IDEXX KUNDENDATENVERARBEITUNGSVERTRAG
(Überarbeitung 18. Mai 2023)
Diese Datenverarbeitungsvereinbarung ("DPA") und die hier zu findenden anwendbaren Anlagen zur Datenverarbeitungsvereinbarung (jeweils eine "DPA-Anlage") gelten für die Verarbeitung personenbezogener Daten ("personenbezogene Kundendaten") durch IDEXX im Namen des Kunden ("Kunde"), die der Allgemeinen Datenschutzverordnung 2016/679 ("GDPR") oder einem der anderen hier genannten Datenschutzgesetze (zusammen "Datenschutzgesetze") unterliegen, um Dienstleistungen ("Dienstleistungen") gemäß einer Vereinbarung zwischen IDEXX und dem Kunden ("Vereinbarung") zu erbringen. Wenn in dieser DPA auf IDEXX Bezug genommen wird, ist damit IDEXX B.V. oder ein verbundenes Unternehmen von IDEXX B.V. gemeint, das die Vereinbarung mit dem Kunden geschlossen hat. Der Kunde und IDEXX werden gemeinsam als "Parteien" oder einzeln als "Partei" bezeichnet. Diese DPA und die entsprechende DPA-Anlage sind Bestandteil der jeweiligen Vereinbarung für die betreffende Dienstleistung. Im Falle eines Konflikts hat die DPA-Anlage Vorrang vor der DPA, die wiederum Vorrang vor dem Rest der Vereinbarung hat, sofern in dieser DPA nicht ausdrücklich etwas anderes festgelegt ist.
1 Definitionen
1.1 Alle in der Vereinbarung enthaltenen Definitionen gelten auch für diese DPA, sofern in dieser DPA nichts anderes festgelegt ist. In Großbuchstaben geschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung, die ihnen in den geltenden Datenschutzgesetzen zugewiesen wird. Darüber hinaus gelten die folgenden Definitionen für diese DPA:
1.2 Verbundenes Unternehmen: jede Person oder Einrichtung, die eine andere Person oder Einrichtung kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit ihr steht. Für diese Zwecke bezieht sich "Kontrolle" auf (i) den direkten oder indirekten Besitz der Befugnis, das Management oder die Politik des betreffenden Unternehmens zu lenken, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch einen Vertrag oder auf andere Weise, oder (ii) die direkte oder indirekte Inhaberschaft von mindestens fünfzig Prozent (50%) der stimmberechtigten Wertpapiere oder anderer Eigentumsanteile des betreffenden Unternehmens oder, falls ein solches Unternehmen in einem Land ansässig ist, in dem ein solches Maß an Eigentum nicht zulässig ist, den dort zulässigen maximalen Prozentsatz an Eigentum;
1.3 Drittland: jedes Land, das kein angemessenes Datenschutzniveau gemäß den geltenden Datenschutzgesetzen bietet;
1.4 Verletzung des Schutzes personenbezogener Daten: eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, Verlust, Änderung, zur unbefugten Offenlegung von oder Zugriff auf personenbezogene Kundendaten führt, die übertragen, gespeichert oder anderweitig verarbeitet werden.
2 Gegenstand dieser Datenschutzvereinbarung
2.1 In Verbindung mit der Verarbeitung der personenbezogenen Daten des Kunden in Bezug auf die jeweiligen Dienstleistungen und den jeweiligen Vertrag ist IDEXX der Auftragsverarbeiter und der Kunde der für die Verarbeitung Verantwortliche. Die Verarbeitung personenbezogener Daten, für die diese DPA gilt, ist in den entsprechenden DPA-Anlagen beschrieben.
2.2 Diese DPA ergänzt die Vereinbarung und hebt alle (mündlichen und/oder schriftlichen) Vereinbarungen eines früheren Datums auf, die sich auf die Verarbeitung personenbezogener Daten zwischen dem Kunden als Verantwortlichem und IDEXX als Auftragsverarbeiter in Bezug auf die personenbezogenen Daten beziehen, sofern anwendbar.
