Elsevier-Nachtrag zur Auftragsverarbeitung
Zuletzt aktualisiert: 1. Januar 2023
Diese Elsevier-Nachtrag zur Auftragsverarbeitung („AVN“) ist Teil der Vereinbarung („Vereinbarung“) zwischen dem Unternehmen Elsevier („Elsevier“) und dem Abonnenten, dem Kunden oder einem anderen Partner und ggf. einem verbundenen Unternehmen („Abonnenten“), in deren Rahmen Elsevier bestimmte Dienste erbringt und in der auf diesen AVN Bezug genommen wird.
1. Begriffsbestimmungen
1.1. „Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze, -vorschriften, -verordnungen, -erlasse, -anordnungen und sonstigen staatlichen Anforderungen, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten.
1.2. Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“ und „Auftragsverarbeiter“ haben die Bedeutung, die ihnen gemäß den Datenschutzgesetzen zukommt, und wenn in den Datenschutzgesetzen gleichwertige oder entsprechende Begriffe verwendet werden, wie z. B. „personenbezogene Informationen“ anstelle von „personenbezogene Daten“, sind sie hierin gleichbedeutend zu verstehen.
2. Geltungsbereich
2.1. Gegenstand der Verarbeitung sind die personenbezogenen Daten, die in Bezug auf die Dienste im Rahmen der Vereinbarung bereitgestellt werden. Die Dauer der Verarbeitung entspricht der Dauer der Erbringung der Dienste im Rahmen der Vereinbarung bis zur Löschung der personenbezogenen Daten gemäß der Vereinbarung. Die Art und der Zweck der Verarbeitung stehen im Zusammenhang mit der Erbringung der Dienste im Rahmen der Vereinbarung. Die Arten der verarbeiteten personenbezogenen Daten entsprechen denen, die vom Abonnenten oder auf dessen Anweisung im Rahmen der Dienste im Rahmen der Vereinbarung übermittelt werden. Die Kategorien der betroffenen Personen entsprechen denen, deren personenbezogene Daten vom Abonnenten oder auf dessen Anweisung im Rahmen der Dienste im Rahmen der Vereinbarung übermittelt werden.
2.2. Der Vereinbarung einschließlich dieses AVN sowie die Nutzung und/oder Konfiguration der Dienste durch den Abonnenten stellen die vollständigen und endgültigen dokumentierten Anweisungen des Abonnenten an Elsevier für die Verarbeitung der personenbezogenen Daten dar. Zusätzliche oder abweichende Anweisungen müssen von den Parteien gesondert vereinbart werden.
3. Verarbeitung
3.1. Elsevier wird geeignete technische und organisatorische Maßnahmen ergreifen, sodass die Verarbeitung den Anforderungen der Datenschutzgesetze entspricht, den Schutz der Rechte der betroffenen Personen gewährleistet und ein Schutzniveau bietet, das mindestens dem der Datenschutzgesetze entspricht.
3.2. Soweit Elsevier personenbezogene Daten verarbeitet im Auftrag des Abonnenten, wird Elsevier: 3.2.1. die personenbezogenen Daten nur auf dokumentierte Anweisung des Abonnenten verarbeiten, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dass dies nach geltendem Recht, dem Elsevier unterliegt, erforderlich ist; in einem solchen Fall wird Elsevier den Abonnenten vor der Verarbeitung über diese rechtliche Anforderung informieren, es sei denn, dass dieses Recht eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses verbietet; 3.2.2. sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen; 3.2.3. alle gemäß den Datenschutzgesetzen erforderlichen Sicherheitsmaßnahmen ergreifen; 3.2.4. die in den Absätzen 4 genannten Bedingungen für die Beauftragung eines anderen Auftragsverarbeiters einhalten; 3.2.5. unter Berücksichtigung der Art der Verarbeitung den Abonnenten durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des Abonnenten zur Beantwortung von Anfragen zur Ausübung der in den Datenschutzgesetzen festgelegten Rechte der betroffenen Person unterstützen; 3.2.6. den Abonnenten unter Berücksichtigung der Art der Verarbeitung und der Elsevier zur Verfügung stehenden Informationen dabei unterstützen, die Einhaltung der Verpflichtungen gemäß den Datenschutzgesetzen sicherzustellen; 3.2.7. nach Wahl des Abonnenten alle personenbezogenen Daten nach Beendigung der Erbringung von Dienste im Zusammenhang mit der Verarbeitung löschen oder an den Abonnenten zurückgeben und vorhandene Kopien löschen, es sei denn, dass das geltende Recht die Aufbewahrung der personenbezogenen Daten vorschreibt; 3.2.8. dem Abonnenten alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in den Datenschutzgesetzen festgelegten Verpflichtungen nachzuweisen, und Prüfungen, einschließlich Inspektionen, durch den Abonnenten oder einen anderen vom Abonnenten beauftragten Prüfer zulassen und daran mitwirken; und den Abonnenten unverzüglich informieren, wenn nach Ansicht von Elsevier eine Anweisung des Abonnenten an Elsevier gegen die Datenschutzgesetze verstößt.
