Live-Demo Registrieren Sie sich für das Demo
Close Video
Close Form

Geben Sie die Website-URL ein

Änderung der Datenverarbeitung

Einführung in diese Änderung

Die sichere, faire und transparente Verarbeitung personenbezogener Daten ist für uns bei TaxDome äußerst wichtig. Als Teil dieser Bemühungen verarbeiten wir personenbezogene Daten in Übereinstimmung mit den EU-Datenschutzgesetzen, einschließlich der Allgemeinen Datenschutzverordnung der EU («GDPR»), und dem United Kingdom (UK) Data Protection Act 2018, soweit anwendbar. Wir verarbeiten personenbezogene Daten auch in Übereinstimmung mit Nicht-EU-Datenschutzgesetzen, die den Umgang mit verschiedenen Arten von personenbezogenen Daten regeln, darunter der California Consumer Privacy Act (CCPA), der Health Insurance Portability and Accountability Act (HIPAA) und die Payment Card Industry Compliance (PCI).

Um personenbezogene Daten besser zu schützen, stellen wir diese Bedingungen zur Verfügung, die den Umgang von TaxDome und Ihnen mit personenbezogenen Daten regeln (die «Änderung der Datenverarbeitung» oder «DPA»). Diese DPA ist Teil der Allgemeinen Geschäftsbedingungen (AGB) und ändert diese und erfordert keine weiteren Maßnahmen Ihrerseits.

Wenn Sie dieser DPA nicht zustimmen, können Sie die Nutzung von dem TaxDome-Dienst einstellen und Ihr Konto kündigen.

Definitionen

Es ist wichtig, dass alle Parteien verstehen, welche Daten und wessen Daten im Rahmen dieser DSGVO geschützt sind. Jede Partei hat entsprechende Verpflichtungen zum Schutz personenbezogener Daten; daher erklären die folgenden Definitionen den Geltungsbereich dieser DSGVO und die gegenseitigen Verpflichtungen zum Schutz personenbezogener Daten.

«TaxDome», «wir»«uns», oder  «unser» bezieht sich auf den Anbieter von der TaxDome Website und Dienstleistungen, (zusammenfassend bezeichnet als der«TaxDome Service. »).

«Sie» oder «Kunde» bezieht sich auf das Unternehmen oder die Organisation, die sich für die Nutzung des TaxDome Service anmeldet, um die Beziehungen zu Ihren Verbrauchern oder Dienstleistungsnehmern zu verwalten.

«Partei» bezieht sich auf TaxDome und/oder den Kunden, je nach dem Kontext.

«Personal» bezieht sich auf jene Personen, die  angestellt sind oder unter Vertrag stehen, um eine Dienstleistung im Namen einer der Parteien zu erbringen. Mitarbeiter können Rechte an ihren persönlichen Daten (einschließlich geschäftlicher Kontaktinformationen) haben, wenn sie in der EU ansässig sind. Es ist wichtig, sich darüber im Klaren zu sein, wie die Rechte der Mitarbeiter geschützt werden.

« Unterauftragsverarbeiter» ist ein Dritter, unabhängiger Auftragnehmer, Verkäufer und Lieferant, der bestimmte Dienstleistungen und Produkte im Zusammenhang mit  der TaxDome-Website und unseren Dienstleistungen, wie z.B. Hosting, Kreditkartenabwicklung und Betrugsprüfung, und Mailinglisten-Hosting («Drittanbieter» oder «externer Auftragnehmer» haben ähnliche Bedeutungen).

« Vorfall» bedeutet: (a) eine Beschwerde oder ein Ersuchen in Bezug auf die Ausübung der Rechte einer Person’gemäß der GDPR; (b) eine Untersuchung oder  Beschlagnahme der personenbezogenen Daten durch Regierungsbeamte oder ein konkreter Hinweis, dass eine solche Untersuchung oder Beschlagnahme unmittelbar bevorsteht; oder ©  ein Verstoß gegen die Sicherheit und/oder Vertraulichkeit, wie in dieser DPA dargelegt, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf die personenbezogenen Daten führt, oder ein Hinweis darauf, dass ein solcher Verstoß stattgefunden hat oder bevorsteht.

Die Begriffe «Betroffene Person», «Personenbezogene Daten», «Mitgliedstaat», «Verantwortlicher» , «Verarbeiter» und «Verarbeitung» haben dieselbe Bedeutung wie in der Datenschutz-Grundverordnung, und die entsprechenden Begriffe sind entsprechend auszulegen.

‘Datenschutzgesetz’ bezeichnet alle anwendbaren Rechtsvorschriften zum Datenschutz und zum Schutz der Privatsphäre, einschließlich, aber nicht beschränkt auf die DSGVO, zusammen mit allen nationalen Umsetzungsgesetzen in  jedem Mitgliedstaat der Europäischen Union oder, soweit anwendbar, in jedem anderen Land, in der jeweils geänderten, aufgehobenen, konsolidierten oder ersetzten Fassung

«SCCs» bezieht sich auf die Standardvertragsklauseln für Auftragsverarbeiter, wie von der Europäischen Kommission oder der Schweizerischen Eidgenössischen Datenschutzbehörde (wie anwendbar) genehmigt.

Aus Gründen der Lesbarkeit verzichten wir in dieser DPA auf die Großschreibung von definierten Begriffen. Definierte Begriffe sind definierte Begriffe, unabhängig von ihrem Format.

