Einleitung zu diesem Auftragsverarbeitungsvertrag

Die sichere, faire und transparente Verarbeitung personenbezogener Daten ist für uns bei TaxDome äußerst wichtig. Als Teil dieser Bemühungen verarbeiten wir personenbezogene Daten in Übereinstimmung mit den EU-Datenschutzgesetzen, einschließlich der Allgemeinen Datenschutzverordnung der EU (“GDPR”), und dem United Kingdom (UK) Data Protection Act 2018, soweit anwendbar. Wir verarbeiten personenbezogene Daten auch in Übereinstimmung mit Nicht-EU-Datenschutzgesetzen, die den Umgang mit verschiedenen Arten von personenbezogenen Daten regeln, darunter der California Consumer Privacy Act (“CCPA”), der Health Insurance Portability and Accountability Act (“HIPAA”) und die Payment Card Industry Compliance (“PCI”).

Um die personenbezogenen Daten von Personen besser zu schützen, stellen wir diese Bedingungen zur Verfügung, die den Umgang von TaxDome und Ihnen mit personenbezogenen Daten regeln (die “Auftragsverarbeitungsvertrag” oder “DPA”). Diese DPA ist Teil der Allgemeinen Geschäftsbedingungen (Terms of Service, “ToS”) und ändert diese und erfordert keine weiteren Maßnahmen Ihrerseits.

Wenn Sie mit dieser DPA nicht einverstanden sind, können Sie die Nutzung des TaxDome-Dienstes einstellen und Ihr Konto kündigen.

Definitionen

Es ist wichtig, dass alle Parteien verstehen, welche Daten und wessen Daten unter dieser DPA geschützt sind. Jede Partei hat entsprechende Verpflichtungen zum Schutz personenbezogener Daten. Daher erläutern die folgenden Definitionen den Geltungsbereich dieser DPA und die gegenseitigen Verpflichtungen zum Schutz personenbezogener Daten.

“TaxDome”, “wir”, “uns” oder “unser” bezieht sich auf den Anbieter der TaxDome-Website und -Dienste (zusammenfassend als “TaxDome-Dienst” bezeichnet).

“Sie” oder “Kunde” bezieht sich auf das Unternehmen oder die Organisation, das/die sich für die Nutzung des TaxDome-Service zur Verwaltung der Beziehungen zu Ihren Verbrauchern oder Dienstleistungsnutzern anmeldet.

“Partei” bezieht sich je nach Kontext auf TaxDome und/oder den Kunden.

Der Begriff “Personal” bezieht sich auf Personen, die bei einer der Parteien angestellt sind oder unter Vertrag stehen, um eine Dienstleistung im Namen einer der Parteien zu erbringen. Das Personal kann Rechte an seinen persönlichen Daten (einschließlich geschäftlicher Kontaktinformationen) haben, wenn es in der EU ansässig ist. Es ist wichtig, sich darüber im Klaren zu sein, wie die Rechte des Personals geschützt werden.

“Unterauftragsverarbeiter” ist ein Dritter, unabhängiger Auftragnehmer, Verkäufer und Lieferant, der bestimmte Dienstleistungen und Produkte im Zusammenhang mit der TaxDome-Website und unseren Dienstleistungen anbietet, wie z.B. Hosting, Kreditkartenverarbeitung und Betrugsprüfung sowie Mailinglisten-Hosting (“Dritter” oder “externer Auftragnehmer” hat eine ähnliche Bedeutung).

“Vorfall” bedeutet: (a) eine Beschwerde oder ein Ersuchen in Bezug auf die Ausübung der Rechte einer Person gemäß der DSGVO; (b) eine Untersuchung oder Beschlagnahme der personenbezogenen Daten durch Regierungsbeamte oder ein spezifischer Hinweis, dass eine solche Untersuchung oder Beschlagnahme unmittelbar bevorsteht; oder (c) eine Verletzung der Sicherheit und/oder Vertraulichkeit gemäß dieser DSGVO, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf die personenbezogenen Daten führt, oder ein Hinweis darauf, dass eine solche Verletzung stattgefunden hat oder bevorsteht.

Die Begriffe “betroffene Person”, “personenbezogene Daten”, “Mitglied, “für die Verarbeitung Verantwortlicher”, “Auftragsverarbeiter” und “Verarbeitung” haben die gleiche Bedeutung wie in der DSGVO, und die entsprechenden Begriffe sind entsprechend auszulegen.

Datenschutzgesetz” bezeichnet alle anwendbaren Rechtsvorschriften in Bezug auf den Datenschutz und den Schutz der Privatsphäre, einschließlich, aber nicht beschränkt auf die DSGVO, zusammen mit allen nationalen Umsetzungsgesetzen in jedem Mitgliedstaat der Europäischen Union oder, soweit anwendbar, in jedem anderen Land, in der jeweils geänderten, aufgehobenen, konsolidierten oder ersetzten Fassung.

“SCCs” bezieht sich auf die Standardvertragsklauseln für Auftragsverarbeiter, wie sie von der Europäischen Kommission oder der Eidgenössischen Datenschutzbehörde (je nach Fall) genehmigt wurden.

Aus Gründen der Lesbarkeit verzichten wir in dieser DPA auf die Großschreibung von definierten Begriffen. Definierte Begriffe sind definierte Begriffe, unabhängig von ihrem Format.

