thefreejakob

Jakob Rzymann

Impressum & Datenschutz / Imprint & Privacy

Angaben gemäß § 5 TMG

Inhaber:
Jakob Rzymann
Venloer Str. 310-316
50823 Köln

Kontakt:
Telefon: +49 (0)221 4921976
E-Mail: [email protected]

Verantwortlich für den Inhalt nach § 55 Abs. 2 RStV:

Jakob Rzymann
Venloer Str. 310-316
50823 Köln

Haftungsausschluss:

Haftung für Inhalte

Die Inhalte unserer Seiten wurden mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen. Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.

Haftung für Links

Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.

Urheberrecht

Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den privaten, nicht kommerziellen Gebrauch gestattet. Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.

Datenschutz

Welche personenbezogenen Daten wir sammeln und warum wir sie sammeln

Kommentare

Wenn Besucher Kommentare auf der Website schreiben, sammeln wir die Daten, die im Kommentar-Formular angezeigt werden, außerdem die IP-Adresse des Besuchers und den User-Agent-String (damit wird der Browser identifiziert), um die Erkennung von Spam zu unterstützen.

Aus deiner E-Mail-Adresse kann eine anonymisierte Zeichenfolge erstellt (auch Hash genannt) und dem Gravatar-Dienst übergeben werden, um zu prüfen, ob du diesen benutzt. Die Datenschutzerklärung des Gravatar-Dienstes findest du hier: https://automattic.com/privacy/. Nachdem dein Kommentar freigegeben wurde, ist dein Profilbild öffentlich im Kontext deines Kommentars sichtbar.

Medien

Wenn du ein registrierter Benutzer bist und Fotos auf diese Website lädst, solltest du vermeiden, Fotos mit einem EXIF-GPS-Standort hochzuladen. Besucher dieser Website könnten Fotos, die auf dieser Website gespeichert sind, herunterladen und deren Standort-Informationen extrahieren.

Cookies

Wenn du einen Kommentar auf unserer Website schreibst, kann das eine Einwilligung sein, deinen Namen, E-Mail-Adresse und Website in Cookies zu speichern. Dies ist eine Komfortfunktion, damit du nicht, wenn du einen weiteren Kommentar schreibst, all diese Daten erneut eingeben musst. Diese Cookies werden ein Jahr lang gespeichert.

Falls du ein Konto hast und dich auf dieser Website anmeldest, werden wir ein temporäres Cookie setzen, um festzustellen, ob dein Browser Cookies akzeptiert. Dieses Cookie enthält keine personenbezogenen Daten und wird verworfen, wenn du deinen Browser schließt.

Wenn du dich anmeldest, werden wir einige Cookies einrichten, um deine Anmeldeinformationen und Anzeigeoptionen zu speichern. Anmelde-Cookies verfallen nach zwei Tagen und Cookies für die Anzeigeoptionen nach einem Jahr. Falls du bei der Anmeldung „Angemeldet bleiben“ auswählst, wird deine Anmeldung zwei Wochen lang aufrechterhalten. Mit der Abmeldung aus deinem Konto werden die Anmelde-Cookies gelöscht.

Wenn du einen Artikel bearbeitest oder veröffentlichst, wird ein zusätzlicher Cookie in deinem Browser gespeichert. Dieser Cookie enthält keine personenbezogenen Daten und verweist nur auf die Beitrags-ID des Artikels, den du gerade bearbeitet hast. Der Cookie verfällt nach einem Tag.

Eingebettete Inhalte von anderen Websites

Beiträge auf dieser Website können eingebettete Inhalte beinhalten (z. B. Videos, Bilder, Beiträge etc.). Eingebettete Inhalte von anderen Websites verhalten sich exakt so, als ob der Besucher die andere Website besucht hätte.

Diese Websites können Daten über dich sammeln, Cookies benutzen, zusätzliche Tracking-Dienste von Dritten einbetten und deine Interaktion mit diesem eingebetteten Inhalt aufzeichnen, inklusive deiner Interaktion mit dem eingebetteten Inhalt, falls du ein Konto hast und auf dieser Website angemeldet bist.

Wie lange wir deine Daten speichern

Wenn du einen Kommentar schreibst, wird dieser inklusive Metadaten zeitlich unbegrenzt gespeichert. Auf diese Art können wir Folgekommentare automatisch erkennen und freigeben, anstelle sie in einer Moderations-Warteschlange festzuhalten.

Für Benutzer, die sich auf unserer Website registrieren, speichern wir zusätzlich die persönlichen Informationen, die sie in ihren Benutzerprofilen angeben. Alle Benutzer können jederzeit ihre persönlichen Informationen einsehen, verändern oder löschen (der Benutzername kann nicht verändert werden). Administratoren der Website können diese Informationen ebenfalls einsehen und verändern.

Welche Rechte du an deinen Daten hast

Wenn du ein Konto auf dieser Website besitzt oder Kommentare geschrieben hast, kannst du einen Export deiner personenbezogenen Daten bei uns anfordern, inklusive aller Daten, die du uns mitgeteilt hast. Darüber hinaus kannst du die Löschung aller personenbezogenen Daten, die wir von dir gespeichert haben, anfordern. Dies umfasst nicht die Daten, die wir aufgrund administrativer, rechtlicher oder sicherheitsrelevanter Notwendigkeiten aufbewahren müssen.

Wohin wir deine Daten senden

Besucher-Kommentare könnten von einem automatisierten Dienst zur Spam-Erkennung untersucht werden.

Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder eMail-Adressen) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten durch Dritte zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit ausdrücklich widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-Mails, vor.

Google Analytics

Weiter Informationen https://policies.google.com/privacy

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. (''Google''). Google Analytics verwendet sog. ''Cookies'', Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglicht. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten der Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.

Google AdSense

Weiter Informationen https://policies.google.com/privacy

Diese Website benutzt Google Adsense, einen Webanzeigendienst der Google Inc., USA (''Google''). Google Adsense verwendet sog. ''Cookies'' (Textdateien), die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglicht. Google Adsense verwendet auch sog. ''Web Beacons'' (kleine unsichtbare Grafiken) zur Sammlung von Informationen. Durch die Verwendung des Web Beacons können einfache Aktionen wie der Besucherverkehr auf der Webseite aufgezeichnet und gesammelt werden. Die durch den Cookie und/oder Web Beacon erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website im Hinblick auf die Anzeigen auszuwerten, um Reports über die Websiteaktivitäten und Anzeigen für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten der Google in Verbindung bringen. Das Speichern von Cookies auf Ihrer Festplatte und die Anzeige von Web Beacons können Sie verhindern, indem Sie in Ihren Browser-Einstellungen ''keine Cookies akzeptieren'' wählen (Im MS Internet-Explorer unter ''Extras > Internetoptionen > Datenschutz > Einstellung''; im Firefox unter ''Extras > Einstellungen > Datenschutz > Cookies''); wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.

Amazon Werbung

Amazon Datenschutz unter https://www.amazon.de/gp/help/customer/display.html?nodeId=201909010

Amazon Interessenbasierte Werbung: https://www.amazon.de/gp/help/customer/display.html?ie=UTF8&nodeId=201909150&ref_=footer_Interest_Based_Ads_Notice

Diese Website benutzt Amazon Werbung, einen Webanzeigendienst der Amazon Inc., USA (''Amazon''). Amazon Werbung verwendet sog. ''Cookies'' (Textdateien), die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglicht. Amazon Werbung verwendet auch sog. ''Web Beacons'' (kleine unsichtbare Grafiken) zur Sammlung von Informationen. Durch die Verwendung des Web Beacons können einfache Aktionen wie der Besucherverkehr auf der Webseite aufgezeichnet und gesammelt werden. Die durch den Cookie und/oder Web Beacon erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) werden an einen Server von Amazon in den USA übertragen und dort gespeichert. Amazon wird diese Informationen benutzen, um Ihre Nutzung der Website im Hinblick auf die Anzeigen auszuwerten, um Reports über die Websiteaktivitäten und Anzeigen für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Amazon diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Amazon verarbeiten. Amazon wird in keinem Fall Ihre IP-Adresse mit anderen Daten der Amazon in Verbindung bringen. Das Speichern von Cookies auf Ihrer Festplatte und die Anzeige von Web Beacons können Sie verhindern, indem Sie in Ihren Browser-Einstellungen ''keine Cookies akzeptieren'' wählen (Im MS Internet-Explorer unter ''Extras > Internetoptionen > Datenschutz > Einstellung''; im Firefox unter ''Extras > Einstellungen > Datenschutz > Cookies''); wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Amazon in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.