  • 1. Verpflichtungen in Bezug auf personenbezogene Daten

    • Jede Partei stimmt zu, dass personenbezogene Daten im Rahmen dieser DPA als vertrauliche Informationen behandelt werden. Darüber hinaus wird jede Partei zu jeder Zeit die geltenden Gesetze zum Datenschutz in der jeweiligen Rechtsordnung in Bezug auf die personenbezogenen Daten der anderen Partei einhalten.
    • Personenbezogene Daten bleiben das Eigentum der offenlegenden Partei. TaxDome erkennt an, dass der Kunde der für die Verarbeitung Verantwortliche ist und die Kontrolle über die personenbezogenen Daten der betroffenen Person behält.
    • TaxDome wird die personenbezogenen Daten des Kunden nur in dem Umfang verarbeiten, der für die Erbringung der Dienstleistungen gemäß den AGB und etwaigen weiteren schriftlichen Anweisungen des Kunden, die schriftlich vereinbart wurden, unbedingt erforderlich ist. Die Einzelheiten der Verarbeitung personenbezogener Daten gemäß Artikel 28(3) GDPR sind in Anhang B aufgeführt. TaxDome erklärt sich damit einverstanden:
      • ein angemessenes und geeignetes Sicherheitsprogramm einführen und aufrechterhalten, das adäquate Sicherheits-, technische und organisatorische Maßnahmen umfasst, um vor unbefugter, unrechtmäßiger oder versehentlicher Verarbeitung, Verwendung, Löschung, Verlust oder Zerstörung oder Beschädigung der persönlichen Daten des Kunden zu schützen;
      • TaxDome wird die persönlichen Daten seiner Kunden nicht modifizieren, verändern, löschen, veröffentlichen oder an Dritte weitergeben, noch Dritten erlauben, diese persönlichen Daten im Namen von TaxDome zu verarbeiten, es sei denn, der Dritte ist an ähnliche Vertraulichkeits- und Datenverarbeitungsbestimmungen gebunden;
      • TaxDome stellt sicher, dass der Zugriff auf personenbezogene Daten auf das Personal beschränkt ist, das diesen Zugriff benötigt, um seinen Verpflichtungen gemäß den Nutzungsbedingungen nachzukommen, und dass das Personal, das mit der Verarbeitung personenbezogener Daten befasst ist, über die Vertraulichkeit der personenbezogenen Daten informiert ist, eine angemessene Schulung über seine Verantwortlichkeiten erhalten hat und schriftliche Vertraulichkeitsvereinbarungen abgeschlossen hat. TaxDome stellt sicher, dass diese Vertraulichkeitsverpflichtungen auch nach Beendigung des Arbeitsverhältnisses bestehen; und
      • es personenbezogene Daten des Kunden nur in dem Umfang verarbeitet, der für die Erfüllung seiner Verpflichtungen gemäß den AGB, auf schriftliche Anweisung des Kunden (nur nach gegenseitiger Absprache) und in Übereinstimmung mit den geltenden Gesetzen erforderlich ist.
    • Bei Kündigung Ihres Kontos wird TaxDome alle personenbezogenen Daten löschen oder auf Wunsch des Kunden gemäß unserer Standardrichtlinien zur Datensicherung und -aufbewahrung gemäß den AGB zurückgeben, normalerweise nicht später als 90 Tage; spätestens 90 Tage, es sei denn, wir sind aufgrund von Gesetzen der Union, der Mitgliedstaaten oder der Vereinigten Staaten verpflichtet, personenbezogene Daten aufzubewahren; in diesem Fall behält sich TaxDome das Recht vor, personenbezogene Daten aufzubewahren.
    • Die Parteien erkennen an, dass Kunden von Zeit zu Zeit im Besitz von persönlichen Daten von Mitarbeitern von TaxDome im Zusammenhang mit der Nutzung des TaxDome-Dienstes sein können. TaxDome garantiert, dass es diesem Personal alle notwendigen Benachrichtigungen zukommen lässt und alle notwendigen Zustimmungen, Ermächtigungen, Genehmigungen und/oder Vereinbarungen eingeholt hat, die nach geltendem Recht erforderlich sind, um..: (i) die Weitergabe von personenbezogenen Daten des Personals von TaxDome an den Kunden in Verbindung mit der Nutzung des TaxDome-Dienstes durch den Kunden und (ii) die Weiterverarbeitung dieser personenbezogenen Daten von TaxDome durch den Kunden zum Zweck der Nutzung des TaxDome-Dienstes.
  • 2. Verpflichtungen in Bezug auf Unterauftragsverarbeiter

    • Die Parteien erkennen an, dass TaxDome in Verbindung mit den Verpflichtungen aus den AGB Dritte als Unterauftragsverarbeiter einsetzen kann. Für jeden Unterauftragsverarbeiter, mit dem TaxDome zusammenarbeitet, werden wir eine schriftliche Vereinbarung abschließen, die Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in dieser Änderung und die erforderlich sind, um die personenbezogenen Daten des Kunden gemäß dem von der Datenschutz-Grundverordnung geforderten Standard zu schützen.
    • TaxDome stellt den Kunden die aktuelle Liste der Unterauftragsverarbeiter zur Verfügung, indem diese Liste online unter: https://www.taxdome.com/policies/sub-processors/.
    • Zur Vermeidung von Zweifeln stellt die obige Genehmigung zur Beauftragung von Unterauftragsverarbeitern die vorherige schriftliche Zustimmung des Kunden zur Unterauftragsverarbeitung durch TaxDome im Sinne von Paragraph 9 der Standardvertragsklauseln dar.
  • 3. Verpflichtungen des Kunden und Unterstützung durch TaxDome’

