Wichtiger Hinweis

Dies ist eine archivierte Version der Spendesk-Bedingungen. Die aktuelle Version ist über den unten stehenden Link verfügbar.

ALLGEMEINE NUTZUNGSBEDINGUNGEN FÜR DIE LEISTUNGEN VON SPENDESK

Version vom 01092023 – v010923

Die Gesellschaft Spendesk bietet eine Plattform zur Ausgabenverwaltung für Unternehmen an. Diese allgemeinen Bedingungen regeln die von Spendesk für seine Kunden erbrachten Leistungen. Die Leistungen umfassen Zahlungsleistungen und E-Geld-Leistungen.

Im Rahmen der Erbringung der Leistungen in Bezug auf die Euro-Konten handelt Spendesk als PSP- Agent im Namen und für Rechnung von Okali. Dazu ist Spendesk bei der Aufsichtsbehörde ACPR registriert und im Register der Finanzagenten (verfügbar unter https://www.regafi.fr/) unter der Nummer 74593 eingetragen.

1. BEGRIFFSBESTIMMUNGEN UND AUSLEGUNG

1.1. Begriffsbestimmungen

In diesen allgemeinen Bedingungen haben die kursiv geschriebenen Begriffe, die im Hauptteil der allgemeinen Bedingungen nicht speziell definiert sind, die nachfolgende Bedeutung:

Archivierungsleistung: bezeichnet die in Artikel 6 unten beschriebene Leistung;

ACPR: bezeichnet die Aufsichtsbehörde Autorité de Contrôle Prudentiel et de Résolution mit Sitz in 4, Place de Budapest – 75436 Paris Cedex 09;

Allgemeine Bedingungen: bezeichnet die allgemeinen Nutzungsbedingungen für die Leistungen von Spendesk;

AML-CFT: bezeichnet die Bekämpfung von Geldwäsche und Terrorismusfinanzierung;

ANB Devisen-Karten: bezeichnet entweder (i) die allgemeinen Bedingungen für EWR-Prepaidkarten in Anhang 1 oder (ii) die allgemeinen Bedingungen für UK-Prepaid-Karten in Anhang 1;

ANB Euro-Karten: bezeichnet die allgemeinen Bedingungen für EWR-Debitkarten in Anhang 1;

ANB GBP-Karten: bezeichnet die allgemeinen Bedingungen für UK-Debitkarten in Anhang 1;

ANB GBP-Konto: bezeichnet die allgemeinen Nutzungsbedingungen des GBP-Kontos in Anhang 1;

ANB Okali: bezeichnet den „Rahmenvertrag für die Zahlungsleistungen“ aus Anhang 1;

ANB TPL: bezeichnet zusammen die ANB Devisen-Karten, die ANB GBP-Konten, die ANB GBP-Karte und die für GBP-Konten, Devisen-Karten und GBP-Karten geltenden Festlegungen der Preiskonditionen;

Annahmestelle: bezeichnet die Bezahlseite oder das Zahlungsterminal, über die/das der Kunde einen Kartenzahlungsauftrag an einen Annehmer übermitteln kann;

Annehmer: bezeichnet den Annehmer eines Karten-Zahlungsauftrags, der über eine Annahmestelle verfügt;

Bezahler: bezeichnet jegliche natürlichen oder juristischen Personen, die einen Zahlungsauftrag erteilen;

CMF: bezeichnet das französische Währungs- und Finanzgesetzbuch;

Datenpanne: bezeichnet eine Sicherheitspanne, die auf unbeabsichtigte oder unrechtmäßige Weise zu einer Vernichtung, einem Verlust, einer Beschädigung, einer unbefugten Offenlegung von oder zum Zugriff auf personenbezogene(n) Daten führt, die von Spendesk gespeichert oder auf sonstige Weise verarbeitet werden; und

Datenschutzbestimmungen: bezeichnet (i) die DSGVO und (ii) jegliche sonstigen Bestimmungen, die im Bereich Schutz personenbezogener Daten für Spendesk und den Kunden gelten;

Devisenkarte: bezeichnet eine auf eine der folgenden Devisen lautende physische oder virtuelle Prepaid-Karte: EUR, USD, GBP, NOK, SEK und DKK für in einem EWR-Staat eingetragene Kunden bzw. EUR, USD, GBP, NOK, SEK und DKK für im Vereinigten Königreich eingetragene Kunden, die dem Kunden zur Verfügung gestellt wird; bei im Vereinigten Königreich eingetragenen Kunden, die Devisen-Karten erhalten, unterliegen diese Karten den allgemeinen Bedingungen für UK-Prepaidkarten in Anhang 1; bei in einem EWR-Staat eingetragenen Kunden unterliegen diese Karten den allgemeinen Bedingungen für EWR-Prepaidkarten in Anhang 1;

Dokumente der Partner: bezeichnet zusammen die ANB Euro-Karten, die ANB Okali, die ANB Devisen-Karten, die ANB TPL-Devisenkonten und die Preiskonditionen;

DSGVO: bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

Empfänger: bezeichnet jegliche natürlichen oder juristischen Personen, die die Mittel, die Gegenstand eines Zahlungsvorgangs sind, erhalten sollen;

Euro-Karte: bezeichnet eine auf Euro lautende physische oder virtuelle Debitkarte, die dem in einem Staat des EWR eingetragenen Kunden (unter Ausschluss der im Vereinigten Königreich eingetragenen Kunden) zur Verfügung gestellt wird und den allgemeinen Bedingungen für EWR-Debitkarten aus Anhang 1 unterliegt;

Euro-Konto: bezeichnet ein Zahlungskonto im Sinne von Artikel L. 314-1 I. des CMF, das durch eine IBAN identifiziert ist, auf Euro lautet und auf den Namen des im EWR eingetragenen Kunden bei Okali eröffnet ist;

EWR: bezeichnet den europäischen Wirtschaftsraum;

Externes Konto: bezeichnet ein Bank- oder Zahlungskonto des Kunden bei einem anderen PSP als Okali;

GAA: bezeichnet einen Geldausgabeautomaten;

Gebühren: bezeichnet die vom Kunden als Gegenleistung für die Erbringung der Leistungen geschuldeten Gebühren entsprechend den Preisen aus den Preiskonditionen;

GBP-Karte: bezeichnet eine auf Pfund Sterling (GBP) lautende physische oder virtuelle Debitkarte, die dem in einem Staat des EWR oder im Vereinigten Königreich eingetragenen Kunden zur Verfügung gestellt wird und den allgemeinen Bedingungen für UK-Debitkarten aus Anhang 1 unterliegt;

GBP-Konto: bezeichnet das auf Pfund Sterling (GBP) lautende und auf den Namen des Kunden bei TPL eröffnete E-Geld-Konto;

Hauptnutzer: bezeichnet den Kunden (wenn es sich um eine natürliche Person handelt) oder eine natürliche Person, die vom Kunden ordnungsgemäß ermächtigt wurde, (i) den Vertrag für den Kunden abzuschließen und (ii) die in den allgemeinen Bedingungen, insbesondere Artikel 3, vorgesehenen Funktionen auszuüben. Wenn der Hauptnutzer nicht der Kunde oder ein Geschäftsführer des Kunden ist, muss es sich um eine Person (Angestellte oder Dritte) handeln, die im Rahmen einer Vollmacht oder einer Befugnisübertragung durch einen Geschäftsführer des Kunden speziell dazu ermächtigt ist, im Namen und für Rechnung des Kunden zu handeln (und im unter (i) oben vorgesehenen Fall den Vertrag für den Kunden abzuschließen). Der Kunde verpflichtet sich, Spendesk auf Aufforderung einen Nachweis für die Befugnisse des Hauptnutzers einzureichen;

Karte: bezeichnet gegebenenfalls eine Euro-Karte, GBP-Karte oder Devisen-Karte;

Kartensystem: bezeichnet Mastercard® und/oder jegliche sonstigen vergleichbaren Kartensysteme entsprechend den Angaben auf der Plattform;

Konten: bezeichnet die Euro-Konten und/oder je nach Kontext die GBP-Konten;

Kunde: bezeichnet eine in einem Mitgliedsstaat der EU, einem EWR-Staat oder im Vereinigten Königreich eingetragene oder wohnhafte natürliche oder juristische Person, die im Rahmen ihrer beruflichen Tätigkeit auf eigene Rechnung handelt, diese allgemeinen Bedingungen angenommen hat und die von Spendesk angebotenen Leistungen nutzen möchte;

Leistungen: bezeichnet den Zugriff auf die Plattform und die zugehörigen Leistungen, einschließlich der Leistungen in Zusammenhang mit den Euro-Konten, den Euro-Karten, den GBP-Konten und den Devisen-Karten sowie die Archivierungsleistung, aber nicht die Versicherungsleistung, die ausschließlich in Artikel 9 behandelt wird;

Nutzer: bezeichnet je nach Kontext (i) den Hauptnutzer und/oder (ii) jegliche sonstige im Rahmen ihrer beruflichen Tätigkeit im Namen und für Rechnung des Kunden handelnden natürlichen Personen, die zur Nutzung der Leistungen im Namen und für Rechnung des Kunden innerhalb der Grenzen der ihnen vom Hauptnutzer erteilten Befugnisse berechtigt sind;

Parteien: (i) den Kunden und (ii) die Gesellschaft Spendesk, die gegebenenfalls in ihrem Namen und auf ihre Rechnung oder als Agent von Okali handelt;

Personenbezogene Daten: bezeichnet „personenbezogene Daten“ im Sinne der Datenschutzbestimmungen;

Persönliche Sicherheitsdaten: bezeichnet die einem Nutzer von Spendesk bereitgestellten beziehungsweise von einem Nutzer selbst festgelegten persönlichen Daten, mit denen dieser sich identifizieren muss, um auf die Plattform zuzugreifen und/oder einen Vorgang auf der Plattform auszuführen, wie die Ausführung eines Zahlungsvorgangs zu beantragen. Zu den persönlichen Sicherheitsdaten gehören auch der mit einer Karte verbundene PIN-Code;

PIN-Code: bezeichnet den mit einer Karte verbundenen vierstelligen (4) Code;

Plattform: bezeichnet die von Spendesk bereitgestellte Lösung, mit der die Kunden die Leistungen nutzen können und die insbesondere die Website unter https://www.spendesk.com (und/oder jegliche sonstige dem Kunden gegebenenfalls zu einem späteren Zeitpunkt mitgeteilten Websites) und/oder jegliche mobilen Apps, die Spendesk dem Kunden gegebenenfalls zur Verfügung stellt, umfasst;

PSP: bezeichnet einen Zahlungsdienstleister;

Okali: bezeichnet die Okali, im Handels- und Gesellschaftsregister Paris unter der Nummer 890111776 eingetragene Aktiengesellschaft mit Sitz in 50 Rue la Boetie 75008 Paris – Frankreich. Okali ist von der ACPR unter der Nummer 17448 als E-Geld-Institut anerkannt und untersteht ihrer Kontrolle;

Spendesk: bezeichnet die Spendesk SAS, im Handels- und Gesellschaftsregister unter der Nummer 821 893 286 eingetragene vereinfachte Aktiengesellschaft mit Sitz in 51 Rue de Londres, 75008 Paris – Frankreich. Bei der Anwendung der Bestimmungen dieser allgemeinen Bedingungen zu den Euro-Konten ist jeder Verweis auf Spendesk als Verweis auf die als Agent von Okali handelnde Spendesk SAS auszulegen. Bei der Anwendung der Bestimmungen dieser allgemeinen Bedingungen zu den GBP-Konten und Karten ist jeder Verweis auf Spendesk als Verweis auf die Spendesk SAS auszulegen;

Terminal: bezeichnet jegliche elektronische Ausrüstung, insbesondere einschließlich sämtlicher Präsenz- und Fernzahlungsterminals (mit einem Computer verbundenes sicheres Lesegerät, TV-Decoder, Mobiltelefon mit Karteneinschub usw.) oder GAA, die zur Veranlassung eines Kartenzahlungsvorgangs genutzt werden;

TPL: bezeichnet die Transact Payments Malta Limited, eine in Malta eingetragene Gesellschaft mit Sitz in Vault 14, Level 2, Valletta Waterfront, Floriana FRN 1914, Malta, die von der maltesischen Behörde für Finanzdienstleistungen unter der Nummer 91879 als E-Geld-Institut zugelassen ist, und/oder die Transaction Payment Limited, eine in Gibraltar eingetragene Gesellschaft mit Sitz in 6.20 World Trade Center, 6 Bayside Road, Gibraltar GX11 1AA, die von der Kommission für Finanzdienstleistungen von Gibraltar als E-Geld-Institut zugelassen ist;

Überweisung: bezeichnet einen Zahlungsvorgang, mit dem der PSP, der das Konto des Bezahlers führt, auf dessen Anweisung hin einen Geldbetrag vom Konto des Bezahlers auf ein anderes Konto, das auf den Namen des Empfängers lautet, überweist;

Versicherungsleistung: bezeichnet die Möglichkeit des Kunden zum Abschluss einer Versicherung entsprechend der Beschreibung in Artikel 9 unten;

Vertrag: bezeichnet die Dokumente der Partner und die allgemeinen Bedingungen zusammen;

Werktag: bezeichnet (i) für Spendesk einen Kalendertag, ausgenommen Samstage, Sonntage und Feiertage im französischen Mutterland, an dem die Zahlungsinfrastruktur im Normalbetrieb aktiv ist und an dem Spendesk einer Geschäftstätigkeit nachgeht, die die Ausführung von Zahlungsvorgängen ermöglicht, (ii) für Okali einen Werktag gemäß Definition in den ANB Okali und (iii) für TPL einen Werktag gemäß Definition in den ANU TPL, die für die betreffende Leistung gelten;

Zahlungsauftrag: bezeichnet eine Anweisung eines Bezahlers oder eines Empfängers an seinen PSP zur Ausführung eines Zahlungsvorgangs;

Zahlungsvorgang: bezeichnet einen Vorgang, der darin besteht, Mittel von einem oder auf ein Konto zu zahlen, zu überweisen oder abzuheben, unabhängig von jeglichen zugrundeliegenden Verpflichtungen zwischen dem Bezahler und dem Empfänger;.

1.2. Auslegung

Sofern in diesen allgemeinen Bedingungen nicht anders angegeben, (i) schließen Wörter des einen Geschlechts das andere Geschlecht ein, (ii) schließen Wörter im Singular den Plural ein und umgekehrt und (iii) beziehen sich die Ausdrücke „diese allgemeinen Bedingungen“, „in diesem Dokument“ sowie ihre abgeleiteten Formen oder ähnliche Ausdrücke auf die allgemeinen Bedingungen als Ganzes.

Im Falle eines Widerspruchs zwischen den allgemeinen Bedingungen und den Dokumenten der Partner haben Letztere, sofern in diesen allgemeinen Bedingungen nicht anders angegeben, Vorrang vor den allgemeinen Bedingungen.

2. ABSCHLUSS DER LEISTUNGEN

2.1. Anmeldung

Wenn der Kunde zum Zeitpunkt seiner Anmeldung alle auf der Plattform angegebenen Kriterien erfüllt, kann er mithilfe der auf der Plattform angegebenen Schritte die Leistungen abschließen.

Zum Datum dieser allgemeinen Bedingungen können nur zu gewerblichen Zwecken handelnde natürliche Personen oder Unternehmen, die in einem EU-Mitgliedsstaat oder einem EWR-Staat oder im Vereinigten Königreicheingetragen oder ansässig sind, Kunden werden. Die Leistungen richten sich ausschließlich an gewerbliche Kunden und sind nicht für Verbraucher bestimmt.

Dem Kunden ist bekannt, dass die Nichtbeachtung der Anforderung(en) der Dokumentation vor dem Eingehen einer Beziehung oder während der Beziehung dazu führen kann, dass Spendesk die Leistungen nicht bereitstellen kann oder die Vereinbarung von Spendesk gekündigt wird.

In jedem Fall setzt die Anmeldung des Kunden insbesondere (i) die Annahme des Vertrags (der die allgemeinen Bedingungen, die Dokumente der Partner und die Preiskonditionen umfasst) und (ii) die Zahlung bestimmter Gebühren voraus.

Spendesk kann nach alleinigem Ermessen die Anmeldung für die Leistungen ohne Angabe von Gründen verweigern.

2.2. Annahme des Vertrags

Die Annahme des Vertrags durch den Kunden erfolgt während des Anmeldevorgangs aus obigem Artikel 2.1 durch Ankreuzen eines Kästchens auf der Plattform und die elektronische Unterschrift eines gesetzlichen Vertreters des Kunden.

Mit der Annahme des Vertrags bestätigt der Kunde ausdrücklich, dass er die allgemeinen Bedingungen, die Dokumente der Partner und die Preiskonditionen, die am Tag seiner Annahme in Kraft sind, aufmerksam zur Kenntnis genommen und verstanden hat und sie vollständig und vorbehaltslos annimmt.

Der Kunde verpflichtet sich, jeden Nutzer über den Vertrag in Kenntnis zu setzen und sicherzustellen, dass jeder Nutzer die Vertragsbestimmungen einhält.

Der Kunde stimmt der elektronischen Übermittlung und Unterzeichnung sämtlicher Dokumente zu und bestätigt deren Einwendbarkeit im Falle einer Streitigkeit.

