Legal
1. Scope
1.1. The following General Terms and Conditions (hereinafter "Terms of Use") apply to the free and paid use of the product "basebox", provided by basebox GmbH (hereinafter "basebox GmbH", "we"), and regulate the legal relationship between basebox GmbH and its customers (hereinafter referred to in the singular as the "customer" for ease of reading).
1.2. Any general terms and conditions of the customer that deviate from these Terms of Use shall not apply unless their validity has been expressly confirmed by basebox GmbH.
1.3. The use of the basebox product is only permitted for business customers within the European Union (EU).
1.4. In derogation from the following provisions, the following conditions apply to the “Closed Beta” phase:
1.4.1. Notwithstanding 4.1, the contract shall terminate automatically upon expiration of the “Closed Beta” phase.
1.4.2. During the beta phase, the services may differ from those described in Section 5. In particular, errors or unexpected system behavior may occur.
1.4.3. The language of the contract is German.
2. Definitions
For the purposes of these Terms of Use, the following definitions apply:
2.1. " Administrator ": The natural person who creates the organization, invites and manages users, preselects input prompts, and can delete the organization. The role of administrator can only be held by a natural person authorized to represent the customer solely in legal transactions.
2.2. “ basebox ”: consisting of a provided AI model and an associated interface for chat-based use of the AI model and user and billing management.
2.3. “ Registration ”: Creating a user account for an organization upon invitation from the organization’s administrator.
2.4. " Chat ": A conversation with the AI model. Users can have as many chats with the AI model as they want on various topics.
2.5. “ Chat history ”: Chronological collection of input prompts and output within a chat.
2.6. “ Input Prompt ”: The prompt that the user sends to the AI model via the chat window, including any uploaded files to be analyzed.
2.7. " AI Apps ": A predefined prompt that the user selects and displays in the prompt input field. The user can edit this prompt and add their own text before sending it to the model.
2.8. “ AI Model ”: a machine learning model, in particular a large language model, that can be used to generate text and that is made available for use within basebox.
2.9. " Organization ": a virtual user group in basebox, created and managed by the customer as administrator. Users invited by the administrator are assigned as members of this organization.
2.10. “ Output ”: The AI model’s response to the user’s request.
2.11. “ Prompt ”: a textual request to an AI model to perform a task.
2.12. “ Registration ”: the creation of a new organization.
2.13. “ Software ”: the basebox system.
2.14. " System Prompt ": Prompts predefined by basebox GmbH with a maximum of 2000 tokens, which are automatically sent to the AI model along with each input prompt and which cannot be influenced or viewed by users. These system prompts are used to encourage the AI model to produce a structured and appropriate output.
2.15. " Token ": a digital unit used to measure the operating costs of AI models. Token consumption is calculated in millions (per million tokens, "pmt").
2.16. “ User ”: natural persons explicitly invited by the Administrator who, upon invitation, register with basebox and whose accounts are assigned to the Organization and are authorized to use basebox on the Customer’s account.
2.17. “ Open Source Software ”: according to the Open Source definition of the Open Source Initiative, means software that is licensed by the respective rights holders to anyone for extensive royalty-free use and whose source code is available.
3. Conclusion of contract
3.1. Use of basebox requires customer registration, including the creation of an organization. Registration is free of charge. All other users of an organization do not register with basebox independently; instead, they are explicitly invited by the administrator to register with basebox and choose a password.
3.2. An email address must be provided during customer registration. If the registration is made for a company, the person registering confirms by registering that they are authorized to represent that company. This person registering the company will initially be assigned the role of "Administrator."
3.3. The contract is concluded when the organization registers on signup.basebox.ai by providing its email address and confirming it according to the information in the email sent thereafter, setting a password and choosing a name for the organization, and accepting the terms of use and the privacy policy by activating the checkbox.
3.4. The text of these Terms of Use will be available for download at basebox.ai/de/nutzungsbedingungen even after the conclusion of the contract.
4. Termination of the contractual relationship
4.1 The contract is concluded for an indefinite period.
4.2. Either party may terminate the contract with 10 days' notice effective at the end of the following calendar month. Termination may be made by the administrator on the basebox.ai website or by email to support@basebox.ai . Any remaining balance will not be paid out unless the termination is made by basebox GmbH.
4.3. The customer may terminate the contract without notice by having the authorized administrator delete the organization in the organization management. Any remaining balance will not be paid out.
5. Description of services
5.1. basebox
basebox is an AI management system that enables the use of AI models in the most secure environment possible, taking data protection aspects into account and with the aim of protecting trade secrets and personal rights. Currently, basebox only offers large language models (LLMs).
5.2. Hosting in the cloud or on-premise operation
5.2.1. basebox is hosted on servers owned by basebox GmbH in Europe, preferably in Germany. basebox GmbH relies, among other things, on OpenIDConnect and self-hosted KeyCloak for authentication to offer customers a high level of security. The use of these methods and the implementation of these concepts are at the discretion of basebox GmbH. basebox GmbH may decide to provide only a single language model. basebox GmbH neither ensures nor guarantees absolute security.
5.3. Use of AI models
5.3.1. The AI models are selected and operated by basebox GmbH. basebox GmbH reserves the right to change an offered AI model at any time, for example, if more powerful AI models become available.
5.3.2. Custom AI models cannot currently be run in basebox.
5.3.3. The use of AI models is billed on a token-based basis. basebox GmbH provides a graphical overview of token usage with regular updates.
5.3.4. The output behavior of the AI models is influenced by basebox GmbH using system prompts, which the customers and their users cannot change or prevent.
5.4. Prompts and AI App Store
5.4.1. The use of the AI model in basebox is generally possible with prompts specifically created by the customer and its users.
5.4.2. Basebox GmbH also offers an app store where ready-made prompts are made available in the form of AI apps.
5.4.3. These AI apps represent individual use cases and are designed to facilitate the use of prompts. The prompts selected by users are displayed as text in the chat input window and can be edited by the users before use.
5.5. Output
basebox GmbH has no insight into the input prompts and the outputs generated by the AI models. basebox GmbH does not review the generated output and does not guarantee the correctness or quality of the results, nor that they are free from third-party rights.
5.6. User management
basebox GmbH provides a rights- and role-based access control for organizational administration, in which administrators can manage their users themselves.
Terms of Use
Last updated: 1 June 2025
6. Prices, payment terms
6.1. Prices quoted are net prices plus VAT at the applicable statutory rate.
6.2. Access to basebox and the use of the organizational and billing management is generally free of charge.
6.3. The use of the AI models provided in basebox is billed based on token usage. Consumption is calculated per million tokens ("pmt"). The token price is variable.
6.4. In order to use the provided AI models, the administrator must load a budget, which is then used for token consumption-based billing and is available to all users of the organization.
Example : The token price might be €19 pmt (i.e., €19 for one million tokens). A €100 budget is loaded. A fictitious prompt and the output of the result might cost 4,000 tokens. The transaction would therefore be charged €0.076 (€19 / 1,000,000 * 4,000). After the transaction, the budget would be €99.924.
The tokens are used, in particular, to finance the computing power required to run the model. The price for the computing power purchased by basebox GmbH is variable. Therefore, the token price is also variable. basebox GmbH expressly points out that, therefore, the amount of tokens that can be used with the specified budget cannot be precisely determined in advance.
6.5. The current token price (pmt) is visible in the organization administration dashboard.
6.6. For an interaction with an AI model, a series of prompts are executed: a system prompt (max. 2000 tokens), the selected input prompt, including any uploaded documents to be analyzed, and the generation of the output. The number of tokens, and thus the basis for calculating the price for an interaction, is composed of these prompts and is calculated accordingly, but not separately disclosed.
6.7. Payment is made by credit card. The customer defines a budget for tokens, which is debited from the credit card. There is no minimum amount, so the customer can determine how much budget is available to the organization. Additional budget can be purchased at any time.
6.8. If the credit card payment fails due to insufficient funds or due to negligent conduct on the part of the customer, basebox GmbH may demand reimbursement of the chargeback fees charged by the banks and payment service providers involved.
6.9. With the token budget, the AI models provided by basebox GmbH can be used via custom prompts and AI apps can be used.
6.10. The budget can be used for an unlimited period of time.
6.11. If the budget is exhausted, the usage option will be reduced to one prompt per hour until the customer has purchased a new budget.
7. Data protection and security
7.1. Executed prompts, the contents of uploaded files, and chat history are stored in the user's browser only for a period of 30 days. Prompts and the contents of uploaded files are also sent to the AI model to execute the services.
7.2. basebox GmbH has no access to the content.
7.3. basebox GmbH will take all economically reasonable measures to implement and maintain reasonable security measures, in particular to prevent unauthorized access to basebox GmbH's services and the customer's data.
7.4. The models and basebox are hosted on servers owned by basebox GmbH. For this purpose, basebox GmbH rents infrastructure from providers in Europe. basebox GmbH exclusively uses servers located in Europe, preferably in Germany.
7.5. To fulfill the contract, basebox GmbH processes the personal data of the customer and its users. basebox GmbH also analyzes the customer's use of basebox and uses the information obtained to identify errors and problems and improve basebox. Within the scope of the processing carried out for these purposes, basebox GmbH is generally solely responsible for data protection. Further information on data protection can be found in our privacy policy, available at basebox.ai/de/bedingungen#datenschutzerklaerung.
