In dieser DPA:

(a) Begriffe wie „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“, „Datenpanne“ und „Auftragsverarbeiter“ haben die Bedeutungen, die in Art. 4 DSGVO angegeben sind.

„Anwendbares Datenschutzrecht“ bedeutet alle Gesetze und Vorschriften, die für die Verarbeitung personenbezogener Daten durch den Kunden und Constructor Technology gemäß der DPA gelten.

„Kundenkontodaten“ bedeutet personenbezogene Daten, die sich auf die Beziehung des Kunden zu Constructor Technology beziehen, einschließlich der Namen oder Kontaktdaten von Personen, die vom Kunden autorisiert sind, auf das Kundenkonto zuzugreifen, und Abrechnungsinformationen von Personen, die der Kunde mit seinem Konto verbunden hat. Kundenkontodaten umfassen auch alle personenbezogenen Daten, die Constructor Technology möglicherweise zum Zweck der Identitätsüberprüfung oder zur Erfüllung seiner gesetzlichen Verpflichtungen erheben muss.

„Kundennutzungsdaten“ bedeutet Daten, die von Constructor Technology zum Zweck der Analyse und Bewertung von Kundeninhalten verarbeitet werden. Kundennutzungsdaten umfassen Daten, die zur Identifizierung der Quelle und des Ziels einer Kommunikation verwendet werden, wie (a) das Datum, die Uhrzeit, die Dauer und die Art des Datenaustauschs und (b) Aktivitätsprotokolle, die zur Identifizierung der Quelle von Serviceanfragen, zur Optimierung und Aufrechterhaltung der Leistung der Dienste und zur Untersuchung und Verhinderung von Systemmissbrauch verwendet werden.

„Kundeninhalt“ bedeutet (a) personenbezogene Daten, die infolge der Nutzung der Dienste ausgetauscht werden, wie Nachrichtentexte, Sprach- und Videomedien, Bilder, E-Mail-Texte, E-Mail-Empfänger, Ton und, falls zutreffend, Details, die der Kunde von seinen zugewiesenen Softwareanwendungen und Diensten an die Dienste übermittelt, und (b) Daten, die im Namen des Kunden gespeichert werden, wie Kommunikationsprotokolle innerhalb der Dienste oder Daten, die der Kunde in die Dienste hochgeladen hat (wie im Dienstleistungsvertrag definiert).

„Kundendaten“ hat die im Dienstleistungsvertrag angegebene Bedeutung. Kundendaten umfassen Kundenkontodaten, Kundennutzungsdaten, Kundeninhalt und sensible Daten, jeweils wie in dieser DPA definiert.

„Sensible Daten“ bedeutet personenbezogene Daten, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder Gewerkschaftszugehörigkeit offenbaren, sowie die Verarbeitung genetischer Daten, biometrischer Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person.

„Unterauftragsverarbeiter“ bedeutet (a) Constructor Technology, wenn Constructor Technology Kundeninhalt verarbeitet und der Kunde ein Auftragsverarbeiter solcher Kundeninhalte ist, oder (b) jeden von Constructor Technology beauftragten Drittanbieter, der Kundeninhalt verarbeitet, um die Dienste für den Kunden bereitzustellen.

„Anfrage Dritter“ bedeutet jede Anfrage, Korrespondenz, Anfrage oder Beschwerde von einer betroffenen Person, einer Aufsichtsbehörde oder einem Dritten.

„Constructor Technology Datenschutzhinweis“ bedeutet den Datenschutzhinweis für die Dienste, dessen aktuelle Version unter https://www.constructor.tech/privacy-policy. verfügbar ist.

Alle anderen großgeschriebenen Begriffe haben die im Dienstleistungsvertrag angegebenen Bedeutungen.

Dieser Abschnitt „Definierte Begriffe“ ist in Verbindung mit Anhang VI (Länderspezifische Bedingungen) auszulegen.

2.1 Beziehung

(a) Constructor Technology als Verarbeiter von Kundeninhalten: Kunde und Constructor Technology vereinbaren, dass in Bezug auf die Verarbeitung von Kundeninhalten, die unter Verwendung der in Anhang III aufgeführten Dienste generiert werden, der Kunde entweder als Verantwortlicher oder Verarbeiter und Constructor Technology als Verarbeiter agiert. Als Verarbeiter wird Constructor Technology die personenbezogenen Daten des Kunden nur zu den im Dienstleistungsvertrag festgelegten Zwecken und/oder gemäß den schriftlichen Anweisungen des Kunden verarbeiten, es sei denn, es ist erforderlich, die personenbezogenen Daten des Kunden für andere Zwecke gemäß dem anwendbaren Recht zu verarbeiten, dem Constructor Technology unterliegt; in einem solchen Fall wird Constructor Technology den Kunden über diese gesetzliche Anforderung vor der Verarbeitung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses. Der Dienstleistungsvertrag (einschließlich dieser DPA) stellt solche anfänglichen schriftlichen Anweisungen des Kunden dar.

(b) Constructor Technology als Verantwortlicher von Kundeninhalten: Kunde und Constructor Technology vereinbaren, dass in Bezug auf die Verarbeitung von Kundeninhalten, die unter Verwendung der in Anhang III aufgeführten Dienste generiert werden, Constructor Technology ein unabhängiger Verantwortlicher von Kundeninhalten ist. Constructor Technology wird Kundeninhalte als unabhängiger Verantwortlicher verarbeiten, um die Daten für Zwecke wie Datenkennzeichnung und maschinelles Lernen zu verarbeiten, um Ihre Erfahrung und unsere Dienste zu verbessern, technische Probleme zu lösen, auf Unterstützungsanfragen zu reagieren, Fehler-/Absturzinformationen zu analysieren, Probleme zu beheben und Trends, Nutzungsmuster und Bereiche für die Integration und Verbesserung des Dienstes zu identifizieren sowie verdächtige oder betrügerische Aktivitäten zu überwachen und Verstöße gegen Nutzungsbedingungen oder Vereinbarungen zu identifizieren. Als unabhängiger Verantwortlicher bestimmt Constructor Technology allein die Zwecke und Mittel der Verarbeitung.

(с) Constructor Technology als Verantwortlicher von Kundenkontodaten: Kunde und Constructor Technology erkennen an, dass in Bezug auf die Verarbeitung von Kundenkontodaten der Kunde ein Verantwortlicher und Constructor Technology ein unabhängiger Verantwortlicher ist, nicht ein gemeinsamer Verantwortlicher mit dem Kunden. Constructor Technology wird Kundenkontodaten als Verantwortlicher verarbeiten, um (i) die Beziehung zum Kunden zu verwalten; (ii) die Kernbetriebsabläufe von Constructor Technology durchzuführen, wie z.B. Buchhaltung und Steuererklärungen, falls zutreffend; (iii) Sicherheitsvorfälle, Betrug und andere Missbräuche oder Fehlverwendungen der Dienste zu erkennen, zu verhindern und/oder zu untersuchen; (iv) Identitätsüberprüfungen durchzuführen; (v) die gesetzlichen oder regulatorischen Verpflichtungen von Constructor Technology zur Aufbewahrung von Teilnehmeraufzeichnungen zu erfüllen; und (vi) wie anderweitig nach dem anwendbaren Datenschutzrecht und in Übereinstimmung mit dieser DPA, dem Dienstleistungsvertrag und der Datenschutzrichtlinie von Constructor Technology zulässig.

(d) Constructor Technology als Verantwortlicher von Kundennutzungsdaten: Die Parteien erkennen an, dass in Bezug auf die Verarbeitung von Kundennutzungsdaten der Kunde entweder als Verantwortlicher oder Verarbeiter und Constructor Technology als unabhängiger Verantwortlicher agiert, nicht als gemeinsamer Verantwortlicher mit dem Kunden. Constructor Technology wird Kundennutzungsdaten als Verantwortlicher verarbeiten, um die notwendigen Funktionen als Dienstleister auszuführen, wie: (a) Buchhaltungs-, Steuer-, Abrechnungs-, Prüfungs- und Compliance-Zwecke von Constructor Technology, soweit zutreffend; (b) um die Dienste, die Plattform und die Sicherheit bereitzustellen, zu optimieren und zu warten; (с) um Betrug, unrechtmäßige oder ungesetzliche Nutzung der Dienste zu untersuchen; (d) wie gesetzlich vorgeschrieben; oder (e) wie anderweitig nach dem anwendbaren Datenschutzrecht und in Übereinstimmung mit dieser DPA, dem Dienstleistungsvertrag und der Datenschutzrichtlinie von Constructor Technology zulässig.

2.2. Zweckbindung

(a) Constructor Technology wird personenbezogene Daten verarbeiten, um die Dienste gemäß dem Dienstleistungsvertrag bereitzustellen. Anhang I (Details der Verarbeitung personenbezogener Daten) dieser DPA spezifiziert weiter die Art und den Zweck der Verarbeitung, die Verarbeitungstätigkeiten, die Dauer der Verarbeitung, die Arten personenbezogener Daten und die Kategorien der betroffenen Personen.