3 Verarbeitung der personenbezogenen Daten
3.1 IDEXX wird alle Datenschutzgesetze in Bezug auf die Dienstleistungen einhalten, die für IDEXX als Auftragsverarbeiter gelten. Der Kunde gewährleistet, dass er die personenbezogenen Daten des Kunden in Übereinstimmung mit dem geltenden Recht verarbeitet oder verarbeitet hat. Der Kunde ist verpflichtet, IDEXX auf erstes Anfordern unverzüglich alle angeforderten relevanten Informationen in schriftlicher Form, gegebenenfalls auch in elektronischer Form, zur Verfügung zu stellen. IDEXX ist nicht verantwortlich oder haftbar für die Einhaltung der Verpflichtungen des Kunden nach dem anwendbaren Recht, einschließlich, aber nicht beschränkt auf die Verpflichtungen des Kunden gegenüber seinen eigenen Kunden oder Klienten, wie z.B. die Verpflichtung des Kunden, seine Kunden oder Klienten über die Empfänger der Verarbeitung ihrer personenbezogenen Daten zu informieren. IDEXX ist nicht dafür verantwortlich, die Anforderungen oder Gesetze oder Vorschriften zu bestimmen, die auf das Geschäft des Kunden anwendbar sind, oder dafür, dass ein Service die Anforderungen solcher anwendbaren Gesetze oder Vorschriften erfüllt. Im Verhältnis zwischen den Parteien ist der Kunde für die Rechtmäßigkeit der Verarbeitung der persönlichen Daten des Kunden verantwortlich. Der Kunde wird die Dienste nicht in einer Weise nutzen, die gegen geltendes Datenschutzrecht verstößt.
3.2 Die für einen Dienst geltende DPA-Anlage enthält eine Liste der Kategorien der betroffenen Personen, der Arten der personenbezogenen Daten des Kunden und der besonderen Kategorien personenbezogener Daten. Die Dauer der Verarbeitung entspricht der Dauer des Dienstes, sofern in der DPA-Anlage nichts anderes angegeben ist. Zweck und Gegenstand der Verarbeitung ist die Erbringung der Dienstleistung, wie in der Vereinbarung beschrieben.
3.3 IDEXX verarbeitet personenbezogene Daten des Kunden nur im Auftrag des Kunden und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden, es sei denn, das geltende Datenschutzrecht schreibt etwas anderes vor. Der Umfang der Anweisungen des Kunden für die Verarbeitung der personenbezogenen Daten des Kunden ist in der Vereinbarung und ggf. in der Nutzung und Konfiguration der Funktionen des Dienstes durch den Kunden und seine autorisierten Nutzer festgelegt. IDEXX wird den Kunden unverzüglich informieren, wenn seiner Ansicht nach eine der Anweisungen des Kunden gegen die geltenden Datenschutzgesetze verstößt, und IDEXX kann die Ausführung einer solchen Anweisung aussetzen, bis der Kunde die Rechtmäßigkeit der Anweisung hergestellt oder in dokumentierter Form bestätigt hat.
3.4 IDEXX stellt sicher, dass ihre Mitarbeiter und andere Personen, die mit der Verarbeitung personenbezogener Daten des Kunden befasst sind, sich zur Vertraulichkeit verpflichtet haben, soweit diese Personen nicht durch eine entsprechende gesetzliche Geheimhaltungspflicht gebunden sind. IDEXX stellt sicher, dass diese Mitarbeiter oder andere von ihr beauftragte Personen alle in dieser DPA und dem Vertrag festgelegten Verpflichtungen einhalten. IDEXX stellt sicher, dass der Zugang von IDEXX zu den personenbezogenen Daten des Kunden auf diejenigen Mitarbeiter und sonstigen Personen beschränkt ist, die Dienstleistungen gemäß der Vereinbarung erbringen.
