Anstrengungen zu unternehmen, um die behördliche Genehmigung der Verbindlichen Datenschutzvorschriften oder andere angemessene Schutzmaßnahmen für die grenzüberschreitende Übermittlung während der Dauer der Vereinbarung aufrechtzuerhalten.
8.3 Ungeachtet der vorstehenden Ziffer 8.2 wird, soweit gesetzlich vorgeschrieben, davon ausgegangen, dass der Kunde und Docusign mit der Unterzeichnung dieser AVV die EU-Standardvertragsklauseln als zusätzliche Schutzmaßnahme unterzeichnet haben, die Teil dieser AVV sind und (außer wie in Ziffer 7(d) und (e) unten beschrieben) als vollständig ausgefertigt gelten:
(a) Modul 2 der EU-Standardvertragsklauseln gilt für die Übermittlung von Personenbezogenen Daten vom Kunden (Verantwortlicher) an Docusign (Auftragsverarbeiter) und Modul 3 gilt für die Übermittlung von Personenbezogenen Daten vom Kunden (Auftragsverarbeiter) an Docusign (Unterauftragsverarbeiter);
(b) Klausel 7 (die fakultative Kopplungsklausel) ist enthalten;
(c) Unter Klausel 9 (Einsatz von Unterauftragsverarbeitern) wählen die Parteien die Option 2 (allgemeine schriftliche Genehmigung);
(d) Die fakultative Bestimmung in Klausel 11 (Rechtsbehelfe), wonach die Betroffenen Personen die Möglichkeit haben müssen, eine Beschwerde bei einer unabhängigen Streitbeilegungsstelle einzureichen, gilt nicht als aufgenommen;
(e) Unter Klausel 17 (Anwendbares Recht) wählen die Parteien Option 1 (das Recht eines EU-Mitgliedstaates, das Rechte von Drittbegünstigten zulässt). Die Parteien wählen das Recht Irlands;
(f) Gemäß Klausel 18 (Wahl des Gerichtsstands und Zuständigkeit) wählen die Parteien die Gerichte Irlands;
(g) Anhang I(A) und I(B) (Liste der Parteien) wird gemäß Anlage A ausgefüllt;
(h) Gemäß Anhang I Buchstabe C (Zuständige Aufsichtsbehörde) befolgen die Parteien die Regeln für die Bestimmung einer solchen Behörde gemäß Klausel 13 und wählen, soweit rechtlich zulässig, die Irish Data Protection Commission;
(i) Anhang II (Technische und organisatorische Maßnahmen) wird gemäß Anlage A dieser AVV ausgefüllt; und
(j) Anhang III (Liste der Unterauftragsverarbeiter) ist nicht anwendbar, da sich die Parteien für die Allgemeine Genehmigung nach Klausel 9 entschieden haben; die Liste der Unterauftragsverarbeiter von Docusign kann jedoch wie oben in Ziffer 7 beschrieben eingesehen werden.
8.4 In Bezug auf aus dem Vereinigten Königreich übermittelte Personenbezogene Daten, auf die UK GDPR (und nicht die DSGVO oder das DSG) anwendbar ist, gilt das International Data Transfer DPA zu den EU-Standardvertragsklauseln (ab dem Datum des Inkrafttretens abrufbar unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf) („UK SCCs“) als Teil dieser AVV und hat Vorrang vor dem Rest dieser AVV, wie in den UK SCCs dargelegt. Für die in dieser Ziffer verwendeten undefinierten Begriffe in Großbuchstaben gelten die Definitionen der UK SCCs. Die UK SCCs gelten wie folgt als vollständig: (a) die Angaben der Parteien sind die Parteien und ihre Verbundenen Unternehmen, soweit sie an der Übermittlung beteiligt sind; (b) die Hauptansprechpartner sind die in der Vereinbarung genannten Ansprechpartner; (c) die in Tabelle 2 genannten genehmigten EU-Standardvertragsklauseln sind die von den Parteien ausgefertigten EU-Standardvertragsklauseln; (d) jede Partei kann diese AVV gemäß Ziffer 19 der UK SCCs beenden; und (e) mit dem Abschluss dieser AVV gelten die Parteien als Unterzeichner der UK SCCs.