(b) Der Kunde ernennt Constructor Technology als Verarbeiter, um Kundeninhalte im Namen des Kunden und gemäß den Anweisungen des Kunden zu verarbeiten (a) wie im Dienstleistungsvertrag, dieser DPA und wie anderweitig erforderlich, um die Dienste für den Kunden bereitzustellen, festgelegt, was die Untersuchung von Sicherheitsvorfällen und die Verhinderung betrügerischer Aktivitäten und Verstöße gegen die Datenschutzrichtlinie von Constructor Technology umfasst, deren aktuelle Version unter https://www.constructor.tech/privacy-policy verfügbar ist, sowie die Erkennung und Verhinderung von Dienstmissbräuchen; (b) wie erforderlich, um die anwendbaren Gesetze einschließlich des anwendbaren Datenschutzrechts einzuhalten; und (с) wie anderweitig schriftlich zwischen dem Kunden und Constructor Technology vereinbart (im Folgenden „Zulässige Zwecke“).

2.3. Verpflichtungen und Rechte der Parteien

(a) Der Kunde garantiert und erklärt hiermit kontinuierlich während der Laufzeit des Dienstleistungsvertrags, dass alle personenbezogenen Daten, die vom Kunden an Constructor Technology zur Verarbeitung gemäß dem Dienstleistungsvertrag bereitgestellt oder verfügbar gemacht werden, rechtmäßig vom Kunden gesammelt und in Übereinstimmung mit den Datenschutzgesetzen an Constructor Technology übertragen wurden. Während der Laufzeit dieser DPA ist der Kunde allein verantwortlich für die Einholung und Aufrechterhaltung aller notwendigen Genehmigungen, Zustimmungen, Autorisierungen und Lizenzen von jedem einzelnen Betroffenen, wie es die Datenschutzgesetze erfordern, um Constructor Technology die Verarbeitung der personenbezogenen Daten gemäß dem Dienstleistungsvertrag und der DPA zu ermöglichen und seine Rechte auszuüben und seine Verpflichtungen gemäß dieser DPA zu erfüllen.

(b) Der Kunde stellt sicher, dass seine Anweisungen gemäß Abschnitt 2.2. Zweckbindung mit dem anwendbaren Datenschutzrecht übereinstimmen. Der Kunde erkennt an, dass Constructor Technology weder dafür verantwortlich ist, zu bestimmen, welche Gesetze oder Vorschriften für das Geschäft des Kunden gelten, noch ob die Bereitstellung der Dienste durch Constructor Technology die Anforderungen solcher Gesetze oder Vorschriften erfüllt oder erfüllen wird. Der Kunde stellt sicher, dass die Verarbeitung von Kundeninhalten durch Constructor Technology, wenn sie gemäß den Anweisungen des Kunden erfolgt, Constructor Technology nicht dazu veranlasst, gegen geltendes Recht oder Vorschriften, einschließlich des anwendbaren Datenschutzrechts, zu verstoßen.

(с) Sofern nicht durch geltendes Recht eingeschränkt, wird Constructor Technology den Kunden informieren, wenn nach Ansicht von Constructor Technology eine Verarbeitung gemäß dem Dienstleistungsvertrag oder eine Anweisung des Kunden bezüglich der Verarbeitung der personenbezogenen Daten gemäß dem Dienstleistungsvertrag und/oder den schriftlichen Anweisungen des Kunden mit den gesetzlichen Verpflichtungen von Constructor Technology oder dem anwendbaren Recht in Konflikt steht. Nach der Information des Kunden wird Constructor Technology die Verarbeitung personenbezogener Daten gemäß dieser DPA in Übereinstimmung mit seinen gesetzlichen Verpflichtungen und dem anwendbaren Recht einstellen. In einem solchen Fall werden Constructor Technology und der Kunde einvernehmlich eine Lösung auf der Grundlage der Bedingungen des Dienstleistungsvertrags zusammen mit den Bedingungen dieser DPA unter Beachtung des anwendbaren Rechts vereinbaren.

(d) Constructor Technology behandelt alle personenbezogenen Daten als vertraulich und stellt sicher, dass alle Mitarbeiter, Vertreter und Sub-Verarbeiter, die von Constructor Technology zur Verarbeitung personenbezogener Daten autorisiert sind, vertraglichen Vertraulichkeitsverpflichtungen unterliegen, die die Laufzeit des Dienstleistungsvertrags überdauern.

(e) Constructor Technology wird dem Kunden angemessene Unterstützung bei Datenschutz-Folgenabschätzungen oder vorherigen Konsultationen mit Datenschutzbehörden leisten, die der Kunde gemäß den Datenschutzgesetzen durchführen muss. Jede solche Unterstützung wird zwischen den Parteien vereinbart und könnte einer gegenseitig akzeptierten Gebühr unterliegen.

(f) Constructor Technology wird geeignete technische und organisatorische Maßnahmen in Bezug auf die Verarbeitung personenbezogener Daten umsetzen, die ein Sicherheitsniveau gewährleisten, das der Verarbeitung personenbezogener Daten angemessen ist, einschließlich, soweit zutreffend, der Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit personenbezogener Daten sicherzustellen und ein Verfahren zum regelmäßigen Testen, Bewerten und Evaluieren der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten. Beide Parteien erkennen hiermit an und stimmen zu, dass die unter https://constructor.tech/technical-organizational-measures verfügbaren Sicherheitsmaßnahmen angemessene und ausreichende Schutzmaßnahmen gemäß dem anwendbaren Recht für die Verarbeitung personenbezogener Daten gemäß dem Dienstleistungsvertrag bieten. Constructor Technology kann diese Sicherheitsmaßnahmen aktualisieren, die in jedem Fall ein angemessenes und ausreichendes Sicherheitsniveau gemäß dem anwendbaren Recht bieten, und wird den Kunden über wesentliche Änderungen informieren.

(g) Nachdem Constructor Technology mit einem angemessenen Maß an Sicherheit von dem Auftreten einer versehentlichen oder unrechtmäßigen Datenverletzung in Bezug auf die von Constructor Technology gemäß dieser DPA übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten Kenntnis erlangt hat, wird Constructor Technology den Kunden unverzüglich über die Datenverletzung informieren, wie in den von Constructor Technology gespeicherten Aufzeichnungen über den Kunden als Kontaktdaten festgelegt. Constructor Technology wird solche Informationen bereitstellen, die der Kunde vernünftigerweise benötigt, um seine Verpflichtungen gemäß dem anwendbaren Recht in Bezug auf die Datenverletzung zu erfüllen, und angemessene Schritte unternehmen, um die Datenverletzung einzudämmen und zu beheben. Constructor Technology kann solche Informationen in Phasen bereitstellen, sobald sie verfügbar werden. Zur Vermeidung von Missverständnissen wird eine Benachrichtigung über die Datenverletzung durch Constructor Technology nicht als Eingeständnis von Schuld oder Haftung durch Constructor Technology ausgelegt oder interpretiert.

(h) Constructor Technology wird den Kunden unverzüglich benachrichtigen, sobald eine Beschwerde, Mitteilung oder Kommunikation in Bezug auf die Verarbeitung personenbezogener Daten gemäß dieser DPA eingeht. Auf Anfrage und Kosten des Kunden wird Constructor Technology dem Kunden die erforderliche Zusammenarbeit und Unterstützung leisten, die der Kunde benötigt, um seine Verpflichtungen gemäß dem anwendbaren Recht in Bezug auf Anfragen von Dritten zu erfüllen. Constructor Technology wird ohne vorherige Zustimmung des Kunden nicht auf Anfragen von Dritten reagieren, es sei denn, dies ist gesetzlich erforderlich oder um zu bestätigen, dass eine solche Anfrage von Dritten den Kunden betrifft.

(i) Soweit der Kunde einer Prüfung oder Untersuchung durch eine zuständige Datenschutzbehörde unterliegt, wird Constructor Technology, wenn erforderlich, auf Informationsanfragen reagieren und/oder zustimmen, seine Räumlichkeiten und Betriebsabläufe Prüfungen zu unterziehen, einschließlich Inspektionen durch den Kunden und/oder die zuständige Datenschutzbehörde, jeweils zum Zweck der Nachweisführung seiner Einhaltung dieser DPA, vorausgesetzt, dass:

• Der Kunde stellt sicher, dass alle Informationen, die im Zusammenhang mit einer Informationsanfrage, Prüfung oder Inspektion erhalten oder generiert werden, gemäß dem anwendbaren Recht streng vertraulich behandelt werden;
• Der Kunde stellt sicher, dass jede Informationsanfrage, Prüfung oder Inspektion während der normalen Geschäftszeiten durchgeführt wird (es sei denn, eine andere Zeit wird von einer zuständigen Datenschutzbehörde vorgeschrieben) mit minimaler Störung des Geschäftsbetriebs von Constructor Technology.
• Eine solche Informationsanfrage, Prüfung oder Inspektion verpflichtet Constructor Technology nicht, Informationen über vertrauliche Unternehmensinformationen von Constructor Technology oder Informationen in Bezug auf andere Kunden von Constructor Technology bereitzustellen oder den Zugang dazu zu gestatten;
• Im Falle einer Anfrage, Prüfung oder Inspektion in Bezug auf Constructor Technology unterliegt der Kunde allen angemessenen Richtlinien, Verfahren oder Anweisungen von Constructor Technology zum Zweck der Wahrung der Sicherheit und Vertraulichkeit seiner Daten und Räumlichkeiten;
• Der Kunde gibt Constructor Technology mindestens 30 Tage im Voraus schriftlich Bescheid über eine Informationsanfrage und/oder Prüfung oder Inspektion, es sei denn, die zuständige Datenschutzbehörde gibt dem Kunden weniger als 30 Tage im Voraus Bescheid, in diesem Fall informiert der Kunde Constructor Technology unverzüglich und ohne unangemessene Verzögerung.
• Wenn eine Informationsanfrage, Prüfung oder Inspektion sich auf Systeme bezieht, die von oder auf den Räumlichkeiten von Sub-Verarbeitern von Constructor Technology bereitgestellt werden, ist der Umfang einer solchen Informationsanfrage, Prüfung und/oder Inspektion wie im relevanten Vertrag zwischen Constructor Technology und dem betreffenden Sub-Verarbeiter zulässig.
• Maximal eine Informationsanfrage, Prüfung und/oder Inspektion kann vom Kunden in einem Zeitraum von zwölf (12) Monaten angefordert werden, es sei denn, eine zusätzliche Informationsanfrage, Prüfung und/oder Inspektion wird von einer zuständigen Datenschutzbehörde schriftlich vorgeschrieben.
• Der Kunde trägt alle Kosten für Informationsanfragen, Prüfungen und/oder Inspektionen und erstattet Constructor Technology alle in Bezug auf dieselben entstandenen Kosten und für die Unterstützung von Constructor Technology bei der Anfrage, Prüfung und/oder Inspektion.
• Wenn der Kunde Dritte mit der Durchführung der DPIA oder der Prüfung beauftragt, wählt der Kunde solche Dritten aus, die qualifiziert sind, die DPIA oder die Prüfung durchzuführen, nicht mit Constructor Technology konkurrieren und gesetzlich zur Vertraulichkeit in Bezug auf die vertraulichen Daten des Daten-Sub-Verarbeiters verpflichtet sind.

(j) Nach Ablauf oder einer früheren Beendigung des Dienstleistungsvertrags oder auf schriftliche Anfrage des Kunden wird Constructor Technology alle personenbezogenen Daten des Kunden in Besitz von Constructor Technology löschen, es sei denn, Constructor Technology ist verpflichtet, die personenbezogenen Daten des Kunden zur Erfüllung seiner Verpflichtungen gemäß dem anwendbaren Recht aufzubewahren. Constructor Technology wird alle relevanten Sub-Verarbeiter über die Verpflichtung informieren, alle personenbezogenen Daten des Kunden in ihrem Besitz nach Ablauf oder einer früheren Beendigung des Dienstleistungsvertrags oder auf schriftliche Anfrage des Kunden zu löschen. Sub-Verarbeiter werden verpflichtet, alle personenbezogenen Daten des Kunden gemäß ihren Verpflichtungen gemäß der zwischen solchen Sub-Verarbeitern und Constructor Technology abgeschlossenen DPA in den Bedingungen von Abschnitt 3. SUB-VERARBEITER unten zu löschen.

(k) Vorbehaltlich dieser DPA und der Anforderungen des anwendbaren Datenschutzrechts wird Constructor Technology nach eigenem Ermessen die Auswahl und Nutzung der Mittel zur Erfüllung seiner Verarbeitungspflichten gemäß dem Dienstleistungsvertrag treffen.

2.4. Zusätzliche Anweisungen

Zusätzliche Anweisungen außerhalb des Umfangs des Dienstleistungsvertrags oder dieser DPA werden schriftlich zwischen dem Kunden und Constructor Technology vereinbart, einschließlich aller zusätzlichen Gebühren, die vom Kunden an Constructor Technology für die Durchführung solcher zusätzlichen Anweisungen zu zahlen sind.

(a) Der Kunde erteilt hiermit seine allgemeine Genehmigung an Constructor Technology, die in Anhang IV aufgeführten Unterauftragsverarbeiter ab dem Wirksamkeitsdatum dieser DPA zu benennen, um personenbezogene Daten im Auftrag von Constructor Technology zu verarbeiten. Constructor Technology stellt sicher, dass die gleichen Datenschutzverpflichtungen, wie in dieser DPA festgelegt, vertraglich auf seine Unterauftragsverarbeiter auferlegt werden, insbesondere ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen, damit die Verarbeitung den Anforderungen der anwendbaren Gesetze entspricht.

(b) Constructor Technology wird den Kunden über Änderungen an der Liste der Unterauftragsverarbeiter von Constructor Technology informieren, indem eine Benachrichtigung an den Kunden gesendet wird, unter Verwendung der von Constructor Technology gespeicherten Kontaktdaten des Kunden. Der Kunde kann einer solchen Änderung per E-Mail spätestens fünfzehn (15) Tage nach dem Datum der Benachrichtigung widersprechen, vorausgesetzt, der Kunde hat einen berechtigten Grund für den Widerspruch gemäß den anwendbaren Gesetzen. Wenn die Parteien keine einvernehmliche Lösung für den Widerspruch des Kunden finden können, kann jede Partei den Dienstleistungsvertrag durch schriftliche Mitteilung an die andere Partei kündigen.

(c) Der Kunde informiert Constructor Technology schriftlich im Voraus über die erwartete Verarbeitung sensibler Daten durch Constructor Technology, die spezifische Einschränkungen und zusätzliche Schutzmaßnahmen während der Verarbeitung erfordert.

(d) Der Kunde kann der Ernennung oder dem Austausch eines Unterauftragsverarbeiters durch Constructor Technology widersprechen, vorausgesetzt, dieser Widerspruch erfolgt schriftlich und basiert auf vernünftigen Gründen gemäß dem anwendbaren Recht. In einem solchen Fall vereinbaren der Kunde und Constructor Technology, in gutem Glauben über kommerziell vernünftige alternative Lösungen zu diskutieren. Wenn der Kunde und Constructor Technology innerhalb von neunzig (90) Tagen ab dem Datum des Eingangs des schriftlichen Widerspruchs des Kunden durch Constructor Technology keine Lösung finden können, kann der Kunde die Nutzung der betroffenen Dienste durch schriftliche Mitteilung an Constructor Technology einstellen. Eine solche Einstellung erfolgt unbeschadet der vom Kunden vor der Einstellung der betroffenen Dienste angefallenen Gebühren. Wenn kein Widerspruch gegen den Austausch oder die Ernennung eines neuen Unterauftragsverarbeiters durch Constructor Technology erhoben wurde, gilt der Kunde als autorisiert, den neuen Unterauftragsverarbeiter zu benennen.

Constructor Technology bietet dem Kunden eine Reihe von Funktionen über die Dienste, einschließlich der Möglichkeit, Kundeninhalte zu löschen, eine Kopie davon zu erhalten oder deren Nutzung einzuschränken. Der Kunde kann solche Funktionen nutzen, um bei der Erfüllung seiner Verpflichtungen gemäß dem anwendbaren Recht in Bezug auf die Beantwortung von Anfragen Dritter von betroffenen Personen über die Dienste ohne zusätzliche Kosten zu unterstützen. Auf Anfrage des Kunden wird Constructor Technology dem Kunden angemessene zusätzliche und rechtzeitige Unterstützung bei der Erfüllung der Datenschutzverpflichtungen des Kunden in Bezug auf die Rechte der betroffenen Personen gemäß dem anwendbaren Recht leisten, soweit der Kunde nicht in der Lage ist, eine Anfrage Dritter von einer betroffenen Person durch die über die Dienste bereitgestellten Funktionen zu lösen.

Das anwendbare Recht wird die Haftung regeln.

(a) Soweit Constructor Technology personenbezogene Daten verarbeitet, die aus und durch das Anwendbare Datenschutzgesetz in einer der in Anhang VI (Länderspezifische Bedingungen) dieser DPA aufgeführten Gerichtsbarkeiten geschützt sind, gelten die in Anhang VI festgelegten Bedingungen in Bezug auf die anwendbare(n) Gerichtsbarkeit(en) zusätzlich zu den Bedingungen dieser DPA.

(b) Soweit die Nutzung der Dienste durch den Kunden einen Weiterübertragungsmechanismus erfordert, um personenbezogene Daten rechtmäßig aus einer Gerichtsbarkeit (d. h. dem Europäischen Wirtschaftsraum, der Schweiz oder einer anderen in Anhang VI (Länderspezifische Bedingungen) dieser DPA aufgeführten Gerichtsbarkeit) an Constructor Technology außerhalb dieser Gerichtsbarkeit zu übertragen, gelten die in Anhang V (Mechanismen für grenzüberschreitende Übertragungen) dieser DPA festgelegten Bedingungen.

(a) Im Falle eines Konflikts oder einer Unstimmigkeit zwischen den folgenden Dokumenten gilt die folgende Rangfolge: (1) die anwendbaren Bedingungen, die in Anhang VI (Spezifische Bedingungen für die Gerichtsbarkeit) dieses DPA festgelegt sind; (2) die Bedingungen dieses DPA außerhalb von Anhang VI (Spezifische Bedingungen für die Gerichtsbarkeit); (3) die Servicevereinbarung; und (4) die Datenschutzrichtlinie von Constructor Technology (https://constructor.tech/privacy-policy). Alle Ansprüche, die im Zusammenhang mit diesem DPA geltend gemacht werden, unterliegen den Bedingungen und Konditionen, einschließlich, aber nicht beschränkt auf die in der Servicevereinbarung festgelegten Ausschlüsse und Beschränkungen.