Google reChaptcha

Auf dieser Website verwenden wir auch die reCAPTCHA Funktion von Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland („Google“). Diese Funktion dient vor allem zur Unterscheidung, ob eine Eingabe durch eine natürliche Person erfolgt oder missbräuchlich durch maschinelle und automatisierte Verarbeitung erfolgt. Der Dienst umfasst den Versand der IP-Adresse und ggf. weiterer von Google für den Dienst reCAPTCHA benötigter Daten an Google und erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Feststellung der individuellen Eigenverantwortung im Internet und der Vermeidung von Missbrauch und Spam. Im Rahmen der Nutzung von Google reCAPTCHA kann es auch zu einer Übermittlung von personenbezogenen Daten an die Server der Google LLC. in den USA kommen.
Für den Fall der Übermittlung von personenbezogenen Daten an die Google LLC. mit Sitz in den USA, hat sich Google LLC. für das us-europäische Datenschutzübereinkommen „Privacy Shield“ zertifiziert, welches die Einhaltung des in der EU geltenden Datenschutzniveaus gewährleistet. Ein aktuelles Zertifikat kann hier eingesehen werden: https://www.privacyshield.gov/list

Cloudflare Inc.

Dies ist der aktuelle Datenverabeitungsvertrag mit Cloudflare Inc.

Weiter Informationen dazu unter https://www.cloudflare.com/de-de/gdpr/introduction/