7.6. In cases where the customer or its users provide basebox GmbH with personal data to process as part of their use of basebox (e.g., in prompts, chat history, or through uploaded documents), basebox GmbH processes personal data as a processor on behalf of the customer. In this respect, the appendix ("Contract Processing Agreement") to these Terms of Use shall be deemed an integral part of these Terms of Use. The customer is responsible under data protection law for all content used and data processed by it and its users.
7.7. basebox GmbH reserves the right to implement filters that prevent inappropriate and illegal content from appearing in the results.
8. Rights of use and intellectual property
8.1. By registering, basebox GmbH grants the customer, where necessary, the non-exclusive, non-transferable right, limited in time to the term of the user agreement, to use the basebox software and the prompts provided within this framework and to make them available to users invited to basebox for use.
8.2. The basebox software may only be used by the customer and its invited users within the scope of their own business activities.
8.3. It is not permitted to pass on or make basebox publicly available to third parties (other natural or legal persons outside the customer’s company).
8.4. To the extent that basebox is used to generate potentially copyrightable texts, basebox GmbH does not claim any copyright to the generated outputs.
8.5. The Customer shall instruct its Users not to use any prompts intended to reproduce copyrighted texts for the benefit of third parties, and the Customer shall also refrain from doing so.
8.6. The Customer accepts responsibility for the conduct of its users and ensures, through appropriate monitoring and instruction of the users, that they comply with the provisions of the Terms of Use.
8.7. It is possible that users from different organizations using similar input prompts may receive similar output. basebox GmbH does not guarantee that the output produced by the AI models is unique or does not infringe the rights of third parties. The use and verification of the output is the responsibility of the customer.
8.8. The customer shall ensure that its users only use prompts and only input documents into the system for which the necessary rights have been granted. The customer grants basebox GmbH a worldwide, revocable, non-exclusive, non-sublicensable, non-transferable right, limited to the term of this contractual relationship, to use the prompts and documents for the performance of the service. The customer indemnifies basebox GmbH against any liability for claims asserted by third parties against basebox GmbH for infringement of their rights, insofar as these arise from the prompts used by the customer or its users, the output, or files uploaded to basebox.
9. Open Source
9.1. basebox contains components under open source licenses. These are subject to the respective open source license terms, which can be viewed at basebox.ai/opensource, in deviation from these Terms of Use.
9.2. The customer receives a non-exclusive right of use for the open source software used from the respective rights holders under the terms and conditions stipulated in the applicable license terms. These terms of use apply only to those components that are not licensed as open source software.
9.3. These Terms of Use do not limit the rights of use and user freedoms granted in the open source licenses for use outside of basebox. The open source licenses take precedence over these Terms of Use in this respect.
9.4. The warranty for defects in our products resulting from the modification of open source software is excluded if these defects are the result of the modification. The customer bears the burden of proof that a defect in our product would have occurred even without the modification of the included open source software.
9.5. The liability and warranty provisions of these Terms of Use apply to the entire software in relation to the licensor. The liability and warranty provisions of the open source licenses apply only in relation to the respective rights holders.
10. Technical requirements for use
10.1. To use our services, you will need a suitable digital device, a standard, sufficiently fast internet connection and an up-to-date browser.
11. Availability and Warranty
11.1. basebox GmbH points out that the cloud offering may result in restrictions or impairments to the services offered that are beyond the control of basebox GmbH. This includes, in particular, actions by third parties not acting on behalf of basebox GmbH, technical internet conditions beyond basebox GmbH's control, and force majeure.
11.2. basebox GmbH strives to ensure 24-hour, 7-day availability of its systems. However, bsaebox GmbH reserves the right to perform maintenance work after reasonable notice and to temporarily shut down the systems for a limited period of time.
11.3. The hardware, software, and technical infrastructure used by the customer may also influence the services provided by basebox. To the extent that such circumstances affect the availability or functionality of the services provided by basebox GmbH, this will not affect the contractual conformity of the services provided.
11.4. The customer is obligated to notify basebox GmbH of any malfunctions, malfunctions, or impairments of the software promptly and as precisely as possible. Failure to do so will result in Section 536c of the German Civil Code (BGB) applying accordingly.
11.5. The statutory provisions regarding warranties in rental agreements generally apply. Sections 536b of the German Civil Code (Tenant's knowledge of the defect upon conclusion or acceptance of the contract) and 536c of the German Civil Code (Defects occurring during the rental period; notification of defects by the tenant) apply. However, the application of Section 536a (2) of the German Civil Code (Tenant's right to self-remedy) is excluded. The application of Section 536a (1) of the German Civil Code (Landlord's liability for damages) is also excluded, insofar as the provision provides for strict liability.
11.6. However, the warranty period with regard to any claims for damages shall be reduced to one year, unless the claims for damages are due to defects resulting from the absence of a guaranteed quality of the service object, resulting from culpable injury to health, body or life, or for which liability is provided for under the Product Liability Act.
12. Liability
12.1. basebox GmbH is only liable for damages incurred by the customer through the use of basebox if they were caused intentionally or through gross negligence, if they are the result of the non-existence of a guaranteed quality of the service, if they are based on a culpable breach of essential contractual obligations (see Section 5), if they are the result of a culpable injury to health, body, or life, or for which liability is provided for under the Product Liability Act. In the event of a merely negligent breach of an essential contractual obligation (see Section 5), basebox GmbH's liability is limited to such damages whose occurrence must typically and foreseeably be expected within the scope of the provision of the agreed services. This limitation does not apply to damages resulting from injury to health, body, or life.
12.2. Essential contractual obligations are those contractual obligations in Section 5, the fulfillment of which is essential for the proper execution of the contract and on whose compliance you can regularly rely, and the breach of which, on the other hand, jeopardises the achievement of the purpose of the contract.
12.3. Furthermore, liability – regardless of the legal basis – is excluded on the part of basebox GmbH and our vicarious agents.
12.4. If basebox GmbH is liable for the loss of data of the customer or its users, taking into account the above provisions, liability is limited to the typical recovery costs that would have been incurred even if the customer or its users had regularly and risk-appropriately created backup copies.
13. Obligations of the customer and its users
The customer is obligated to instruct its users to comply with the following obligations and to monitor compliance. Any violation of these obligations by users will be attributed to the customer. The customer will also comply with these obligations itself.
13.1. Checking the output
The output of AI models may be incomplete, outdated, or incorrect, and is often unpredictable. It is therefore the customer's responsibility to instruct their users accordingly.
to ensure the quality of the prompts used,
to check the accuracy and usability of the generated output before it is used or distributed,
to insert appropriate specifications into the input prompts in order to better filter or adapt the result,
to verify the information contained in the output and, in any event, not to use the output as the sole source of information, not to expect it to be harmless and linguistically and ethically appropriate, or not to use it as a substitute for professional advice.
13.2. Use of basebox services
13.2.1. The Customer shall instruct its users not to use basebox GmbH's systems for illegal purposes, in particular not to cause harm to third parties or basebox GmbH. The Customer shall also not engage in any such activities itself.
13.2.2. The Customer shall instruct its Users not to make the services of basebox GmbH available to third parties outside of its company or to use them for such third parties. The Customer shall also not engage in any such activities itself.
13.2.3. The Customer will instruct its users not to use basebox GmbH's services in a manner that compromises the security, proper operation, and integrity of basebox GmbH's systems, or that circumvents or compromises security measures taken. In particular, the Customer will instruct its users not to use malicious, harmful prompts or perform prompt injection attacks to manipulate the model's behavior, or to conduct vulnerability, penetration, or similar tests. The Customer will also refrain from engaging in any such activities itself.
13.2.4. The Customer shall instruct its users to respect and not violate the rights of third parties, in particular copyright, trademark, and personal rights, as well as data protection, when using and creating prompts and uploading files to basebox GmbH, and to only use prompts and upload files for which the Customer or its users possess all necessary rights. The Customer shall also act in accordance with these instructions.
13.3. Use of the output
The Customer will instruct its Users not to represent output generated using the AI models as having been created by a human being and not to use the output if there is reason to believe that the use of the output could infringe the rights of third parties.
13.4. Reference to risks
The customer is responsible for informing its users of the potential risks of using basebox, particularly with regard to the use of the output provided by the AI model and the use of sensitive data for the input prompt.
14. Changes to these Terms of Use
If basebox GmbH wishes to change these Terms of Use, basebox GmbH will send the customer a notification along with the amended Terms of Use via email to the address provided for administration and request the customer's consent. If the customer does not agree to the amended Terms of Use, basebox GmbH reserves the right to terminate the contract subject to the agreed notice period.
15. Other provisions
15.1. The law of the Federal Republic of Germany shall apply to this User Agreement, excluding the UN Convention on Contracts for the International Sale of Goods and German and European conflict of laws.
15.2. If the customer is a merchant, a legal entity under public law, or a special fund under public law, or if the customer does not have a general place of jurisdiction in the Federal Republic of Germany, the exclusive place of jurisdiction for all claims arising from the contractual relationship shall be Landsberg am Lech. However, basebox GmbH may also sue the customer at its general place of jurisdiction.
15.3. basebox GmbH is neither obliged nor willing to participate in dispute resolution proceedings before a consumer arbitration board in the event of a dispute with the customer.
15.4. Contract text and contract language: The contract between the customer and basebox GmbH is generally not set out in a separate contract text that you could then access later as such. The content of the contract is derived from these Terms of Use and the subject matter of the concluded contract. German and English are available for the conclusion of the contract.
Landsberg am Lech, June 1st, 2025. basebox Terms of Use v.0.2.
