11. Verarbeitung personenbezogener Daten
11.1. In diesem Kooperationsmodell werden personenbezogene Daten verarbeitet, wobei je nach Situation der Kunde oder LawCloud der Verantwortliche für die Verarbeitung ist und der anderen Partei die Erlaubnis erteilt wird, personenbezogene Daten zu verarbeiten.
Der Kunde ist der Verantwortliche für die Daten, die er LawCloud als Auftragsverarbeiter anvertraut. Mögliche Unterauftragnehmer von LawCloud im Rahmen dieser Vereinbarung können als Sub-Auftragsverarbeiter von LawCloud betrachtet werden.
Die nachfolgend beschriebenen Rechte und Pflichten gelten speziell für den Fall, dass der Kunde als Verantwortlicher für die Verarbeitung auftritt.
11.2. Der Kunde, in seiner Funktion als Verantwortlicher, beauftragt hiermit LawCloud als Auftragsverarbeiter, die personenbezogenen Daten, die für die Funktionsweise der Plattform erforderlich sind (die "Daten"), während der Laufzeit in Übereinstimmung mit den Bestimmungen dieses Artikels 11 zu verarbeiten. Es wird ausdrücklich vereinbart, dass jede Partei die Verpflichtungen, die auf sie gemäß den anwendbaren Datenschutzgesetzen zutreffen, einhalten wird.
11.3. LawCloud wird die Daten nur als Auftragsverarbeiter verarbeiten, soweit dies zur Erfüllung seiner Verpflichtungen aus dieser Vereinbarung erforderlich ist und ausschließlich in Übereinstimmung mit den schriftlichen Anweisungen des Kunden (den "Zugelassenen Zwecken"), es sei denn, es ist durch eine unionale oder nationale Rechtsvorschrift erforderlich, die für LawCloud gilt. In diesem Fall wird LawCloud den Kunden vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, diese Gesetzgebung verbietet die Mitteilung aus gewichtigen Gründen des Allgemeininteresses. Unter keinen Umständen wird LawCloud die Daten für eigene Zwecke oder für die Zwecke eines Dritten verarbeiten. LawCloud wird den Kunden so schnell wie möglich informieren, wenn seiner Meinung nach eine Anweisung des Kunden gegen die anwendbaren Datenschutzgesetze oder andere unionale oder nationale Vorschriften zum Datenschutz verstößt.
11.4. LawCloud wird die Daten nicht in den Europäischen Wirtschaftsraum ("EWR") übermitteln, es sei denn, LawCloud hat (i) zuvor die schriftliche Zustimmung des Kunden erhalten; und (ii) alle erforderlichen Maßnahmen ergriffen, um sicherzustellen, dass die Übermittlung in Übereinstimmung mit den anwendbaren Datenschutzgesetzen erfolgt. Solche Maßnahmen können unter anderem umfassen: die Übermittlung von Daten an einen Empfänger in einem Land, das von der Europäischen Kommission als ein Land anerkannt wurde, das einen angemessenen Schutz für personenbezogene Daten bietet, an einen Empfänger, der verbindliche Unternehmensregeln gemäß den anwendbaren Datenschutzgesetzen erhalten hat, oder an einen Empfänger, der Standardvertragsklauseln unterzeichnet hat, die von der Europäischen Kommission festgelegt oder genehmigt wurden.
11.5. LawCloud wird sicherstellen, dass jede Person, die sie zur Verarbeitung der Daten zulässt (einschließlich ihres Personals, ihrer Agenten, Partner und Subunternehmer) (eine "Berechtigte Person"), einer strikten Vertraulichkeitspflicht unterliegt (entweder vertraglich oder gesetzlich) und wird Personen, die nicht einer solchen Vertraulichkeitspflicht unterliegen, nicht zur Verarbeitung der Daten zulassen. LawCloud wird sicherstellen, dass alle Berechtigten Personen die Daten nur in dem Umfang verarbeiten, der für die Zugelassenen Zwecke erforderlich ist und in Übereinstimmung mit den Bestimmungen dieses Artikels 11.