4 Sicherheitsmaßnahmen
4.1 IDEXX setzt geeignete technische und organisatorische Sicherheitsmaßnahmen ein, um ein angemessenes Sicherheitsniveau in Bezug auf die personenbezogenen Daten zu gewährleisten. Die von IDEXX umzusetzenden technischen und organisatorischen Sicherheitsmaßnahmen werden unter Berücksichtigung des Stands der Technik, der Kosten für die Umsetzung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen in den technischen und organisatorischen Maßnahmen beschrieben, die den DPA-Anlagen beigefügt sind. IDEXX kann seine Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern diese Aktualisierungen und Änderungen nicht zu einer Verringerung der Gesamtsicherheit der Dienste führen.
5 Meldung von Verletzungen des Schutzes personenbezogener Daten
5.1 Die Verpflichtung von IDEXX, den Kunden über eine Verletzung des Schutzes personenbezogener Daten zu informieren und Maßnahmen in Bezug auf eine Verletzung des Schutzes personenbezogener Daten zu ergreifen, führt nicht zu einem Anerkenntnis eines Mangels oder einer Haftung von IDEXX in Bezug auf diese Verletzung des Schutzes personenbezogener Daten.
5.2 Sobald IDEXX von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, über die der Kunde noch nicht informiert wurde, wird IDEXX den Kunden unverzüglich in einer von IDEXX festgelegten Weise informieren. IDEXX informiert den Kundenkontakt, den der Kunde im Zusammenhang mit den Dienstleistungen angegeben hat. Der Kunde ist dafür verantwortlich, dass die IDEXX mitgeteilten Kontaktdaten der Kontaktpersonen des Kunden aktuell sind. Sollte IDEXX die angegebene(n) Kontaktperson(en) des Kunden nicht rechtzeitig erreichen, so geht dies zu Lasten des Kunden.
5.3 Wenn der Kunde selbst Kenntnis von einer Verletzung des Schutzes personenbezogener Daten hat, die für die Erbringung der Dienstleistungen durch IDEXX relevant ist, wird er IDEXX unverzüglich darüber informieren und mitteilen, welche Maßnahmen er ergriffen hat oder ergreifen wird.
5.4 Nach Feststellung einer Verletzung des Schutzes personenbezogener Daten durch IDEXX wird IDEXX dem Kunden alle angemessenen Informationen über die möglichen Auswirkungen der Verletzung des Schutzes personenbezogener Daten auf den Kunden und die betroffenen Personen zur Verfügung stellen. Die Rückmeldung umfasst eine Beschreibung der Art und des Umfangs der Verletzung des Schutzes personenbezogener Daten sowie der geplanten und bereits ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten.
5.5 Auf Anfrage des Kunden wird IDEXX auch die angemessen erforderliche Unterstützung bei der Erstellung der relevanten Dokumentation in Bezug auf die Verletzung des Schutzes personenbezogener Daten leisten. Der Kunde bleibt jedoch für die Verpflichtung verantwortlich, eine interne Übersicht über aufgetretene Verletzungen des Schutzes personenbezogener Daten zu führen.
5.6 Der Kunde ist dafür verantwortlich, die zuständige Regierungsbehörde und/oder die betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten zu informieren, soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist. Wenn der Kunde IDEXX auffordert, die betroffene(n) Person(en) und/oder die zuständige staatliche Behörde über die Verletzung des Schutzes personenbezogener Daten zu informieren, wird IDEXX dies nur nach Erhalt einer schriftlichen und vollständigen Anweisung des Kunden und der Genehmigung dieser schriftlichen Anweisung durch IDEXX tun. Dies führt nicht zu einer Verantwortung oder Haftung von IDEXX in Bezug auf die (Benachrichtigung über) Verletzung des Schutzes personenbezogener Daten.