(b) Constructor Technology kann die Bedingungen dieses DPA von Zeit zu Zeit aktualisieren; vorausgesetzt jedoch, dass Constructor Technology dem Kunden mindestens dreißig (30) Tage im Voraus schriftlich benachrichtigt, wenn eine Aktualisierung aufgrund von (a) Änderungen des anwendbaren Datenschutzrechts; (b) einer Fusion, Übernahme oder einer anderen ähnlichen Transaktion; oder (c) der Einführung neuer Produkte oder Dienstleistungen oder wesentlicher Änderungen an bestehenden Dienstleistungen erforderlich ist.

(c) Englisch wird als maßgeblicher Text verwendet, unabhängig von der möglichen Existenz von in eine andere Sprache übersetzten Gegenstücken.

(d) Jede Partei haftet der anderen Partei für Schäden, die sie der anderen Partei durch einen Verstoß gegen dieses DPA oder anwendbare Gesetze zum Schutz personenbezogener Daten verursacht.

(e) Sofern nicht durch dieses DPA geändert, bleiben die Bedingungen der Servicevereinbarung in vollem Umfang in Kraft. Alle Ansprüche, die sich aus diesem DPA ergeben, unterliegen den Ausschlüssen, Beschränkungen und anderen Bedingungen der Servicevereinbarung. Wenn die Servicevereinbarung und dieses DPA in Konflikt stehen, hat dieses DPA Vorrang, jedoch nur in Bezug auf die Bedingungen, die die Verarbeitung personenbezogener Daten betreffen. Dieses DPA läuft mit dem Ablauf oder einer früheren Beendigung der Servicevereinbarung oder dem Datum ab, an dem Constructor Technology keine personenbezogenen Daten mehr verarbeitet, je nachdem, was früher eintritt.

1. Natur und Zweck der Verarbeitung

Constructor Technology wird personenbezogene Daten verarbeiten, soweit dies erforderlich ist, um die Dienstleistungen gemäß dem Dienstleistungsvertrag bereitzustellen, wie in Anhang III beschrieben, und als Verantwortlicher oder Auftragsverarbeiter gemäß Abschnitt 2.1 Beziehung dieser DPA zu handeln.

2. Verarbeitungstätigkeiten

Kundeninhalte, Kundenkontodaten und Kundennutzungsdaten werden von Constructor Technology gesammelt, gespeichert und verwendet, um dem Kunden anpassbare Dienstleistungen bereitzustellen:

• Der Kunde wird anpassbare Dienstleistungen im Zusammenhang mit Lernen und Forschung erhalten.
• Dem Kunden wird Zugang zu webbasierten Anwendungen und Infrastrukturen sowie Zugang zu Diensten gewährt, die die synchrone Datenfreigabe erleichtern.
• Der Kunde wird analytische Berichte erhalten, die je nach gewähltem Dienst personenbezogene Daten und/oder aggregierte Daten über das Engagement der Lernenden, ihre individuelle Entwicklung, Test- und Prüfungsergebnisse sowie Analysen zur Teilnahme und zum Interesse an Kursen enthalten, soweit dies gemäß dem Dienst zutrifft.
• Der Kunde wird eine Analyse und Bewertung von Verhaltens- und Umweltdaten erhalten, die von betroffenen Personen gegen eine Reihe von Erwartungen gesammelt wurden, was zu einer Bewertung der persönlichen Entwicklung in einem bestimmten Fachgebiet führt, wie z.B. Lesen, Schreiben, mathematische Fähigkeiten oder eine während einer Prüfung erzielte Punktzahl.

Der Kunde entscheidet allein über die Integration, Verwaltung und Kontrolle seiner Daten in Bezug auf Endbenutzer oder andere Teilnehmer wie Mitglieder von Forschungsprojekten, soweit dies gemäß dem gewählten Dienst zutrifft.

3. Dauer der Verarbeitung

Der Zeitraum, für den personenbezogene Daten aufbewahrt werden, und die Kriterien zur Bestimmung dieses Zeitraums sind wie folgt:

3.1. Kundeninhalte

Vor der Beendigung des Dienstleistungsvertrags wird Constructor Technology gespeicherte Kundeninhalte für die zulässigen Zwecke gemäß 2.2. Zweckbeschränkung) verarbeiten, bis der Kunde sich entscheidet, solche Kundeninhalte über die Funktionen der Dienste zu löschen. Der Kunde stimmt zu, dass er allein für das Löschen von Kundeninhalten über die Dienste verantwortlich ist.

Nach Beendigung des Dienstleistungsvertrags wird Constructor Technology nach Wahl des Kunden alle personenbezogenen Daten an den Kunden zurückgeben oder löschen, nachdem die Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung beendet ist, und vorhandene Kopien löschen, es sei denn, das geltende Recht erfordert die Speicherung der personenbezogenen Daten.

3.2. Kundenkontodaten

Constructor Technology wird Kundenkontodaten so lange verarbeiten, wie es erforderlich ist,

(a) um dem Kunden die Dienstleistungen bereitzustellen;

(b) für die berechtigten geschäftlichen Bedürfnisse von Constructor Technology; oder,

(c) durch geltendes Recht oder Vorschriften.

3.3. Kundennutzungsdaten

Nach Beendigung des Dienstleistungsvertrags kann Constructor Technology Kundennutzungsdaten für die in 2.1 Beziehung) dieser DPA festgelegten Zwecke aufbewahren, verwenden und offenlegen, vorbehaltlich der in dem Dienstleistungsvertrag festgelegten Vertraulichkeitsverpflichtungen. Constructor Technology wird Kundennutzungsdaten anonymisieren oder löschen, wenn Constructor Technology sie nicht mehr für die in 2.1 Beziehung dieser DPA festgelegten Zwecke benötigt.

4. Kategorien von betroffenen Personen

4.1. Kundeninhalte

• Endbenutzer des Kunden;
• Zugelassene Benutzer von Constructor Technology.

4.2. Kundenkontodaten

• Mitarbeiter des Kunden;
• Personen, die vom Kunden autorisiert sind, auf das Constructor Technology-Konto des Kunden zuzugreifen;

• Zugelassene Benutzer von Constructor Technology.

   

4.3. Kundennutzungsdaten

• Endbenutzer des Kunden;

• Zugelassene Benutzer von Constructor Technology.

   

5. Kategorien personenbezogener Daten

Personenbezogene Daten der Mitarbeiter des Kunden: Name, Adresse, Kontaktdaten, die in den Aufzeichnungen von Constructor Technology gespeichert sind.

Personenbezogene Daten der Endbenutzer des Kunden und zugelassener Benutzer:

Digitales Profil: Benutzer-ID, Benutzername, Passwort, Profilfoto, Kontaktdaten (E-Mail-Adresse, Name, Nachname, Telefonnummern), Bildungsinhalte, E-Mail-Antworten und -Antworten, gerätespezifische und Betriebssystemdaten;

Daten aus der Nutzung der Dienste, soweit zutreffend: IP-Adresse, Prüfprotokolle, Browsertyp und -sprache, Zeitzonen, Datum und Uhrzeit Ihrer Anfrage und Referral-URLs, Cookies, Einstellungspräferenzen, Punktzahlen, Leistungsergebnisse, Lernergebnisse, Erfolge, Zertifikate, eingeschriebene und bestandene Kurse, Konfigurationsdaten, Bildungsgeschichte, Identitätsnachweis (Personalausweis, Reisepass), fotografische und Videoaufnahmen, Augenverfolgung, Bildungslaufbahn, Kurs-Themenzuordnung, Protokolle der Interaktion mit dem Dienst, Entscheidungsdaten, Konfigurationsdaten.

6. Besondere Kategorien von Daten

Besondere Kategorien von Daten können von Zeit zu Zeit über die Dienste verarbeitet werden, wenn der Kunde oder seine Endbenutzer sich entscheiden, besondere Kategorien von Daten einzubeziehen, z.B. Gesundheitsdaten oder Daten zur biometrischen Identifikation, die über die Dienste übertragen werden. Der Kunde ist dafür verantwortlich, sicherzustellen, dass geeignete Schutzmaßnahmen vorhanden sind, bevor er oder seine Endbenutzer besondere Kategorien von Daten über die Dienste überträgt oder verarbeitet. Der Kunde ist dafür verantwortlich, die ausdrückliche Zustimmung der Benutzer einzuholen, bevor er besondere Kategorien von Daten verarbeitet.

Constructor Technology wird angemessene und ausreichende technische und organisatorische Maßnahmen aufrechterhalten, um die Sicherheit, Vertraulichkeit und Integrität der gemäß dem Servicevertrag verarbeiteten personenbezogenen Daten sicherzustellen, wie unter https://constructor.tech/technical-organizational-measures beschrieben.

Constructor Technology AG verpflichtet vertraglich alle Unterauftragsverarbeiter, technische und organisatorische Maßnahmen umzusetzen, die mindestens gleichwertig und in jedem Fall nicht weniger schützend sind als die oben genannten.

