Model-Contracts: Datenschutzvereinbarung

November 2016

11. DATENSCHUTZ

 

11.1 Definition von personenbezogenen Daten

Zum Zweck dieses Vertrags stehen „personenbezogene Daten“ für Angaben zu einer identifizierten oder identifizierbaren natürlichen Person (d. h. zu einer natürlichen Person im Gegensatz zu einer juristischen Person, wie eine Gesellschaft oder ähnliches). Eine identifizierbare Person ist jemand, der mittel- oder unmittelbar, insbesondere durch eine Erkennungsnummer oder physikalische, physiologische, mentale, wirtschaftliche, kulturelle oder soziale Merkmale, identifizierbar ist. Personenbezogene Daten des [Kunden/Lizenznehmers] stehen für dessen personenbezogene Daten und können sich auf Mitarbeiter des [Kunden/Lizenznehmers] bzw. auf andere natürliche Personen einschließlich der Kunden, Lieferanten und Auftragnehmer des [Kunden/Lizenznehmers] oder der verbundenen Unternehmen des [Kunden/Lizenznehmers] beziehen.

 

11.2 Datenschutzsicherheitsmaßnahmen

Der Lieferant sichert zu, derzeit und zukünftig alle geltenden rechtlichen Bestimmungen und Regelungen, einschließlich derer zum Schutz personenbezogener Daten, einzuhalten. Der Lieferant versichert, geeignete physische, elektronische, technische, betriebliche und verwaltungstechnische Verfahren implementiert zu haben und aufrechtzuerhalten, die (i) durch anwendbare Rechtsvorschriften oder Bestimmungen gefordert werden, (ii) ggf. als vertragliche Pflichten durch den Lieferanten erfüllt werden müssen und (iii) die den anwendbaren Branchenstandards zur Sicherung und zum Schutz aller personenbezogenen Daten des [Kunden/Lizenznehmers] und sonstiger vertraulicher Angaben entsprechen, welche vom [Kunden/Lizenznehmer] bzw. seinen verbundenen Unternehmen, seinen Lieferanten, Kunden oder sonstigen dritten Geschäftspartnern bzw. denen seiner verbundenen Unternehmen stammen, verarbeitet oder aufbereitet werden; der Lieferant versichert ferner, seine Drittanbieter ebenfalls zu verpflichten, solche zu implementieren und aufrechtzuerhalten.

 

11.3 Mindestsicherungen

Zum Minimum der vom Lieferanten zu treffenden Sicherheitsmaßnahmen zum Schutz personenbezogener Daten und sonstiger vertraulicher Angaben zählen die Sicherung seiner Betriebsstätten, Datenzentren, Papierunterlagen, Rechner (einschließlich Server und Backup-Systeme) und die Einführung von Authentifizierung und Zugangskontrollen bei Medien, Softwareanwendungen, Betriebssystemen und Geräten/Ausstattung. Sofern und soweit vom [Kunden/Lizenznehmer] darauf nicht ausdrücklich schriftlich verzichtet wurde, veranlasst der Lieferant, dass seine Vertreter und Unterauftragnehmer (a) alle personenbezogenen Daten des [Kunden/Lizenznehmers], welche von Rechnern, mobilen Kommunikationsgeräten und Medien des Lieferanten bzw. von dessen Drittanbietern übermittelt werden, verschlüsseln bzw. für die Verschlüsselung Sorge tragen und (b) alle personenbezogenen Daten des [Kunden/Lizenznehmers] verschlüsseln, welche auf den Laptops oder sonstigen tragbaren Geräte des Lieferanten bzw. Drittanbieters gespeichert sind oder an Rechner oder tragbare Geräte des Lieferanten bzw. Drittanbieters kabellos oder über öffentliche Netzwerke übermittelt werden, sofern und in dem Umfang, wie der [Kunde/Lizenznehmer] gemäß geltendem Recht oder Vorschriften (i) zur Verschlüsselung solcher personenbezogener Daten des [Kunden/Lizenznehmers] oder (ii) im Falle einer Sicherheitsverletzung in Bezug auf diese personenbezogenen Daten des [Kunden/Lizenznehmers], dieser zur Benachrichtigung der Betroffenen verpflichtet wäre. Der Lieferant informiert den [Kunden/Lizenznehmer] über das Verschlüsselungsverfahren.