6 Unterstützung
6.1 Unter Berücksichtigung der Art der Datenverarbeitung und der den Parteien zur Verfügung stehenden Informationen gewähren sich die Parteien gegenseitig jede erforderliche Unterstützung bei der Erfüllung der Verpflichtungen, die den Parteien nach dem geltenden Datenschutzrecht obliegen, insbesondere der Verpflichtungen in Bezug auf die Sicherheit personenbezogener Daten, die Meldepflichten bei Verstößen gegen personenbezogene Daten, die Informationspflicht und die Durchführung von Datenschutz-Folgenabschätzungen, einschließlich der vorherigen Konsultation der zuständigen staatlichen Behörde.
6.2 Der Kunde stellt einen schriftlichen Antrag auf die in dieser DPA genannte Unterstützung. IDEXX kann dem Kunden für die Durchführung einer solchen Unterstützung oder eines zusätzlichen Auftrags Gebühren in Rechnung stellen; diese Gebühren dürfen nicht höher als angemessen sein und sind in einem Angebot darzulegen und von den Parteien schriftlich zu vereinbaren.
7 Prüfungsrechte des Kunden
7.1 Der Kunde kann auf eigene Kosten und nach vorheriger Rücksprache mit IDEXX eine Prüfung des von IDEXX zur Verarbeitung der personenbezogenen Daten des Kunden verwendeten Datenverarbeitungssystems durchführen, um zu untersuchen, ob die angemessenen technischen und organisatorischen Sicherheitsmaßnahmen, die in Bezug auf die im Rahmen dieser DPA verarbeiteten personenbezogenen Daten ergriffen wurden, mit den in Abschnitt 4 dieser DPA beschriebenen Maßnahmen übereinstimmen.
7.2 IDEXX stellt dem Kunden alle Informationen zur Verfügung, die nach vernünftigem Ermessen erforderlich sind, um die Einhaltung der Verpflichtungen des Kunden zum Abschluss einer Datenverarbeitungsvereinbarung im Einklang mit den diesbezüglichen Anforderungen nach dem geltenden Datenschutzgesetz nachzuweisen, und ermöglicht Audits, einschließlich Inspektionen, die vom Kunden durchgeführt werden, und trägt zu diesen bei. In Absprache mit IDEXX kann der Kunde einen Dritten (Sachverständigen) mit der Wahrnehmung seiner Prüfungsrechte beauftragen, sofern dieser Dritte einer angemessenen Geheimhaltungspflicht unterliegt.
7.3 Die Durchführung eines Audits durch den Kunden oder im Namen des Kunden darf nicht zu einer Verzögerung der Geschäftsaktivitäten von IDEXX oder eines ihrer Unterauftragsverarbeiter führen.
8 Unterauftragsverarbeiter
8.1 Der Kunde autorisiert die Beauftragung anderer Auftragsverarbeiter mit der Verarbeitung der personenbezogenen Daten des Kunden durch IDEXX, einschließlich, aber nicht beschränkt auf verbundene Unternehmen von IDEXX ("Unterauftragsverarbeiter"). Eine Liste der aktuellen Unterauftragsverarbeiter ist hier aufgeführt und kann von IDEXX von Zeit zu Zeit aktualisiert werden. IDEXX informiert den Kunden in einer von IDEXX festgelegten Weise über alle beabsichtigten Änderungen hinsichtlich der Hinzufügung oder des Austauschs solcher Unterauftragsverarbeiter. Der Kunde kann jedem neuen Unterauftragsverarbeiter widersprechen, indem er die Vereinbarung durch schriftliche Mitteilung an IDEXX kündigt, vorausgesetzt, der Kunde übermittelt IDEXX diese Mitteilung innerhalb von 60 Tagen, nachdem IDEXX den Kunden über die Beauftragung des Unterauftragsverarbeiters informiert hat. Dieses Kündigungsrecht ist das einzige und ausschließliche Rechtsmittel des Kunden, wenn er einen neuen Unterauftragsverarbeiter ablehnt.
