Marzipan Datenverarbeitungsvertrag

Anhang B: Grenzüberschreitende Datenübermittlungen

Dies ist eine Übersetzung, die nur zur Information bereitgestellt wird. Die englische Version ist der maßgebliche und rechtlich bindende Text; im Falle von Abweichungen hat die englische Version Vorrang.

TEIL 1 – Übermittlungen aus dem EWR

1. Anhang I.A der Standardvertragsklauseln ist wie folgt auszufüllen:

Datenexporteur: Der Kunde (wie im Vertrag angegeben).

Kontaktdaten: Die Kontaktdaten des Kunden (wie im Vertrag angegeben).

Rolle des Datenexporteurs: Verantwortlicher (Data Controller).

Modul Zwei: Der Datenexporteur ist ein Verantwortlicher (Data Controller).

Datenimporteur: Marzipan.

Kontaktdaten: Wie im Vertrag angegeben.

Rolle des Datenimporteurs: Der Datenimporteur ist ein Auftragsverarbeiter (Data Processor).

Unterzeichnung und Datum: Mit Abschluss des Vertrags und der DPA gilt der Datenimporteur als Unterzeichner dieser Standardvertragsklauseln, einschließlich ihrer Anhänge, mit Wirkung zum Inkrafttreten des Vertrags.

2. Anhang I.B der Standardvertragsklauseln ist wie folgt auszufüllen:

Die Kategorien der betroffenen Personen sind in Klausel 4.6 der DPA beschrieben.

Die Kategorien von Kundendaten sind in Klausel 4.5 der DPA beschrieben.

Die Parteien beabsichtigen nicht, besondere Kategorien personenbezogener Daten (Special Category Data) zu übermitteln.

Die Häufigkeit der Übermittlung erfolgt auf kontinuierlicher Basis für die Dauer des Vertrags.

Die Art der Verarbeitung ist in Klausel 4.4 der DPA beschrieben.

Der Zweck der Verarbeitung ist in Klausel 4.3 der DPA beschrieben.

Der Zeitraum, für den die Kundendaten aufbewahrt werden, entspricht der Laufzeit des Vertrags, sofern im Vertrag und/oder der DPA nichts anderes vereinbart wurde.

In Bezug auf Übermittlungen an Unterauftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung in Klausel 9 der DPA festgelegt.

3. Anhang I.C der Standardvertragsklauseln ist wie folgt auszufüllen:

Die zuständige Aufsichtsbehörde gemäß Klausel 13 ist die Aufsichtsbehörde des Mitgliedstaats, der in Klausel 10(e) dieser DPA festgelegt ist.

Die Marzipan-Sicherheitsstandards (Anhang A) dienen als Dokumentation und Angaben, die in Anhang II der Standardvertragsklauseln erforderlich sind.

4. Soweit ein Konflikt zwischen den Standardvertragsklauseln und anderen Bestimmungen dieser DPA oder des Vertrags besteht, haben die Bestimmungen der Standardvertragsklauseln Vorrang.

TEIL 2 – Transfers außerhalb des UK

  1. Die Parteien vereinbaren, dass der IDTA DPA auf einen Transfer außerhalb des UK Anwendung findet, und dieser Teil 2 gilt ab dem 21. März 2022.
  2. Sofern im Vertrag nicht anders definiert, haben die definierten Begriffe in Teil 2 von Anhang 2 die Bedeutung, die in „Teil 2: Verbindliche Klauseln" unten angegeben ist.

Teil 1: Tabellen

Tabelle 1 des IDTA DPA

3. Tabelle 1 des DPA ist wie folgt auszufüllen:

  • Datenexporteur: Der Kunde (wie im Vertrag angegeben).
  • Kontaktdaten: Wie im Vertrag angegeben.

Unterschrift und Datum: Durch den Abschluss des Vertrags und der DPA gilt der Datenexporteur als Unterzeichner dieser IDTA DPA, die hierin einbezogen ist, mit Wirkung zum Datum des Inkrafttretens des Vertrags.