1. Beschreibung der Dienstleistungen

2. Beziehung basierend auf Dienstleistungen

Abhängig von der Dienstleistung kann die Beziehung zwischen Constructor Technology und dem Kunden zwischen den in Klausel 2.1 Beziehung dieser DPA definierten Rollen aufgeteilt werden. Die Rolle von Constructor Technology für jede Datenverarbeitungsaktivität ist im Datenverarbeitungsinventar aufgeführt, das über diesen Link veröffentlicht wird.

Gemäß Abschnitt 3. SUB-PROZESSOREN dieser DPA erteilt der Kunde ab dem Inkrafttreten dieser DPA seine allgemeine Genehmigung an Constructor Technology AG, um

• Sub-Prozessoren, die auf https://constructor.tech/subprocessors aufgeführt sind, und
• nachstehend aufgeführte Sub-Prozessoren, die zur Constructor Technology Group gehören,

zu ernennen, um personenbezogene Daten im Auftrag von Constructor Technology zu verarbeiten:

1. Definitionen

• „EWR“ bedeutet der Europäische Wirtschaftsraum
• „EU-Standardvertragsklauseln“ bedeutet die von der Europäischen Kommission in der Entscheidung 2021/914[1]. genehmigten Standardvertragsklauseln
• „UK International Data Transfer Addendum“ bedeutet das International Data Transfer Addendum zu den EU-Kommissions-Standardvertragsklauseln, herausgegeben vom britischen Information Commissioner, Version B1.0, in Kraft seit dem 21. März 2022.
• „EU-US-Angemessenheitsbeschluss“ bedeutet den Angemessenheitsbeschluss, der 2023 von der Europäischen Kommission in Bezug auf die Übermittlung personenbezogener Daten zwischen der EU und den USA im Rahmen des Datenschutzrahmens angenommen wurde.
• „Datenschutzgrundsätze“ bedeutet die Datenschutzrahmen-Grundsätze (wie durch die ergänzenden Grundsätze ergänzt).

2. Mechanismen für grenzüberschreitende Datenübertragungen

2.1. Rangfolge. Falls die Dienste durch mehr als einen Übertragungsmechanismus abgedeckt sind, unterliegt die Übermittlung personenbezogener Daten einem oder mehreren Übertragungsmechanismen, soweit anwendbar, und gemäß der folgenden Rangfolge: (a) ein von der Europäischen Kommission gewährter Angemessenheitsbeschluss, wie hier[2] detailliert beschrieben (b) die EU-Standardvertragsklauseln, wie in Abschnitt 2.3 EU-Standardvertragsklauseln dieses Anhangs V dargelegt; (c) die EU-Standardvertragsklauseln, wie sie gemäß dem Schweizer Datenschutzgesetz geändert und anwendbar sind (d) das UK International Data Transfer Addendum, wie in Abschnitt 2.10 dieses Anhangs V dargelegt; und, falls weder (a), (b), (c), (d) anwendbar ist, dann (e) andere anwendbare Datenübertragungsmechanismen, die gemäß dem anwendbaren Datenschutzgesetz erlaubt sind.

2.2. EU-US-Angemessenheitsbeschluss: Soweit der Kunde in den Vereinigten Staaten von Amerika ansässig ist und sich selbst unter dem Datenschutzrahmen zertifiziert hat, stimmt Constructor Technology ferner zu (i) mindestens das gleiche Schutzniveau für alle personenbezogenen Daten zu bieten, wie es die Datenschutzgrundsätze erfordern; (ii) nach schriftlicher Mitteilung mit dem Kunden zusammenzuarbeiten, um angemessene und geeignete Schritte zu unternehmen, um jede unbefugte Verarbeitung personenbezogener Daten zu stoppen und zu beheben. Dasselbe gilt für Unterauftragsverarbeiter, die unter dem Datenschutzrahmen zertifiziert sind. Der Kunde verpflichtet sich, Constructor Technology schriftlich und ohne unangemessene Verzögerung zu benachrichtigen, falls seine Selbstzertifizierung unter dem Datenschutzrahmen zurückgezogen, beendet, widerrufen oder anderweitig ungültig wird (in diesem Fall wird ein alternativer Übertragungsmechanismus gemäß der Rangfolge in Abschnitt 2.1 Rangfolge dieses Anhangs V angewendet).

2.3. EU-Standardvertragsklauseln. Die EU-Standardvertragsklauseln[3] gelten für personenbezogene Daten, die zum Zweck der Bereitstellung der Dienste gemäß dem Dienstleistungsvertrag und dieser DPA aus dem EWR und/oder der Schweiz (s. Anhang VII) entweder direkt oder durch Weiterübertragung in ein Land oder an einen Empfänger außerhalb des EWR und/oder der Schweiz übertragen werden, das von der zuständigen Behörde nicht als ein ausreichendes Schutzniveau für personenbezogene Daten bietend anerkannt wird. Für Datenübertragungen, die den EU-Standardvertragsklauseln unterliegen, gelten die EU-Standardvertragsklauseln als abgeschlossen und in diese DPA durch Verweis aufgenommen und gemäß Abschnitt 2.1 dieser DPA abgeschlossen, soweit anwendbar.

2.4. Für jedes Modul, soweit anwendbar:

• in Klausel 7 der EU-Standardvertragsklauseln gilt die optionale Andockklausel nicht;
• in Klausel 9 der EU-Standardvertragsklauseln gilt Option 2 und die Frist für die vorherige schriftliche Mitteilung von Änderungen des Unterauftragsverarbeiters ist wie in Abschnitt UNTERAUFTRAGSVERARBEITER festgelegt;
• in Klausel 11 der EU-Standardvertragsklauseln gilt die optionale Sprache nicht;
• in Klausel 17 (Option 1) werden die EU-Standardvertragsklauseln durch Schweizer Recht geregelt;
• in Klausel 18(b) der EU-Standardvertragsklauseln werden Streitigkeiten vor den Gerichten der Schweiz beigelegt;
• in Anhang I, Teil A der EU-Standardvertragsklauseln;

2.5. Datenexporteur: Kunde

2.6. Kontaktdaten: Die vom Kunden in seinem Konto über seine Benachrichtigungseinstellungen angegebene(n) E-Mail-Adresse(n).

2.7. Rolle des Datenexporteurs: Die Rolle des Datenexporteurs ist in Abschnitt 2.1 Beziehung dieser DPA festgelegt.

2.8. Unterschrift und Datum: Durch den Abschluss des Dienstleistungsvertrags gilt der Datenexporteur als Unterzeichner dieser EU-Standardvertragsklauseln, die hierin aufgenommen sind, einschließlich ihrer Anhänge, ab dem Inkrafttreten des Dienstleistungsvertrags.

2.9. Datenimporteur: Constructor Technology

• Kontaktdaten: Constructor Technology Privacy Team - privacy@constructor.tech
• Rolle des Datenimporteurs: Die Rolle des Datenimporteurs ist in Abschnitt 2.1 Beziehung dieser DPA festgelegt.
• Unterschrift und Datum: Durch den Abschluss des Dienstleistungsvertrags gilt der Datenimporteur als Unterzeichner dieser EU-Standardvertragsklauseln, die hierin aufgenommen sind, einschließlich ihrer Anhänge, ab dem Inkrafttreten des Dienstleistungsvertrags;
• (vii) in Anhang I, Teil B der EU-Standardvertragsklauseln:
• Die Kategorien der betroffenen Personen sind in Abschnitt 4 von Anhang I (Einzelheiten zur Verarbeitung personenbezogener Daten gemäß Art. 28(3) DSGVO) dieser DPA festgelegt.
• Die besonderen Kategorien der übertragenen Daten sind in Abschnitt 6 von Anhang I (Einzelheiten zur Verarbeitung personenbezogener Daten gemäß Art. 28(3) DSGVO) dieser DPA festgelegt.
• Die Häufigkeit der Übertragung erfolgt kontinuierlich für die Dauer des Dienstleistungsvertrags.
• Die Art der Verarbeitung ist in Abschnitt 1 von Anhang I (Einzelheiten zur Verarbeitung personenbezogener Daten gemäß Art. 28(3) DSGVO) dieser DPA festgelegt.
• Der Zweck der Verarbeitung ist in Abschnitt 1 von Anhang I (Einzelheiten zur Verarbeitung personenbezogener Daten gemäß Art. 28(3) DSGVO) dieser DPA festgelegt.
• Die Dauer, für die die personenbezogenen Daten aufbewahrt werden, ist in Abschnitt 3 von Anhang I (Einzelheiten zur Verarbeitung personenbezogener Daten gemäß Art. 28(3) DSGVO) dieser DPA festgelegt.
• Für Übertragungen an Unterauftragsverarbeiter sind der Gegenstand, die Art und die Dauer der Verarbeitung in Anhang IV festgelegt.
• in Anhang I, Teil C der EU-Standardvertragsklauseln: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) der Schweiz wird die zuständige Aufsichtsbehörde sein; und,
• Anhang II (Technische und organisatorische Sicherheitsmaßnahmen) dieser DPA dient als Anhang II der EU-Standardvertragsklauseln.