    • Der Kunde garantiert, dass er über alle erforderlichen Rechte verfügt, um TaxDome die personenbezogenen Daten zur Verarbeitung im Zusammenhang mit der Erbringung der TaxDome-Dienstleistungen zur Verfügung zu stellen.
    • Soweit dies nach geltendem Recht erforderlich ist, ist der Kunde dafür verantwortlich, dass die für diese Verarbeitung erforderlichen Einwilligungen der betroffenen Person eingeholt werden und dass eine Aufzeichnung dieser Einwilligungen geführt wird, einschließlich der von Dritten eingeholten Einwilligungen in die Verwendung personenbezogener Daten. Sollte eine solche Zustimmung von einer betroffenen Person widerrufen werden, ist der Kunde dafür verantwortlich, TaxDome die Tatsache des Widerrufs mitzuteilen; und TaxDome bleibt verantwortlich für die Umsetzung jeglicher Anweisungen des Kunden in Bezug auf die weitere Verarbeitung dieser personenbezogenen Daten oder in Übereinstimmung mit den gesetzlichen Verpflichtungen von TaxDome.
    • Der Kunde versteht als Verantwortlicher, dass er/sie verantwortlich ist (zwischen Kunde und TaxDome) für:
      • Feststellung der Rechtmäßigkeit der Verarbeitung, Durchführung aller erforderlichen Datenschutz-Folgenabschätzungen und Rechenschaftslegung gegenüber Aufsichtsbehörden und Einzelpersonen, soweit dies erforderlich ist;
      • angemessene Anstrengungen zu unternehmen, um die Zustimmung der Eltern zu überprüfen, wenn Daten über eine Person unter 16 Jahren erhoben werden;
      • die Bereitstellung einschlägiger Datenschutzhinweise für die betroffenen Personen, wie sie in der jeweiligen Rechtsordnung vorgeschrieben sind, einschließlich der Bekanntgabe ihrer Rechte und der Bereitstellung von Mechanismen, mit denen Einzelpersonen diese Rechte ausüben können;
      • Beantwortung von Anfragen natürlicher Personen zu ihren Daten und deren Verarbeitung, einschließlich Anfragen zur Änderung, Berichtigung oder Löschung personenbezogener Daten und Bereitstellung von Kopien der tatsächlich verarbeiteten Daten;
      • Ihre eigenen angemessenen technischen und organisatorischen Maßnahmen zu ergreifen, um eine Verarbeitung im Einklang mit dieser Datenschutzrichtlinie zu gewährleisten und nachzuweisen;
      • Benachrichtigung von Einzelpersonen und allen relevanten Regulierungsbehörden oder Behörden über jeden Vorfall, wie nach dem Gesetz in Ihrer Gerichtsbarkeit erforderlich sein kann.
    • TaxDome unterstützt den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies im Rahmen des Möglichen und wirtschaftlich vertretbar ist, bei der Erfüllung der Verpflichtungen des Kunden zur Beantwortung von Anfragen von Einzelpersonen zur Ausübung ihrer Rechte gemäß der DSGVO.
    • TaxDome unterstützt den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies im Rahmen des Möglichen und wirtschaftlich vertretbar ist, um die Einhaltung der Artikel 32 bis 36 (einschließlich) der DSGVO zu gewährleisten.
    • TaxDome wird jährlich ein unabhängiges Audit seiner Codebasis und seiner Systeme durch unabhängige Dritte durchführen lassen, um die Einhaltung seiner Verpflichtungen aus dieser DPA nachzuweisen. Auf Anfrage des Kunden und vorbehaltlich der Vertraulichkeitsverpflichtungen stellt TaxDome dem Kunden die Informationen zur Verfügung, die für den Nachweis der Einhaltung der Verpflichtungen von TaxDome im Rahmen dieser DPA angemessen sind. Auf schriftliche Anfrage wird TaxDome dem Kunden zumindest eine Zusammenfassung aller Prüfungsberichte Dritter über die Angemessenheit der technischen Sicherheitsmaßnahmen von TaxDome, wie sie in der Sicherheitsbedingungen beschrieben sind, vorlegen.
  • 4. Verwaltung von Zwischenfällen

    • Wenn eine der Parteien von einem Vorfall Kenntnis erlangt, der sich auf die Verarbeitung personenbezogener Daten auswirkt, benachrichtigt sie die andere Partei unverzüglich über den Vorfall und arbeitet in angemessener Weise zusammen, um  die andere Partei in die Lage zu versetzen, eine gründliche Untersuchung des Vorfalls durchzuführen, eine korrekte Reaktion zu formulieren und geeignete weitere Schritte in Bezug auf den Vorfall zu unternehmen.
    • Beide Parteien müssen jederzeit über schriftliche Verfahrensabläufe verfügen, die sie in die Lage versetzen, der anderen Partei unverzüglich auf einen Vorfall zu reagieren. Wenn der Vorfall mit hinreichender Wahrscheinlichkeit eine Benachrichtigung über eine Datenschutzverletzung nach geltendem Recht erfordert, benachrichtigt die für den Vorfall verantwortliche Partei die andere Partei unverzüglich, nachdem sie von einem solchen Vorfall Kenntnis erhalten hat.
    • Alle nach diesem Abschnitt gemachten Meldungen müssen an privacy@taxdome.com (wenn sie an TaxDome gerichtet sind) und an unsere Kontaktstelle bei Ihnen (wenn sie an den Kunden gerichtet sind) gerichtet werden und müssen Folgendes enthalten: (i) eine Beschreibung der Art des Vorfalls, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze; (ii) den Namen und die Kontaktdaten der Kontaktstelle, bei der weitere Informationen  (iii) eine Beschreibung der wahrscheinlichen Folgen des Vorfalls und (iv) eine Beschreibung der Maßnahmen, die ergriffen wurden oder vorgeschlagen werden, um den Vorfall zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung seiner möglichen negativen Auswirkungen.
  • 5. Haftung und Schadensersatz

    • Die Haftung jeder Partei gegenüber der anderen Partei im Rahmen oder in Verbindung mit dieser DPA ist gemäß den Bestimmungen der AGB begrenzt.
    • Der Kunde erkennt an, dass TaxDome hinsichtlich des Umfangs, in dem TaxDome berechtigt ist, die personenbezogenen Daten des Kunden im Namen des Kunden bei der Erbringung der Dienstleistungen zu verarbeiten, auf die Weisung des Kunden angewiesen ist. Folglich haftet TaxDome im Rahmen der AGB nicht für Ansprüche, die von einer betroffenen Person aufgrund von Handlungen oder Unterlassungen von TaxDome erhoben werden, soweit diese Handlungen oder Unterlassungen auf Anweisungen des Kunden oder darauf zurückzuführen sind, dass der Kunde seinen Verpflichtungen aus dem geltenden Datenschutzrecht nicht nachgekommen ist.
  • 6. Laufzeit und Kündigung