Stand der Vereinbarung: 3.Mai 2020

Cloudflare, Inc. Data Processing Addendum, Version 2.0
29 October 2019
CLOUDFLARE VEREINBARUNG ZUR AUFTRAGSVERARBEITUNG
Cloudflare, Inc. (“Cloudflare”) und der Vertragspartner, der diesen Bestimmungen zustimmt (“Kunde”), haben
einen Enterprise Subscription Vertrag, einen Self-Serve Subscription Vertrag oder einen anderen schriftlichen
oder elektronischen Vertrag für Dienste abgeschlossen, die Cloudflare bereitstellt (der “Hauptvertrag”). Diese
Vereinbarung zur Auftragsverarbeitung, einschließlich der Anlagen (die „AVV“), ist Bestandteil des
Hauptvertrages.
Diese AVV tritt zu dem Zeitpunkt in Kraft, an dem der Kunde sie per Mausklick akzeptiert hat oder an dem die
Parteien sich auf eine andere Weise auf diese AVV geeinigt haben (“Tag des Inkrafttretens der AVV”), und
ersetzt und löst frühere anwendbare Bestimmungen ab, die sich auf deren Gegenstand beziehen (einschließlich
etwaiger Datenschutzvereinbarungen in Bezug auf die Dienste).
Wenn Sie diese AVV im Namen des Kunden akzeptieren, gewährleisten Sie, dass: (a) Sie die volle rechtliche
Befugnis haben, den Kunden an diese AVV zu binden; (b) Sie diese AVV gelesen und verstanden haben; und (c)
Sie im Namen des Kunden mit dieser AVV einverstanden sind. Wenn Sie nicht die rechtliche Befugnis haben,
den Kunden zu rechtlich zu binden, akzeptieren Sie diese AVV bitte nicht.
BESTIMMUNGEN ZUR DATENVERARBEITUNG
Die Parteien erwarten, dass Cloudflare im Zusammenhang mit den Diensten bestimmte Personenbezogene Daten,
für die der Kunde oder ein Mitglied der Kundengruppe gemäß den geltenden EU-Datenschutzgesetzen und den
Datenschutzgesetzen des Vereinigten Königreichs ein Verantwortlicher oder ein Auftragsverarbeiter sein kann,
außerhalb des Europäischen Wirtschaftsraumes (“EWR”) und des Vereinigten Königreichs verarbeitet.
Die Parteien haben vereinbart, diese AVV abzuschließen, um sicherzustellen, dass geeignete Garantien in Bezug
auf den Schutz Personenbezogener Daten geschaffen werden, wie sie in den geltenden Datenschutzgesetzen
vorgeschrieben sind. Dementsprechend verpflichtet sich Cloudflare, die folgenden Bestimmungen in Bezug auf
alle Personenbezogenen Daten einzuhalten, die vom oder für den Kunden an Cloudflare übermittelt oder vom
oder für den Kunden, der die Dienste nutzt, erhoben oder verarbeitet werden.
Definitionen
1.1 Die folgenden Definitionen werden in dieser AVV verwendet:
a) “Adäquates Land“ bezeichnet ein Land oder Gebiet, das nach den EU-Datenschutzgesetzen und
den Datenschutzgesetzen des Vereinigten Königreichs anerkannt ist, angemessenen Schutz für
Personenbezogene Daten bereitzustellen;
b) „verbundenes Unternehmen“ bedeutet in Bezug auf eine Partei jedes Unternehmen, das die Partei
direkt oder indirekt beherrscht, von der Partei beherrscht wird oder unter gemeinsamer
Beherrschung mit der Partei steht (jedoch nur so lange, wie eine solche Beherrschung besteht);
c) „geltende Datenschutzgesetze“ bezeichnet alle Gesetze und Bestimmungen der Jurisdiktion, in der
ein Unternehmen der Cloudflare Gruppe physisch präsent ist, die für die Verarbeitung
personenbezogener Daten gemäß des Hauptvertrags gelten, einschließlich der EUDatenschutzgesetze und der Datenschutzgesetze des Vereinigten Königreichs.
d) „Cloudflare Gruppe“ bezeichnet Cloudflare und alle ihre verbundenen Unternehmen;
e) „Kundengruppe“ bezeichnet den Kunden und alle seine verbundenen Unternehmen, die im EWR
oder im Vereinigten Königreich gegründet wurden oder Geschäfte betreiben;
f) „Auftragsverarbeiter“ bezeichnet eine juristische Person, die personenbezogene Daten im Auftrag
des Verantwortlichen verarbeitet und an die eine andere juristische Person personenbezogene Daten
einer natürlichen Person zu Geschäftszwecken auf Grundlage eines schriftlichen Vertrages
weitergibt, der vorsieht, dass die empfangende juristische Person personenbezogene Daten nur zu
Zwecken der Erbringung der Dienste speichert, nutzt oder offenlegt.
g) „EU-Datenschutzgesetze und Datenschutzgesetze des Vereinigten Königreichs“ bezeichnet alle
Gesetze und Verordnungen der Europäischen Union, des Europäischen Wirtschaftsraumes, ihrer
2
Mitgliedstaaten und des Vereinigten Königreiches, die für die Verarbeitung Personenbezogener
Daten nach dem Hauptvertrag gelten, einschließlich (soweit anwendbar) die DSGVO und den Data
Protection Act des Vereinigten Königreichs;
h) „DSGVO“ bezeichnet die Datenschutzgrundverordnung (Verordnung (EU) 2016/679 des
Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der
Richtlinie 95/46/EG);
i) „Personenbezogene Daten“ bezeichnet alle Daten, die nach den EU-Datenschutzgesetzen und den
Datenschutzgesetzen des Vereinigten Königreichs als “personenbezogene Daten” definiert sind, für
die die EU-Datenschutzgesetze und Datenschutzgesetze des Vereinigten Königreichs gelten, die
Cloudflare in ihrer Funktion als Auftragsverarbeiter vom Kunden erhält oder auf die Cloudflare auf
andere Weise im Rahmen der Erbringung der Dienste für den Kunden Zugriff hat, die Cloudflare
speichert oder im Namen des Kunden verarbeitet.; und
j) „verarbeiten“, „Verantwortlicher“, „Betroffene Person“ und „Aufsichtsbehörde“ haben die
Bedeutung, die ihnen nach den EU-Datenschutzgesetzen und den Datenschutzgesetzen des
Vereinigten Königreichs zugeschrieben wird.
k) „Dienste“ bezeichnet sämtliche Cloud-basierten Lösungen, die von Cloudflare oder ihren
autorisierten Partnern angeboten, vermarktet oder verkauft werden und die darauf abzielen, die
Leistung, Sicherheit und Verfügbarkeit von Internet-Einstellungen, -Anwendungen und -
Netzwerken zu erhöhen, sowie sämtliche Software, Software Development Kits und Application
Programming Interfaces („APIs“), die im Zusammenhang mit dem Vorgenannten bereitstellt
werden.
1.2 Ein Unternehmen „Beherrscht” ein anderes Unternehmen, wenn es: (a) die Mehrheit der Stimmrechte
an ihm hält; (b) Gesellschafter von ihm ist und das Recht hat, die Mehrheit seines Verwaltungsrates oder
eines gleichwertigen Leitungsorgans abzusetzen; (c) Gesellschafter ist und allein oder aufgrund einer
Vereinbarung mit anderen Gesellschaftern die Mehrheit der Stimmrechte an ihm kontrolliert; oder (d)
das Recht hat, gemäß seinen Gründungsdokumenten oder gemäß einer Vereinbarung einen
beherrschenden Einfluss auf das andere Unternehmen auszuüben; und zwei Unternehmen werden als
unter „Gemeinsamer Beherrschung“ befindlich behandelt, wenn entweder eines das andere (direkt oder
indirekt) beherrscht oder beide (direkt oder indirekt) von demselben Unternehmen beherrscht werden.
Status der Parteien
2.1 Die Art der Personenbezogenen Daten nach dieser AVV und der Gegenstand, die Dauer, die Art und der
Zweck der Verarbeitung sowie die Kategorien Betroffener Personen sind in Anlage 1 beschrieben.
2.2 Jede Partei gewährleistet in Bezug auf Personenbezogene Daten, dass sie die geltenden
Datenschutzgesetze einhalten wird (und dafür sorgen wird, dass alle ihre Mitarbeiter die Vorschriften
einhalten und wirtschaftlich angemessene Anstrengungen unternehmen, um sicherzustellen, dass die
Unterauftragsverarbeiter die Vorschriften einhalten). Zwischen den Parteien ist der Kunde allein
verantwortlich für die Richtigkeit, Qualität und Rechtmäßigkeit der Personenbezogenen Daten und der
Mittel, mit denen der Kunde die Personenbezogenen Daten erworben hat.
2.3 In Bezug auf die Rechte und Pflichten der Parteien nach dieser AVV bezüglich der Personenbezogenen
Daten erkennen die Parteien hiermit an und sind damit einverstanden, dass der Kunde Verantwortlicher
oder der Auftragsverarbeiter ist, und gegebenenfalls dass Cloudflare Auftragsverarbeiter oder
Unterauftragsverarbeiter ist; und entsprechend
(a) erklärt sich Cloudflare damit einverstanden, dass sie alle Personenbezogenen Daten in
Übereinstimmung mit den Verpflichtungen aus dieser AVV verarbeitet;
(b) erkennen die Parteien an, dass der Kunde Cloudflare Personenbezogene Daten nur für die
Erbringung des Dienstes gemäß des Hauptvertrags zur Verfügung stellt und dass dies einen
berechtigten Geschäftszweck in Bezug auf die Verarbeitung dieser Daten darstellt.
2.4 Falls der Kunde Auftragsverarbeiter ist, gewährleistet der Kunde gegenüber Cloudflare, dass
Anweisungen und Handlungen des Kunden in Bezug auf Personenbezogene Daten, einschließlich der
3
Beauftragung von Cloudflare als einen weiteren Auftragsverarbeiter und des Abschlusses von
Standardvertragsklauseln (Anlage 2), vom zuständigen Verantwortlichen genehmigt wurden.
2.5 Soweit Cloudflare als Verantwortlicher Daten verarbeitet, die nach den EU-Datenschutzgesetzen und
den Datenschutzgesetzen des Vereinigten Königreichs als “personenbezogene Daten” definiert sind,
wird Cloudflare Verantwortlicher gemäß der Datenschutzerklärung von Cloudflare bei dieser
Verarbeitung die geltenden EU-Datenschutzgesetze und Datenschutzgesetze des Vereinigten
Königreichs einhalten.
2.6 Jede Partei ist verpflichtet, eine Person innerhalb ihrer Organisation zu bestimmen, die dazu berechtigt
ist, von Zeit zu Zeit Anfragen in Bezug auf Personenbezogene Daten zu beantworten, und jede Partei ist
verpflichtet, solche Anfragen unverzüglich zu bearbeiten.
Verpflichtungen von Cloudflare
3.1 Cloudflare gewährleistet in Bezug auf alle Personenbezogenen Daten, die sie in Ihrer Funktion als
Auftragsverarbeiter oder Unterauftragsverarbeiter verarbeitet, dass sie:
(a) Personenbezogene Daten nur verarbeitet, um die Dienste zu erbringen; und dass sie nur: (i)
gemäß dieser AVV, (ii) gemäß den schriftlichen Weisungen des Kunden, wie sie durch den
Hauptvertrag und diese AVV dargestellt werden, und (iii) wie nach geltenden
Datenschutzgesetzen erforderlich handelt;
(b) die Personenbezogenen Daten nicht für einen anderen Zweck als zur Erbringung des Dienstes
verkaufen, speichern, verwenden oder offenlegen wird, einschließlich sämtlichen anderen
kommerziellen Zwecken, die nicht die Erbringung des Dienstes vorsehen. Die Erbringung des
Dienstes durch Cloudflare kann die Weitergabe von Personenbezogenen Daten an
Unterauftragsverarbeiter einschließen, soweit dies in Übereinstimmung mit Ziffer 4 dieser AVV