4. Unter-Auftragsverarbeiter
4.1 Soweit Elsevier personenbezogene Daten verarbeitet im Auftrag des Abonnenten, Elsevier hat die allgemeine Erlaubnis des Abonnenten, andere Auftragsverarbeiter für die Verarbeitung personenbezogener Daten in Übereinstimmung mit diesem AVN aus Elseviers Liste solcher Auftragsverarbeiter unter https://www.elsevier.com/legal/subprocessors zu beauftragen, die Elsevier gegebenenfalls gelegentlich aktualisiert. Elsevier informiert den Abonnenten über alle beabsichtigten Änderungen, indem das Unternehmen die Liste auf seiner Website mindestens vierzehn (14) Tage im Voraus aktualisiert. Der Abonnenten kann der Änderung ohne Vertragsstrafe widersprechen, indem er Elsevier innerhalb von vierzehn (14) Tagen nach Aktualisierung der Liste benachrichtigt und seine Gründe für den Widerspruch darlegt. Elsevier wird sich in angemessener Weise bemühen, die Verarbeitung personenbezogener Daten durch den neuen Auftragsverarbeiter zu vermeiden, gegen die der Abonnenten berechtigterweise Einspruch erhebt.
4.2. Wenn Elsevier einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Namen des Abonnenten beauftragt, werden diesem anderen Auftragsverarbeiter vertraglich oder durch einen anderen Rechtsakt nach geltendem Recht im Wesentlichen dieselben Datenschutzverpflichtungen auferlegt wie in dieser DSGVO, insbesondere im Hinblick auf die Bereitstellung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, sodass die Verarbeitung den Anforderungen der Datenschutzgesetze entspricht. Kommt dieser andere Auftragsverarbeiter diesen Datenschutzverpflichtungen nicht nach, bleibt Elsevier (vorbehaltlich der Bestimmungen der Vereinbarung) dem Abonnenten gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen dieses anderen Auftragsverarbeiters verantwortlich.
5. Rechte betroffener Personen
5.1. Soweit Elsevier personenbezogene Daten verarbeitet im Auftrag des Abonnenten, wird Elsevier, soweit gesetzlich zulässig, den Abonnenten unverzüglich über alle Anfragen von Betroffenen Person informieren, die Elsevier erhält, und den Abonnenten ermächtigt Elsevier, solche Anfragen an den Abonnenten weiterzuleiten, um direkt zu antworten.
5.2. Soweit gesetzlich zulässig, der Abonnenten trägt alle angemessenen Kosten, die dadurch entstehen, dass Elsevier den Abonnenten bei der Beantwortung solcher Anfragen unterstützt.
6. Übertragung
Elsevier stellt sicher, dass, soweit personenbezogene Daten aus dem Land des Abonnenten von Elsevier in ein anderes Land übertragen werden, diese Übertragung angemessenen Schutzmaßnahmen in Übereinstimmung mit den Datenschutzgesetzen unterliegt.