    • Diese DPA tritt am 1. Januar 2022 in Kraft und gilt, bis sie gemäß den Nutzungsbedingungen geändert oder gekündigt wird.
    • Die Beendigung oder das Auslaufen dieser DPA entbindet die Parteien nicht von ihren Geheimhaltungspflichten.
  • 7. Internationale Datenübertragungen

    • Standorte der Datenzentren. Der Kunde erkennt an, dass TaxDome personenbezogene Daten in die Vereinigten Staaten und an jeden anderen Ort der Welt, an dem TaxDome, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen, übertragen und verarbeiten kann. TaxDome stellt zu jeder Zeit sicher, dass solche Übermittlungen in Übereinstimmung mit den Anforderungen der Datenschutzgesetze durchgeführt werden.
    • Europäische Datenübertragungen. In dem Maße, in dem TaxDome ein Empfänger von personenbezogenen Daten ist, die durch die EU-Datenschutzgesetze geschützt sind, vereinbaren die Parteien, dass TaxDome die unten aufgeführten Maßnahmen zur Verfügung stellt:
      • SCCs: TaxDome verpflichtet sich zur Einhaltung der SCC und zur Verarbeitung von EU-Daten in Übereinstimmung mit den SCC, die in vollem Umfang durch Verweis aufgenommen werden und einen integralen Bestandteil dieser DPA bilden. Für die Zwecke der SCCs:
        • TaxDome erklärt sich damit einverstanden, dass es der Datenimporteur und der Kunde der Datenexporteur im Sinne der SCC ist (ungeachtet der Tatsache, dass der Kunde selbst ein außerhalb der EU ansässiges Unternehmen sein kann);
        • Anhang B enthält die SCCs und die dazugehörigen Anhänge Die Parteien vereinbaren ferner, dass die SCCs auf personenbezogene Daten Anwendung finden, die über den Service von Europa nach außerhalb Europas übertragen werden, entweder direkt oder über eine Weiterübermittlung an ein Land oder einen Empfänger: (a) das von der Europäischen Kommission nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie im EU-Datenschutzgesetz beschrieben)
      • Wenn und soweit die Standardvertragsklauseln (falls zutreffend) im Widerspruch zu einer Bestimmung dieser DPA stehen, haben die Standardvertragsklauseln bis zum Umfang dieses Widerspruchs Vorrang.

Anhang A — Juristische Begrifflichkeiten

Brasilien

  • Mit dem Inkrafttreten des brasilianischen Allgemeinen Datenschutzgesetzes, Lei Geral de Proteção de Dados («LGPD») gilt Folgendes: Jede Partei ist dafür verantwortlich, ihre jeweiligen Verpflichtungen gemäß der LGPD zu erfüllen, und der Kunde wird nur solche Verarbeitungsanweisungen erteilen, die TaxDome in die Lage versetzen, seine LGPD-Verpflichtungen zu erfüllen, wie in Abschnitt 1 (Verpflichtungen in Bezug auf personenbezogene Daten) der DPA dargelegt. Für die Zwecke von Abschnitt 7 (Internationale Datenübermittlungen) werden die Standardvertragsklauseln für Übermittlungen in nicht adäquate Länder gemäß der DSGVO verwendet.

Kalifornien

  • Die Definitionen  «für die Verarbeitung Verantwortlicher» umfasst «Unternehmen»; «Auftragsverarbeiter» umfasst «Dienstanbieter»; «betroffene Person» umfasst «Verbraucher»; «personenbezogene Daten» umfasst «personenbezogene Informationen»; in jedem Fall wie unter CCPA definiert
  • «Verarbeiten,» «Verarbeitet» oder «Verarbeiten» bedeutet jede Operation oder eine Reihe von Operationen, die an persönlichen Daten oder an Gruppen von persönlichen Daten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht.
  • Die Verpflichtungen von TaxDome in Bezug auf die Anträge der betroffenen Personen, wie sie in Abschnitt 3 Buchstaben d und e (Rechte der betroffenen Personen und Zusammenarbeit) dieses Datenschutzgesetzes beschrieben sind, gelten für die Rechte der Verbraucher gemäß dem CCPA.
  • Ungeachtet gegenteiliger Angaben sind die persönlichen Daten des Kunden die persönlichen Daten, die TaxDome im Rahmen der Vereinbarung im Namen des Kunden verarbeitet. TaxDome darf die persönlichen Daten des Kunden ausschließlich zum Zweck der Erfüllung seiner Verpflichtungen aus dem Vertrag verarbeiten und darf die persönlichen Daten des Kunden nicht ohne die ausdrückliche schriftliche Zustimmung des Kunden für andere Zwecke verwenden. Insbesondere darf TaxDome nicht: (i) Persönliche Daten des Kunden zu verkaufen, wie dies in der CCPA definiert ist, oder persönliche Daten des Kunden ohne dessen Zustimmung an Dritte weiterzugeben; (ii) Persönliche Daten des Kunden für andere als die in dieser Vereinbarung genannten Zwecke aufzubewahren, zu nutzen oder weiterzugeben; dieser Vereinbarung genannten Zwecke, einschließlich der Aufbewahrung, Verwendung oder Offenlegung von persönlichen Daten des Kunden für einen anderen kommerziellen Zweck als die Erbringung der Dienstleistungen für den Kunden; und (iii) Aufbewahrung, Verwendung oder Offenlegung von persönlichen Daten des Kunden außerhalb der Geschäftsbeziehung zwischen TaxDome und dem Kunden. Die Parteien erkennen an, dass die Offenlegung der persönlichen Daten des Kunden gemäß der Vereinbarung keinen Wert im Rahmen der Vereinbarung darstellt.
  • TaxDome wird alle anwendbaren Anforderungen des CCPA bei der Erfüllung seiner Verpflichtungen aus dem Vertrag einhalten, einschließlich der Umsetzung und Aufrechterhaltung angemessener Sicherheitsmaßnahmen, die der Art der persönlichen Daten angemessen sind, um die persönlichen Daten des Kunden vor unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen. TaxDome verpflichtet sich zur Wiedergutmachung jeglichen Schadens, den eine Person aufgrund einer Verarbeitung erleidet, die unter Verletzung seiner gesetzlichen, behördlichen und vertraglichen Verpflichtungen durchgeführt wurde, es sei denn, TaxDome beweist, dass es für einen solchen Schaden nicht haftbar ist.
  • TaxDome kann personenbezogene Daten im Rahmen der Erbringung der in dieser DPA und der Vereinbarung genannten Dienstleistung de-identifizieren oder aggregieren.
  • Wenn Unterauftragsverarbeiter die personenbezogenen Daten unserer Kunden verarbeiten, ergreift TaxDome Maßnahmen, um sicherzustellen, dass es sich bei diesen Unterauftragsverarbeitern um Dienstleister im Sinne des CCPA handelt, mit denen TaxDome einen schriftlichen Vertrag abgeschlossen hat, der im Wesentlichen ähnliche Bedingungen wie dieser DPA enthält, oder die anderweitig von der CCPA-Definition des Begriffs "Verkauf" ausgenommen sind. TaxDome führt bei seinen Unterauftragsverarbeitern eine angemessene Due-Diligence-Prüfung durch.