2.3. AML-CFT-Überprüfungen

Okali und TPL sind gemäß den geltenden Bestimmungen zur Einholung bestimmter Dokumente und Informationen zum Kunden sowie zu seinem/n wirtschaftlichen Eigentümer(n) gehalten, ehe sie eine Geschäftsbeziehung mit ihm eingehen.

In diesem Zusammenhang verpflichtet sich der Kunde, Spendesk sämtliche erforderlichen Dokumente und/oder Informationen zukommen zu lassen, damit Okali und/oder TPL ihren Verpflichtungen im Bereich AML-CFT nachkommen können (nachfolgend „KYC-Elemente“). Es können Maßnahmen zur Überprüfung und Beglaubigung der vom Kunden übermittelten Dokumente verlangt beziehungsweise durchgeführt werden.

Im Falle einer Änderung, die sich auf die KYC-Elemente auswirkt, wie beispielsweise ein Wechsel des wirtschaftlichen Eigentümers, hat der Kunde schnellstmöglich Spendesk zu informieren.

Der Kunde stimmt zu, dass die Spendesk im Rahmen dieser Klausel 2.3 übermittelten Informationen und Dokumente von Spendesk und Okali bzw. gegebenenfalls TPL für die Dauer und entsprechend den Bedingungen, die in den geltenden Bestimmungen vorgesehen sind, aufbewahrt werden.

3. ZUGRIFF AUF DIE LEISTUNGEN

In diesen allgemeinen Bedingungen ist der Begriff „Kunde“ so auszulegen, dass er sich auf (i) den Kunden selbst, wenn er eine natürliche Person ist, oder (ii) den über den Nutzer handelnden Kunden (sei es der Hauptnutzer oder ein Nutzer mit den erforderlichen Befugnissen und Ermächtigungen) bezieht. Jegliche Handlungen, Entscheidungen, Anweisungen oder Anträge, die ein Nutzer auf der Plattform vornimmt, gelten als Handlungen, Entscheidungen, Anweisungen oder Anträge des Kunden.

Die Nutzer müssen sich für den Zugriff auf die Leistungen auf der Plattform anmelden. Der Kunde verpflichtet sich, dafür Sorge zu tragen, dass die Nutzer sich auf der Plattform anmelden und die Leistungen entsprechend den Bestimmungen der allgemeinen Bedingungen nutzen.

Der Hauptnutzer kann das Konto/die Konten und die Leistungen im vollen Umfang verwalten und insbesondere:

(i) andere Personen als Nutzer einladen und ihnen die Berechtigung erteilen, bestimmte Handlungen auf der Plattform vorzunehmen;

(ii) die Ausstellung von Karten beantragen;

(iii) innerhalb der von Spendesk genehmigten Höchstbeträge jeder Karte einen Verfügungsrahmen für Ausgaben oder Abhebungen zuweisen;

(iv) die Ausführung von ausgehenden Überweisungen, auch auf ein externes Konto, beantragen;

(v) ein Euro-Konto entsprechend den Bestimmungen aus nachfolgendem Artikel 4.1.2 aufladen oder ein GBP-Konto entsprechend den Bestimmungen aus nachfolgendem Artikel 5.1.2 aufladen.

Der Hauptnutzer kann seine Befugnisse einem Nutzer übertragen, indem er ihm ein Profil auf der Plattform zuweist. Wenn er einem Nutzer Befugnisse zuweist, kann der Hauptnutzer gezwungen sein, eines der von Spendesk vorgeschlagenen vordefinierten Profile zu verwenden, ohne dass er die Kombination von Befugnissen/Berechtigungen, die er übertragen möchte, oder die Bezeichnung der Profile („Administrator“, „Antragsteller“, „Verwalter“ usw.) auswählen kann.

4. LEISTUNGEN IN ZUSAMMENHANG MIT EURO-KONTEN UND EURO-KARTEN

Die Bestimmungen aus diesem Artikel 4 gelten nur, wenn der Kunde die Eröffnung eines oder mehrerer Euro-Konten und/oder die Bereitstellung einer oder mehrerer Euro-Karten beantragt hat.

4.1. Leistungen in Zusammenhang mit Euro-Konten

4.1.1. Bedingungen für die Eröffnung eines Euro-Kontos

Die Bedingungen für die Eröffnung eines oder mehrerer Euro-Konten auf den Namen des Kunden sowie die Modalitäten zur Führung dieses Euro-Kontos/dieser Euro-Konten unterliegen den ANB Okali in Anhang 1. Im Rahmen der Erbringung der Leistungen in Bezug auf das Euro-Konto/die Euro-Konten handelt Spendesk als Agent von Okali.

Voraussetzungen für die Eröffnung eines oder mehrerer Euro-Konten auf den Namen des Kunden sind (i) die Befolgung der auf der Plattform angegebenen Anmeldeschritte durch den Kunden, (ii) die Prüfung der vom Kunden bereitgestellten Dokumente und Informationen durch Spendesk, (iii) die Annahme des Anmeldeantrags durch Spendesk und (iv) die Einhaltung dieser allgemeinen Bedingungen sowie der ANB Okali in Anhang 1.

Ist Spendesk nach alleinigem Ermessen der Auffassung, dass die vom Kunden bei der Anmeldung eingereichten Elemente nicht ausreichen, um Spendesk und/oder Okali die Einhaltung ihrer verordnungsrechtlichen und/oder vertraglichen Verpflichtungen, insbesondere in Bezug auf AML-CFT, zu ermöglichen, behält Spendesk sich das Recht vor, die Eröffnung eines Euro-Kontos zu verschieben oder abzulehnen, ohne seine Entscheidung begründen zu müssen. Diese Entscheidung kann keinesfalls eine Schadensersatzforderung begründen. Sie wird dem Kunden per E-Mail oder telefonisch mitgeteilt und führt zur sofortigen Beendigung dieser allgemeinen Bedingungen.

4.1.2. Aufladen eines Euro-Kontos

Der Kunde hat sicherzustellen, dass jedes Euro-Konto jederzeit einen ausreichenden verfügbaren Saldo zur Ermöglichung folgender Vorgänge aufweist: (i) Ausführung der vom Kunden beauftragten Zahlungsvorgänge und (ii) Abbuchung der Gebühren durch Spendesk gemäß nachfolgendem Artikel 10.

Der Kunde kann ein Euro-Konto folgendermaßen aufladen:

(i) mittels Veranlassung einer Überweisung auf das entsprechende Euro-Konto von einem externen Konto aus entsprechend den vorgesehenen Modalitäten aus den ANB Okali in Anhang 1; oder

(ii) mittels einer Kartenzahlung auf der Plattform entsprechend der dort beschriebenen Vorgehensweise. Hierfür werden nur Karten von Visa, American Express oder Mastercard akzeptiert. Dabei können Gebühren anfallen, die auf der Plattform klar angegeben werden, ehe der Kunde die Kartenzahlung bestätigt.

Der Kunde bestätigt ausdrücklich und stimmt zu, dass das Konto niemals als sogenanntes Guthabenkonto verwendet wird. Denn, zur Erinnerung: Die Funktion des Kontos besteht darin, dass der Kunde die beruflichen Ausgaben der Nutzer betreuen kann, indem die Zahlungsausführung und eine Kontrolle über die Plattform ermöglicht werden. In diesem Zusammenhang hat der Kunde, wie in diesem Artikel angegeben, darauf zu achten, dass das Konto nur einen für diese Ausgaben ausreichenden verfügbaren Saldo aufweist. Jedoch muss der Saldo einem zu den durchschnittlichen monatlichen Ausgaben des Kunden passenden Betrag entsprechen, d. h. einem voraussichtlichen Betrag oder einem in den letzten 3 (drei) Monaten vor der Aufladung des Kontos des Kunden festgestellten tatsächlichen Betrag. Gesetzt den Fall also, dass der Saldo des besagten Kontos das 12-Fache (zwölf) des voraussichtlichen oder tatsächlichen Durchschnittsbetrags der monatlichen Ausgaben in den letzten 3 (drei) Monaten (der „Durchschnitt“) übersteigt, informiert Spendesk unverzüglich den Kunden und dieser hat den über den Durchschnitt hinausgehenden Betrag auf das Überweisungskonto des Kunden zu überweisen. Wird der Kunde nicht innerhalb von 7 (sieben) Tagen nach der Information durch Spendesk tätig, wird der ursprünglich vom Kunden überwiesene Betrag vollständig auf das Überweisungskonto zurückgebucht.

4.1.3. Überweisungen von einem Euro-Konto

Der Kunde kann eine Überweisung von einem Euro-Konto auf ein externes Konto entsprechend den vorgesehenen Modalitäten aus den ANB Okali in Anhang 1 veranlassen.

4.1.4. Widerspruch gegen Zahlungsvorgänge und/oder Sperrung des Euro-Kontos

Der Kunde kann genehmigten, nicht genehmigten oder falsch ausgeführten Zahlungsvorgängen, die über das Euro-Konto ausgeführt wurden, schnellstmöglich, jedoch spätestens innerhalb von sechzig (60) Tagen nach der Buchung des strittigen Vorgangs auf dem Euro-Konto widersprechen. Um einem Vorgang zu widersprechen, informiert der Kunde Spendesk entsprechend den Modalitäten aus nachfolgendem Artikel 11.

Stellen der Kunde oder ein Nutzer den Verlust, den Diebstahl oder die betrügerische Verwendung ihrer persönlichen Sicherheitsdaten fest, haben sie zwecks Sperrung des Zugriffs auf das Euro-Konto Spendesk zu informieren. Diese Aufforderung ist per E-Mail zu übermitteln an die in Artikel 11 angegebene Adresse zu bestätigen. Spendesk bestätigt den Eingang und informiert den Kunden per E- Mail über die Sperrung des Euro-Kontos.

Die Modalitäten zum Widerspruch gegen über das Euro-Konto ausgeführte Zahlungsvorgänge und zur Sperrung eines Euro-Kontos unterliegen auch den ANB Okali in Anhang 1.

Spendesk behält sich die Möglichkeit vor, das Euro-Konto aus Gründen in Zusammenhang mit der Sicherheit des Euro-Kontos unter den Bedingungen aus den ANB Okali in Anhang 1 auf eigene Initiative zu sperren.

4.1.5. Abfrage des Saldos eines Euro-Kontos

Der Saldo eines Euro-Kontos und die Historie der über dieses Euro-Konto ausgeführten Zahlungsvorgänge können durch Einloggen auf der Plattform jederzeit abgefragt werden. Es wird empfohlen, dass der Kunde die Historie regelmäßig überprüft, damit er nicht genehmigte oder falsch ausgeführte Zahlungsvorgänge feststellen kann.

4.2. Leistungen in Zusammenhang mit der Verwendung der Euro-Karten

Der Kunde kann die Bereitstellung einer oder mehrerer Euro-Karte(n) beantragen; ihre Abschluss- und

Nutzungsbedingungen werden in den ANB Euro-Karten in Anhang 1 für Debitkarten beschrieben.

4.2.1. Ausstellung und Aktivierung einer Euro-Karte

Eine Karte wird auf Antrag des Kunden ausgestellt. Dieser Antrag ist über die Plattform zu stellen.

Spendesk behält sich das Recht vor, die Ausstellung einer Karte zu verweigern. In diesem Fall informiert Spendesk den Kunden auf dessen Aufforderung hin über die Gründe für seine Entscheidung, sofern diese Auskunft nicht gemäß den geltenden Bestimmungen untersagt ist.

Physische (Plastik-) Karten werden direkt an den Kunden oder an den vom Kunden benannten Nutzer an die im über die Plattform ausgefüllten Bestellschein für die Karte angegebene Adresse geschickt. Wenn die Karte an den Kunden geschickt wird, obliegt es diesem, sie dem entsprechenden Nutzer auszuhändigen.

Um die ihm zugewiesene Karte aktivieren zu können, muss der Nutzer sich auf der Plattform einloggen und die ihm übermittelten Anweisungen befolgen. Wird die Karte vom Nutzer nicht innerhalb der gewährten Frist aktiviert, kann sie nicht verwendet werden.

Bei einer physischen Karte muss der Nutzer der Karte unmittelbar nach dem Erhalt auf der Rückseite der Karte unterschreiben.

4.2.2. Verwendung der Euro-Karten

Mit einer Euro-Karte kann der Nutzer:

- an GAA, an denen die auf der Karte aufgebrachte Kartensystem-Marke angebracht ist, Bargeld abheben; und

- (Präsenz- oder Fern-) Einkäufe von Waren oder Dienstleistungen bei Annehmern tätigen, die die Karten mit der auf der Karte angebrachten Kartensystem-Marke akzeptieren.

Handelt es sich bei der Euro-Karte um eine Debitkarte, die den ANB Euro-Karten in Anhang 1 unterliegt, so wird das mit der Karte verknüpfte Euro-Konto mit den Zahlungsvorgängen, die mit dieser Karte durchgeführt werden, belastet.

4.2.3. Eingabe des mit einer Euro-Karte verbundenen PIN-Codes

An Terminals und GAA ist die Eingabe des PIN-Codes auf drei (3) aufeinanderfolgende Versuche beschränkt. Nach dem dritten Fehlversuch wird die Karte ungültig und/oder gegebenenfalls vom GAA eingezogen. In diesem Fall wendet der Kunde oder der Nutzer der Karte sich entsprechend den Modalitäten aus nachfolgendem Artikel 11 an den Kundenservice von Spendesk.

4.2.4. Einsatzlimits der Euro-Karten

Die Einsatz- und Abhebelimits der Euro-Karten sind für Prepaid-Karten angegeben in Anhang 1, je nach Art der Karte (virtuell, physisch oder virtuell mit hohem Verfügungsrahmen).

4.2.5. Widerspruch

Sobald der Kunde vom Verlust, vom Diebstahl, von der Veruntreuung oder einer betrügerischen Nutzung einer Karte oder der mit ihr verbundenen persönlichen Sicherheitsdaten oder von der Veruntreuung oder einer betrügerischen Verwendung der Plattform und der persönlichen Sicherheitsdaten zum Zugriff auf die Plattform Kenntnis erhält, hat er zwecks Sperrung der Karte und/oder des Zugangs zur Plattform unter Angabe der Gründe, aus denen die Sperrung beantragt wird, unverzüglich Spendesk zu informieren.

Dieser Widerspruchsantrag (Sperrung) ist auf folgendem Weg einzureichen:

- per E-Mail an support@spendesk.fr; oder

- telefonisch unter +33182880510; oder

- über den Chat auf der Plattform.

Der Kunde verpflichtet sich im Falle eines Diebstahls oder einer betrügerischen Nutzung der Karte zur Einhaltung der Verpflichtungen aus den ANB Euro-Karten in Anhang 1 für Debitkarten.

Spendesk kann nicht für die Folgen eines Widerspruchsantrags, der nicht vom Kunden oder von einem ordnungsgemäß ermächtigten Nutzer stammt, haftbar gemacht werden.

Wenn der Nutzer eine als verloren gemeldete Karte später wiederfindet, darf sie nicht verwendet werden. In diesem Fall muss der Kunde oder der Nutzer sich entsprechend den Modalitäten aus nachfolgendem Artikel 10 an den Kundenservice von Spendesk wenden, um sich über die weitere Vorgehensweise zu informieren.

4.2.6. Sperrung der Euro-Karte aus Sicherheitsgründen

Spendesk und TPL behalten sich die Möglichkeit vor, auf eigene Initiative aus Gründen in Zusammenhang mit der Sicherheit der Karte(n) entsprechend den Angaben in den ANB Euro-Karten in Anhang 1 für Debitkarten eine oder mehrere Karte(n) zu sperren.

Der Kunde und/oder Nutzer der Karte kann bzw. können über den Kundenservice von Spendesk jederzeit die Entsperrung der Karte beantragen. Die Entscheidung zur Entsperrung liegt jedoch letztendlich bei TPL.

5. LEISTUNGEN IN ZUSAMMENHANG MIT GBP-KONTEN UND DEVISEN-KARTEN ODER GBP-KARTEN

Die Bestimmungen aus diesem Artikel 5 gelten nur, wenn der Kunde die Eröffnung eines oder mehrerer GBP-Konten und/oder die Bereitstellung einer oder mehrerer Devisen-Karten und/oder GBP-Karten beantragt hat.

5.1. Leistungen in Zusammenhang mit GBP-Konten

5.1.1. Bedingungen für die Eröffnung eines GBP-Kontos

Die Bedingungen für die Eröffnung eines oder mehrerer GBP-Konten auf den Namen des Kunden sowie die Modalitäten zur Führung dieses GBP-Kontos/dieser GBP-Konten unterliegen den ANB GBP-Konto in Anhang 1.

Voraussetzungen für die Eröffnung eines oder mehrerer GBP-Konten auf den Namen des Kunden sind (i) die Befolgung der auf der Plattform angegebenen Anmeldeschritte durch den Kunden, (ii) die Prüfung der vom Kunden bereitgestellten Dokumente und Informationen durch Spendesk, (iii) die Annahme des Anmeldeantrags durch Spendesk und (iv) die Einhaltung dieser allgemeinen Bedingungen sowie der ANB TPL-Konto in Anhang 1.