1. Verpflichtungen in Bezug auf personenbezogene Daten

1.1 Jede Partei stimmt zu, dass personenbezogene Daten im Rahmen dieser DPA als vertrauliche Informationen behandelt werden. Darüber hinaus wird jede Partei zu jeder Zeit die geltenden Gesetze zum Datenschutz in der jeweiligen Rechtsordnung in Bezug auf die personenbezogenen Daten der anderen Partei einhalten.

1.2 Die personenbezogenen Daten bleiben Eigentum der offenlegenden Partei. TaxDome erkennt an, dass der Kunde der Verantwortliche ist und die Kontrolle über die personenbezogenen Daten der betroffenen Person behält.

1.3 TaxDome wird die personenbezogenen Daten des Kunden nur in dem Umfang verarbeiten, der für die Erbringung der Dienstleistungen in Übereinstimmung mit den AGB und etwaigen weiteren schriftlichen Anweisungen des Kunden, die schriftlich vereinbart wurden, unbedingt erforderlich ist. Die Einzelheiten der Verarbeitung personenbezogener Daten gemäß Artikel 28(3) GDPR sind in Anhang B aufgeführt. TaxDome erklärt sich damit einverstanden:

1.3.1 es ein angemessenes und geeignetes Sicherheitsprogramm einführt und aufrechterhält, das angemessene sicherheitstechnische und organisatorische Maßnahmen zum Schutz vor unbefugter, unrechtmäßiger oder versehentlicher Verarbeitung, Nutzung, Löschung, Verlust oder Zerstörung oder Beschädigung der personenbezogenen Daten des Kunden umfasst;

1.3.2 er wird die personenbezogenen Daten seiner Kunden nicht verändern, abändern, löschen, veröffentlichen oder an Dritte weitergeben oder Dritten gestatten, solche personenbezogenen Daten im Namen von TaxDome zu verarbeiten, es sei denn, der Dritte ist an ähnliche Vertraulichkeits- und Datenverarbeitungsbestimmungen gebunden;

1.3.3 TaxDome stellt sicher, dass der Zugriff auf personenbezogene Daten auf das Personal beschränkt ist, das diesen Zugriff benötigt, um seinen Verpflichtungen gemäß den AGB nachzukommen, und dass das Personal, das mit der Verarbeitung personenbezogener Daten befasst ist, über die Vertraulichkeit der personenbezogenen Daten informiert ist, ein angemessenes Training zu seinen Pflichten erhalten hat und eine schriftliche Vertraulichkeitsvereinbarung unterzeichnet hat. TaxDome stellt sicher, dass diese Vertraulichkeitsverpflichtungen auch nach Beendigung des Arbeitsverhältnisses fortbestehen; und

1.3.4 es personenbezogene Daten des Kunden nur in dem Umfang verarbeitet, der für die Erfüllung seiner Verpflichtungen aus den AGB erforderlich ist, auf schriftliche Anweisung des Kunden (nur nach gegenseitiger Absprache) und in Übereinstimmung mit den geltenden Gesetzen.

1.4 Nach Beendigung Ihres Kontos wird TaxDome alle personenbezogenen Daten in Übereinstimmung mit unseren Standardrichtlinien für die Datensicherung und -aufbewahrung gemäß den AGB löschen oder auf Wunsch des Kunden zurückgeben, normalerweise spätestens nach 90 Tagen, es sei denn, wir sind aufgrund von Gesetzen der Union, der Mitgliedstaaten oder der Vereinigten Staaten verpflichtet, personenbezogene Daten aufzubewahren; in diesem Fall behält sich TaxDome das Recht vor, personenbezogene Daten aufzubewahren.

1.5 Die Parteien erkennen an, dass Kunden im Zusammenhang mit der Nutzung des TaxDome-Dienstes von Zeit zu Zeit in den Besitz personenbezogener Daten der Mitarbeiter von TaxDome gelangen können. TaxDome gewährleistet, dass es diesem Personal alle erforderlichen Mitteilungen gemacht und alle erforderlichen Zustimmungen, Ermächtigungen, Genehmigungen und/oder Vereinbarungen eingeholt hat, die nach geltendem Recht erforderlich sind, um (i) die Weitergabe der personenbezogenen Daten des Personals von TaxDome an den Kunden im Zusammenhang mit der Nutzung des TaxDome-Service durch den Kunden und (ii) die Weiterverarbeitung dieser personenbezogenen Daten von TaxDome durch den Kunden zum Zweck der Nutzung des TaxDome-Service zu ermöglichen.

2. Verpflichtungen in Bezug auf Unterauftragsverarbeiter

2.1 Die Parteien erkennen an, dass TaxDome im Zusammenhang mit den Verpflichtungen aus den AGB Dritte als Unterauftragsverarbeiter einsetzen kann. Für jeden Unterauftragsverarbeiter, den TaxDome beauftragt, werden wir eine schriftliche Vereinbarung abschließen, die Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in dieser Änderung und die erforderlich sind, um die personenbezogenen Daten des Kunden gemäß dem von der DSGVO geforderten Standard zu schützen.

2.2 TaxDome stellt den Kunden die aktuelle Liste der Unterauftragsverarbeiter zur Verfügung, indem sie diese Liste online veröffentlicht unter: https://www.taxdome.com/de-at/policies/sub-processors/.