2.10. UK International Data Transfer Addendum. Kunde und Constructor Technology stimmen zu, dass das UK International Data Transfer Addendum (Anhang VIII) auf personenbezogene Daten angewendet wird, die durch das britische Datenschutzgesetz abgedeckt sind und über die Dienste aus dem Vereinigten Königreich entweder direkt oder durch Weiterübertragung in ein Land oder an einen Empfänger außerhalb des Vereinigten Königreichs übertragen werden, das von der zuständigen britischen Regulierungsbehörde oder Regierungsstelle für das Vereinigte Königreich nicht als ein ausreichendes Schutzniveau für personenbezogene Daten bietend anerkannt wird. Für Datenübertragungen aus dem Vereinigten Königreich, die dem UK International Data Transfer Addendum unterliegen, gilt das UK International Data Transfer Addendum als abgeschlossen und in diese DPA in Anhang VIII aufgenommen.

2.10. Soweit es einen Konflikt oder eine Inkonsistenz zwischen den EU-Standardvertragsklauseln oder den EU-Standardvertragsklauseln, wie sie gemäß dem Schweizer Recht geändert wurden, oder dem UK International Data Transfer Addendum und anderen Bestimmungen in dieser DPA, einschließlich Anhang VI (Länderspezifische Bestimmungen), dem Dienstleistungsvertrag oder der Constructor Technology-Datenschutzerklärung gibt, haben die Bestimmungen der EU-Standardvertragsklauseln oder der EU-Standardvertragsklauseln, wie sie gemäß dem Schweizer Recht geändert wurden, oder des UK International Data Transfer Addendum, soweit anwendbar, Vorrang.

1. Australien:

1.1. Die Definition von „Anwendbares Datenschutzgesetz“ umfasst die australischen Datenschutzgrundsätze und das australische Datenschutzgesetz (1988).

1.2. Die Definition von „Personenbezogene Daten“ umfasst „Persönliche Informationen“ wie im Anwendbaren Datenschutzgesetz definiert.

1.3. Die Definition von „Sensible Daten“ umfasst „Sensible Informationen“ wie im Anwendbaren Datenschutzgesetz definiert.

2. Brasilien:

2.1. Die Definition von „Anwendbares Datenschutzgesetz“ umfasst das Lei Geral de Proteção de Dados (Allgemeines Gesetz zum Schutz personenbezogener Daten).

2.2. Die Definition von „Sicherheitsvorfall“ umfasst einen Sicherheitsvorfall, der ein relevantes Risiko oder einen Schaden für die betroffenen Personen darstellen kann.

2.3. Die Definition von „Auftragsverarbeiter“ umfasst „Betreiber“ wie im Anwendbaren Datenschutzgesetz definiert.

3. Kanada:

3.1 Die Definition von „Anwendbares Datenschutzgesetz“ umfasst das Bundesgesetz zum Schutz persönlicher Informationen und elektronische Dokumente.

3.2 Die Unterauftragsverarbeiter von Constructor Technology, wie in Anhang IV: Liste der Unterauftragsverarbeiter dieses DPA festgelegt, sind Dritte gemäß dem Anwendbaren Datenschutzgesetz, mit denen Constructor Technology einen schriftlichen Vertrag abgeschlossen hat, in dem dieselben Datenschutzverpflichtungen wie in diesem DPA vertraglich auferlegt werden. Constructor Technology hat eine angemessene Due Diligence bei seinen Unterauftragsverarbeitern durchgeführt.

3.3 Constructor Technology wird technische und organisatorische Maßnahmen umsetzen, wie in Anhang II: Technische und organisatorische Maßnahmen dieses DPA festgelegt.

4. Europäischer Wirtschaftsraum (EWR):

4.1 Die Definition von „Anwendbares Datenschutzgesetz“ umfasst die Datenschutz-Grundverordnung (EU 2016/679) („DSGVO“).

4.2 Wenn Constructor Technology einen Unterauftragsverarbeiter gemäß Anhang IV: Liste der Unterauftragsverarbeiter dieses DPA einsetzt, wird es:

(a) von jedem ernannten Unterauftragsverarbeiter verlangen, personenbezogene Daten nach dem Standard zu schützen, der durch das Anwendbare Datenschutzgesetz erforderlich ist, indem vertraglich dieselben Datenschutzverpflichtungen auferlegt werden, die in Artikel 28(3) der DSGVO genannt sind, insbesondere ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten, damit die Verarbeitung die Anforderungen der DSGVO erfüllt, und,

(b) von jedem ernannten Unterauftragsverarbeiter verlangen, (i) schriftlich zuzustimmen, personenbezogene Daten nur in einem Land zu verarbeiten, dem die Kommission einen Angemessenheitsbeschluss erteilt hat, oder (ii) personenbezogene Daten nur gemäß den Bestimmungen von Kapitel V DSGVO zu verarbeiten.

4.3 Ungeachtet anderslautender Bestimmungen in diesem DPA oder im Servicevertrag (einschließlich, aber nicht beschränkt auf die Entschädigungsverpflichtungen beider Parteien) ist keine der Parteien für DSGVO-Bußgelder verantwortlich, die gemäß Artikel 83 der DSGVO von einer Aufsichtsbehörde oder einer Regierungsstelle gegen die andere Partei in Verbindung mit einem Verstoß dieser anderen Partei gegen die DSGVO verhängt oder erhoben werden.

4.4 Der Kunde erkennt an, dass Constructor Technology als Verantwortlicher gemäß dem Anwendbaren Datenschutzgesetz verpflichtet sein kann, eine Aufsichtsbehörde über Datenschutzverletzungen zu informieren, die personenbezogene Daten betreffen. Wenn eine Aufsichtsbehörde von Constructor Technology verlangt, betroffene Personen zu benachrichtigen, mit denen Constructor Technology keine direkte Beziehung hat (z. B. Endbenutzer des Kunden), wird Constructor Technology den Kunden über diese Anforderung informieren. Der Kunde wird Constructor Technology angemessene Unterstützung leisten, um die betroffenen Personen zu benachrichtigen.

5. Israel:

5.1 Die Definition von „Anwendbares Datenschutzgesetz“ umfasst das Gesetz zum Schutz der Privatsphäre.

5.2 Die Definition von „Verantwortlicher“ umfasst „Datenbankbesitzer“ wie im Anwendbaren Datenschutzgesetz definiert.

5.3 Die Definition von „Auftragsverarbeiter“ umfasst „Inhaber“ wie im Anwendbaren Datenschutzgesetz definiert.

5.4 Constructor Technology wird verlangen, dass alle zur Verarbeitung personenbezogener Daten autorisierten Mitarbeiter das Prinzip der Datensekrete einhalten und ordnungsgemäß über das Anwendbare Datenschutzgesetz unterrichtet wurden. Solche Mitarbeiter sind gemäß Abschnitt 2.3 Verpflichtungen und Rechte der Parteien dieses DPA zur Vertraulichkeit verpflichtet.

5.5 Constructor Technology muss ausreichende Schritte unternehmen, um die Privatsphäre der betroffenen Personen zu gewährleisten, indem es die in Anhang II: Technische und organisatorische Maßnahmen dieses DPA festgelegten Sicherheitsmaßnahmen umsetzt und die Bedingungen des Servicevertrags einhält.

5.6 Constructor Technology muss sicherstellen, dass Kundendaten nicht an einen Unterauftragsverarbeiter übertragen werden, es sei denn, dieser Unterauftragsverarbeiter hat eine Vereinbarung mit Constructor Technology gemäß Abschnitt 3. UNTERAUFTRAGSVERARBEITER dieses DPA abgeschlossen.

6. Mexiko:

6.1 Die Definition von „Anwendbares Datenschutzgesetz“ umfasst das Bundesgesetz zum Schutz personenbezogener Daten im Besitz von Privatpersonen und seine Vorschriften.

6.2 Wenn Constructor Technology als Auftragsverarbeiter handelt, wird es:

(a) Personenbezogene Daten gemäß den Anweisungen des Kunden verarbeiten, die in Abschnitt 2.2. Zweckbindung dieses DPA festgelegt sind;

(b) Personenbezogene Daten nur in dem Umfang verarbeiten, der zur Erbringung der Dienstleistungen erforderlich ist;

(c) Sicherheitsmaßnahmen gemäß dem Anwendbaren Datenschutzgesetz und Abschnitt 2.3 Verpflichtungen und Rechte der Parteien dieses DPA umsetzen;

(d) Vertraulichkeit in Bezug auf die im Rahmen des Servicevertrags verarbeiteten personenbezogenen Daten wahren;

(e) alle personenbezogenen Daten nach Beendigung des Servicevertrags gemäß Abschnitt 2.3 Verpflichtungen und Rechte der Parteien dieses DPA löschen; und,

(f) personenbezogene Daten nur gemäß Abschnitt 3. UNTERAUFTRAGSVERARBEITER dieses DPA an Unterauftragsverarbeiter übertragen.

7. Singapur:

7.1 Die Definition von „Anwendbares Datenschutzgesetz“ umfasst das Personal Data Protection Act 2012 („PDPA“).

7.2 Constructor Technology wird personenbezogene Daten gemäß dem PDPA durch die Umsetzung angemessener technischer und organisatorischer Maßnahmen, wie in Abschnitt 2.3 Verpflichtungen und Rechte der Parteien dieses DPA festgelegt, und die Einhaltung der Bedingungen des Servicevertrags verarbeiten.