Für den Fall, dass Spendesk nach alleinigem Ermessen der Auffassung ist, dass die vom Kunden bei der Anmeldung eingereichten Elemente nicht ausreichen, um Spendesk und TPL die Einhaltung ihrer verordnungsrechtlichen und/oder vertraglichen Verpflichtungen, insbesondere in Bezug auf AML-CFT, zu ermöglichen, behält Spendesk sich das Recht vor, die Eröffnung eines GBP-Kontos zu verschieben oder abzulehnen, ohne seine Entscheidung begründen zu müssen. Diese Entscheidung kann keinesfalls eine Schadensersatzforderung begründen. Sie wird dem Kunden per E-Mail mitgeteilt und führt zur sofortigen Beendigung dieser allgemeinen Bedingungen.

5.1.2. Aufladen eines GBP-Kontos

Der Kunde hat sicherzustellen, dass jedes GBP-Konto jederzeit einen ausreichenden verfügbaren Saldo zur Ermöglichung folgender Vorgänge aufweist: (i) Ausführung der vom Kunden beauftragten Zahlungsvorgänge und (ii) Abbuchung der Gebühren durch Spendesk gemäß nachfolgendem Artikel 10.

Der Kunde kann ein GBP-Konto folgendermaßen aufladen:

(i) mittels Veranlassung einer Überweisung auf das Konto von einem britischen externen Konto aus entsprechend den vorgesehenen Modalitäten aus den ANB GBP-Konto; oder

Der Kunde bestätigt ausdrücklich und stimmt zu, dass das Konto niemals als sogenanntes Guthabenkonto verwendet wird. Denn, zur Erinnerung: Die Funktion des Kontos besteht darin, dass der Kunde die beruflichen Ausgaben der Nutzer betreuen kann, indem die Zahlungsausführung und eine Kontrolle über die Plattform ermöglicht werden. In diesem Zusammenhang hat der Kunde, wie in diesem Artikel angegeben, darauf zu achten, dass das Konto nur einen für diese Ausgaben ausreichenden verfügbaren Saldo aufweist. Jedoch muss der Saldo einem zu den durchschnittlichen monatlichen Ausgaben des Kunden passenden Betrag entsprechen, d. h. einem voraussichtlichen Betrag oder einem in den letzten 3 Monaten vor der Aufladung des Kontos des Kunden festgestellten tatsächlichen Betrag. Gesetzt den Fall also, dass der Saldo des besagten Kontos das 12-Fache (zwölf) des voraussichtlichen oder tatsächlichen Durchschnittsbetrags der monatlichen Ausgaben in den letzten 3 (drei) Monaten (der „Durchschnitt“) übersteigt, informiert Spendesk unverzüglich den Kunden und dieser hat den über den Durchschnitt hinausgehenden Betrag auf das Überweisungskonto des Kunden zu überweisen. Wird der Kunde nicht innerhalb von 7 Tagen nach der Information durch Spendesk tätig, wird der ursprünglich vom Kunden überwiesene Betrag vollständig auf das Überweisungskonto zurückgebucht.

5.1.3. Übertragung von Geldern von einem GBP-Konto

Der Kunde kann die Ausführung einer Übertragung von Geldern von einem GBP-Konto entsprechend den Bedingungen aus den ANB TPL Anhang 1 beantragen.

5.1.4. Widerspruch gegen Zahlungsvorgänge und/oder Sperrung des GBP-Kontos

Der Kunde kann genehmigten, nicht genehmigten oder falsch ausgeführten Zahlungsvorgängen, die über das GBP-Konto ausgeführt wurden, schnellstmöglich, jedoch spätestens innerhalb von sechzig (60) Tagen nach der Buchung des strittigen Vorgangs auf dem GBP-Konto widersprechen. Um einem Vorgang zu widersprechen, informiert der Kunde Spendesk entsprechend den Modalitäten aus nachfolgendem Artikel 11.

Wenn der Kunde oder ein Nutzer den Verlust, den Diebstahl oder die betrügerische Verwendung ihrer persönlichen Sicherheitsdaten feststellen, haben sie zwecks Sperrung des Zugriffs auf das GBP-Konto Spendesk zu informieren. Diese Aufforderung ist per E-Mail zu übermitteln und per Einschreiben mit Rückschein an die in Artikel 11 angegebene Adresse zu bestätigen. Spendesk bestätigt den Eingang und informiert den Kunden per E-Mail über die Sperrung des GBP-Kontos.

TPL behält sich die Möglichkeit vor, bei Eintritt eines der Ereignisse aus den ANB GBP-Konto in Anhang 1 das GBP-Konto auf eigene Initiative auszusetzen.

5.1.5. Abfrage des Saldos eines GBP-Kontos

Der Saldo eines GBP-Kontos und die Historie der über dieses GBP-Konto ausgeführten Zahlungsvorgänge können durch Einloggen auf der Plattform jederzeit abgefragt werden. Es wird empfohlen, dass der Kunde die Historie regelmäßig überprüft, damit er nicht genehmigte oder falsch ausgeführte Zahlungsvorgänge feststellen kann.

5.2. Leistungen in Zusammenhang mit der Verwendung der GBP-Karten

Der Kunde kann die Bereitstellung einer oder mehrerer GBP-Karte(n) beantragen; ihre Abschluss- und Nutzungsbedingungen werden in den ANB GBP-Karten in Anhang 1 für Debitkarten beschrieben.

5.2.1. Ausstellung und Aktivierung einer GBP-Karte

Eine Karte wird auf Antrag des Kunden ausgestellt. Dieser Antrag ist über die Plattform zu stellen.

Bei einer physischen Karte muss der Nutzer der Karte unmittelbar nach dem Erhalt auf der Rückseite der Karte unterschreiben.

5.2.2. Verwendung der GBP-Karten

Mit einer GBP-Karte kann der Nutzer:

- an GAA, an denen die auf der Karte aufgebrachte Kartensystem-Marke angebracht ist, Bargeld abheben; und

- (Präsenz- oder Fern-) Einkäufe von Waren oder Dienstleistungen bei Annehmern tätigen, die die Karten mit der auf der Karte angebrachten Kartensystem-Marke akzeptieren.

Handelt es sich bei der GBP-Karte um eine Debitkarte, die den ANB GBP-Karten in Anhang 1 unterliegt, so wird das mit der Karte verknüpfte GBP-Konto mit den Zahlungsvorgängen, die mit dieser Karte durchgeführt werden, belastet.

5.2.3. Eingabe des mit einer GBP-Karte verbundenen PIN-Codes

5.2.4. Einsatzlimits der GBP-Karten

Die Einsatz- und Abhebelimits für die GBP-Karten sind für Debitkarten in Anhang 1 angegeben. Der Hauptnutzer kann die Einsatz- und/oder Abhebelimits über die Plattform im Rahmen dieser Limits ändern.

5.2.5. Widerspruch

Dieser Widerspruchsantrag (Sperrung) ist auf folgendem Weg einzureichen:

- per E-Mail an support@spendesk.fr; oder

- telefonisch unter +33182880510; oder

- über den Chat auf der Plattform.

Der Kunde verpflichtet sich im Falle eines Diebstahls oder einer betrügerischen Nutzung der Karte zur Einhaltung der Verpflichtungen aus den ANB GBP-Karten in Anhang 1 für Debitkarten.

Spendesk kann nicht für die Folgen eines Widerspruchsantrags, der nicht vom Kunden oder von einem ordnungsgemäß ermächtigten Nutzer stammt, haftbar gemacht werden.

5.2.6. Sperrung der GBP-Karte aus Sicherheitsgründen

Spendesk und TPL behalten sich die Möglichkeit vor, auf eigene Initiative aus Gründen in Zusammenhang mit der Sicherheit der Karte(n) entsprechend den Angaben in den ANB GBP-Karten in Anhang 1 für Debitkarten eine oder mehrere Karte(n) zu sperren.

5.3. Leistungen in Zusammenhang mit der Verwendung der Devisen-Karten

Der Kunde kann die Bereitstellung einer oder mehrerer Devisen-Karte(n) beantragen; ihre Abschluss- und Nutzungsbedingungen unterliegen den ANB Devisen-Karten in Anhang 1 für Prepaid-Karten.

5.3.1. Ausstellung und Aktivierung einer Devisen-Karte

Eine Karte wird auf Antrag des Kunden ausgestellt. Dieser Antrag ist über die Plattform zu stellen.

Bei einer physischen Karte muss der Nutzer der Karte unmittelbar nach dem Erhalt auf der Rückseite der Karte unterschreiben.

5.3.2. Verwendung der Devisen-Karten

Mit einer Devisen-Karte kann der Nutzer:

- an GAA, an denen die auf der Karte aufgebrachte Kartensystem-Marke angebracht ist, Bargeld abheben; und

- (Präsenz- oder Fern-) Einkäufe von Waren oder Dienstleistungen bei Annehmern tätigen, die die Karten mit der auf der Karte angebrachten Kartensystem-Marke akzeptieren.

5.3.3. Eingabe des mit einer Devisen-Karte verbundenen PIN-Codes

5.3.4. Einsatzlimits der Devisen-Karten

Die Einsatz- und Abhebelimits der Devisen-Karten sind für Prepaid-Karten in Anhang 1, je nach Art der Karte (virtuell, physisch oder virtuell mit hohem Verfügungsrahmen) und der entsprechenden Währung (GBP, USD, DKK, NOK oder SEK) angegeben.

5.3.5. Widerspruch

Dieser Widerspruchsantrag (Sperrung) ist auf folgendem Weg einzureichen:

- per E-Mail an support@spendesk.fr; oder

- telefonisch unter +33182880510; oder

- über den Chat auf der Plattform.

Der Kunde verpflichtet sich im Falle eines Diebstahls oder einer betrügerischen Nutzung der Karte zur Einhaltung der Verpflichtungen aus den ANB Devisen-Karten in Anhang 1 für Prepaid-Karten.

Spendesk kann nicht für die Folgen eines Widerspruchsantrags, der nicht vom Kunden oder von einem ordnungsgemäß ermächtigten Nutzer stammt, haftbar gemacht werden.

5.3.6. Sperrung der Devisen-Karte aus Sicherheitsgründen

Spendesk und TPL behalten sich die Möglichkeit vor, auf eigene Initiative aus Gründen in Zusammenhang mit der Sicherheit der Karte(n) entsprechend den Angaben in den ANB Devisen-Karten in Anhang 1 für Prepaid-Karten eine oder mehrere Karte(n) zu sperren.

6. ARCHIVIERUNGSLEISTUNG

Die Archivierungsleistung wird von Spendesk für den Kunden im eigenen Namen und für eigene Rechnung erbracht.

6.1. Funktionsweise der Archivierungsleistung

Wenn der Kunde sich für die Archivierungsleistung entscheidet, gestattet er Spendesk ausdrücklich, sämtliche Rechnungen und/oder Quittungen der Beschäftigten oder Vertreter des Kunden, die auf die Plattform geladen werden, für Rechnung des Kunden mit einem elektronischen Siegel zu stempeln.

Die Archivierungsleistung beruht auf einem zertifizierten Prozess, mit dem Spendesk (i) eine PDF-Datei für die betreffende Rechnung und/oder Quittung erzeugen, (ii) diese PDF-Datei mit einem auf einem qualifizierten Zertifikat basierenden elektronischen Siegel stempeln und (iii) die betreffende Rechnung und/oder Quittung auf einem nach ISO 27001 zertifizierten Server in der EU für eine Dauer von insgesamt elf (11) Jahren (der „Archivierungszeitraum“) archivieren kann.

Rechnungen und/oder Quittungen (nachfolgend die „Inhalte“) werden mit einem qualifizierten Zeitstempeldienst, eIDAS, versiegelt, um einen unbestreitbaren Nachweis für die Integrität zu schaffen. Dieser zertifizierte Prozess basiert auf einem zuverlässigen Kontrollkreis.

Die Preiskonditionen für die Archivierungsleistung sind auf Anfrage des Kunden erhältlich.

6.2. Ende der Archivierungsleistung

Der Kunde kann die Archivierungsleistung unter Einhaltung einer Kündigungsfrist von sechs (6) Monaten jederzeit per Einschreiben mit Rückschein an Spendesk beenden.

Wenn der Kunde die Archivierungsleistung beendet oder wenn die allgemeinen Bedingungen gekündigt werden:

(i) kann der Kunde den Online-Zugang zu den archivierten Inhalten für den restlichen Archivierungszeitraum behalten, sofern er Spendesk die für die Archivierungsleistung geschuldeten Gebühren zahlt;

(ii) kann der Kunde auf schriftliche Aufforderung, die spätestens einen (1) Monat nach der Beendigung der allgemeinen Bedingungen oder der Archivierungsleistung an Spendesk zu richten ist, eine elektronische Version aller seiner archivierten Inhalte erhalten. Nach der Ausführung der Aufforderung des Kunden hat der Kunde nicht länger Zugriff auf die Plattform;

(iii) verliert der Kunde, sofern er keine anderslautende Anweisung erteilt, am Ende des auf die Beendigung der allgemeinen Bedingungen oder der Archivierungsleistung folgenden Monats endgültig den Zugriff auf die Plattform und seine archivierten Inhalte.

6.3. Rückgabe oder Vernichtung der archivierten Inhalte

Am Ende des Archivierungszeitraums kann der Kunde Spendesk auffordern:

(i) die archivierten Inhalte zu vernichten; oder

(ii) ihm alle archivierten Inhalte in elektronischer Form zurückzugeben; oder

(iii) die archivierten Inhalte dem vom Kunden benannten Archivierungsdienstleister zu übergeben.

Die Rückgabe einer elektronischen Version der archivierten Inhalte des Kunden wird vom Subunternehmer von Spendesk zum dann geltenden Preis direkt in Rechnung gestellt.

Unbeschadet der vorstehenden Bestimmungen kann Spendesk eine Kopie der Inhalte des Kunden, insbesondere zu Statistik- und/oder Nachweiszwecken, innerhalb der Grenzen der gesetzlich zulässigen Fristen aufbewahren.

6.4. Verantwortung für die Inhalte

Der Kunde ist für die Inhalte, die er auf die Plattform lädt, alleine verantwortlich.

Insbesondere dient der qualifizierte Zeitstempeldienst eIDAS nicht zur Identifizierung einer signierten oder falsch signierten Rechnung im Falle einer Verletzung der Steuervorschriften im Sinne der Artikel 96 F bis, Anhang 2 des französischen allgemeinen Steuergesetzbuches und/oder von 1° oder 2°, Artikel 289 des französischen allgemeinen Steuergesetzbuches. Spendesk kann diesbezüglich nicht haftbar gemacht werden.

7. VERPFLICHTUNGEN UND GARANTIEN DES KUNDEN

7.1. Bereitstellung und Aktualisierung von Informationen

Der Kunde verpflichtet sich, Spendesk sämtliche zur ordnungsgemäßen Erfüllung des Vertrags und zur Erbringung der Leistungen erforderlichen Informationen und/oder Dokumente zukommen zu lassen und allgemeiner, zur ordnungsgemäßen Erfüllung dieses Dokuments aktiv mit Spendesk zusammenzuarbeiten. Spendesk behält sich das Recht vor, wenn der Kunde dieser Verpflichtung nicht nachkommt, die Leistungen bis zum Erhalt der benötigten Informationen oder Dokumente auszusetzen.

Der Kunde garantiert Spendesk, dass alle von ihm Spendesk bereitgestellten Informationen und Dokumente, einschließlich derer, die auf der Plattform bereitgestellt werden und derer, die die jeweiligen Nutzer betreffen, zum Zeitpunkt der Übermittlung an Spendesk richtig, aktuell und wahrheitsgetreu und nicht trügerisch oder irreführend sind.

Der Kunde verpflichtet sich, wenn die bereitgestellten Informationen und/oder Dokumente während der Laufzeit des Vertrags unrichtig werden oder veralten, schnellstmöglich eine aktuelle Version der betreffenden Dokumente auf der Plattform zu übermitteln.

Allgemeiner obliegt es dem Kunden, Spendesk ausdrücklich über jegliche Änderungen der ihn betreffenden Informationen zu informieren. Spendesk haftet nicht für Schäden, die durch unrichtige Angaben oder nicht mitgeteilte Änderungen entstehen können.

7.2. Einhaltung der Bestimmungen

Der Kunde verpflichtet sich im eigenen Namen und in Bezug auf alle Nutzer, (i) im Rahmen der Nutzung der Leistungen die geltenden Gesetzen und Verordnungen einzuhalten und nicht die Rechte Dritter oder die öffentliche Ordnung zu verletzen und (ii) nur den geltenden Bestimmungen entsprechende Tätigkeiten auszuführen.

Der Kunde übernimmt sämtliche Bußgelder, Geldstrafen und Schadensersatzleistungen von Spendesk, die aufgrund einer illegalen, unrechtmäßigen oder gegen die guten Sitten verstoßende Tätigkeit des Kunden anfallen.