2.3 Um jeden Zweifel auszuschließen, stellt die vorstehende Genehmigung zur Beauftragung von Unterauftragsverarbeitern die vorherige schriftliche Zustimmung des Kunden zur Unterauftragsverarbeitung durch TaxDome im Sinne von Ziffer 9 der Standardvertragsklauseln dar.

3. Kundenverpflichtungen und TaxDome’s Unterstützung

3.1 Der Kunde gewährleistet, dass er über alle erforderlichen Rechte verfügt, um TaxDome die personenbezogenen Daten zur Verarbeitung im Zusammenhang mit der Erbringung der TaxDome-Dienstleistungen zur Verfügung zu stellen.

3.2 Soweit dies nach geltendem Recht erforderlich ist, ist der Kunde dafür verantwortlich, dass die für diese Verarbeitung erforderlichen Einwilligungen der betroffenen Personen eingeholt werden und dass diese Einwilligungen, einschließlich der von Dritten eingeholten Einwilligungen in die Nutzung personenbezogener Daten, aufbewahrt werden. Sollte eine solche Einwilligung von einer betroffenen Person widerrufen werden, ist der Kunde dafür verantwortlich, TaxDome über den Widerruf zu informieren, und TaxDome ist weiterhin dafür verantwortlich, die Anweisungen des Kunden in Bezug auf die weitere Verarbeitung dieser personenbezogenen Daten umzusetzen, bzw. in Übereinstimmung mit den rechtlichen Verpflichtungen von TaxDome.

3.3 Der Kunde versteht, dass er als für die Verarbeitung Verantwortlicher (im Verhältnis zwischen Kunde und TaxDome) verantwortlich ist für:

3.3.1 die Rechtmäßigkeit der Verarbeitung zu bestimmen, alle erforderlichen Datenschutz-Folgenabschätzungen durchzuführen und den Aufsichtsbehörden und Einzelpersonen gegenüber Rechenschaft abzulegen, falls dies erforderlich ist;

3.3.2 angemessene Anstrengungen unternehmen, um die Zustimmung der Eltern zu überprüfen, wenn Daten über eine betroffene Person unter 16 Jahren erhoben werden;

3.3.3 die Bereitstellung relevanter Datenschutzhinweise für die betroffenen Personen, wie sie in Ihrer Gerichtsbarkeit vorgeschrieben sind, einschließlich der Bekanntgabe ihrer Rechte und der Bereitstellung von Mechanismen, mit denen Einzelpersonen diese Rechte ausüben können;

3.3.4 die Beantwortung von Anfragen natürlicher Personen zu ihren Daten und deren Verarbeitung, einschließlich Anfragen zur Änderung, Korrektur oder Löschung personenbezogener Daten, sowie die Bereitstellung von Kopien der tatsächlich verarbeiteten Daten;

3.3.5 Ihre eigenen angemessenen technischen und organisatorischen Maßnahmen zu ergreifen, um eine Verarbeitung in Übereinstimmung mit dieser DSGVO sicherzustellen und nachzuweisen;

3.3.6 die Benachrichtigung von Einzelpersonen und relevanten Regulierungsbehörden über jeden Vorfall, wie es in Ihrer Gerichtsbarkeit gesetzlich vorgeschrieben sein kann.

3.4 TaxDome unterstützt den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies vernünftigerweise und wirtschaftlich möglich ist, bei der Erfüllung der Verpflichtungen des Kunden, auf Anfragen von Einzelpersonen zur Ausübung ihrer Rechte gemäß der DSGVO zu reagieren.

3.5 TaxDome unterstützt den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies vernünftigerweise und wirtschaftlich möglich ist, um die Einhaltung der Artikel 32 bis 36 (einschließlich) der DSGVO sicherzustellen.

3.6 TaxDome wird jährlich eine unabhängige Prüfung seiner Code-Basis und Systeme durch unabhängige Dritte veranlassen, um die Einhaltung seiner Verpflichtungen aus dieser DPA nachzuweisen. Auf Anfrage des Kunden und vorbehaltlich der Vertraulichkeitsverpflichtungen stellt TaxDome dem Kunden die Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung der Verpflichtungen von TaxDome im Rahmen dieser DPA nachzuweisen. Auf schriftliche Anfrage wird TaxDome dem Kunden zumindest eine Zusammenfassung aller Prüfungsberichte Dritter über die Angemessenheit der technischen Sicherheitsmaßnahmen von TaxDome, wie sie in der Sicherheitspolitik beschrieben sind, vorlegen.

4. Vorfall-Management

4.1 Wenn eine der Parteien von einem Vorfall erfährt, der sich auf die Verarbeitung personenbezogener Daten auswirkt, benachrichtigt sie die andere Partei unverzüglich über den Vorfall und kooperiert in angemessener Weise, um die andere Partei in die Lage zu versetzen, eine gründliche Untersuchung des Vorfalls durchzuführen, eine korrekte Reaktion zu formulieren und geeignete weitere Schritte in Bezug auf den Vorfall zu unternehmen.

4.2 Beide Parteien müssen jederzeit über schriftliche Verfahren verfügen, die es ihnen ermöglichen, die andere Partei unverzüglich über einen Vorfall zu informieren. Wenn der Vorfall nach geltendem Recht wahrscheinlich eine Benachrichtigung über eine Datenverletzung erfordert, benachrichtigt die für den Vorfall verantwortliche Partei die andere Partei unverzüglich, nachdem sie von einem solchen Vorfall Kenntnis erlangt hat.