8. Schweiz:

8.1 Die Definition von „Anwendbares Datenschutzgesetz“ umfasst das revidierte Bundesgesetz über den Datenschutz („revDSG“).

8.2 Wenn Constructor Technology einen Unterauftragsverarbeiter gemäß Abschnitt 3. UNTERAUFTRAGSVERARBEITER dieses DPA einsetzt, wird es:

(a) von jedem ernannten Unterauftragsverarbeiter verlangen, die Kundendaten nach dem Standard zu schützen, der durch das Anwendbare Datenschutzgesetz erforderlich ist, indem vertraglich dieselben Datenschutzverpflichtungen auferlegt werden, die in Artikel 28(3) der DSGVO genannt sind, insbesondere ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten, damit die Verarbeitung die Anforderungen der DSGVO erfüllt, und,

(b) von jedem ernannten Unterauftragsverarbeiter verlangen, (i) schriftlich zuzustimmen, personenbezogene Daten nur in einem Land zu verarbeiten, das die Schweiz als „angemessen“ erklärt hat, oder (ii) personenbezogene Daten nur gemäß den Bestimmungen von Kapitel V DSGVO zu verarbeiten.

8.3 Soweit die Übermittlung personenbezogener Daten aus der Schweiz den EU-Standardvertragsklauseln gemäß Abschnitt 2.3 von Anhang V (EU-Standardvertragsklauseln) unterliegt, gelten die folgenden Änderungen für die EU-Standardvertragsklauseln, wie in Anhang VII dargestellt:

(a) Verweise auf „EU-Mitgliedstaat“ und „Mitgliedstaat“ werden so interpretiert, dass sie die Schweiz einschließen, und,

(b) soweit die Übermittlung oder Weiterübermittlung dem revDSG unterliegt:

(i) Verweise auf „Verordnung (EU) 2016/679“ sind als Verweise auf das revDSG zu interpretieren;

(ii) die „zuständige Aufsichtsbehörde“ in Anhang I, Teil C wird der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte sein;

(iii) in Klausel 17 (Option 1) werden die EU-Standardvertragsklauseln durch das Recht der Schweiz geregelt; und,

(iv) in Klausel 18(b) der EU-Standardvertragsklauseln werden Streitigkeiten vor den Gerichten der Schweiz beigelegt.

9. Vereinigtes Königreich (UK):

9.1 Verweise in diesem DPA auf „DSGVO“ werden als Verweise auf die entsprechenden Gesetze und Vorschriften des Vereinigten Königreichs, einschließlich, aber nicht beschränkt auf die UK DSGVO und das Datenschutzgesetz 2018, angesehen.

9.2 Wenn Constructor Technology einen Unterauftragsverarbeiter gemäß Abschnitt 3. UNTERAUFTRAGSVERARBEITER dieses DPA einsetzt, wird es:

(a) von jedem ernannten Unterauftragsverarbeiter verlangen, die Kundendaten nach dem Standard zu schützen, der durch das Anwendbare Datenschutzgesetz erforderlich ist, indem vertraglich dieselben Datenschutzverpflichtungen auferlegt werden, die in Artikel 28(3) der DSGVO genannt sind, insbesondere ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten, damit die Verarbeitung die Anforderungen der DSGVO erfüllt, und,

(b) von jedem ernannten Unterauftragsverarbeiter verlangen, (i) schriftlich zuzustimmen, personenbezogene Daten nur in einem Land zu verarbeiten, das das Vereinigte Königreich als „angemessen“ erklärt hat, oder (ii) personenbezogene Daten nur gemäß den Bestimmungen des UK International Data Transfer Addendum oder gemäß einer von den zuständigen britischen Datenschutzbehörden erteilten Genehmigung für verbindliche Unternehmensregeln zu verarbeiten.

9.3 Ungeachtet anderslautender Bestimmungen in diesem DPA oder im Servicevertrag (einschließlich, aber nicht beschränkt auf die Entschädigungsverpflichtungen beider Parteien) ist keine der Parteien für UK DSGVO-Bußgelder verantwortlich, die gemäß Artikel 83 der UK DSGVO von einer Aufsichtsbehörde oder einer Regierungsstelle gegen die andere Partei in Verbindung mit einem Verstoß dieser anderen Partei gegen die UK DSGVO verhängt oder erhoben werden.

9.4 Der Kunde erkennt an, dass Constructor Technology als Verantwortlicher gemäß dem Anwendbaren Datenschutzgesetz verpflichtet sein kann, eine Aufsichtsbehörde über Datenschutzverletzungen zu informieren, die Kundendaten betreffen. Wenn eine Aufsichtsbehörde von Constructor Technology verlangt, betroffene Personen zu benachrichtigen, mit denen Constructor Technology keine direkte Beziehung hat (z. B. Endbenutzer des Kunden), wird Constructor Technology den Kunden über diese Anforderung informieren. Der Kunde wird Constructor Technology angemessene Unterstützung leisten, um die betroffenen Personen zu benachrichtigen.

10. Vereinigte Staaten von Amerika:

10.1 „US-Staatliche Datenschutzgesetze“ bedeutet alle staatlichen Gesetze in den Vereinigten Staaten von Amerika, die sich auf den Schutz und die Verarbeitung personenbezogener Daten beziehen, einschließlich, aber nicht beschränkt auf den California Consumer Privacy Act, geändert durch den California Privacy Rights Act („CCPA“), den Virginia Consumer Data Protection Act, den Colorado Privacy Act, den Connecticut Data Privacy Act und den Utah Consumer Privacy Act.

10.2 Die Definition von „Anwendbares Datenschutzgesetz“ umfasst US-Staatliche Datenschutzgesetze.

10.3 Die folgenden Bedingungen gelten, wenn Constructor Technology personenbezogene Daten verarbeitet, die dem CCPA unterliegen:

(a) Der Begriff „persönliche Informationen“, wie in Abschnitt 10.3 dieses Anhangs VI verwendet, hat die im CCPA festgelegte Bedeutung;

(b) Constructor Technology ist ein Dienstleister bei der Verarbeitung personenbezogener Daten. Constructor Technology wird alle persönlichen Informationen nur für die im Servicevertrag festgelegten Geschäftszwecke verarbeiten, einschließlich des Zwecks der Verarbeitung und der im DPA festgelegten Verarbeitungstätigkeiten. Als Dienstleister wird Constructor Technology keine Kundeninhalte verkaufen oder teilen oder Kundeninhalte (i) für einen anderen Zweck als den Zweck verwenden oder offenlegen, einschließlich der Verwendung oder Offenlegung von Kundeninhalten für einen kommerziellen Zweck, der nicht der Zweck ist, oder wie es der CCPA anderweitig erlaubt; oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Constructor Technology;

(c) Constructor Technology wird (i) die Verpflichtungen einhalten, die ihm als Dienstleister gemäß dem CCPA obliegen, und (ii) persönliche Informationen mit dem gleichen Maß an Datenschutz versehen, wie es der CCPA erfordert. Der Kunde ist dafür verantwortlich, sicherzustellen, dass er die Anforderungen des CCPA bei der Nutzung der Dienste und seiner eigenen Verarbeitung persönlicher Informationen eingehalten hat und weiterhin einhalten wird;

(d) Der Kunde hat das Recht, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass Constructor Technology persönliche Informationen in einer Weise verwendet, die mit den Verpflichtungen des Kunden gemäß dem CCPA übereinstimmt;

(e) Constructor Technology wird den Kunden benachrichtigen, wenn es feststellt, dass es seine Verpflichtungen als Dienstleister gemäß dem CCPA nicht mehr erfüllen kann;

(f) Nach Benachrichtigung hat der Kunde das Recht, angemessene und geeignete Schritte gemäß dem Servicevertrag zu unternehmen, um die unbefugte Nutzung persönlicher Informationen zu stoppen und zu beheben;

(g) Constructor Technology wird angemessene und rechtzeitige Unterstützung leisten, um dem Kunden bei der Erfüllung seiner Verpflichtungen in Bezug auf Verbraucheranforderungen gemäß dem Servicevertrag zu helfen;

(h) Für jeden Unterauftragsverarbeiter, den Constructor Technology zur Verarbeitung persönlicher Informationen gemäß dem CCPA einsetzt, wird Constructor Technology sicherstellen, dass die Vereinbarung von Constructor Technology mit diesem Unterauftragsverarbeiter den CCPA einhält, einschließlich, aber nicht beschränkt auf die vertraglichen Anforderungen für Dienstleister und Auftragnehmer;

(i) Constructor Technology wird Kundeninhalte, die es von oder im Namen des Kunden erhält, nicht mit persönlichen Informationen kombinieren, die es von oder im Namen einer anderen Person oder Personen erhält oder aus seiner eigenen Interaktion mit dem Verbraucher sammelt, es sei denn, eine solche Kombination ist erforderlich, um einen Geschäftszweck zu erfüllen, wie es der CCPA, einschließlich aller dazugehörigen Vorschriften, oder die von der California Privacy Protection Agency erlassenen Vorschriften erlauben; und,

(j) Constructor Technology bestätigt, dass es seine Verpflichtungen gemäß dem CCPA versteht und einhalten wird.