7. Sicherheit
7.1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeit und Tragweite in Bezug auf die Rechte und Freiheiten natürlicher Personen setzen die Parteien geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, das unter anderem Folgendes umfasst: 7.1.1. die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten; 7.1.2. die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der Verarbeitungssysteme und -dienste zu gewährleisten; 7.1.3. die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und 7.1.4. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
7.2. Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere durch unbeabsichtigte oder unrechtmäßige Zerstörung, Verlust, Veränderung, unberechtigte Weitergabe oder Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten.
7.3. Soweit Elsevier personenbezogene Daten verarbeitet im Auftrag des Abonnenten, Elsevier treffen Maßnahmen, um sicherzustellen, dass jede natürliche Person, die im Auftrag Elsevier handelt und Zugang zu die personenbezogenen Daten hat, diese nur auf Anweisung des Abonnenten verarbeitet, es sei denn, dass sie nach geltendem Recht dazu verpflichtet ist.
8. Verletzungen des Schutzes personenbezogener Daten
Soweit Elsevier personenbezogene Daten verarbeitet im Auftrag des Abonnenten, Elsevier benachrichtigt den Abonnenten unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten und reagiert in angemessener Weise auf Anfragen des Abonnenten nach weiteren Informationen, um ihn bei der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen zu unterstützen.
9. Aufzeichnungen über Verarbeitungstätigkeiten
Elsevier führt alle nach den Datenschutzgesetzen erforderlichen Aufzeichnungen und, Soweit dies für die Verarbeitung personenbezogener Daten im Namen des Abonnenten gilt, stellt sie dem Abonnenten bei Bedarf zur Verfügung.
10. Audit
Audits im Rahmen den Absätzen 3.2.8 (i) sind an die Erfüllung angemessener Vertraulichkeitsverpflichtungen geknüpft; (ii) werden höchstens einmal pro Jahr durchgeführt, es sei denn, dass ein nachweislich begründeter Verdacht auf Nichteinhaltung der Vereinbarung vorliegt, und zwar nach einer schriftlichen Ankündigung von dreißig (30) Tagen und unter Vorlage eines entsprechenden Plans; und (iii) werden zu einem einvernehmlich vereinbarten Zeitpunkt und auf eine vereinbarte Weise durchgeführt.
11. Konflikt
Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bestimmungen dieses AVN und dem Rest der Vereinbarung haben die Bestimmungen dieses AVN im gesetzlich vorgeschriebenen Umfang Vorrang. Andernfalls hat die Vereinbarung im Falle eines solchen Konflikts oder Widerspruchs Vorrang.
12. Rechtsordnungsspezifische Bedingungen
Soweit Elsevier personenbezogene Daten verarbeitet, die aus einer der im Anhang aufgeführten Rechtsordnungen stammen oder anderweitig den Datenschutzgesetzen dieser Rechtsordnungen unterliegen, gelten zusätzlich zu den vorstehenden Bedingungen die dort aufgeführten Bedingungen für die jeweilige(n) Rechtsordnung(en).