4.3 Alle Meldungen, die gemäß diesem Abschnitt gemacht werden, sind an help@taxdome.com (wenn sie an TaxDome gemacht werden) und an unsere Kontaktstelle mit Ihnen (wenn sie an den Kunden gemacht werden) zu richten und müssen enthalten: (i) eine Beschreibung der Art des Vorfalls, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze; (ii) den Namen und die Kontaktdaten der Kontaktstelle, bei der weitere Informationen eingeholt werden können; (iii) eine Beschreibung der wahrscheinlichen Folgen des Vorfalls; und (iv) eine Beschreibung der Maßnahmen, die ergriffen wurden oder ergriffen werden sollen, um den Vorfall zu beheben, einschließlich, soweit zutreffend, Maßnahmen zur Abschwächung seiner möglichen nachteiligen Auswirkungen.

5. Haftung und Entschädigung

5.1 Die Haftung jeder Partei gegenüber der anderen Partei im Rahmen oder in Verbindung mit dieser DPA ist gemäß den Bestimmungen der AGB beschränkt.

5.2 Der Kunde erkennt an, dass TaxDome hinsichtlich des Umfangs, in dem TaxDome berechtigt ist, die personenbezogenen Daten des Kunden im Namen des Kunden bei der Erbringung der Dienstleistungen zu verarbeiten, auf die Weisung des Kunden angewiesen ist. Folglich haftet TaxDome im Rahmen der AGB nicht für Ansprüche, die von einer betroffenen Person aufgrund von Handlungen oder Unterlassungen von TaxDome geltend gemacht werden, soweit diese Handlungen oder Unterlassungen auf Anweisungen des Kunden oder darauf zurückzuführen sind, dass der Kunde seinen Verpflichtungen nach dem geltenden Datenschutzrecht nicht nachgekommen ist.

6. Dauer und Beendigung

6.1 Diese DPA tritt am 1. Januar 2022 in Kraft und gilt so lange, bis sie in Übereinstimmung mit den AGB geändert oder gekündigt wird.

6.2 Die Beendigung oder das Auslaufen dieser DPA entbindet die Parteien nicht von den hierin enthaltenen Geheimhaltungspflichten.

7. Internationale Datenübertragungen

7.1 Standorte des Rechenzentrums. Der Kunde erkennt an, dass TaxDome personenbezogene Daten in die Vereinigten Staaten und an jeden anderen Ort der Welt, an dem TaxDome, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Datenverarbeitungsprozesse unterhalten, übertragen und verarbeiten kann. TaxDome stellt zu jeder Zeit sicher, dass solche Übertragungen in Übereinstimmung mit den Anforderungen der Datenschutzgesetze durchgeführt werden.

7.2 Europäische Datenübermittlung. Soweit TaxDome ein Empfänger personenbezogener Daten ist, die durch EU-Datenschutzgesetze geschützt sind (“EU-Daten”), vereinbaren die Parteien, dass TaxDome die unten aufgeführten Mechanismen zur Verfügung stellt:

7.2.1 SCCs: TaxDome verpflichtet sich zur Einhaltung und Verarbeitung von EU-Daten in Übereinstimmung mit den SCCs, die in vollem Umfang durch Verweis aufgenommen werden und einen integralen Bestandteil dieser DPA bilden. Für die Zwecke der SCCs:

7.2.1.1 TaxDome erklärt sich damit einverstanden, dass TaxDome der “Datenimporteur” und der Kunde der “Datenexporteur” im Rahmen der SCCs ist (ungeachtet dessen, dass der Kunde selbst ein Unternehmen mit Sitz außerhalb der EU sein kann);

7.2.1.2 Anhang B enthält die SCCs und die dazugehörigen Anhänge Die Parteien vereinbaren ferner, dass die SCCs für personenbezogene Daten gelten, die über den Dienst von Europa an ein Land oder einen Empfänger außerhalb Europas übertragen werden, entweder direkt oder im Wege der Weiterübermittlung: (a) das von der Europäischen Kommission nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie im EU-Datenschutzgesetz beschrieben)

7.2.2 Wenn und soweit die Standardvertragsklauseln (sofern zutreffend) mit einer Bestimmung dieser DPA in Konflikt stehen, haben die Standardvertragsklauseln im Ausmaß des Konflikts Vorrang.

Rechtsprechungsspezifische Begriffe

1. Soweit TaxDome personenbezogene Daten verarbeitet, die aus einer der in Anhang A aufgeführten Gerichtsbarkeiten stammen und durch Datenschutzgesetze geschützt sind, gelten zusätzlich zu den Bestimmungen dieser DPA die in Anhang A aufgeführten Bestimmungen in Bezug auf die anwendbare(n) Gerichtsbarkeit(en) (“Gerichtsbarkeits-spezifische Bestimmungen”). Im Falle eines Konflikts oder einer Unklarheit zwischen den rechtsprechungsspezifischen Bedingungen und anderen Bedingungen dieser DPA haben die anwendbaren rechtsprechungsspezifischen Bedingungen Vorrang, jedoch nur in dem Umfang, in dem die rechtsprechungsspezifischen Bedingungen für TaxDome anwendbar sind.