 

11.4 Prüfung der Sicherheitsmaßnahmen

Der Lieferant prüft regelmäßig die Verfahren und Technologien seiner Sicherheitsmaßnahmen und diejenigen seiner Drittanbieter dahingehend, dass diese geltenden Normen entsprechen. Der Lieferant (i) stellt auf Nachfrage Kopien seiner Datenschutzrichtlinien und -verfahren einschließlich der ggf. dem Lieferanten vorliegenden Prüfprotokolle gemäß SSAE 16 SOC 2 Typ II, ISO 27001:2005 oder ähnlichem zur Verfügung und (ii) gestattet dem [Kunden/Lizenznehmer] die Prüfung seiner Sicherheitstechnologien und verpflichtet seine Drittanbieter, dies ebenfalls zu gestatten. Sollte die Prüfung ergeben, dass die Verfahren oder Technologien der Sicherheitsmaßnahmen des Lieferanten oder eines seiner Drittanbieter nicht den anwendbaren Normen entsprechen, ist der [Kunde/Lizenznehmer] berechtigt, diesen Vertrag ohne weitere Verpflichtungen zu kündigen.

 

11.5 Sicherheitsverletzung

Der Lieferant unterrichtet den Lizenznehmer umgehend über tatsächliche, potentielle oder mutmaßliche Sicherheitsverletzungen bei Daten, u. a. über Sicherheitsverletzungen bei den personenbezogenen Daten des [Kunden/Lizenznehmers], welche sich in Verwahrung des Lieferanten oder dessen Drittanbietern befinden. Zum Zwecke dieses Vertrags steht „Sicherheitsverletzung“ für die Erfassung von oder den Zugriff auf rechnergestützte Daten durch Nichtautorisierte, wodurch die Sicherheit, die Vertraulichkeit oder Integrität solcher Daten beeinträchtigt wird. Zusätzlich zu den sonstigen Unterrichtungspflichten gemäß diesem Vertrag erfolgt die Mitteilung an die beiden nachfolgenden Empfänger: (i) Vice President und Chief Information Officer, Textron Inc., 2301 Eagle Parkway, Suite 100, Fort Worth, TX 76177 mit einem national anerkannten Übernachtkurierdienst und per Fax an (817) 590-1190 sowie (ii) Vice President und Deputy General Counsel, Textron Inc., 40 Westminster Street, Providence, RI  02903 mit einem national anerkannten Übernachtkurierdienst und per Fax an (401) 457-3696. Der Lieferant erklärt den [Kunden/Lizenznehmer] schadlos zu halten, zu verteidigen, zu entschädigen für, freizustellen aus jedweder Haftung, Ansprüchen, Klageforderungen, Strafen oder Beschlüssen, Schadenersatz (einschließlich Anwaltskosten) aus und im Zusammenhang mit Sicherheitsversäumnissen seitens des Lieferanten oder seiner Drittanbieter, die personenbezogenen Daten oder sonstige vertrauliche Angaben des [Kunden/Lizenznehmers] zu schützen; dies beinhaltet auch die Aufwendungen für die Unterrichtung der Betroffenen über Sicherheitsverletzungen bei den personenbezogenen Daten des [Kunden/Lizenznehmers] und die Bereitstellung von Kreditüberwachungsleistungen an entsprechende Personen.

 

11.6 Textron Gefahrenanalyse IT-Sicherheit

Der Lieferant versichert, dass alle durch ihn abgegebenen Erwiderungen bzgl. des Textron-Formulars zur Gefahrenanalyse IT-Sicherheit und alle gemachten zusätzlichen Angaben korrekt und vollständig sind. Der Lieferant meldet mindestens 30 Tage im voraus schriftlich (a) alle Änderungen an seinen Verfahren und Technologien oder denen seiner Drittanbieter, wodurch eine Angabe in der Art verändert würde, dass die Interessen des [Kunden/Lizenznehmers] oder sonstiger Personen beeinträchtigt werden, auf die sich die personenbezogenen Daten des [Kunden/Lizenznehmers] beziehen, oder (b) die Übermittlung von personenbezogenen Daten oder vertraulicher Angaben des [Kunden/Lizenznehmers] an einen Ort oder Rechner, für den keine für den [Kunden/Lizenznehmer] zufriedenstellenden Angaben eingereicht wurden bzw. bzgl. des Textron Gefahrenanalyseformulars zur IT-Sicherheit vorliegen.