7.3. Nutzung der Plattform und der Leistungen

Der Kunde verpflichtet sich im eigenen Namen und bezogen auf alle seine Nutzer:

(i) nicht die Schwachstellen des Sicherheitssystems und der zugehörigen Systeme der Plattform zu verletzen, versuchen zu verletzen, zu scannen oder zu testen;

(ii) nicht auf nicht für den Kunden bestimmte Daten zuzugreifen oder dies zu versuchen;

(iii) nicht die normale Funktion der Plattform zu beeinträchtigen und keine Handlungen vorzunehmen, die eine Unterbrechung oder Beeinträchtigung einer oder mehrerer Leistungen verursachen können;

(iv) keine Daten mit Viren oder anderen IT-Codes, Dateien oder Programme, die auf die Unterbrechung, Zerstörung oder Einschränkung der Funktionsfähigkeit der Plattform ausgelegt sind, in die Leistungen zu laden, zu veröffentlichen, per E-Mail zu verschicken oder auf sonstige Weise zu übermitteln; und

(v) nicht zu versuchen, in die Leistungen anderer Kunden oder Nutzer, Hosts oder Netze einzugreifen und insbesondere nicht die Leistungen einem Virus auszusetzen, eine Überlastung des Servers hervorzurufen, den Server zu überfluten oder die Nachrichtendienste zu überfluten.

Der Kunde bestätigt, die Eigenschaften und Vorgaben aller Leistungen, insbesondere diejenigen technischer Natur, zur Kenntnis genommen zu haben. Der Kunde ist alleine für die Nutzung der Leistungen verantwortlich.

Der Kunde weiß und akzeptiert, dass für die Nutzung der Leistungen eine Internetverbindung erforderlich ist und dass die Qualität der Leistungen direkt von dieser Verbindung sowie von der IT-Ausstattung und/ oder Drittsoftware, für die der Kunde alleine verantwortlich ist, abhängt.

7.4. Persönliche Nutzung der Plattform und der Leistungen

Der Kunde verpflichtet sich, die Plattform und die Leistungen ausschließlich persönlich zu nutzen und nicht Dritten die Nutzung an seiner Stelle oder für sich selbst zu gestatten, es sei denn er übernimmt hierfür die vollständige Haftung. Die Nutzer dürfen die Plattform und die Leistungen nur im Namen und für Rechnung des Kunden nutzen.

8. VERPFLICHTUNGEN UND GARANTIEN VON SPENDESK

Spendesk verpflichtet sich, die Leistungen sorgfältig und fachgerecht zu erbringen, wobei das Unternehmen unter Ausschluss einer Erfolgspflicht einer Handlungspflicht unterliegt, was der Kunde ausdrücklich anerkennt und akzeptiert.

Spendesk garantiert dem Kunden nicht, dass die Leistungen vollkommen frei von Fehlern und Mängeln oder durchgehend verfügbar sind. Außerdem handelt es sich um Standardleistungen, die Leistungen werden also nicht nur für einen bestimmten Kunden entsprechend dessen persönlichen Vorgaben und auch nicht spezifisch für seine Anforderungen und Erwartungen angeboten.

Spendesk verpflichtet sich:

(i) sich nach Kräften um die Gewährleistung der Sicherheit der Plattform zu bemühen;

(ii) den Kunden über sämtliche vernünftigerweise vorhersehbaren Schwierigkeiten, insbesondere in Bezug auf die Umsetzung der Leistungen und die ordnungsgemäße Funktionsfähigkeit der Plattform, zu informieren; und

(iii) regelmäßig Kontrollen durchzuführen, um die Funktionsfähigkeit und Erreichbarkeit der Plattform zu überprüfen.

Spendesk behält sich das Recht vor, die technischen Modalitäten zum Zugriff auf die Leistungen und/oder die Plattform insbesondere entsprechend der Entwicklung der Technologie oder seines Leistungsangebots anzupassen. Es obliegt dem Kunden, für die Anpassung seiner IT- oder Telekommunikationstools oder -ausrüstung, über die er verfügt, an diese Entwicklungen zu sorgen.

9. ABSCHLUSS EINER VERSICHERUNG (OPTION FÜR KUNDEN VERFÜGBAR, DIE IN FRANKREICH ODER LUXEMBURG REGISTRIERT SIND)

Der Kunde hat optional die Möglichkeit, für alle Nutzer der Karte eine von Spendesk bei einem Versicherungspartner abgeschlossene Gruppenversicherung zu nutzen.

9.1. Informationen zur Versicherung

Ein Merkblatt zu den verschiedenen Garantien, den Versicherungssummen und den Preiskonditionen findet sich unter: https://www.spendesk.com/fr/product/insurance/.

Das standardisierte Informationsdokument zum Versicherungsprodukt findet sich unter: https://spx-

production.s3-eu-west-1.amazonaws.com/tos/2021_03_23-Fiche_IPID_Spendesk_03-03-2022.pdf.

Wenn der Kunde das Produkt für seine Zwecke geeignet und in Bezug auf seine Tätigkeit und die der Nutzer der Karte maßgeblich erachtet, wobei Spendesk ihm bei der Entscheidung beratend zur Seite steht, so sollte er die Information zum Gruppenversicherungsvertrag Nr. 4 091 933 unter folgendem Link aufmerksam lesen: https://spx-production.s3-eu-west-1.amazonaws.com/tos/2021_03_10- notice_dinformation_des_assurances_spendesk.pdf.

In diesem Dokument, für das Spendesk keinesfalls verantwortlich ist, werden die Garantiebedingungen, die anwendbaren Ausschlüsse, die Deckungsdauer sowie die Formalitäten im Schadensfall genau festgelegt. Voraussetzung für den Beitritt des Kunden zur Versicherung ist die vorbehaltlose Annahme des Informationsblatts. Der Kunde verpflichtet sich außerdem, dafür zu sorgen, dass alle Nutzer der Karte das Informationsblatt zur Kenntnis nehmen.

9.2. Schadensabwicklung

Die Meldung und Abwicklung von Schäden erfolgt direkt und ausschließlich mit dem Versicherungspartner entsprechend den Anweisungen unter https://helpcenter.spendesk.com/fr/articles/4967565-comment-faire- pour-contacter-l-assurance-ou-l-assistance, worüber der Kunde die Nutzer der Karte informiert. Spendesk verpflichtet sich, Kunden und Nutzer der Karte zu unterstützen, um ihnen die geeignete Geltendmachung ihrer Ansprüche gegenüber dem Versicherungspartner zu ermöglichen.

9.3. Änderungen des Vertrags und der Preiskonditionen

Spendesk macht den Kunden auf die Möglichkeit aufmerksam, dass der Versicherungspartner nach seinem Beitritt seine Rechte und Pflichten sowie die der Nutzer der Karte abändert. Spendesk übernimmt keinerlei Haftung in Zusammenhang mit den vertraglichen und preislichen Änderungen, über die alleine der Versicherungspartner entscheidet.

Spendesk lässt dem Kunden sämtliche Änderungen auf der Plattform und/oder per E-Mail mindestens drei (3) Monate vor ihrem geplanten Inkrafttreten zukommen. Die geplanten Änderungen gelten als vom Kunden angenommen, wenn er Spendesk nicht vor dem angegebenen Datum des Inkrafttretens über seine Ablehnung informiert hat. Der Kunde informiert die Nutzer der Karte über die eingetretenen Änderungen. Wenn der Kunde die Änderungen ablehnt, kann er seine Versicherungsmitgliedschaft per Mitteilung an Spendesk vor dem Datum des Inkrafttretens der Änderungen über die Plattform oder per Einschreiben mit Rückschein unentgeltlich kündigen. Seine Mitgliedschaft endet nach Ablauf einer Frist von zwei (2) Monaten ab der Mitteilung. Der Kunde informiert die Nutzer der Karte über die Beendigung der Versicherung.

9.4. Kündigung der Versicherung und Mitgliedsausschluss

Die Gruppenversicherung kann von Spendesk oder vom Versicherungspartner gekündigt werden. Spendesk informiert den Kunden mindestens zwei (2) Monate vor dem geplanten Kündigungsdatum über die Plattform und/oder per E-Mail. Der Kunde informiert die Nutzer der Karte hierüber. Die Kündigung ist gegenüber dem Kunden und den Nutzern der Karte einwendbar.

Der Kunde kann die Versicherung nach Information der Nutzer der Karte mittels Mitteilung an Spendesk auf der Plattform oder per Einschreiben mit Rückschein unter Einhaltung einer Kündigungsfrist von zwei (2) Monaten kündigen. Mit der Kündigung der Versicherung durch den Kunden wird die Versicherung für alle gemäß dem Vertrag bereitgestellten Karten gekündigt.

Spendesk weist darauf hin, dass die untrennbar mit der Karte verbundene Versicherung nicht über den Ablauf oder die Einziehung der Karte hinaus bestehen kann. Wenn die Versicherungsleistungen nicht beglichen werden, endet die Mitgliedschaft ebenfalls. Spendesk informiert den Kunden per Einschreiben mit Rückschein über den Ausschluss. Der Kunde informiert die Nutzer der Karte hierüber.

9.5. Personenbezogene Daten

Mit dem Beitritt zur Versicherung gestattet der Kunde Spendesk ausdrücklich, alle zum Abschluss der besagten Versicherung erforderlichen Informationen, einschließlich der personenbezogenen Daten zu den Nutzern der Karte, dem Versicherungspartner zu übermitteln. Der Versicherungspartner verarbeitet diese personenbezogenen Daten als für die Verarbeitung Verantwortlicher entsprechend den im Informationsdokument festgelegten Bedingungen und Zwecken. Der Kunde wird darauf hingewiesen, dass der Versicherungspartner als für die Verarbeitung Verantwortlicher in der Beitrittsphase sowie während der Vertragslaufzeit jegliche zusätzlichen Informationen vom Kunden sowie von den betreffenden Nutzern, gegebenenfalls auch personenbezogene Daten, anfordern kann.

10. FINANZIELLE KONDITIONEN

10.1. Preiskonditionen

Die Preise der Leistungen finden sich in den Preiskonditionen, die auf der Plattform verfügbar sind. Der Kunde kann die Preiskonditionen auf Anfrage auch kostenlos auf einem dauerhaften Datenträger erhalten.

10.2. Rechnungsstellung und Bezahlung der Gebühren

Die Spendesk vom Kunden für die Erbringung der Leistungen geschuldeten Gebühren werden monatlich in Rechnung gestellt.

Die Rechnungen werden auf der Plattform für den Kunden bereitgestellt.

Der Betrag der ersten Rechnung wird von Spendesk am Jahrestag (d. h. 1 Monat später) des Datums des Abonnements der Dienste durch den Kunden und für nachfolgende Rechnungen am ersten Tag jedes Monats belastet. Rechnungen werden direkt vom Konto abgebucht. Wenn der Kunde mehrere Konten hat und seine Verbindlichkeit nicht mit einem bestimmten Konto verbunden ist, kann Spendesk nach alleinigem Ermessen entscheiden, die Gebühren vollständig oder teilweise von einem der Konten des Kunden abzubuchen.

Der Kunde gestattet Spendesk ausdrücklich, die Spendesk von ihm geschuldeten und gemäß diesen allgemeinen Bedingungen fälligen Gebühren vom Konto/von den Konten des Kunden abzubuchen.

Für den Fall, dass das Guthaben auf einem Konto nicht zur Abbuchung des vollständigen Preises für die Leistungen ausreichen sollte, verpflichtet der Nutzer sich, unverzüglich den geschuldeten Betrag auf das Konto einzuzahlen.

Spendesk behält sich das Recht vor, im Falle eines unzureichenden Kontosaldos, das Konto, sämtliche laufenden Zahlungsvorgänge, die Nutzung der bereits ausgestellten Karten sowie die Ausstellung neuer Karten zu sperren.

Wenn der Kunde einer Rechnung widersprechen möchte, hat er Spendesk innerhalb von dreißig (30) Tagen ab dem Rechnungsdatum zu informieren. Nach Ablauf dieser Frist kann der Rechnung nicht mehr widersprochen werden.

11. UMGANG MIT REKLAMATIONEN

Der Kunde hat jegliche Reklamationen in Zusammenhang mit der Erbringung der Leistungen dem Kundenservice von Spendesk zu melden:

- an folgende E-Mail-Adresse: support@spendesk.com;

- oder per Post an den Sitz von Spendesk, 51 Rue de Londres, 75008 Paris – Frankreich; oder

- über den Chat auf der Plattform.

Im Falle einer Reklamation in Zusammenhang mit der Archivierungsleistung antwortet Spendesk dem Kunden nach Eingang der Reklamation schnellstmöglich.

Für Reklamationen in Zusammenhang mit den Leistungen aus den obigen Artikeln 4 und 5 sind die Bearbeitungsfristen in den Dokumenten der Partner angegeben.

12. ÄNDERUNG DES VERTRAGS

12.1. Änderung der allgemeinen Bedingungen

Spendesk behält sich die Möglichkeit vor, jederzeit die allgemeinen Bedingungen im Ganzen oder Teile davon abzuändern.

Spendesk lässt dem Kunden sämtliche Änderungsentwürfe der allgemeinen Bedingungen auf der Plattform und/oder per E-Mail mindestens einen (1) Monat vor ihrem geplanten Inkrafttreten zukommen. Die geplanten Änderungen gelten als vom Kunden angenommen, wenn er Spendesk nicht vor dem geplanten Datum des Inkrafttretens dieser Änderungen darüber informiert hat, dass er sie nicht annimmt. Lehnt der Kunde die Änderungen ab, kann er die allgemeinen Bedingungen vor dem geplanten Datum des Inkrafttretens der Änderungen, wie in Artikel 18 dieses Dokuments beschrieben, unentgeltlich kündigen.

Spendesk kann keinesfalls für Schäden irgendeiner Art in Zusammenhang mit der Änderung der allgemeinen Bedingungen haftbar gemacht werden, wenn der Kunde die allgemeinen Bedingungen nicht kündigt und die Leistungen nach dem Datum des Inkrafttretens der Änderungen weiter nutzt.

12.2. Änderung der Dokumente der Partner

Die Dokumente der Partner können jederzeit entsprechend den darin vorgesehenen Bedingungen und Fristen geändert werden.

13. AUFZEICHNUNG VON TELEFONATEN

Der Kunde wird darauf hingewiesen, dass die Telefongespräche mit den Beschäftigten von Spendesk oder einem damit beauftragten Unternehmen aufgezeichnet werden können, um eine bessere Servicequalität für den Kunden zu gewährleisten.

14. GEISTIGES EIGENTUM

Die Parteien vereinbaren ausdrücklich, dass dem Kunden kein Recht des geistigen Eigentums an einem der ihm gemäß den allgemeinen Bedingungen bereitgestellten Elemente der Leistungen und der Plattform, einschließlich Software, Strukturen, Infrastrukturen, Quellcodes, Datenbanken, Know-how, Benutzerschnittstelle, Fotos, Marke, interaktive Elemente oder Inhalte aller Art (Texte, Bilder, visuelle Darstellungen, Musik, Logos, Marken, Datenbanken usw.), die von Spendesk betrieben werden, und an der gegebenenfalls dem Kunden von Spendesk bereitgestellten technischen Dokumentation, übertragen wird.

Spendesk gewährt dem Kunden vorbehaltlich der Zahlung der gemäß Artikel 10 Spendesk geschuldeten Gebühren und der Festlegungen und Grenzen aus dem Vertrag eine persönliche, nicht exklusive und nicht übertragbare Lizenz zur Nutzung der Plattform und der Leistungen ausschließlich für seine eigenen Zwecke. Dieses Recht wird für die Dauer des Vertrags gewährt.

Der Kunde unterlässt:

- die Anpassung, Modifikation, Vervielfältigung, Reproduktion, das Disassemblieren oder Dekompilieren der Leistungen und der Plattform auf jedwede Weise, eine vollständige oder teilweise Extraktion der Plattform oder Leistungen und allgemein jegliche Handlungen, die gegen die Rechte von Spendesk und/oder von dessen Lieferanten verstoßen würden;

- die Reproduktion der Plattform, unabhängig davon, auf welche Weise und auf welchem Datenträger;

- die wie auch immer geartete Nutzung der Plattform und der zugehörigen Dokumentation zur Entwicklung, Umsetzung, Verbreitung oder Vermarktung von gleichartiger oder vergleichbarer Software oder von Ersatzsoftware;

- die Anpassung, Änderung, Transformation, Übersetzung und Umgestaltung der Plattform aus irgendeinem Grund, insbesondere zur Schaffung von Derivat-Software oder vollständig neuer Software, einschließlich zur Fehlerbehebung;

- die direkte oder indirekte Transkription sowie die Übersetzung der Plattform in andere Sprachen;

- die Änderung oder Umgehung des Schutzcodes, wie insbesondere Zugangscodes oder Zugangsdaten; und/oder

- die Entfernung oder teilweise oder vollständige Änderung der vorhandenen Hinweise auf Urheberrechte, Markenrechte und allgemeiner Rechte des geistigen Eigentums auf der Plattform.

Der Kunde gestattet Spendesk, unter Ausschluss jedweder sonstigen Verwendung, seinen Namen und sein Logo auf jeglichen Trägern und weltweit für geschäftliche Referenz- und Werbezwecke zu nutzen.

15. SCHUTZ PERSONENBEZOGENER DATEN

15.1. Umfang

Diese Klausel gilt, wenn Spendesk die personenbezogenen Daten der Nutzer („die betroffenen Personen“) für den Kunden verarbeitet.