Kanada

  • TaxDome ergreift Maßnahmen, um sicherzustellen, dass es sich bei den Unterauftragsverarbeitern von TaxDome, wie in Abschnitt 2 des DPA beschrieben, um Dritte im Sinne von PIPEDA handelt, mit denen TaxDome einen schriftlichen Vertrag abgeschlossen hat, der im Wesentlichen ähnliche Bedingungen wie dieses DPA enthält. TaxDome führt eine angemessene Due-Diligence-Prüfung seiner Unterauftragsverarbeiter durch.
  • TaxDome wird angemessene Sicherheitsmaßnahmen einführen und aufrechterhalten, die der Art der persönlichen Daten entsprechen, wie in Abschnitt 1 des Datenschutzgesetzes dargelegt.

Serbien

  • Gesetz über den Schutz personenbezogener Daten (Zakon o zaštiti podataka o ličnosti; Amtsblatt der Republik Serbien, Nr.  87/2018).

Vereinigtes Königreich

  • Die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019, in ihrer geänderten, ersetzten oder ersetzten Fassung, sobald sie in Kraft treten, und das UK Data Protection Act 2018.

Anhang B — Standardvertragsklauseln (Auftragsverarbeiter)

Abschnitt 1

Klausel 1

Zweck und Umfang

  • Der Zweck dieser Standardvertragsklauseln ist die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27 April 2016  zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland.
  • Die Parteien:
    • die natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (nachstehend ‘Stelle(n)’), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (nachstehend jeweils ‘Datenexporteur’), und
    • die Einrichtung(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Einrichtung erhält/erhalten, die ebenfalls Vertragspartei dieser Klauseln ist und die in Anhang I.A aufgeführt ist (im Folgenden "Datenimporteur" genannt)
  • haben sich mit diesen Standardvertragsklauseln (im Folgenden: ‘Klauseln’) einverstanden erklärt.
  • Diese Klauseln gelten für die Übermittlung von personenbezogenen Daten wie in Anhang I.B.
  • Die Anlage zu diesen Klauseln, die die darin genannten Anhänge enthält, ist Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

  • Diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 (2)© der Verordnung (EU) 2016/679 und, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an  Auftragsverarbeitern und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder Informationen in der Anlage hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder direkt noch indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.
  • Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

  • Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
    • Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
    • Klausel 8.1(b), 8.9(a), ©, (d) und (e);
    • Klausel 9(a), ©, (d) und (e);
    • Klausel 12(a), (d) und (f);
    • Klausel 13;
    • Klausel 15.1©, (d) und (e);
    • Klausel 16(e);
    • Klausel 18(a) und (b).
  • Paragraph (a) ist unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4

Interpretation

  • Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in der genannten Verordnung.
  • Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
  • Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.

Klausel 5

Hierarchie

Im Fall eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, sind diese Klauseln maßgebend.

Klausel 6

Im Fall eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, sind diese Klauseln maßgebend.

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien von personenbezogenen Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7 - Optional

Docking clause

  • Ein Unternehmen, das nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Vertragsparteien diesen Klauseln jederzeit beitreten, entweder als Datenexporteur oder als Datenimporteur, indem es die Anlage ausfüllt und Anhang I.A unterzeichnet.
  • Sobald er die Anlage ausgefüllt und Anhang I.A unterzeichnet hat, wird der beitretende Rechtsträger zu einer Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß seiner Bezeichnung in Anhang I.A.
  • Der beitretende Rechtsträger hat keine Rechte oder Pflichten, die sich aus diesen Klauseln aus dem Zeitraum vor dem Beitritt zur Partei ergeben.

Abschnitt 2— Verpflichtungen der Vertragsparteien

Klausel 8

Datenschutzgarantien

Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seine Verpflichtungen gemäß diesen Klauseln zu erfüllen.

    • Anweisungen

      • Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Laufzeit des Vertrages erteilen.
      • Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er nicht in der Lage ist, diese Anweisungen zu befolgen.
    • Zweckbindung

      Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B dargelegt, es sei denn, der Datenexporteur erteilt weitere Anweisungen.

    • Transparenz

      Auf Anfrage stellt der Datenexporteur eine Kopie dieser Klauseln, einschließlich des Anhangs in der von den Parteien ausgefüllten Fassung, der betroffenen Person kostenlos zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen, und von personenbezogenen Daten erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu den Klauseln unkenntlich machen; des Anhangs zu diesen Klauseln vor der Weitergabe einer Kopie schwärzen, muss jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel gilt unbeschadet der Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.