ANHANG
Europäischer Wirtschaftsraum, Vereinigten Königreich und Schweiz
1. Soweit der Abonnenten personenbezogene Daten aus dem Europäischen Wirtschaftsraum („EWR“), dem Vereinigten Königreich von Großbritannien („UK“) oder der Schweiz an Elsevier mit Sitz außerhalb des EWR, des UK oder der Schweiz übermittelt, wird davon ausgegangen, dass die Parteien die Standardvertragsklauseln, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und unter https://data.europa.eu/eli/dec_impl/2021/914/oj opens in new tab/window abrufbar sind („Klauseln“), in Bezug auf eine solche Übermittlung abgeschlossen haben, es sei denn, dass die Parteien sich auf einen alternativen Übermittlungsmechanismus oder eine andere datenschutzrechtliche Grundlage berufen können, wobei: 1.1. der Abonnenten ist der „Datenexporteur“ und Elsevier ist der „Datenimporteur“; 1.2. die Fußnoten, Klausel 11(a) Option und Klausel 17 Option 1 entfallen und die anwendbaren Anhänge werden jeweils mit den in der Vereinbarung, einschließlich dieses AVN, festgelegten Informationen ergänzt; 1.3. soweit jede Partei als Verantwortlicher handelt, gilt Modul Eins und die Module Zwei, Drei und Vier entfallen; 1.4. soweit der Abonnenten als Verantwortlicher und Elsevier als Auftragsverarbeiter handelt, gilt Modul Zwei und die Module Eins, Drei und Vier entfallen, Klausel 9(a) Option 1 entfallen und die Frist in Klausel 9(a) Option 2 beträgt 14 Tage; 1.5 soweit jede Partei als Auftragsverarbeiter handelt, gilt Modul Drei und die Module Eins, Zwei und Vier entfallen, Klausel 9(a) Option 1 entfallen und die Frist in Klausel 9(a) Option 2 beträgt 14 Tage; 1.6. die „zuständige Aufsichtsbehörde“ ist die Aufsichtsbehörde in den Niederlanden; 1.7. die Klauseln unterliegen dem niederländischen Recht; 1.8. alle Streitigkeiten, die sich aus den Klauseln ergeben, werden von den niederländischen Gerichten entschieden; und 1.9. im Falle eines Widerspruchs zwischen den Bedingungen der Vereinbarung und den Klauseln haben die Klauseln Vorrang.
2. In Bezug auf die Übermittlung personenbezogener Daten aus dem UK gelten die Klauseln, wie sie in Abschnitt 1 oben umgesetzt sind, vorbehaltlich der folgenden Änderungen: 2.1. die Klauseln werden gemäß Teil 2 des Zusatzes zum internationalen Datentransfer zu den Standardvertragsklauseln der Europäischen Kommission, die gemäß Abschnitt 119A des UK Data Protection Act 2018 herausgegeben wurden, in der jeweils gültigen Fassung („UK-Nachtragsvereinbarung“) geändert; 2.2. die Tabellen 1 bis 3 in Teil 1 der UK-Nachtragsvereinbarung werden mit den in der Vereinbarung, einschließlich dieses AVN, aufgeführten Informationen ausgefüllt; und 2.3. die Tabelle 4 in Teil 1 der UK-Nachtragsvereinbarung wird durch die Auswahl von „neither party“ (keine Partei) ausgefüllt.
3. In Bezug auf die Übermittlung personenbezogener Daten aus der Schweiz gelten die Klauseln, wie sie in Abschnitt 1 oben umgesetzt sind, vorbehaltlich der folgenden Änderungen: 3.1. Verweise auf die „Verordnung (EU) 2016/679“ sind als Verweise auf das Schweizer Bundesgesetz über den Datenschutz („DSG“) auszulegen; 3.2. Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt des DSG ersetzt; 3.3. Verweise auf „EU“, „Union“, „einen Mitgliedstaat“ und „mitgliedstaatliches Recht“ werden durch Verweise auf „die Schweiz“ oder „Schweizer Recht“ ersetzt; 3.4. der Begriff „Mitgliedstaat“ ist nicht so auszulegen, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte geltend zu machen; 3.5. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte; 3.6. die Klauseln unterliegen dem Recht der Schweiz; und 3.7. alle Streitigkeiten, die sich aus den Klauseln ergeben, werden von den Gerichten der Schweiz entschieden.
Südafrika
Soweit Elsevier als Betreiber personenbezogene Informationen im Rahmen des South African Protection of Personal Information Act, No. 4 von 2013 (POPIA) für den Abonnenten als verantwortliche Partei verarbeitet, wird Elsevier darüber hinaus die in Abschnitt 19 des POPIA genannten Sicherheitsmaßnahmen einführen und aufrechterhalten, und den Abonnenten unverzüglich benachrichtigen, wenn Grund zu der Annahme besteht, dass die personenbezogene Informationen einer betroffenen Person von einer unbefugten Person eingesehen oder erworben wurden.
Vereinigte Staaten von Amerika
U.S. Privacy Laws Addendum to Elsevier Data Processing Addendum