Spond Club DPA

DATENVERARBEITUNGSVEREINBARUNG FÜR SPOND’S CLUB LÖSUNG

Diese Datenverarbeitungsvereinbarung (die „Datenverarbeitungsvereinbarung“) ist ein Anhang zu den Nutzungsbedingungen (die „Nutzungsbedingungen“), die die Verwendung von Spond AS („Spond“) Club-Lösung (“die Dienstleistung”) regelt. Die Parteien der Datenverarbeitungsvereinbarung sind Spond und der Club, der als Benutzer der Dienstleistung (der „Club“) auf der Webseite von Spond registriert ist und somit die Nutzungsbedingungen akzeptiert hat.

Wörter und Konzepte, die ansonsten nicht definiert sind, haben die gleiche Bedeutung wie das Gesetz über personenbezogene Daten, vgl. Artikel 4 der Datenschutzverordnung.

1. VERARBEITUNG PERSONENBEZOGENER DATEN

Wenn der Club die Dienstleistungen in Anspruch nimmt, wird Spond zum Datenverarbeiter des Clubs und wird deren personenbezogenen Daten verarbeiten.

Spond verarbeitet personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Clubs, sofern gesetzlich nichts anderes bestimmt ist. Anhang 1 enthält die Anweisungen des Clubs.

2. UNTERSTÜTZUNG DES DATENVERANTWORTLICHEN

2.1 Allgemein

Spond hilft dem Club, seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachzukommen.

2.2 Anfragen von Dritten Parteien

Falls die betroffene Person, öffentliche Behörden oder andere Informationen von Spond bezüglich der Verarbeitung personenbezogener Daten gemäß dieser Datenverarbeitungsvereinbarung anfordern, wird Spond die Anfrage an den Club weiterleiten.

Spond darf personenbezogene Daten – oder andere Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten – nicht an Dritte Parteien übertragen oder anderweitig offenlegen, es sei denn, der Club hat dies zuvor angewiesen. Wenn Spond gesetzlich verpflichtet ist, personenbezogene Daten, die von Spond im Auftrag des Clubs verarbeitet werden, weiterzugeben, muss Spond den Club unverzüglich benachrichtigen.

2.3 Informationen verfügbar machen

Spond hat die Verantwortung dem Club alle Informationen und Hilfe zu gewährleisten die nötig sind um nachzuweisen, dass die Verpflichtungen gemäß dieser Datenverarbeitungsvereinbarung und den Datenschutzgesetzen eingehalten werden.Spond trägt dazu bei und ermöglicht Revisionen, einschließlich Inspektionen. Allfällige Revisionen und Inspektionen werden auf Wunsch des Clubs durchgeführt, jedoch höchstens einmal pro Jahr.

2.4 Korrektur, Löschung und Rückgabe

Durch die Nutzung seines Zugangs zur Dienstleistung kann der Club personenbezogene Daten und andere Informationen, die nicht mehr verarbeitet werden, korrigieren und löschen. Nach Ende des Datenverarbeitungsvertrags und innerhalb von drei Monaten nach Ablauf des Datenverarbeitungsvertrags wird Spond auf Anweisung des Clubs alle personenbezogenen Daten, die es im Auftrag des Clubs verarbeitet hat, löschen oder zurückgeben.Die Datenexportfunktion führt eine solche Rückgabe durch. Dies gilt, sofern die Aufbewahrung der personenbezogenen Daten nicht gesetzlich vorgeschrieben ist.

3. SUBUNTERNEHMEN

Der Club stimmt der Einsetzung von Subunternehmen durch Spond zu. Spond führt auf seiner Website eine Liste von Subunternehmern, diese Liste gibt alle Subunternehmerwechsel wieder und dient dadurch als Benachrichtigung dieser Wechsel. Daher wird der Club ermutigt, die Liste regelmäßig zu überprüfen. Der Club kann Subunternehmerwechseln widersprechen und muss in diesem Fall Spond innerhalb von vierzehn – 14 – Tagen nach Veröffentlichung des Wechsels benachrichtigen. Falls der Club der Änderung nicht zustimmt, kann Spond den Vertrag für die Dienstleistung kündigen, der mit der Umsetzung der Änderung wirksam wird.

Spond stellt sicher, dass autorisierte Subunternehmer schriftliche Vereinbarungen treffen, die ihnen die gleichen Verpflichtungen in Bezug auf den Schutz personenbezogener Daten auferlegen, wie sie in dieser Datenverarbeitungsvereinbarung festgelegt sind.

4. ÜBERTRAGUNG IN DRITTLÄNDER

Der Club stimmt zu, dass Spond personenbezogene Daten an Drittländer übermitteln darf, die in der Liste der Subunternehmer auf der Webseite von Spond aufgeführt sind, vgl. Klausel 3. Hinweise auf Änderungen werden dort ebenfalls veröffentlicht. Wenn der Club seine Zustimmung zur Übermittlung personenbezogener Daten in ein oder mehrere Drittländer widerruft oder eine Änderung ablehnt, muss der Club Spond innerhalb von vierzehn – 14 – Tagen benachrichtigen. Wenn die Beendigung der Übertragung aufgrund technischer oder anderer Probleme nicht möglich ist, kann Spond den Vertrag über die Nutzung des Dienstes mit Wirkung zum Ablauf der oben genannten Mitteilungsfrist kündigen. Spond bestätigt, dass die geltenden datenschutzrechtlichen für Übermittlungen an Drittländer für alle Übermittlungen personenbezogener Daten an Drittländer erfüllt sind, normalerweise durch Verwendung des EU-Standardvertrags für Übermittlungen an Datenverarbeiter in Drittländern.