    • Genauigkeit

      Wenn der Datenimporteur feststellt, dass die personenbezogenen Daten, die er erhalten hat, unrichtig sind oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

    • Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

      Die Verarbeitung durch den Datenimporteur findet nur für die in Anhang I.B. angegebene Dauer statt. Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur auf Wunsch des Datenexporteurs alle personenbezogenen Daten, die im Auftrag des  Datenexporteur verarbeitet wurden, löschen und dem Datenexporteur bescheinigen, dass er dies getan hat, oder dem Datenexporteur alle personenbezogenen Daten zurückgeben, die in seinem Auftrag verarbeitet wurden, und vorhandene Kopien löschen. Bis die Daten gelöscht oder zurückgegeben werden, muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Im Fall von lokalen Gesetzen, die auf den Datenimporteur anwendbar sind und die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleisten wird und die Daten nur in dem Umfang und so lange verarbeiten wird, wie es das lokale Gesetz verlangt. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14(e), den Datenexporteur während der gesamten Dauer des  des Vertrages zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen von Klausel 14(a) übereinstimmen.

    • Sicherheit der -Verarbeitung

      • Der Datenimporteur und bei der Übermittlung auch der Datenexporteur ergreift geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Weitergabe oder einem unberechtigten Zugriff auf die Daten führt (im Folgenden als Verletzung der Sicherheit personenbezogener Daten bezeichnet). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, den Kontext und den/die Zweck/e der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen. Die Parteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Fall der Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person, soweit möglich, unter der ausschließlichen Kontrolle von dem Datenexporteur. Bei der Erfüllung seiner Verpflichtungen nach diesem Absatz muss der Datenimporteur zumindest die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen umsetzen. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.
      • Der Datenimporteur gewährt Mitgliedern seines Personals nur in dem Umfang Zugang zu den personenbezogenen Daten, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
      • Im Fall einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die von dem Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Milderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt außerdem den Datenexporteur unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art des Verstoßes (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und personenbezogenen Datensätze), die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes, einschließlich, soweit angemessen, Maßnahmen zur Abmilderung seiner möglichen negativen Auswirkungen. Wenn es nicht möglich ist, alle Informationen gleichzeitig zur Verfügung zu stellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung zur Verfügung gestellt.
      • Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.
    • Sensible Daten

      Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person (im Folgenden   das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden ‘sensible Daten’), wendet der Datenimporteur die in  Anhang I beschriebenen spezifischen Einschränkungen und/oder zusätzlichen Garantien an. B.

    • Weiterführende Überweisungen

      Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an eine Drittpartei weitergeben. Darüber hinaus dürfen die Daten nur an einen Dritten außerhalb der Europäischen Union weitergegeben werden (im selben Land wie der Datenimporteur oder in einem anderen Drittland; einem anderen Drittland, nachfolgend ‘Weitergabe’), wenn der Dritte ist oder zustimmt, durch diese Klauseln, , unter dem entsprechenden Modul, gebunden zu sein, oder wenn:

      • die Weiterübermittlung in ein Land erfolgt, das von einem Genehmigungsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;
      • der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;
      • die Weitergabe ist notwendig für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahren; oder
      • die Weitergabe ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

      Jede Weitergabe unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

    • Dokumentation und Compliance

      • Der Datenimporteur ist verpflichtet, Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen zu beantworten.
      • Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere muss der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten führen.
      • Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Verlangen des Datenexporteurs Überprüfungen der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur relevante Zertifizierungen des Datenimporteurs berücksichtigen.
      • Der Datenexporteur kann wählen, ob er das Audit selbst durchführt oder einen unabhängigen Prüfer beauftragt. Die Audits können Inspektionen in den Geschäftsräumen oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
      • Die Vertragsparteien stellen der zuständigen Aufsichtsbehörde auf Anfrage die in den Absätzen (b) und genannten Informationen, einschließlich der Ergebnisse von Prüfungen, zur Verfügung.

Klausel 9

Verwendung von Unterauftragsverarbeitern

  • ALLGEMEINE SCHRIFTLICHE ERMÄCHTIGUNG Der Datenimporteur hat die allgemeine Erlaubnis des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern; mindestens zehn (10) Tage im Voraus, so dass der Datenexporteur ausreichend Zeit hat, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur von seinem Widerspruchsrecht Gebrauch machen kann.
  • Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so tut er dies mittels eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht wie die, die den Datenimporteur gemäß dieser ACTIVE/110240378. 1 7 Klauseln, einschließlich in Bezug auf Rechte von Drittbegünstigten für betroffene Personen. 1 Die Parteien sind sich einig, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen gemäß Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
  • Der Datenimporteur stellt dem Datenexporteur auf Anfrage eine Kopie einer solchen Vereinbarung mit einem Unterauftragsverarbeiter und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
  • Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
  • Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, nach der — für den Fall, dass der Datenimporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist  rechtlich nicht mehr existiert oder insolvent geworden ist — der Datenexporteur das Recht hat, den Unterverarbeitungsvertrag zu kündigen und den Unterverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte des Betroffenen

  • Der Datenimporteur informiert den Datenexporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
  • Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung fest.
  • Bei der Erfüllung seiner Verpflichtungen nach den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

Klausel 11

Abhilfe

  • Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch eine individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die befugt ist, Beschwerden zu bearbeiten. Sie bearbeitet umgehend alle Beschwerden, die sie von einer betroffenen Person erhält.
  • Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Vertragsparteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Vertragspartei nach besten Kräften um eine gütliche und zeitnahe Beilegung der Angelegenheit. Die Vertragsparteien halten sich gegenseitig über derartige Streitigkeiten auf dem laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
    • eine Beschwerde bei der Aufsichtsbehörde in dem Mitgliedstaat, in dem er seinen gewöhnlichen Aufenthalt oder seinen Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Artikel 13 einzureichen;
    • den Streitfall an die zuständigen Gerichte im Sinne von Paragraph 18 verweisen.
  • Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:
  • Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.
  • Der Datenimporteur hält sich an eine Entscheidung, die nach dem geltenden EU-Recht oder dem Recht der Mitgliedstaaten verbindlich ist.
  • Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte auf Einlegung von Rechtsbehelfen gemäß den geltenden Rechtsvorschriften nicht beeinträchtigt.