8.2 IDEXX wird mit seinen Unterauftragsverarbeitern eine schriftliche Datenverarbeitungsvereinbarung abschließen und durchsetzen, die im Wesentlichen ähnliche, aber nicht weniger schützende Datenschutz- und Datensicherheitsverpflichtungen vorsieht, wie sie in dieser DPA festgelegt sind. IDEXX bleibt für die Erfüllung ihrer Verpflichtungen aus der Vereinbarung, dieser DPA und den geltenden Datenschutzgesetzen verantwortlich.
9 Grenzüberschreitende Übermittlung der personenbezogenen Daten
9.1 Persönliche Daten des Kunden können von IDEXX oder von IDEXX beauftragten Unterauftragsverarbeitern in ein Drittland übermittelt werden.
9.2 Im Falle einer Übermittlung von personenbezogenen Daten des Kunden in ein Drittland arbeiten die Parteien zusammen, um die Einhaltung der anwendbaren Datenschutzgesetze, wie in den folgenden Abschnitten dargelegt, sicherzustellen.
9.3 Mit dem Abschluss der Vereinbarung tritt der Kunde in die Standardvertragsklauseln für internationale Übermittlungen (Durchführungsbeschluss (EU) 2021/914 der Kommission oder eine aktualisierte Version oder ein Ersatz dafür) ("SCC") ein, die wie in Abschnitt 9.3.1 nachstehend beschrieben ergänzt werden, es sei denn, ein anderes Datenübermittlungsinstrument wurde in dem hier genannten anwendbaren Datenschutzgesetz für die betreffende Übermittlung personenbezogener Daten des Kunden für anwendbar erklärt; dieses genannte Datenübermittlungsinstrument gilt dann und regelt die Übermittlung personenbezogener Daten des Kunden in das Drittland. Soweit dies in anderen Datenschutzgesetzen als der DSGVO vorgesehen ist, gelten die SCCs auch für die Übermittlung personenbezogener Kundendaten von Kunden, die nicht im EWR oder in der Schweiz ansässig sind, an eine IDEXX-Einheit, die sich in einem nicht angemessenen Land befindet.
9.3.1 Die SCC werden wie folgt ergänzt angewandt:
a ) Es gilt Modul 2 - für die Verarbeitung Verantwortlicher zu Auftragsverarbeiter.
b ) In Klausel 7 gilt die fakultative Andockklausel.
c ) In Klausel 9 gilt Option 2 und die Frist für die Vorabinformation beträgt 14 Tage.
d ) In Klausel 11 gilt die fakultative Sprache nicht.
e ) In Klausel 17 gilt Option 1, und es gilt niederländisches Recht.
f ) In Klausel 18 Buchstabe b werden Streitigkeiten vor niederländischen Gerichten ausgetragen.
g ) Anhang I (A. Liste der Parteien, B. Beschreibung der Übermittlung, C. Zuständige Aufsichtsbehörde) der SCCs gilt als ausgefüllt mit den Informationen, die in Abschnitt B der für die Dienste geltenden DPA-Anlage aufgeführt sind.
h ) Anhang II (Technische und organisatorische Sicherheitsmaßnahmen) der SCCs gilt als mit den in Abschnitt B der für die Dienste geltenden DPA-Anlage aufgeführten Informationen ausgefüllt.
i ) Anhang III (Liste der Unterauftragsverarbeiter) gilt als ausgefüllt mit der Liste der Unterauftragsverarbeiter gemäß vorstehend Abschnitt 8.1.