11.6. LawCloud garantiert, dass sie angemessene technische und organisatorische Maßnahmen ergreifen wird, um die Daten vor Zerstörung, Verlust, Änderung oder unbefugter Offenlegung von oder unbefugtem Zugriff auf die übertragenen, gespeicherten oder anderweitig verarbeiteten Daten zu schützen, sei es unbeabsichtigt oder unrechtmäßig (ein "Sicherheitsvorfall"). Solche Maßnahmen werden den Stand der Technik, die Durchführungskosten sowie die Art, den Umfang, den Kontext und die Verarbeitungszwecke und die unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigen. Darüber hinaus werden diese Maßnahmen ein angemessenes Sicherheitsniveau gewährleisten, das dem Risiko angepasst ist.
11.7. Mit der Unterzeichnung dieser Vereinbarung erteilt der Kunde LawCloud die Erlaubnis, Sub-Auftragsverarbeiter für die weitere Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung zu beauftragen. LawCloud wird mit jedem Sub-Auftragsverarbeiter eine separate Vereinbarung schließen, die im Wesentlichen die gleichen Verpflichtungen in Bezug auf den Datenschutz auferlegt wie die, die in dieser Vereinbarung für den Auftragsverarbeiter festgelegt sind. LawCloud wird nur Sub-Auftragsverarbeiter beauftragen, die ausreichende Garantien hinsichtlich der Einhaltung der anwendbaren Datenschutzgesetze bieten.
Der Kunde erteilt hiermit ausdrücklich die Erlaubnis, dass LawCloud ihre aktuellen Hosting-Dienstleister, die in der externen Sicherheitsrichtlinie von LawCloud aufgeführt sind (einsehbar unter https://law.cloud/nl/externe-security-policy), als Sub-Auftragsverarbeiter für die Verarbeitung der Daten im Rahmen der Dienstleistung zur Betriebssicherung der Plattform beauftragt. LawCloud wird den Kunden rechtzeitig über beabsichtigte Änderungen hinsichtlich der Hinzunahme oder Ersetzung anderer Sub-Auftragsverarbeiter informieren. Der Kunde kann solche beabsichtigten Änderungen innerhalb von 5 (fünf) Kalendertagen nach der Benachrichtigung durch LawCloud schriftlich und unter Angabe von Gründen ablehnen. In jedem Fall verpflichtet sich der Kunde, sich einer solchen Beauftragung nicht unangemessen zu widersetzen. Falls die Parteien sich über den Einspruch nicht einigen können, hat der Kunde das Recht, diese Vereinbarung ohne Schadenersatz zu kündigen. In jedem Fall bleibt LawCloud voll verantwortlich für jede Verletzung dieses Artikels 11, die durch eine Handlung, einen Fehler oder eine Unterlassung ihrer Sub-Auftragsverarbeiter verursacht wurde.
11.8. LawCloud wird dem Kunden, unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen, alle Informationen zur Verfügung stellen, die erforderlich sind, um dem Kunden bei der Erfüllung der Verpflichtungen in Bezug auf die Sicherheit der Daten zu helfen.
11.9. LawCloud wird dem Kunden alle angemessene und zeitnahe Unterstützung (einschließlich geeigneter technischer und organisatorischer Maßnahmen) auf Kosten des Kunden gewähren, um dem Kunden zu ermöglichen, auf (i) jede Anfrage einer betroffenen Person zu antworten, um eines ihrer Rechte gemäß den anwendbaren Datenschutzgesetzen auszuüben (einschließlich des Rechts auf Einsichtnahme, Recht auf Berichtigung, Widerspruchsrecht, Recht auf Einschränkung der Verarbeitung, Recht auf Löschung und Recht auf Datenübertragbarkeit, je nach Fall); und (ii) jede andere Korrespondenz, Anfrage oder Beschwerde, die von einer betroffenen Person, einer Aufsichtsbehörde oder einer anderen dritten Partei im Zusammenhang mit der Verarbeitung der Daten erhalten wird. Falls eine solche Anfrage, Frage oder Beschwerde direkt an LawCloud übermittelt wird, wird LawCloud den Kunden unverzüglich informieren und alle Details darüber weitergeben.
