[:de]

Rechtliches

Zusatz zur Datenverarbeitung (DPA)

Dieser Zusatz zur Datenverarbeitung („DPA“) ist ein Anhang zum Abonnentenvertrag zwischen der controlex GmbH als Markeninhaber von GroupLotse (im Folgenden „GroupLotse“) und dem Kunden und unterliegt dessen Bedingungen, soweit hier nicht anders vereinbart. Er ist nur im Zusammenhang mit dem Abonnentenvertrag zwischen GroupLotse und dem Kunden rechtskräftig. Der Abonnentenvertrag mit all seinen Anhängen (einschließlich dieses DPA) wird gemeinsam als „Vertrag“ bezeichnet.

I. Definitionen des DPA

Für diesen DPA gelten die Definitionen der Servicevereinbarung. Darüber hinaus gelten für die Zwecke dieses DPA die folgenden Definitionen:

Personenbezogene Daten sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person (die betroffene Person), unabhängig davon, ob eine solche Identifizierung direkt oder indirekt erfolgt oder erfolgen kann.

Personenbezogene Kundendaten sind die personenbezogenen Daten des Kunden oder Daten, die anderweitig im Zusammenhang mit dem Geschäft des Kunden stehen.

Verarbeitung bedeutet Vorgänge und Handlungen, die personenbezogene Daten betreffen oder einschließen, wie z.B. das Erheben, das Erfassen, die Organisation, die Speicherung, die Anpassung oder Veränderung, das Auslesen oder die Verwendung.

Datenverantwortlicher ist die Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

Die betroffene Person ist die natürliche Person, deren personenbezogene Daten verarbeitet werden. Datenverarbeiter ist die Stelle, die personenbezogene Daten im Auftrag und nach Anweisung des Verantwortlichen verarbeitet.

Datenschutzverletzung bedeutet eine Sicherheitsverletzung, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von, oder beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Anwendbares Recht ist das Recht und die Praxis, die sich aus der Datenschutz-Grundverordnung (DSGVO), den nationalen Rechtsvorschriften zur Umsetzung oder Ergänzung der Datenschutz-Grundverordnung, den Verordnungen und Erklärungen der Aufsichtsbehörden, einschließlich des Europäischen Datenschutz-Ausschusses, und den Handlungen der Kommission ergeben.

Subunternehmer ist ein Unternehmen, das personenbezogene Daten nach den Anweisungen des Verarbeiters als Subverarbeiter des Verarbeiters verarbeitet.

II. Zweck

GroupLotse stellt dem Kunden die im Abonnentenvertrag genannten Dienstleistungen zur Verfügung. Im Rahmen der Erbringung der Dienstleistungen für den Kunden gemäß dem Servicevertrag kann GroupLotse personenbezogene Daten im Auftrag des Kunden verarbeiten. Ziel dieses DPA ist es, die Bedingungen für die Verarbeitung personenbezogener Kundendaten im Zusammenhang mit den Diensten zu vereinbaren.

III. Verpflichtungen des Kunden

A. Datenverantwortlicher

Der Kunde ist der Datenverantwortliche in Bezug auf die im Rahmen dieses DPA und des Servicevertrags verarbeiteten personenbezogenen Kundendaten und er ist für die rechtmäßige Erhebung, Verarbeitung und Verwendung sowie für die Richtigkeit der personenbezogenen Kundendaten und die Erfüllung anderer gesetzlicher Verpflichtungen eines Datenverantwortlichen verantwortlich. Der Kunde ist dafür verantwortlich, die betroffenen Personen über die Offenlegung ihrer personenbezogenen Daten zu informieren und gegebenenfalls ihre Zustimmung für diese Offenlegung einzuholen.

Der Kunde erkennt an, dass der Auftragsverarbeiter die ihm zur Verarbeitung im Namen des Kunden offengelegten oder übermittelten personenbezogenen Kundendaten nicht kontrollieren kann und nicht verpflichtet ist, diese zu überprüfen, wenn der Kunde die Dienste nutzt. Der Kunde gewährleistet und haftet dafür, dass er über die entsprechende Rechtsgrundlage verfügt, um die personenbezogenen Kundendaten an den Auftragsverarbeiter zu übermitteln und offenzulegen, damit der Auftragsverarbeiter die personenbezogenen Kundendaten wie zwischen den Parteien vereinbart rechtmäßig verarbeiten kann.

