Lokale Datenschutzgesetze, die von der DPA abgedeckt werden

(Überarbeitung 18. Mai 2023)

Die vorliegende IDEXX-Kundendatenverarbeitungsvereinbarung ("DPA") und ihre anwendbaren Datenverarbeitungsvereinbarungsanlagen (jeweils eine "DPA-Anlage") gelten für die Verarbeitung personenbezogener Daten ("personenbezogene Kundendaten") durch IDEXX im Namen des Kunden ("Kunde") im Rahmen der Vereinbarung zwischen IDEXX und dem Kunden ("Vereinbarung") zur Erbringung von IDEXX-Dienstleistungen, wenn und soweit i) die Europäische Datenschutz-Grundverordnung (EU/2016/679) (DSGVO) oder ii) andere nachstehend genannte Datenschutzgesetze Anwendung finden.

Europäischer Wirtschaftsraum:
Verordnungen der Europäischen Union und Gesetze der EWR-Mitgliedstaaten mit Ausnahme der DSGVO, die einen Vertrag über die Verarbeitung personenbezogener Daten vorschreiben, der mit den in Artikel 28 der DSGVO genannten Anforderungen identisch oder ihnen im Wesentlichen ähnlich ist.

Brasilien:
Das Allgemeine Datenschutzgesetz Brasiliens, Lei Geral de Proteção de Dados Pessoais ("LGPD"). Aus Gründen der Klarheit handelt es sich bei den Verpflichtungen von IDEXX gegenüber einem Kunden im Rahmen der DPA nur um die ausdrücklichen Verpflichtungen, welche die LGPD einem "Datenverarbeiter (operador)" zugunsten eines "Verantwortlichen für die Datenverarbeitung (controlador)" auferlegt (einschließlich des neuen Abschnitts 3.5 nachstehend), da "Verarbeiter (operador)" und "Verantwortlicher für die Datenverarbeitung (controlador)" in der LGPD definiert sind:

• 3.5 Jede Partei ist für die Erfüllung ihrer jeweiligen Verpflichtungen im Rahmen der LGPD verantwortlich, und der Kunde wird nur Verarbeitungsanweisungen gemäß Abschnitt 3 der DPA erteilen, die IDEXX in die Lage versetzen, ihre LGPD-Verpflichtungen zu erfüllen. Für die Zwecke von Abschnitt 9 der DPA gelten die EU-SCCs für Übermittlungen in Drittländer gemäß DSGVO.

Südafrika:
South African Protection of Personal Information Act 4 of 2013 ("POPIA"). Der Klarheit halber sind die Verpflichtungen von IDEXX gegenüber dem Kunden im Rahmen der DPA die ausdrücklichen Verpflichtungen, die das POPIA einem "Betreiber" (gleichbedeutend mit "Verarbeiter") zugunsten einer "verantwortlichen Partei" (gleichbedeutend mit einem "für die Datenverarbeitung Verantwortlichen") auferlegt. Jede Partei ist für die Erfüllung ihrer jeweiligen Verpflichtungen gemäß POPIA verantwortlich. Für die Zwecke von Abschnitt 9 der DPA gelten die EU-SCCs für Übermittlungen in Drittländer gemäß der DSGVO.
 

Vereinigtes Königreich:
Die UK General Data Protection Regulation (in der durch den European Union (Withdrawal) Act von 2018 in das britische Recht übernommenen Fassung), der UK Data Protection Act von 2018, beide in der durch die Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations von 2019 geänderten oder ersetzten Fassung. Für die Zwecke von Abschnitt 9 der DPA wird bei Übermittlungen in nicht-angemessene Länder, die der UK General Data Protection Regulation unterliegen, Folgendes umgesetzt. Die Parteien stützen sich auf die EU SCCs für Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich, vorbehaltlich des Abschlusses eines "UK-Zusatzes zu den EU Standardvertragsklauseln ", das vom Information Commissioner's Office gemäß s.119A(1) des Data Protection Act 2018 (das "UK Addendum") herausgegeben wurde. Die EU-Standardvertragsklauseln, die gemäß Abschnitt 9 der DPA ergänzt werden, gelten auch für die Übermittlung dieser personenbezogenen Daten. Der UK-Zusatz gilt als zwischen IDEXX und dem Kunden abgeschlossen und die EU SCCs gelten als geändert, wie im UK-Zusatz in Bezug auf die Übermittlung dieser personenbezogenen Daten angegeben.

Japan:
Das japanische Gesetz über den Schutz personenbezogener Daten Nr. 57 aus dem Jahr 2003 ("APPI") in seiner geänderten Fassung. Der Klarheit halber sei darauf hingewiesen, dass die Verpflichtungen von IDEXX gegenüber dem Kunden im Rahmen der DPA diejenigen sind, die der Kunde nach dem APPI als "Betreiber eines Unternehmens, das personenbezogene Daten verarbeitet" haben muss, um IDEXX als "beauftragte Person" mit der Verarbeitung der personenbezogenen Daten des Kunden zu betrauen, wie diese Begriffe im APPI verwendet werden.