Obligation to secrecy
Appendix
Obligation to maintain professional secrecy (Section 203 of the German Criminal Code)
1. Scope of application
1.1 This appendix “Obligation to maintain professional secrecy (§ 203 StGB)” (hereinafter the “Additional Agreement”) is concluded between the customer and basebox GmbH if the customer or persons working for the customer are subject to professional confidentiality in the sense of § 203 StGB.
1.2 The parties agree that this additional agreement supplements the terms of use. In the event of a conflict, the provisions of this appendix shall take precedence. All terms used and not defined shall have the same meaning as in the terms of use.
2. Instruction and obligation
2.1 To fulfill the contract, data and information may be processed that may fall under professional confidentiality in the sense of § 203 of the German Criminal Code. basebox GmbH is therefore instructed as follows:
If basebox GmbH discloses a third-party secret that has become known to it in the course of or in connection with its activities, namely a secret belonging to the personal sphere or a trade or business secret that has been entrusted to the client’s professionals, this may be punishable by imprisonment for up to one year or a fine (§ 203 para. 1, para. 4 sentence 1 StGB). The threat of punishment also applies to persons who work for basebox GmbH in the provision of services (§ 203 para. 4 sentence 1 StGB).
Secrets are all information that is only known to a limited group of people and in whose confidentiality the person to whom the information relates (secret holder) has a justified interest. This includes, in particular, all information regarding client, patient and/or customer relationships.
The penalty applies to natural persons working for basebox GmbH.
In the event of the involvement of third parties (e.g. subcontractors), basebox GmbH or the person acting on its behalf is punishable by imprisonment for up to one year or a fine if the third party discloses a secret that has become known in the course of or in connection with his work without authorization and basebox GmbH has not ensured that the third party has been obliged to maintain confidentiality (§ 203 para. 1, para. 4 sentence 2 no. 2 StGB).
The penalty for this is up to two years imprisonment or a fine if the perpetrator acts in return for payment or with the intention of enriching himself or harming another through the act (Section 203 (6) StGB). The same applies if the perpetrator makes unauthorized use of a third-party secret entrusted to the professional (Section 204 StGB).
2.2 In awareness of this, basebox GmbH is obliged as follows:
basebox GmbH acts as a service provider for the activities of the professional secret-keepers, who are subject to a professional confidentiality obligation. basebox GmbH is aware of the criminal consequences of a breach of confidentiality and maintains the confidentiality of third-party secrets made accessible to it.
basebox GmbH is authorized to involve other persons (third parties) in the fulfillment of the contract. When using third parties (e.g. further processors), basebox GmbH is obliged to oblige them to maintain confidentiality in writing, informing them of the criminal consequences of a breach of duty, insofar as these third parties could gain knowledge of third-party secrets in the course of their activities. basebox GmbH will inform the client of any intended involvement of further third parties. In justified individual cases, the customer can prohibit such involvement.
basebox GmbH is obliged to gain knowledge of third-party secrets only to the extent necessary to fulfill the contract. basebox GmbH will comply with appropriate organizational and technical measures to protect third-party secrets and confidential information, applying accepted security standards according to the current state of the art.
The obligation of confidentiality continues to exist for an unlimited period of time even after the contractual relationship has ended.
The confidentiality obligation as per the above paragraphs does not apply if basebox GmbH is obliged to disclose the client’s confidential information due to an official or judicial decision. If permissible and possible in individual cases, basebox GmbH will inform the client in advance of the disclosure obligation.
basebox GmbH is obliged to ensure that the service is provided only by a group of people bound to secrecy.
Privacy policy
General information
The following information provides a simple overview of what happens to your personal data when you visit this website. Personal data is any data that can be used to identify you personally. Detailed information on the subject of data protection can be found in our data protection declaration listed below this text.
Detailed information on the subject of data protection can be found in our privacy policy listed below this text. The privacy policy is the basis of our actions and part of the business relationship with customers, contractual partners, users and/or third parties and applies to our website, mobile applications and all our external online presences (e.g. our social media profiles) as well as in the context of the provision of our services.
Data collection on this website
Who is responsible for data collection on this website?
Data processing on this website is carried out by the website operator, basebox GmbH (basebox for short). Contact details can be found in the imprint.
How do we collect your data?
On the one hand, your data is collected when you provide it to us. This may, for example, be data that you enter in a contact form.
Other data is collected automatically by our IT systems when you visit the website. This is primarily technical data (e.g. internet browser, operating system or time of page view). This data is collected automatically as soon as you enter this website.
Data is also collected when you register for our services, such as your e-mail address and your name, as well as any billing and payment data.
What do we use your data for?
Some of the data is collected to ensure that the website is provided without errors. Other data may be used to analyze your user behavior. We process the data that we collect as part of your registration in order to provide our contractual services.
What rights do you have with regard to your data?
You have the right to receive information about the origin, recipient and purpose of your stored personal data free of charge at any time. You also have the right to request the correction or deletion of this data. You can contact us at any time at the address given in the legal notice if you have any further questions on the subject of data protection. You also have the right to lodge a complaint with the competent supervisory authority.
You also have the right to request the restriction of the processing of your personal data under certain circumstances. For details, please refer to the privacy policy under “Right to restriction of processing”.
Analysis tools and tools from third-party provider
When you visit this website, your surfing behavior may be statistically evaluated. This is mainly done using cookies and so-called analysis programs. The analysis of your surfing behavior is usually anonymous; the surfing behavior cannot be traced back to you.
You can object to this analysis or prevent it by not using certain tools. You can find detailed information on these tools and on your options to object in the following privacy policy.
Hosting
External hosting
This website is hosted by an external service provider (hoster). Personal data collected on this website is stored on the hoster’s servers. This may include IP addresses, contact requests, meta and communication data, contract data, contact details, names, website accesses and other data generated via a website.
The hoster is used for the purpose of fulfilling the contract with our potential and existing customers (Art. 6 para. 1 lit. b GDPR) and in the interest of a secure, fast and efficient provision of our online offer by a professional provider (Art. 6 para. 1 lit. f GDPR). Our hoster will only process your data to the extent necessary to fulfill its performance obligations and follow our instructions with regard to this data.
Conclusion of a contract for data processing order
In order to guarantee data protection-compliant processing, we have concluded an order processing contract with our hoster.
Services used and service providers
Google Ireland Ltd. Google Gebäude Gordon House, Barrow St, Grand Canal Dock, Dublin 4, D04 V4X7, Irland
Website: https://cloud.google.com/vertex-ai
Privacy policy: https://cloud.google.com/terms/service-terms#panel0-1
Provider: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany
Website: https://www.hetzner.com/
Privacy policy: https://www.hetzner.com/de/legal/privacy-policy
General notes and mandatory information
Data protection
The operators of these pages take the protection of your personal data very seriously. We treat your personal data confidentially and in accordance with the statutory data protection regulations and this privacy policy. When you use this website, various personal data is collected. Personal data is data that can be used to identify you personally. This privacy policy explains what data we collect and what we use it for. It also explains how and for what purpose this is done.
We would like to point out that data transmission over the Internet (e.g. when communicating by email) may be subject to security vulnerabilities. Complete protection of data against access by third parties is not possible.
Person responsible
The controller responsible for data processing on this website is:
basebox GmbH
Bahnhofplatz 3
D-86919 Utting am Ammersee
Phone: +49 8806 9590600
E-mail: support@basebox.ai
The controller is the natural or legal person who alone or jointly with others determines the purposes and means of the processing of personal data (e.g. names, email addresses, etc.).
We have appointed a data protection officer for our company. The company data protection officer of basebox can be contacted at the above address, for the attention of the data protection officer, or by email at datenschutz@basebox.ai.
Revocation of your consent to data processing
Many data processing operations are only possible with your express consent. You can withdraw your consent at any time. All you need to do is send us an informal e-mail. The legality of the data processing carried out until the revocation remains unaffected by the revocation.
Right to object to the collection of data in special cases and to direct marketing (Art. 21 GDPR)
IF THE DATA PROCESSING IS BASED ON ART. 6 ABS. 1 LIT. E OR F GDPR, YOU HAVE THE RIGHT TO OBJECT TO THE PROCESSING OF YOUR PERSONAL DATA AT ANY TIME ON GROUNDS RELATING TO YOUR PARTICULAR SITUATION; THIS ALSO APPLIES TO PROFILING BASED ON THESE PROVISIONS. THE RESPECTIVE LEGAL BASIS ON WHICH PROCESSING IS BASED CAN BE FOUND IN THIS PRIVACY POLICY. IF YOU OBJECT, WE WILL NO LONGER PROCESS YOUR PERSONAL DATA CONCERNED UNLESS WE CAN DEMONSTRATE COMPELLING LEGITIMATE GROUNDS FOR THE PROCESSING WHICH OVERRIDE YOUR INTERESTS, RIGHTS AND FREEDOMS OR THE PROCESSING SERVES THE ESTABLISHMENT, EXERCISE OR DEFENSE OF LEGAL CLAIMS (OBJECTION PURSUANT TO ART. 21 PARA. 1 GDPR).
IF YOUR PERSONAL DATA ARE PROCESSED FOR THE PURPOSE OF DIRECT MARKETING, YOU HAVE THE RIGHT TO OBJECT AT ANY TIME TO THE PROCESSING OF PERSONAL DATA CONCERNING YOU FOR THE PURPOSE OF SUCH MARKETING; THIS ALSO APPLIES TO PROFILING TO THE EXTENT THAT IT IS RELATED TO SUCH DIRECT MARKETING. IF YOU OBJECT, YOUR PERSONAL DATA WILL SUBSEQUENTLY NO LONGER BE USED FOR THE PURPOSE OF DIRECT MARKETING (OBJECTION PURSUANT TO ART. 21 PARA. 2 GDPR).