Anhang A – Rechtsprechungsspezifische Begriffe

Brasilien

1. Mit dem Inkrafttreten des brasilianischen Allgemeinen Datenschutzgesetzes, Lei Geral de Proteção de Dados (“LGPD”), gilt Folgendes: Jede Partei ist dafür verantwortlich, ihre jeweiligen in der LGPD festgelegten Verpflichtungen zu erfüllen, und der Kunde wird nur Verarbeitungsanweisungen gemäß Abschnitt 1 (Verpflichtungen in Bezug auf personenbezogene Daten) der DPA erteilen, die es TaxDome ermöglichen, seine LGPD-Verpflichtungen zu erfüllen. Für die Zwecke von Abschnitt 7 (Internationale Datenübertragungen) werden die Standardvertragsklauseln für Übertragungen in nicht adäquate Länder gemäß der DSGVO verwendet.

Kalifornien

1. Die Definitionen von: “für die Verarbeitung Verantwortlicher” schließt “Unternehmen” ein; “Verarbeiter” schließt “Dienstleister” ein; “betroffene Person” schließt “Verbraucher” ein; “personenbezogene Daten” schließt “persönliche Informationen” ein; jeweils wie unter CCPA definiert.

2. “Verarbeiten”, “Verarbeitet” oder “Verarbeitung” bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an persönlichen Daten oder an Gruppen von persönlichen Daten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht.

3. Die in Abschnitt 3(d) und 3(e) (Rechte der betroffenen Person und Zusammenarbeit) dieser DPA beschriebenen Verpflichtungen von TaxDome in Bezug auf Anfragen der betroffenen Person gelten für die Rechte des Verbrauchers gemäß dem CCPA.

4. Ungeachtet anderslautender Bestimmungen sind die persönlichen Daten des Kunden die persönlichen Daten, die TaxDome im Namen des Kunden im Rahmen der Vereinbarung verarbeitet. TaxDome darf die persönlichen Daten des Kunden ausschließlich zum Zweck der Erfüllung seiner Verpflichtungen aus dem Vertrag verarbeiten und darf die persönlichen Daten des Kunden ohne ausdrückliche schriftliche Zustimmung des Kunden nicht für andere Zwecke verwenden. TaxDome wird insbesondere nicht: (i) die persönlichen Daten des Kunden, wie im CCPA definiert, verkaufen oder die persönlichen Daten des Kunden ohne die Zustimmung des Kunden an Dritte weitergeben; (ii) die persönlichen Daten des Kunden für andere als die in dieser Vereinbarung genannten Zwecke aufbewahren, nutzen oder offenlegen, einschließlich der Aufbewahrung, Nutzung oder Offenlegung der persönlichen Daten des Kunden für einen anderen kommerziellen Zweck als die Erbringung seiner Dienstleistungen für den Kunden; und (iii) die persönlichen Daten des Kunden außerhalb der Geschäftsbeziehung zwischen TaxDome und dem Kunden aufbewahren, nutzen oder offenlegen. Die Parteien erkennen an, dass eine Offenlegung der persönlichen Daten des Kunden gemäß der Vereinbarung keinen Wert im Rahmen der Vereinbarung darstellt.

5. TaxDome erfüllt bei der Erfüllung seiner Verpflichtungen aus dem Vertrag alle anwendbaren Anforderungen des CCPA, einschließlich der Umsetzung und Aufrechterhaltung angemessener Sicherheitsmaßnahmen, die der Art der personenbezogenen Daten angemessen sind, um die personenbezogenen Daten des Kunden vor unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen. TaxDome verpflichtet sich, jeglichen Schaden zu ersetzen, den eine Person aufgrund einer Verarbeitung erleidet, die unter Verletzung seiner gesetzlichen, behördlichen und vertraglichen Verpflichtungen erfolgt, es sei denn, TaxDome weist nach, dass es für einen solchen Schaden nicht haftbar ist.

6. TaxDome kann personenbezogene Daten im Rahmen der Erbringung der in dieser DPA und der Vereinbarung genannten Dienstleistung de-identifizieren oder aggregieren.

7. Wenn Unterauftragsverarbeiter die personenbezogenen Daten unserer Kunden verarbeiten, ergreift TaxDome Maßnahmen, um sicherzustellen, dass es sich bei diesen Unterauftragsverarbeitern um Dienstleister im Sinne des CCPA handelt, mit denen TaxDome einen schriftlichen Vertrag abgeschlossen hat, der im Wesentlichen ähnliche Bedingungen wie dieser DPA enthält, oder die anderweitig von der CCPA-Definition des “Verkaufs” ausgenommen sind. TaxDome führt eine angemessene Due Diligence bei seinen Unterverarbeitern durch.

Kanada

1. TaxDome ergreift Maßnahmen, um sicherzustellen, dass die Unterverarbeiter von TaxDome, wie in Abschnitt 2 der DPA beschrieben, Dritte im Sinne des PIPEDA sind, mit denen TaxDome einen schriftlichen Vertrag abgeschlossen hat, der im Wesentlichen ähnliche Bedingungen wie diese DPA enthält. TaxDome führt eine angemessene Due-Diligence-Prüfung seiner Unterauftragsverarbeiter durch.

2. TaxDome wird angemessene Sicherheitsmaßnahmen einführen und aufrechterhalten, die der Art der persönlichen Daten entsprechen, wie in Abschnitt 1 der DPA dargelegt.

Serbien

1. Gesetz zum Schutz personenbezogener Daten (Zakon o zaštiti podataka o ličnosti; Amtsblatt der Republik Serbien, Nr. 87/2018).