Für die Zwecke dieses Vertrags und die Erfüllung der Leistungen kann es erforderlich sein, dass Spendesk für den Kunden personenbezogene Daten verarbeitet oder auf diese zugreift.

Daher handelt Spendesk im Rahmen dieses Vertrags als „Auftragsverarbeiter“ und der Kunde als „für die Verarbeitung Verantwortlicher“ im Sinne der Datenschutzbestimmungen.

Der Kunde bestätigt gemäß den Datenschutzbestimmungen, dass Spendesk, die von den Nutzern zum Zugriff auf die oder zur Nutzung der Leistungen bereitgestellten personenbezogenen Daten und die personenbezogenen Daten zu den Präferenzen und Abläufen der Nutzer erheben, speichern, organisieren, strukturieren, aufbewahren, anpassen, abändern, extrahieren, abrufen, verwenden, übermitteln, zusammenführen, einschränken und allgemein verarbeiten kann.

In dieser Klausel werden die wichtigsten Verpflichtungen von Spendesk in diesem Zusammenhang beschrieben, wobei die Unterverarbeitung von personenbezogenen Daten, wie sie von Spendesk für den Kunden durchgeführt wird, im Data Protection Agreement Spendesk in Anhang 3 (nachfolgend „DPA Spendesk“) ausführlich beschrieben ist und diesem unterliegt; besagte Vereinbarung ist Bestandteil dieses Vertrags und hat, wenn sie zu dieser Klausel im Widerspruch steht, Vorrang vor dieser Klausel. Die Arten von personenbezogenen Daten, die Spendesk im Rahmen und während der Laufzeit des Vertrags verarbeiten kann, sind im DPA Spendesk und in der Vertraulichkeitsrichtlinie von Spendesk (https://www.spendesk.com/fr/legals/privacy/) dargelegt. Die Nutzer werden bei ihrer ersten Anmeldung auf der Plattform über die Vertraulichkeitsrichtlinie informiert.

Spendesk verarbeitet die personenbezogenen Daten entsprechend den allgemeinen Bedingungen, dem DPA Spendesk und gemäß den vom Kunden schriftlich erteilten Anweisungen. Spendesk verpflichtet sich, den Kunden umgehend zu informieren, wenn seiner Auffassung nach eine Anweisung des Kunden eine Verletzung der allgemeinen Bedingungen oder der Datenschutzbestimmungen darstellt.

15.2. Verpflichtungen des Kunden

Der Kunde verpflichtet sich in seiner Eigenschaft als für die Verarbeitung Verantwortlicher:

- dem Auftragsverarbeiter die zur Erbringung der Leistungen erforderlichen personenbezogenen Daten bereitzustellen;

- sämtliche Anweisungen zur Verarbeitung der Daten durch den Auftragsverarbeiter schriftlich zu dokumentieren, vor Abschluss und während der Laufzeit des Vertrags auf die Einhaltung der in den Datenschutzbestimmungen vorgesehenen Verpflichtungen seitens des Auftragsverarbeiters zu achten, die Verarbeitung zu beaufsichtigen sowie Audits und Inspektionen beim Auftragsverarbeiter durchzuführen; und

- die ihm als für die Verarbeitung Verantwortlicher obliegenden Verpflichtungen einzuhalten.

15.3. Mitarbeiter von Spendesk

Der Zugriff auf die personenbezogenen Daten ist auf die Mitarbeiter von Spendesk beschränkt, die diesen Zugriff zur Erbringung der Leistungen benötigen.

Spendesk trägt dafür Sorge, dass alle für die Verarbeitung der personenbezogenen Daten zuständigen Mitarbeiter:

(i) geeigneten Verpflichtungen in Bezug auf Vertraulichkeit, Schutz personenbezogener Daten und/oder Sicherheit personenbezogener Daten unterliegen, die mindestens ebenso streng wie die in diesem Artikel 15 vorgesehenen Verpflichtungen sind;

(ii) außer im Falle von abweichenden gesetzlichen Anforderungen die personenbezogenen Daten nur gemäß den allgemeinen Bedingungen verarbeiten; und

(iii) im Hinblick auf die Einhaltung der Verpflichtungen von Spendesk bezüglich Vertraulichkeit und Sicherheit personenbezogener Daten angemessen geschult sind.

15.4. Sicherheit

Spendesk setzt in Anbetracht des Stands der Technik, der Umsetzungskosten und der Art, des Umfangs, des Kontexts und des Ziels der Verarbeitung von personenbezogenen Daten im Rahmen dieses Vertrags sowie der Wahrscheinlichkeit und der Schwere der Gefahr für die Rechte und Freiheiten der betroffenen Personen geeignete organisatorische und technische Maßnahmen um und erhält diese aufrecht, um ein für dieses Risiko geeignetes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der Maßnahmen aus Artikel 32(1) der DSGVO, um die Abänderung, den Verlust, die zufällige oder unrechtmäßige Vernichtung, die unbefugte Offenlegung der oder den unbefugten Zugriff auf die personenbezogenen Daten sowie ihre unrechtmäßige Verarbeitung aller Art zu verhindern.

15.5. Offenlegung

Außer wenn abweichende gesetzliche Anforderungen gelten, legt Spendesk die personenbezogenen Daten nicht ohne die vorherige schriftliche Zustimmung des Kunden Regierungen, Behörden oder Dritten, die nicht in diesen allgemeinen Bedingungen vorgesehen sind, offen. Abweichend hiervon kann Spendesk die personenbezogenen Daten zur Erfüllung der allgemeinen Bedingungen jeglichen verbundenen Gesellschaften, insbesondere Okali, sowie jeglichen Unterauftragsverarbeitern gemäß den Bestimmungen aus Artikel 15.12 offenlegen.

15.6. Übermittlungen

Für den Fall, dass personenbezogene Daten unmittelbar oder über einen Unterauftragsverarbeiter in ein Gebiet außerhalb des EWR übermittelt werden sollten, verpflichtet Spendesk sich, sicherzustellen, dass die Verarbeitung durch ein geeignetes Instrument, wie einen auf den Standardklauseln der Europäischen Kommission basierenden Vertrag, gedeckt ist.

15.7. Unterstützung

Spendesk verpflichtet sich, im Rahmen der Einhaltung der gesetzlichen Verpflichtungen aus den Datenschutzbestimmungen und insbesondere bei der Umsetzung der garantierten Rechte der betroffenen Personen, der Durchführung von Folgenabschätzungen und den Beziehungen zu den Kontrollbehörden mit dem Kunden zusammenzuarbeiten.

Für den Fall, dass Spendesk von einer betroffenen Person schriftlich über deren Willen zur Ausübung ihrer Rechte informiert werden sollte, verpflichtet Spendesk sich, diesen Antrag schnellstmöglich an den Kunden weiterzuleiten und ihm alle erforderlichen Informationen zur Beantwortung des Antrags der betroffenen Person zukommen zu lassen.

15.8. Information und Audit

Spendesk stellt dem Kunden alle Informationen, die zum Nachweis der Einhaltung der Verpflichtungen aus diesem Artikel 15 sowie zur Durchführung von Audits erforderlich sind, zur Verfügung. Der Kunde kann auf eigene Kosten sämtliche von ihm zur Überprüfung der Einhaltung der Verpflichtungen von Spendesk für geeignet erachteten Kontrollen durchführen.

Spendesk verpflichtet sich zur Zulassung von und Mitwirkung bei Audits, die der Kunde oder ein Prüfer seiner Wahl zur Überprüfung der Einhaltung der Verpflichtungen von Spendesk aus dieser Klausel durchführt, sofern sie unter Einhaltung einer Frist von mindestens sechzig (60) Werktagen angekündigt werden.

Der Kunde kann ein Audit alle zwölf (12) Monate verlangen, durchführen oder durchführen lassen. Audits sind immer während der normalen Arbeitszeiten durchzuführen.

Der Kunde und seine Prüfer sind nicht zur Prüfung folgender Daten berechtigt:

(i) Daten oder Informationen der anderen Kunden oder potenziellen Kunden von Spendesk;

(ii) Spendesk gehörende interne Daten, die nicht unmittelbar und genau für die zugelassenen Auditzwecke maßgeblich sind; und

(iii) Informationen, deren Offenlegung die Sicherheitssysteme und Daten von Spendesk (d. h., die ein Risiko für die Vertraulichkeit der Informationen darstellen kann) und den Quellcode der für die Erfüllung dieser allgemeinen Bedingungen verwendeten IT-Programme beeinträchtigen kann.

Der Prüfer kann nicht ohne vorherige Information von Spendesk Dokumente, Dateien, Daten oder Informationen vollständig oder teilweise kopieren, fotografieren oder scannen oder Audio-, Video- oder Computeraufzeichnungen erstellen.

Das Audit muss während der Arbeitszeiten erfolgen und so durchgeführt werden, dass die Tätigkeit von Spendesk und die Erbringung der Leistungen von Spendesk für seine anderen Kunden nicht gestört werden.

Der Kunde hat sämtliche Kosten des Audits zu übernehmen und Spendesk ist berechtigt, dem Kunden sämtliche Kosten und Zusatzausgaben in Zusammenhang mit dem Audit in Rechnung zu stellen.

15.9. Löschung und Rückgabe

Wenn nicht gesetzlich oder gemäß den schriftlichen Anweisungen des Kunden anders festgelegt, wird Spendesk nach der Kündigung des Vertrags und vorbehaltlich der geltenden Aufbewahrungsfristen dem Kunden alle für ihn im Rahmen der Leistungen verarbeiteten personenbezogenen Daten, die sich noch im Besitz von Spendesk befinden, nach Wahl des Kunden löschen oder zurückgeben.

Durch die Löschung oder Rückgabe werden die gesetzlichen Verpflichtungen von Spendesk nicht ausgehebelt und Spendesk kann eine Kopie der personenbezogenen Daten in Zusammenhang mit der Geschäftsbeziehung mit dem Kunden oder jegliche für Nachweiszwecke geeigneten Daten zum Nachweis der Erfüllung seiner gesetzlichen und/oder vertraglichen Verpflichtungen aufbewahren.

15.10. Datenpannen

Im Falle einer Datenpanne informiert Spendesk den Kunden, sobald das Unternehmen davon Kenntnis erhält, schnellstmöglich schriftlich.

Spendesk teilt dem Kunden den Ansprechpartner für die Einholung weiterer Informationen zur Datenpanne mit und übermittelt gegebenenfalls sämtliche Informationen, die es dem Kunden ermöglichen, bei Bedarf die Datenpanne der zuständigen Kontrollbehörde zu melden. Wenn diese Informationen zum Zeitpunkt der Mitteilung nicht verfügbar sind und zusätzliche Untersuchungen erfordern, beschafft Spendesk dem Kunden diese Informationen so bald wie möglich.

15.11. Verzeichnis der Verarbeitungsaktivitäten

Spendesk bewahrt ein schriftliches Verzeichnis über die im Namen des Kunden durchgeführte Verarbeitung der personenbezogenen Daten auf.

Dieses Verzeichnis enthält folgende Angaben: (i) die Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt wurden oder werden; (ii) sofern personenbezogene Daten an Dritte außerhalb des EWR übermittelt werden, eine Liste dieser Übermittlungen (mit Angabe des betreffenden Landes und Unternehmens außerhalb des EWR) und Informationen zu den für diese Übermittlungen sichergestellten geeigneten Garantien; und (iii) gegebenenfalls eine allgemeine Beschreibung der organisatorischen und technischen Sicherheitsmaßnahmen, die von jeglichen Auftragsverarbeitern umgesetzt wurden.

Spendesk lässt dem für die Verarbeitung Verantwortlichen auf Anfrage eine Kopie dieses Verzeichnisses zukommen.

15.12. Auftragsverarbeiter

Der Kunde erkennt an, dass Spendesk zur Erbringung der Leistungen auf Geschäftspartner und Lieferanten zurückgreift und stimmt zu, dass Spendesk einen oder mehrere Auftragsverarbeiter für die Verarbeitung der personenbezogenen Daten im Namen des Kunden beauftragt, insoweit dies für die Erbringung der Leistungen erforderlich ist.

Spendesk kann die zum Zeitpunkt des Vertragsabschlusses bereits beauftragten Auftragsverarbeiter weiterhin einsetzen. Eine Liste der Auftragsverarbeiter von Spendesk findet sich in den DPA Spendesk. Spendesk informiert den Kunden über sämtliche wesentlichen Änderungen seiner Untervergabepolitik, wie die Ergänzung oder den Ersatz eines Auftragsverarbeiters, mittels Aktualisierung der Liste der Auftragsverarbeiter und ihrer Übermittlung an den Kunden. Wenn der Kunde nicht innerhalb einer Frist von zwei (2) Wochen nach der Änderungsmitteilung widerspricht, gilt seine Zustimmung zur entsprechenden Änderung als erteilt.

Spendesk trägt dafür Sorge, dass sämtliche Auftragsverarbeiter (i) diesen allgemeinen Bedingungen entsprechenden Verpflichtungen zum Schutz von personenbezogenen Daten unterliegen und (ii) in der Lage sind, das gemäß den allgemeinen Bedingungen und den Datenschutzbestimmungen geforderte Vertraulichkeits- und Sicherheitsniveau für personenbezogene Daten zu gewährleisten.

Der Kunde kann eine Kopie der mit den Unterauftragsverarbeitern abgeschlossenen Verträge oder, in Ermangelung, eine Beschreibung der wesentlichen Elemente der allgemeinen Bedingungen, einschließlich der Erfüllung der Verpflichtungen in Zusammenhang mit dem Schutz personenbezogener Daten, erhalten.

15.13. Garantie

Der Kunde garantiert, dass er die geltenden Datenschutzbestimmungen bezüglich der von Spendesk für ihn verarbeiteten personenbezogenen Daten einhält und insbesondere dass die Verarbeitung der personenbezogenen Daten auf einer Rechtsgrundlage beruht, dass alle bereitgestellten personenbezogenen Daten rechtmäßig erhoben wurden, dass die Nutzer über Art und Zweck der Verarbeitung der personenbezogenen Daten durch Spendesk für den Kunden informiert wurden und gegebenenfalls ihre Zustimmung erteilt haben.

16. RÜCKTRITTSRECHT BEI AKQUISE

Dieser Artikel 16 gilt nur, wenn der Kunde in Frankreich eingetragen oder ansässig ist.

Wenn der Kunde im Sinne von Artikel L. 341-1 des CMF von Spendesk angeworben wurde, so steht ihm, vorbehaltlich der in den gesetzlichen Bestimmungen vorgesehenen Ausnahmen, gemäß Artikel L. 341-16 des CMF ein Rücktrittsrecht zu, das er innerhalb einer Frist von maximal vierzehn (14) (einschließlich) Kalendertagen ab dem Datum der Annahme des Vertrags ohne Angabe von Gründen und ohne Vertragsstrafen ausüben kann.

Die Ausübung des Rücktrittsrechts innerhalb der oben genannten Frist führt zur Auflösung des Vertrags von Rechts wegen.

Der Kunde kann sein Rücktrittsrecht mithilfe des Formulars in Anhang 2 ausüben.

17. INKRAFTTRETEN UND LAUFZEIT DES VERTRAGS

Der Vertrag tritt ab dem Datum seiner Annahme durch den Kunden entsprechend den Bedingungen aus Artikel 2.2 oben auf unbefristete Dauer bis zu seiner Kündigung gemäß den Bedingungen aus nachfolgendem Artikel 18 in Kraft.

18. KÜNDIGUNG DES VERTRAGS

18.1. Kündigung durch den Kunden

Unbeschadet jedweder anderslautenden Bestimmung in den Dokumenten der Partner kann der Kunde den Vertrag mittels Mitteilung an Spendesk auf der Plattform oder per Einschreiben mit Rückschein unter Einhaltung einer Kündigungsfrist von zwei (2) Monaten kündigen.

Mit der Kündigung des Vertrags durch den Kunden werden alle gemäß dem Vertrag erbrachten Leistungen gekündigt.

18.2. Kündigung durch Spendesk

Unbeschadet jedweder anderslautenden Bestimmung in den Dokumenten der Partner kann Spendesk den Vertrag per Mitteilung an den Kunden in jedweder geeigneten Schriftform, insbesondere per E-Mail oder Nachrichtendienst auf der Plattform, unter Einhaltung einer Kündigungsfrist von zwei (2) Monaten kündigen.

Abweichend davon behält Spendesk sich die Möglichkeit vor, in folgenden Fällen die Erbringung der Leistungen für den Kunden einzustellen und den Vertrag von Rechts wegen und fristlos zu kündigen:

(i) schwerwiegende Verletzung der vertraglichen Bestimmungen durch den Kunden und/oder einen Nutzer, insbesondere Übermittlung von falschen Informationen, Ausübung einer illegalen oder gegen die guten Sitten verstoßenden Tätigkeit durch den Kunden, Drohungen gegen die Beauftragten von Spendesk oder Zahlungsausfall;

(ii) betrügerische oder missbräuchliche Nutzung der Leistungen durch den Kunden und/oder einen Nutzer;

(iii) Änderung der anwendbaren gesetzlichen Bestimmungen und/oder ihrer Auslegung durch die zuständigen Behörden, die sich auf die Fähigkeit von Spendesk, Okali, TPL oder ihrer Dienstleister zur Erbringung der Leistungen auswirkt; und

(iv) Kündigung eines der Dokumente der Partner durch Okali und/oder TPL.