  • Datenimporteur: Marzipan.
  • Kontaktdaten: Wie im Vertrag angegeben.

Unterschrift und Datum: Durch den Abschluss des Vertrags und der DPA gilt der Datenimporteur als Unterzeichner dieser IDTA DPA, die hierin einbezogen ist, mit Wirkung zum Datum des Inkrafttretens des Vertrags.

Tabelle 2 der IDTA DPA

4. Tabelle 2 der DPA ist wie folgt auszufüllen:

DPA EU SSCs The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA:
Module in operation Clause 7
(Docking Clause)		 Clause 11
(Option)		 Clause 9a
(Prior Authorisation or General Authorisation)		 Clause 9a
(Time period)		 Is personal data received from the Importer combined with personal data collected by the Exporter?
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No
1 Shall not apply Shall not apply General Authorisation As set out in clause 9.2 of the DPA (30 days). No

Tabelle 3 der IDTA DPA

5. Tabelle 3 der DPA ist wie folgt auszufüllen:

Datenexporteur: Der Kunde (wie im Vertrag angegeben).

Kontaktdaten: Die Kontaktdaten des Kunden (wie im Vertrag angegeben).

Rolle des Datenexporteurs: Verantwortlicher (Data Controller).

  1. a) Modul Eins: Der Datenimporteur ist ein Datenverantwortlicher.
  2. b) Modul Zwei: Der Datenimporteur ist ein Datenverantwortlicher.

Modul Zwei: Der Datenexporteur ist ein Verantwortlicher (Data Controller).

Unterschrift und Datum: Durch den Abschluss des Vertrags und der DPA gilt der Datenexporteur als Unterzeichner der genehmigten EU-Standardvertragsklauseln, die hierin einschließlich ihrer Anhänge einbezogen sind, mit Wirkung zum Datum des Inkrafttretens des Vertrags.

Datenimporteur: Marzipan.

Kontaktdaten: Wie im Vertrag angegeben.

Rolle des Datenimporteurs: Der Datenimporteur ist ein Datenverarbeiter.

6. Anhang I.B ist wie folgt auszufüllen:

Die Kategorien der betroffenen Personen sind in Klausel 4.6 der DPA beschrieben.

Die Kategorien personenbezogener Daten sind in Klausel 4.5 der DPA beschrieben.

Die Parteien beabsichtigen nicht, besondere Kategorien personenbezogener Daten (Special Category Data) zu übermitteln.

Die Häufigkeit der Übermittlung erfolgt auf kontinuierlicher Basis für die Dauer des Vertrags.

Die Art der Verarbeitung ist in Klausel 4.4 der DPA beschrieben.

Der Zweck der Verarbeitung ist in Klausel 4.3 der DPA beschrieben.

Die Frist, für die die personenbezogenen Daten aufbewahrt werden, entspricht der Laufzeit des Vertrags, sofern im Vertrag und/oder der DPA nichts anderes vereinbart wurde.

In Bezug auf Übermittlungen an Unterauftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung in Klausel 9 der DPA festgelegt.

Anhang III: Liste der Unterauftragsverarbeiter findet keine Anwendung, da Marzipan eine allgemeine schriftliche Genehmigung zur Nutzung von Unterauftragsverarbeitern besitzt.

Tabelle 4 der IDTA DPA

7. Der Importeur kann diese IDTA DPA gemäß Klausel 26 dieser IDTA DPA beenden.

Teil 2: Verbindliche Klauseln

8. Jede Partei erklärt sich damit einverstanden, an die in dieser IDTA DPA festgelegten Bedingungen gebunden zu sein, im Gegenzug dafür, dass die andere Partei sich ebenfalls an diese IDTA DPA gebunden hat.