8.5 Für Übermittlungen Personenbezogener Daten, die dem DSG unterliegen, sind die EU-Standardvertragsklauseln Teil dieser AVV, wie in Ziffer 8.3 dieser AVV geregelt, jedoch mit den folgenden Unterschieden, soweit dies nach dem DSG erforderlich ist: (a) Verweise auf die DSGVO in den EU-Standardvertragsklauseln sind als Verweise auf das DSG zu verstehen, sofern die Übermittlungen ausschließlich dem DSG und nicht der DSGVO unterliegen; (b) Verweise auf Personenbezogene Daten in den EU-Standardvertragsklauseln beziehen sich auch auf Daten über identifizierbare juristische Personen bis zum Inkrafttreten von Änderungen des DSG, die diesen breiteren Anwendungsbereich beseitigen; (c) der Begriff „Mitgliedstaat“ in den EU-Standardvertragsklauseln ist nicht so auszulegen, dass Betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäß Klausel 18(c) der EU-Standardvertragsklauseln einzuklagen; und (d) die zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (für Übermittlungen, die dem DSG und nicht der DSGVO unterliegen) oder sowohl dieser als auch die in den EU-Standardvertragsklauseln angegebene Aufsichtsbehörde (wenn jeweils das DSG und die DSGVO gelten).
9. AUDIT. Soweit es die Datenschutzgesetze erfordern, hat Docusign die vom Kunden angemessenerweise angeforderten Informationen zur Verfügung zu stellen, um die Einhaltung dieser AVV durch Docusign zu bestätigen (z.B. SOC-, ISO-, NIST-, PCI DSS- oder ähnliche Audit-Berichte, die von einem qualifizierten externen Prüfer ausgestellt wurden, „Audit-Bericht“) oder den Sicherheitsanhang für Docusign Services. Sofern in der Vereinbarung oder im Sicherheitsanhang nichts anderes in Bezug auf Audits vorgesehen ist, ist der Kunde, sofern er eine vernünftige Grundlage für die Schlussfolgerung hat, dass ein von Docusign zur Verfügung gestellter Audit-Bericht für die Bestätigung der Einhaltung der Vorschriften nicht zufriedenstellend ist, berechtigt, auf seine alleinigen Kosten mit einer Vorankündigung von dreißig (30) Tagen und während der normalen Geschäftszeiten ein Audit derjenigen Docusign-Systeme und -Aufzeichnungen, die für die Verarbeitung Personenbezogener Daten durch Docusign im Namen des Kunden relevant sind, zu verlangen. Der Kunde ist nicht berechtigt, seine Audit-Rechte öfter als einmal innerhalb eines Zeitraums von zwölf (12) Kalendermonaten auszuüben.
10. RÜCKGABE ODER VERNICHTUNG VON PERSONENBEZOGENEN DATEN. Vor der Beendigung oder dem Ablauf der Vereinbarung ist der Kunde berechtigt, Personenbezogene Daten abzurufen, die von Docusign in Übereinstimmung mit den Bedingungen der Vereinbarung verarbeitet wurden. Auf Verlangen des Kunden hat Docusign alle Personenbezogenen Daten, die sich in ihrem Besitz oder unter ihrer Kontrolle befinden, so schnell wie möglich und in angemessener Weise zu löschen, mit der Ausnahme, dass dieses Erfordernis nicht gilt, soweit Docusign nach geltendem Recht verpflichtet ist, einige oder alle Personenbezogenen Daten aufzubewahren oder im Fall von Personenbezogenen Daten, die Docusign auf Backup-Systemen archiviert hat. Diese Personenbezogenen Daten hat Docusign sicher zu isolieren und vor jeglicher weiteren Verarbeitung zu schützen, es sei denn, eine Löschung ist nach anwendbarem Recht erforderlich. Für Personenbezogene Daten, die in der Service-Umgebung des Kunden gespeichert sind, oder für die Docusign Services, für die Docusign keine Funktion zum Abrufen von Massendaten als Teil der Docusign Services bereitstellt, stimmt der Kunde zu, dass er verpflichtet ist, angemessene Maßnahmen zu ergreifen, um alle Personenbezogenen Daten zu sichern oder anderweitig separat zu speichern, während die Docusign-Service-Umgebung vor der Beendigung noch aktiv ist. Außerdem stimmt der Kunde zu, dass, wenn der Kunde sich für die Rückgabe von Personenbezogenen Daten entscheidet, Docusign keinen Massenabruf von Daten als Teil der Docusign Services anbieten wird. Der Kunde ist in diesem Fall verpflichtet, Docusign Professional Services oder Kundensupport zu einer angemessenen, vom Kunden an Docusign zu zahlenden Gebühr in Anspruch zu nehmen.