Right to lodge a complaint with the competent supervisory authority
In the event of breaches of the GDPR, data subjects have the right to lodge a complaint with a supervisory authority, in particular in the Member State of their habitual residence, place of work or place of the alleged infringement. The right to lodge a complaint is without prejudice to other administrative or judicial remedies.
Right to data portability
ou have the right to have data that we process automatically on the basis of your consent or in fulfillment of a contract handed over to you or to a third party in a common, machine-readable format. If you request the direct transfer of the data to another controller, this will only take place if it is technically feasible. SSL or TLS encryption
This site uses SSL or TLS encryption for security reasons and to protect the transmission of confidential content, such as orders or inquiries that you send to us as the site operator. You can recognize an encrypted connection by the fact that the address line of the browser changes from “http://” to “https://” and by the lock symbol in your browser line.
If SSL or TLS encryption is activated, the data you transmit to us cannot be read by third parties.
Information, deletion and correction
Within the framework of the applicable legal provisions, you have the right at any time to free information about your stored personal data, its origin and recipient and the purpose of the data processing and, if necessary, a right to correction or deletion of this data. You can contact us at any time at the address given in the legal notice if you have further questions on the subject of personal data.
Right to restriction of processing
You have the right to request the restriction of the processing of your personal data. To do so, you can contact us at any time at the address given in the legal notice. The right to restriction of processing exists in the following cases:
If you dispute the accuracy of your personal data stored by us, we generally need time to check this. For the duration of the review, you have the right to request that the processing of your personal data be restricted.
If the processing of your personal data was/is carried out unlawfully, you can request the restriction of data processing instead of erasure.
If we no longer need your personal data, but you need it for the exercise, defense or assertion of legal claims, you have the right to request the restriction of the processing of your personal data instead of deletion.
If you have lodged an objection in accordance with Art. 21 (1) GDPR, your interests and our interests must be weighed up. As long as it has not yet been determined whose interests prevail, you have the right to request the restriction of the processing of your personal data.
If you have restricted the processing of your personal data, this data – apart from its storage – may only be processed with your consent or for the establishment, exercise or defense of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the European Union or of a Member State.
Objection to advertising e-mails
We hereby object to the use of contact data published as part of our obligation to provide a legal notice for the purpose of sending unsolicited advertising and information material. The operators of this website expressly reserve the right to take legal action in the event of the unsolicited sending of advertising information, such as spam e-mails.
Data collection on this website
Cookies
Some of the Internet pages use so-called cookies. Cookies do not damage your computer and do not contain viruses. Cookies are used to make our website more user-friendly, effective and secure. Cookies are small text files that are stored on your computer and saved by your browser.
Most of the cookies we use are so-called “session cookies”. They are automatically deleted at the end of your visit. Other cookies remain stored on your end device until you delete them. These cookies enable us to recognize your browser on your next visit.
You can set your browser so that you are informed about the setting of cookies and only allow cookies in individual cases, exclude the acceptance of cookies for certain cases or in general and activate the automatic deletion of cookies when closing the browser. If cookies are deactivated, the functionality of this website may be restricted.
Cookies that are required to carry out the electronic communication process or to provide certain functions that you have requested (e.g. shopping cart function) are stored on the basis of Art. 6 para. 1 lit. f GDPR. The website operator has a legitimate interest in the storage of cookies for the technically error-free and optimized provision of its services. If a corresponding consent has been requested (e.g. consent to the storage of cookies), the processing is carried out exclusively on the basis of Art. 6 para. 1 lit. a GDPR; the consent can be revoked at any time.
Insofar as other cookies (e.g. cookies to analyze your surfing behavior) are stored, these are treated separately in this privacy policy.
Server log files
The provider of the pages automatically collects and stores information in so-called server log files, which your browser automatically transmits to us. These are
Browser type and browser version
Operating system used
Referrer URL
Host name of the accessing computer
Time of the server request
IP address
This data is not merged with other data sources.
This data is collected on the basis of Art. 6 para. 1 lit. f GDPR. The website operator has a legitimate interest in the technically error-free presentation and optimization of its website – the server log files must be recorded for this purpose.
The log files are deleted after 90 days.
Contact us
If you send us inquiries via the contact form, your details from the inquiry form, including the contact details you provide there, will be stored by us for the purpose of processing the inquiry and in the event of follow-up questions. We will not pass on this data without your consent.
This data is processed on the basis of Art. 6 para. 1 lit. b GDPR if your request is related to the performance of a contract or is necessary for the implementation of pre-contractual measures. In all other cases, the processing is based on our legitimate interest in the effective processing of the inquiries addressed to us (Art. 6 para. 1 lit. f GDPR) or on your consent (Art. 6 para. 1 lit. a GDPR) if this has been requested.
We will retain the data you provide on the contact form until you request its deletion, revoke your consent for its storage, or the purpose for its storage no longer pertains (e.g. after fulfilling your request). Mandatory statutory provisions – in particular retention periods – remain unaffected.
Request by e-mail or telephone
If you contact us by e-mail or telephone, we will store and process your inquiry, including all personal data (name, inquiry), for the purpose of processing your request. We will not pass on this data without your consent.
This data is processed on the basis of Art. 6 para. 1 lit. b GDPR if your request is related to the performance of a contract or is necessary for the implementation of pre-contractual measures. In all other cases, the processing is based on your consent (Art. 6 para. 1 lit. a GDPR) and/or on our legitimate interests (Art. 6 para. 1 lit. f GDPR), as we have a legitimate interest in the effective processing of the inquiries addressed to us.
The data you send to us via contact requests will remain with us until you ask us to delete it, revoke your consent to storage or the purpose for data storage no longer applies (e.g. after your request has been processed). Mandatory statutory provisions – in particular statutory retention periods – remain unaffected.
Processing of data (customer and contract data)
We collect, process and use personal data only insofar as it is necessary for the establishment, content or modification of the legal relationship (inventory data). This is done on the basis of Art. 6 para. 1 lit. b GDPR, which permits the processing of data for the fulfillment of a contract or pre-contractual measures. We collect, process and use personal data about the use of this website (usage data) only insofar as this is necessary to enable or charge the user for the use of the service.
The customer data collected will be deleted after completion of the order or termination of the business relationship. Statutory retention periods remain unaffected.
Transfer and disclosure of personal data
As part of our processing of personal data, the data may be transferred to other bodies, companies, legally independent organizational units or persons or disclosed to them. The recipients of this data may include, for example, payment institutions in the context of payment transactions, service providers commissioned with IT tasks or providers of services and content that are integrated into a website. In such cases, we observe the legal requirements and in particular conclude corresponding contracts or agreements with the recipients of your data that serve to protect your data. Data processing in third countries
If we process data in a third country (i.e. outside the European Union (EU), the European Economic Area (EEA)) or if the processing takes place in the context of the use of third-party services or the disclosure or transfer of data to other persons, bodies or companies, this will only take place in accordance with the legal requirements.
Subject to express consent or transfer required by contract or law, we only process or have the data processed in third countries with a recognized level of data protection, including US processors certified under the “Data Privacy Framework”, or on the basis of special guarantees, such as contractual obligations through so-called standard protection clauses of the EU Commission, the existence of certifications or binding internal data protection regulations (Art. 44 to 49 GDPR, information page of the EU Commission: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de).
Analysis tools and advertising
Semrush
For analysis and optimization, especially for SEO optimization, we use Semrush from the service provider: Semrush Inc, 800 Boylston Street, Suite 2475, Boston, MA 02199, USA. In particular, the following information is processed IP address and device ID.
The legal basis is Art. 6 para. 1 sentence 1 lit. f GDPR. Our legitimate interest lies in the analysis and optimization of our website.
Website: https://de.semrush.com, privacy policy: https://de.semrush.com/company/legal/privacy-policy/
Google Tag Manager
Google Tag Manager is a solution with which we can manage so-called website tags via an interface (and thus integrate Google Analytics and other Google marketing services into our online offering, for example). The Tag Manager itself (which implements the tags) does not process any personal user data. With regard to the processing of users’ personal data, please refer to the following information on Google services. Service provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland, parent company: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://marketingplatform.google.com; Privacy Policy: https://policies.google.com/privacy; Privacy Shield (Safeguarding the level of data protection when processing data in the USA): https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active.
Google Analytics
This website uses functions of the web analysis service Google Analytics. The provider is Google Ireland Limited (“Google”), Gordon House, Barrow Street, Dublin 4, Ireland.
Google Analytics uses so-called “cookies”. These are text files that are stored on your computer and enable your use of the website to be analyzed. The information generated by the cookie about your use of this website is usually transferred to a Google server in the USA and stored there.
The storage of Google Analytics cookies and the use of this analysis tool are based on Art. 6 para. 1 lit. f GDPR. The website operator has a legitimate interest in the analysis of user behavior in order to optimize both its website and its advertising. If a corresponding consent has been requested (e.g. consent to the storage of cookies), the processing is carried out exclusively on the basis of Art. 6 para. 1 lit. a GDPR; the consent can be revoked at any time.
The following table describes all cookies that are set by gtag.js. Further information on the data collected in Analytics can be found at https://support.google.com/analytics/answer/6004245.