9. Obwohl Anhang 1A und Klausel 7 der genehmigten EU-Standardvertragsklauseln eine Unterzeichnung durch die Parteien erfordern, können die Parteien zum Zweck der Durchführung beschränkter Übermittlungen diese IDTA DPA auf jede Weise eingehen, die sie für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre Rechte gemäß dieser DPA durchzusetzen. Der Abschluss dieser IDTA DPA hat dieselbe Wirkung wie die Unterzeichnung der genehmigten EU-Standardvertragsklauseln und aller Teile davon.

Auslegung dieser IDTA DPA

10. Sofern diese IDTA DPA Begriffe verwendet, die in den genehmigten EU-Standardvertragsklauseln definiert sind, haben diese Begriffe dieselbe Bedeutung wie in den genehmigten EU-Standardvertragsklauseln. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:

DPA This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs.
DPA EU SCCs The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information.
Appendix Information As set out in Table ‎3.
Appropriate Safeguards The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR.
Approved DPA The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below.
Approved EU SCCs The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021.
ICO The UK Information Commissioner.
Restricted Transfer A transfer which is covered by Chapter V of the UK GDPR.
UK The United Kingdom of Great Britain and Northern Ireland.
UK Data Protection Laws All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.
UK GDPR As defined in section 3 of the Data Protection Act 2018.

11. Diese IDTA DPA ist stets in einer Weise auszulegen, die mit den britischen Datenschutzgesetzen (UK Data Protection Laws) vereinbar ist und die Verpflichtung der Parteien zur Bereitstellung der geeigneten Garantien (Appropriate Safeguards) erfüllt.

12. Sofern die in der DPA EU SCCs enthaltenen Bestimmungen die genehmigten Standardvertragsklauseln (Approved SCCs) in einer Weise abändern, die nach den genehmigten EU-Standardvertragsklauseln oder der genehmigten DPA nicht zulässig ist, werden diese Änderungen nicht in diese IDTA DPA aufgenommen, und die entsprechenden Bestimmungen der genehmigten EU-Standardvertragsklauseln treten an deren Stelle.

13. Bei Widersprüchen oder Konflikten zwischen den UK-Datenschutzgesetzen und diesem IDTA DPA haben die UK-Datenschutzgesetze Vorrang.

14. Ist die Bedeutung dieses IDTA DPA unklar oder lässt er mehr als eine Auslegung zu, gilt diejenige Bedeutung, die am ehesten mit den UK-Datenschutzgesetzen übereinstimmt.

15. Verweise auf Rechtsvorschriften (oder bestimmte Bestimmungen von Rechtsvorschriften) beziehen sich auf diese Rechtsvorschriften (oder Bestimmungen) in ihrer jeweils geltenden Fassung. Dies gilt auch dann, wenn diese Rechtsvorschriften (oder Bestimmungen) nach Abschluss dieses IDTA DPA konsolidiert, neu erlassen und/oder ersetzt wurden.

 

Hierarchie

16. Obwohl Klausel 5 der genehmigten EU-Standardvertragsklauseln (EU SCCs) vorsieht, dass diese allen damit zusammenhängenden Vereinbarungen zwischen den Parteien vorgehen, vereinbaren die Parteien, dass für beschränkte Übermittlungen die Hierarchie gemäß Abschnitt ‎17 maßgeblich ist.

17. Bei Widersprüchen oder Konflikten zwischen dem genehmigten DPA und den DPA EU SCCs (je nach Anwendbarkeit) hat der genehmigte DPA Vorrang vor den DPA EU SCCs, es sei denn, die widersprüchlichen oder kollidierenden Bestimmungen der DPA EU SCCs bieten betroffenen Personen einen weitergehenden Schutz; in diesem Fall haben diese Bestimmungen Vorrang vor dem genehmigten DPA.

18. Soweit dieser IDTA DPA DPA EU SCCs einbezieht, die zum Schutz von Übermittlungen im Rahmen der Datenschutz-Grundverordnung (EU) 2016/679 geschlossen wurden, erkennen die Parteien an, dass dieser IDTA DPA keine Auswirkungen auf diese DPA EU SCCs hat.