Im Falle einer fristlosen Kündigung des Vertrags informiert Spendesk den Kunden auf jedwede geeignete schriftliche Weise, insbesondere per E-Mail.

19. HAFTUNG

19.1. Haftung des Kunden

Der Kunde, der bestätigt, die Eigenschaften und Vorgaben aller Leistungen, insbesondere diejenigen technischer Natur, zur Kenntnis genommen zu haben, haftet alleine für die Nutzung der Leistungen durch die Nutzer.

Der Kunde haftet alleine für die Handlungen der Nutzer im Rahmen der Nutzung der Leistungen. Spendesk kann im Falle einer betrügerischen oder missbräuchlichen Nutzung der Leistungen durch einen oder mehrere Nutzer weder gegenüber dem Kunden noch gegenüber Dritten haftbar gemacht werden.

Der Kunde verpflichtet sich, Spendesk für jegliche Spendesk unmittelbar durch die Handlungen eines oder mehrerer Nutzer entstandenen Schäden, einschließlich im Falle von Verstößen gegen die gesetzlichen Bestimmungen, von Betrug oder Fahrlässigkeit seitens eines oder mehrerer Nutzer oder bei betrügerischer oder missbräuchlicher Nutzung der Leistungen durch die Nutzer, schadlos zu halten.

Der Kunde hält Spendesk in Bezug auf jegliche Beschwerden, Reklamationen, Klagen und/oder Forderungen irgendeiner Art, die aufgrund einer Verletzung der Verpflichtungen des Kunden aus den allgemeinen Bedingungen gegen Spendesk vorgebracht werden können, schad- und klaglos. Er verpflichtet sich, Spendesk für sämtliche Schäden, die Letzterem entstehen, zu entschädigen und sämtliche dem Unternehmen gegebenenfalls aus diesem Grund entstehenden Kosten, Gebühren und/ oder Strafen zu begleichen.

19.2. Haftung von Spendesk

Spendesk kann in folgenden Fällen nicht haftbar gemacht werden:

(i) bei Veruntreuung von persönlichen Sicherheitsdaten und allgemeiner von jeglichen für den Kunden sensiblen Informationen, die beispielsweise von Dritten auf betrügerische Weise verwendet werden;

(ii) bei Streitigkeiten in Zusammenhang mit der zugrunde liegenden Beziehung zwischen (a) dem Kunden und (b) gegebenenfalls dem Bezahler, dem Empfänger und/oder dem Annehmer, insbesondere bei der Verletzung der Verpflichtungen des Kunden gegenüber den Personen aus (b); und

(iii) bei dem Kunden infolge einer Handlung oder Unterlassung durch Dritte entstandenen Schäden, einschließlich bei Aussetzung der Leistungen oder Kündigung des Vertrags auf Aufforderung einer Aufsichtsbehörde, wie der ACPR.

Darüber hinaus ist die Haftung von Spendesk auf direkte Sachschäden beschränkt; sämtliche indirekten und/oder immateriellen Schäden und insbesondere Umsatz-, Gewinn-, Erlös- oder Betriebsausfälle, Kundenverluste, geschäftliche oder wirtschaftliche Schäden und sonstige Einnahmeausfälle, Schädigung von Ruf, Ansehen oder Markenimage, die dem Kunden im Rahmen der Nutzung der Leistungen entstehen, sind von der Haftung ausgeschlossen.

Die Haftung von Spendesk für jegliche Sachschäden und/oder direkten Schäden, die dem Kunden im Rahmen der Erfüllung oder der Umsetzung der allgemeinen Bedingungen entstehen, ist, unabhängig von der Schadensursache, für sämtliche Schäden zusammen auf die Höhe der Gebühren beschränkt, die der Kunde im Laufe des Kalenderjahres, in dem das die Haftung von Spendesk auslösende Ereignis eingetreten ist, bezahlt hat.

19.3. Haftung von Okali

Die Haftung von Okali im Rahmen der Erbringung der Leistungen in Zusammenhang mit den Euro- Konten ist in den ANB Okali in Anhang 1 geregelt.

19.4. Haftung von TPL

Die Haftung von TPL im Rahmen der Erbringung der Leistungen in Zusammenhang mit den GBP-Konten und den Karten ist in den ANB TPL geregelt.

20. ABTRETUNG

Der Kunde kann seine Rechte und Pflichten aus dem Vertrag nicht auf irgendeine Weise an Dritte abtreten oder übertragen.

Unbeschadet jeglicher anderslautenden Bestimmungen in den Dokumenten der Partner gestattet der Kunde Spendesk, Okali und TPL ausdrücklich, ihre Verpflichtungen aus dem Vertrag nach vorheriger Information des Kunden vollständig oder teilweise an Dritte abzutreten.

21. VERSCHIEDENES

21.1. Salvatorische Klausel

Werden eine oder mehrere Bestimmungen des Vertrags für ungültig erachtet oder in Anwendung eines Gesetzes, einer Verordnung oder infolge einer endgültigen Entscheidung einer zuständigen Gerichtsbarkeit für ungültig erklärt, so bleiben die übrigen Bestimmungen in vollem Umfang wirksam.

21.2. Nichtverzicht

Die Tatsache, dass Spendesk, Okali oder TPL eine Verletzung einer der Bestimmungen des Vertrags durch den Kunden nicht geltend machen, kann nicht für die Zukunft als Verzicht auf die betreffende Verpflichtung oder Bestimmung ausgelegt werden.

21.3. Beweisvereinbarung

Die Parteien bestätigen, dass E-Mails unter den in Artikel 1366 des französischen Bürgerlichen Gesetzbuches vorgesehenen Bedingungen die gleiche Beweiskraft wie Schriftstücke in Papierform haben. Entsprechend sind die E-Mails und die elektronisch, auch über die Plattform, übermittelten Nachrichten von den Parteien unter geeigneten Bedingungen aufzubewahren, um die Abänderung ihrer Form und ihres Inhaltes auszuschließen, sodass sie verlässliche Kopien darstellen.

21.4. Mitteilungen

Alle im Rahmen der Erfüllung der allgemeinen Bedingungen übermittelten Mitteilungen sind zu richten an:

- bezogen auf den Kunden: die Adresse des Hauptnutzers oder des betreffenden Nutzers, wie auf der Plattform hinterlegt;

- bezogen auf Spendesk: die Adresse support@spendesk.com.

21.5. Vertragssprachen

Der Kunde erkennt an und akzeptiert, dass:

- in den vorvertraglichen und vertraglichen Beziehungen mit Spendesk abhängig von den für die Leistungen geltenden Dokumenten der Partner als Sprache Französisch, Englisch oder Deutsch oder alle drei Sprachen verwendet werden können; und

- insoweit gesetzlich zulässig die französische Fassung der allgemeinen Bedingungen maßgeblich ist und die Versionen in anderen Sprachen nur zu Informationszwecken dienen.

Der Kunde wird darauf hingewiesen, dass er von Spendesk jederzeit kostenlos eine Kopie des Vertrags auf einem dauerhaften Träger erhalten kann.

21.6. Angabe als Referenz

Der Kunde gestattet Spendesk ausdrücklich, ihn oder seine Nutzer sowie gegebenenfalls ein Abbild seiner Marke oder seines Logos als geschäftliche Referenz zu verwenden, insbesondere bei Veranstaltungen oder Ereignissen, in Geschäftsunterlagen und auf seiner Website, in welcher Form auch immer, während der Dauer der Nutzung der Leistungen sowie drei (3) Jahre darüber hinaus.

22. ANWENDBARES RECHT UND GERICHTSSTAND

22.1. Anwendbares Recht

Die allgemeinen Bedingungen unterliegen französischem Recht.

Die Dokumente der Partner unterliegen dem darin angegebenen Recht.

22.2. Gerichtsstand

Jegliche Streitigkeiten, insbesondere in Bezug auf die Gültigkeit, Auslegung oder Erfüllung der allgemeinen Bedingungen, unterliegen der ausschließlichen Zuständigkeit des Handelsgerichts Paris.

Jegliche Streitigkeiten, insbesondere in Bezug auf die Gültigkeit, Auslegung oder Erfüllung der Dokumente der Partner, unterliegen der Zuständigkeit des Gerichts bzw. der Gerichte, die in den Dokumenten der Partner angegeben sind.

Anhänge

Anhang 1

Dokumente der Partner für Euro-Konten, Euro-Karten, GBP-Konten, Devisen-Karten und GBP-Karten

Vertragliche Dokumentation für Euro-Konten

Rahmenvertrag für die Zahlungsleistungen Okali

Link

Vertragliche Dokumentation für Euro-Karten und GBP-Karten

Allgemeine Bedingungen für EWR-Debitkarten

Link

Allgemeine Bedingungen für UK-Debitkarten

Link

Preiskonditionen für EWR-Debitkarten

Link

Preiskonditionen für UK-Debitkarten

Link

Vertragliche Dokumentation für GBP-Konten

Allgemeine Nutzungsbedingungen GBP TPL

Link

Preiskonditionen TPL-Konto

Link

Vertragliche Dokumentation für Devisen-Karten

Allgemeine Bedingungen für EWR-Prepaidkarten

Link

Allgemeine Bedingungen für UK-Prepaidkarten

Link

Preiskonditionen für virtuelle GBP-Karten

Link

Preiskonditionen für physische GBP-Karten

Link

Preiskonditionen für virtuelle GBP-Karten mit hohem Verfügungsrahmen

Link

Preiskonditionen für virtuelle USD-Karten

Link

Preiskonditionen für physische USD-Karten

Link

Preiskonditionen für virtuelle USD-Karten mit hohem Verfügungsrahmen

Link

Preiskonditionen für virtuelle DKK-Karten

Link

Preiskonditionen für physische DKK-Karten

Link

Preiskonditionen für virtuelle DKK-Karten mit hohem Verfügungsrahmen

Link

Preiskonditionen für virtuelle NOK-Karten

Link

Preiskonditionen für physische NOK-Karten

Link

Preiskonditionen für virtuelle NOK-Karten mit hohem Verfügungsrahmen

Link

Preiskonditionen für virtuelle SEK-Karten

Link

Preiskonditionen für physische SEK-Karten

Link

Preiskonditionen für virtuelle SEK-Karten mit hohem Verfügungsrahmen

Link

Preiskonditionen für virtuelle EWR-Karten

Link

Preiskonditionen für physische EWR-Karten

Link

Preiskonditionen für virtuelle EWR-Karten mit hohem Verfügungsrahmen

Link

Anhang 2: Formular zum Rücktritt bei Bank- oder Finanzakquise

FORMULAR ZUR RÜCKTRITTSFRIST AUS ARTIKEL 341-16 DES WÄHRUNGS- UND FINANZGESETZBUCHES

Das Formular ist spätestens vierzehn (14) Kalendertage nach dem Abschlussdatum des Vertrags (entsprechend der nachfolgenden Definition) per Einschreiben mit Rückschein an folgende Adresse zu schicken:

Spendesk SAS 51 Rue de Londres 75008 Paris

Bezeichnung des Vertrags: allgemeine Nutzungsbedingungen für die Leistungen von Spendesk (der „Vertrag“).

Gemäß Artikel L. 341-16 des Währungs- und Finanzgesetzbuches kann das Rücktrittsrecht innerhalb einer Frist von vierzehn (14) Kalendertagen ab dem Abschluss des Vertrags oder ab dem Erhalt der Vertragsbedingungen, wenn dieser später erfolgt, ausgeübt werden.

Dieser Rücktritt ist nur wirksam, wenn er vor Ablauf der in Artikel L. 341-16 des Währungs- und Finanzgesetzbuches vorgesehenen Frist von 14 Kalendertagen lesbar und ordnungsgemäß ausgefüllt per Einschreiben mit Rückschein verschickt wird.

Ich, der/die Unterzeichnete, ________________________________, ordnungsgemäß zur Vertretung der Gesellschaft __________________________________ ermächtigt (nachfolgend der „Kaufmann“), erkläre, das Rücktrittsrecht des Kaufmannes auszuüben und im Ganzen von dem am ________________ mit der Gesellschaft Spendesk SAS abgeschlossenen Vertrag über die Erbringung von (hauptsächlich) Zahlungs- und E-Geld-Leistungen zurückzutreten.

Ort ______________

Datum ______________

Unterschrift des Kunden ______________

Anhang 3: Datenverarbeitungsvertrag

Dieser Datenverarbeitungsvertrag (“Vertrag”) ist Bestandteil des Dienstleistungsvertrages (“Dienstleistungsvertrag”) zwischen <KUNDE> (die “Gesellschaft” oder der “Datenverantwortliche”) und SPENDESK SAS (der “Dienstleister” oder “Auftragsverarbeiter”) (gemeinsam die “Parteien”).

EINLEITENDE BEMERKUNGEN:

Die Parteien haben die Absicht, einen Datenverarbeitungsvertrag zu vereinbaren, der den Anforderungen der geltenden rechtliche Rahmenbedingungen bezüglich Datenverarbeitung und der Datenschutzgesetzgebung, insbesondere Artikel 28 der Datenschutzgrundverordnung, entspricht.

(A) Die Gesellschaft handelt als Datenverantwortlicher.

(B) Die Gesellschaft hat den Wunsch, bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Auftragsverarbeiter unterzubeauftragen.

(C) Die Parteien haben die Absicht, einen Datenverarbeitungsvertrag zu vereinbaren, der den Anforderungen der geltenden rechtliche Rahmenbedingungen bezüglich Datenverarbeitung und der Datenschutzgesetzgebung, insbesondere Artikel 28 der Datenschutzgrundverordnung, entspricht.

(D) Die Parteien haben den Wunsch, ihre Rechte und Pflichten in diesem Datenverarbeitungsvertrag festzuschreiben.

HIERZU VEREINBAREN DIE PARTEIEN FOLGENDES:

1. Definitionen und Auslegung

In diesem Vertrag haben die folgenden Begriffe die ihnen nachfolgend jeweils zugewiesene Bedeutung, sofern der Sachzusammenhang keine anderweitige Auslegung erfordert:

Vertrag: Bezieht sich auf den vorliegenden Datenverarbeitungsvertrag. Bei Widersprüchen zwischen dem Hauptteil des Dienstleistungsvertrages und dem vorliegenden Vertrag gelten die Bestimmungen des vorliegenden Vertrages vorrangig;

Tag des Vertragsbeginns: Bezieht sich auf das Datum der Unterzeichnung des Dienstleistungsvertrages.

Datenverantwortlicher: Bezieht sich auf die Stelle, die die Zwecke und Mittel der Verarbeitung im Einklang mit dem Dienstleistungsvertrag festlegt, d.h. die Gesellschaft.

Auftragsverarbeiter : Bezieht sich auf die Stelle, die personenbezogene Daten für den Datenverantwortlichen verarbeitet, d.h. Spendesk SAS.

Datenschutzgesetzgebung: Bezieht sich auf die in Bezug auf die Verarbeitung Personenbezogener Daten geltenden Gesetze und Vorschriften, darin eingeschlossen (ohne Einschränkung): (i) die Datenschutzgrundverordnung und die durch jeden relevanten Mitgliedstaat im Zusammenhang mit der Datenschutzgrundverordnung implementierten Gesetze; (iii) jegliche neu erlassenen Gesetze und Vorschriften, die sich unter Umständen auf die gemäß diesem Vertrag durchgeführte Verarbeitung auswirken; (iv) jegliche durch eine Aufsichtsbehörde herausgegebenen Verhaltenskodizes oder sonstigen Leitlinien.

Datenschutzverletzung: Bezieht sich auf einen Sicherheitsverstoß, der die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Änderung oder die Beschädigung Personenbezogener Daten oder die unbefugte Weitergabe Personenbezogener Daten oder den unbefugten Zugang dazu zur Folge hat.

Betroffene Person: Bezieht sich auf die namentlich benannte oder identifizierbare natürliche Person, auf die sich Personenbezogene Daten beziehen.

Datenschutzgrundverordnung (oder DSGVO): Bezieht sich auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Zulässige Zwecke: Bezieht sich auf die Verarbeitung der Personenbezogenen Daten im Rahmen der Dienstleistungserbringung gemäß Anhang 1 (Einzelheiten der Datenverarbeitung).

Zulässiger Empfänger: Bezieht sich auf einen Geschäftsführer / Vorstand oder Angestellten des Dienstleisters, der einen legitimen Bedarf hat, Personenbezogene Daten zu erhalten und zu berücksichtigen, damit der Dienstleister seine aus diesem Vertrag erwachsenden Rechte und/oder Verpflichtungen wahrnehmen kann, und/oder auf alle zulässigen Unterauftragsverarbeiter, die durch den Dienstleister zur Erbringung der Dienstleistungen hinzugezogen werden.

Personenbezogene Daten: Bezieht sich auf personenbezogene Daten (wie in der Datenschutzgrundverordnung definiert), die durch den Dienstleister und seine Unterauftragsverarbeiter im Zusammenhang mit der Erbringung der Dienstleistungen verarbeitet werden, einschließlich der in Anhang 1 (Einzelheiten der Datenverarbeitung) beschriebenen Informationen.