Für die Zwecke der Lokalisierung der Standardvertragsklauseln zur Einhaltung des revFADP vereinbaren die Parteien Folgendes:

1. Die Parteien übernehmen den GDPR-Standard für alle Datenübertragungen.
2. Der Begriff „personenbezogene Daten“ umfasst personenbezogene Daten, wie sie im revidierten Bundesgesetz über den Datenschutz definiert sind. Die Liste der betroffenen Personen und Kategorien von Daten in Bezug auf die Standardvertragsklauseln soll nicht als Einschränkung der Anwendung der Standardvertragsklauseln auf personenbezogene Daten angesehen werden, die dieser Klausel unterliegen.
3. Verweise auf (Artikel in) der EU-Datenschutz-Grundverordnung 2016/679 gelten als Verweise auf (entsprechende Artikel in) dem revFADP.
4. Klausel 13 und Anhang I(С): Die zuständigen Behörden gemäß Klausel 13 und in Anhang I(С) sind der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte und gleichzeitig die oben genannte EWR-Mitgliedstaatenbehörde.
5. Klausel 17: Die Parteien vereinbaren, dass die zuständige Gerichtsbarkeit die Schweiz ist.
6. Klausel 18: ersetzt durch die Aussage „Jeder Streit, der sich aus diesen Klauseln ergibt, wird von den Gerichten der Schweiz entschieden. Die Parteien vereinbaren, die Standardvertragsklauseln so zu interpretieren, dass betroffene Personen in der Schweiz ihre Rechte in der Schweiz gemäß Klausel 18(с) einklagen können.
7. Die Parteien vereinbaren, die Standardvertragsklauseln so zu interpretieren, dass „betroffene Personen“ Informationen über Schweizer juristische Personen einschließt, bis das revidierte Bundesgesetz über den Datenschutz in Kraft tritt.
8. Verweise auf Mitgliedstaat(en)/EU-Mitgliedstaat(en)/EU/Union gelten als Verweise auf die Schweiz.
9. Verweis auf den Exporteur in der EU gilt als Verweis auf den Exporteur in der Schweiz.
10. Verweis auf die Europäische Union gilt als Verweis auf die Schweiz.
11. Wo die Klauseln Begriffe verwenden, die in der EU-Datenschutz-Grundverordnung 2016/679 definiert sind, gelten diese Begriffe als mit der Bedeutung, wie die entsprechenden Begriffe im revFADP definiert sind.

In reference to the DPA made by and between the Parties set out at the beginning of the DPA, such DPA includes the UK Addendum as follows:

1.Each Party agrees to be bound by the terms and conditions set out in this Addendum issued by the Information Commissioner, in exchange for the other Party also agreeing to be bound by this Addendum.

2. Although Annex 1A and Clause 7 of the Approved EU SCCs require signature by the Parties, for the purpose of making Restricted Transfers, the Parties may enter into this Addendum in any way that makes them legally binding on the Parties and allows data subjects to enforce their rights as set out in this Addendum. Entering into this Addendum will have the same effect as signing the Approved EU SCCs and any part of the Approved EU SCCs.

3. Where this Addendum uses terms that are defined in the Approved EU SCCs those terms shall have the same meaning as in the Approved EU SCCs.

4. This Addendum must always be interpreted in a manner that is consistent with UK Data Protection Laws and so that it fulfills the Parties’ obligation to provide the Appropriate Safeguards.

5. If the provisions included in the Addendum EU SCCs amend the Approved SCCs in any way which is not permitted under the Approved EU SCCs or the Approved Addendum, such amendment(s) will not be incorporated in this Addendum and the equivalent provision of the Approved EU SCCs will take their place.

6. If there is any inconsistency or conflict between UK Data Protection Laws and this Addendum, UK Data Protection Laws apply.

7. If the meaning of this Addendum is unclear or there is more than one meaning, the meaning which most closely aligns with UK Data Protection Laws applies.

8. Any references to legislation (or specific provisions of legislation) means that legislation (or specific provision) as it may change over time. This includes where that legislation (or specific provision) has been consolidated, re-enacted and/or replaced after this Addendum has been entered into.

9. Although Clause 5 of the Approved EU SCCs sets out that the Approved EU SCCs prevail over all related agreements between the parties, the parties agree that, for Restricted Transfers, the hierarchy in Section 10 will prevail.

10. Where there is any inconsistency or conflict between the Approved Addendum and the Addendum EU SCCs (as applicable), the Approved Addendum overrides the Addendum EU SCCs, except where (and in so far as) the inconsistent or conflicting terms of the Addendum EU SCCs provides greater protection for data subjects, in which case those terms will override the Approved Addendum.

11. Where this DPA incorporates Addendum EU SCCs which have been entered into to protect transfers subject to the General Data Protection Regulation (EU) 2016/679 then the Parties acknowledge that nothing in this Addendum impacts those Addendum EU SCCs.

12. This Addendum incorporates the Addendum EU SCCs which are amended to the extent necessary so that:

a) together they operate for data transfers made by the data exporter to the data importer, to the extent that UK Data Protection Laws apply to the data exporter’s processing when making that data transfer, and they provide Appropriate Safeguards for those data transfers;

b) Sections 9 to 11 override Clause 5 (Hierarchy) of the Addendum EU SCCs; and

c) this Addendum (including the Addendum EU SCCs incorporated into it) is (1) governed by the laws of England and Wales and (2) any dispute arising from it is resolved by the courts of England and Wales, in each case unless the laws and/or courts of Scotland or Northern Ireland have been expressly selected by the Parties.

13. Unless the Parties have agreed alternative amendments which meet the requirements of Section 11, the provisions of Section 14 will apply.

14. No amendments to the Approved EU SCCs other than to meet the requirements of Section 11 may be made.

15. The following amendments to the Addendum EU SCCs (for the purpose of Section 11) are made:

a) References to the “Clauses” means this Addendum, incorporating the Addendum EU SCCs;

b) In Clause 2, delete the words:

“and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679”;

c) Clause 6 (Description of the transfer(s)) is replaced with:

“The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter’s processing when making that transfer.”;

d) Clause 8.7(i) of Module 1 is replaced with:

“it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer”;

e) Clause 8.8(i) of Modules 2 and 3 is replaced with:

“the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;”

f) References to “Regulation (EU) 2016/679”, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” and “that Regulation” are all replaced by “UK Data Protection Laws”. References to specific Article(s) of “Regulation (EU) 2016/679” are replaced with the equivalent Article or Section of UK Data Protection Laws;

g) References to Regulation (EU) 2018/1725 are removed;

h) References to the “European Union”, “Union”, “EU”, “EU Member State”, “Member State” and “EU or Member State” are all replaced with the “UK”;

i) The reference to “Clause 12(с)(i)” at Clause 10(b)(i) of Module one, is replaced with “Clause 11(с)(i)”;

j) Clause 13(a) and Part C of Annex I are not used;

k) The “competent supervisory authority” and “supervisory authority” are both replaced with the “Information Commissioner”;

l) In Clause 16(e), subsection (i) is replaced with:

“the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;”;

m) Clause 17 is replaced with:

“These Clauses are governed by the laws of England and Wales.”;

n) Clause 18 is replaced with:

“Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts.”; and

o) The footnotes to the Approved EU SCCs do not form part of the Addendum, except for footnotes 8, 9, 10 and 11.

16. The Parties may agree to change Clauses 17 and/or 18 of the Addendum EU SCCs to refer to the laws and/or courts of Scotland or Northern Ireland.

17. If the Parties wish to change the format of the information included in Part 1: Tables of the Approved Addendum, they may do so by agreeing to the change in writing, provided that the change does not reduce the Appropriate Safeguards.

18. From time to time, the ICO may issue a revised Approved Addendum which:

a) makes reasonable and proportionate changes to the Approved Addendum, including correcting errors in the Approved Addendum; and/or

b) reflects changes to UK Data Protection Laws;

19. The revised Approved Addendum will specify the start date from which the changes to the Approved Addendum are effective and whether the Parties need to review this Addendum including the Appendix Information. This Addendum is automatically amended as set out in the revised Approved Addendum from the start date specified.

If the ICO issues a revised Approved Addendum under Section 18, if any Party selected in Table 4 “Ending the Addendum when the Approved Addendum changes”, will as a direct result of the changes in the Approved Addendum have a substantial, disproportionate and demonstrable increase in:

a) its direct costs of performing its obligations under the Addendum; and/or

b) its risk under the Addendum,

and in either case it has first taken reasonable steps to reduce those costs or risks so that it is not substantial and disproportionate, then that Party may end this Addendum at the end of a reasonable notice period, by providing written notice for that period to the other Party before the start date of the revised Approved Addendum.

20. The Parties do not need the consent of any third party to make changes to this Addendum, but any changes must be made in accordance with its terms.

21. The Parties hereby, acknowledge that SCHEDULE D shall be updated for transfers from the UK to countries outside the EEA shall be fully bound by, and subject to, all the requirements provided by the updated references included within this AMENDMENT.

Table 1: Parties

Table 2: Selected SCCs, Modules and Selected Clauses[4]

Table 3: Appendix Information

“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:

Table 4: Ending this Addendum when the Approved Addendum Changes

Table 5: Terminology