11.10. Falls LawCloud der Ansicht ist oder feststellt, dass ihre Verarbeitung der Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, wird LawCloud den Kunden unverzüglich darüber informieren und dem Kunden alle angemessene und zeitnahe Unterstützung leisten, wie es der Kunde erfordert, um eine Datenschutz-Folgenabschätzung durchzuführen und, falls erforderlich, die zuständige Aufsichtsbehörde zu konsultieren.
11.11. Sobald LawCloud von einem Sicherheitsvorfall Kenntnis erlangt, wird LawCloud den Kunden unverzüglich darüber informieren und alle rechtzeitigen Informationen und Kooperationen leisten, die erforderlich sind, um dem Kunden zu ermöglichen, seinen Verpflichtungen zur Meldung und Mitteilung eines Verstoßes gegen personenbezogene Daten gemäß den anwendbaren Datenschutzgesetzen nachzukommen. LawCloud wird außerdem alle Maßnahmen und Aktionen ergreifen, die notwendig sind, um die Folgen des Sicherheitsvorfalls zu beheben oder zu begrenzen, und den Kunden über alle Entwicklungen des Sicherheitsvorfalls auf dem Laufenden halten.
11.12. Bei Beendigung oder nach Ablauf dieser Vereinbarung wird LawCloud die Daten (einschließlich aller Kopien der Daten), die in ihrem Besitz oder unter ihrer Kontrolle sind (einschließlich jeglicher an Dritte ausgelagerter Daten zur Verarbeitung), nach Wahl des Kunden löschen oder dem Kunden zurückgeben (die "Rückgabe"). Diese Verpflichtung gilt nicht, soweit LawCloud aufgrund von Union oder nationalem Recht verpflichtet ist, bestimmte oder alle Daten zu speichern, in welchem Fall LawCloud die Daten isolieren und vor jeder weiteren Verarbeitung schützen wird, es sei denn, dies ist nach der entsprechenden Gesetzgebung erforderlich. LawCloud berechnet eine Pauschale von 250,00 EUR für diese Rückgabe. Der Kunde erkennt jedoch an, dass LawCloud keine Daten aus archivierten Backups extrahieren kann und gestattet LawCloud, diese Daten so lange wie technisch oder gesetzlich erforderlich aufzubewahren, wonach LawCloud die Daten unverzüglich löschen wird.
11.13. LawCloud wird dem Kunden (oder den vom Kunden beauftragten Prüfern) ermöglichen, die Einhaltung dieses Artikels 11 durch LawCloud zu überprüfen, und wird alle Informationen, Systeme und Personal zur Verfügung stellen, die für den Kunden (oder dessen Prüfer) notwendig sind, um (i) diese Kontrolle durchzuführen und (ii) eine Prüfung vorzunehmen. LawCloud erkennt an, dass der Kunde (oder dessen Prüfer) die Gebäude von LawCloud betreten darf, um diese Prüfung durchzuführen, vorausgesetzt, der Kunde stellt eine angemessene vorherige Benachrichtigung über seine Absicht, eine Prüfung durchzuführen, zur Verfügung, führt diese Prüfung während der normalen Geschäftszeiten durch und ergreift alle angemessenen Maßnahmen, um unnötige Störungen der Aktivitäten von LawCloud zu vermeiden. Der Kunde wird seine Prüfungsrechte nicht mehr als einmal innerhalb von zwölf (12) Kalendermonaten ausüben, es sei denn, (i) dies ist gemäß einer Anweisung einer Aufsichtsbehörde erforderlich oder (ii) der Kunde ist der Ansicht, dass eine weitere Untersuchung aufgrund eines Sicherheitsvorfalls bei LawCloud notwendig ist.
11.14. Soweit der Kunde einer oder mehreren Drittparteien (ob über APIs oder anderweitig) Zugang zu den personenbezogenen Daten seiner Kunden und Interessenten gewährt, die er LawCloud als Auftragsverarbeiter anvertraut, ist LawCloud in keiner Weise für die Verarbeitung der personenbezogenen Daten durch diese Drittparteien verantwortlich. Der Kunde stellt LawCloud von allen Ansprüchen, Forderungen, Verlusten, Schäden und Kosten frei, die LawCloud erleidet und die direkt oder indirekt aus oder im Zusammenhang mit einer Verletzung der anwendbaren Datenschutzgesetze durch diese Drittparteien resultieren.