Verarbeitung: Bezieht sich auf jegliche Handlungen oder Reihen von Handlungen, die mit oder ohne Nutzung automatisierter Verfahren in Bezug auf personenbezogene Daten oder Datensätze ausgeführt werden können, wie beispielsweise das Erfassen, Registrieren, Organisieren, Strukturieren, Verarbeiten, Speichern, Anpassen oder Ändern, Extrahieren, Abfragen, Verwenden, Übermitteln, Übertragen, Verbreiten oder jede anderweitige Form der Bereitstellung, des Abgleichs oder der Verknüpfung, der Einschränkung, des Löschens oder der Vernichtung.

Aufsichtsbehörde: Jede für den Datenschutz oder den Schutz der Privatsphäre zuständige Behörde, durch die der Datenverantwortliche reguliert wird.

Dienstleistungen: Bezieht sich auf die durch den Dienstleister im Einklang mit dem Dienstleistungsvertrag zu erbringenden Dienstleistungen

Dienstleistungsvertrag: Bezieht sich auf den zwischen der Gesellschaft und Spendesk SAS geschlossenen Dienstleistungsvertrag.

Vertreter des Dienstleisters: Bedeutet einen durch den Dienstleister und/oder seine Unterauftragsverarbeiter im Einklang mit Artikel 27 der Datenschutzgrundverordnung ernannten Vertreter oder einen gleichwertigen Ersatz.

Unterauftragsverarbeiter: Bezeichnet einen Lieferanten oder Unterauftragnehmer, der vom Dienstleister und unter dessen Verantwortung beauftragt wird, einige der für die Dienstleistungen erforderlichen Verarbeitungstätigkeiten gemäß den Anweisungen des Datenverantwortlichen durchzuführen;

Drittländer: Alle nicht zum Europäischen Wirtschaftsraum (EWR) gehörenden Länder.

2. Beauftragung und Rolle des Dienstleisters

Der Datenverantwortliche beauftragt den Dienstleister, die Personenbezogenen Daten für ihn zu verarbeiten, soweit dies im Hinblick auf die Zulässigen Zwecke notwendig ist.

3. Anweisungen und Einhaltung

Der Dienstleister verpflichtet sich gegenüber dem Datenverantwortlichen:

1. die Personenbezogenen Daten nur in dem Umfang und auf die Art und Weise zu Verarbeiten, die für die Zulässigen Zwecke und im Einklang mit den schriftlichen Anweisungen des Datenverantwortlichen (einschließlich der in diesem Vertrag und im Dienstleistungsvertrag festgehaltenen Anweisungen) erforderlich sind, und die Personenbezogenen Daten nicht für irgendwelche anderen Zwecke zu Verarbeiten, sofern diese Verarbeitung nicht durch geltende Gesetze, denen der Auftragsverarbeiter unterliegt, vorgeschrieben ist; in diesem Fall hat der Auftragsverarbeiter den Datenverantwortlichen, soweit dies nach den geltenden Gesetzen zulässig ist, unverzüglich über diese gesetzliche Verpflichtung zu informieren, wenn er von dieser Verpflichtung Kenntnis erlangt, in jedem Fall aber vor der entsprechenden Verarbeitung der betreffenden Personenbezogenen Daten. Der Datenverantwortliche trägt die alleinige Haftung für die Personenbezogenen Daten, die er dem Dienstleister übermittelt, und ist gegenüber dem Dienstleister zur Erstattung der Kosten und Aufwendungen verpflichtet, die durch eine individuelle Anweisung entstehen, welche über die Bestimmungen der Datenschutzgesetzgebung und/oder die im Dienstleistungsvertrag oder im vorliegenden Vertrag festgelegten Verarbeitungstätigkeiten hinausgeht. Falls der Dienstleister der Ansicht ist, dass eine Anweisung des Datenverantwortlichen gegen die geltende Datenschutzgesetzgebung verstößt, muss er den Datenverantwortlichen unverzüglich darüber informieren. Darüber hinaus ist der Dienstleister berechtigt, die Erfüllung der Anweisung so lange auszusetzen, bis die Anweisung durch den Datenverantwortlichen bestätigt wird;

2. die Datenschutzgesetze und gegebenenfalls die dem Dienstleister zuvor mitgeteilten Grundsätze und Richtlinien des Datenverantwortlichen einzuhalten und sicherzustellen, dass auch alle Zulässigen Empfänger dieselben einhalten;

3. bei der Verarbeitung der Personenbezogenen Daten alle geltenden Gesetze, Erlasse, Verordnungen, Anordnungen, Normen und sonstigen ähnlichen Instrumentarien (einschließlich der Datenschutzgesetzgebung) einzuhalten und sicherzustellen, dass alle Systeme, Dienstleistungen und Produkte, die der Dienstleister dem Datenverantwortlichen zur Verfügung stellt, denselben entsprechen;

4. mit jeder Aufsichtsbehörde zusammenzuarbeiten und deren Anweisungen oder Entscheidungen zu befolgen, und zwar in jedem Fall innerhalb eines Zeitrahmens, der es dem Datenverantwortlichen ermöglicht, die durch die Aufsichtsbehörde festgelegten Fristen einzuhalten. Für den Fall, dass derartige durch eine Aufsichtsbehörde auferlegte Anforderungen oder Fristen eine unzumutbare Belastung für die Auftragsverarbeiter darstellen, werden die Parteien zusammenarbeiten, um bei der Aufsichtsbehörde eine Anpassung der betreffenden Anforderungen und/oder bestimmter Fristen zu beantragen.

4. Zusammenarbeit und Unterstützung

Der Dienstleister verpflichtet sich gegenüber dem Datenverantwortlichen:

1. Personenbezogene Daten, die durch oder für den Dienstleister verwahrt werden, im Einklang mit jeglichen schriftlichen Anweisungen des Datenverantwortlichen unverzüglich zu ergänzen, zu übertragen, zu ändern und/oder zu löschen, soweit dies rechtlich zulässig ist und soweit der Datenverantwortliche nicht durch die Nutzung der Dienstleistungen Zugriff auf die betreffenden Personenbezogenen Daten hat. Der Datenverantwortliche übernimmt alle durch die betreffenden Aktivitäten verursachten Mehrkosten, die über die Bestimmungen der Datenschutzgesetzgebung und/oder die im Dienstleistungsvertrag oder im vorliegenden Vertrag nach Angebotsannahme festgelegten Verarbeitungstätigkeiten hinausgehen;

2. den Datenverantwortlichen unverzüglich zu informieren:

(i) falls der Dienstleister der Ansicht ist, dass eine Anweisung des Datenverantwortlichen hinsichtlich der Verarbeitung Personenbezogener Daten gegen die Datenschutzgrundverordnung oder andere Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaates verstößt; (ii) falls irgendein Dienstleister oder Unterauftragsverarbeiter gegen geltende Gesetze, Erlasse, Verordnungen, Anordnungen, Normen und sonstige ähnliche Instrumentarien (einschließlich der Datenschutzgesetzgebung) verstößt, und der Dienstleister wird dem Datenverantwortlichen umfassend Bericht über das Ergebnis der Untersuchungen zum betreffenden Verstoß oder zur betreffenden Datenschutzverletzung erstatten; (iii) falls der Dienstleister oder irgendeiner seiner Unterauftragsverarbeiter eine Datenschutzverletzung erleidet; (iv) ifalls dem Dienstleister oder einem seiner Unterauftragsverarbeiter eine Beschwerde, eine Mitteilung oder ein Bescheid von einer Aufsichtsbehörde oder einer Strafverfolgungsbehörde zugeht, die bzw. der sich unmittelbar auf eine Anforderung im Zusammenhang mit der Verarbeitung Personenbezogener Daten gemäß diesem Vertrag bezieht.

Darüber hinaus ist der Dienstleister in Bezug auf Absatz 4.2 (iii) zur Einhaltung von Absatz 4.4 unten verpflichtet, und in Bezug auf Absatz 4.2 (i) - (iv) muss der Dienstleister dem Datenverantwortlichen eine umfassende Kooperation, Information und Unterstützung in Bezug auf jegliche derartigen Beschwerden, Mitteilungen oder Bescheide oder jegliche tatsächlichen oder mutmaßlichen Datenschutzverletzungen zukommen lassen, und er hat nicht das Recht, irgendwelche öffentlichen Erklärungen oder Verlautbarungen gegenüber Dritten , unter anderem einschließlich von Strafverfolgungs- oder Aufsichtsbehörden, abzugeben, ohne zuvor Rücksprache mit dem Datenverantwortlichen über den Inhalt der betreffenden öffentlichen Erklärungen oder Verlautbarungen zu nehmen, soweit dies vernünftiger Weise praktikabel und nicht nach geltendem Recht untersagt ist;

3. in Bezug auf Absatz 4.2 (iii) ist der Dienstleister verpflichtet:

(i) alle zweckmäßigen Maßnahmen zu ergreifen, die notwendig sind, um die Systeme des Dienstleisters nach der betreffenden Datenschutzverletzung wieder instand zu setzen und vor weiteren Datenschutzverletzungen zu schützen; (ii) Maßnahmen umzusetzen, die es ermöglichen, alle verlorengegangenen, beschädigten oder unbrauchbar gewordenen Personenbezogenen Daten zurückzuerlangen oder wiederherzustellen; (iii) dem Datenverantwortlichen Berichte zuzustellen, die ausreichend sind, um den Datenverantwortlichen in die Lage zu versetzen, den zuständigen Aufsichtsbehörden und den Betroffenen Personen die Datenschutzverletzung im Einklang mit der Datenschutzgesetzgebung zu melden; (iv) Maßnahmen zu ergreifen, die durch den Datenverantwortlichen angewiesen wurden oder anderweitig durch einen umsichtigen Betreiber ergriffen würden, um die nachteiligen Folgen der Datenschutzverletzung abzumildern; und (v) Maßnahmen zu ergreifen, um ähnliche Datenschutzverletzungen in Zukunft zu vermeiden;

4. den Datenverantwortlichen dabei zu unterstützen, die Einhaltung der in den Artikeln 32 bis (einschließlich) 36 der Datenschutzgrundverordnung festgehaltenen Verpflichtungen sicherzustellen, unter Berücksichtigung der Art der durch den Dienstleister vorgenommenen Datenverarbeitung und der dem Dienstleister vorliegenden Informationen. Diese Unterstützung umfasst im angemessenen und erforderlichen Umfang die Bereitstellung von Auskünften gegenüber dem Datenverantwortlichen und die sonstige Unterstützung des Datenverantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen im Zusammenhang mit den durch den Dienstleister im Rahmen der Dienstleistung ausgeführten Tätigkeiten.

5. Technische Maßnahmen

Der Dienstleister verpflichtet sich gegenüber dem Datenverantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass die Verarbeitung Personenbezogener Daten den Anforderungen der Datenschutzgesetze entspricht und den Datenverantwortlichen in die Lage versetzt, seinen Verpflichtungen bezüglich der Beantwortung von Anfragen von Personen nachzukommen, die ihre Rechte gemäß den Datenschutzgesetzen wahrnehmen, wobei der Stand der Technik, die Kosten der Umsetzung und die Art, der Umfang, der Kontext und die Zwecke der Verarbeitung sowie die Risiken unterschiedlicher Wahrscheinlichkeiten und Schweregrade bezüglich der Rechte und Freiheiten der Betroffenen Personen berücksichtigt werden.

6. Sicherheit

1. Der Dienstleister verpflichtet sich gegenüber dem Datenverantwortlichen:

(i) sicherzustellen, dass er über geeignete technische und organisatorische Maßnahmen verfügt, um eine versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Änderung oder die unbefugte Weitergabe Personenbezogener Daten, die sich in seinem Besitz befinden oder durch ihn verarbeitet werden, oder den Zugriff darauf zu verhindern, einschließlich jeglicher Maßnahmen, die erforderlich sind, um die Einhaltung der durch die Datenschutzgesetze festgelegten Anforderungen bezüglich der Datensicherheit zu gewährleisten; (ii) sicherzustellen, dass die Zulässigen Empfänger alle angemessenen Vorgaben des Datenverantwortlichen in Bezug auf die Sicherheit und Verarbeitung der Personenbezogenen Daten einhalten.

2. Der Dienstleister ist verpflichtet, seine technischen und organisatorischen Maßnahmen jährlich zu überprüfen und sie regelmäßig zu aktualisieren, um

(i) technische Weiterentwicklungen und bewährte Branchenpraktiken; (ii) jegliche Änderungen oder Änderungsvorschläge in Bezug auf die Verfahren, Standorte und Systeme des Dienstleisters, die Dienstleistungen und/oder die damit zusammenhängenden Prozesse; und (iii) jegliche neue erkannten oder veränderten Bedrohungen in Bezug auf die Verfahren, Standorte und Systeme des Dienstleisters zu berücksichtigen.

7. Zulässige Empfänger und Vertraulichkeit

Der Dienstleister verpflichtet sich gegenüber dem Datenverantwortlichen:

1. den Zugang zu den Personenbezogenen Daten auf diejenigen Zulässigen Empfänger zu beschränken, die diesen Zugang im Hinblick auf die Zulässigen Zwecke benötigen (im Falle eines Zugangs durch einen Mitarbeiter verpflichtet sich Dienstleister, sicherzustellen, dass der Zugang zu den Personenbezogenen Daten auf den Teil oder die Teile der Personenbezogenen Daten beschränkt ist, die für die Erfüllung der Aufgaben des betreffenden Mitarbeiters zwingend erforderlich sind);

2. sicherzustellen, dass alle Zulässigen Empfänger eine Schulung zu den für den Umgang mit personenbezogenen Daten maßgebenden Gesetzen erhalten haben;

3. den Zulässigen Empfängern rechtsverbindliche Vertraulichkeits- und Sicherheitsverpflichtungen aufzuerlegen, die den in diesem Vertrag enthaltenen Verpflichtungen entsprechen

8. Akten

Der Dienstleister verpflichtet sich gegenüber dem Datenverantwortlichen:

1. Aufzeichnungen über jedwede Verarbeitung Personenbezogener Daten, die er für den Datenverantwortlichen ausführt, zu führen, einschließlich des gemäß Artikel 30 (2) der Datenschutzgrundverordnung verlangten Verzeichnisses zur Verarbeitungstätigkeit; und

2. Aufzeichnungen zu den gemäß Absatz 7.2 oben durchgeführten Schulungen zu führen.

9. Rechte der Betroffenen Personen

Der Dienstleister verpflichtet sich gegenüber dem Datenverantwortlichen:

1. den Datenverantwortlichen unverzüglich, jedoch spätestens innerhalb von 15 Tagen, über jeden Antrag einer Betroffenen Person zu informieren, die ihre Rechte gemäß den Datenschutzgesetzen wahrnehmen möchte, einschließlich von Anträgen auf Zugang zu Personenbezogenen Daten, Anträgen auf Löschung Personenbezogener Daten, Anträgen auf Weitergabe Personenbezogener Daten an Dritte und Widersprüchen gegen die Verarbeitung;

2. den Datenverantwortlichen in angemessener Weise zu unterstützen, damit der Datenverantwortliche in der Lage ist, Anträgen Betroffener Personen, die ihre Rechte gemäß den Datenschutzgesetzen wahrnehmen möchten, nachzukommen (unabhängig davon, ob die betreffenden Anträge beim Dienstleister oder beim Datenverantwortlichen eingehen), soweit dies gesetzlich zulässig ist und soweit der Datenverantwortliche nicht durch die Nutzung der Dienstleistungen Zugang zu den betreffenden Personenbezogenen Daten hat; und

3. keine Personenbezogenen Daten in Reaktion auf einen Antrag seitens einer Betroffenen Person oder einen anderen Antrag auf Offenlegung Personenbezogener Daten offenzulegen oder herauszugeben, ohne zuvor die schriftliche Zustimmung des Datenverantwortlichen dazu einzuholen.

10. Erfassung von Daten

Für den Fall, dass der Dienstleister verpflichtet ist, Personenbezogene Daten im Auftrag des Datenverantwortlichen zu erfassen, wird der Dienstleister Personenbezogene Daten in dem mit dem Datenverantwortlichen schriftlich vereinbarten Format erheben und den betreffenden Personen am Ort der Datenerhebung einen Datenschutzhinweis in der durch den Datenverantwortlichen genehmigten Form zur Verfügung stellen (soweit erforderlich, einschließlich eines Verfahrens zur Erteilung der Einwilligung nach Aufklärung).

11. Unterauftragsverarbeitung

1. 1. Der Datenverantwortliche ermächtigt den Auftragsverarbeiter, einen Teil der Verarbeitung an Unterauftragsverarbeiter zu beauftragen, die in der Unterauftragsverarbeiter-Liste auf der Webseite des Auftragsverarbeiters stehen. Diese Liste enthält Angaben zur Identität jedes derzeitigen Unterauftragsverarbeiters, zu den Kategorien der verarbeiteten Personenbezogenen Daten, zum Land, in dem er ansässig ist, sowie Informationen über die Einhaltung der Datenschutzgesetze.

2. Der Auftragsverarbeiter ist verpflichtet, den Datenverantwortlichen auf beliebige Weise über die Hinzuziehung jedes neuen Unterauftragsverarbeiters zu informieren.