erforderlich ist.
(c) den Kunden nach Kenntnisnahme darüber informiert, ob nach Ansicht von Cloudflare
Weisungen des Kunden gemäß Ziffer 3.1(a) die DSGVO verletzen;
(d) geeignete technische und organisatorische Maßnahmen trifft, um ein dem Risiko, das mit der
Verarbeitung Personenbezogener Daten verbunden ist, angemessenes Schutzniveau zu
gewährleisten, insbesondere Schutz gegen unbeabsichtigte oder unberechtigte Vernichtung,
Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu
Personenbezogenen Daten. Solche Maßnahmen schließen, ohne Begrenzung, die
Sicherheitsmaßnahmen, die in Anlage 3 festgelegt sind, ein;
(e) angemessene Maßnahmen ergreift, um zu gewährleisten, dass nur berechtigte Mitarbeiter
Zugang zu Personenbezogenen Daten haben und dass alle Personen, denen diese den Zugang zu
Personenbezogenen Daten gestatten, an Geheimhaltungsverpflichtungen gebunden sind;
(f) den Kunden ohne schuldhaftes Zögern informiert, nachdem ihr eine Datenpanne bekannt
geworden ist, die zu unbeabsichtigter oder unberechtigter Vernichtung, Verlust, Veränderung
oder unbefugten Offenlegung von beziehungsweise unbefugten Zugang zu Personenbezogenen
Daten führt, die Cloudflare, ihre Unterauftragsnehmer oder jeder andere bekannte oder
unbekannte Dritte übertragen, gespeichert oder auf andere Weise verarbeitet hat (eine
„Verletzung des Schutzes personenbezogener Daten“);
(g) dem Kunden in Bezug auf die Verletzung des Schutzes personenbezogener Daten unverzüglich
angemessene Zusammenarbeit und Unterstützung leistet und alle angemessenen Informationen,
die Cloudflare über eine solche Verletzung des Schutzes personenbezogener Daten zur
Verfügung stehen, dem Kunden zur Verfügung stellt, soweit es den Kunden betrifft,
einschließlich der folgenden Informationen, soweit bekannt:
(i) dem möglichen Grund und den Folgen für die Betroffenen Personen der Verletzung
des Schutzes personenbezogener Daten;
(ii) die Kategorien der betroffenen Personenbezogenen Daten;
(iii) eine Übersicht der möglichen Folgen für die Betroffenen Personen;
4
(iv) eine Übersicht der unberechtigten Empfänger der Personenbezogenen Daten; und
(v) die Maßnahmen, die Cloudflare unternommen hat, um den Schaden zu mindern;
(h) keine öffentliche Bekanntmachung über eine Verletzung des Schutzes personenbezogener
Daten vornimmt (eine „Meldung einer Verletzung des Schutzes personenbezogener Daten”)
ohne das vorherige schriftliche Einverständnis des Kunden, außer wenn durch geltendes Recht
gefordert;
(i) den Kunden unverzüglich benachrichtigt, wenn sie eine Anfrage von einer Betroffenen Person
erhält, um auf die Personenbezogenen Daten dieser Person zuzugreifen, sie zu berichtigen oder
zu löschen, oder wenn eine Betroffene Person der Verarbeitung widerspricht oder eine Anfrage
stellt bezüglich der Datenübertragbarkeit in Bezug auf solche Personenbezogenen Daten
(jeweils eine „Anfrage einer Betroffenen Person“). Cloudflare wird keine Anfrage einer
Betroffenen Person beantworten ohne die vorherige schriftliche Zustimmung des Kunden, außer
um zu bestätigen, dass sich die Anfrage auf den Kunden bezieht, wobei der Kunde hiermit dazu
sein Einverständnis erteilt.
(j) Soweit es Cloudflare möglich ist und dies in Übereinstimmung mit dem geltenden Recht
geschieht, leistet Cloudflare dem Kunden angemessene Unterstützung bei der Beantwortung
von Anfragen von Betroffenen Personen hinsichtlich der Auskunft über, der Berichtigung oder
der Löschung von Personenbezogenen Daten, sofern der Kunde nicht in der Lage ist, die
Anfrage einer Betroffenen Person ohne Cloudflares Unterstützung zu adressieren. Der Kunde
trägt die Verantwortung für die Sicherstellung, dass es sich bei dem Anfragenden um die
Betroffene Person handelt, deren Informationen abgefragt werden. Cloudflare übernimmt keine
Verantwortung für Informationen, die dem Kunden in gutem Glauben gemäß dieses
Unterabschnitts zur Verfügung gestellt werden. Der Kunde trägt alle Kosten, die Cloudflare in
Verbindung mit der Leistung einer solchen Unterstützung entstehen;
(k) außer in dem Umfang, der zur Einhaltung des geltenden Rechts erforderlich ist, nach
Beendigung oder Ablauf des Hauptvertrages oder Beendigung der Dienste alle gemäß dieser
AVV verarbeiteten Personenbezogenen Daten (einschließlich Kopien hiervon) löscht;
(l) dem Kunden unter Berücksichtigung der Art der Verarbeitung und der für Cloudflare
verfügbaren Informationen solche Unterstützung gewährt, die der Kunde venünftigerweise
bezogen auf Verpflichtungen Cloudflares nach den EU-Datenschutzgesetzen und den
Datenschutzgesetzen des Vereinigten Königreichs anfordert in Bezug auf:
(i) Datenschutz-Folgenabschätzung (wie in der DSGVO definiert);
(ii) Meldungen an die Aufsichtsbehörden nach den EU-Datenschutzgesetzen und den
Datenschutzgesetzen des Vereinigten Königreichs und/oder Mitteilungen des Kunden
an die Betroffenen Personen als Reaktion auf eine Verletzung des Schutzes
personenbezogener Daten; und
(iii) die Erfüllung der Verpflichtungen des Kunden aus der DSGVO in Bezug auf die
Sicherheit der Verarbeitung;
vorausgesetzt, dass der Kunde alle Kosten trägt, die Cloudflare im Zusammenhang mit der
Leistung einer solchen Unterstützung entstehen.
Unterauftragsverarbeitung
4.1 Cloudflare wird Personenbezogene Daten nur zum Zwecke der Erbringung des Dienstes im Auftrag von
Cloudflare an Unterauftragsverarbeiter weitergeben. Cloudflare verkauft oder gibt Personenbezogene
Daten nicht für kommerzielle Zwecke an Dritte weiter.
4.2 Der Kunde erteilt eine allgemeine Ermächtigung: (a) an Cloudflare, damit sie andere Mitglieder der
Cloudflare Gruppe als Unterauftragsverarbeiter beauftragen kann, und (b) an Cloudflare und andere
Mitglieder der Cloudflare Gruppe, damit sie Drittanbieter von Rechenzentren und ausgegliederte
Anbieter von Unterstützungsleistungen im Bereich Marketing, Business, Entwicklung und
5
Kundenbetreuung als Unterauftragsverarbeiter beauftragen können, um die Erbringung der Dienste zu
unterstützen.
4.3 Cloudflare wird eine Liste von Unterauftragsverarbeitern auf der Cloudflare.com Website bereithalten
und wird die Namen neuer und ersetzter Unterauftragsverarbeiter der Liste hinzufügen, bevor sie mit der
Unterauftragsverarbeitung Personenbezogener Daten beginnt. Wenn der Kunde einen begründeten
Widerspruch gegen einen neuen oder ersetzten Unterauftragsverarbeiter erhebt, ist er verpflichtet, dies
Cloudflare innerhalb von zehn (10) Tagen nach der Mitteilung schriftlich mitzuteilen und die Parteien
werden sich bemühen, die Angelegenheit nach Treu und Glauben zu lösen. Wenn Cloudflare
vernünftigerweise in der Lage ist, die Dienste für den Kunden in Übereinstimmung mit dem
Hauptvertrag ohne Einsatz des Unterauftragsverarbeiters zu erbringen und in eigenem Ermessen
entscheidet, dies zu tun, so hat der Kunde keine weiteren Rechte nach dieser Ziffer 4.3in Bezug auf den
vorgeschlagenen Einsatz des Unterauftragsverarbeiters. Wenn Cloudflare nach eigenem Ermessen den
Einsatz des Unterauftragsverarbeiters benötigt und nicht in der Lage ist, den Kunden innerhalb von
neunzig (90) Tagen nach Mitteilung der Einwände durch den Kunden von der Eignung des
Unterauftragsverarbeiters oder der zwischen Cloudflare und dem Unterauftragsverarbeiter bestehenden
Dokumentation oder Schutzvorkehrungen zu überzeugen, kann der Kunde innerhalb von dreißig (30)
Tagen nach Ablauf der oben genannten Frist von neunzig (90) Tagen das betreffende Bestellformular
und/oder die Insertion Orders kündigen; und zwar ausschließlich in Bezug auf die Dienstleistung/en, auf
die sich die Verarbeitung Personenbezogener Daten des vorgeschlagenen neuen
Unterauftragsverarbeiters bezieht. Wenn der Kunde nicht gemäß dieser Ziffer 4.3rechtzeitig
Widerspruch gegen einen neuen oder ersetzten Unterauftragsverarbeiter erhebt, so gilt die Zustimmung
des Kunden zu dem Unterauftragsverarbeiter als erteilt und der Kunde hat auf sein Recht auf
Widerspruch verzichtet. Cloudflare kann einen neuen oder ersetzten Unterauftragsverarbeiter einsetzen,
solange das Widerspruchsverfahren nach dieser Ziffer 4.3läuft.
4.4 Cloudflare gewährleistet, dass jeder Unterauftragsverarbeiter, den sie beauftragt, um einen Dienst in
ihrem Auftrag in Verbindung mit dieser AVV zu erbringen, diesen ausschließlich auf der Grundlage
eines schriftlichen Vertrags erbringt, der dem Unterauftragsverarbeiter Bedingungen auferlegt, die im
Wesentlichen keinen geringeren Schutz Personenbezogener Daten bieten als die, die Cloudflare in dieser
AVV auferlegt werden (die „Wesentlichen Bedingungen“). Cloudflare sorgt für die Einhaltung der
Wesentlichen Bedingungen durch einen solchen Unterauftragsverarbeiter und haftet gegenüber dem
Kunden für jede Verletzung der Wesentlichen Bedingungen durch ihn.
Überpüfung und Aufzeichnungen
5.1 Cloudflare ist verpflichtet, in Übereinstimmung mit den EU-Datenschutzgesetzen und
Datenschutzgesetzen des Vereinigten Königreichs dem Kunden diejenigen Informationen zur Verfügung
zu stellen, die sie in ihrem Besitz oder in ihrer Kontrolle hat und die der Kunde vernünftigerweise
verlangen kann, um Cloudflare‘s Einhaltung der Verpflichtungen für Auftragsverarbeiter im Rahmen der
Verarbeitung Personenbezogener Daten nach den EU-Datenschutzgesetzen und Datenschutzgesetzen des
Vereinigten Königreichs nachzuweisen.
5.2 Der Kunde kann sein Überprüfungsrecht nach den EU-Datenschutzgesetzen und Datenschutzgesetzen
des Vereinigten Königreichs in Bezug auf Personenbezogene Daten ausüben, indem Cloudflare
Folgendes zur Verfügung stellt:
(a) einen Prüfbericht, der nicht älter als achtzehn (18) Monate ist, den ein unabhängiger, externer Prüfer
vorbereitet hat und der nachweist, dass Cloudflare‘s technische und organisatorische Maßnahmen
ausreichend sind, und einem anerkannten Industrieprüfungsstandard entsprechen; und
b) Vorlage zusätzlicher Informationen, die sich im Besitz oder unter der Kontrolle von Cloudflare
befinden, gegenüber einer EU-Aufsichtsbehörde oder einer Aufsichtsbehörde des Vereinigten
Königreichs, wenn diese zusätzliche Informationen im Zusammenhang mit der Verarbeitung