If you have given your consent to the use of cookies for marketing purposes, Google Ads is used on this website. Google Ads enables us to display advertisements in the Google search engine or on third-party websites when the user enters certain search terms on Google (keyword targeting). Furthermore, targeted advertisements can be displayed based on the user data available at Google (e.g. location data and interests) (target group targeting). We can evaluate this data quantitatively, for example by analyzing which search terms have led to the display of our advertisements and how many advertisements have led to corresponding clicks. Insofar as data is processed outside the EU/EEA, we have also concluded the applicable standard contractual clauses of the European Union with Google as part of our order processing agreement in order to establish an adequate level of data protection.
Google Ads is provided by Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Ireland. Google may use sub-processors who process data outside the EU/EEA, where the level of data protection may not meet European standards.
The legal basis is your consent in accordance with § 25 Para. I S. 1, 2 TTDSG, Art.6 Para.1 S.1 lit. a) GDPR.
You can withdraw your consent at any time with effect for the future by accessing the cookie settings and changing your selection there. This does not affect the lawfulness of the processing carried out on the basis of the consent until revocation.
We have not stored any personal data in this context.
Name
_ga
_ga_<container-id>
Runtime
2 years
2 years
Domain
basebox.ai |
basebox.ai |
Description
Used to differentiate between individual users. |
Used to save the session status. |
Posthog
We use the services of PostHog Inc, 2261 Market Street #4008, San Francisco, CA 94114, USA (hereinafter referred to as “PostHog”). Posthog collects certain data to analyze the behavior of users on our website and to provide us with information on how we can improve our website. The data collected by Posthog includes the user’s IP address, date and time of access, browser type and version, the user’s operating system, referrer URL, host name of the accessing computer and event data that we define ourselves (e.g. clicks, visits).
PostHog transfers and stores the data exclusively on servers in the EU, but is a US company. We have therefore concluded standard contractual clauses of the European Commission with Posthog as suitable guarantees, so that an appropriate level of protection is ensured when processing your data. You can access the standard contractual clauses at https://docs.google.com/document/d/1xfpP1SCFoI1qSKM6rEt9VqRLRUEXiKj9_0Tvv2mP928/edit and at https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_de.
The processing of the data is based on your consent in accordance with Art. 6 para. 1 lit. a GDPR. You can revoke this consent at any time. The data collected by Posthog will be stored for as long as necessary to fulfill the purpose for which it was collected. The data will not be passed on to third parties unless this is required by law or necessary for the performance of a contract.
You have the right to information about the data stored by us, the correction of incorrect data and the deletion of your data, provided that there are no statutory retention requirements. You also have the right to request the restriction of the processing of your data and to object to the processing of your data. If you wish to exercise your rights, please contact us.
Newsletter
Newsletter data
If you subscribe to our company’s newsletter, the data in the respective input mask will be transmitted to the controller. Subscription to our newsletter takes place in a so-called double opt-in procedure. This means that after registering, you will receive an email asking you to confirm your registration. This confirmation is necessary so that no-one can register with other people’s email addresses. When registering for the newsletter, the user’s IP address and the date and time of registration are stored. This serves to prevent misuse of the services or the e-mail address of the person concerned. The data is not passed on to third parties. An exception is made if there is a legal obligation to pass on the data. The data is used exclusively for sending the newsletter. Subscription to the newsletter can be terminated by the data subject at any time. Consent to the storage of personal data can also be revoked at any time. There is a corresponding link for this purpose in every newsletter. The legal basis for the processing of data after registration for the newsletter by the user is Art. 6 para. 1 lit. a) GDPR if the user has given consent. The legal basis for sending the newsletter as a result of the sale of goods or services is Section 7 (3) UWG.
Use of rapidmail
Description and purpose: We use rapidmail to send newsletters. The provider is rapidmail GmbH, Wentzingerstraße 21, 79106 Freiburg, Germany. Among other things, rapidmail is used to organize and analyze the sending of newsletters. The data you enter for the purpose of subscribing to the newsletter is stored on rapidmail’s servers in Germany. If you do not wish to be analyzed by rapidmail, you must unsubscribe from the newsletter. For this purpose, we provide a corresponding link in every newsletter message. For the purpose of analysis, the emails sent with rapidmail contain a so-called tracking pixel, which connects to the rapidmail servers when the email is opened. In this way, it can be determined whether a newsletter message has been opened. We can also use rapidmail to determine whether and which links in the newsletter message have been clicked on. Optionally, links in the email can be set as tracking links, with which your clicks can be counted.
Legal basis: The legal basis for data processing is Art. 6 para. 1 lit. a) GDPR.
Recipient: The recipient of the data is rapidmail GmbH.
Transfer to third countries: Data is not transferred to third countries.
Duration: The data stored by us as part of your consent for the purpose of the newsletter will be stored by us until you unsubscribe from the newsletter and deleted from both our servers and the servers of rapidmail after you unsubscribe from the newsletter. Data stored by us for other purposes (e.g. e-mail addresses for the member area) remain unaffected by this.
Revocation option: You have the option to revoke your consent to data processing at any time with effect for the future. The legality of the data processing operations that have already taken place remains unaffected by the revocation.
Use of social media
We have profiles on social networks. Our social media accounts complement our website and offer you the opportunity to interact with us. As soon as you access our social media profiles in the social networks, the terms and conditions and data processing guidelines of the respective operators apply. The data collected about you when you use the services is processed by the networks and may also be transferred to countries outside the European Union where there is no adequate level of protection for the processing of personal data. In principle, we have no influence on data processing in the social networks, as we, like you, are users of the network. Information on this and on what data is processed by the social networks and for what purposes the data is used can be found in the privacy policy of the respective network listed below. We use the following social networks:
Our website is available at: https://www.facebook.com/profile.php?id=61555336381194
The operator of the network is: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland.
Privacy policy of the network: https://www.facebook.com/about/privacy Privacy policy of the network: https://privacycenter.instagram.com/
Our website is available at: https://www.linkedin.com/company/basebox/
The operator of the network is: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland.
Privacy policy of the network: www.linkedin.com/legal/privacy-policy
Our website is available at: https://www.reddit.com/user/baseboxio/
The operator of the network is: Reddit, Inc., 1455 Market Street, Suite 1600, San Francisco, CA 94103, United States
Privacy policy of the network: https://www.reddit.com/policies/privacy-policy
X
Our website is available at: https://twitter.com/basebox_ai
The operator of the network is: Twitter International Unlimited Company, One Cumberland Place, Fenian Street Dublin 2
Privacy policy of the network: https://twitter.com/de/privacy
Shared responsibility
Purposes:
We process personal data as our own controller when you send us inquiries via the social media profiles. We process this data in order to respond to your inquiries. In addition, we are joint controllers with the following networks and jointly responsible for the following processing operations (Art. 26 GDPR). As part of visiting our profile on the LinkedIn network as well as Facebook and Instagram, the network collects aggregated statistics (“Insights data”) created from certain events logged by their servers when you interact with our profiles and related content. We receive these aggregated and anonymous statistics from the network about the use of our profile. We are generally not in a position to assign the data to specific users. To a certain extent, we can define the criteria according to which the network compiles these statistics for us. We use these statistics to make our profiles more interesting and informative for you.
Further information on this data processing at LinkedIn can be found in the Joint Controller Agreement at https://legal.linkedin.com/pages-joint-controller-addendumlegal.linkedin.com/pages-joint-controller-addendum. Otherwise, the network is solely responsible for the processing of your data.
Further information on this data processing by Facebook and Instagram can be found in the joint controller agreement at: https://www.facebook.com/legal/terms/information_about_page_insights_data
Legal basis:
The processing is carried out on the basis of our legitimate interest (Art. 6 para. 1 lit. f GDPR). The interest lies in the respective purpose.
Storage period:
We do not store any personal data ourselves within the scope of joint responsibility. With regard to contact requests outside the network, the above information on contacting us applies accordingly.
Plugins and tools
YouTube with enhanced data protection
This website integrates videos from YouTube. The operator of the pages is Google Ireland Limited (“Google”), Gordon House, Barrow Street, Dublin 4, Ireland.
We use YouTube in extended data protection mode. According to YouTube, this mode means that YouTube does not store any information about visitors to this website before they watch the video. However, the transfer of data to YouTube partners is not necessarily excluded by the extended data protection mode. For example, YouTube establishes a connection to the Google DoubleClick network regardless of whether you watch a video.
As soon as you start a YouTube video on this website, a connection to the YouTube servers is established. This tells the YouTube server which of our pages you have visited. If you are logged into your YouTube account, you enable YouTube to assign your surfing behavior directly to your personal profile. You can prevent this by logging out of your YouTube account.
Furthermore, YouTube can store various cookies on your end device after starting a video. With the help of these cookies, YouTube can obtain information about visitors to this website. This information is used, among other things, to record video statistics, improve user-friendliness and prevent fraud attempts. The cookies remain on your device until you delete them.
After the start of a YouTube video, further data processing operations may be triggered over which we have no influence.
The use of YouTube is in the interest of an appealing presentation of our online offers. This constitutes a legitimate interest within the meaning of Art. 6 para. 1 lit. f GDPR. If a corresponding consent has been requested (e.g. consent to the storage of cookies), the processing is carried out exclusively on the basis of Art. 6 para. 1 lit. a GDPR; the consent can be revoked at any time.
You can find more information about data protection at YouTube in their privacy policy at: https://policies.google.com/privacy?hl=de.
Own services
Handling applicant data
We offer you the opportunity to apply to us (e.g. by e-mail, post or via the online application form). In the following, we inform you about the scope, purpose and use of your personal data collected as part of the application process. We assure you that your data will be collected, processed and used in accordance with applicable data protection law and all other statutory provisions and that your data will be treated in strict confidence.