5. INFORMATIONSSICHERHEIT UND VERTRAULICHKEIT

5.1 Allgemein

Spond ist verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten umzusetzen und zu dokumentieren. Spond muss die Vorschriften des Clubs und alle vorherrschenden schriftlichen Anforderungen oder Richtlinien in Bezug auf die Datensicherheit einhalten.

5.2 Pflicht zur Aufrechterhaltung eines angemessenen Sicherheitsniveaus

Spond soll ein ausreichendes Sicherheitsniveau für die Verarbeitung personenbezogener Daten unter Berücksichtigung des Verarbeitungsrisikos beibehalten. Spond schützt personenbezogene Daten vor Zerstörung, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff.

5.3 Aufzeichnung und interne Kontrolle

Spond führt ein Protokoll aller Kategorien von Verarbeitungsaktivitäten, die im Auftrag des Clubs durchgeführt werden. Spond erstellt und aktualisiert eine Beschreibung der technischen, organisatorischen und physischen Maßnahmen, die unternommen werden, um die Sicherheit aufrechtzuerhalten und die geltenden Datenschutzgesetze einzuhalten, darunter seine Sicherheitsorganisation, Verfahren und Risikobewertungen.

Spond shall prepare and keep current a description of technical, organisational and physical measures it undertakes to maintain security and comply with applicable data protection laws, hereunder its security organisation, procedures and risk assessments. Die Unterlagen sind dem Verein zur Verfügung zu stellen.

5.4 Vertraulichkeit

Spond darf ohne die vorherige schriftliche Zustimmung des Vereins personenbezogene Daten, die gemäß dieser Datenverarbeitungsvereinbarung verarbeitet werden, nicht an Dritte weitergeben oder anderweitig zugänglich machen, mit Ausnahme von Subunternehmern, die gemäß der Datenverarbeitungsvereinbarung beauftragt werden.

Spond soll sicher stellen das nur Personen auf persönliche Daten Zugriff haben die diese brauchen um die Dienstleistung für den Verein auszuführen und sich zu sich zur Verschwiegenheit verpflichtet haben

Die oben genannte Geheimhaltungspflicht gilt auch nach Beendigung dieser Datenverarbeitungsvereinbarung.

6. VERFAHREN ZUR VERLETZUNG PERSONENBEZOGENER DATEN

Im Falle einer Verletzung des Schutzes personenbezogener Daten unterstützt Spond den Verein bei der Erfüllung der Verpflichtungen des Vereins. Dies schliesst die Verpflichtung, die Verletzung des Schutzes personenbezogener Daten zu melden ein. Spond wird den Verein unverzüglich schriftlich benachrichtigen, sobald ihm ein solcher Verstoß bekannt wird. Die Benachrichtigung muss:

• Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, und wenn möglich, die Kategorien und der ungefähren Anzahl der betroffenen Personen und personenbezogenen Datensätze, die betroffen sind;
• Den Namen und die Kontaktinformationen der Person inkludieren, die für weitere Informationen kontaktiert werden kann;
• die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten beschreiben;
• Beschreibung der Maßnahmen, die von Spond ergriffen oder vorgeschlagen wurden, um mit der Verletzung des Schutzes personenbezogener Daten umzugehen, einschließlich, falls angemessen, Maßnahmen zur Verringerung potenziell ungewünschten Auswirkungen

7. DAUER DER VEREINBARUNG

Die Datenverarbeitungsvereinbarung bleibt in Kraft, solange der Verein und Spond eine gültige Vereinbarung zur Nutzung der Dienstleistung haben.

Unabhängig von den Kündigungsbestimmungen kann der Verein, wenn Spond gegen geltende Datenschutzgesetze, die Datenverarbeitungsvereinbarung oder Anweisungen in oder gemäß dieser Datenverarbeitungsvereinbarung verstößt, Spond und alle Subunternehmer anweisen, die Verarbeitung der personenbezogenen Daten mit sofortiger Wirkung einzustellen.

8. HAFTUNG

Die Verantwortlichkeiten und Haftungsbeschränkungen der Parteien sind in den Bedingungen festgelegt.

9. MITTEILUNGEN UND ANDERE ANKÜNDIGUNGEN

Benachrichtigungen über Sicherheitsverletzungen und andere Ankündigungen gemäß der Datenverarbeitungsvereinbarung werden an den Kontakt der anderen Partei gesendet, der im Zusammenhang mit der Registrierung des Vereins der als Benutzer der Dienstleistung angegeben wurde.

10. RECHTSWAHL UND GERICHTSSTAND

Diese Datenverarbeitungsvereinbarung unterliegt den Gesetzen Norwegens mit dem Bezirksgericht Oslo als Gerichtsstand und wird in Übereinstimmung mit diesen ausgelegt. Dies gilt auch bei Beendigung des Auftragsverarbeitungsvertrags.

Anhang 1 der Datenverarbeitungsvereinbarung für die Spond Club-Lösung

Anweisungen zur Datenverarbeitung