Personenbezogener Daten durch Cloudflare im Rahmen dieser AVV anfordert oder benötigt.
Übermittlung von Daten
6.1 Soweit eine Verarbeitung Personenbezogener Daten durch Cloudflare in einem Land außerhalb des
EWR stattfindet (außer falls in einem Adäquaten Land), erklären sich die Parteien damit einverstanden,
dass die Standardvertragsklauseln in Bezug auf die Verarbeitung gelten, die gemäß den EU-
6
Datenschutzgesetzen und Datenschutzgesetzen des Vereinigten Königreichs genehmigt wurden und die
im Anlage 2 dargelegt sind; und Cloudflare wird die Verpflichtungen des “Datenimporteurs” gemäß den
Standardvertragsklauseln einhalten, und der Kunde wird die Verpflichtungen des “Datenexporteurs”
einhalten.
6.2 Der Kunde erkennt an und akzeptiert, dass die Erbringung des Dienstes nach dem Hauptvertrag
gegebenenfalls die Verarbeitung Personenbezogener Daten durch Unterauftragsverarbeiter in Ländern
außerhalb des EWR erfordert.
6.3 Wenn Cloudflare im Rahmen der Durchführung dieser AVV Personenbezogene Daten an einen
Unterauftragsverarbeiter außerhalb des EWR übermittelt (unbeschadet Ziffer 4), ist Cloudflare
verpflichtet, vor einer solchen Übermittlung sicherzustellen, dass ein rechtlicher Mechanismus zur
Gewährleistung der Angemessenheit in Bezug auf die Verarbeitung vorhanden ist, wie zum Beispiel:
(a) das Erfordernis für Cloudflare zu bewirken, dass der Unterauftragsverarbeiter zum Vorteil des
Kunden die Standardvertragsklauseln unterzeichnet, die nach den EU-Datenschutzgesetzen und
Datenschutzgesetzen des Vereinigten Königreichs genehmigt wurden und die im Anlage 2
dargestellt sind;
(b) das Erfordernis für den Unterauftragsverarbeiter, nach den EU-U.S. oder Swiss-U.S. Privacy
Shield-Rahmenregelungen zertifiziert zu sein; oder
(c) das Bestehen einer anderen gesondert genehmigten Garantie für Datenübermittlungen (wie nach
den EU-Datenschutzgesetzen und Datenschutzgesetzen des Vereinigten Königreichs anerkannt)
und/oder eines Angemessenheitsbeschlusses der Europäischen Kommission.
6.4 Die folgenden Bestimmungen finden auf die Standardvertragsklauseln, die in der Anlage 2 dargelegt
sind, Anwendung:
(a) Der Kunde kann sein Überprüfungsrecht nach Ziffer 5.1(f) der Standardvertragsklauseln nach
Maßgabe der Ziffer 5.2 dieser AVV und vorbehaltlich der darin dargelegten Erfordernisse
ausüben; und
(b) Cloudflare kann Unteraufauftragsverarbeiter nach Maßgabe der Ziffern 4 und 6.3 dieser AVV
und vorbehaltlich der darin dargelegten Erfordernisse einsetzen.
Allgemeines
7.1 Diese AVV lässt die Rechte und Pflichten der Parteien nach dem Hauptvertrag unberührt, der weiterhin
seine volle Gültigkeit und Wirksamkeit behält. Im Falle eines Widerspruchs zwischen den Bedingungen
dieser AVV und den Bedingungen des Hauptvertrages haben die Bedingungen dieser AVV Vorrang,
soweit es um die Verarbeitung Personenbezogener Daten geht.
7.2 Die Haftung von Cloudflare nach oder im Zusammenhang mit dieser AVV (einschließlich der
Standardvertragsklauseln nach Anlage 2) unterliegt den Haftungsbeschränkungen des Hauptvertrages.
7.3 Diese AVV gewährt keine Rechte zu Gunsten Dritter, sie ist ausschließlich zum Vorteil der Parteien und
ihrer jeweils zulässigen (Rechts-)Nachfolger bestimmt; sie dient weder dem Vorteil anderer Personen
noch kann eine andere Person eine ihrer Bestimmungen durchsetzen.
7.4 Diese AVV und alle damit zusammenhängenden Handlungen unterliegen den Gesetzen des Staates
Kalifornien und werden in Übereinstimmung mit diesen ausgelegt, ohne dass die Regelungen des
internationalen Privatrechts Anwendung finden. Die Parteien erklären sich mit der persönlichen
Zuständigkeit und dem Gerichtsstand der Gerichte von San Francisco, Kalifornien einverstanden.
7.5 Diese AVV ist die endgültige, vollständige und ausschließliche Vereinbarung der Parteien in Bezug auf
ihren Gegenstand und ersetzt und vereint alle vorherigen Diskussionen und Vereinbarungen zwischen
den Parteien in Bezug auf diesen Gegenstand. Mit Ausnahme von Erklärungen, die in betrügerischer
Absicht abgegeben wurden, gelten keine weiteren Erklärungen oder Bedingungen oder sind Teil dieser
AVV. Keine Änderung oder Verzicht auf Rechte aus dieser AVV ist wirksam, wenn sie nicht schriftlich
erfolgt ist und von einem Unterschriftsbevollmächtigten jeder Partei unterzeichnet wurde. Diese AVV
kann in doppelter Ausfertigung unterzeichnet werden, von denen jede als Original gilt, die aber
zusammengenommen ein und dieselbe Vereinbarung bilden. Jede Person, die unten unterzeichnet,
7
gewährleistet, dass sie ordnungsgemäß bevollmächtigt ist und geschäftsfähig ist, um diese AVV zu
unterzeichnen. Jede Partei gewährleistet, dass die Unterzeichnung dieser AVV und die Erfüllung der
Verpflichtungen der jeweiligen Partei aus dieser Vereinbarung, ordnungsgemäß genehmigt wurden, und
dass diese AVV eine gültige und rechtsverbindliche Vereinbarung für jede dieser Parteien ist, die gemäß
ihren Bedingungen durchsetzbar ist.
8
Anlage 1
Angaben zu den Personenbezogenen Daten und Verarbeitungstätigkeiten
(a) Die Personenbezogenen Daten umfassen: Identifikationsdaten, berufsbezogene Daten, private
Daten, Verbindungsdaten oder Lokalisierungsdaten (einschließlich IP Adresse) in Bezug auf
Besucher der Online-Plattformen des Kunden. Der Kunde, seine Online-Besucher und/oder
andere Partner können auch Inhalte auf die Online-Plattformen des Kunden hochladen, die
gegebenenfalls personenbezogene Daten und besondere Kategorien personenbezogener Daten
enthalten, wobei dies durch den Kunden in eigener Verantwortung festgelegt und kontrolliert
wird. Solche besondere Kategorien personenbezogener Daten enthalten, aber sind nicht
beschränkt auf, Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen,
religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit
hervorgehen, sowie die Verarbeitung von Gesundheitsdaten oder Daten zum Sexualleben.
(b) Die Dauer der Verarbeitung läuft: bis zum frühesten der folgenden Zeitpunkte (i)
Ablauf/Beendigung des Hauptvertrages, oder (ii) der Zeitpunkt, an dem die Verarbeitung für die
Zwecke der jeweiligen Partei zur Erfüllung ihrer Verpflichtungen aus dem Hauptvertrag (soweit
anwendbar) nicht länger erforderlich ist;
(c) Die Verarbeitung umfasst nur: Die notwendige Verarbeitung, um dem Kunden gegenüber die
Dienste gemäß dem Hauptvertrag zu erbringen;
(d) Der/die Zweck(e) der Verarbeitung ist/sind: notwendig für die Erbringung der Dienste;
(e) Personenbezogene Daten betreffen gegebenenfalls die folgenden Betroffenen Personen:
Natürliche Personen, die auf die Internet-Einstellungen, -Anwendungen und -Netzwerke des
Kunden zugreifen oder diese nutzen, zusammen mit sämtlicher Software, Software Development
Kits und Application Programming Interfaces („APIs“), die im Zusammenhang mit dem Dienst
zur Verfügung gestellt werden.
9
Anlage 2
Standardvertragsklauseln aus dem Anhang des Beschlusses der Kommission vom 5. Februar 2010
(2010/87/EU)
Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in
Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist.
EINFÜHRUNG
Beide Parteien vereinbaren folgende Vertragsklauseln („Klauseln“), um angemessene Garantien hinsichtlich des
Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in
Anhang 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den
Datenimporteur zu bieten.
VEREINBARTE BEDINGUNGEN
Begriffsbestimmungen
Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
a) die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“,
„Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene
Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des
Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
b) der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen
Daten übermittelt;
c) der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur
personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen
Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht
einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25
Absatz 1 der Richtlinie 95/46/EG gewährleistet;
d) der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs
oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt,
vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs
personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der
Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den
Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;
e) der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der
Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der
Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der
Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;
und
f) die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die
personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen
Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang,
10
insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und
vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.
Einzelheiten der Übermittlung
Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten,
sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.
Drittbegünstigtenklausel
3.1 Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5
Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die
Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
3.2 Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7,
Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn
das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein
Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des
Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem
Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
3.3 Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7,
Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen,
wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder
rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch
einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in
letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger
sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des
Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
3.4 Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich
wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung
vertreten wird.
Pflichten des Datenexporteurs
4.1 Der Datenexporteur erklärt sich bereit und garantiert, dass:
a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den
einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch
weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats
mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen
Vorschriften dieses Staates verstößt;;
b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der
Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im
Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und
den Klauseln zu verarbeiten;
c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag
beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;
d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren
Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der
11
von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend
gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung,
dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten
Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk
umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;
e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;
f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie
möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre
Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne
der Richtlinie 95/46/EG bietet;
g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem
Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der
Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2
sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem
stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur
Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn,
die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche
Geschäftsinformationen herausgenommen werden;
i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung
gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person
mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und
j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.
Pflichten des Datenimporteurs
5.1 Der Datenimporteur erklärt sich bereit und garantiert, dass:
a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit
dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus
irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon
in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen
und/oder vom Vertrag zurückzutreten;
b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des
Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine
Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt,
die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen
Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die
Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen
technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;
d) er den Datenexporteur unverzüglich informiert über:
(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe
der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt,
12
beispielsweise durch ein strafrechtliches Verbot zur Wahrung des
Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;
(ii) jeden zufälligen oder unberechtigten Zugang und
(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne
diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;
e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten
personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet
und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten
befolgt;
f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen
Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden
Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem
vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium
durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen
verfügen und zur Vertraulichkeit verpflichtet sind;
g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen
bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen
Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten
Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen
werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt,
wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;
h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den
Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;
i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11
erbringt;
j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung
zuschickt, den er nach den Klauseln geschlossen hat.
Haftung
6.1 Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11
genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt
ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.
6.2 Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen
Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11
genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des
Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der
Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt
gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder
kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die
betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.
Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des
Unterauftragsverarbeiters für einen Verstoß beruft.
13
6.3 Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur
oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und
11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des
Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder
zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person
im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt
gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei
denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des
Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre
Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des
Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.
Schlichtungsverfahren und Gerichtsstand
7.1 Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte
und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der
Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:
a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder
gegebenenfalls durch die Kontrollstelle beizulegen oder
b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu
befassen.
7.2 Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte
oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen
Rechts Rechtsbehelfe einzulegen, berührt.
Zusammenarbeit mit Kontrollstellen
8.1 Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen,
wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.
8.2 Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige
Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu
unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den
Datenexporteur prüfen müsste.
8.3 Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für
ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von
Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt,
die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.
Anwendbares Recht
Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
Änderung des Vertrags
Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei,
erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im
Widerspruch zu der Klausel stehen.
14
Vergabe eines Unterauftrags
11.1 Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach
den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer
vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den
Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem
Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der
Datenimporteur nach den Klauseln erfüllen muss. .Sollte der Unterauftragsverarbeiter seinen
Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur
gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der
Vereinbarung uneingeschränkt verantwortlich.
11.2 Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem
Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in
denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz
1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder
rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder
kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs
übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen
Verarbeitungstätigkeiten nach den Klauseln beschränkt.
11.3 Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die
Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur
niedergelassen ist.
11.4 Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit
Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur
nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des
Datenexporteurs bereitgestellt.
Pflichten nach Beendigung der Datenverarbeitungsdienste
12.1 Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der
Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen
Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten
zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der
Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der
übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur,
dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten
nicht mehr aktiv weiterverarbeitet.
12.2 Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des
Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in
Absatz 1 genannten Maßnahmen zur Verfügung stellen.
Diese Vereinbarung wurde zu dem am Anfang der ersten Seite dieser Vereinbarung angegebenen Datum
abgeschlossen.
15
Anhang 1
zu den Standardvertragsklauseln
Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.
Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang
enthalten sein müssen, ergänzen.
Datenexporteur
Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind):
Die Gegenpartei, die diesen Bedingungen zustimmt, und alle verbundenen Unternehmen desselben mit Sitz im
EWR, die Dienstleistungen von Cloudflare oder ihren verbundenen Unternehmen erworben haben.
Datenimporteur
Der Datenimporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind):
Cloudflare, die personenbezogene Daten auf Weisung des Datenexporteurs gemäß den Bestimmungen der