 

11.7 Übermittlung personenbezogener Daten des [Kunden/Lizenznehmers] nach außerhalb des Herkunftslandes  

Ohne die vorherige schriftliche Zustimmung seitens des [Kunden/Lizenznehmers] für jeden einzelnen Fall, darf der Lieferant personenbezogene Daten des [Kunden/Lizenznehmers], die sich in seiner Obhut oder in der einer seiner Drittanbieter befinden, nicht an eine natürliche oder juristische Personen oder einen Rechner in ein anderes Land übermitteln, das nicht Herkunftsland desjenigen ist, auf den sich die personenbezogenen Daten beziehen („Herkunftsland“), noch eine solche Übermittlung genehmigen. Insbesondere bei personenbezogenen Daten des [Kunden/Lizenznehmers] zu Betroffenen aus der Europäischen Union („EU“), der Schweiz und aus Kanada darf der Lieferant diese personenbezogenen Daten nicht an Dritte außerhalb des Herkunftslandes übertragen, sofern keine vorherige schriftliche Genehmigung durch den [Kunden/Lizenznehmer] für jeden Einzelfall erfolgt ist bzw. dies in Einklang mit entsprechenden Bestimmungen aus ggf. abgeschlossenen Vereinbarungen zur Datenübertragung zwischen Lieferant und [Kunde/Lizenznehmer] oder dessen verbundenen Unternehmen bzgl. der geltenden Verarbeitungsstandards von personenbezogenen Daten von EU-Bürgern, Schweizer oder kanadischen Staatsbürgern steht - je nachdem, welcher der Fälle zutrifft. Der Lieferant schließt auf Aufforderung umgehend mit dem [Kunden/Lizenznehmer] die Standardvertragsklauseln ab (auch Musterklauseln oder Musterverträge genannt).

 

11.8 Payment Card Industry Data Security Standard („PCI DSS“)

Sollte der Lieferant bei der Ausführung der Leistungen Zugang zu Angaben zu Inhabern von Kredit-, Guthaben- oder sonstigen Zahlkarten des [Kunden/Lizenznehmers] oder von dessen Mitarbeitern, Kunden, Lieferanten oder sonstigen Geschäftspartnern haben, diese Angaben erfassen, verwenden, speichern, verarbeiten, veräußern oder offenlegen, muss er jederzeit die PCI DSS-Anforderungen einhalten und seine Drittanbieter ebenfalls zur Einhaltung verpflichten. Dem [Kunden/Lizenznehmer] ist auf Aufforderung in angemessenen Zeiträumen ein Nachweis darüber zu erbringen.

 

11.9 HIPAA etc.

Der Lieferant versichert dem [Kunden/Lizenznehmer], dass - sofern zutreffend - die [Software und] Leistung mit dem US-amerikanischen Gesetz „Health Insurance Portability and Accountability Act of 1996 (HIPAA)“ und den US-amerikanischen Richtlinien „Health Care Financing Administration Internet Security Policy of 1998“ übereinstimmt bzw. übereinstimmen. Ferner stimmt der Lieferant zu, ein wirksames Programm zur Prävention und Aufspürung von Rechtsverstößen einzuführen und zu unterhalten sowie seine Drittanbieter ebenfalls dazu zu verpflichten. Dies umfasst u. a. Verstöße gegen HIPAA und alle vorgeschlagenen und endgültigen Regeln gemäß HIPAA, die auf den [Kunden/Lizenznehmers], die [Software und] Leistung und die Geschäfte des Lieferanten anwendbar sind und diese betreffen.

 

Dieses Dokument wurde aus dem englischen übersetzt, das Original finden Sie hier