9.4 IDEXX schließt mit jedem Unterauftragsverarbeiter, der in einem Drittland ansässig ist, das in der jeweiligen DPA-Anlage aufgeführt ist, die SCCs Modul Drei (Verarbeiter-zu-Verarbeiter) ab, sofern dies nach den geltenden Datenschutzgesetzen erforderlich ist. IDEXX kann personenbezogene Daten an seine Standorte in den Vereinigten Staaten oder anderen Ländern, in denen seine verbundenen Unternehmen ansässig sind, übertragen und dort speichern. Solche Übermittlungen unterliegen einer konzerninternen Vereinbarung zwischen den verbundenen Unternehmen von IDEXX, die die anwendbaren SCCs des Moduls drei (Verarbeiter-zu-Verarbeiter) enthalten.
9.5 Keine Bestimmung der Vereinbarung oder dieser DPA ist so auszulegen, dass sie Vorrang vor einer entgegenstehenden Klausel der SCCs hat. Der Kunde bestätigt, dass er Gelegenheit hatte, die SCC zu prüfen und eine Kopie von IDEXX zu erhalten.
10 Ersuchen der betroffenen Personen
Auf angemessenes schriftliches Ersuchen des Kunden leistet IDEXX angemessene Unterstützung, damit der Kunde seinen Verpflichtungen als Datenverantwortlicher nachkommen kann, wenn eine betroffene Person eines ihrer Rechte gemäß den geltenden Datenschutzgesetzen geltend macht.
11 Allgemeines
11.1 Kosten: Die Kosten, die IDEXX bei der Erfüllung ihrer Verpflichtungen im Rahmen dieser DPA entstehen (z. B. die Unterstützung des Kunden bei der Beantwortung von Anfragen der betroffenen Personen), können dazu führen, dass IDEXX dem Kunden zusätzliche Arbeit in Rechnung stellt. Sollte dies der Fall sein, wird IDEXX den Kunden darüber informieren.
11.2 Entschädigung: Der Kunde stellt IDEXX in vollem Umfang von allen Ansprüchen Dritter, einschließlich der betroffenen Personen, frei, die gegen IDEXX aufgrund eines Verstoßes gegen geltendes Recht erhoben werden, der dem Kunden oder einem seiner Mitarbeiter oder Auftragnehmer zuzurechnen ist.
11.3 Laufzeit und Beendigung: Diese DPA tritt an dem Tag in Kraft, an dem IDEXX zum ersten Mal personenbezogene Daten im Namen des Kunden im Rahmen der Erfüllung des Vertrags verarbeitet. Diese DPA bleibt für die Dauer des Vertrages in Kraft. Falls die Vereinbarung endet, endet auch diese DPA von Rechts wegen und ohne weitere rechtliche Schritte. Sofern IDEXX nicht nach geltendem Recht verpflichtet ist, die personenbezogenen Daten aufzubewahren, stellt IDEXX bei Beendigung dieser DPA sicher, dass (i) die personenbezogenen Daten an den Kunden zurückgegeben oder ihm zur Verfügung gestellt werden oder (ii) die personenbezogenen Daten auf schriftlichen Antrag des Kunden, der auch in elektronischer Form erfolgen kann, vernichtet werden. Alle Verpflichtungen, die sich aus dieser DPA ergeben und ihrer Natur nach nachvertragliche Wirkung haben, einschließlich, aber nicht beschränkt auf diesen Abschnitt der DPA, bleiben auch nach Beendigung dieser DPA in Kraft.
11.4 Abweichungen und Neuverhandlung: Abweichungen von und Ergänzungen zu dieser DPA sind nur gültig, wenn sie ausdrücklich schriftlich, auch in elektronischer Form, vereinbart wurden.
Der Kunde ist verpflichtet, IDEXX unverzüglich über alle Änderungen zu informieren, die für den Vertrag und die Verarbeitung der personenbezogenen Daten relevant sind oder sein könnten.
Wird diese DPA in mehrere Sprachen übersetzt, so gilt der englische Text für die Zwecke der Auslegung oder im Falle von Konflikten oder Widersprüchen zwischen den verschiedenen Übersetzungen als verbindlich.