Vereinbarung zwischen dem Datenexporteur und Cloudflare verarbeitet.
Betroffene Personen
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:
Der Datenexporteur kann personenbezogene Daten an Cloudflare und ihre verbundenen Unternehmen übermitteln,
deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird und die
personenbezogene Daten zu den folgenden Kategorien von betroffenen Personen beinhalten können, aber nicht
beschränkt sind auf:
• Natürliche Personen, die auf die Internet-Einstellungen, -Anwendungen und -Netzwerke des Kunden
zugreifen oder diese nutzen, zusammen mit sämtlicher Software, Software Development Kits und
Application Programming Interfaces („APIs“), die im Zusammenhang mit dem Dienst zur Verfügung
gestellt werden.
Kategorien von Daten
Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien:
Der Datenexporteur kann personenbezogene Daten an Cloudflare, Inc. und ihre verbundenen Unternehmen
übermitteln, deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird und die
personenbezogene Daten zu den folgenden Kategorien von Personenbezogenen Daten beinhalten können, aber nicht
beschränkt sind auf:
• Namen, Titel, Funktion, Arbeitnehmer, Kontaktdaten (E-Mail, Telefon, Fax, physische Adresse, etc.),
Identifikationsdaten, berufsbezogene Daten, persönliche Daten, Verbindungsdaten oder
Lokalisierungsdaten (einschließlich IP-Adresse).
Besondere Datenkategorien (soweit zutreffend)
Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien:
Der Datenexporteur kann besondere Datenkategorien an Cloudflare und ihre verbundenen Unternehmen
übermitteln, wobei deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird.
Solche besondere Kategorien personenbezogener Daten enthalten, aber sind nicht beschränkt auf Daten, aus
denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Gesundheitsdaten
oder Daten zum Sexualleben.
Verarbeitung
Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen
unterzogen:
16
Das Ziel der Verarbeitung der Personenbezogenen Daten durch Cloudflare ist, die Dienste gemäß dem Hauptvertrag
zu erbringen.
17
Anhang 2
zu den Standardvertragsklauseln
Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.
Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur
gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift
beigefügt):
Siehe Anlage 3 zu der AVV.
18
Anlage 3
Sicherheitsmaßnahmen
A. Der Datenimporteur/Unterauftragsverarbeiter hat in Übereinstimmung mit den Industriestandards ein
Sicherheitsprogramm umgesetzt und ist verpflichtet, dieses zu aufrechtzuerhalten.
B. Im Einzelnen umfasst das Sicherheitsprogramm des Datenimporteurs/Unterauftragsverarbeiters:
Zugangskontrolle zu den Bereichen der Verarbeitung
Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um zu verhindern, dass
unberechtigte Personen Zugang zu den Verarbeitungsgeräten (und zwar Telefone, Datenbank- und
Applikationsserver und zugehörige Hardware) erhalten, mit denen personenbezogene Daten verarbeitet oder
genutzt werden, einschließlich:
• Errichtung von Sicherheitsbereichen;
• Schutz und Einschränkung von Zugangspfaden;
• Einrichtung von Zugriffsberechtigungen für Arbeitnehmer und Dritte, einschließlich der betreffenden
Dokumentation;
• Protokollierung, Überwachung und Verfolgung aller Zugriffe auf das Rechenzentrum, in dem
personenbezogene Daten gehostet werden; und
• Sicherung des Rechenzentrums, wo personenbezogene Daten gehostet werden, durch ein
Sicherheitsalarmsystem und andere geeignete Sicherheitsmaßnahmen.
Zugangskontrolle zu den Datenverarbeitungsanlagen
Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um zu verhindern, dass seine
Datenverarbeitungssysteme von unberechtigten Personen benutzt werden, einschließlich:
• Verwendung von geeigneten Verschlüsselungstechnologien;
• Identifizierung des Terminals und/oder des Terminal-Nutzers gegenüber dem
Datenimporteur/Unterauftragsverarbeiter;
• automatische temporäre Sperrung des Benutzerterminals bei Leerlauf; Identifikation und Passwort zum
Wiederöffnen erforderlich;
• automatische temporäre Sperrung der Nutzer-ID, wenn mehrmals falsche Passwörter eingegeben werden,
Protokolldatei der Ereignisse, Überwachung von Einbruchsversuchen (Alarme); und
• Protokollierung, Überwachung und Nachverfolgung aller Zugriffe auf Daten.
Zugangskontrolle zur Verwendung bestimmter Bereiche der Datenverarbeitungssysteme
Der Datenimporteur/Unterauftragsverarbeiter verpflichtet sich, dass die Personen, die berechtigt sind,
Datenverarbeitungssysteme zu nutzen, ausschließlich innerhalb des Umfangs ihrer jeweiligen Zugangserlaubnis
(Berechtigung) und soweit von dieser gedeckt auf die Daten zugreifen können und dass personenbezogene Daten
nicht ohne Berechtigung gelesen, verändert oder entfernt werden können. Dies wird durch verschiedene
Maßnahmen erreicht, einschließlich:
• Arbeitnehmerrichtlinien und Schulungen in Bezug auf die Zugriffsrechte des jeweiligen Arbeitnehmers auf
personenbezogene Daten;
• Zuweisung einzelner Terminals und/oder Terminalbenutzer und funktionsspezifische
Identifikationsmerkmale;
• Überwachungsfähigkeit in Bezug auf Personen, die personenbezogene Daten löschen, hinzufügen oder
ändern;
19
• Freigabe von Daten ausschließlich an berechtigte Personen, einschließlich Zuweisung von verschiedenen
Zugangsberechtigungen und Funktionen;
• Verwendung geeigneter Verschlüsselungstechnologien; und
• Kontrolle von Dateien, kontrollierte und dokumentierte Vernichtung von Daten.
Verfügbarkeitskontrolle
Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um sicherzustellen, dass
personenbezogene Daten gegen zufällige/n Vernichtung oder Untergang geschützt werden, einschließlich:
• Infrastrukturredundanz; und
• das Backup wird an einem alternativen Standort gespeichert und steht bei einem Ausfall des Primärsystems
zur Wiederherstellung zur Verfügung.
Übertragungskontrolle
Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um zu verhindern, dass
unberechtigte Personen personenbezogene Daten während deren Übertragung oder während des Transports der
Datenmedien lesen, kopieren, verändern oder vernichten. Dies wird durch verschiedene Maßnahmen erreicht,
einschließlich:
• Verwendung geeigneter Firewall, VPN und Verschlüsselungstechnologien, um die Schnittstellen und
Leitungen zu schützen, durch die die Daten laufen;
• bestimmte hochvertrauliche Arbeitnehmerdaten (z.B. persönliche Daten wie nationale ID-Nummern, Kreditoder Debitkartennummern) werden auch innerhalb des Systems verschlüsselt; und
• Benachrichtigung des Benutzers bei unvollständiger Datenübertragung (End-to-End-Check); und
• soweit möglich, werden alle Datenübertragungen protokolliert, überwacht und verfolgt.
Eingabekontrolle
Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen zur Eingabekontrolle,
einschließlich:
• einer Berechtigungsrichtlinie für die Eingabe, das Lesen, die Veränderung und die Vernichtung von Daten;
• Authentifizierung des berechtigten Personals;
• Schutzmaßnahmen für die Dateneingabe in den Speicher, sowie für das Lesen, die Veränderung und die
Vernichtung von gespeicherten Daten;
• Verwendung einmaliger Authentifizierungsnachweise oder Codes (Passwörter);
• es wird dafür gesorgt dass die Zugänge zu den Datenverarbeitungseinrichtungen (Räume, in denen sich die
Computerhardware und die dazugehörige Ausrüstung befinden) verschlossen bleiben;
• automatisches Abmelden von Benutzer-ID's, die für eine wesentliche Zeit nicht mehr benutzt wurden; und
• Nachweis der Eingabeberechtigung innerhalb der Organisation des Datenimporteurs/Unterprozessors;
• Elektronische Aufzeichnung von Einträgen.
Trennung der Verarbeitung für verschiedene Zwecke
Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um sicherzustellen, dass Daten,
die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden können, einschließlich:
• Der Zugriff auf Daten ist durch Anwendungssicherheit für die entsprechenden Benutzer getrennt;
• Module innerhalb der Datenbank des Datenimporteurs/Unterauftragsverarbeiters trennen, welche Daten für
welchen Zweck genutzt werden, d.h. nach Funktionalität und Funktion;
20
• Auf Datenbankebene werden die Daten in verschiedenen normalisierten Tabellen gespeichert, die pro Modul,
pro Kunde des Verantwortlichen oder nach den von ihnen unterstützten Funktionen getrennt sind; und
• Schnittstellen, Batch-Prozesse und Berichte sind ausschließlich für bestimmte Zwecke und Funktionen
bestimmt, damit die Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden.
Dokumentation
Der Datenimporteur/Unterauftragsverarbeiter behält die Dokumentation der technischen und organisatorischen
Maßnahmen für den Fall von Überprüfungen und zur Beweissicherung. Der
Datenimporteur/Unterauftragsverarbeiter ist verpflichtet, angemessene Maßnahmen zu treffen, um
sicherzustellen, dass Personen, die bei ihm angestellt sind, und andere Personen, die am Arbeitsplatz betroffen
sind, die technischen und organisatorischen Maßnahmen, die in dieser Anlage 3 aufgeführt sind, kennen und
einhalten.
Überwachung
Der Datenimporteur/Unterauftragsverarbeiter sind verpflichtet, geeignete Maßnahmen zu treffen, um die
Zugangsbeschränkungen für die Systemadministratoren des Datenimporteurs/Unterauftragsverarbeiters zu
überwachen und sicherzustellen, dass sie gemäß den erhaltenen Anweisungen handeln. Dies wird durch
verschiedene Maßnahmen erreicht, einschließlich:
• individuelle Ernennung von Systemadministratoren;
• Ergreifen geeigneter Maßnahmen, um die Zugangsprotokolle der Systemadministratoren zur Infrastruktur zu
registrieren und sie mindestens sechs Monate lang sicher, genau und unverändert zu halten;
• jährliche Überprüfung der Tätigkeit der Systemadministratoren zur Beurteilung der Einhaltung der
zugewiesenen Aufgaben, der Anweisungen, die der Datenimporteur/Unterauftragsverarbeiter erhalten hat,
und der geltenden Gesetze;
• Führung einer aktualisierten Liste mit den Identifikationsdaten der Systemadministratoren (z.B. Name,
Nachname, Funktion oder Organisationsbereich) und den zugewiesenen Aufgaben und unverzügliche
Verfügbarmachung derselben auf Anfrage des Datenexporteurs.