Der Datenverantwortliche kann der Nutzung eines neuen Unterauftragsverarbeiters durch den Auftragsverarbeiter widersprechen, indem er den Auftragsverarbeiter unverzüglich schriftlich (z.B. per E-Mail). Für den Fall, dass der Datenverantwortliche einem neuen Unterauftragsverarbeiter widerspricht, kann der Datenverantwortliche den relevanten Dienstleistungsvertrag kündigen, indem er dem Dienstleister eine schriftliche Kündigung gemäß den Vorschriften des Dienstleistungsvertrags zustellt.

3. Jedwede Unterverarbeitung Personenbezogener Daten entbindet den Auftragsverarbeiter nicht von seinen aus diesem Vertrag erwachsenden Verbindlichkeiten, Verantwortlichkeiten und Verpflichtungen gegenüber dem Datenverantwortlichen, und der Auftragsverarbeiter bleibt in vollem Umfang für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter haftbar.

12. Übermittlungen in Drittländer

1. Jegliche Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationalen Organisation durch den Auftragsverarbeiter im Zusammenhang mit dem Dienstleistungsvertrag erfolgt nur auf der Grundlage dokumentierter Weisung des Datenverantwortlichen oder zur Erfüllung einer spezifischen Anforderung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, und unter Einhaltung von Kapitel V der Datenschutzgrundverordnung.

2. In Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Ziffer 11 mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenverantwortlichen) beauftragt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Datenschutzgrundverordnung beinhalten, können der Auftragsverarbeiter und sein Unterauftragsverarbeiter die Einhaltung von Kapitel V der Datenschutzgrundverordnung auf der Grundlage eines anwendbaren Angemessenheitsbeschlusses der Europäischen Kommission oder durch Abschluss der von der Europäischen Kommission am 4. Juni 2021 angenommenen Standardvertragsklauseln (als Anhang 3 beigefügt) sicherstellen, sofern die Bedingungen für die Verwendung dieser Standardvertragsklauseln erfüllt sind.

13. Haftung

Jede Partei ist und bleibt für jeden Verstoß gegen die Datenschutzgesetze haftbar und hat die andere Partei in Bezug auf eventuelle Folgen eines derartigen Verstoßes schadlos zu halten.

Die Haftung des Auftragsverarbeiters ist auf seine eigenen Verarbeitungsaktivitäten gemäß diesem Vertrag beschränkt, und die finanzielle Gesamthaftung des Auftragsverarbeiters kann die durch den Datenverantwortlichen im Rahmen des Dienstleistungsvertrages in den letzten 12 (zwölf) Monaten gezahlten oder zu zahlenden Gebühren nicht übersteigen.

14. Inkrafttreten und Beendigung / Kündigung

Dieser Vertrag tritt am Tag des Vertragsbeginns in Kraft und bleibt bis zu dem Zeitpunkt bestehen, an dem der Auftragsverarbeiter die Verarbeitung der Personenbezogenen Daten für den Datenverantwortlichen einstellt.

15. Konsequenzen einer Kündigung

Nach Ablauf oder Beendigung des Dienstleistungsvertrages (gleich aus welchem Grund) stellt der Auftragsverarbeiter auf schriftliche Aufforderung des Datenverantwortlichen die Verarbeitung für den Datenverantwortlichen ein und gibt dem Datenverantwortlichen, vorbehaltlich der geltenden Aufbewahrungsfrist gemäß Anhang 1 und auf schriftliche Aufforderung des Datenverantwortlichen, alle Personenbezogenen Daten (unabhängig von ihrer Form und unabhängig davon, ob sie elektronisch oder physisch vorliegen) unverzüglich und auf sichere Weise zurück.

16. Bereitstellung von Informationen und Prüfrechte

Der Auftragsverarbeiter stellt dem Datenverantwortlichen die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Pflichten des Auftragsverarbeiters nachzuweisen.

Der Auftragsverarbeiter ist verpflichtet, dem Datenverantwortlichen ein (1) Mal pro Kalenderjahr Zugang zu den Räumlichkeiten des Auftragsverarbeiters zu gewähren, in denen der Auftragsverarbeiter die Dienstleistungen erbringt ("Besuch"), nachdem der Datenverantwortliche dies gegenüber dem Auftragsverarbeiter wenigstens sechzig (60) Arbeitstage im Voraus schriftlich angekündigt hat. Alle derartigen Besuche unterliegen der Einhaltung der Dokumentations- und Verfahrensvorgaben des Auftragsverarbeiters bezüglich Sicherheit und Datenschutz. Jeder derartige Besuch dauert pro Einrichtung höchstens drei (3) Tagen und erfolgt während der üblichen Geschäftszeiten am Standort der Einrichtung. Unbeschadet jeglicher gegenteiligen Bestimmungen ist der Datenverantwortliche für alle Kosten und/oder Ausgaben verantwortlich, die dem Datenverantwortlichen im Zusammenhang mit einem derartigen Besuch entstehen.

17. Abweichungen von diesem Vertrag

1. Abweichungen von diesem Vertrag bedürfen zu ihrer Wirksamkeit der Schriftform und der Unterzeichnung durch ordnungsgemäß ermächtigte Vertreter jeder Partei.

2. Die Parteien vereinbaren, dass sie im Falle von Änderungen der Datenschutzgesetzgebung die Bestimmungen dieses Vertrages überprüfen und in gutem Glauben verhandeln werden, um die Einhaltung der aktualisierten Datenschutzgesetzgebung zu ermöglichen.

18. Vollständige Vereinbarung

Dieser Vertrag und der Dienstleistungsvertrag umfassen die vollständige Vereinbarung und sämtliche Verpflichtungen der Parteien in Bezug auf den Gegenstand und die Bestimmungen dieser Verträge, und sie ersetzen jegliche vorangegangenen Vereinbarungen.

19. Verzicht auf Rechtsmittel

Jede Partei erkennt an und bestätigt, dass sie sich beim Abschluss dieses Vertrages, mit Ausnahme der in diesem Vertrag ausdrücklich festgehaltenen Bestimmungen, nicht auf irgendwelche Erklärungen, Zusicherungen, Garantien oder Übereinkünfte (unabhängig davon, ob diese schuldhaft, fahrlässig oder unbeabsichtigt abgegeben wurden) seitens beliebiger Personen (unabhängig davon, ob es sich dabei um eine Partei dieses Vertrages handelt oder nicht) verlassen hat.

20. Maßgebendes Recht und Gerichtsstand

Dieser Vertrag unterliegt französischem Recht und ist im Einklang mit französischem Recht auszulegen. Für alle Streitigkeiten, die sich aus diesem Vertrag oder im Zusammenhang damit ergeben, sind ausschließlich die französischen Gerichte in Paris (Frankreich) zuständig, denen sich jede der Parteien unwiderruflich unterwirft.

21. Verschiedene Bestimmungen

Jede Partei wird (sowohl während des Bestehens dieses Vertrages als auch nach seiner Beendigung) alle Handlungen vornehmen und alle Dokumente ausfertigen, die zweckmäßigerweise notwendig sind, um die Bestimmungen dieses Vertrages wirksam zu machen.

Für Spendesk Für die Gesellschaft

ANHÄNGE

ANHANG 1: Einzelheiten der Datenverarbeitung

A. Verantwortlicher Ansprechpartner des Auftragsverarbeiters

Datenschutzbeauftragter von Spendesk: François-Xavier Boulin (privacy@spendesk.com)

B. Einzelheiten der Datenverarbeitung und Aufbewahrungsfrist

Kategorien betroffener Personen:

- Mitarbeitende des Datenverantwortlichen: geschäftliche Kontaktpersonen und Anwender der Spendesk-Lösung

Zwecke der Datenverarbeitung:

- Bereitstellung individueller Zahlungsmittel für Arbeitnehmer

- Bereitstellung einer SaaS-Plattform für die Verwaltung von Zahlungen, Rechnungen und Genehmigungsabläufen

Art der personenbezogenen Daten und Art der Verarbeitung:

- Kontaktdaten (Vorname, Familienname, E-Mail-Adresse, Mobiltelefonnummer, Bild (mit Zustimmung des Arbeitnehmers)) Zweck: Sicherstellung der Übermittlung von Statusinformationen, Sicherheitscodes und Anweisungen im Rahmen des Genehmigungsverfahrens

- Login-Daten (Benutzername, Passwort, IP-Adresse) Zweck: Sicherstellung der Anmeldung der Mitarbeitenden zur Identifizierung und zum Zugriff auf die Spendesk-Plattform

- Angaben zur Position von Mitarbeitenden Zweck: Bestimmung der Rechte und Befugnisse von Mitarbeitenden innerhalb des Unternehmens und Begrenzung der Funktionen oder des Zugangs innerhalb der Spendesk-Lösung

- Zahlungsinformationen Zweck: Sicherstellung der Zahlung und Erstattung dienstlicher Ausgaben der Mitarbeitenden

- Rechnungen und Belege Zweck: Analyse von Rechnungen und Belegen, um Zahlungen und Erstattungen nachzuverfolgen und Informationen zur Rechnungslegung zu erhalten

Aufbewahrungsfristen:

- Daten zu den Mitarbeitenden des Unternehmens (Nutzerdaten) (Kontaktdaten, Login, Position innerhalb des Unternehmens): Dauer des Vertragsverhältnisses mit dem Unternehmen + 24 Monate ab Löschung des Nutzers (mit Ausnahme von Zahlungsinformationen und Daten, die für die gesicherte Archivierung von Rechnungen und Belegen erforderlich sind: 11 Jahre nach dem Datum der Einreichung der Dokumente zu Archivierungszwecken)

Anhang 2

Standardvertragsklauseln (Modul 3)

(Fassung vom 4. Juni 2021 – Nur zu Informationszwecken)

ABSCHNITT I__
Klausel 1 Zweck und Anwendungsbereich

(a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(1) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden. (b) Die Parteien: (i) die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und (ii) die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“), haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt.

(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B. (d) ) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.

Klausel 2 Wirkung und Unabänderbarkeit der Klauseln

a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie – in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter – Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

Klausel 3 Drittbegünstigte

a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen: i. Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7 ii. Klausel 8.1 Buchstaben a, c und d und Klausel 8.9 Buchstaben a, c, d, e, f und g iii. Klausel 9 Buchstaben a, c, d und e iv. Klausel 12 Buchstaben a, d und f v. Klausel 13 vi. Klausel 15.1 Buchstaben c, d und e vii. Klausel 16 Buchstabe e viii. Klausel 18 Buchstaben a und b

b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.

Klausel 4 Auslegung

a) Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung. b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen. c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.

Klausel 5 Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.

Klausel 6 Beschreibung der Datenübermittlung(en)

Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7 Kopplungsklausel

a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet. b) Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A. c) Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.

ABSCHNITT II – PFLICHTEN DER PARTEIEN__

Klausel 8 Datenschutzgarantien

Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur – durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen – in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.

8.1 Weisungen

(a) Der Datenexporteur hat dem Datenimporteur mitgeteilt, dass er als Auftragsverarbeiter nach den Weisungen seines/seiner Verantwortlichen fungiert, und der Datenexporteur stellt dem Datenimporteur diese Weisungen vor der Verarbeitung zur Verfügung. b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie auf der Grundlage aller zusätzlichen dokumentierten Weisungen des Datenexporteurs. Diese zusätzlichen Weisungen dürfen nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen. Der Verantwortliche oder der Datenexporteur kann während der gesamten Vertragslaufzeit weitere dokumentierte Weisungen im Hinblick auf die Datenverarbeitung erteilen. c) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann. Ist der Datenimporteur nicht in der Lage, die Weisungen des Verantwortlichen zu befolgen, setzt der Datenexporteur den Verantwortlichen unverzüglich davon in Kenntnis. d) Der Datenexporteur sichert zu, dass er dem Datenimporteur dieselben Datenschutzpflichten auferlegt hat, die im Vertrag oder in einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats zwischen dem Verantwortlichen und dem Datenexporteur festgelegt sind.(ii)

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannte spezifischen Übermittlungszweck(e), sofern keine weiteren Weisungen seitens des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, oder seitens des Datenexporteurs bestehen.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen.

8.4 Richtigkeit

Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu berichtigen oder zu löschen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.

8.6 Sicherheit der Verarbeitung

a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des Verantwortlichen. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten. b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. c) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Außerdem meldet der Datenimporteur die Verletzung dem Datenexporteur und, sofern angemessen und machbar, dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Daten, einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt. d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere den Verantwortlichen zu unterrichten, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann

8.7 Sensible Daten

Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B angegebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.

8.8 Weiterübermittlungen

Der Datenimporteur gibt die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union(iii) ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls i) die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt, ii) der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 gewährleistet, iii) die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder iv) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9 Dokumentation und Einhaltung der Klauseln

a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs oder des Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise. b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten. c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Pflichten erforderlich sind, und der Datenexporteur stellt diese Informationen wiederum dem Verantwortlichen bereit. d) Der Datenimporteur ermöglicht dem Datenexporteur die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Gleiches gilt, wenn der Datenexporteur eine Prüfung auf Weisung des Verantwortlichen beantragt. Bei der Entscheidung über eine Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen. e) Wird die Prüfung auf Weisung des Verantwortlichen durchgeführt, stellt der Datenexporteur die Ergebnisse dem Verantwortlichen zur Verfügung. f) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt. g) Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

Klausel 9 Einsatz von Unterauftragsverarbeitern

a) OPTION 1: VORHERIGE GESONDERTE GENEHMIGUNG. Der Datenimporteur darf keine seiner Verarbeitungstätigkeiten, die er im Auftrag des Datenexporteurs gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen an einen Unterauftragsverarbeiter untervergeben. Der Datenimporteur reicht den Antrag auf die gesonderte Genehmigung mindestens (Zeitraum angeben) vor der Beauftragung des Unterauftragsverarbeiters zusammen mit den Informationen ein, die der Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Er informiert den Datenexporteur über eine solche Beauftragung. Die Liste der vom Verantwortlichen bereits genehmigten Unterauftragsverarbeiter findet sich in Anhang III. Die Parteien halten Anhang III jeweils auf dem neuesten Stand. OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG. Der Datenimporteur besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Verantwortlichen mindestens (Zeitraum angeben) im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. Der Datenimporteur unterrichtet den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter/s.

b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen.(iv) Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

c) Auf Verlangen des Datenexporteurs oder des Verantwortlichen stellt der Datenimporteur eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d) Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.

e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur – sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10 Rechte betroffener Personen

Der Datenimporteur unterrichtet den Datenexporteur und gegebenenfalls den Verantwortlichen unverzüglich über jeden Antrag, den er von einer betroffenen Person erhält; er beantwortet diesen Antrag erst dann, wenn er vom Verantwortlichen dazu ermächtigt wurde.

b) Der Datenimporteur unterstützt den Verantwortlichen, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

c) Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Verantwortlichen, die ihm vom Datenexporteur übermittelt wurden.

Klausel 11 Rechtsbehelf

a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.

b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.

c) Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an, i. eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen, ii. den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.

d) Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann.

e) Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.

f) Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.

__Klausel 12 Haftung

a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht. b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. c) Ungeachtet von Buchstabe b haftet der Datenimporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder gegebenenfalls der Verordnung (EU) 2018/1725. d) Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach Buchstabe c für durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht. e) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen. f) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe e haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht. g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.

Klausel 13 Aufsicht

a) Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).

b) Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III – LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14 Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken

a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.

b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben: i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten, ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,(v) iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.

d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.

f) Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen, gegebenenfalls in Absprache mit dem Verantwortlichen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er vom Verantwortlichen oder von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.

Klausel 15 Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten

15.1 Benachrichtigung

a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,

i. wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder

ii. wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.

Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.

b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.

c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.). Der Datenexporteur leitet die Informationen an den Verantwortlichen weiter.

d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist.

Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.

b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung. Der Datenexporteur stellt die Beurteilung dem Verantwortlichen zur Verfügung.

c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.

ASBSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16 Verstöße gegen die Klauseln und Beendigung des Vertrags

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.

c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn: i. der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde, ii. der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder iii. der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.

In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde und den Verantwortlichen über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.

d) Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.

e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17 Anwendbares Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von Frankreich ist.

Klausel 18 Gerichtsstand und Zuständigkeit

a) Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt. b) Die Parteien vereinbaren, dass dies die Gerichte von Frankreich sind. c) Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat. d) Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

(i) Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss […] enthaltenen Standardvertragsklauseln stützen.

(ii) Siehe Artikel 28 Absatz 4 der Verordnung (EU) 2016/679 und, wenn es sich bei dem Verantwortlichen um ein Organ oder eine Einrichtung der Union handelt, Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725.

(iii) Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) regelt die Einbeziehung der drei EWR-Staaten Island, Liechtenstein und Norwegen in den Binnenmarkt der Europäischen Union. Das Datenschutzrecht der Union, darunter die Verordnung (EU) 2016/679, ist in das EWR-Abkommen einbezogen und wurde in Anhang XI aufgenommen. Daher gilt eine Weitergabe durch den Datenimporteur an einen im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.

(iv) Diese Anforderung ist gegebenenfalls vom Unterauftragsverarbeiter zu erfüllen, der diesen Klauseln gemäß Klausel 7 im Rahmen des betreffenden Moduls beitritt.

(v) Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.