Scope and purpose of data collection
If you send us an application, we process your associated personal data (e.g. contact and communication data, application documents, notes taken during job interviews, etc.) insofar as this is necessary to decide on the establishment of an employment relationship. The legal basis for this is § 26 BDSG under German law (initiation of an employment relationship), Art. 6 para. 1 lit. b GDPR (general contract initiation) and – if you have given your consent – Art. 6 para. 1 lit. a GDPR. Consent can be revoked at any time. Your personal data will only be passed on within our company to persons who are involved in processing your application.
If the application is successful, the data submitted by you will be stored in our data processing systems on the basis of § 26 BDSG-new and Art. 6 para. 1 lit. b GDPR for the purpose of implementing the employment relationship.
Data retention period
If we are unable to make you a job offer, you reject a job offer or withdraw your application, we reserve the right to retain the data you have submitted on the basis of our legitimate interests (Art. 6 para. 1 lit. f GDPR) for up to 6 months from the end of the application process (rejection or withdrawal of the application). The data will then be deleted and the physical application documents destroyed. The retention serves in particular as evidence in the event of a legal dispute. If it is apparent that the data will be required after the 6-month period has expired (e.g. due to an impending or pending legal dispute), the data will only be deleted when the purpose for further storage no longer applies.
Data may also be stored for longer if you have given your consent (Art. 6 para. 1 lit. a GDPR) or if statutory retention obligations prevent deletion.
Auftragsverarbeitungsvereinbarung (AVV)
Der Kunde – wie in den Nutzungsbedingungen definiert -
– im Folgenden „Auftraggeber“ –
und
basebox GmbH, Bahnhofplatz 3, 86919 Utting am Ammersee
– im Folgenden „basebox“ –
– eine von ihnen im Folgenden „die Partei“; beide zusammen im Folgenden „die Parteien“ –
haben die folgende Auftragsverarbeitungsvereinbarung (AVV) abgeschlossen, um Ihre Verpflich-tungen aus Art. 28 Abs. 3 DSGVO zu erfüllen.
Präambel
Die Parteien haben sich auf die Erbringung von Dienstleistungen im Zusammenhang mit der Be-reitstellung und Nutzung von KI-Modellen - wahlweise in der Cloud oder on-premise - geeinigt und hierüber eine vertragliche Vereinbarung in Form von Nutzungsbedingungen (der „Vertrag“) geschlossen. Um die Dienstleistungen vereinbarungsgemäß erbringen zu können ist es erforder-lich, dass basebox im Auftrag und auf Weisung des Auftraggebers personenbezogene Daten ver-arbeitet. Zweck dieser Auftragsverarbeitungsvereinbarung (der „Vereinbarung“) ist es, die Ver-pflichtungen der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch basebox als Auftragsverarbeiter im Auftrag des Auftraggebers als Verantwortlichem festzu-legen.
1. Standardvertragsklauseln
1.1 Die Parteien vereinbaren die in Anlage 1 beigefügten Standardvertragsklauseln gemäß des Durchführungsbeschlusses der Europäischen Kommission vom 04. Juni 2021 [C(2021) 3701 final].
1.2 Soweit die Übermittlung personenbezogener Daten durch basebox an den Auftraggeber eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU darstellt, bspw. weil der Auftraggeber seinen Sitz außerhalb der EU hat, vereinbaren die Parteien die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679, wie sie von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 vereinbart wurden und dieser Vereinbarung als Anlage 2 beigefügt sind (die "Internationalen Standardvertragsklauseln"). Die Anhänge I (I.A „SCC International“), II (I.B. „SCC International“), III (II. „SCC International“) und IV (III. „SCC International“) der Anlage 1 gelten entsprechend.
1.3 Die Standardvertragsklauseln und die internationalen Standardvertragsklauseln werden durch die Regelungen dieser Auftragsverarbeitungsvereinbarung ergänzt.
1.4 Soweit eine Regelung in dieser Auftragsverarbeitungsvereinbarung oder sonstigen Bedingungen zwischen den Parteien den Regelungen in den Standardvertragsklauseln oder den internationalen Standardvertragsklauseln widerspricht, gehen die Regelungen der Standardvertragsklauseln bzw. der internationalen Standardvertragsklauseln den übrigen Regelungen vor. Soweit eine Regelung der Standardvertragsklauseln aus Ziffer 1.1 den internationalen Standardvertragsklauseln aus Ziffer 1.2 widerspricht, gehen die internationalen Standardvertragsklauseln vor.
2 Ergänzende Regelungen
2.1 Weisungen und Pflichten des Auftraggebers
2.1.1 Die Weisungen werden anfänglich durch den Vertrag und diese Vereinbarung (samt Anlagen und Anhängen) festgelegt und können von dem Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform, z.B. via E-Mail) an basebox durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im zugrundeliegenden Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
2.1.2 basebox hat das Recht, die technischen und organisatorischen Maßnahmen, die in der Auftragsverarbeitungsvereinbarung und ihren Anlagen und Anhängen festgelegt sind, jederzeit zu ergänzen oder zu ändern, wobei das Sicherheitsniveau jedoch nicht unter das ursprünglich vereinbarte Niveau sinken darf.
2.1.3 Der Auftraggeber hat basebox unverzüglich und vollständig zu informieren, wenn er bei der Verarbeitung personenbezogener Daten Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
2.1.4 Die Person, welche für die Kundin als Admin registriert ist, nimmt für basebox die Rolle als Ansprechperson für im Rahmen des Vertrages und der Vereinbarung anfallende Datenschutzfragen.
2.2 Übermittlungen von Daten an ein Drittland
Als Weisung im Sinne von Ziffer 7.8 gilt insbesondere auch die Genehmigung zur Einset-zung eines Unterauftragsverarbeiters.
2.3 Inspektionen
2.3.1 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder eine von ihr beauftragte Prüfer*in erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Unangemeldete Audits und/oder Audits außerhalb der Geschäftszeiten sind nur im Einzelfall und nur dann zulässig, soweit dies für den Nachweis, dass der Auftragsverarbeiter die gesetzlichen Pflichten oder die Pflichten aus diesem Vertrag erfüllt oder nicht erfüllt erforderlich ist. Die Erforderlichkeit muss durch auf nachvollziehbaren Tatsachen gründenden Vermutungen belegt sein.
2.3.2 Sollte basebox sich dazu entschließen selbst einen fachkundigen, unabhängigen externen Inspektor oder Prüfer zu beauftragen, stimmt der Auftraggeber dieser Beauftragung unter der Bedingung zu, dass er eine Kopie des Berichts erhält.
2.4 Haftung und Freistellung
2.4.1 Es gelten die Haftungsregelungen des Vertrags soweit nicht etwas Abweichendes ausdrücklich vereinbart ist.
2.4.2 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO wird der Auftraggeber basebox freistellen, soweit basebox die zugrundeliegende Verletzung datenschutzrechtlicher Vorschriften nicht zu vertreten hat.
2.5 Sonstiges
2.5.1 Änderungen und Ergänzungen dieser AVV und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen der Auftragnehmerin – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
2.5.2 Es gilt das im zugrundeliegenden Vertrag gewählte Recht.
Anlage 1
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von: Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG] sichergestellt werden.b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.d) Die Anhänge I bis IV sind Bestandteil der Klauseln.e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679.f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.
Klausel 2
Unabänderbarkeit der Klauseln
a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Klausel 3
Auslegung
a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.
Klausel 4
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.
Klausel 5 (entfallen)
ABSCHNITT II – PFLICHTEN DER PARTEIEN
Klausel 6
Beschreibung der Verarbeitung
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.
Klausel 7
Pflichten der Parteien
7.1 Weisungen
a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
7.2 Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für die in Anhang II genannten spezifischen Zwecke, sofern er keine weiteren Weisungen des Verantwortlichen erhält.
7.3 Dauer der Verarbeitung personenbezogener Daten
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.
7.4 Sicherheit der Verarbeitung
a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7.5 Sensible Daten
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.
7.6 Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
e) Die Parteien stellen der zuständigen Aufsichtsbehörde die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
7.7 Einsatz von Unterauftragsverarbeitern
a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 3 Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 unterliegt.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
7.8 Internationale Datenübermittlungen
a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 im Einklang stehen.
b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
Klausel 8
Unterstützung des Verantwortlichen
a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
1) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
2) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
3) Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
4) Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679].
d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
Klausel 9
Meldung von Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde, nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
1) die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
3) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679], die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:
a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679] zu unterstützen.
ABSCHNITT III – SCHLUSSBESTIMMUNGEN
Klausel 10
Verstöße gegen die Klauseln und Beendigung des Vertrags
a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
1) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
2) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 nicht erfüllt;
3) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 zum Gegenstand hat, nicht nachkommt.
c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.
d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
ANHANG I – LISTE DER PARTEIEN
Verantwortlicher: [Identität und Kontaktdaten des/der für die Verarbeitung Verantwortlichen und ggf. des Datenschutzbeauftragten des für die Verarbeitung Verantwortlichen].
Verantwortlicher ist der Auftraggeber:
Der Kunde, wie in den Nutzungsbedingungen definiert
Auftragsverarbeiter: [Identität und Kontaktdaten des Auftragsverarbeiters und ggf. des Datenschutzbeauftragten des Auftragsverarbeiters].
basebox GmbH
Kontaktdaten des Datenschutzbeauftragten des Auftragsverarbeiters:
Bahnhofsplatz 3
86919 Utting am Ammersee
Deutschland
Telefon: +49 8806 9590600
E-Mail: contact@basebox.ai
ANHANG II – BESCHREIBUNG DER VERARBEITUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden
Der Kunde
Von dem Kunden eingeladene Benutzer
Personen, deren Daten in den Input-Prompts enthalten sind, die die Kundin oder ihre User durch das KI-Modell verarbeiten lassen.
