Anlage, Anhang I, II, III
ERLÄUTERUNG:
Es muss möglich sein, die für jede Datenübermittlung oder jede Kategorie von Datenübermittlungen geltenden Informationen klar voneinander zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(e) und/oder Datenimporteur(e) zu bestimmen. Dies erfordert nicht zwingend, dass für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen und/oder für jedes Vertragsverhältnis getrennte Anlagen ausgefüllt und unterzeichnet werden müssen, sofern die geforderte Transparenz bei Verwendung einer einzigen Anlage erzielt werden kann. Erforderlichenfalls sollten getrennte Anlagen verwendet werden, um ausreichende Klarheit zu gewährleisten.
ANHANG I
A. LISTE DER PARTEIEN
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Datenexporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenexporteure und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]
1.
Name: …
Anschrift: …
Name, Funktion und Kontaktdaten der Kontaktperson: …
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: …
Unterschrift und Datum: …
Rolle (Verantwortlicher/Auftragsverarbeiter): …
2.
…
Datenimporteur(e): [Name und Kontaktdaten des Datenexporteurs/der Datenimporteure, einschließlich jeder für den Datenschutz zuständigen Kontaktperson]
1.
Name: …
Anschrift: …
Name, Funktion und Kontaktdaten der Kontaktperson: …
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: …
Unterschrift und Datum: …
Rolle (Verantwortlicher/Auftragsverarbeiter): …
2.
…
B. BESCHREIBUNG DER DATENÜBERMITTLUNG
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden
…
Kategorien der übermittelten personenbezogenen Daten
…
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen
…
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden)
…
Art der Verarbeitung
…
Zweck(e) der Datenübermittlung und Weiterverarbeitung
…
Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
…
Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
…
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13
…
ANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
ERLÄUTERUNG:
Die technischen und organisatorischen Maßnahmen müssen konkret (nicht allgemein) beschrieben werden. Beachten Sie hierzu bitte auch die allgemeine Erläuterung auf der ersten Seite der Anlage; insbesondere ist klar anzugeben, welche Maßnahmen für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen gelten.
Beschreibung der von dem/den Datenimporteur(en) ergriffenen technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen
[Beispiele für mögliche Maßnahmen:
Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten
Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Maßnahmen zur Identifizierung und Autorisierung der Nutzer
Maßnahmen zum Schutz der Daten während der Übermittlung
Maßnahmen zum Schutz der Daten während der Speicherung
Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden
Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit
Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten
Maßnahmen zur Gewährleistung der Datenminimierung
Maßnahmen zur Gewährleistung der Datenqualität
Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung
Maßnahmen zur Gewährleistung der Rechenschaftspflicht
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter zur Unterstützung des Verantwortlichen und (bei Datenübermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter) zur Unterstützung des Datenexporteurs ergreifen muss.
ANHANG III
LISTE DER UNTERAUFTRAGSVERARBEITER
MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
ERLÄUTERUNG:
Dieser Anhang muss für die Module zwei und drei im Falle einer gesonderten Genehmigung von Unterauftragsverarbeitern ausgefüllt werden (Klausel 9 Buchstabe a, Option 1).
Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:
1.
Name: …
Anschrift: …
Name, Funktion und Kontaktdaten der Kontaktperson: …
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): …
2.
…