Klausel 12

Haftung

  • Jede Vertragspartei haftet gegenüber der/den anderen Vertragspartei(en) für alle Schäden, die sie der/den anderen Vertragspartei(en) durch einen Verstoß gegen diese Klauseln zufügt.
  • Der Datenimporteur haftet gegenüber der betroffenen Person und die betroffene Person hat Anspruch auf Schadenersatz für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt.
  • Ungeachtet des Absatzes (b) ist der Datenexporteur gegenüber der betroffenen Person haftbar und die betroffene Person hat Anspruch auf Schadenersatz für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.
  • Die Parteien vereinbaren, dass der Datenexporteur, wenn er gemäß Absatz © für Schäden haftbar gemacht wird, die durch den Datenimporteur (oder seinen Unterverarbeiter) verursacht wurden, berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
  • Wenn mehr als eine Partei für einen Schaden verantwortlich ist, der der betroffenen Person als Folge eines Verstoßes gegen diese Klauseln entstanden ist, sind alle verantwortlichen Parteien gesamtschuldnerisch haftbar, und die betroffene Person ist berechtigt, gegen jede dieser Parteien vor Gericht zu klagen.
  • Die Parteien vereinbaren, dass, wenn eine Partei gemäß Absatz (e) haftbar gemacht wird, sie berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
  • Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

Klausel 13

Überwachung

  • Wenn der Datenexporteur in einem EU Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die dafür verantwortlich ist, dass der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübermittlung einhält, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde.
    Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679, wie in Anhang I.C angegeben, niedergelassen ist, fungiert als zuständige Aufsichtsbehörde. Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, ansässig sind, fungiert als zuständige Aufsichtsbehörde (wie in Anhang I.C angegeben).
  • Der Datenimporteur erklärt sich damit einverstanden, sich der Gerichtsbarkeit  zu unterwerfen und mit der zuständigen Aufsichtsbehörde bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere verpflichtet sich der Datenimporteur, auf Anfragen zu antworten, sich Audits zu unterziehen und die von der Aufsichtsbehörde getroffenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Sie bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen wurden.

Abschnitt 3— Örtliche Gesetze und Verpflichtungen im Fall von Zugang durch Behörden

Klausel 14

Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken

  • Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken in dem Bestimmungsdrittland, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugriffs durch Behörden, den Datenimporteur daran hindern, seine Verpflichtungen gemäß diesen Klauseln zu erfüllen. Dies basiert auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
  • Die Parteien erklären, dass sie bei der Abgabe der Garantie in Absatz (a) insbesondere die folgenden Elemente berücksichtigt haben:
    • die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;
    • die Gesetze und Gepflogenheiten des Bestimmungsdrittlandes, einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugriff durch solche Behörden gestatten, sowie die geltenden Beschränkungen und Garantien, die angesichts der besonderen Umstände der Übermittlung relevant sind;
    • die Gesetze und Gepflogenheiten des Bestimmungsdrittlandes, einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugriff durch solche Behörden gestatten, sowie die geltenden Beschränkungen und Garantien, die angesichts der besonderen Umstände der Übermittlung relevant sind;
  • Der Datenimporteur garantiert, dass er sich bei der Durchführung der Bewertung gemäß Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
  • Die Parteien vereinbaren, die Bewertung gemäß Absatz (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  • Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrages Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt, die nicht mit den Anforderungen gemäß Absatz (a) übereinstimmen; nicht mit den Anforderungen gemäß Absatz (a) übereinstimmen, einschließlich nach einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie einer Offenlegungsaufforderung), die auf eine Anwendung solcher Gesetze oder Praktiken hinweist, die nicht mit den Anforderungen in Absatz (a) übereinstimmen.
  • Nach einer Meldung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seine Verpflichtungen gemäß diesen Klauseln nicht mehr erfüllen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. z.B. technische oder organisatorische Maßnahmen zur Gewährleistung von Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur ergriffen werden müssen, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn die zuständige Aufsichtsbehörde angewiesen wird, dies zu tun. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung von personenbezogenen Daten gemäß diesen Klauseln betrifft. Wenn der Vertrag mehr als zwei Parteien betrifft, kann der Datenexporteur dieses Recht auf Kündigung nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, gilt Klausel 16(d) und (e).

Klausel 15

Pflichten des Datenimporteurs im Falle eines Zugriffs durch Behörden

    • Benachrichtigung

      • Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen (gegebenenfalls mit Hilfe des Datenexporteurs), wenn es:
        • ein rechtsverbindliches Ersuchen einer Behörde, einschließlich Justizbehörden, nach dem Recht des Bestimmungslandes um die Offenlegung personenbezogener Daten, die gemäß diesen Klauseln übermittelt wurden, erhält; eine solche Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder
        • von einem direkten Zugriff von Behörden auf personenbezogene Daten, die gemäß diesen Klauseln in Übereinstimmung mit den Gesetzen des Bestimmungslandes übertragen werden, Kenntnis erlangt; eine solche Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.
      • Wenn es dem Datenimporteur nach den Gesetzen des Bestimmungslandes verboten ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit,  sich nach besten Kräften zu bemühen, eine Befreiung von diesem Verbot zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine besten Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.
      • Soweit nach den Gesetzen des Bestimmungslandes zulässig, verpflichtet sich der Datenimporteur, dem Datenexporteur während der Laufzeit des Vertrages in regelmäßigen Abständen so viele relevante Informationen wie möglich über die eingegangenen Anfragen zu übermitteln; wie möglich über die eingegangenen Anfragen (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörde(n), ob Anfragen angefochten wurden und das Ergebnis dieser Anfechtungen, etc. ).
      • Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (b) und (c) für die Dauer des Vertrags aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
      • Die Absätze (a) bis (b) lassen die Verpflichtung des Datenimporteurs gemäß Klausel 14 (e) und Klausel 16 unberührt, den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diese Klauseln einzuhalten.
    • Überprüfung der Rechtmäßigkeit und Datensparsamkeit

      • Der Datenimporteur verpflichtet sich, die Rechtmäßigkeit des Ersuchens um Offenlegung zu überprüfen, insbesondere, ob es im Rahmen der Befugnisse bleibt, die der ersuchenden Behörde eingeräumt wurden, und das Ersuchen anzufechten wenn er nach sorgfältiger Prüfung  zu dem Schluss kommt, dass es vernünftige Gründe für die Annahme gibt, dass das Ersuchen nach dem Recht des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen der internationalen Komitologie rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen die Möglichkeiten der Anfechtung nutzen. Bei der Anfechtung eines Antrags beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Antrags auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Antrags entschieden hat. Er darf die angeforderten personenbezogenen Daten erst dann offenlegen, wenn er dazu gemäß den geltenden Verfahrensregeln verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).
      • Der Datenimporteur verpflichtet sich, seine rechtliche Beurteilung und jede Anfechtung des Antrags auf Offenlegung zu dokumentieren und, soweit nach den Gesetzen des Bestimmungslandes zulässig, die Dokumentation dem Datenexporteur zur Verfügung zu stellen. Sie stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
      • Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung einer Anfrage auf der Grundlage einer angemessenen Auslegung der Anfrage das zulässige Mindestmaß an Informationen zur Verfügung zu stellen.

Abschnitt 4 — Schlussbestimmungen

Klausel 16

Nichteinhaltung der Klauseln und Kündigung

  • Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.
  • In dem Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung von personenbezogenen Daten an den Datenimporteur aus, bis die Einhaltung wieder gewährleistet ist oder der Vertrag gekündigt wird. Dies gilt unbeschadet von Klausel 14(f)
  • Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung von personenbezogenen Daten gemäß diesen Klauseln betrifft, wenn:
    • Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.
    • In dem Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung von personenbezogenen Daten an den Datenimporteur aus, bis die Einhaltung wieder gewährleistet ist oder der Vertrag gekündigt wird. Dies gilt unbeschadet von Klausel 14(f)
    • Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung von personenbezogenen Daten gemäß diesen Klauseln betrifft, wenn:
  • In diesen Fällen informiert er die zuständige Aufsichtsbehörde über diese Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Recht auf Kündigung nur in Bezug auf die betreffende Partei ausüben, sofern die Parteien nichts anderes vereinbart haben.
  • Personenbezogene Daten, die vor der Beendigung des Vertrages gemäß Absatz Kopie; übertragen wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder in vollem Umfang zu löschen. Das Gleiche gilt für alle Kopien der Daten. Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen. Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Im Fall von lokalen Gesetzen, die auf den Datenimporteur anwendbar sind und die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleisten wird und die Daten nur in dem Umfang und so lange verarbeiten wird, wie nach diesem lokalen Gesetz erforderlich.
  • Jede Partei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung von personenbezogenen Daten betrifft; personenbezogener Daten abdeckt, für die diese Klauseln gelten; oder (ii) die Verordnung (EU) 2016/679 wird Teil des rechtlichen Rahmens des Landes, in das die personenbezogenen Daten übertragen werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Governing law

These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall bethe law of Ireland.

Klausel 18

Choice of forum and jurisdiction

  • Any dispute arising from these Clauses shall be resolved by the courts of an EUMember State
  • The Parties agree that those shall be the courts of Ireland.
  • A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
  • The Parties agree to submit themselves to the jurisdiction of such courts

Anhang

Annex I

A. List of parties

DATA EXPORTER (CUSTOMER)
DATA IMPORTER (TAXDOME)
COMPANY NAME
TaxDome, LLC
ADDRESS
1178 Broadway, New York, NY 10001
CONTACT PERSON’S NAME,
POSITION AND CONTACT DETAILS
Victor Radzinsky, CEO
dpo@taxdome.com
SIGNATURE AND DATE:
ROLE:
Controller
Processor

Activities relevant to the data transferred under these clauses: See Annex I.B

B. DESCRIPTION OF TRANSFER

Categories of data subjects whose personal data is transferred

The personal data concerns the end users of our customers.

Categories of personal data transferred

The TaxDome platform caters to a broad customer and end user base that spans across the spectrum of industries. TaxDome does not control nor limit the subject matter our customers’ end users submit through the use of our tool. Considering this, the nature of the product, and TaxDomes’ role as a processor, inventorying an absolute list of data categories ingested and processed is not possible."

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

TaxDome processes data that could include but is not limited to the special categories of data: health data, genetic data, racial and ethnic origin, sexual orientation and/or habits, political opinion, religious affiliation or beliefs, non-political or non-trade union memberships, criminal convictions and offenses.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

Personal data is ingested on a continuous basis.

Nature of the processing

Personal data is ingested by the day to day use of the platform. Data can be ingested through manual entries by TaxDome’s customers or in an automated manner through the log collections on the platform. Data is stored within TaxDome’s production database.

Purpose(s) of the data transfer and further processing

Personal Data is Processed for the purpose of delivering the TaxDome service and supporting the TaxDome website and the platform services.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The subject matter and duration of the processing of the personal data are set out in the Nutzungsbedingungen.

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

TaxDome uses the sub-processors found online at https://www.taxdome.com/policies/sub-processors/ when delivering services to their customers. The list specifies the subject matter and nature of the processing activities performed by TaxDome’s sub-processors and applicable data transfer mechanism.

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13

Location of the Data Exporter/Data Exporter’s EU representative/Location of Data Exporter’s largest customer base

Annex II

TECHNICAL AND ORGANIZATIONAL MEASURES INCLUDING TECHNICAL AND ORGANIZATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organizational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.

TaxDome’s technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten, die außerhalb des EWR in ein nicht angemessenes Land übertragen werden, sind veröffentlicht und verfügbar unter: https://www.taxdome.com/policies/security/