Einbeziehung der EU SCCs und Änderungen daran

19. Dieser IDTA DPA bezieht die DPA EU SCCs ein, die in dem Maße geändert werden, das erforderlich ist, damit:

  1. sie gemeinsam für Datenübermittlungen gelten, die der Datenexporteur an den Datenimporteur vornimmt, soweit die UK-Datenschutzgesetze auf die Verarbeitung durch den Datenexporteur bei dieser Datenübermittlung anwendbar sind, und sie für diese Datenübermittlungen geeignete Garantien bieten;
  2. die Abschnitte ‎16 bis ‎18 unten Klausel 5 (Hierarchie) der DPA EU SCCs außer Kraft setzen; und
  3. dieser IDTA DPA (einschließlich der darin einbezogenen DPA EU SCCs) (1) dem Recht von England und Wales unterliegt und (2) etwaige Streitigkeiten daraus von den Gerichten Englands und Wales entschieden werden, jeweils sofern nicht das Recht und/oder die Gerichte Schottlands oder Nordirlands von den Parteien ausdrücklich gewählt wurden.

20. Sofern die Parteien keine alternativen Änderungen vereinbart haben, die den Anforderungen der vorstehenden Klausel 19 entsprechen, finden die Bestimmungen des Abschnitts ‎22 Anwendung.

21. Keine anderen Änderungen an den genehmigten EU-Standardvertragsklauseln als zur Erfüllung der Anforderungen von Abschnitt ‎19 dürfen vorgenommen werden.

22. Die folgenden Änderungen an den DPA-EU-Standardvertragsklauseln (zum Zweck von Abschnitt ‎19) werden vorgenommen:

  1. sie gemeinsam für Datenübermittlungen gelten, die der Datenexporteur an den Datenimporteur vornimmt, soweit die UK-Datenschutzgesetze auf die Verarbeitung durch den Datenexporteur bei dieser Datenübermittlung anwendbar sind, und sie für diese Datenübermittlungen geeignete Garantien bieten;
  2. In Klausel 2 streichen Sie die Wörter: „und in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679";
  3. Klausel 6 (Beschreibung der Übermittlung(en)) wird ersetzt durch: „Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und die Zwecke, für die sie übermittelt werden, sind diejenigen, die in Anhang I.B angegeben sind, sofern UK Data Protection Laws auf die Verarbeitung des Datenexporteurs bei der Vornahme dieser Übermittlung Anwendung finden."
  4. Klausel 8.8(i) von Modul 2 wird ersetzt durch: „die Weiterübermittlung erfolgt in ein Land, das von Angemessenheitsregelungen gemäß Section 17A des UK GDPR profitiert, die die Weiterübermittlung abdecken;"
  5. Verweise auf „Verordnung (EU) 2016/679", „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)" und „diese Verordnung" werden jeweils durch „UK Data Protection Laws" ersetzt. Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679" werden durch den entsprechenden Artikel oder Abschnitt der UK Data Protection Laws ersetzt;
  6. Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;
  7. Verweise auf die „Europäische Union", „Union", „EU", „EU-Mitgliedstaat", „Mitgliedstaat" und „EU oder Mitgliedstaat" werden alle durch das „UK" ersetzt;
  8. Der Verweis auf „Clause 12(c)(i)" in Clause 10(b)(i) von Modul eins wird durch „Clause 11(c)(i)" ersetzt;
  9. Klausel 13(a) und Teil C von Anhang I finden keine Anwendung;
    10.  
  10. Die „zuständige Aufsichtsbehörde" und die „Aufsichtsbehörde" werden beide durch den „Information Commissioner" ersetzt;
  11. In Klausel 16(e) wird Unterabschnitt (i) ersetzt durch: „der Secretary of State gemäß Abschnitt 17A des Data Protection Act 2018 Vorschriften erlässt, die die Übermittlung personenbezogener Daten abdecken, auf die diese Klauseln Anwendung finden;";
  12. Klausel 17 wird ersetzt durch: „Diese Klauseln unterliegen dem Recht von England und Wales.";
  13. Klausel 18 wird ersetzt durch: „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten von England und Wales beigelegt. Eine betroffene Person kann auch rechtliche Schritte gegen den Datenexporteur und/oder den Datenimporteur vor den Gerichten eines beliebigen Landes im UK einleiten. Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen."; und
  14. Die Fußnoten zu den genehmigten EU SCCs sind nicht Bestandteil des IDTA DPA, mit Ausnahme der Fußnoten 8, 9, 10 und 11.

