Dieser Datenverarbeitungszusatz für Wiederverkäufer („DSZ“) ist Bestandteil des zwischen GoDaddy.com, LLC (einschließlich seiner im Vertrag berücksichtigten Partner) („GoDaddy“) und Ihnen („Wiederverkäufer“) für die Zwecke des Verkaufs der Produkte und Dienstleistungen von GoDaddy („Services“) über das Reseller-Programm von GoDaddy geschlossenen Vertrags. Dieser Zusatz ist in Bezug auf die Verarbeitung personenbezogener Daten durch den Wiederverkäufer im Auftrag für GoDaddy maßgeblich. Der Wiederverkäufer schließt diesen Zusatz im eigenen Namen und, soweit gemäß den geltenden Datenschutzgesetzen und -vorschriften erforderlich, im Namen und im Auftrag seiner ermächtigten Partner. Alle hierin nicht definierten Begriffe haben die im Vertrag angegebene Bedeutung. Die Begriffe „wir“, „uns“ und „unser/unsere/unseres“ beziehen sich auf GoDaddy. Die Begriffe „Sie“, „Ihr/Ihre/Ihres“, „Benutzer“ und „Kunde“ beziehen sich auf natürliche oder juristische Personen, die diesem Vertrag zustimmen. Keine Bestimmung dieses Vertrages ist so auszulegen, dass durch sie Rechte oder Vorteile Dritter übertragen werden. Dieser Zusatz wird mit dem Datum wirksam und verbindlich, an dem Sie ihn elektronisch akzeptieren.

Dieser Zusatz besteht aus zwei (2) verschiedenen Teilen, die wie nachfolgend erläutert angewandt werden:

• Standards und Anforderungen für Datenschutz und Sicherheit: Anwendung der Standards und Anforderungen für Datenschutz und Sicherheit. Gültig für alle Wiederverkäufer, die im Rahmen von Art und Umfang ihrer Beteiligung am Reseller-Programm Zugriff auf personenbezogene Daten haben und personenbezogene Daten verarbeiten (gemäß hierin enthaltener Definition).
• Standardvertragsklauseln (und zugehörige Anhänge 1 und 2): Anwendung der Standardvertragsklauseln. Die Standardvertragsklauseln gelten für Kundendaten, die (direkt oder auf Umwegen) in ein Land außerhalb des EWR übermittelt werden, das von der Europäischen Kommission als Drittland eingestuft wurde (d. h. ein Land, in dem nach Einschätzung der Europäischen Kommission kein ausreichender Schutz für personenbezogene Daten gemäß der Beschreibung in der DSGVO gewährleistet werden kann). Die Standardvertragsklauseln finden keine Anwendung auf Kundendaten, die weder durch direkte Übertragung noch auf Umwegen in Länder außerhalb des EWR übertragen werden. Unbeschadet des Voranstehenden finden die Standardvertragsklauseln keine Anwendung, wenn die Daten in Übereinstimmung mit einem anerkannten Konformitätsstandard für die rechtmäßige Übertragung personenbezogener Daten (gemäß der Definition in der DSGVO) außerhalb des EWR übertragen werden. Beispiele sind die Privacy Shield-Rahmenabkommen zwischen der EU und den USA bzw. der Schweiz und den USA.

1. Gegenstand und Geltungsumfang

Diese Dienstgütevereinbarung für Datenschutz und -sicherheit (das „Sicherheits-SLA“) wird dem Vertrag beigefügt und in diesen aufgenommen, um zu gewährleisten, dass sämtliche von Ihnen erhobenen oder genutzten personenbezogenen Daten (gemäß nachfolgender Definition) in einer Weise gehandhabt werden, die sicher und auch ansonsten mit den Bedingungen des Vertrags, dieses Sicherheits-SLA und geltender Gesetze und Vorschriften konform ist.

2. Vorzugsanordnung.

Dieses Sicherheits-SLA wird in den Vertrag aufgenommen und ist Bestandteil des Vertrags. Für Angelegenheiten, die im Rahmen dieses Sicherheits-SLA nicht geregelt sind, gelten die Bedingungen des Vertrags. Bezüglich der Rechte und Pflichten der Parteien gegenüber der jeweils anderen Partei sind im Falle widersprüchlicher Bedingungen zwischen dem Vertrag und diesem Sicherheits-SLA die Bedingungen dieses Sicherheits-SLA maßgeblich. Im Falle eines Widerspruchs zwischen den Bedingungen des Sicherheits-SLA und den Standardvertragsklauseln sind die Standardvertragsklauseln maßgeblich.

3. Personenbezogene Daten.

1. „Personenbezogene Daten“ bezeichnet Informationen auf einem beliebigen Medium und in beliebiger Form und jeglicher Art, die zu einer identifizierten oder identifizierbaren natürlichen Person oder einem identifizierten oder identifizierbaren Haushalt gehören. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf ein identifizierendes Merkmal wie Name, Adresse, Steuernummer, E-Mail-Adresse, Telefonnummer, Finanzprofil, Kreditkartendaten, Führerscheinnummer oder sonstige Informationen, die vernünftigerweise einer bestimmten Person oder einem bestimmten Computer oder Gerät zugeordnet werden können (z. B. über Tracking-Technologien erfasste Daten wie die IP-Adresse) oder mindestens einem Faktor zugeordnet werden können, der der körperlichen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder gesellschaftlichen Identität der betreffenden Person zu eigen ist.

2. Im Sinne dieses DSZ umfasst der Begriff „Verarbeitung“ die folgenden Aktivitäten: Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Abfrage, Nutzung, Offenlegung, Verbreitung oder anderweitige Verfügbarmachung, Zusammenführung, Beschränkung, Löschung oder Vernichtung personenbezogener Daten.
3. GoDaddy legt personenbezogene Daten Ihnen gegenüber einzig und allein zum Zweck der Leistungserbringung durch Sie im Namen von GoDaddy offen. Sie sind verpflichtet, die personenbezogenen Daten ausschließlich gemäß unserer schriftlichen Anweisung und nur zu den beschränkten und konkreten Zwecken zu verarbeiten, die im Vertrag beschrieben sind. Die Verarbeitung zu anderen Zwecken ist Ihnen nicht gestattet. Dies bezieht die Übermittlung personenbezogener Daten von EU-Bürgern in Länder außerhalb der Europäischen Union ein, sofern diese nicht gemäß dem Recht der Europäischen Union oder des jeweiligen EU-Mitgliedstaates erforderlich ist. (In diesem Fall müssen Sie uns vor der Datenübermittlung unverzüglich in Kenntnis setzen, sofern eine entsprechende Mitteilung an uns nicht gesetzlich verboten ist.)
4. Es ist Ihnen untersagt, (i) personenbezogene Daten zu verkaufen, (ii) personenbezogene Daten zu anderen kommerziellen Zwecken als der Erbringung Ihrer Dienstleistungen vorzuhalten, zu nutzen oder offenzulegen und (iii) die personenbezogenen Daten außerhalb der zwischen Ihnen und GoDaddy getroffenen Vereinbarung vorzuhalten, zu nutzen oder offenzulegen.

5. Sie erkennen an, dass personenbezogene Daten keinesfalls als Gegenleistung für jegliche Dienstleistungen, die für GoDaddy im Rahmen der vorliegenden Vereinbarung erbracht werden, offengelegt werden dürfen. Sie sind nicht befugt, jegliche personenbezogenen Daten zu verkaufen im Sinne des California Consumer Privacy Act von 2018 in der jeweils gültigen Fassung („CCPA“). Hiermit bestätigen Sie, dass Sie die Regeln, Anforderungen und Definitionen des CCPA sowie sämtliche Beschränkungen in diesem DSZ verstanden haben. Sie willigen ein, von jeglicher Handlung Abstand zu nehmen, die geeignet ist, eine Übertragung personenbezogener Daten von Ihnen oder an Sie zu einem „Verkauf personenbezogener Daten“ im Sinne des CCPA oder jeglichen sonstigen geltenden Rechts zu machen.
6. Sie sind verpflichtet, personenbezogene Daten, die sich auf EU-Bürger beziehen, nur gemäß den Bedingungen dieses DSZ und den Bestimmungen gemäß Art. 44 bis 49 DSGVO (gemäß nachfolgender Definition) in Länder außerhalb der EU zu übermitteln.
7. Sie sind verpflichtet, uns unverzüglich per E-Mail an privacy@godaddy.com in Kenntnis zu setzen, wenn Sie die Ansicht vertreten, dass unsere Anweisung gegen geltende Datenschutzgesetze und -vorschriften, einschließlich des EU-Datenschutzrechts (gemäß nachfolgender Definition), verstößt.

8. Sie sind verpflichtet, alle personenbezogenen Daten streng vertraulich zu behandeln und alle an der Verarbeitung personenbezogener Daten beteiligten Mitarbeiter oder zugelassenen Bevollmächtigten über die Vertraulichkeit der personenbezogenen Daten aufzuklären. Ferner müssen Sie dafür Sorge tragen, dass alle derartigen Personen bzw. Parteien eine angemessene Geheimhaltungsvereinbarung unterzeichnen, in der sie sich zur Wahrung der Vertraulichkeit der personenbezogenen Daten verpflichten.
9. Soweit Sie im Zusammenhang mit dem Reseller-Programm gemäß dem Vertrag personenbezogene Daten empfangen, pflegen, verarbeiten oder anderweitig Zugriff auf personenbezogene Daten erhalten, erklären Sie sich damit einverstanden, dass Sie für die Einführung und Einhaltung angemessener organisatorischer und technischer Sicherheitsmaßnahmen für den Schutz derartiger personenbezogener Daten verantwortlich sind. Sie sind verpflichtet, die genannten personenbezogenen Daten gemäß sämtlichen geltenden Gesetzen zum Schutz der Privatsphäre und von Daten, insbesondere der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Datenschutz-Grundverordnung“, „DSGVO“) und den einschlägigen Gesetzen und Vorschriften der Mitgliedstaaten der Europäischen Union (zusammen das „EU-Datenschutzrecht“) sowie dem CCPA zu schützen und zu sichern.

10. Geeignete technische und organisatorische Sicherheitsmaßnahmen gemäß Ziffer 3.7 sind, soweit zweckdienlich, insbesondere:
    1. Die unter Ziffer 3 und 4 genannten Maßnahmen
    2. Maßnahmen zur Gewährleistung, dass nur befugte Personen für die im Vertrag beschriebenen Zwecke Zugriff auf die personenbezogenen Daten erhalten
    3. Pseudonymisierung und Verschlüsselung der personenbezogenen Daten
    4. Maßnahmen, die geeignet sind, die Geheimhaltung, Integrität, Verfügbarkeit und Stabilität Ihrer Verarbeitungssysteme und -services dauerhaft zu gewährleisten
    5. Maßnahmen, die geeignet sind, die Verfügbarkeit von personenbezogenen Daten und den Zugriff darauf zeitnah wiederherzustellen
    6. Ein Verfahren für die regelmäßige Durchführung von Tests, Bewertungen und Beurteilungen der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten
    7. Maßnahmen zur Erkennung von Sicherheitslücken in Bezug auf die Verarbeitung personenbezogener Daten in Ihren Systemen
11. Soweit Sie einen Subunternehmer, Anbieter oder sonstige Dritte mit der Erbringung von Leistungen im Rahmen dieses Vertrags beauftragen, sind Sie verpflichtet, (i) vorab unsere schriftliche Einwilligung einzuholen und (ii) mit besagten Dritten eine schriftliche Vereinbarung zu schließen, in der sich die Dritten zur Einhaltung der Bedingungen dieses DSZ und des Vertrags verpflichten.

12. Unbeschadet jeglicher von uns erteilter Genehmigung gemäß Ziffer 1.11 bleiben Sie uneingeschränkt haftbar für die Handlungen aller Subunternehmer, Anbieter oder sonstigen Dritten, wenn diese ihren Pflichten gemäß diesem DSZ (oder einer vergleichbaren vertraglichen Übereinkunft, die geschlossen wurde, um den jeweiligen Dritten in vergleichbarer Weise zu verpflichten, wie Sie sich gemäß diesem DSZ verpflichten) oder gemäß geltendem Datenschutzrecht nicht nachkommen.
13. Sie verpflichten sich, uns auf Ihre Kosten zu verteidigen, zu entschädigen und von der Haftung freizustellen gegen sämtliche Verbindlichkeiten, Kosten und Verluste im Zusammenhang mit jeglicher vorübergehenden oder dauerhaften, zufälligen oder rechtswidrigen Nichtverfügbarkeit, Verlust, Vernichtung, unbefugter Offenlegung von oder Zugriff auf, Diebstahl oder Kompromittierung personenbezogener Daten und sonstiger Verstöße gegen die geltenden Datenschutzgesetze und jeglichen Verstoß gegen diesen DSZ.
14. Stellen Sie fest, dass Sie von uns vertrauliche Informationen oder personenbezogene Daten empfangen haben, die nicht für Sie bestimmt waren oder zu deren Empfang Sie gemäß diesem Vertrag nicht befugt sind, so sind Sie verpflichtet, (i) uns dies unverzüglich an privacy@godaddy.com mitzuteilen und, (ii) sofern Sie keine anderslautenden schriftlichen Anweisungen erhalten haben, die Informationen so lange aufzubewahren, bis Sie von privacy@godaddy.com Anweisungen über das weitere Verfahren mit diesen Informationen erhalten.

4. Folgenabschätzungen und Sicherheitsaudits

1. Datenschutz-Folgenabschätzungen. Sie sind verpflichtet, uns bei der Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen, um Datenschutz- bzw. Sicherheitsrisiken in Bezug auf das Reseller-Programm im Rahmen des Vertrags zu erkennen und zu minimieren.
2. Regelmäßige Audits. Wir behalten uns das Recht vor, die Einhaltung dieses DSZ durch Sie regelmäßig zu prüfen (oder von einer Drittpartei gemäß unseren Anweisungen prüfen zu lassen).
3. Audit nach einem Vorfall. Im Falle eines Sicherheitsverstoßes bei einem Wiederverkäufer sind wir berechtigt, ein Sicherheitsaudit durchzuführen, um uns zu versichern, dass keine personenbezogenen Daten betroffen sind. Sie haben neunzig (90) Tage Zeit, um etwaige Probleme zu beheben, die beim Audit festgestellt werden. Nachdem die festgestellten Probleme behoben wurden, sind wir berechtigt, erneut ein Sicherheitsaudit durchzuführen, um uns zu versichern, dass die Behebung abgeschlossen ist.
4. Meldung bei Nichteinhaltung. Sollten Sie aus irgendeinem Grund nicht in der Lage sein, Ihren Pflichten gemäß diesem DSZ nachzukommen, so sind Sie verpflichtet, uns dies unverzüglich zu melden. In diesem Fall sind Sie verpflichtet, uns anzuzeigen, ob Sie in der Lage sind, das betreffende Problem schnell und ohne Gefährdung des Schutzes von personenbezogenen Daten zu beheben. Anderenfalls sind wir berechtigt, den Vertrag nach eigenem Ermessen fristlos und ohne Vertragsstrafe oder sonstige Haftpflichten Ihnen gegenüber zu kündigen.

5. Maßnahmen bei Sicherheitsvorfällen

1. Meldefristen. Sie verpflichten sich, uns jegliche Sicherheitsvorfälle in Bezug auf Ihre Dienstleistungen und/oder personenbezogene Daten unverzüglich anzuzeigen, sobald Sie Kenntnis davon erlangt haben, und uns unverzüglich über etwaige Auswirkungen dieses Vorfalls auf uns oder auf personenbezogene Daten in Kenntnis zu setzen. Sie bemühen sich nach besten Kräften, uns sofort nach Aufdeckung eines Sicherheitsvorfalls, spätestens jedoch eine (1) Stunde, nachdem Sie Kenntnis davon erlangt haben, über diesen in Kenntnis zu setzen. Im Sinne dieses DSZ gelten unter anderem folgende Vorfälle als Sicherheitsvorfälle:
   1. Eine Beschwerde oder ein Antrag in Bezug auf die Ausübung der Rechte einer natürlichen Person gemäß den geltenden Gesetzen, einschließlich des EU-Datenschutzrechts
   2. Ermittlungen an oder die Beschlagnahme von personenbezogenen Daten durch Regierungsbeamte, Aufsichts- oder Vollstreckungsbehörden oder Hinweise darauf, dass derartige Ermittlungen oder eine derartige Beschlagnahme in Betracht gezogen werden
   3. Jegliche vorübergehende oder dauerhafte, fahrlässige oder vorsätzliche Nichtverfügbarkeit, Vernichtung, unbefugte Offenlegung, Gefährdung, Verlust, Diebstahl von oder Zugriff auf personenbezogene Daten
   4. Jeglicher Verstoß gegen die in diesem DSZ dargelegten Sicherheits- und/oder Geheimhaltungspflichten
2. Form und Inhalt von Meldungen. Die Meldung von Sicherheitsverstößen hat telefonisch an unser Network Operations Center (NOC) unter der Rufnummer (+1) 480 505-8809 erfolgen. Anschließend ist eine schriftliche Mitteilung an securitybreach@godaddy.com zu senden. Bei der telefonischen Meldung wie auch in der schriftlichen Mitteilung müssen Sie die folgenden Angaben sowie im größtmöglichen Umfang neue und zusätzliche Angaben hinzufügen, soweit solche bekannt werden:
   1. Eine Beschreibung der Art des Vorfalls und der wahrscheinlichen Folgen des Vorfalls
   2. Voraussichtliche Dauer bis zur Behebung (sofern bekannt)
   3. Eine Beschreibung der durchgeführten oder vorgeschlagenen Maßnahmen zur Behebung des Vorfalls, einschließlich Maßnahmen zur Minderung etwaiger Beeinträchtigungen durch den Vorfall für uns, personenbezogene Daten oder verbundene Einzelpersonen
   4. Ggf. Klarstellung, dass der Lösungsweg zum Zeitpunkt des Telefongesprächs noch unbekannt ist
   5. Die Kategorien und den ungefähren Umfang personenbezogener Daten und die potenziell von dem Vorfall betroffenen natürlichen Personen sowie die wahrscheinlichen Folgen des Vorfalls für diese personenbezogenen Daten und die zugehörigen natürlichen Personen
   6. Name und Telefonnummer eines Vertreters des Resellers, an den wir uns wenden können, um aktuelle Auskünfte zum Vorfall einzuholen
3. Sicherheitsressourcen. Wir sind berechtigt, Ihnen im Einvernehmen mit Ihnen Ressourcen von unserer Sicherheitsgruppe zur Verfügung zu stellen, um Sie bei einer erkannten Sicherheitsverletzung zu unterstützen. Sie verpflichten sich, uns bei der Erfüllung unserer Meldepflichten bei einem Sicherheitsverstoß gemäß dem EU-Datenschutzrecht und bei unseren anderweitigen gesetzlichen, aufsichtsrechtlichen, verwaltungsrechtlichen oder vertraglichen Meldepflichten für Verstöße zu unterstützen.

6. Verschlüsselung

1. Rechtlich geschützte Verschlüsselung. Bei geschützten Transaktionen zwischen Ihnen und einem Unterauftragnehmer, Anbieter oder einer anderen Drittpartei sowie bei der Speicherung unserer vertraulichen Daten oder von personenbezogenen Daten dürfen keine Verschlüsselungsalgorithmen verwendet werden, die intern von Ihnen entwickelt wurden. Von der Anwendungsinfrastruktur verwendete symmetrische, asymmetrische oder Hashing-Algorithmen müssen Algorithmen verwenden, die veröffentlicht und von der allgemeinen Kryptografie-Community bewertet wurden.
2. Verschlüsselungsstärke. Verschlüsselungsalgorithmen müssen dem aktuellen technischen Standard der Branche entsprechen und eine ausreichende Stärke aufweisen, z. B. AES. SHA-256- oder RSA-Verschlüsselung mit öffentlichem Schlüssel.
3. Hashing-Funktionen. Hashing-Funktionen sind eine Kombination aus SHA-256 und mindestens einem der Algorithmen MD-5, SHA-2, SHA-3 oder vergleichbar, außer SHA-1. Wenn andere Hashing-Funktionen verwendet werden sollen, müssen diese von unserem Team für Informationssicherheit ausdrücklich genehmigt und mit mindestens einem zugelassenen Algorithmus kombiniert werden.

7. Verarbeitung personenbezogener Daten

1. Gesetzeskonformität. Machen natürliche Personen, deren personenbezogene Daten gemäß dem vorliegenden Vertrag verarbeitet werden, unter Berufung auf das EU-Datenschutzrecht insbesondere (i) das Recht auf Auskunft, (ii) das Recht auf Datenübertragbarkeit, (iii) das Recht auf Löschung, (iv) das Recht auf Berichtigung, (v) das Recht auf Widerspruch gegen automatische Entscheidungen oder (vi) das Recht auf Widerspruch gegen die Verarbeitung geltend, so verpflichten Sie sich, uns bei der Erfüllung dieser Rechte im gebotenen Umfang zu unterstützen.
2. Löschung/Vernichtung. Auf Aufforderung durch uns – bzw., sofern wir Sie nicht dazu auffordern, nach Ablauf des Vertrags –sind Sie verpflichtet, sämtliche personenbezogenen Daten unverzüglich sicher zu löschen bzw. zu vernichten oder zurückzugeben und physische Laufwerke, die zur Speicherung dieser Daten verwendet wurden, mit kryptografischem Löschen (NIST SP-800-88r1) oder einer gleichwertigen Methode zu überschreiben und alle vorhandenen Kopien dieser Daten zu vernichten bzw. an uns zurückzugeben.

Für Zwecke des Artikels 26(2) der Richtlinie 95/46/EC über die Übertragung personenbezogener Daten an Verarbeiter, die in Drittländern ansässig sind, in denen kein adäquates Niveau des Datenschutzes gewährleistet ist.

Datenexporteur: GoDaddy.com, LLC und seine verbundenen Unternehmen

und

Datenimporteur: Der genannte Wiederverkäufer, der gemäß den Bedingungen des Vertrags am Reseller-Programm teilnimmt.

jeweils „Partei“, gemeinsam „Parteien“.

haben sich auf folgende Vertragsklauseln (Klauseln) geeinigt, um angemessene Sicherheitseinrichtungen bezüglich des Datenschutzes und grundlegender Rechte und Freiheiten natürlicher Personen für die Übertragung personenbezogener Daten vom Datenexporteur zum Datenimporteur gemäß Anhang 1 zu erbringen.

Für die Zwecke der Klauseln gilt:

(a) „Personenbezogene Daten“, „besondere Kategorien von personenbezogenen Daten“, „verarbeiten/Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Betroffene/r“ sowie „Aufsichtsbehörde“ haben die Bedeutung gemäß RICHTLINIE 95/46/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

(b) „Datenexporteur“ bedeutet den Verantwortlichen, welcher die personenbezogenen Daten überträgt.

(c) „Datenimporteur“ bedeutet den Auftragsverarbeiter, der vereinbart, personenbezogene Daten vom Datenexporteur zu beziehen, die nach der Übermittlung zur Verarbeitung für dessen Rechnung und gemäß seinen Anweisungen und den Bedingungen der Klauseln bestimmt sind, und der nicht an das System eines Drittlandes zur Gewährleistung eines angemessenen Schutzes der Daten im Sinne von Art. 25 Abs. 1 der Richtlinie 95/46/EG gebunden ist.

(d) „Weiterverarbeiter“ bezieht sich auf Auftragsverarbeiter, die der Datenimporteur oder ein Weiterverarbeiter des Datenimporteurs beauftragt, und die zustimmen, vom Datenimporteur oder einem Weiterverarbeiter personenbezogene Daten ausschließlich für den Zweck von Verarbeitungsaktivitäten im Auftrag des Datenexporteurs zu erhalten. Dies geschieht nach der Übertragung und in Übereinstimmung mit dessen Anweisungen, den Klauseln und Bedingungen des schriftlichen Untervertrages.

(e) „Geltendes Datenschutzrecht“ bezieht sich auf die Gesetzgebung, welche die grundlegenden Rechte und Freiheiten von Einzelpersonen und speziell den Datenschutz bei der Verarbeitung personenbezogener Daten gewährleistet, welche für Verantwortliche in dem Mitgliedsstaat gilt, in dem der Datenexporteur ansässig ist.

„Technische und organisatorische Sicherheitsmaßnahmen“ bezieht sich auf Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder ungesetzlicher Vernichtung oder zufälligem Verlust, der Änderung, unberechtigten Offenlegung oder des Zugriffs. Es gilt speziell, wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk einbezieht, und für sämtliche weiteren unrechtmäßigen Formen der Verarbeitung.

Die Details der Übertragung und ggf. im Besonderen die besonderen Kategorien personenbezogener Daten sind in Anhang 1 dargelegt, der wesentlicher Bestandteil der Klauseln ist.

1. Betroffene Personen können diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 als Drittbegünstigte gegen den Datenexporteur durchsetzen.

2. Betroffene Personen können diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) sowie die Klauseln 9 bis 12 in Fällen gegen den Datenimporteur durchsetzen, in denen der Datenexporteur faktisch verschwunden oder gesetzlich erloschen ist, wenn kein Rechtssubjekt als Nachfolger die gesamten rechtlichen Obliegenheiten des Datenexporteurs per Vertrag oder kraft Gesetzes übernommen hat und im Ergebnis dessen in die Rechte und Verpflichtungen des Datenexporteurs eingetreten ist. In diesem Fall kann die betroffene Person besagte Klauseln gegenüber diesem Rechtssubjekt durchsetzen.

3. Betroffene Personen können diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) sowie die Klauseln 9 bis 12 in Fällen gegen den Weiterverarbeiter durchsetzen, in denen Datenexporteur und Datenimporteur faktisch verschwunden oder gesetzlich erloschen oder in Insolvenz sind, wenn nicht ein Rechtssubjekt als Nachfolger die gesamten rechtlichen Obliegenheiten des Datenexporteurs durch Vertrag oder betriebliche Tätigkeit kraft Gesetzes übernommen hat und im Ergebnis dessen die Rechte und Verpflichtungen des Datenexporteurs übernimmt. In diesem Fall kann die betroffene Person diese gegenüber einem solchen Rechtssubjekt durchsetzen. Solche Haftbarkeit des Weiterverarbeiters als Drittpartei ist auf dessen eigene Verarbeitungstätigkeiten im Rahmen der Klauseln beschränkt.

4. Die Parteien erheben keine Einwände dagegen, dass betroffene Personen durch eine Organisation oder sonstige Körperschaft vertreten werden, wenn diese betroffenen Person dies ausdrücklich wünschen und dies im Rahmen des nationalen Rechts zulässig ist.

Der Datenexporteur verpflichtet sich und gewährleistet Folgendes:

(a) Die Verarbeitung, einschließlich der Übertragung der personenbezogenen Daten, wurde und wird weiterhin in Übereinstimmung mit den einschlägigen geltenden datenschutzrechtlichen Vorschriften durchgeführt und verstößt nicht gegen die einschlägigen Bestimmungen des jeweiligen Einzelstaats. Gegebenenfalls wurden die einschlägigen Behörden des Mitgliedstaates informiert, in dem der Datenexporteur ansässig ist.

(b) Der Datenimporteur wurde angewiesen und bleibt während der Dauer der Services der Verarbeitung der personenbezogenen Daten angewiesen, die übertragenen personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit den geltenden Datenschutzgesetzen und Klauseln zu verarbeiten.

(c) Der Datenimporteur wird ausreichende Garantien bezüglich der technischen und organisatorischen Sicherheitsmaßnahmen geben, die in Anhang 2 dieses Vertrages dargelegt sind.

(d) Nach einer Bewertung der geltenden datenschutzrechtlichen Bestimmungen sind die Sicherheitsmaßnahmen angemessen, um personenbezogene Daten vor fahrlässiger oder vorsätzlicher Vernichtung oder fahrlässigem Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Dies gilt speziell, wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk einbezieht, und für sämtliche weiteren rechtswidrigen Formen der Verarbeitung. Diese Maßnahmen müssen ein Sicherheitsniveau gewährleisten, welches den Risiken der Verarbeitung und der Art der zu schützenden Daten entspricht. Dabei sind der Stand der Technik und die Kosten der Umsetzung zu berücksichtigen.

(e) Konformität mit den Sicherheitsmaßnahmen wird gewährleistet.

(f) Beinhaltet die Übertragung spezielle Kategorien von Daten, wurde oder wird die betroffene Person vor der Übertragung informiert (oder danach so schnell wie möglich), dass seine Daten in ein Drittland übermittelt werden könnten, welches im Sinne der Richtlinie 95/46/EG keinen ausreichenden Schutz gewährleistet.

(g) Mitteilungen vom Datenimporteur oder Weiterverarbeitern gemäß Klausel 5(b) und Klausel 8(3) werden an die Datenschutz-Aufsichtsbehörde weitergeleitet, wenn der Datenexporteur sich dafür entscheidet, die Übertragung fortzusetzen oder die Sperre rückgängig zu machen.

(h) Der Datenexporteur wird den Betroffenen auf Verlangen eine Kopie der Klauseln zur Verfügung stellen, ausgenommen von Anhang 2, sowie eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen, und eine Kopie des jeweiligen Dienstleistungsvertrags über die Weiterverarbeitung, die gemäß den Klauseln erfolgen muss, es sei denn, die Klauseln oder der Vertrag enthalten kaufmännische Informationen; in diesem Fall ist es zulässig, besagte kaufmännischen Informationen zu entfernen.

(i) Im Falle der Weiterverarbeitung erfolgt die Verarbeitung gemäß Klausel 11 durch einen Weiterverarbeiter, der die personenbezogenen Daten und die Rechte der Betroffenen mindestens in demselben Maße wie der Datenimporteur im Rahmen der Klauseln schützt.

(j) Konformität mit den Klauseln 4(a) bis (i) wird gewährleistet.

Der Datenimporteur erklärt sich damit einverstanden und gewährleistet:

(a) dass er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und konform mit dessen Anweisungen und den Klauseln verarbeitet. Kann solche Konformität aus beliebigem Grund nicht bereitgestellt werden, wird der Datenexporteur umgehend darüber informiert. In diesem Fall besitzt der Datenexporteur das Recht, die Übertragung der Daten auszusetzen und den Vertrag zu stornieren;

(b) dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Gesetze ihn daran hindern, die vom Datenexporteur empfangenen Anweisungen und seine Pflichten gemäß dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Gesetze in einer Weise, die wahrscheinlich wesentliche negative Auswirkungen auf die Gewährleistungen und Pflichten in den Klauseln hat, diese Änderung unverzüglich nach Kenntnisnahme beim Datenexporteur melden wird. In diesem Fall hat der Datenexporteur das Recht, die Übermittlung von Daten auszusetzen und/oder den Vertrag zu kündigen;

(c) dass vor der Verarbeitung der übertragenen personenbezogenen Daten die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anhang umgesetzt wurden;

(d) dass der Datenexporteur umgehend Mitteilung über Folgendes erhält:

(i) rechtlich bindende Anfragen zur Offenlegung der personenbezogenen Daten durch eine Vollstreckungsbehörde, wenn dies nicht anderweitig untersagt ist, beispielsweise durch Verbot zwecks Wahrung der Geheimhaltung strafrechtlicher Ermittlungen;

(ii) unabsichtlichen und unbefugten Zugriff; sowie

(iii) sämtliche direkten Anfragen von Betroffenen, ohne auf diese Anfrage zu antworten, wenn nicht anderweitig dazu ermächtigt;

(e) dass er unverzüglich und angemessen auf sämtliche Anfragen des Datenexporteurs bezüglich der Verarbeitung der übertragenen personenbezogenen Daten reagieren wird sowie die Mitteilungen der Aufsichtsbehörde bezüglich der Verarbeitung der übertragenen Daten befolgen wird;

(f) dass er seine Datenverarbeitungseinrichtungen auf Anfrage des Datenexporteurs Audits der Verarbeitungsaktivitäten gemäß den Klauseln unterzieht. Diese sind vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Aufsichtsbehörde ausgewählten zur Geheimhaltung verpflichteten Prüfungsorgan aus unabhängigen Prüfern mit den notwendigen Fachqualifikationen;

(g) dass Betroffenen auf Anfrage eine Kopie der Klauseln oder anderer vorhandener Verträge für die Weiterverarbeitung zur Verfügung gestellt wird, wenn die Klauseln oder Verträge nicht geschäftliche Informationen enthalten. In diesem Fall können solche geschäftlichen Informationen (mit Ausnahme von Anhang 2) entfernt werden und werden durch eine Zusammenfassung der Sicherheitsmaßnahmen ersetzt, wenn Betroffene nicht in der Lage sind, vom Datenexporteur eine Kopie zu erhalten;

(h) dass der Datenexporteur im Fall der Weiterverarbeitung zuvor informiert und dessen schriftliche Einwilligung eingeholt wurde;

(i) dass die Verarbeitungsdienste des Weiterverarbeiters gemäß Klausel 11 ausgeführt werden;

(j) dass er umgehend eine Kopie eines mit einem Weiterverarbeiter im Rahmen der Klauseln abgeschlossenen Vertrages an den Datenexporteur senden wird;

(k) dass er den Datenexporteur auf eigene Kosten gegen sämtliche Verbindlichkeiten und Verluste im Zusammenhang mit dem Verlust, der unbefugten Offenlegung, dem Diebstahl oder der Gefährdung personenbezogener Daten sowie sonstigen Verstößen gegen die geltenden Datenschutzgesetze durch den Datenimporteur oder seitens des Datenimporteurs verteidigt, für diese entschädigt und von der Haftung freistellt.

1. Die Parteien kommen überein, dass Betroffene, die durch Verletzung der Verpflichtungen gemäß Klausel 3 oder Klausel 11 durch eine der Parteien oder einen Weiterverarbeiter Schäden erlitten haben, für diese Schäden Anspruch auf eine Entschädigung durch den Datenexporteur haben.

2. Ist ein Betroffener nicht in der Lage, Schadenersatzansprüche, die auf einer Verletzung der Verpflichtungen gemäß Klausel 3 oder 11 des Datenimporteurs oder seines Weiterverarbeiters beruhen, gemäß Absatz 1 gegenüber dem Datenexporteur geltend zu machen, da der Datenexporteur faktisch nicht auffindbar oder gesetzlich erloschen oder in Insolvenz ist, stimmt der Datenimporteur zu, dass der Betroffene den Anspruch gegenüber dem Datenimporteur geltend machen kann, als wäre dieser der Datenexporteur, sofern kein Rechtssubjekt als Nachfolger per Vertrag oder kraft Gesetzes in die gesamten rechtlichen Obliegenheiten des Datenexporteurs eingetreten ist. In diesem Fall kann der Betroffene seine Ansprüche gegenüber diesem Rechtssubjekt durchsetzen.
   
   Der Datenimporteur darf sich nicht auf eine Verletzung der Verpflichtungen seitens des Weiterverarbeiters berufen, um der eigenen Haftbarkeit zu entgehen.

3. Ist ein Betroffener nicht in der Lage, gemäß Absatz 1 und 2 Ansprüche, die auf einer Verletzung der Verpflichtungen gemäß Klausel 3 oder 11 des Weiterverarbeiters beruhen, gegenüber dem Datenimporteur oder Datenexporteur geltend zu machen, da der Datenexporteur und Datenimporteur faktisch nicht auffindbar oder gesetzlich erloschen oder in Insolvenz sind, stimmt der Weiterverarbeiter zu, dass der Betroffene den Anspruch gegen den Weiterverarbeiter bezüglich dessen Verarbeitung geltend machen kann, als wäre dieser der Datenexporteur oder Datenimporteur, sofern kein Rechtssubjekt als Nachfolger per Vertrag oder kraft Gesetzes in die gesamten rechtlichen Pflichten des Datenexporteurs oder Datenimporteurs eingetreten ist. In diesem Fall kann der Betroffene seine Ansprüche gegenüber diesem Rechtssubjekt geltend machen. Die Haftbarkeit des Weiterverarbeiters wird auf dessen eigene Verarbeitungstätigkeiten im Rahmen der Klauseln beschränkt.

1. Der Datenimporteur verpflichtet sich, im Falle, dass der Betroffene ihm gegenüber Drittbegünstigtenrechte und/oder Schadenersatzansprüche gemäß den Klauseln geltend macht, die Entscheidung des Betroffenen zu akzeptieren:
   
   (a) die Streitigkeit an die Schlichtung durch eine unabhängige Drittpartei oder ggf. die Aufsichtsbehörde zu verweisen;
   
   (b) die Streitigkeit an die Gerichte des Mitgliedstaates, in dem der Datenexporteur ansässig ist, zu verweisen.

2. Die Parteien kommen überein, dass die Wahl des Betroffenen keinen Nachteil der Rechte (weder materielle noch Verfahrensrechte) bezüglich Entschädigungen gemäß weiterer Bestimmungen nationaler oder internationaler Rechte bedeutet.

1. Der Datenexporteur stimmt zu, auf Verlangen oder wenn im Rahmen des geltenden Datenschutzrechts erforderlich, eine Ausfertigung dieses Vertrages bei der Aufsichtsbehörde zu hinterlegen.

2. Die Parteien kommen überein, dass die Aufsichtsbehörde das Recht besitzt, ein Audit von Datenimporteur und Weiterverarbeitern durchzuführen, welches denselben Umfang besitzt und die gleichen Bedingungen erfüllt, welche gemäß geltenden Datenschutzgesetzen für ein Audit des Datenexporteurs Anwendung fänden.

3. Der Datenimporteur benachrichtigt den Datenexporteur umgehend über die Existenz der für ihn oder Weiterverarbeiter geltenden Gesetze, die die Durchführung von Audits des Datenimporteurs oder von Weiterverarbeitern gemäß Abschnitt 2 verhindern. In einem solchen Fall hat der Datenexporteur das Recht, die in Klausel 5(b) vorgesehenen Maßnahmen durchzuführen.

Die Klauseln werden von den Gesetzen des Mitgliedsstaates geregelt, in dem der Datenexporteur ansässig ist. Ist der Datenexporteur in mehr als einem Gerichtsstand ansässig, gelten die Gesetze von England und Wales.

Die Parteien werden die Klauseln weder abändern noch modifizieren. Dies schließt nicht aus, dass die Parteien Klauseln für geschäftliche Fragen hinzufügen können, wenn notwendig, wenn dies nicht der Klausel widerspricht.

1. Der Datenimporteur darf ohne vorherige schriftliche Einwilligung des Datenexporteurs keine Verarbeitung im Auftrag des Datenexporteurs im Rahmen der Klauseln im Unterauftrag vergeben. Vergibt der Datenimporteur seine Verpflichtungen im Rahmen der Klauseln und mit Einwilligung des Datenexporteurs in Unterauftrag, muss dies durch schriftlichen Vertrag mit dem Weiterverarbeiter geschehen, welcher dem Weiterverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß der Klauseln auferlegt sind. Kommt der Weiterverarbeiter seinen Datenschutzverpflichtungen im Rahmen des schriftlichen Vertrages nicht nach, bleibt der Datenimporteur dem Datenexporteur gegenüber vollständig haftbar für die Erfüllung der Verpflichtungen des Weiterverarbeiters im Rahmen des Vertrages.

2. Der vorangehende schriftliche Vertrag zwischen Datenimporteur und Weiterverarbeiter enthält zudem eine Klausel über Drittbegünstigte gemäß Klausel 3 für Fälle, in denen Betroffene nicht in der Lage sind, Ansprüche auf Entschädigung gemäß Klausel 6 Abs. 1 gegen den Datenexporteur oder den Datenimporteur geltend zu machen, da diese faktisch verschwunden oder gesetzlich erloschen oder in Insolvenz sind und kein Rechtssubjekt per Vertrag oder kraft Gesetzes als Nachfolger in die gesamten rechtlichen Obliegenheiten des Datenexporteurs oder Datenimporteurs eingetreten ist. Solche Haftbarkeit des Weiterverarbeiters als Drittpartei ist auf dessen eigene Verarbeitungstätigkeiten im Rahmen der Klauseln beschränkt.

3. Die Bestimmungen des Vertrages bezüglich der Datenschutzaspekte für die Weiterverarbeitung, auf die in Abschnitt 1 Bezug genommen wird, unterliegen den Gesetzen des Mitgliedsstaates, in dem der Datenexporteur ansässig ist.

4. Der Datenexporteur hält eine Liste der Verträge über die Weiterverarbeitung vor, die im Rahmen der Klauseln abgeschlossen wurden und von denen der Datenimporteur gemäß Klausel 5 (j) benachrichtigt wurde. Diese Liste wird mindestens einmal jährlich aktualisiert. Diese Liste hat der Aufsichtsbehörde für den Datenschutz des Datenexporteurs verfügbar zu sein.

1. Die Parteien kommen überein, dass Datenimporteur und Weiterverarbeiter mit Beendigung der Bereitstellung von Diensten der Datenverarbeitung nach Entscheidung des Datenexporteurs sämtliche übertragenen personenbezogenen Daten und deren Kopien an den Datenexporteur zurückgeben oder die personenbezogenen Daten vernichten und gegenüber dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern der Datenimporteur nicht durch gesetzliche Verpflichtungen davon abgehalten wird, die gesamten übertragenen personenbezogenen Daten (oder Teile davon) zurückzugeben oder zu vernichten. In diesem Fall sichert der Datenimporteur zu, die Vertraulichkeit der übertragenen personenbezogenen Daten zu gewährleisten und die übertragenen personenbezogenen Daten nicht mehr aktiv zu verarbeiten.

2. Datenimporteur und Weiterverarbeiter sagen zu, dass ihre Einrichtungen für die Datenverarbeitung auf Anfrage des Datenexporteurs oder der Aufsichtsbehörde einem Audit bezüglich der Maßnahmen gemäß Abschnitt 1 unterzogen werden können.

Weitere erforderliche Informationen müssen in diesen Anhang aufgenommen werden, sofern sie nicht in einem beigefügten Pflichtenheft enthalten sind:

Datenexporteur:
Der Datenexporteur ist das als GoDaddy bezeichnete Rechtssubjekt, ein Anbieter des Reseller-Programms, über das der Datenimporteur bestimmte Produkte und Dienstleistungen von GoDaddy an seine Kunden weiterverkauft.

Datenimporteur:

Der Datenimporteur ist ein Wiederverkäufer der Produkte und Dienstleistungen von GoDaddy.

Betroffene

Die Betroffenen sind die Kunden.

Datenkategorien

Personenbezogene Daten der folgenden Kategorien können ggf. übertragen werden:

Der Kunde kann personenbezogene Daten unter anderem der folgenden Kategorien an die Dienste übermitteln:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• Anschrift
• Verarbeitung

Die übermittelten personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungsaktivitäten unterzogen:

Der Wiederverkäufer wird personenbezogene Daten verarbeiten, soweit dies für die Erbringung der Dienstleistungen gemäß Wiederverkäufervertrag notwendig ist, und ferner gemäß Anweisungen des Kunden durch dessen Nutzung der Dienste.

Technische und organisatorische Sicherheitsmaßnahmen

Der Datenimporteur verpflichtet sich, technische und organisatorische Schutzmaßnahmen für den Schutz der Sicherheit, Geheimhaltung und Integrität von Kundendaten einschließlich personenbezogener Daten einzurichten, wie in diesem Zusatz dargelegt. Der Datenimporteur verpflichtet sich, die Einhaltung dieser Schutzmaßnahmen regelmäßig zu überwachen. Der Datenimporteur darf die Gesamtsicherheit der Services oder des Reseller-Programms nicht wesentlich vermindern.