Zahlungsdienstleister-Datenschutz

Stripe, Inc.

Weiter Informationen unter: https://stripe.com/de/privacy

Wenn Sie sich für eine Zahlungsart des Paymentdienstleisters Stripe entscheiden, erfolgt die Zahlungsabwicklung über den Paymentdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, an den wir Ihre im Rahmen des Bestellvorgangs mitgeteilten Informationen nebst den Informationen über Ihre Bestellung (Name, Anschrift, Kontonummer, Bankleitzahl, evtl. Kreditkartennummer, Rechnungsbetrag, Währung und Transaktionsnummer) gemäß Art. 6 Abs. 1 lit. b DSGVO weitergeben. Die Weitergabe Ihrer Daten erfolgt ausschließlich zum Zwecke der Zahlungsabwicklung mit dem Payment-Dienstleister Stripe Payments Europe Ltd. und nur insoweit, als sie hierfür erforderlich ist.

Sofort

Bei Auswahl der Zahlungsart „SOFORT“ erfolgt die Zahlungsabwicklung über den Zahlungsdienstleister SOFORT GmbH, Theresienhöhe 12, 80339 München, Deutschland (im Folgenden „SOFORT“), an den wir Ihre im Rahmen des Bestellvorgangs mitgeteilten Informationen nebst den Informationen über Ihre Bestellung gemäß Art. 6 Abs. 1 lit. b DSGVO weitergeben. Die Sofort GmbH ist Teil der Klarna Group (Klarna Bank AB (publ), Sveavägen 46, 11134 Stockholm, Schweden). Die Weitergabe Ihrer Daten erfolgt ausschließlich zum Zweck der Zahlungsabwicklung mit dem Zahlungsdienstleister SOFORT und nur insoweit, als sie hierfür erforderlich ist.

Paypal

Weiter Informationen: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

Bei Zahlung via PayPal, Kreditkarte via PayPal, Lastschrift via PayPal oder – falls angeboten - "Kauf auf Rechnung" oder „Ratenzahlung“ via PayPal geben wir Ihre Zahlungsdaten im Rahmen der Zahlungsabwicklung an die PayPal (Europe) S.a.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg (nachfolgend "PayPal"), weiter. Die Weitergabe erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO und nur insoweit, als dies für die Zahlungsabwicklung erforderlich ist.
PayPal behält sich für die Zahlungsmethoden Kreditkarte via PayPal, Lastschrift via PayPal oder – falls angeboten - "Kauf auf Rechnung" oder „Ratenzahlung“ via PayPal die Durchführung einer Bonitätsauskunft vor. Hierfür werden Ihre Zahlungsdaten gegebenenfalls gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis des berechtigten Interesses von PayPal an der Feststellung Ihrer Zahlungsfähigkeit an Auskunfteien weitergegeben. Das Ergebnis der Bonitätsprüfung in Bezug auf die statistische Zahlungsausfallwahrscheinlichkeit verwendet PayPal zum Zweck der Entscheidung über die Bereitstellung der jeweiligen Zahlungsmethode. Die Bonitätsauskunft kann Wahrscheinlichkeitswerte enthalten (sog. Score-Werte). Soweit Score-Werte in das Ergebnis der Bonitätsauskunft einfließen, haben sie ihre Grundlage in einem wissenschaftlich anerkannten mathematisch-statistischen Verfahren. In die Berechnung der Score-Werte fließen unter anderem, aber nicht ausschließlich, Anschriftendaten ein. 
Sie können dieser Verarbeitung Ihrer Daten jederzeit durch eine Nachricht an PayPal widersprechen. Jedoch bleibt PayPal ggf. weiterhin berechtigt, Ihre personenbezogenen Daten zu verarbeiten, sofern dies zur vertragsgemäßen Zahlungsabwicklung erforderlich ist.

Klarna

Bei Auswahl einer Klarna-Zahlungsdienstleistung erfolgt die Zahlungsabwicklung über die Klarna Bank AB (publ) [https://www.klarna.com/de], Sveavägen 46, 111 34 Stockholm, Schweden (nachfolgend „Klarna“). Um die Abwicklung der Zahlung zu ermöglichen, werden Ihre persönlichen Daten (Vor- und Nachname, Straße, Hausnummer, Postleitzahl, Ort, Geschlecht, E-Mail-Adresse, Telefonnummer und IP-Adresse) sowie Daten, welche im Zusammenhang mit der Bestellung stehen (z. B. Rechnungsbetrag, Artikel, Lieferart) zum Zweck der Identitäts- und Bonitätsprüfung an Klarna weitergegeben, sofern Sie hierin gemäß Art. 6 Abs. 1 lit. a DSGVO im Rahmen des Bestellprozesses ausdrücklich eingewilligt haben. An welche Auskunfteien Ihre Daten hierbei weitergeleitet werden können, können Sie hier einsehen:
https://cdn.klarna.com/1.0/shared/content/legal/terms/0/de_de/credit_rating_agencies
Die Bonitätsauskunft kann Wahrscheinlichkeitswerte enthalten (sog. Score-Werte). Soweit Score-Werte in das Ergebnis der Bonitätsauskunft einfließen, haben sie ihre Grundlage in einem wissenschaftlich anerkannten mathematisch-statistischen Verfahren. In die Berechnung der Score-Werte fließen unter anderem, aber nicht ausschließlich, Anschriftendaten ein. Die erhaltenen Informationen über die statistische Wahrscheinlichkeit eines Zahlungsausfalls verwendet Klarna für eine abgewogene Entscheidung über die Begründung, Durchführung oder Beendigung des Vertragsverhältnisses.
Sie können Ihre Einwilligung jederzeit durch eine Nachricht an den für die Datenverarbeitung Verantwortlichen oder gegenüber Klarna widerrufen. Jedoch bleibt Klarna ggf. weiterhin berechtigt, Ihre personenbezogenen Daten zu verarbeiten, sofern dies zur vertragsgemäßen Zahlungsabwicklung erforderlich ist.
Ihre Personenangaben werden in Übereinstimmung mit den geltenden Datenschutzbestimmungen und entsprechend den Angaben in Klarnas Datenschutzbestimmungen für Betroffene mit Sitz in Deutschland https://cdn.klarna.com/1.0/shared/content/legal/terms/0/de_de/privacy
bzw. für Betroffene mit Sitz in Österreich https://cdn.klarna.com/1.0/shared/content/legal/terms/0/de_at/privacy
behandelt.