Änderungen dieses IDTA DPA

23. Die Parteien können vereinbaren, die Klauseln 17 und/oder 18 der DPA EU SCCs zu ändern, um auf die Gesetze und/oder Gerichte Schottlands oder Nordirlands zu verweisen.

24. Wenn die Parteien das Format der in Teil 1: Tabellen des genehmigten DPA enthaltenen Informationen ändern möchten, können sie dies tun, indem sie die Änderung schriftlich vereinbaren, sofern die Änderung die angemessenen Schutzmaßnahmen nicht verringert.

25. Von Zeit zu Zeit kann der ICO ein überarbeitetes genehmigtes DPA herausgeben, das:

  1. nimmt angemessene und verhältnismäßige Änderungen am genehmigten DPA vor, einschließlich der Korrektur von Fehlern im genehmigten DPA; und/oder
  2. Änderungen der UK-Datenschutzgesetze widerspiegelt;

Das überarbeitete genehmigte DPA legt das Startdatum fest, ab dem die Änderungen am genehmigten DPA wirksam werden, und ob die Parteien dieses IDTA DPA einschließlich der Anhangsinformationen überprüfen müssen. Dieses IDTA DPA wird ab dem angegebenen Startdatum automatisch gemäß dem überarbeiteten genehmigten DPA geändert.

26. Wenn die ICO einen überarbeiteten genehmigten DPA gemäß Abschnitt ‎18 herausgibt und wenn eine in Tabelle 4 „Beendigung des DPA bei Änderung des genehmigten DPA" ausgewählte Partei als direkte Folge der Änderungen im genehmigten DPA einen wesentlichen, unverhältnismäßigen und nachweisbaren Anstieg von: 

  1. seine direkten Kosten für die Erfüllung seiner Verpflichtungen gemäß der DPA; und/oder
  2. sein Risiko gemäß dem DPA,

und in beiden Fällen zunächst angemessene Schritte unternommen hat, um diese Kosten oder Risiken zu reduzieren, sodass sie nicht wesentlich und unverhältnismäßig sind, kann diese Partei die vorliegende IDTA DPA zum Ende einer angemessenen Kündigungsfrist beenden, indem sie der anderen Partei vor dem Startdatum der überarbeiteten genehmigten DPA eine schriftliche Kündigung für diesen Zeitraum zustellt.

27. Die Parteien bedürfen für Änderungen dieser IDTA DPA nicht der Zustimmung Dritter, jedoch müssen alle Änderungen in Übereinstimmung mit deren Bedingungen vorgenommen werden.

Verlassen Sie sich nicht nur auf unser Wort

“Wir haben den Wechsel von WooCommerce zu einer maßgeschneiderten Lösung auf Basis von Marzipan vollzogen. Die Verwaltung unserer Bestellungen ist ein Kinderspiel, und die Flexibilität der Abonnement-API hat es uns ermöglicht, unser Angebot zur Adoption alter Rebstöcke zu erweitern.”

Katie Jones hält einen Tuchan-Rechen
Katie Jones
Owner, Domaine Jones

“Marzipan ist unglaublich einfach zu bedienen und äußerst flexibel und konfigurierbar. Es macht wiederkehrende Weinclub-Abonnements viel einfacher als jedes andere System, das ich bisher verwendet habe, und kommt mit praktisch allem zurecht, was wir ihm abverlangt haben.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee