UK GDPR-Datenverarbeitungszusatz
Nitro Pro
DIESE DATENVERARBEITUNGSZUSATZ GILT, WENN SIE SICH ALS UNTERNEHMEN FÜR DIE NITRO-DIENSTLEISTUNGEN UNTER DEN NITRO-NUTZUNGSBEDINGUNGEN REGISTRIERT HABEN UND DER UK GDPR FÜR DIE VERARBEITUNG PERSÖNLICHER DATEN IM ZUSAMMENHANG MIT DEM VERTRAG ANWENDBAR IST. WENN SIE SICH ALS EINZELPERSON REGISTRIERT HABEN, BESUCHEN SIE BITTE DIE DATENSCHUTZRICHTLINIE VON NITRO FÜR WEITERE INFORMATIONEN DARÜBER, WIE NITRO IHRE PERSONENBEZOGENEN DATEN VERARBEITET.
1.
Geltungsbereich; Rollen der ParteienNitro empfängt und verarbeitet personenbezogene Daten zum Nutzen und im Auftrag des Kunden, wenn der Service bereitgestellt wird, gemäß den Anweisungen und dem Zweck, die der Kunde in den Einzelheiten zur Datenverarbeitung definiert hat. Durch diesen Datenverarbeitungszusatz möchten die Parteien ihre spezifischen Vereinbarungen zur Verarbeitung personenbezogener Daten im Rahmen des Vertrags festlegen.
Standardmäßig handelt Nitro als Auftragsverarbeiter und der Kunde als Verantwortlicher hinsichtlich der von Nitro für den Kunden erbrachten Dienstleistungen gemäß den Nitro-Nutzungsbedingungen. Dieser Datenverarbeitungszusatz ersetzt und ersetzt alle vorherigen Vereinbarungen, die (falls vorhanden) in Bezug auf die Verarbeitung personenbezogener Daten und den Datenschutz zwischen den Parteien im Zusammenhang mit den von Nitro angebotenen Diensten getroffen wurden.
Dieser Datenverarbeitungszusatz ergänzt und ist Teil der Nutzungsbedingungen, und zusammen bilden die Nutzungsbedingungen und dieser Datenverarbeitungszusatz eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Abweichungen oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen hat der Datenverarbeitungszusatz Vorrang.
2. Definitionen
„Anlage“ bezieht sich auf jede Anlage zu diesem Datenverarbeitungszusatz;
„Verantwortlicher“ bezieht sich auf den Kunden, wie in den Nutzungsbedingungen und dem entsprechenden Bestellformular angegeben;
„Einzelheiten zur Datenverarbeitung“ bezieht sich auf Anhang 1 zu diesem Datenverarbeitungszusatz, der weitere Einzelheiten zu den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten wie Zweck, Objekt und Art der Verarbeitung und Art der verarbeiteten personenbezogenen Daten enthält;
„UK GDPR“ bezieht sich auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und hebt die Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) auf;
„Personenbezogene Daten“ bezieht sich auf personenbezogene Daten, wie sie im UK GDPR definiert sind, die Nitro zum Nutzen und im Auftrag des Kunden verarbeitet, wenn die Dienstleistungen gemäß den Anweisungen und dem Zweck, die der Kunde in den Einzelheiten zur Datenverarbeitung definiert hat, erbracht werden;
„Auftragsverarbeiter“ bezieht sich auf Nitro Software Inc., Anbieter der Dienstleistungen für den Kunden und wie in den Nutzungsbedingungen angegeben;
„Liste der Unterauftragnehmer“ bezieht sich auf die Liste der Unterauftragnehmer, die von Nitro online zur Verfügung gestellt wird und die Unterauftragnehmer umfasst, die von Nitro für die Bereitstellung der Dienstleistungen und die Erfüllung der Verpflichtungen von Nitro im Rahmen des Vertrags insgesamt engagiert wurden. Nitro kann die Liste der Unterauftragnehmer von Zeit zu Zeit gemäß dem in diesem Datenverarbeitungszusatz festgelegten Verfahren aktualisieren;
„Unterauftragnehmer“ bezieht sich auf jeden externen Verarbeiter, der von Nitro für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienstleistungen für den Kunden engagiert wird;
„UK GDPR“ bezieht sich auf den EU GDPR, der kraft § 3 des Gesetzes über den Austritt der Europäischen Union von 2018 in das britische nationale Recht übertragen wurde und wie er durch die Vorschriften über Datenschutz, Privatsphäre und elektronische Kommunikation (Änderungen usw.) (Austritt aus der EU) von 2019 (in der Fassung) geändert wurde;
„UK-Personenbezogene Daten“ bezieht sich auf personenbezogene Daten, auf die der UK GDPR anwendbar ist;
„UK-Standardvertragsklauseln“ bezieht sich auf die internationale Datenübertragungsanlager zu den Standardvertragsklauseln der EU-Kommission, die vom Informationskommissar gemäß Abschnitt 119A(1) des Datenschutzgesetzes 2018 in der Form und Weise, die in Anhang 2 zu diesem Datenverarbeitungszusatz festgelegt ist, herausgegeben wurden.
3.
Gegenstand dieses Datenverarbeitungszusatzes3.1 Dieser Datenverarbeitungszusatz regelt die Bedingungen für die Verarbeitung durch Nitro von personenbezogenen Daten, die vom Kunden im Rahmen des Vertrags kommuniziert oder von ihm initiiert werden. Die Art und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Einzelheiten zur Datenverarbeitung (Anhang 1) aufgeführt.
3.2 Die Verarbeitung erfolgt ausschließlich zum Vorteil des Kunden und zu dem Zweck, den der Kunde in den Einzelheiten zur Datenverarbeitung definiert hat. Nitro wird den Kunden unverzüglich informieren, wenn nach seiner Auffassung eine Anweisung gegen geltende Datenschutzgesetze verstößt. Nitro verarbeitet die personenbezogenen Daten ausschließlich gemäß den dokumentierten Anweisungen des Kunden und verwendet diese personenbezogenen Daten nicht für eigene Zwecke, es sei denn, dies wird in den Nutzungsbedingungen ausdrücklich gestattet. Wenn Nitro gesetzlich verpflichtet ist, mit der Verarbeitung personenbezogener Daten fortzufahren, wird Nitro, es sei denn, dies würde geltende zwingende Vorschriften verletzen, den Kunden über diese Verpflichtung informieren.
4. Laufzeit
4.1 Dieser Datenverarbeitungszusatz gilt für alle in Bezug auf die Bereitstellung der Dienstleistungen für den Kunden durch Nitro umgesetzten Verarbeitungen personenbezogener Daten und gilt, solange Nitro personenbezogene Daten im Auftrag des kunden im Rahmen des Vertrags verarbeitet. Dieser Datenverarbeitungszusatz ergänzt die Nitro-Nutzungsbedingungen und soll die Einhaltung der Anforderungen sicherstellen, die durch die geltenden Datenschutzgesetze und -vorschriften für die Nutzung der Dienstleistungen durch den Kunden auferlegt werden.
4.2 Dieser Datenverarbeitungszusatz endet automatisch mit der Beendigung des Vertrags (oder im Moment, in dem die Verarbeitung durch Nitro beendet wird). Die Bestimmungen dieses Datenverarbeitungszusatzes, die entweder ausdrücklich oder stillschweigend (angesichts ihrer Natur) dazu bestimmt sind, nach Beendigung des Datenverarbeitungszusatzes Wirksamkeit zu entfalten, bleiben auch nach Ende des Vertrags hinsichtlich der personenbezogenen Daten, die im Rahmen des Vertrags vom Kunden kommuniziert oder von ihm initiiert wurden, bestehen.
5. Technische und organisatorische Maßnahmen
5.1 Nitro bietet angemessene Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), um eine sichere Verarbeitung personenbezogener Daten zu gewährleisten, sodass die Rechte des Betroffenen geschützt sind. Die von Nitro umgesetzten TOMs sind wie in den Einzelheiten zur Datenverarbeitung dargelegt. Die TOMs können von Nitro von Zeit zu Zeit aktualisiert werden, jedoch wird Nitro sicherstellen, dass die Gesamtsicherheit, die zum Zeitpunkt der Ausführung des Datenverarbeitungszusatzes implementiert wurde, nicht herabgestuft wird. Der Kunde erkennt an, dass die TOMs zum Zeitpunkt der Unterzeichnung oder Akzeptanz dieses Datenverarbeitungsanhangs als angemessen für die Verarbeitung seiner personenbezogenen Daten gelten.
5.2 Nitro wird alle angemessenen technischen und organisatorischen Maßnahmen gemäß Artikel 32 des UK GDPR ergreifen, um ein angemessenes Sicherheitsniveau entsprechend dem Risiko zu gewährleisten.
5.3 Wenn der Kunde sensible personenbezogene Daten gemäß den Artikeln 9 und 10 des UK GDPR an Nitro im Rahmen des Vertrags übermittelt, wird der Kunde Nitro schriftlich darüber informieren, indem er privacy@gonitro.com kontaktiert.
5.4 Falls der Kunde spezifische technische und organisatorische Maßnahmen anfordert, die Nitro (die Nitro standardmäßig nicht implementiert hat) umsetzen soll, wird der Kunde Nitro die Kosten für die Umsetzung solcher zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungsanhangs erstatten.
5.5 Die Einhaltung eines genehmigten Verhaltenskodex durch Nitro, wie in Artikel 40 UK GDPR erwähnt, oder eines genehmigten Zertifizierungsmechanismus, wie in Artikel 42 UK GDPR erwähnt, kann als Nachweis ausreichender Garantien gemäß UK GDPR verwendet werden.
6. Aufbewahrung
6.1 Nitro wird personenbezogene Daten nicht länger aufbewahren, als es für die Verarbeitung dieser personenbezogenen Daten im Rahmen des Vertrags erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Daten länger aufzubewahren, als erforderlich. Die geltende Aufbewahrungsfrist (wie vom Kunden definiert) ist in den Einzelheiten zur Datenverarbeitung festgelegt.
6.2 Nach Wahl des Kunden wird Nitro alle personenbezogenen Daten nach Ablauf der Bereitstellung der Dienste löschen oder an den Kunden zurückgeben und vorhandene Kopien löschen, es sei denn, gesetzlich vorgeschrieben ist eine Aufbewahrung der personenbezogenen Daten. Der Kunde erkennt an, dass die Dienste Download-Funktionen beinhalten können, die dem Kunden zur Verfügung stehen, um seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, wird der Kunde diese Funktionen nutzen, um seine Daten zu extrahieren oder zu löschen.
7. Vertraulichkeit
7.1 Die Parteien haben in den Allgemeinen Geschäftsbedingungen eine Vertraulichkeitsklausel vereinbart, die für die Verarbeitung personenbezogener Daten im Rahmen des Vertrags gilt.
7.2 Nitro erkennt an und stimmt zu, dass nur die Mitarbeiter, Auftragnehmer oder Beauftragten von Nitro, die in die Verarbeitung personenbezogener Daten eingebunden sind, über die personenbezogenen Daten informiert werden dürfen und nur soweit dies vernünftigerweise notwendig ist, um den Vertrag zu erfüllen. Nitro stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten berechtigt sind, vertraglich zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
8. Rechte der betroffenen Personen
8.1 Unter Berücksichtigung der Art der Verarbeitung wird Nitro alle angemessenen Anstrengungen unternehmen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um den Kunden bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen der betroffenen Personen zu unterstützen.
8.2 Für alle von Nitro im Rahmen der Bearbeitung solcher Anfragen von betroffenen Personen erbrachten Unterstützungsleistungen wird der Kunde Nitro gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungsanhangs entschädigen. Eine solche Erstattung durch den Kunden gilt nicht (i) im Fall, dass der Betroffene seine Rechte aufgrund eines nachweislich auf Nitro zurückzuführenden Verstoßes gegen personenbezogene Daten geltend macht, oder (ii) falls eine solche Unterstützung durch Nitro vier (4) Stunden Arbeitsaufwand während der Laufzeit des Vertrags nicht überschreitet.
9. Benachrichtigungspflicht
9.1 Sobald Nitro von einem Verstoß gegen personenbezogene Daten Kenntnis erlangt, wird Nitro den Kunden unverzüglich informieren, indem der Kontakt person, die im Vertrag oder im entsprechenden Bestellformular angegeben ist, kontaktiert wird (alternativ auch über die Benachrichtigungs-E-Mail-Adresse des Kunden oder (sofern zutreffend) jede andere E-Mail-Adresse, die der Kunde im Administrationsportal als Kontakt für Datenschutz angegeben hat). Die Kontaktperson von Nitro für alle datenschutzrechtlichen Angelegenheiten ist per E-Mail erreichbar: privacy@gonitro.com.
9.2 Auf Anfrage des kunden wird Nitro den kunden über alle neuen Entwicklungen in Bezug auf eine Verletzung personenbezogener Daten sowie über die Maßnahmen informieren, die ergriffen wurden, um die Folgen zu begrenzen und eine Wiederholung eines solchen Verstoßes gegen personenbezogene Daten zu verhindern. Es liegt in der Verantwortung des Kunden, alle Verstöße gegen personenbezogene Daten der Aufsichtsbehörde oder den betroffenen Personen zu melden, wenn erforderlich.
10. Unterauftragsverarbeitung
10.1 Der Kunde ermächtigt Nitro ausdrücklich, Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten zur Erfüllung des Vertrags und zur allgemeinen Bereitstellung der Dienste einzusetzen. In diesem Sinne gewährt der Kunde Nitro eine allgemeine schriftliche Genehmigung, um zu entscheiden, mit welchen Unterauftragsverarbeitern Nitro zusammenarbeitet, um seinen Verpflichtungen aus dem Vertrag nachzukommen. Nitro veröffentlicht eine Liste der Unterauftragsverarbeiter, die sich auf die von Nitro eingesetzten Unterauftragsverarbeiter bezieht.
10.2 Nitro wird den Kunden über alle beabsichtigten Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern informieren, indem der kontakt angegeben wird, der im Vertrag oder im relevanten Bestellformular angegeben ist (oder über die Benachrichtigungs-E-Mail-Adresse des kunden oder (sofern zutreffend) jede andere E-Mail-Adresse, die der Kunde im Administrationsportal als Datenschutzkontakt angegeben hat). Der Kunde hat das Recht, der Hinzufügung oder dem Austausch durch schriftliche Mitteilung an Nitro zu widersprechen. Die Parteien werden in einem solchen Fall den Hinzufügungs-, Austausch- oder Alternativvorschlag in gutem Glauben und so schnell wie möglich nach schriftlicher Widerspruchsmitteilung des Kunden besprechen.
10.3 Wenn Nitro einen Unterauftragsverarbeiter für die Durchführung spezifischer Verarbeitungsaktivitäten beauftragt, werden dieselben oder ähnliche Datenschutzverpflichtungen, wie in diesem Datenverarbeitungsanhang festgelegt, dem Unterauftragsverarbeiter durch einen schriftlichen Vertrag auferlegt, insbesondere durch ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen (und unter Berücksichtigung der relevanten technischen und organisatorischen Maßnahmen). Wenn ein Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommt, bleibt Nitro dem Kunden gegenüber für die Erfüllung dieser Verpflichtungen des Unterauftragsverarbeiters voll verantwortlich.
11. Internationale Datenübertragungen
11.1 Der Kunde erkennt an, dass Nitro in den Vereinigten Staaten von Amerika ansässig ist, und autorisiert somit internationale Übertragungen personenbezogener Daten zur Bereitstellung der Dienstleistungen. Eine solche internationale Datenübertragung gilt als Anweisung des Kunden.
11.2 Wenn Nitro zu irgendeinem Zeitpunkt während der Laufzeit dieses Datenverarbeitungsanhangs (i) gemäß der UK-Erweiterung des EU-US. Datenschutzrahmen (auch bekannt als die 'Datenbrücke' zwischen Großbritannien und den USA) ('Rahmen'); und (ii) dass dieser Rahmen eine gültige Angemessenheitsentscheidung im Sinne von Artikel 45 UK GDPR darstellt, erkennen die Parteien an, dass keine geeigneten Sicherheitsvorkehrungen für die Übertragungen zwischen dem Kunden und Nitro.
11.3 Wenn die in Abschnitt 11.2 dargelegten Bedingungen nicht zutreffen, schließen die Parteien die UK Standardvertragsklauseln in der Form und Weise ab, die in Anhang 2 zu diesem Datenverarbeitungszusatz festgelegt sind, wobei diese UK Standardvertragsklauseln Teil dieses Datenverarbeitungszusatzes sind.
11.4 Der Kunde erkennt an, dass Unterauftragnehmer, die gemäß Klausel 10 autorisiert sind, ebenfalls personenbezogene Daten in Drittländern verarbeiten können. Der Kunde erlaubt solche Übertragungen, vorausgesetzt, Nitro ergreift alle notwendigen Maßnahmen, um sicherzustellen, dass solche Übertragungen den Bestimmungen von Kapitel V des UK GDPR und anderen anwendbaren Datenschutzgesetzen entsprechen.
11.5 Falls der Transfer personenbezogener Daten in ein Drittland oder eine internationale Organisation gemäß der anwendbaren Gesetzgebung, der Nitro unterliegt, zwingend erforderlich ist, ist Nitro berechtigt, einen solchen Transfer durchzuführen und den Kunden vor dieser Verarbeitung über diese gesetzliche Anforderung zu informieren, es sei denn, diese Gesetzgebung verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
12. Datenschutz-Folgenabschätzung und Vorabconsultation
12.1 Wenn der Kunde eine Datenschutz-Folgenabschätzung ('DPIA') (Artikel 35 UK GDPR) oder eine Vorabconsultation (Artikel 36 UK GDPR) im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Erfüllung des Vertrags durchführt, wird Nitro den Kunden nach angemessenem Ermessen unterstützen, indem Nitro Unterstützung auf schriftliche Anfrage des Kunden bereitstellt. Der Kunde erstattet Nitro die für die Unterstützung gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes aufgewendeten Kosten. Eine solche Kostenrückerstattung gilt nicht, falls (i) die von Nitro angeforderte Unterstützung weniger als vier (4) Arbeitsstunden während der Laufzeit des Vertrags beträgt, oder (ii) die DPIA oder Vorabconsultation durch eine nachweislich Nitro zuzurechnende Verletzung personenbezogener Daten ausgelöst wird.
13. Prüfungsrecht
13.1 Der Kunde hat das Recht, Prüfungen zur Einhaltung der Verpflichtungen von Nitro aus diesem Datenverarbeitungszusatz und der anwendbaren Datenschutzgesetzgebung durchzuführen. Nitro wird sich um eine angemessene Zusammenarbeit bei solchen Audits bemühen und alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung seiner Verpflichtungen nachzuweisen. Der Kunde hat Nitro mindestens einen (1) Monat vor dem Datum, an dem die Prüfung durchgeführt wird, schriftlich über eine solche Prüfung zu benachrichtigen, indem er Nitro über privacy@gonitro.com informiert.
13.2 Im Falle einer durchgeführten Prüfung müssen alle beteiligten Parteien zunächst eine spezifische Vertraulichkeitsvereinbarung unterzeichnen, die von Nitro in Bezug auf diese Prüfung und die Prüfungsergebnisse ausgestellt wird, bevor die Prüfung beginnt. Bei der Durchführung einer solchen Prüfung sind die Geheimhaltungsverpflichtungen der Parteien gegenüber Dritten zu berücksichtigen. Sowohl die Parteien als auch ihre Prüfer müssen die im Rahmen einer Prüfung gesammelten Informationen geheim halten und sie ausschließlich zur Überprüfung der Einhaltung dieses Datenverarbeitungszusatzes sowie der geltenden Datenschutzgesetze und -vorschriften verwenden. Der Kunde hat die Option, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen; jedoch muss dieser unabhängige Prüfer die in diesem Abschnitt genannte Vertraulichkeitsvereinbarung ordnungsgemäß unterzeichnen.
13.3 Beide Parteien und, wo zutreffend, deren Vertreter müssen wirtschaftlich mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten.
13.4 Der Kunde erstattet Nitro die Unterstützung, die Nitro im Zusammenhang mit der Prüfung(en) gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes bereitstellt. Dabei wird verstanden, dass eine solche Rückerstattung nicht gilt, wenn (i) die Prüfung aufgrund einer nachweislich Nitro zuzurechnenden Verletzung personenbezogener Daten erfolgt oder (ii) wenn die Unterstützung von Nitro vier (4) Arbeitsstunden während der Vertragslaufzeit nicht überschreitet.
14. Kosten
14.1 Die Unterstützung, die im Rahmen dieses Datenverarbeitungszusatzes erbracht wird, für die Nitro dem Kunden Gebühren berechnen kann, wird auf der Grundlage der geleisteten Arbeitsstunden und der jeweils geltenden Standard-Stundensätze von Nitro (295 USD/Stunde, ohne Steuern) berechnet. Nitro wird diese Beträge monatlich in Rechnung stellen, hat aber auch das Recht, eine Vorauszahlung zu verlangen.
14.2 Die Zahlung des Kunden an Nitro für die gemäß diesem Datenverarbeitungszusatz bereitgestellten Dienstleistungen und Fachkräfte erfolgt gemäß den Bestimmungen der Nutzungsbedingungen.
15. Haftung
15.1 Soweit dies nach geltendem Recht zulässig ist, gelten die Bestimmungen der Nutzungsbedingungen zur Haftungsbeschränkung auch für diesen Datenverarbeitungszusatz und die sich daraus ergebenden Schäden. Sonstiges
16.1 Die Bestimmungen der Nutzungsbedingungen zu Änderungen, Vollständigkeit des Vertrags, Teilbarkeit, anwendbarem Recht und zuständigen Gerichten gelten für diesen Datenverarbeitungszusatz. Im Falle von Abweichungen oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den UK Standardvertragsklauseln, falls zutreffend, haben die UK Standardvertragsklauseln Vorrang.
Anhang 1 - Einzelheiten zur Datenverarbeitung
A. LISTE DER PARTEIEN
1. DATENEXPORTIERER(IN)
Name: Kunde, wie im Vertrag und im entsprechenden Auftrag angegeben.
Adresse: Die Adresse des Datenexporteurs ist im Vertrag und im entsprechenden Auftrag festgelegt.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten der Kontaktperson für den Datenexporteur sind festgelegt. im Vertrag, im entsprechenden Auftrag (und falls zutreffend im Admin-Portal des Kunden).
Für die übertragenen Daten relevante Tätigkeiten: Die für die unter diesen UK Standardvertragsklauseln übertragenen Daten relevanten Tätigkeiten sind nachstehend in Abschnitt B 'Beschreibung der Verarbeitung/Übertragung' beschrieben.
Unterschrift und Datum: Mit der Unterschrift oder der Annahme des entsprechenden Auftrags wird der Datenexporteur als Unterzeichner dieses Anhangs I angesehen.
Rolle (verantwortlicher Auftragsverarbeiter): Verantwortlicher
2. DATENIMPORTIERER(IN)
Name: Nitro Software Inc.
Adresse: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
Name, Position und Kontaktdaten der Kontaktperson: privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
Für die übertragenen Daten relevante Tätigkeiten: Die für die unter diesen UK Standardvertragsklauseln übertragenen Daten relevanten Tätigkeiten sind nachstehend in Abschnitt B 'Beschreibung der Verarbeitung/Übertragung' beschrieben.
Unterschrift und Datum: Mit der Unterschrift oder der Annahme des entsprechenden Auftrags wird der Datenimporteur als Unterzeichner dieses Anhangs I angesehen.
Rolle (verantwortlicher Auftragsverarbeiter): Auftragsverarbeiter
B. BESCHREIBUNG DER VERARBEITUNG/ÜBERTRAGUNG
1. Gegenstand der Verarbeitung der personenbezogenen Daten
Der Gegenstand wird vom Kunden bestimmt, wie im Vertrag und im entsprechenden Bestellformular dargestellt.
2. Die Art und der Zweck der Verarbeitung personenbezogener Daten
Die Art und der Zweck der Verarbeitung werden vom Kunden bestimmt, wie im Vertrag und im entsprechenden Bestellformular dargestellt.
Standardmäßig hat diese Verarbeitung den Zweck, die Dienste einschließlich aller Funktionen und Merkmale dem Kunden und seinen Nutzern zur Verfügung zu stellen und im Allgemeinen Nitro zu ermöglichen, seine vertraglichen Verpflichtungen aus dem Vertrag zu erfüllen. Ein solcher Zweck kann darin bestehen, die Cloud-Dienste (zum Beispiel, aber nicht beschränkt auf, das Kunden-Cloud-Portal, elektronische Signaturdienste, Analysedienste usw.) sowie die Bereitstellung von Support verfügbar zu machen.
Die Art der Verarbeitung umfasst unter anderem die Verarbeitung, Sammlung, Speicherung, Kommunikation und Übertragung von personenbezogenen Daten, gemäß den weiteren Anweisungen des Kunden im Vertrag und im entsprechenden Bestellformular.
3. Verarbeitete personenbezogene Daten
Abhängig von den im Rahmen der Dienste verwendeten Funktionen (z. B. Admin-Portal, elektronische Signaturdienste, Analysedienste usw.) und dem Inhalt der vom Kunden und seinen Nutzern in die Dienste hochgeladenen Kundendaten verarbeitet Nitro unterschiedliche Arten personenbezogener Daten.
Im Allgemeinen umfasst die von Nitro verarbeitete personenbezogene Daten ohne Einschränkung:
- Identifikationsdetails (z. B. Benutzer- und Nutzungsdetails)
- Dokumentdaten (z. B. personenbezogene Daten, die in verarbeiteten PDF-Dokumenten enthalten sind)
Eine detaillierte Übersicht über die Art der verarbeiteten personenbezogenen Daten bei der Nutzung der Dienste ist über Nitros Trust Center verfügbar: Verarbeitung personenbezogener Daten
4. EMPFINDLICHE DATEN
Der Datenexporteur kann sensible personenbezogene Daten in den personenbezogenen Daten gemäß Abschnitt 5.3 dieser Datenverarbeitungsanpassung aufnehmen. Übertragene sensible Daten (sofern zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel strenge Zweckbindung, Zugangsrestriktionen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung durchlaufen haben), das Führen eines Zugangsprotokolls, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen: es wird auf die TOMs verwiesen, wie sie in den unten aufgeführten Informationen zur Datenverarbeitung aufgeführt oder erwähnt sind.
5. Kategorie der betroffenen Personen
Die folgenden Kategorien von betroffenen Personen sind standardmäßig im Geltungsbereich:
- Alle Nutzer, die Zugang zu den Diensten haben (dazu gehören Administratoren, allgemeine Nutzer oder eingeladene Nutzer wie Unterzeichner).
- Alle betroffenen Personen, die in die Kundendaten, die der Kunde oder seine Nutzer in die Dienste hochgeladen haben, enthalten sind.
Der Kunde bestätigt, dass diese betroffenen Personen standardmäßig als eine der folgenden Kategorien betrachtet werden:
- Personal des Kunden
- Kunden des Kunden
- Interessenten des Kunden
- Lieferanten des Kunden
6. Unterauftragnehmer
Nitro beauftragt Unterauftragnehmer, um sicherzustellen, dass alle Funktionen innerhalb der Dienste verfügbar sind. Welche Unterauftragnehmer anwendbar sind, hängt von der Nutzung der Dienste sowie den vom Kunden angeforderten Funktionen und der Konfiguration ab. Eine detaillierte Liste der von Nitro beauftragten Unterauftragnehmer (einschließlich des Verfahrens, das wir anwenden, wenn wir neue Unterauftragnehmer beauftragen) ist über unser Trust Center verfügbar: Unterauftragnehmer und Subunternehmer
7. Technische und organisatorische Maßnahmen (TOM)
Nitro implementiert geeignete technische und organisatorische Maßnahmen, um eine angemessene Sicherheit bei der Nutzung der Dienste zu gewährleisten. Wir aktualisieren diese Maßnahmen kontinuierlich. Eine detaillierte Übersicht über die ergriffenen Maßnahmen ist über unser Trust Center in unserem Sicherheitsbereich verfügbar: Sicherheit der Informationen und in unserer Richtlinie zur Informationssicherheit. Unser Trust Center listet auch die Zertifizierungen auf, die Nitro in der Compliance-Sektion hält: Compliance.
8. Aufbewahrungsfrist
Nitro wird personenbezogene Daten nicht länger speichern als notwendig für die Bereitstellung der Dienste. Je nach den von Ihnen als Kunde genutzten Diensten und Funktionen können die geltenden Aufbewahrungsfristen unterschiedlich sein. Jeder Kunde kann Nitro bitten, spezifische Aufbewahrungsfristen in seiner Umgebung zu konfigurieren (soweit dies technisch möglich ist).
Wenn keine spezifischen Aufbewahrungsfristen konfiguriert wurden, werden personenbezogene Daten standardmäßig von Nitro gespeichert bis zur Löschung durch den Kunden oder bis zur Beendigung des Vertrags zwischen Nitro und dem Kunden (plus maximal 30 Tage), je nachdem, was zuerst eintritt. Eine detaillierte Übersicht über die Aufbewahrungsfristen ist über unser Trust Center verfügbar: Verarbeitung personenbezogener Daten
9. HÄUFIGKEIT INTERNATIONALER ÜBERTRAGUNGEN
Fortlaufend, je nach Bedarf, um die Dienste dem Kunden bereitzustellen.
Anlage 2 - britische Standardvertragsklauseln
Internationales Datenübertragungsanpassungsdokument zu den Standardvertragsklauseln der EU-Kommission
VERSION B1.0, in Kraft seit dem 21. März 2022
Dieses Anpassungsdokument wurde vom Informationskommissar für Parteien, die eingeschränkte Übertragungen vornehmen, herausgegeben. Der Informationskommissar ist der Ansicht, dass er angemessene Schutzmaßnahmen für eingeschränkte Übertragungen bietet, wenn er als rechtsverbindlicher Vertrag abgeschlossen wird.
Teil 1: Tabellen
Tabelle 1: Parteien
| Beginn |
Das Datum des Zusatzes zur Datenverarbeitung | |
| Die Parteien |
Exporter (der die eingeschränkte Übertragung sendet) Kunde |
Importeur (der die eingeschränkte Übertragung empfängt) Nitro |
| Details der Parteien |
Vollständiger rechtlicher Name: Kunde, wie im Vertrag und dem entsprechenden Bestellformular angegeben. Handelsname (falls abweichend): Hauptadresse (falls eine registrierte Unternehmensadresse): Die Adresse des Datenexporteurs ist im Vertrag und dem entsprechenden Bestellformular angegeben. Offizielle Registrierungsnummer (falls vorhanden) (Unternehmensnummer oder ähnlicher Identifikator): Wie im Vertrag und dem entsprechenden Bestellformular angegeben, oder andernfalls N/A |
Vollständiger rechtlicher Name: Nitro Software Inc. Handelsname (falls abweichend): Hauptadresse (falls eine registrierte Unternehmensadresse): 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten. Offizielle Registrierungsnummer (falls vorhanden) (Unternehmensnummer oder ähnlicher Identifikator): N/A |
| Wichtiger Kontakt |
Vollständiger Name (optional): Der vollständige Name der Kontaktperson für den Datenexporteur ist im Vertrag und dem entsprechenden Bestellformular angegeben. Berufsbezeichnung: Die Berufsbezeichnung der Kontaktperson für den Datenexporteur ist im Vertrag und dem entsprechenden Bestellformular angegeben. Kontaktdaten einschließlich E-Mail: Die Kontaktdaten der Kontaktperson für den Datenexporteur sind im Vertrag und dem entsprechenden Bestellformular angegeben. |
privacy@gonitro.com Nitro Software Inc. |
| Unterschrift (sofern für die Zwecke von Abschnitt 2 erforderlich) | Nicht erforderlich – dieser Anhang 2 ist Bestandteil des Zusatzes zur Datenverarbeitung und ist in diesen integriert. | Nicht erforderlich – dieser Anhang 2 ist Bestandteil des Zusatzes zur Datenverarbeitung und ist in diesen integriert. |
Tabelle 2: Gewählte SCCs, Module und gewählte Klauseln
| Zusatz EU SCCs |
Die Version der genehmigten EU SCCs, an die dieser Zusatz angehängt ist, wie unten beschrieben, einschließlich der Anhangsinformationen: 26. Datum: die genehmigten EU-Standardvertragsklauseln, einschließlich der Anhänge und mit nur den folgenden Modulen, Klauseln oder optionalen Bestimmungen der genehmigten EU-Standardvertragsklauseln, die für die Zwecke dieses Zusatzes in Kraft treten: |
|||||
| Modul | Modul in Betrieb | Klausel 7 (Dockingklausel) | Klausel 11 (Option) | Klausel 9a (Vorherige Genehmigung der allgemeinen Genehmigung) | Klausel 9a (Zeitraum) | Werden personenbezogene Daten, die vom Importeur empfangen werden, mit personenbezogenen Daten kombiniert, die vom Exporteur gesammelt wurden? |
| 1 | ||||||
| 2 |
X |
N/A |
N/A |
Allgemeine Genehmigung |
30 Tage |
Nein |
| 3 | ||||||
| 4 | ||||||
Tabelle 3: Anhängeinformationen
„Anhängeinformationen“ bezeichnet die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-Standardvertragsklauseln (außer den Parteien) bereitgestellt werden müssen und die für diesen Zusatz festgelegt sind in:
| Anhang 1A: Liste der Parteien: Siehe Tabelle 1 oben. |
| Anhang 1B: Beschreibung der Übertragung: Siehe Anhang 1 zu diesem Datenverarbeitungszusatz. |
| Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Siehe Klausel 5 zu diesem Datenverarbeitungszusatz. |
| Anhang III: Liste der Subverarbeiter (Module 2 und 3 nur): Siehe Klausel 10.1 zu diesem Datenverarbeitungszusatz. |
Tabelle 4: Beendigung dieses Zusatzes bei Änderungen des genehmigten Zusatzes
| Beendigung dieses Zusatzes bei Änderungen des genehmigten Zusatzes | Welche Parteien diesen Zusatz beenden können, wie in Abschnitt 19 dargelegt: Importeur Exporter keine der Parteien |
Teil 2: Obligatorische Klauseln
Inkrafttreten dieses Zusatzes
- Jede Partei stimmt zu, an die in diesem Zusatz festgelegten Bedingungen gebunden zu sein, im Austausch dafür, dass die andere Partei ebenfalls zustimmt, an diesen Zusatz gebunden zu sein.
- Obwohl Anhang 1A und Klausel 7 der genehmigten EU-Standardvertragsklauseln die Unterschrift der Parteien erfordern, können die Parteien zu diesem Zusatz in einer Weise eingehen, die sie rechtlich verpflichtend macht und es den betroffenen Personen ermöglicht, ihre Rechte gemäß diesem Zusatz durchzusetzen. Das Eingehen in diesen Zusatz hat die gleiche Wirkung wie die Unterzeichnung der genehmigten EU-Standardvertragsklauseln und jeder Teil der genehmigten EU-Standardvertragsklauseln.
Auslegung dieses Zusatzes
3. Wo dieser Zusatz Begriffe verwendet, die in den genehmigten EU-Standardvertragsklauseln definiert sind, haben diese Begriffe die gleiche Bedeutung wie in den genehmigten EU-Standardvertragsklauseln. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:
| Zusatz | Dieser internationale Datenübertragungszusatz, der aus diesem Zusatz besteht, der die EU-Standardvertragsklauseln integriert. |
| Informationen zu den Anhängen der EU-Standardvertragsklauseln |
Die Version(en) der genehmigten EU-Standardvertragsklauseln, an die dieser Zusatz angehängt ist, wie in Tabelle 2 dargelegt, einschließlich der Anhängeinformationen. Wie in Tabelle 3 dargelegt. |
| Angemessene Schutzmaßnahmen | Der Standard des Schutzes personenbezogener Daten und der Rechte der betroffenen Personen, der von den britischen Datenschutzgesetzen erforderlich ist, wenn Sie eine eingeschränkte Übertragung unter Berufung auf Standard-Datenschutzklauseln gemäß Artikel 46(2)(d) GDPR im Vereinigten Königreich vornehmen. |
| Genehmigter Zusatz | Die Vorlage für den Zusatz, die von der ICO herausgegeben und am 2. Februar 2022 gemäß § 119A des Datenschutzgesetzes 2018 dem Parlament vorgelegt wurde, wie sie in Abschnitt 18 überarbeitet wurde. |
| Genehmigte EU-Standardvertragsklauseln | Die Standardvertragsklauseln, die im Anhang der Durchführungsverordnung der Kommission (EU) 2021/914 vom 4. Juni 2021 aufgeführt sind. |
| ICO | Der Informationskommissar. |
| Eingeschränkte Übertragung | Eine Übertragung, die durch Kapitel V des GDPR im Vereinigten Königreich abgedeckt ist. |
| Vereinigtes Königreich | Das Vereinigte Königreich von Großbritannien und Nordirland. |
| Britische Datenschutzgesetze | Alle Gesetze, die den Datenschutz, die Verarbeitung personenbezogener Daten, die Privatsphäre und/oder elektronische Kommunikation betreffen, die von Zeit zu Zeit im Vereinigten Königreich in Kraft sind, einschließlich des GDPR im Vereinigten Königreich und des Datenschutzgesetzes 2018. |
| GDPR im Vereinigten Königreich | Wie in Abschnitt 3 des Datenschutzgesetzes 2018 definiert. |
4. Dieser Zusatz muss stets so ausgelegt werden, dass er mit den britischen Datenschutzgesetzen übereinstimmt und dass er die Verpflichtung der Parteien zur Bereitstellung angemessener Schutzmaßnahmen erfüllt.
5. Wenn die Bestimmungen, die im Anhang EU SCCs enthalten sind, die genehmigten SCCs in irgendeiner Weise ändern, die unter den genehmigten EU SCCs oder dem genehmigten Anhang nicht erlaubt ist, werden solche Änderungen nicht in diesen Anhang aufgenommen und die entsprechende Bestimmung der genehmigten EU SCCs tritt an ihre Stelle.
6. Wenn es Unstimmigkeiten oder Konflikte zwischen den britischen Datenschutzgesetzen und diesem Anhang gibt, gelten die britischen Datenschutzgesetze.
7. Wenn die Bedeutung dieses Anhangs unklar ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die am ehesten mit den britischen Datenschutzgesetzen übereinstimmt.
8. Alle Verweise auf Gesetze (oder spezifische Bestimmungen von Gesetzen) beziehen sich auf diese Gesetze (oder spezifische Bestimmung), wie sie sich im Laufe der Zeit ändern können. Dies umfasst Fälle, in denen diese Gesetzgebung (oder spezifische Bestimmung) konsolidiert, neu verabschiedet und/oder ersetzt wurde, nachdem dieser Anhang abgeschlossen wurde.
Hierarchie
9. Obwohl Klausel 5 der genehmigten EU-SCCs besagt, dass die genehmigten EU-SCCs über allen verwandten Vereinbarungen zwischen den Parteien Vorrang haben, stimmen die Parteien zu, dass bei eingeschränkten Übertragungen die Hierarchie in Abschnitt 10 Vorrang haben wird.
10. Wenn es Unstimmigkeiten oder Konflikte zwischen dem genehmigten Anhang und den Anhang EU SCCs (je nach Fall) gibt, hat der genehmigte Anhang Vorrang vor dem Anhang EU SCCs, es sei denn, die inkonsistenten oder widersprüchlichen Bedingungen des Anhangs EU SCCs bieten einen besseren Schutz für die betroffenen Personen, in diesem Fall haben diese Bedingungen Vorrang vor dem genehmigten Anhang.
11. Wenn dieser Anhang Anhang EU SCCs enthält, die abgeschlossen wurden, um Übertragungen zu schützen, die dem Allgemeinen Datenschutzgesetz (EU) 2016/679 unterliegen, erkennen die Parteien an, dass nichts in diesem Anhang diese Anhang EU SCCs beeinflusst.
Inkorporation von und Änderungen an den EU SCCs
12. Dieser Anhang enthält die Anhang EU SCCs, die in dem Maß geändert werden, das notwendig ist, damit:
- sie zusammen für Datenübertragungen funktionieren, die vom Datenexporteur an den Datenimporteur erfolgen, soweit die britischen Datenschutzgesetze auf die Verarbeitung des Datenexporteurs bei dieser Datenübertragung Anwendung finden und sie angemessene Garantien für diese Datenübertragungen bieten;
- die Abschnitte 9 bis 11 die Klausel 5 (Hierarchie) der Anhang EU SCCs übersteuern; und
- dieser Anhang (einschließlich der in ihn integrierten Anhang EU SCCs) (1) den Gesetzen von England und Wales unterliegt und (2) Streitigkeiten, die sich daraus ergeben, durch die Gerichte von England und Wales entschieden werden, es sei denn, die Gesetze und/oder Gerichte Schottlands oder Nordirlands wurden ausdrücklich von den Parteien ausgewählt.
13. Sofern die Parteien keine alternativen Änderungen, die den Anforderungen von Abschnitt 12 entsprechen, vereinbart haben, gelten die Bestimmungen von Abschnitt 15.
14. Es dürfen keine Änderungen an den genehmigten EU-SCCs vorgenommen werden, außer um die Anforderungen von Abschnitt 12 zu erfüllen.
15. Die folgenden Änderungen an den EU SCCs (für die Zwecke von Abschnitt 12) werden vorgenommen:
- Bezüge auf die “Klauseln” bedeuten diesen Anhang, der die EU SCCs enthält;
- In Klausel 2 die Worte löschen:
“und in Bezug auf Datenübertragungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern zu Auftragsverarbeitern die Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679”; - Klausel 6 (Beschreibung der Übertragung(en)) wird ersetzt durch:
“Die Einzelheiten der Übertragung(en) und insbesondere die Kategorien personenbezogener Daten, die übertragen werden, sowie den Zweck(e), für den diese übertragen werden, sind die in Anhang I.B angegebenen, sofern die britischen Datenschutzgesetze auf die Verarbeitung des Datenexporteurs bei dieser Übertragung Anwendung finden.”; - Klausel 8.7(i) des Moduls 1 wird ersetzt durch:
“es handelt sich um ein Land, das von den Angemessenheitsregelungen gemäß Abschnitt 17A des UK GDPR profitiert, die die Weiterübertragung abdecken”; - Klausel 8.8(i) der Module 2 und 3 wird ersetzt durch:
“die Weiterübertragung erfolgt in ein Land, das von Angemessenheitsregelungen gemäß Abschnitt 17A des UK GDPR profitiert, die die Weiterübertragung abdecken;” - Bezüge auf “Verordnung (EU) 2016/679”, “Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Datenschutz-Grundverordnung)” und “diese Verordnung” werden alle ersetzt durch “britische Datenschutzgesetze”. Bezüge auf spezifische Artikel der “Verordnung (EU) 2016/679” werden durch den entsprechenden Artikel oder Abschnitt der britischen Datenschutzgesetze ersetzt;
- Bezüge zur Verordnung (EU) 2018/1725 werden entfernt;
- Bezüge auf die “Europäische Union”, “Union”, “EU”, “EU-Mitgliedstaat”, “Mitgliedstaat” und “EU oder Mitgliedstaat” werden alle durch das “Vereinigte Königreich” ersetzt;
- Der Bezug auf “Klausel 12(c)(i)” in Klausel 10(b)(i) des ersten Moduls wird ersetzt durch “Klausel 11(c)(i)”;;
- Klausel 13(a) und Teil C des Anhangs I werden nicht verwendet;
- Die “zuständige Aufsichtsbehörde” und die “Aufsichtsbehörde” werden beide durch den “Informationsbeauftragten” ersetzt;
- In Klausel 16(e) wird Unterabschnitt (i) ersetzt durch:
“der Staatssekretär erlässt Vorschriften gemäß Abschnitt 17A des Datenschutzgesetzes von 2018, die den Transfer personenbezogener Daten abdecken, auf die diese Klauseln Anwendung finden;”; - Klausel 17 wird ersetzt durch:
“Diese Klauseln unterliegen den Gesetzen von England und Wales.”; - Klausel 18 wird ersetzt durch:
“Jede Streitigkeit, die aus diesen Klauseln entsteht, wird von den Gerichten von England und Wales entschieden. Ein Betroffener kann auch rechtliche Schritte gegen den Datenexporteur und/oder den Datenimporteur vor den Gerichten eines beliebigen Landes im Vereinigten Königreich einleiten. Die Parteien stimmen zu, sich der Zuständigkeit dieser Gerichte zu unterwerfen.”; und - Die Fußnoten zu den genehmigten EU-SCCs sind kein Bestandteil des Anhangs, außer für die Fußnoten 8, 9, 10 und 11.
Änderungen an diesem Anhang
- Die Parteien können vereinbaren, die Klauseln 17 und/oder 18 der Anhang EU SCCs zu ändern, um auf die Gesetze und/oder Gerichte von Schottland oder Nordirland zu verweisen.
- Wenn die Parteien das Format der Informationen in Teil 1: Tabellen des genehmigten Anhangs ändern möchten, können sie dies tun, indem sie die Änderung schriftlich vereinbaren, vorausgesetzt, die Änderung reduziert nicht die angemessenen Garantien.
- Von Zeit zu Zeit kann die ICO einen revidierten genehmigten Anhang herausgeben, der:
- angemessene und verhältnismäßige Änderungen am genehmigten Anhang vornimmt, einschließlich der Korrektur von Fehlern im genehmigten Anhang; und/oder
- Änderungen der britischen Datenschutzgesetze widerspiegelt;
- Der revidierte genehmigte Anhang wird das Startdatum angeben, ab dem die Änderungen am genehmigten Anhang wirksam sind, und ob die Parteien diesen Anhang einschließlich der Anhängenden Informationen überprüfen müssen. Dieser Anhang wird automatisch gemäß dem überarbeiteten genehmigten Anhang ab dem angegebenen Startdatum geändert.
- Wenn die ICO einen überarbeiteten genehmigten Anhang gemäß Abschnitt 18 ausstellt, wenn eine im Tabellenfeld 4 „Beendigung des Anhangs, wenn sich der genehmigte Anhang ändert“ ausgewählte Partei aufgrund der Änderungen im genehmigten Anhang eine wesentliche, unverhältnismäßige und nachweisbare Erhöhung in:
- ihren direkten Kosten für die Erfüllung ihrer Verpflichtungen aus dem Anhang; und/oder
- ihrem Risiko aus dem Anhang,
und in beiden Fällen hat sie zunächst angemessene Schritte unternommen, um diese Kosten oder Risiken zu reduzieren, damit sie nicht wesentlich und unverhältnismäßig sind, dann kann diese Partei diesen Anhang am Ende einer angemessenen Kündigungsfrist beenden, indem sie der anderen Partei vor dem Startdatum des überarbeiteten genehmigten Anhangs schriftliche Mitteilung für diesen Zeitraum erteilt.
- Die Parteien benötigen nicht die Zustimmung eines Dritten, um Änderungen an diesem Anhang vorzunehmen, aber alle Änderungen müssen gemäß seinen Bestimmungen vorgenommen werden.
