Nach Rolle

Nach Branche

Nach Arbeitsablauf

Kundengeschichten

SMG
Dank Bluebeam kann SMG hochwertige Modernisierungsarbeiten in nur vier Wochen umsetzen

Mehr erfahren
Unsere Abos Kostenlos testen Bluebeam downloaden
Alle Lösungen anzeigen

Übersicht

Wichtige Funktionen

Vernetzte Arbeitsabläufe

Bluebeam kostenlos testen
Warum mehr als 4 Millionen Baufachkräfte weltweit auf Bluebeam setzen.

Jetzt ausprobieren
Unsere Abos Kostenlos testen Bluebeam downloaden
Bluebeam in Aktion erleben

Schulungen

Ressourcen

Community

E-Book

Grünes Bauen: Neue Perspektiven für nachhaltiges Bauen

Mehr erfahren
Unsere Abos Kostenlos testen Bluebeam downloaden
Berechnen Sie Ihren ROI mit Bluebeam
Open Mobile Navigation Close Mobile Navigation

Diese Version wurde ausschließlich aus Gründen der Benutzerfreundlichkeit ins Deutsche übersetzt. Alle relevanten und verbindlichen Bestimmungen sind in amerikanischem Englisch verfasst und sollten zur Kenntnis genommen werden.

Datenverarbeitungszusatz

Kunde (Verantwortlicher/Auftragsverarbeiter) – Bluebeam (Auftragsverarbeiter)

(Mai 2022)

Dieser Datenverarbeitungsnachtrag, einschließlich seiner Anhänge, („DPA“) ist Bestandteil der Allgemeinen Nutzungsbedingungen, aller zutreffenden Zusätzlichen Bedingungen und der Bestellung oder anderen schriftlichen oder elektronischen Vereinbarung zwischen Bluebeam, Inc. und seinen Tochtergesellschaften („Bluebeam“) und Ihnen („Kunde“) für den Erwerb von Dienstleistungen von Bluebeam (entweder als „Software“ oder „Services“ oder anderweitig im jeweiligen Bestellformular identifiziert und im Folgenden als „Services“ bezeichnet) (zusammen die „Vereinbarung“), um die Übereinkunft der Parteien bezüglich der Verarbeitung personenbezogener Daten widerzuspiegeln.

Der Kunde schließt diese DPA im eigenen Namen und, soweit nach den anwendbaren Datenschutzgesetzen und -vorschriften erforderlich, im Namen und für seine autorisierten verbundenen Unternehmen ab. Nur für die Zwecke dieser DPA und sofern nicht anders angegeben, umfasst der Begriff „Kunde“ den Kunden und autorisierte Tochtergesellschaften. Alle großgeschriebenen Begriffe, die hier nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung.

Im Rahmen der Bereitstellung der Dienste für den Kunden gemäß der Vereinbarung kann Bluebeam personenbezogene Daten im Auftrag des Kunden verarbeiten, und die Parteien vereinbaren, die folgenden Bestimmungen in Bezug auf personenbezogene Daten einzuhalten.

WIE DIESE DPA AUSZUFÜHREN IST:

  1. Diese DPA besteht aus zwei Teilen: dem Hauptteil der DPA und den Anhängen 1 und 2.
  2. Diese DPA ist gültig und wirksam ab dem Wirksamkeitsdatum des Bestellformulars.
  3. Für den Fall, dass der Kunde eine physisch unterzeichnete Kopie dieser DPA benötigt, muss der Kunde eine E-Mail an Bluebeam unter [email protected] senden, unter Angabe der Angebotsnummer des Kunden (wie im Bestellformular angegeben) sowie des Namens und der E-Mail-Adresse des Kontakts, an den die DPA gesendet werden soll.

Zur Klarstellung gilt die Unterschrift des Kunden auf dem Bestellformular als Unterzeichnung und Annahme der Standardvertragsklauseln, einschließlich Anhang 2.

WIE DIESES DPA ANZUWENDEN IST

Wenn die Kundeneinheit, die diese DPA unterzeichnet, eine Partei der Vereinbarung ist, ist diese DPA ein Nachtrag zur Vereinbarung und bildet einen Teil davon. In einem solchen Fall ist das Bluebeam-Unternehmen, das Partei der Vereinbarung ist, Partei dieser DPA.

Wenn die den DPA unterzeichnende Kundeneinheit keine Partei der Vereinbarung ist, ist dieser DPA nicht gültig und nicht rechtlich bindend. Diese Entität sollte verlangen, dass die Kundenentität, die Vertragspartei des Vertrags ist, diese DPA ausführt.

Wenn die Kundeneinheit, die die DPA unterzeichnet, Vertragspartei eines Vertrags über einen autorisierten Bluebeam-Vertriebspartner ist, ist diese DPA nur im Umfang des Vertrags gültig und rechtlich bindend, und nicht die unabhängigen Einkaufsbedingungen eines solchen Vertriebspartners. Der Kunde sollte den autorisierten Vertriebspartner kontaktieren, um zu besprechen, ob eine Änderung seiner Vereinbarung mit diesem Vertriebspartner erforderlich sein könnte.

BEDINGUNGEN ZUR DATENVERARBEITUNG

1. DEFINITIONEN „**Verbundenes Unternehmen**“ bezeichnet jede juristische Person, die direkt oder indirekt die jeweilige juristische Person kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit dieser steht. „Control“, zu Zwecken dieser Definition, bedeutet das direkte oder indirekte Eigentum oder die Kontrolle von mehr als 50 % der Stimmrechte des betreffenden Unternehmens.

Autorisiertes Tochterunternehmen“ bezeichnet alle verbundenen Unternehmen des Kunden, die (a) den Datenschutzgesetzen und -vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und/oder ihrer Mitgliedstaaten, der Schweiz und/oder des Vereinigten Königreichs unterliegen und (b) die Dienste gemäß der Vereinbarung zwischen dem Kunden und Bluebeam nutzen dürfen, aber kein eigenes Bestellformular mit Bluebeam unterzeichnet haben und kein „Kunde“ im Sinne dieser DPA sind.

Bluebeam“ bedeutet das Bluebeam-Unternehmen, das Vertragspartei dieser Datenverarbeitungsvereinbarung (DPA) ist, wie im obigen Abschnitt „ANWENDUNG DIESER DPA“ angegeben, nämlich Bluebeam, Inc., ein in Delaware, USA, eingetragenes Unternehmen; oder eine der Tochtergesellschaften von Bluebeam, Inc., einschließlich Bluebeam Limited UK Ltd., einem nach englischem Recht gegründeten Unternehmen, Bluebeam AB, einem nach schwedischem Recht gegründeten Unternehmen, Bluebeam GmbH, einem nach deutschem Recht gegründeten Unternehmen, oder Bluebeam Australia Pty Ltd., einem nach australischem Recht gegründeten Unternehmen; oder je nach Anwendbarkeit.

Bluebeam Gruppe“ bezeichnet Bluebeam und seine verbundenen Unternehmen, die an der Verarbeitung personenbezogener Daten beteiligt sind.

CCPA“ bezeichnet den California Consumer Privacy Act, in seiner geänderten Fassung, Cal. Zivil. Code § 1.798,100 und neuer, und seine Ausführungsbestimmungen.

„**Verantwortlicher**“ bezeichnet die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Kunde“ bezeichnet in dieser DPA das Unternehmen, das die Vereinbarung abgeschlossen hat, sowie dessen verbundene Unternehmen (solange sie verbundene Unternehmen bleiben), die Bestellformulare unterzeichnet haben.

„**Datenschutzgesetze und -vorschriften**“ bedeutet alle Gesetze und Vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, der Schweiz, des Vereinigten Königreichs und der Vereinigten Staaten und ihrer Bundesstaaten, die für die Verarbeitung personenbezogener Daten gemäß der Vereinbarung in der jeweils gültigen Fassung gelten.

betroffene Person“ ist die identifizierte oder identifizierbare Person, auf die sich personenbezogene Daten beziehen.

„Europa“ bezeichnet die Europäische Union, den Europäischen Wirtschaftsraum, die Schweiz und das Vereinigte Königreich.

DSGVO” bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), einschließlich in der durch die Rechtsvorschriften des Vereinigten Königreichs umgesetzten oder angenommenen Fassung.

Bestellformular“ bedeutet das von Kunden ausgeführte Dokument, über das der Kunde eine Lizenz zur Nutzung oder zum Zugriff auf die Dienste erhält, je nachdem, was zutrifft.

Personenbezogene Daten“ bezeichnet alle Informationen, die sich beziehen auf (i) eine identifizierte oder identifizierbare natürliche Person und (ii) eine identifizierte oder identifizierbare juristische Person (sofern solche Informationen ähnlich wie personenbezogene Daten oder persönliche Informationen unter anwendbaren Datenschutzgesetzen und -vorschriften geschützt sind), jedoch keine sensiblen personenbezogenen Informationen im Sinne dieser Datenverarbeitungsvereinbarung (DPA).

Verarbeitung“ oder „ Prozess“ bedeutet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten vorgenommen werden, gleichgültig, ob mit oder ohne automatisierte Verfahren, wie das Erheben, Erfassen, Organisieren, Strukturieren, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Zurverfügungstellen, Ausrichtung, Einschränken, Löschen oder Vernichten.

Auftragsverarbeiter“ bezeichnet die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, einschließlich gegebenenfalls jedes „Dienstleisters“, wie dieser Begriff durch den CCPA definiert ist.

Öffentliche Behörde“ bezeichnet eine Behörde oder Strafverfolgungsbehörde, einschließlich Justizbehörden.

„**Sicherheitsdokumentation**“ bezeichnet die Sicherheitserklärung, die für die vom Kunden erworbenen spezifischen Dienste gilt, in der jeweils aktuellen Fassung, und die unter https://bluebeam.com/legal/security zugänglich ist oder anderweitig von Bluebeam in zumutbarer Weise zur Verfügung gestellt wird.

„**Standardvertragsklauseln**“ bezeichnet Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, genehmigt durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021, wie derzeit unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj dargelegt.

Unterauftragsverarbeiter“ bezeichnet jeden Auftragsverarbeiter, der von Bluebeam oder einem Mitglied der Bluebeam Gruppe zur Verarbeitung von personenbezogenen Kundendaten eingesetzt wird.

2. VERARBEITUNG PERSONENBEZOGENER DATEN

2.1 Rollen der Parteien. Die Parteien erkennen an und stimmen zu, dass hinsichtlich der Verarbeitung personenbezogener Daten der Kunde ein Verantwortlicher oder ein Auftragsverarbeiter ist, Bluebeam ein Auftragsverarbeiter ist und dass Bluebeam oder Mitglieder der Bluebeam-Gruppe Unterauftragsverarbeiter gemäß den Anforderungen, die in Abschnitt 5 „Unterauftragsverarbeiter“ unten aufgeführt sind, beauftragen wird.

2.2 Verarbeitung personenbezogener Daten des Kunden. Der Kunde hat bei der Nutzung der Dienste personenbezogene Daten gemäß den Anforderungen der Datenschutzgesetze und -vorschriften zu verarbeiten, einschließlich aller anwendbaren Anforderungen, die betroffenen Personen über die Nutzung von Bluebeam als Auftragsverarbeiter zu informieren (auch wenn der Kunde selbst ein Auftragsverarbeiter ist, indem er sicherstellt, dass der letztendliche Verantwortliche dies tut). Zur Klarstellung: Die Anweisungen des Kunden zur Verarbeitung personenbezogener Daten müssen den Datenschutzgesetzen und Vorschriften entsprechen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit personenbezogener Daten sowie für die Mittel, mit denen der Kunde personenbezogene Daten erworben hat. Der Kunde erkennt ausdrücklich an und stimmt zu, dass die Nutzung der Dienste die Rechte einer betroffenen Person nicht verletzt, einschließlich derjenigen, die dem Verkauf oder anderen Offenlegungen personenbezogener Daten widersprochen haben, soweit dies nach den Datenschutzgesetzen und -vorschriften anwendbar ist.

2.3. Verarbeitung personenbezogener Daten der Bluebeam-Gruppe. Bluebeam behandelt personenbezogene Daten als vertrauliche Informationen und verarbeitet personenbezogene Daten im Auftrag und nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden für die folgenden Zwecke: (i) Verarbeitung in Übereinstimmung mit dem Vertrag; (ii) Verarbeitung, die von autorisierten Nutzern bei der Nutzung der Dienste initiiert wird; und (iii) Verarbeitung zur Einhaltung anderer dokumentierter angemessener Anweisungen des Kunden (z. B. per E-Mail), sofern diese Anweisungen mit den Vertragsbedingungen übereinstimmen.

2.4. Details der Verarbeitung. Gegenstand der Verarbeitung von personenbezogenen Daten durch Bluebeam ist die Erbringung der Dienstleistungen gemäß der Vereinbarung. Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen, die im Rahmen dieses Datenverarbeitungsvertrags verarbeitet werden, werden in Anlage 2 (Beschreibung der Verarbeitung/Übertragung) zu diesem Datenverarbeitungsvertrag näher spezifiziert.

3. RECHTE DER DATENSUBJEKTE. Bluebeam informiert den Kunden, soweit rechtlich zulässig, unverzüglich über jede Beschwerde, jeden Streitfall oder jede Anfrage, die Bluebeam von einem Datensubjekt erhalten hat, wie zum Beispiel das Auskunftsrecht eines Datensubjekts, das Recht auf Berichtigung, die Einschränkung der Verarbeitung, die Löschung („Recht auf Vergessenwerden“), die Datenübertragbarkeit, den Widerspruch gegen die Verarbeitung oder das Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, wobei jede solche Anfrage eine „Betroffenenanfrage“ ist. Bluebeam wird eine Anfrage betroffener Personen nicht selbst beantworten, es sei denn, der Kunde ermächtigt Bluebeam, die Anfrage betroffener Personen bei Bedarf umzuleiten, damit der Kunde direkt antworten kann. Unter Berücksichtigung der Art der Verarbeitung unterstützt Bluebeam den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, zur Erfüllung der Verpflichtung des Kunden, auf eine Anfrage einer betroffenen Person gemäß den Datenschutzgesetzen und -vorschriften zu antworten. Darüber hinaus wird Bluebeam auf Anfrage des Kunden wirtschaftlich zumutbare Anstrengungen unternehmen, um den Kunden bei der Beantwortung einer Anfrage der betroffenen Person zu unterstützen, soweit der Kunde bei der Nutzung der Dienste nicht in der Lage ist, eine solche Anfrage zu bearbeiten, und soweit Bluebeam rechtlich dazu berechtigt ist und die Beantwortung einer solchen Anfrage der betroffenen Person gemäß den Datenschutzgesetzen und -vorschriften erforderlich ist. Soweit gesetzlich zulässig, ist der Kunde für alle Kosten verantwortlich, die sich aus der Bereitstellung dieser Unterstützung durch Bluebeam ergeben.

4. BLUEBEAM PERSONAL

4.1 Vertraulichkeit. Bluebeam stellt sicher, dass sein Personal, das an der Verarbeitung personenbezogener Daten beteiligt ist, über die Vertraulichkeit der personenbezogenen Daten informiert ist, eine angemessene Schulung zu seinen Aufgaben erhalten hat und schriftliche Vertraulichkeitsvereinbarungen unterzeichnet hat. Bluebeam gewährleistet, dass solche Vertraulichkeitspflichten auch nach Beendigung der Beschäftigung des Personals fortbestehen.

4.2 **Zuverlässigkeit**. Bluebeam wird wirtschaftlich angemessene Schritte unternehmen, um die Zuverlässigkeit aller Bluebeam-Mitarbeiter zu gewährleisten, die an der Verarbeitung personenbezogener Daten beteiligt sind.

4.3  Einschränkung des Zugangs Bluebeam stellt sicher, dass der Zugriff von Bluebeam auf personenbezogene Daten auf das Personal beschränkt ist, das Dienstleistungen gemäß der Vereinbarung erbringt.

5. UNTERAUFTRAGSVERARBEITER

5.1 Bestellung von Unterauftragsverarbeitern. Der Kunde erkennt an und stimmt zu, dass (a) Bluebeams verbundenen Unternehmen als Unterauftragsverarbeiter eingesetzt werden können; und (b) Bluebeam und Bluebeams verbundenen Unternehmen jeweils Drittanbieter als Unterauftragsverarbeiter im Zusammenhang mit der Bereitstellung der Dienste einsetzen können. Bluebeam oder ein Bluebeam-Partner hat mit jedem Subunternehmer eine schriftliche Vereinbarung getroffen, die im Wesentlichen Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in der Vereinbarung, und zwar hinsichtlich des Schutzes personenbezogener Daten, soweit dies für die Art der von diesem Subunternehmer erbrachten Dienstleistungen relevant ist.

5.2  Liste der aktuellen Unterauftragsverarbeiter. Die aktuelle Liste der Unterauftragsverarbeiter, die personenbezogene Daten zur Erbringung jeder anwendbaren Dienstleistung verarbeiten, einschließlich einer Beschreibung ihrer Verarbeitungsaktivitäten und Standorte, ist hier aufgeführt („Unterauftragsverarbeiter-Dokumentation“). Die Subprozessor-Dokumentation kann von Bluebeam von Zeit zu Zeit aktualisiert werden, und Bluebeam benachrichtigt den Kunden per E-Mail. Der Kunde stimmt hiermit den Unterauftragsverarbeitern zu, die zum Zeitpunkt der Ausführung dieser Datenverarbeitungsvereinbarung (DPA) aufgeführt sind, einschließlich ihrer Standorte und Verarbeitungsaktivitäten im Hinblick auf ihre personenbezogenen Daten.

5.3  Widerspruchsrecht für neue Unterverarbeiter. Der Kunde kann der Nutzung eines neuen Subunternehmers durch Bluebeam widersprechen, indem er Bluebeam innerhalb von 30 Tagen nach Erhalt der Mitteilung von Bluebeam umgehend schriftlich benachrichtigt. Falls der Kunde Einwände gegen einen neuen Subunternehmer erhebt, wie im vorstehenden Satz erlaubt, wird Bluebeam angemessene Anstrengungen unternehmen, um dem Kunden eine Änderung der Dienste zur Verfügung zu stellen oder eine wirtschaftlich vertretbare Änderung der Konfiguration oder Nutzung der Dienste durch den Kunden zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen Subunternehmer zu vermeiden, ohne den Kunden unangemessen zu belasten. Sollte Bluebeam die betreffende Änderung nicht innerhalb eines angemessenen Zeitraums von maximal sechzig (60) Tagen zur Verfügung stellen können, kann der Kunde die/den entsprechende(n) Auftragsformulare(s) bezüglich derjenigen Dienstleistungen kündigen, die Bluebeam ohne die Verwendung des beanstandeten neuen Unterauftragsverarbeiters nicht erbringen kann, indem er Bluebeam schriftlich benachrichtigt. Bluebeam erstattet dem Kunden alle vorausbezahlten Gebühren, die den Rest der Laufzeit des/der jeweiligen Bestellformular(e) nach dem Datum des Inkrafttretens der Kündigung in Bezug auf die gekündigten Dienste abdecken, ohne dem Kunden eine Vertragsstrafe für diese Kündigung aufzuerlegen.

5.4 Haftung. Bluebeam haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in dem gleichen Umfang, in dem Bluebeam haften würde, wenn es die Leistungen jedes Unterauftragsverarbeiters direkt gemäß den Bedingungen dieser DPA erbringen würde, es sei denn, im Vertrag ist etwas anderes festgelegt.

6. SICHERHEIT

6.1 Kontrollen zum Schutz personenbezogener Daten. Bluebeam wird geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit (einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust oder Änderung oder Beschädigung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten), der Vertraulichkeit und der Integrität von personenbezogenen Daten aufrechterhalten. Bluebeam wird die allgemeine Sicherheit der Services während eines Abozeitraums nicht wesentlich verringern.

6.2. Überprüfung. Bluebeam unterhält ein Auditprogramm, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen zu gewährleisten, und stellt dem Kunden auf schriftliche Anfrage Informationen zur Verfügung, die die Einhaltung der in dieser DPA festgelegten Verpflichtungen gemäß diesem Abschnitt 6.2 belegen.

6.3. Datenschutz-Folgenabschätzung. Auf Anfrage des Kunden stellt Bluebeam dem Kunden eine angemessene Kooperation und Unterstützung zur Verfügung, die erforderlich ist, um die Verpflichtungen des Kunden gemäß den Datenschutzgesetzen und -vorschriften zu erfüllen, um eine Datenschutz-Folgenabschätzung in Bezug auf die Nutzung der Dienste durch den Kunden durchzuführen, soweit der Kunde anderweitig keinen Zugang zu den relevanten Informationen hat und soweit solche Informationen Bluebeam zur Verfügung stehen.

7. Management von Vorfällen mit personenbezogenen Daten und Benachrichtigung. Bluebeam benachrichtigt den Kunden unverzüglich, nachdem es Kenntnis von der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Offenlegung oder dem unbefugten Zugriff auf personenbezogene Daten erlangt hat, einschließlich personenbezogener Daten, die von Bluebeam oder seinen Unterauftragsverarbeitern übermittelt, gespeichert oder anderweitig verarbeitet werden (ein „Vorfall personenbezogener Daten“). Bluebeam unternimmt angemessene Anstrengungen, um die Ursache eines solchen Vorfalls mit personenbezogenen Daten zu ermitteln und ergreift die Maßnahmen, die Bluebeam zur Behebung der Ursache eines solchen Vorfalls mit personenbezogenen Daten für notwendig und angemessen hält, soweit die Behebung im Rahmen der angemessenen Kontrolle von Bluebeam liegt. Die vorliegenden Verpflichtungen gelten nicht für Vorfälle, die durch den Kunden oder die autorisierten Nutzer des Kunden verursacht werden.

8. ANFRAGEN ZUM ZUGRIFF VON BEHÖRDEN

8.1 Bluebeam-Anforderungen. In ihrer Rolle als Auftragsverarbeiter wird Bluebeam geeignete Maßnahmen zum Schutz personenbezogener Daten gemäß den Anforderungen der Datenschutzgesetze und -vorschriften aufrechterhalten, einschließlich der Implementierung geeigneter technischer und organisatorischer Schutzmaßnahmen, um personenbezogene Daten vor Eingriffen zu schützen, die über das hinausgehen, was in einer demokratischen Gesellschaft zur Wahrung der nationalen Sicherheit, Verteidigung und öffentlichen Sicherheit erforderlich ist. Wenn Bluebeam eine rechtsverbindliche Anfrage zum Zugriff auf personenbezogene Daten von einer Behörde erhält, soll Bluebeam, sofern nicht anderweitig gesetzlich verboten, den Kunden unverzüglich benachrichtigen, einschließlich einer Übersicht über die Art der Anfrage. Soweit Bluebeam gesetzlich daran gehindert ist, eine solche Benachrichtigung zu senden, wird Bluebeam wirtschaftlich angemessene Anstrengungen unternehmen, um einen Verzicht auf das Verbot zu erwirken, damit Bluebeam so viele Informationen wie möglich, so schnell wie möglich kommunizieren kann. Des Weiteren wird Bluebeam die Anfrage anfechten, wenn das Unternehmen nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass die Anfrage rechtswidrig ist. Bluebeam wird Berufungsmöglichkeiten verfolgen. Beim Anfechten einer Anfrage wird Bluebeam Interimsmaßnahmen anstreben, um die Wirkungen der Anfrage auszusetzen, bis die zuständige Justizbehörde über deren Begründetheit entschieden hat. Es darf die angeforderten personenbezogenen Daten nicht offenlegen, es sei denn, dies ist gemäß den geltenden Verfahrensvorschriften erforderlich. Bluebeam erklärt sich damit einverstanden, bei der Beantwortung einer Offenlegungsanfrage, basierend auf einer angemessenen Auslegung der Anfrage, nur das zulässige Mindestmaß an Informationen bereitzustellen. Bluebeam benachrichtigt den Kunden unverzüglich, wenn Bluebeam von einem direkten Zugriff einer öffentlichen Behörde auf personenbezogene Daten Kenntnis erlangt und stellt Bluebeam diesbezüglich zur Verfügung stehende Informationen bereit, soweit gesetzlich zulässig. Zur Vermeidung von Zweifeln darf diese DPA Bluebeam nicht dazu verpflichten, Handlungen oder Unterlassungen vorzunehmen, die für Bluebeam zu zivil- oder strafrechtlichen Sanktionen wie etwa einer Missachtung des Gerichts führen könnten.

8.2. Anforderungen an Unterauftragsverarbeiter. Bluebeam stellt sicher, dass Unterauftragsverarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, den relevanten Verpflichtungen bezüglich staatlicher Zugriffsanfragen in den Standardvertragsklauseln unterliegen, soweit anwendbar.

9. RÜCKGABE UND LÖSCHUNG PERSONENBEZOGENER DATEN. Bluebeam wird personenbezogene Daten an den Kunden zurückgeben und, soweit nach geltendem Recht zulässig, personenbezogene Daten gemäß den im Vertrag festgelegten Verfahren und Zeitrahmen löschen. Bis personenbezogene Daten gelöscht oder zurückgegeben werden, hält sich Bluebeam weiterhin an diese DPA und deren Anhänge.

10. AUTORISIERTE PARTNERUNTERNEHMEN

10.1 Vertragliche Beziehung. Die Parteien erkennen an und erklären sich damit einverstanden, dass der Kunde durch die Ausführung der Vereinbarung diese DPA im eigenen Namen und, soweit zutreffend, im Namen und im Auftrag seiner autorisierten verbundenen Unternehmen abschließt, wodurch eine separate DPA zwischen Bluebeam und jedem dieser autorisierten verbundenen Unternehmen vorbehaltlich der Bestimmungen der Vereinbarung und dieses Abschnitts 10 und Abschnitts 11 entsteht. Jede autorisierte Konzerngesellschaft erklärt sich mit den Verpflichtungen gemäß diesem DPA und, soweit anwendbar, der Vereinbarung einverstanden. Zur Klarstellung ist ein autorisierter Partner keine Vertragspartei der Vereinbarung und wird auch keine, sondern ist ausschließlich Partei dieses DPA. Jeder Zugriff auf und jede Nutzung der Dienste und Inhalte durch autorisierte verbundene Unternehmen muss den Bestimmungen dieser Vereinbarung entsprechen, und jede Verletzung der Bestimmungen dieser Vereinbarung durch ein autorisiertes verbundenes Unternehmen gilt als Verletzung durch den Kunden.

10.2 Kommunikation. Der Kunde, der Vertragspartei der Vereinbarung ist, bleibt für die Koordination der gesamten Kommunikation mit Bluebeam im Rahmen dieser DPA verantwortlich und ist berechtigt, im Namen seiner autorisierten verbundenen Unternehmen jegliche Kommunikation im Zusammenhang mit dieser DPA zu tätigen und zu empfangen.

10.3 Rechte von autorisierten verbundenen Unternehmen. Soweit ein autorisiertes verbundenes Unternehmen Vertragspartei dieses DPA mit Bluebeam wird, ist es, soweit nach den anwendbaren Datenschutzgesetzen und -vorschriften erforderlich, berechtigt, die Rechte auszuüben und Rechtsmittel gemäß diesem DPA zu suchen, vorbehaltlich der folgenden Bestimmungen:

10.3.1  Soweit die anwendbaren Datenschutzgesetze und -vorschriften dem autorisierten verbundenen Unternehmen nicht vorschreiben, ein Recht oder einen Rechtsbehelf aus dieser DPA direkt und eigenständig gegen Bluebeam geltend zu machen, vereinbaren die Parteien, dass (i) ausschließlich der Kunde, der Vertragspartei der Vereinbarung ist, ein solches Recht oder einen solchen Rechtsbehelf im Namen des autorisierten verbundenen Unternehmens ausübt oder beantragt, und (ii) der Kunde, der Vertragspartei der Vereinbarung ist, solche Rechte gemäß dieser DPA nicht separat für jedes autorisierte verbundene Unternehmen einzeln, sondern in kombinierter Weise für sich selbst und alle seine autorisierten verbundenen Unternehmen gemeinsam ausübt (wie z. B. in Abschnitt 10.3.2 unten dargelegt).

10.3.2  Die Parteien sind sich einig, dass der Kunde, der die Vertragspartei der Vereinbarung ist, bei der Durchführung von Verfahren zum Schutz personenbezogener Daten alle angemessenen Maßnahmen ergreift, um Auswirkungen auf Bluebeam und seine Unterauftragsverarbeiter zu begrenzen, indem er, soweit dies vernünftigerweise möglich ist, mehrere Anfragen, die in seinem eigenen Namen und im Namen all seiner autorisierten verbundenen Unternehmen durchgeführt werden, in einem einzigen Audit zusammenfasst.

11. Haftungsbeschränkung. Die gesamte Haftung jeder Partei und all ihrer verbundenen Unternehmen, die sich aus dieser DPA und allen DPAs zwischen autorisierten verbundenen Unternehmen und Bluebeam ergibt oder damit zusammenhängt, sei es aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, unterliegt dem Abschnitt „Haftungsbeschränkung“ der Vereinbarung, und jeder Verweis in diesem Abschnitt auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und all ihrer verbundenen Unternehmen gemäß der Vereinbarung und aller DPAs zusammen. Zur Klarstellung gilt die Gesamthaftung von Bluebeam und seinen Partnerunternehmen für alle Forderungen des Kunden und all seiner autorisierten Partnerunternehmen, die sich aus der Vereinbarung und allen Datenverarbeitungsvereinbarungen (DPAs) ergeben oder damit in Zusammenhang stehen, insgesamt für alle Forderungen sowohl im Rahmen der Vereinbarung als auch aller gemäß der Vereinbarung abgeschlossenen DPAs, einschließlich durch den Kunden und alle autorisierten Partnerunternehmen, und ist insbesondere nicht so zu verstehen, dass sie einzeln und gesamtschuldnerisch für den Kunden und/oder für jedes autorisierte Partnerunternehmen gilt, das Vertragspartei einer solchen DPA ist.

12. EUROPA-SPEZIFISCHE BESTIMMUNGEN

12.1 Definitionen. Für die Zwecke dieses Abschnitts 12 und des Anhangs 1 werden diese Begriffe wie folgt definiert:

„EU-Standardvertragsklauseln Verantwortlicher zu Auftragsverarbeiter“ bedeutet die Standardvertragsklauseln Abschnitte I, II, III und IV (soweit zutreffend), soweit diese auf Modul Zwei (Verantwortlicher zu Auftragsverarbeiter) verweisen.

„EU-Standardvertragsklauseln Auftragsverarbeiter zu Auftragsverarbeiter“ bedeutet die Standardvertragsklauseln Abschnitte I, II, III und IV (soweit zutreffend), soweit diese auf Modul Drei (Auftragsverarbeiter zu Auftragsverarbeiter) verweisen.

12.2  DSGVO Bluebeam wird personenbezogene Daten gemäß den DSGVO-Anforderungen verarbeiten, die direkt für die Bereitstellung seiner Dienstleistungen durch Bluebeam gelten.

12.3 Kundenanweisungen. Bluebeam informiert den Kunden unverzüglich (i) wenn eine Anweisung des Kunden seiner Meinung nach einen Verstoß gegen die DSGVO darstellt; und/oder (ii) wenn Bluebeam den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten nicht folgen kann.

12.4 Übertragungsmechanismen für Datentransfers. Erfolgt bei der Erbringung der Dienstleistungen eine Übermittlung personenbezogener Daten, die der DSGVO oder einem anderen in Europa geltenden Gesetz zum Schutz oder zur Privatsphäre von Personen unterliegen, aus Europa in Länder, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze und -vorschriften Europas gewährleisten, so gelten die unten aufgeführten Übertragungsmechanismen für solche Übermittlungen und können von den Parteien direkt durchgesetzt werden, soweit solche Übermittlungen den Datenschutzgesetzen und -vorschriften Europas unterliegen:

  • Die EU-C-zu-P-Übertragungsklauseln. Soweit der Kunde und/oder sein autorisiertes verbundenes Unternehmen ein Verantwortlicher und ein Datenexporteur personenbezogener Daten ist und Bluebeam ein Auftragsverarbeiter und Datenimporteur bezüglich dieser personenbezogenen Daten ist, halten die Parteien die EU-C-zu-P-Übertragungsklauseln ein, vorbehaltlich der zusätzlichen Bestimmungen in Abschnitt 2 von Anhang 1; und/oder
  • Die EU-P-zu-P-Übertragungsklauseln. Sofern der Kunde und/oder dessen autorisiertes verbundenes Unternehmen ein Verarbeiter ist, der im Auftrag eines Verantwortlichen handelt und ein Datenexporteur personenbezogener Daten ist, und Bluebeam ein Verarbeiter und Datenimporteur in Bezug auf diese personenbezogenen Daten ist, halten sich die Parteien an die Bestimmungen der EU-P-zu-P-Übertragungsklauseln, vorbehaltlich der zusätzlichen Bestimmungen in den Abschnitten 2 und 3 von Anhang 1.

12,5.  Auswirkungen der lokalen Gesetze. Zum Zeitpunkt des Inkrafttretens hat Bluebeam keinen Grund zu der Annahme, dass die Gesetze und Praktiken in einem Drittland des Bestimmungsortes, die für die Verarbeitung der personenbezogenen Daten gelten, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugriff durch eine öffentliche Behörde genehmigen, Bluebeam daran hindern, seine Verpflichtungen gemäß dieser DPA zu erfüllen. Wenn Bluebeam begründet annimmt, dass bestehende oder zukünftig erlassene oder durchsetzbare Gesetze und Praktiken im Drittland des Bestimmungsorts, die für die Verarbeitung der personenbezogenen Daten anwendbar sind („lokale Gesetze“), Bluebeam daran hindern, seine Verpflichtungen aus diesem DPA zu erfüllen, muss es den Kunden unverzüglich benachrichtigen. In einem solchen Fall wird Bluebeam sich in zumutbarer Weise bemühen, dem betroffenen Kunden eine Änderung der Dienste zur Verfügung zu stellen oder eine wirtschaftlich zumutbare Änderung der Konfiguration oder Nutzung der Dienste durch den Kunden zu empfehlen, um die Einhaltung der lokalen Gesetze zu erleichtern, ohne den Kunden unzumutbar zu belasten. Sollte Bluebeam nicht in der Lage sein, eine solche Änderung unverzüglich vorzunehmen, kann der Kunde die entsprechenden Bestellformulare kündigen und die Übertragung personenbezogener Daten nur in Bezug auf diejenigen Dienste aussetzen, die von Bluebeam gemäß den örtlichen Gesetzen nicht bereitgestellt werden können, indem er eine schriftliche Mitteilung gemäß Abschnitt 8.12 der Vereinbarung zukommen lässt. Der Kunde erhält eine Rückerstattung aller im Voraus bezahlten Gebühren für den Zeitraum nach dem Inkrafttreten der Kündigung für diese gekündigten Dienstleistungen.

13.  CCPA Spezifische Bestimmungen.

13.1. Definitionen. Für die Zwecke dieses Abschnitts 13 haben großgeschriebene Begriffe, die in diesem Dokument nicht anderweitig definiert sind, die im CCPA angegebenen Definitionen.

13.2  Dienstleister-Einschränkungen. Die folgenden Einschränkungen, sofern sie nicht bereits durch andere Bestimmungen dieser DPA auferlegt werden, gelten für die Verarbeitung personenbezogener Daten von betroffenen Personen, die in Kalifornien ansässig sind. Bluebeam wird personenbezogene Daten nicht verkaufen oder weitergeben. Bluebeam darf personenbezogene Daten zu keinem anderen Zweck aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten als zur Erbringung der Dienstleistungen, wie im Vertrag oder im jeweiligen Bestellformular angegeben, oder für einen Zweck, der Dienstleistern gemäß CCPA gestattet ist. Bluebeam darf personenbezogene Daten außerhalb der direkten Geschäftsbeziehung zwischen Bluebeam und dem Kunden nicht speichern, verwenden, offenlegen oder anderweitig verarbeiten. Bluebeam darf personenbezogene Daten nicht mit Informationen zusammenführen, die es von einem anderen Kunden oder Dritten oder in deren Auftrag erhält. Bluebeam bestätigt, dass es diese Einschränkungen versteht und einhalten wird.

14. Parteien dieses DPA. Wo die Standardvertragsklauseln gelten, ist Bluebeam, Inc. der Unterzeichner der Standardvertragsklauseln. Ist die Bluebeam-Einheit, die Vertragspartei dieses DPA ist, nicht Bluebeam, Inc., so nimmt diese Bluebeam-Einheit die Pflichten des Datenimporteurs im Namen von Bluebeam, Inc. wahr.

15.  RECHTSWIRKUNG. Diese DPA wird erst rechtsverbindlich zwischen dem Kunden und Bluebeam (und Bluebeam, Inc., falls abweichend), wenn die formalen Schritte, die im obigen Abschnitt „HOW TO EXECUTE THIS DPA“ dargelegt sind, vollständig abgeschlossen sind.

Liste der Zeitpläne

Zeitplan 1: Übertragungsmechanismen für europäische Datenübertragungen

Zeitplan 2: Beschreibung der Verarbeitung/Übertragung

Ablaufplan 1

Transfermechanismen für europäische Datenübertragungen

1. STANDARDVERTRAGSKLAUSELN, BETRIEBSBESTIMMUNGEN UND ZUSÄTZLICHE BEDINGUNGEN 1.1. Für die Zwecke der EU-C-to-P-Übertragungsklauseln und der EU-P-to-P-Übertragungsklauseln ist der Kunde der Datenexporteur und Bluebeam der Datenimporteur, und die Parteien stimmen dem Folgenden zu. Sofern und soweit sich ein autorisiertes verbundenes Unternehmen für die Übermittlung personenbezogener Daten auf die EU-Standardvertragsklauseln für die Übermittlung von Daten von Verantwortlichen an Auftragsverarbeiter oder die EU-Standardvertragsklauseln für die Übermittlung von Daten von Auftragsverarbeitern an Auftragsverarbeiter stützt, umfassen sämtliche Verweise auf „Kunde“ in dieser Anlage ein solches autorisiertes verbundenes Unternehmen. Wenn dieser Abschnitt 1 nicht explizit EU C-to-P Übertragungsklauseln oder EU P-to-P Übertragungsklauseln erwähnt, gilt er für beide.

1.2. Bezug auf die Standardvertragsklauseln. Die einschlägigen Bestimmungen, die in den Standardvertragsklauseln enthalten sind, sind durch Bezugnahme Bestandteil dieses DPA und ein integraler Bestandteil davon. Die für die Zwecke des Anhangs zu den Standardvertragsklauseln erforderlichen Informationen sind in Anhang 2 aufgeführt.

1.3. Andockklausel. Die Option unter Klausel 7 findet keine Anwendung.

1.4. Anweisungen. Diese DPA und die Vereinbarung sind die vollständigen und endgültigen dokumentierten Anweisungen des Kunden zum Zeitpunkt der Unterzeichnung des Bestellformulars an Bluebeam für die Verarbeitung personenbezogener Daten. Alle zusätzlichen oder abweichenden Anweisungen müssen mit den Bedingungen dieser DPA und der Vereinbarung übereinstimmen. Für die Zwecke der Klausel 8.1(a) sind die Anweisungen des Kunden zur Verarbeitung personenbezogener Daten in Abschnitt 2.3 dieses DPA aufgeführt und umfassen Weiterleitungen an einen Dritten außerhalb Europas zum Zwecke der Erbringung der Dienstleistungen.

1.5. Zertifizierung der Löschung. Die Parteien vereinbaren, dass die Bescheinigung über die Löschung personenbezogener Daten, die in den Klauseln 8.5 und 16(d) der Standardvertragsklauseln beschrieben ist, von Bluebeam dem Kunden nur auf dessen schriftliche Anfrage hin zur Verfügung gestellt wird.

1.6. Sicherheit der Verarbeitung. Für die Zwecke von Abschnitt 8.6 Buchstabe a) ist der Kunde allein dafür verantwortlich, unabhängig zu prüfen, ob die in der Sicherheitsdokumentation dargelegten technischen und organisatorischen Maßnahmen den Anforderungen des Kunden entsprechen, und stimmt zu, dass (unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung seiner personenbezogenen Daten sowie der Risiken für betroffene Personen) die von Bluebeam implementierten und aufrechterhaltenen Sicherheitsmaßnahmen und -richtlinien ein dem Risiko angemessenes Sicherheitsniveau in Bezug auf seine personenbezogenen Daten bieten. Für die Zwecke von Klausel 8.6(c) werden Verletzungen des Schutzes personenbezogener Daten gemäß Abschnitt 7 (Verwaltung und Meldung von Vorfällen mit personenbezogenen Daten) dieser DPA behandelt.

1.7. Prüfungen der SCCs. Die Parteien vereinbaren, dass die in Klausel 8.9 der Standardvertragsklauseln beschriebenen Prüfungen gemäß Abschnitt 6.2 dieser DPA durchgeführt werden sollen.

1.8. Allgemeine Genehmigung zur Nutzung von Unterauftragsverarbeitern. Option 2 gemäß Klausel 9 gilt. Für die Zwecke von Ziffer 9(a) hat Bluebeam die allgemeine Genehmigung des Kunden, Unterauftragsverarbeiter gemäß Abschnitt 5 dieses AVV zu beauftragen. Bluebeam stellt dem Kunden die aktuelle Liste der Unterauftragsverarbeiter gemäß Abschnitt 5.2 dieses DPA zur Verfügung. Wo Bluebeam im Zusammenhang mit der Erbringung der Dienste EU-P2P-Übertragungsklauseln mit einem Unterverarbeiter eingeht, erteilt der Kunde hiermit Bluebeam und den verbundenen Unternehmen von Bluebeam die Befugnis, eine allgemeine Genehmigung im Namen des Verantwortlichen für die Beauftragung von Unterverarbeitern durch Unterverarbeiter, die an der Erbringung der Dienste beteiligt sind, sowie die Entscheidungs- und Genehmigungsbefugnis für die Hinzufügung oder den Ersatz solcher Unterverarbeiter zu erteilen.

1.9. Benachrichtigung über neue Unterauftragsverarbeiter und Widerspruchsrecht gegen diese. Gemäß Klausel 9(a) bestätigt und erklärt der Kunde ausdrücklich, dass Bluebeam neue Unterauftragsverarbeiter gemäß Abschnitt 5.2 und 5.3 dieser DPA einsetzen darf. Bluebeam informiert den Kunden über Änderungen an Unterauftragsverarbeitern gemäß dem in Abschnitt 5.2 dieser DPA beschriebenen Verfahren.

1.10 Beschwerden – Abhilfe. Für die Zwecke der Klausel 11 und vorbehaltlich des Abschnitts 3 dieser DPA informiert Bluebeam die betroffenen Personen auf seiner Website über eine zur Bearbeitung von Beschwerden befugte Kontaktstelle. Bluebeam informiert den Kunden, wenn es eine Beschwerde oder eine Streitigkeit eines Betroffenen bezüglich personenbezogener Daten erhält, und teilt die Beschwerde oder Streitigkeit dem Kunden unverzüglich mit. Bluebeam ist ansonsten nicht verpflichtet, die Anfrage zu bearbeiten (sofern nicht anders mit dem Kunden vereinbart). Die Option unter Klausel 11. findet keine Anwendung.

1.11 Haftung. Die Haftung von Bluebeam gemäß Klausel 12(b) ist auf Schäden beschränkt, die durch ihre Verarbeitung verursacht werden, wenn Bluebeam seinen Verpflichtungen gemäß der DSGVO, die sich speziell an Auftragsverarbeiter richten, nicht nachgekommen ist oder wenn sie außerhalb oder entgegen den rechtmäßigen Anweisungen des Kunden gehandelt hat, wie in Artikel 82 DSGVO festgelegt.

1.12. Überwachung. Klausel 13 gilt wie folgt:

1.12.1. Ist der Kunde in einem EU-Mitgliedstaat niedergelassen, fungiert die Aufsichtsbehörde, die für die Einhaltung der Verordnung (EU) 2016/679 durch den Kunden in Bezug auf die Datenübertragung zuständig ist, als zuständige Aufsichtsbehörde.

1.12.2. Ist der Kunde nicht in einem EU-Mitgliedstaat niedergelassen, jedoch in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat, ist die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne des Artikels 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, die zuständige Aufsichtsbehörde.

1.12.3. Soweit der Kunde nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 bestellen zu müssen, fungiert die bayerische Datenschutzaufsichtsbehörde für den privaten Sektor (Bayerisches Landesamt für Datenschutzaufsicht), Promenade 27, 91522 Ansbach, Deutschland, als zuständige Aufsichtsbehörde.

1.12.4. Ist der Kunde im Vereinigten Königreich ansässig oder fällt er in den territorialen Geltungsbereich der britischen Datenschutzgesetze und -vorschriften, so fungiert das Büro des Informationsbeauftragten als zuständige Aufsichtsbehörde.

1.12.5. Sofern der Kunde in der Schweiz ansässig ist oder in den territorialen Anwendungsbereich der Schweizer Datenschutzgesetze und -vorschriften fällt, fungiert der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte als zuständige Aufsichtsbehörde, soweit die betreffende Datenübermittlung durch die Schweizer Datenschutzgesetze und -vorschriften geregelt ist.

1.13 Benachrichtigung über Zugriffsanfragen der Behörden. Für die Zwecke von Klausel 15(1)(a) benachrichtigt Bluebeam im Falle von behördlichen Zugriffsanfragen ausschließlich den Kunden und nicht die betroffenen Person(en). Der Kunde ist allein dafür verantwortlich, den Datensubjekt bei Bedarf umgehend zu benachrichtigen.

1.14. Anwendbares Recht. Das anwendbare Recht für die Zwecke der Klausel 17 ist das Recht, das im Abschnitt „Geltendes Recht“ des Vertrags festgelegt ist. Falls der Vertrag nicht dem Recht eines EU-Mitgliedstaates unterliegt, werden die Standardvertragsklauseln entweder (i) von den Gesetzen Deutschlands; oder (ii) dort, wo der Vertrag den Gesetzen des Vereinigten Königreichs unterliegt, von den Gesetzen des Vereinigten Königreichs bestimmt.

1.15 Wahl des Forums und der Gerichtsbarkeit. Falls die Vereinbarung kein Gericht eines EU-Mitgliedstaates als ausschließlich zuständig für die Beilegung von Streitigkeiten oder Klagen festlegt, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben, vereinbaren die Parteien, dass die Gerichte entweder (i) Deutschlands; oder (ii) soweit die Vereinbarung das Vereinigte Königreich als ausschließlich zuständig festlegt, des Vereinigten Königreichs, die ausschließliche Zuständigkeit für die Beilegung aller Streitigkeiten haben, die sich aus den Standardvertragsklauseln ergeben. Für Datensubjekte, die ihren gewöhnlichen Wohnsitz in der Schweiz haben, sind die Gerichte der Schweiz ein alternativer Gerichtsstand in Bezug auf Streitigkeiten.

1.16. Anhang. Der Anhang wird wie folgt ausgefüllt:

● Der Inhalt von Abschnitt 1 von Anlage 2 bildet Anhang I.A der Standardvertragsklauseln.

● Der Inhalt der Abschnitte 2 bis 9 von Anlage 2 bildet Anhang I.B der Standardvertragsklauseln.

● Der Inhalt von Abschnitt 10 von Anlage 2 bildet Anhang I.C der Standardvertragsklauseln.

● Der Inhalt von Abschnitt 11 von Anlage 2 dieses Dokuments bildet Anhang II der Standardvertragsklauseln.

1.17 Datenexporte aus dem Vereinigten Königreich und der Schweiz unter den Standardvertragsklauseln. Im Falle von Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich und/oder Übermittlungen personenbezogener Daten aus der Schweiz, die ausschließlich den Datenschutzgesetzen und -vorschriften der Schweiz („Schweizer Datenschutzgesetze“) unterliegen, (i) haben allgemeine und spezifische Verweise in den Standardvertragsklauseln auf die DSGVO oder auf EU- oder Mitgliedstaatenrecht dieselbe Bedeutung wie die entsprechenden Verweise in den Datenschutzgesetzen und -vorschriften des Vereinigten Königreichs („britische Datenschutzgesetze“) oder den Schweizer Datenschutzgesetzen, je nachdem, was zutrifft; und (ii) bezieht sich jede andere Verpflichtung in den Standardvertragsklauseln, die durch den Mitgliedstaat bestimmt wird, in dem der Datenexporteur oder die betroffene Person ansässig ist, auf eine Verpflichtung gemäß den Datenschutzgesetzen des Vereinigten Königreichs oder den Schweizer Datenschutzgesetzen, je nachdem, was zutrifft. In Bezug auf Datenübertragungen, die den Schweizer Datenschutzgesetzen unterliegen, gelten die Standardvertragsklauseln auch für die Übertragung von Informationen, die sich auf eine identifizierte oder identifizierbare juristische Person beziehen, wenn diese Informationen unter den Schweizer Datenschutzgesetzen ähnlich wie personenbezogene Daten geschützt sind, bis diese Gesetze geändert werden und nicht mehr für eine juristische Person gelten.

1.18 Konflikt. Die Standardvertragsklauseln unterliegen dieser DPA und den hierin festgelegten zusätzlichen Schutzmaßnahmen. Die Rechte und Pflichten, die durch die Standardvertragsklauseln gewährt werden, werden in Übereinstimmung mit dieser DPA ausgeübt, sofern nicht anders angegeben. Im Falle von Widersprüchen oder Unstimmigkeiten zwischen dem Hauptteil dieses DPA und den Standardvertragsklauseln sind die Standardvertragsklauseln maßgeblich.

2.  ZUSÄTZLICHE BEDINGUNGEN FÜR DIE EU-P2P-ÜBERTRAGUNGSKLAUSELN Für die Zwecke der EU-P2P-Übertragungsklauseln (ausschließlich) vereinbaren die Parteien Folgendes.

2.1. Anweisungen und Benachrichtigungen. Für die Zwecke der Klausel 8.1(a) informiert der Kunde Bluebeam hiermit, dass er als Verarbeiter gemäß den Anweisungen des jeweiligen Verantwortlichen in Bezug auf personenbezogene Daten fungiert. Der Kunde gewährleistet, dass seine Verarbeitungshinweise, wie sie in der Vereinbarung und diesem DPA festgelegt sind, einschließlich seiner Berechtigungen an Bluebeam für die Bestellung von Unterauftragsverarbeitern gemäß diesem DPA, vom relevanten Controller autorisiert wurden. Der Kunde ist allein dafür verantwortlich, alle von Bluebeam erhaltenen Benachrichtigungen an den/die jeweiligen Verantwortlichen weiterzuleiten, sofern angemessen.

2.2. Sicherheit der Verarbeitung. Für die Zwecke der Klausel 8.6(c) und (d) hat Bluebeam dem Kunden einen Verstoß gegen den Schutz personenbezogener Daten, der von Bluebeam verarbeitete personenbezogene Daten betrifft, zu melden.

2.3. Dokumentation und Konformität. Für die Zwecke der Klausel 8.9 werden alle Anfragen des zuständigen Verantwortlichen Bluebeam vom Kunden zur Verfügung gestellt. Wenn Bluebeam eine Anfrage direkt von einem Controller erhält, leitet es die Anfrage an den Kunden weiter, und der Kunde ist allein dafür verantwortlich, auf jede solche Anfrage des betreffenden Controllers, sofern zutreffend, zu antworten.

2,4. Datensubjektrechte. Für die Zwecke von Klausel 10 und vorbehaltlich Abschnitt 3 dieser DPA benachrichtigt Bluebeam den Kunden über jede Anfrage, die es direkt von einem Betroffenen erhalten hat, ohne zur Bearbeitung verpflichtet zu sein (sofern nicht anders vereinbart), darf aber den zuständigen Verantwortlichen nicht benachrichtigen. Der Kunde ist allein verantwortlich für die Zusammenarbeit mit dem entsprechenden Verantwortlichen bei der Erfüllung der entsprechenden Verpflichtungen, um auf eine solche Anfrage zu antworten.

Ablaufplan 2

BESCHREIBUNG DER VERARBEITUNG/ÜBERTRAGUNG

1. 

**PARTEIENLISTE**

**Datenexporteur(en):**

  • Name: Kunde und seine autorisierten verbundenen Unternehmen.
  • Adresse: Wie aufgeführt in dem Bestellformular/der Vereinbarung.
  • Name, Position und Kontaktdaten des Ansprechpartners: gemäß Bestellformular/Vereinbarung.
  • Aktivitäten im Zusammenhang mit den Daten, die gemäß diesen Klauseln übertragen werden: Leistung der Dienste gemäß der Vereinbarung und wie in der Dokumentation näher beschrieben.
  • Rolle: Im Sinne der EU C-to-P Transferklauseln ist der Kunde und/oder sein autorisiertes Tochterunternehmen ein Controller. Für die Zwecke der EU-P2P-Übertragungsklauseln ist der Kunde und/oder sein autorisierter Partner ein Auftragsverarbeiter.

Datenimporteur(e):

  • Name: Bluebeam, Inc.
  • Adresse: 55 South Lake Avenue, Suite 260, Pasadena, CA 91101, USA
  • Name, Position und Kontaktdaten der Kontaktperson: Datenschutzbeauftragter, David Ross, [email protected]
  • Aktivitäten im Zusammenhang mit den Daten, die gemäß diesen Klauseln übertragen werden: Leistung der Dienste gemäß der Vereinbarung und wie in der Dokumentation näher beschrieben.

Rolle: Auftragsverarbeiter

2.   KATEGORIEN VON BETROFFENEN PERSONEN, DEREN PERSONENBEZOGENE DATEN ÜBERMITTELT WERDEN

Der Kunde kann personenbezogene Daten an die Dienste übermitteln, wobei der Umfang dieser Daten vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem personenbezogene Daten in Bezug auf die folgenden Kategorien von betroffenen Personen umfassen können:

  • Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (natürliche Personen)
  • Mitarbeiter oder Kontaktpersonen von Kundeninteressenten, Kunden, Geschäftspartnern und Lieferanten des Kunden
  • Mitarbeiter, Agenten, Berater, Freiberufler des Kunden (die natürliche Personen sind)
  • Vom Kunden autorisierte Nutzer zur Nutzung der Dienste

3. KATEGORIEN DER ÜBERMITTELTEN PERSONENBEZOGENEN DATEN

Der Kunde kann personenbezogene Daten an die Dienstleistungen übermitteln oder Bluebeam kann personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit der Bereitstellung der Dienstleistungen empfangen oder anderweitig verarbeiten, deren Umfang vom Kunden nach eigenem Ermessen festgelegt und kontrolliert wird und die folgende Kategorien personenbezogener Daten umfassen kann, diese aber nicht darauf beschränkt ist:

  • Vor- und Nachname
  • Titel
  • Position
  • Arbeitgeber
  • Kontaktinformationen (Unternehmen, E-Mail, Telefon, physische Geschäftsadresse)
  • ID-Daten
  • Berufslebensdaten
  • Lokalisierungsdaten
  • Servicenutzungsdaten

4. Sensible Daten übertragen (falls zutreffend)

Keine.

5. Häufigkeit der Übertragung

Laufend, abhängig von der Nutzung der Dienste durch den Kunden.

6. ART DER VERARBEITUNG

Die Art der Verarbeitung besteht in der Erbringung der Dienstleistungen gemäß der Vereinbarung.

7. ZWECK DER VERARBEITUNG, DER DATENÜBERTRAGUNG UND DER WEITEREN VERARBEITUNG

Bluebeam wird personenbezogene Daten verarbeiten, soweit dies zur Erbringung der Dienste gemäß der Vereinbarung erforderlich ist und soweit vom Kunden in seiner Nutzung der Dienste angewiesen.

8. DAUER DER VERARBEITUNG

Vorbehaltlich Abschnitt 9 der DPA wird Bluebeam personenbezogene Daten für die Dauer der Vereinbarung verarbeiten, sofern schriftlich nichts anderes vereinbart wurde.

9. Subunternehmer-Übertragungen

Wie unter 7. oben beschrieben, wird der Subunternehmer personenbezogene Daten verarbeiten, soweit dies zur Erbringung der Services gemäß der Vereinbarung erforderlich ist. Vorbehaltlich Abschnitt 9 dieser DPA wird der Unterauftragsverarbeiter personenbezogene Daten für die Dauer der Vereinbarung verarbeiten, sofern nicht anders schriftlich vereinbart.

10. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

  • Wo der Datenexporteur in einem EU-Mitgliedstaat ansässig ist: Die Aufsichtsbehörde, die für die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur hinsichtlich der Datenübermittlung zuständig ist, fungiert als zuständige Aufsichtsbehörde.
  • Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in deren territorialen Anwendungsbereich und hat er einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 bestellt, so ist die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, als zuständige Aufsichtsbehörde tätig.
  • Falls der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß ihrem Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen, fungiert das Bayerische Landesamt für Datenschutzaufsicht, Promenade 27, 91522 Ansbach, Deutschland, als zuständige Aufsichtsbehörde.
  • Sofern der Datenexporteur in Großbritannien ansässig ist oder in den territorialen Anwendungsbereich der britischen Datenschutzgesetze und -vorschriften fällt, fungiert das Büro des Informationskommissars als die zuständige Aufsichtsbehörde.
  • Wo der Datenexporteur in der Schweiz ansässig ist oder in den territorialen Geltungsbereich der schweizerischen Datenschutzgesetze und -vorschriften fällt, fungiert der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte als zuständige Aufsichtsbehörde, sofern die entsprechende Datenübermittlung schweizerischen Datenschutzgesetzen und -vorschriften unterliegt.

11.  TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Der Datenimporteur wird administrative, physische und technische Sicherheitsvorkehrungen zum Schutz der Sicherheit, Vertraulichkeit und Integrität der in die SCC-Dienste hochgeladenen personenbezogenen Daten aufrechterhalten, wie in der Sicherheitsdokumentation für die vom Datenexporteur gekauften spezifischen Dienste beschrieben und über https://bluebeam.com/legal/security zugänglich. oder anderweitig vom Datenimporteur zumutbar bereitgestellt. Der Datenimporteur wird die gesamte Sicherheit der Dienstleistungen während der Laufzeit der Vereinbarung nicht wesentlich verringern. Anträge betroffener Personen sind in Übereinstimmung mit Abschnitt 3 der DPA zu behandeln.

Diese Version wurde ausschließlich aus Gründen der Benutzerfreundlichkeit ins Deutsche übersetzt. Alle relevanten und verbindlichen Bestimmungen sind in amerikanischem Englisch verfasst und sollten zur Kenntnis genommen werden.