Vereinigtes Königreich

1. Die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019, in der geänderten, ersetzten oder ersetzten Fassung, sobald sie in Kraft treten, und das UK Data Protection Act 2018.

Anhang B – Standardvertragsklauseln (Verarbeiter)

Abschnitt 1

Klausel 1

Zweck und Umfang

1. Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland sicherzustellen.

2. Die Parteien:

a. die natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (nachstehend “Stelle(n)” genannt), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (nachstehend jeweils “Datenexporteur” genannt), und

b. die Einrichtung(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Einrichtung, die ebenfalls Vertragspartei dieser Klauseln ist und in Anhang I.A aufgeführt ist, erhält/erhalten (nachstehend jeweils “Datenimporteur”)

3. den vorliegenden Standardvertragsklauseln (im Folgenden: “Klauseln”) zugestimmt haben.

4. Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie in Anhang I.B angegeben.

5. Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist integraler Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

1. Diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 (1) und Artikel 46 (2)© der Verordnung (EU) 2016/679 und, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 (7) der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, es sei denn, um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

1. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:

a. Paragraf 1, Paragraf 2, Paragraf 3, Paragraf 6, Paragraf 7;

b. Klausel 8.1(b), 8.9(a), (c), (d) und (e);

c. Klausel 9(a), (c), (d) und (e);

d. Klausel 12(a), (d) und (f);

e. Klausel 13;

f. Klausel 15.1(c), (d) und (e);

g. Klausel 16(e);

h. Klausel 18(a) und (b).

2. Absatz (a) gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4

Auslegung

1. Wo in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.

Klausel 5

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der damit zusammenhängenden Verträge zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, für den/die sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7 – Fakultativ

Andockklausel

1. Ein Unternehmen, das nicht Vertragspartei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit beitreten, entweder als Datenexporteur oder als Datenimporteur, indem es die Anlage ausfüllt und Anhang I.A unterzeichnet.

2. Sobald sie die Anlage ausgefüllt und Anhang I.A unterzeichnet hat, wird die beitretende Einrichtung Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.

3. Der beitretende Rechtsträger hat keine Rechte und Pflichten, die sich aus diesen Klauseln aus der Zeit vor seinem Beitritt zur Partei ergeben.

Abschnitt 2 – Verpflichtungen der Vertragsparteien

Klausel 8

Datenschutzgarantien

Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch geeignete technische und organisatorische Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.

8.1 Anweisungen

1. Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Laufzeit des Vertrags erteilen.

2. Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er nicht in der Lage ist, diese Anweisungen zu befolgen.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anhang I.B, es sei denn, der Datenexporteur erteilt weitere Anweisungen.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person unentgeltlich eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel berührt nicht die Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.

8.4 Genauigkeit

Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln gewährleisten. Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach dem jeweiligen örtlichen Gesetz erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14(e), den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Bestimmungen unterliegt oder unterlegen ist, die nicht mit den Anforderungen gemäß Klausel 14(a) übereinstimmen.

8.6 Sicherheit der Verarbeitung

1. Der Datenimporteur und bei der Übermittlung auch der Datenexporteur ergreift geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf diese Daten führt (im Folgenden: “Verletzung des Schutzes personenbezogener Daten”). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, den Kontext und den/die Zweck/e der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen. Die Vertragsparteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Der Datenimporteur kommt seinen Verpflichtungen aus diesem Absatz nach, indem er zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen durchführt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.

2. Der Datenimporteur gewährt seinen Mitarbeitern Zugang zu den personenbezogenen Daten nur in dem Umfang, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3. Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Milderung ihrer negativen Auswirkungen. Der Datenimporteur benachrichtigt auch den Datenexporteur ohne unangemessene Verzögerung, nachdem er von der Verletzung erfahren hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Folgen. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig zu übermitteln, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.

4. Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7 Sensible Daten

Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (nachstehend “sensible Daten”), so wendet der Datenimporteur die in Anhang I.B beschriebenen besonderen Beschränkungen und/oder zusätzlichen Garantien an.

8.8 Weitergehende Überweisungen

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur dann an einen Dritten weitergegeben werden, der sich außerhalb der Europäischen Union befindet (in demselben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden “Weitergabe”), wenn der Dritte an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, , unter dem entsprechenden Modul, oder wenn:

1. die Weiterübermittlung in ein Land erfolgt, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt;

2. der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

3. die Weitergabe für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich ist; oder

4. die Weitergabe ist erforderlich, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weitergabe unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Einhaltung der Vorschriften

1. Der Datenimporteur ist verpflichtet, Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen zu beantworten.

2. Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

3. Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Wunsch des Datenexporteurs in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.

4. Der Datenexporteur kann wählen, ob er das Audit selbst durchführt oder einen unabhängigen Prüfer beauftragt. Die Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

5. Die Vertragsparteien stellen der zuständigen Aufsichtsbehörde auf Anfrage die in den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

1. ALLGEMEINE SCHRIFTLICHE ERMÄCHTIGUNG Der Datenimporteur verfügt über die allgemeine Erlaubnis des Datenexporteurs zur Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur mindestens zehn (10) Tage im Voraus schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern, so dass der Datenexporteur genügend Zeit hat, vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.

2. Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies im Rahmen eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, die den Datenimporteur gemäß diesen ACTIVE/110240378.1 7 Klauseln binden, einschließlich der Rechte von Drittbegünstigten für betroffene Personen. 1 Die Parteien sind sich einig, dass der Datenimporteur mit der Einhaltung dieser Klausel seine Verpflichtungen aus Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

3. Der Datenimporteur stellt dem Datenexporteur auf dessen Anfrage eine Kopie einer solchen Vereinbarung mit einem Unterauftragsverarbeiter und alle späteren Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.

4. Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur meldet dem Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

5. Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, nach der der Datenexporteur – für den Fall, dass der Datenimporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent ist – das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte der betroffenen Person

1. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.

2. Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, durch die die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

3. Bei der Erfüllung seiner Verpflichtungen gemäß den Buchstaben a und b hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

Klausel 11

Abhilfe

1. Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch eine individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.

2. Im Falle eines Rechtsstreits zwischen einer betroffenen Person und einer der Vertragsparteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Vertragspartei nach besten Kräften um eine rechtzeitige gütliche Beilegung der Angelegenheit. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls ACTIVE/110240378.1 8 bei deren Beilegung zusammen.

a. eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem er seinen gewöhnlichen Aufenthalt oder seinen Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einreichen;

b. den Streitfall an die zuständigen Gerichte im Sinne von Artikel 18 verweisen.

3. Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person, dies zu tun:

4. Die Parteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

5. Der Datenimporteur muss sich an eine Entscheidung halten, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.

6. Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte auf Einlegung von Rechtsmitteln gemäß den geltenden Gesetzen nicht beeinträchtigt.

Klausel 12

Haftung

1. Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.

2. Der Datenimporteur haftet gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Entschädigung für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt.

3. Ungeachtet des Absatzes (b) haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, falls der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.

4. Die Parteien vereinbaren, dass der Datenexporteur, wenn er gemäß Absatz (c) für Schäden haftbar gemacht wird, die durch den Datenimporteur (oder seinen Unterauftragsverarbeiter) verursacht wurden, berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

5. Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.

6. Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (e) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

7. Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

Klausel 13

Beaufsichtigung

1. Wenn der Datenexporteur seinen Sitz in einem EU-Mitgliedstaat hat: Die Aufsichtsbehörde, die für die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung verantwortlich ist, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde.
Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde. Als zuständige Aufsichtsbehörde fungiert die in Anhang I.C angegebene Aufsichtsbehörde eines der Mitgliedstaaten, in dem die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, ansässig sind.

2. Der Datenimporteur erklärt sich damit einverstanden, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit dieser in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten. Insbesondere verpflichtet sich der Datenimporteur, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er muss der Aufsichtsbehörde schriftlich bestätigen, dass die erforderlichen Maßnahmen ergriffen worden sind.

Abschnitt 3 – Lokale Gesetze und Verpflichtungen im Falle eines Zugriffs durch öffentliche Stellen

Klausel 14

Lokale Gesetze und Richtlinien, die sich auf die Einhaltung der Klauseln auswirken

1. Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Richtlinien im Bestimmungsdrittland, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden ermöglichen, den Datenimporteur daran hindern, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen. Dies beruht auf dem Verständnis, dass Gesetze und Richtlinien, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23(1) der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.

2. Die Vertragsparteien erklären, dass sie bei der Abgabe der unter Buchstabe a) genannten Garantie insbesondere die folgenden Elemente gebührend berücksichtigt haben:

a. die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;

b. die Gesetze und Bestimmungen des Bestimmungsdrittlandes – einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugriff durch solche Behörden erlauben -, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien;

c. alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich der Maßnahmen, die bei der Übertragung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.

3. Der Datenimporteur garantiert, dass er sich bei der Durchführung der Bewertung gemäß Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen

4. Die Parteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

5. Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Richtlinien unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Absatz (a) übereinstimmen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie z.B. einer Aufforderung zur Offenlegung), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen in Absatz (a) übereinstimmt.

6. Nach einer Meldung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, bestimmt der Datenexporteur unverzüglich geeignete Maßnahmen (z.B. technische oder organisatorische Maßnahmen zur Gewährleistung von Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 16 (d) und (e).

Klausel 15

Pflichten des Datenimporteurs im Falle eines Zugriffs durch öffentliche Behörden

15.1 Benachrichtigung

1. Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen (gegebenenfalls mit Hilfe des Datenexporteurs), wenn er:

a. ein rechtsverbindliches Ersuchen einer Behörde, einschließlich Justizbehörden, nach dem Recht des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Mitteilung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder

b. von einem direkten Zugriff öffentlicher Stellen auf personenbezogene Daten erfährt, die gemäß den Gesetzen des Bestimmungslandes gemäß diesen Klauseln übermittelt wurden; diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.

2. Falls es dem Datenimporteur nach den Gesetzen des Bestimmungslandes untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften zu bemühen, eine Befreiung von diesem Verbot zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.

3. Soweit nach den Gesetzen des Bestimmungslandes zulässig, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere die Anzahl der Ersuchen, die Art der angeforderten Daten, die ersuchende(n) Behörde(n), die Frage, ob Ersuchen angefochten wurden und das Ergebnis dieser Anfechtungen usw.).

4. Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen a) bis c) für die Dauer des Vertrags aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

5. Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14 (e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

1. Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsantrags zu überprüfen, insbesondere ob er sich im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bewegt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass der Antrag nach den Gesetzen des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Rechtsverkehrs unrechtmäßig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können. Bei der Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat. Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen berühren nicht die Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).

2. Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Bewertung und jede Anfechtung des Auskunftsersuchens zu dokumentieren und, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist, dem Datenexporteur die Dokumentation zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

3. Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsantrags das zulässige Minimum an Informationen bereitzustellen, das auf einer angemessenen Auslegung des Antrags beruht.

Abschnitt 4 – Schlussbestimmungen

Klausel 16

Nichteinhaltung der Klauseln und Kündigung

1. Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.

2. Für den Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag gekündigt wird. Dies gilt unbeschadet der Klausel 14(f).

3. Der Datenexporteur hat das Recht, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

a. der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

b. der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder

c. der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen gemäß diesen Klauseln nicht nachkommt.

4. In diesen Fällen unterrichtet er die zuständige Aufsichtsbehörde über diese Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.

5. Personenbezogene Daten, die vor der Beendigung des Vertragsverhältnisses gemäß Absatz (c) übermittelt wurden, werden nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückgegeben oder vollständig gelöscht. Das Gleiche gilt für etwaige Kopien der Daten. Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen. Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach dem jeweiligen örtlichen Gesetz erforderlich ist.

6. Jede Partei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45(3) der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten abdeckt, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Geltendes Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht von Irland ist.

Klausel 18

Wahl des Gerichtsstands und der Gerichtsbarkeit

1. Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedsstaates entschieden

2. Die Parteien vereinbaren, dass dies die Gerichte Irlands sein sollen.

3. Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder Datenimporteur erheben.

4. Die Parteien verpflichten sich, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen

Anhang

Anhang I

A. Liste der Parteien

	DATENEXPORTEUR (KUNDE)	DATENIMPORTEUR (TAXDOME)
NAME DES UNTERNEHMENS		TaxDome, LLC
ADRESSE		1178 Broadway, New York, NY 10001
NAME, POSITION UND KONTAKTDATEN DER KONTAKTPERSON		Victor Radzinsky, CEOdpo@taxdome.com
UNTERSCHRIFT UND DATUM:
Position:	Controller	Bearbeiter

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe Anhang I.B

B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

Die persönlichen Daten betreffen die Endbenutzer unserer Kunden.

Kategorien der übermittelten personenbezogenen Daten

Die TaxDome-Plattform richtet sich an eine breite Kunden- und Endnutzerbasis, die sich über das gesamte Spektrum der Branchen erstreckt. TaxDome hat keine Kontrolle über die Inhalte, die die Endnutzer unserer Kunden durch die Nutzung unseres Tools übermitteln, und schränkt diese auch nicht ein. In Anbetracht dessen, der Art des Produkts und TaxDomes Rolle als Verarbeiter ist es nicht möglich, eine absolute Liste der aufgenommenen und verarbeiteten Datenkategorien zu erstellen. TaxDome verarbeitet unter anderem folgende Daten: Name, Alter, Geschlecht, Familienstand, Adresse, Bildungsstand, Lebensstil und Gewohnheiten, IP-Adresse und Standortdaten, Kundenzufriedenheit, Beruf, Beschäftigungsstatus, Nutzungsdaten und Bildaufnahmen (Digitalfotos oder Videos).

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z.B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die ein spezielles Training absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.

TaxDome verarbeitet Daten, die unter anderem die folgenden besonderen Datenkategorien umfassen können: Gesundheitsdaten, genetische Daten, rassische und ethnische Herkunft, sexuelle Orientierung und/oder Gewohnheiten, politische Meinung, religiöse Zugehörigkeit oder Überzeugungen, nicht-politische oder nicht-gewerkschaftliche Mitgliedschaften, strafrechtliche Verurteilungen und Straftaten.

Die Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Personenbezogene Daten werden kontinuierlich erfasst.

Art der Verarbeitung

Personenbezogene Daten werden durch die alltägliche Nutzung der Plattform erfasst. Die Daten können durch manuelle Eingaben der Kunden von TaxDome oder auf automatisierte Weise durch die Protokollsammlungen auf der Plattform aufgenommen werden. Die Daten werden in der Produktionsdatenbank von TaxDome gespeichert.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Personenbezogene Daten werden zum Zweck der Bereitstellung des TaxDome-Dienstes und der Unterstützung der TaxDome-Website und der Plattformdienste verarbeitet.

den Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird

Der Gegenstand und die Dauer der Verarbeitung der personenbezogenen Daten sind in den Allgemeinen Geschäftsbedingungen festgelegt.

Bei Übermittlungen an (Unter-)Verarbeiter geben Sie auch Gegenstand, Art und Dauer der Verarbeitung an

TaxDome nutzt die Unterauftragsverarbeiter, die Sie online unter www.taxdome.com/de-at/policies/sub-processors/ finden, wenn sie ihren Kunden Dienstleistungen erbringen. In der Liste sind der Gegenstand und die Art der von den Unterauftragsverarbeitern von TaxDome durchgeführten Verarbeitungstätigkeiten sowie der anwendbare Datenübertragungsmechanismus aufgeführt.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Nennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13

Standort des Datenexporteurs/des EU-Vertreters des Datenexporteurs/des größten Kundenstamms des Datenexporteurs

Anhang II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

Beschreibung der von dem/den Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

Die technischen und organisatorischen Maßnahmen von TaxDome zum Schutz der personenbezogenen Daten, die außerhalb des EWR in ein nicht adäquates Land übertragen werden, sind veröffentlicht und verfügbar unter: https://www.taxdome.com/de-at/policies/security/