11. SONSTIGE BESTIMMUNGEN
11.1 Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung behält sich Docusign das Recht vor, Änderungen an dieser AVV vorzunehmen, die erforderlich sind, um die Datenschutzgesetze einzuhalten, solange eine solche Änderung nicht zu einer Beeinträchtigung der Servicefunktionalitäten oder der Sicherheitsvorkehrungen im Zusammenhang mit der Bereitstellung der Docusign Services führt.
11.2 Alle Ansprüche, die im Rahmen dieser AVV geltend gemacht werden, unterliegen den Bestimmungen und Bedingungen, einschließlich, aber nicht beschränkt auf die Ausschlüsse und Beschränkungen, die in der Vereinbarung festgelegt sind.
11.3 Diese AVV bleibt während der Laufzeit der Vereinbarung oder solange Docusign Personenbezogene Daten verarbeitet, die dieser AVV unterliegen, in Kraft, je nachdem, welcher Zeitraum länger ist.
ANLAGE A
ANHANG I
A. LISTE DER PARTEIEN
Datenexporteur(e):
Der Exporteur (Verantwortlicher) ist der Kunde, und die Kontaktdaten und die Unterschrift des Kunden sind in der Vereinbarung und der AVV angegeben.
Datenimporteur(e):
Der Importeur (Auftragsverarbeiter) ist Docusign, Inc. und die Kontaktdaten und die Unterschrift von Docusign sind in der Vereinbarung und der AVV angegeben.
B. BESCHREIBUNG DER DATENÜBERMITTLUNG
Kategorien Betroffenener Personen, deren Personenbezogene Daten übermittelt werden:
Alle Betroffenen Personen, deren Personenbezogene Daten in den Daten des Datenexporteurs enthalten sind, die in den Docusign Services genutzt werden, wie in der Vereinbarung dargelegt, die die Bereitstellung der Docusign Services für den Kunden beschreibt, einschließlich des Kontoadministrators des Kunden, der Autorisierten Nutzer, Vertreter und Endnutzer, einschließlich, aber nicht beschränkt auf die Mitarbeiter, Auftragnehmer, Partner, Lieferanten, Kunden und Klienten des Kunden.
Kategorien der übermittelten Personenbezogenen Daten:
Alle Personenbezogenen Daten, die der Datenexporteur dem Datenimporteur in Verbindung mit der Vereinbarung und der AVV zur Verfügung stellt, einschließlich, aber nicht beschränkt auf Kontaktinformationen wie Name, Adresse, Telefon- oder Handynummer, E-Mail-Adresse und Passwörter.
Übermittelte sensible Daten (falls zutreffend): N/A.
Häufigkeit der Übermittlung (z.B. ob die Daten einmalig oder kontinuierlich übermittelt werden):
Kontinuierlich, je nach Bedarf, um die Docusign Services für den Kunden während der Laufzeit der Vereinbarung bereitzustellen.
Art der Verarbeitung:
Die Art der Verarbeitung ist in der Vereinbarung zwischen den Parteien dargelegt.
Zweck(e) der Datenübermittlung und Weiterverarbeitung:
Der Zweck der Datenübermittlung besteht darin, dass Docusign die Docusign Services gemäß der Vereinbarung erbringen kann.
Dauer, für die die Personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer:
Die Daten werden so lange gespeichert, wie es für die Erfüllung der Verarbeitungszwecke erforderlich ist, es sei denn, anwendbare Gesetze sehen etwas anderes vor.
Bei Datenübermittlungen an (Unter-)auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben:
Im Ziffer 6 finden Sie Informationen darüber, wie Sie auf die Liste der Unterauftragsverarbeiter von Docusign und die Art der von ihnen erbrachten Services zugreifen können. Alle Übermittlungen gelten für die Dauer der Vereinbarung zwischen den Parteien.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Angabe der zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13:
Die zuständige Aufsichtsbehörde des Datenexporteurs wird in Einklang mit den Datenschutzgesetzen bestimmt und ist, soweit möglich, die Irish Data Protection Commission.
ANHANG II - TECHNISCHE UND ORGANISATORISCHE MAẞNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MAẞNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
Beschreibung der von dem/den Datenimporteur(en) ergriffenen technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
Siehe die Docusign Binding Corporate Rules und Docusign’s Sicherheitsanhang für Docusign Services.