Kategorien personenbezogener Daten, die verarbeitet werden
Die Verarbeitung relevanter personenbezogener Daten erstreckt sich auf:
Namen,
Geschäftsadressen,
E-Mailadressen,
Telefonnummern,
Bankverbindungen,
sonstige in den Prompts enthaltene Daten,
soweit Installations- und/oder Support geleistet wird, alle Datenkategorien, mit denen der Auftragsverarbeiter in Kontakt kommt.
RAG Daten
Sensible verarbeitete Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.
Die Verarbeitung sensibler Daten erfolgt im Zusammenhang mit der Erbringung der vereinbarten Dienstleistungen nicht. Soweit der Verantwortliche die Dienste des Auftragsverarbeiters für die Verarbeitung sensibler Daten einsetzt, wird er ihn entsprechend informieren.
Art der Verarbeitung
Der Auftragsverarbeiter erbringt gegenüber dem Verantwortlichen die vereinbarten Dienstleistungen. Die Art der Verarbeitung personenbezogener Daten umfasst jede Ver-arbeitung, die erforderlich ist, damit der Auftragsverarbeiter diese Dienste für den Auf-traggebers erbringen kann. Sie umfasst insbesondere das Sammeln, die Organisation, die Strukturierung, die Speicherung und die Bereitstellung personenbezogener Daten, kann aber auch jeden anderen Vorgang wie die Anpassung oder Veränderung, das Abrufen, die Abfrage, die Nutzung, die Offenlegung durch Übermittlung, die Verbreitung, den Ab-gleich oder die Kombination, die Einschränkung, die Löschung oder die Vernichtung per-sonenbezogener Daten umfassen.
Zweck, für den die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden
Basebox in der Cloud
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zur Erbringung seiner Dienstleistungen, wie mit dem Verantwortlichen vereinbart. Dies umfasst insbesondere Bereitstellung von basebox zur Nutzung der angebotenen KI-Modelle und Vertragsmanagement.
Basebox On-Premise
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zur Erbringung seiner Dienstleistungen, wie mit dem Verantwortlichen im Vertrag vereinbart. Dies kann insbesondere die Installation und Wartung der basebox-Software sowie die Bereitstellung von Support erfassen.
Dauer der Verarbeitung
Die Verarbeitung dauert so lange an, wie der Auftragsverarbeiter seine Dienstleistungen für den Verantwortlichen erbringt und endet mit der Beendigung des Vertrages und der Rückgabe und/oder Löschung der Daten des Verantwortlichen.
ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GE-WÄHRLEISTUNG DER SICHERHEIT DER DATEN
Soweit im Rahmen der On-Premise-Version Dienstleistungen per Fernzugriff erbracht werden, erfolgt der Zugriff über eine sicherem, verschüsselte Verbindung via PAM oder VPN.
Im Übrigen gelten die folgenden weiteren technischen und organisatorischen Maßnahmen
Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten
Schutz von geheimen Schlüsseln durch starke Passwörter
Verschlüsselung (asymmetrisch/symmetrisch) nach Stand der Technik
Verschlüsselung von Systemen
Verschlüsselung von Speichermedien
Verschlüsselung von Datenträgern
Verschlüsselung der Kommunikation (z.B. E-Mail Verschlüsselung)
Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
Dokumentation von Berechtigungen
Einsatz von Authentifizierungsverfahren
Gesichertes WLAN
Individuelle Log-In und Kennwortverfahren
Spezielle Schutzvorkehrungen für den Serverraum (Hetzner, Telekom)
Verwendung von starken Passwörtern (z.B. mind. 10-stellig)
Verhinderung der Auswahl schwacher Passwörter bei Anwendungen
Verschwiegenheitsverpflichtungen der Mitarbeiter
Durchführung von Administrationstätigkeiten auf den Servern nur durch kompetent geschulte Personen
Einsatz geeigneter Firewalls
Einsatz von Protokollierungs- Auswertungssystemen, die die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung gewährleisten
Einsatz von Verfahren zur Zwei- oder Mehr-Faktor-Authentifizierung bei Verarbeitungstätigkeiten mit hohem Risiko
Erstellung von Rollenprofilen/Festlegung funktioneller Verantwortlichkeiten
Verwendung von Zugriffsrechte
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederher-zustellen.
Back-Up Verfahren
Geeignete Maßnahmen zur Datensicherung: Erstellte Backups werden an verschiedenen Orten gespeichert und je nach Anwendung unterschiedlich lange vorgehalten
Spiegeln von Festplatten
Vertretungsregelungen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Penetrationstests (umfassender Sicherheitstest einzelner Rechner oder Netzwerke)
Regelmäßige Sensibilisierung der Mitarbeiter (mind. Jährlich)
Regelmäßige Test, ob alle relevanten Daten im Back-Up Prozess enthalten sind und die Wiederherstellung funktioniert
Überprüfung der Wirksamkeit der technischen Maßnahmen (mind. jährlich)
Maßnahmen zur Identifizierung und Autorisierung der Nutzer
Einweisung aller Mitarbeiter in den Umgang mit Authentifizierungsverfahren und -mechanismen
Geregelter Prozess zur zentralen Verwaltung von Benutzeridentitäten, insbesondere zur Anlage (z.B. neuer Mitarbeiter), Änderung (z.B. Namenswechsel nach Heirat) und Löschung (z.B. Weggang Mitarbeiter)
Vergabe von eindeutigen Kennungen für jeden Nutzer
Vermeidung von Gruppenkennungen
Maßnahmen zum Schutz der Daten während der Übermittlung
Bereitstellung über verschlüsselte Verbindungen: z.B.: HTTPS nach Stand der Technik einsetzen
SSL-Zertifikat von vertrauenswürdigen Zertifizierungsstellen
Data Hashing (Transformierung von personenbezogenen Daten in eine bestimmte Zeichenfolge)
Nutzung von kryptografischen Tools
Maßnahmen zum Schutz der Daten während der Speicherung
Schutz von geheimen Schlüsseln durch starke Passwörter
Verschlüsselung (asymmetrisch/symmetrisch) nach Stand der Technik
Verschlüsselung von Systemen
Verschlüsselung von Speichermedien
Verschlüsselung von Datenträgern
Verschlüsselung der Kommunkation (z.B. E-Mail Verschlüsselung)
Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezo-gene Daten verarbeitet werden
Es besteht ein Konzept zu Zutrittsregelungen und zur physischen Zugangskontrolle (Perimeterschutz)
Klare Regelungen zum Umgang mit Besuchern (z.B. Begleitung, Sicherheitszonen, Besucherausweise, Protokollierung, Zuständiger Mitarbeiter für Besucher) als Bestandteil des Konzepts
Sichere Schließsysteme samt dokumentierter Schlüsselverwaltung
Feuerhemmende Schränke,/Tresore zur Lagerung essentieller Komponenten (z.B. Backup-Bänder, wichtige Originaldokumente)
Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
Protokollierung und Blockierung von IOCs (Indicators of Compromise)
Protokollierungen auf Firewall-Ebene, um auch unbefugte Zugriffe zwischen den Netzen festzustellen und zu analysieren
Protokollierung von Besuchern
Protokollierung der Eingabe, Änderung und Löschung von Daten
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
Automatische Installation von Sicherheitsupdates für das Betriebssystem und installierte Software
Regelmäßige Datenwiederherstellungstests und Protokollierung der Ergebnisse
Regelmäßige Auswertung von Informationen zu Sicherheitsanfälligkeiten der verwendeten Software
Regelmäßige, ungeforderte Auswertung von Protokolldateien zur Erkennung ungewöhnlicher Einträge
Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit
Rollenprofile für die Beschäftigten unter Einbeziehung der Einträge des Verzeichnisses der Verarbeitungstätigkeiten
Regelmäßige Überprüfung (einmal pro Jahr), ob die Zuweisungen der Rollen den Vorgaben entspricht sowie, ob die Rollen noch den Anforderungen der Geschäftstätigkeit entspricht
Keine Administratorenkennungen für Nutzer, die keine administrativen Tätigkeiten ausführen
Die Nutzung von Superuser (z.B. root unter Linux) wird woweit möglich nicht verwendet
Bestimmung von Ansprechpartnern und verantwortlichen Projektmanagern für den konkreten Auftrag
Durchführung von Datenschutzschulungen für alle Mitarbeiter (einschließlich regelmäßiger Auffrischungs-schulungen für bestehendes Personal)
Implementierung unternehmensinterner Datenschutz-Richtlinien
Konsequente Einbindung der Datenschutzbeauftragten (DSB) bei Sicherheitsfragen
Kenntnis der zuständigen Datenschutzaufsichtsbehörde sowie Wissen über die Meldeverpflichtung nach Art. 33 und 34 DSGVO
Relevante Richtlinien (z.B. zur E-Mail-/Internetnutzung, Einsatz von Verschlüsselungstechniken) werden aktuell gehalten und sind leicht auffindbar
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Vorhandensein einer geeigneten Organisationsstruktur für Informationssicherheit
Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten
Regelmäßige Sensibilisierung der Mitarbeiter (mind. jährlich)
Regelmäßige Tests, ob allen relevanten Daten im Back-Up Prozess enthalten sind und die Wiederherstellung funktioniert
Überprüfung der Wirksamkeit der technischen Maßnahmen (mind. jährlich)
Maßnahmen zur Gewährleistung der Datenminimierung
Reduzierung von Attributen
Reduzierung der Verarbeitungsoptionen in Verarbeitungsprozessschritten
Festlegung von Voreinstellungen für betroffene Personen, die die Verarbeitung ihrer Daten auf das für den Verarbeitungszweck erforderliche Maß beschränken. Voreinstellungen)
Festlegung und Umsetzung eines Löschkonzepts
Maßnahmen zur Gewährleistung der Datenqualität
Entfernen oder Korrigieren fehlerhafter, doppelter und unvollständiger Datensätze.
Einsatz von Software-Tools, die Dateneingaben prüfen um sicherzustellen, dass sie bestimmten Standards oder Formaten entsprechen
Anwendung einheitlicher Formate und Konventionen über alle Datenquellen hinweg, um Konsistenz zu gewährleisten
Training und Sensibilisierung der Mitarbeitenden bezüglich der Bedeutung von Datenqualität und korrektem Datenmanagement
Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung
Erfassung und Speicherung nur der Daten, die für den vorgesehenen Zweck unbedingt notwendig sind
Festlegung einer klaren Ablaufzeit für die Speicherung von Daten, nach der die Daten automatisch gelöscht oder anonymisiert werden
Durchführung regelmäßiger Audits, um sicherzustellen, dass Daten nach Ablauf ihrer Speicherfrist zuverlässig gelöscht werden.
Sicherstellung, dass alle Maßnahmen zur Datenspeicherung den lokalen Datenschutzgesetzen und -vorschriften entsprechen.
Maßnahmen zur Gewährleistung der Rechenschaftspflicht
Es wird ein Verarbeitungsverzeichnis geführt.
Es werden Lösch- und Aufbewahrungskonzepte geführt.
Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen nach dem PDCA-Zyklus (Plan-Do-Check-Act).
Durchführung von Datenschutzschulungen für alle Mitarbeiter (einschließlich regelmäßiger Auffrischungs-schulungen für bestehendes Personal)
Implementierung unternehmensinterner Datenschutz-Richtlinien.
Konsequente Einbindung der Datenschutzbeauftragten (DSB) bei Sicherheitsfragen.
Kenntnis der zuständigen Datenschutzaufsichtsbehörde sowie Wissen über die Meldeverpflichtung nach Art. 33 und 34 DSGVO.
Relevante Richtlinien (z.B. zur E-Mail-/Internetnutzung, Einsatz von Verschlüsselungstechniken) werden aktuell gehalten und sind leicht auffindbar.
Verpflichtung der Mitarbeiter auf das Datengeheimnis.
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
Es werden Lösch- und Aufbewahrungskonzepte geführt.
Festlegung einer klaren Ablaufzeit für die Speicherung von Daten, nach der die Daten automatisch gelöscht oder anonymisiert werden
Durchführung regelmäßiger Audits, um sicherzustellen, dass Daten nach Ablauf ihrer Speicherfrist zuverlässig gelöscht werden.
Keine Aufbewahrung von Archivdaten in Produktivdatenbanken, sondern Überspielen von Archivdaten aus Produktivsystemen in die Archivsysteme
Archivdaten müssen nach Ablauf der Aufbewahrungsfrist wirksam gelöscht werden.
Durchführung von Datenschutzschulungen für alle Mitarbeiter
TOM der eingesetzten Unterauftragsverarbeiter:
Der Auftragsverarbeiter bedient sich zur Erbringung seiner Dienstleistungen Unterauftragsverarbeitern (siehe Anhang IV). Alle Unterauftragsverarbeiter setzen auf geeignete technische und organisatorische Maßnahmen. Weitere Informationen finden Sie unter:
Für Hetzner: https://www.hetzner.com/AV/TOM.pdf
Für Google Vertex: https://cloud.google.com/vertex-ai/docs/shared-responsibility?hl=de#:~:text=Sicherheit%20ist%20eine%20geteilte%20Verantwortung,Ihrer%20Daten%2C%20Codes%20und%20Modelle
ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER
Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:
Unterauftragnehmer
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Google Ireland Ltd. Google Building Gor-don House, Barrow St, Grand Canal Dock, Dublin 4, D04 V4X7, Irland
Art der Verarbeitung
Hosting und zur Verfügungstellung des Produkts basebox einschließlich der darin verarbeiteten Kundendaten.
Hosting des Models und Verarbeitung der eingegebenen Prompts sowie Erstellung und Übermittlung der Antworten.
Anlage 2
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)[1] bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.
b) Die Parteien:
i) die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und
ii) die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“),
haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt.
c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.
d) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.
Klausel 2
[1] Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss […] enthaltenen Standardvertragsklauseln stützen.
Wirkung und Unabänderbarkeit der Klauseln
a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie – in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter – Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7
ii) Klausel 8 – Modul eins: Klausel 8.5 Buchstabe e und Klausel 8.9 Buchstabe b Modul zwei: Klausel 8.1 Buchstabe b, Klausel 8.9 Buchstaben a, c, d und e Modul drei: Klausel 8.1 Buchstaben a, c und d und Klausel 8.9 Buchstaben a, c, d, e, f und g Modul vier: Klausel 8.1 Buchstabe b und Klausel 8.3 Buchstabe b
iii) Klausel 9 – Modul zwei: Klausel 9 Buchstaben a, c, d und e Modul drei: Klausel 9 Buchstaben a, c, d und e
iv) Klausel 12 – Modul eins: Klausel 12 Buchstaben a und d Module zwei und drei: Klausel 12 Buchstaben a, d und f
v) Klausel 13
vi) Klausel 15.1 Buchstaben c, d und e
vii) Klausel 16 Buchstabe e
viii) Klausel 18 – Module eins, zwei und drei Klausel 18 Buchstaben a und b Modul vier: Klausel 18
b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.
Klausel 4
Auslegung
a) Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.
Klausel 5
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.
Klausel 6
Beschreibung der Datenübermittlung(en)
Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.
Klausel 7 – fakultativ
Kopplungsklausel
a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.
b) Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.
c) Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.
ABSCHNITT II – PFLICHTEN DER PARTEIEN
Klausel 8
Datenschutzgarantien
Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur – durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen – in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.
8.1 Weisungen
a) Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenimporteurs, der als sein Verantwortlicher fungiert.
b) Der Datenexporteur unterrichtet den Datenimporteur unverzüglich, wenn er die betreffenden Weisungen nicht befolgen kann, u. a. wenn eine solche Weisung gegen die Verordnung (EU) 2016/679 oder andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstößt.
c) Der Datenimporteur sieht von jeglicher Handlung ab, die den Datenexporteur an der Erfüllung seiner Pflichten gemäß der Verordnung (EU) 2016/679 hindern würde, einschließlich im Zusammenhang mit Unterverarbeitungen oder der Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
d) Nach Wahl des Datenimporteurs löscht der Datenexporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Datenimporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenimporteur, dass dies erfolgt ist, oder gibt dem Datenimporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien.
8.2 Sicherheit der Verarbeitung
a) Die Parteien treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten, auch während der Übermittlung, sowie den Schutz vor einer Verletzung der Sicherheit zu gewährleisten, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art der personenbezogenen Daten[2], der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung und ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann.
b) Der Datenexporteur unterstützt den Datenimporteur bei der Gewährleistung einer angemessenen Sicherheit der Daten gemäß Buchstabe a. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Datenexporteur gemäß diesen Klauseln verarbeiteten personenbezogenen Daten meldet der Datenexporteur dem Datenimporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde, und unterstützt den Datenimporteur bei der Behebung der Verletzung.
c) Der Datenexporteur gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8.3 Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung seiner Pflichten gemäß diesen Klauseln erforderlich sind, und ermöglicht Prüfungen und trägt zu diesen bei.
Klausel 9 [gestrichen]
Klausel 10
[2] Hierzu zählt, ob die Übermittlung und Weiterverarbeitung personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten enthalten.
Rechte betroffener Personen
Die Parteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anträgen, die von betroffenen Personen gemäß den für den Datenimporteur geltenden lokalen Rechtsvorschriften oder – bei der Datenverarbeitung durch den Datenexporteur in der Union – gemäß der Verordnung (EU) 2016/679 gestellt werden.
Klausel 11
Rechtsbehelf
a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.
Klausel 12
Haftung
a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
b) Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den die Partei der betroffenen Person verursacht, indem sie deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
c) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
d) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe c haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
e) Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.
Klausel 13 [gestrichen]
ABSCHNITT III – LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN
Klausel 14
Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken
a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.
b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,[3]
iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.
d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.
Klausel 15
[3] Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.
Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten
15.1 Benachrichtigung
a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,
i) wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder
ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).
d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.
b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung.
c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.
ABSCHNITT IV – SCHLUSSBESTIMMUNGEN
Klausel 16
Verstöße gegen die Klauseln und Beendigung des Vertrags
a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.
c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,
ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder
iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.
In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.
d) Von dem in der EU ansässigen Datenexporteur erhobene personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen unverzüglich vollständig gelöscht werden, einschließlich aller Kopien. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.
e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht
Diese Klauseln unterliegen dem Recht eines Landes, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht der Bundesrepublik Deutschland ist.
Klausel 18
Gerichtsstand und Zuständigkeit
Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten der Bundesrepublik Deutschland beigelegt.