B. Anweisungen

Der Kunde bestätigt, dass die Anweisungen des Kunden zur Verarbeitung der personenbezogenen Kundendaten („Anweisungen“) im Vertrag vollständig enthalten sind. Für den Fall, dass der Kunde seine Anweisungen nachträglich ändern möchte, nutzt er in erster Linie die von den Diensten angebotenen Funktionen. Sollten diese Funktionen jedoch nicht ausreichen, um diese neuen Anweisungen umzusetzen, so hat sich der Kunde schriftlich mit dem Verarbeiter in Verbindung zu setzen. Wenn der Umfang dieser neuen Anweisungen über die Dienstleistungen hinausgeht, ist der Verarbeiter berechtigt, dem Kunden alle zusätzlichen Kosten in Rechnung zu stellen, die im Zusammenhang mit der Ausführung dieser neuen Anweisungen durch den Verarbeiter entstehen. Die Anweisungen müssen wirtschaftlich sinnvoll sein, den geltenden Gesetzen entsprechen und mit dem Vertrag übereinstimmen.

IV. Verpflichtungen von GroupLotse

A. Datenverarbeiter

GroupLotse ist der Verarbeiter der im Rahmen des Vertrags verarbeiteten personenbezogenen Kundendaten. GroupLotse verpflichtet sich, die anwendbaren Gesetze und Anweisungen des Kunden für die gesamte Verarbeitung der personenbezogenen Kundendaten einzuhalten. Der Verarbeiter darf die personenbezogenen Kundendaten nicht kopieren oder reproduzieren oder diese auf sonstige Weise für andere Zwecke als die im Vertrag vereinbarten verarbeiten.

Der Verarbeiter benachrichtigt den Kunden, wenn er nach allgemeinem Ermessen davon ausgeht, dass neue Anweisungen des Kunden gegen die geltenden Gesetze verstoßen. Der Verarbeiter kann die Umsetzung dieser neuen Anweisung aussetzen, bis sie vom Kunden geändert oder bestätigt wird. Der Kunde ist stets für alle seine Anweisungen, die den geltenden Gesetzen entsprechen, verantwortlich. Der Verarbeiter ist nur dann verpflichtet, den Kunden zu benachrichtigen, wenn er drohende Verstöße gegen die geltenden Gesetze in den Anweisungen feststellt, ist aber ansonsten nicht verpflichtet, die Übereinstimmung der Anweisungen mit den geltenden Gesetzen zu kontrollieren oder zu überprüfen.

B. Unterstützung

GroupLotse verpflichtet sich, den Kunden bei der Erfüllung seiner Pflichten als Datenverarbeiter der von GroupLotse verarbeiteten personenbezogenen Kundendaten angemessen zu unterstützen. Diese Verpflichtungen können die Unterstützung des Kunden bei der Beantwortung von Anträgen oder Anfragen der zuständigen Aufsichtsbehörden, die Durchführung von Datenschutz-Folgenabschätzungen und das Ersuchen von vorheriger Konsultation bei den Aufsichtsbehörden sowie die Unterstützung des Kunden bei der Umsetzung von Anfragen von betroffenen Personen zu ihren Rechten nach den anwendbaren Gesetzen umfassen.

Was die Unterstützung bei der Beantwortung von Anfragen einer betroffenen Person anbelangt, die ihre Rechte gemäß den anwendbaren Gesetzen ausübt (wie das Auskunftsrecht und das Recht auf Berichtigung oder Löschung), muss der Kunde zunächst die entsprechenden Funktionen des Services nutzen. Wenn und soweit der Kunde auf eine solche Anfrage nicht mit Hilfe der Funktionen des Service reagieren kann, leistet GroupLotse dem Kunden anderweitig wirtschaftlich sinnvolle Unterstützung. GroupLotse ist berechtigt, die durch diese Unterstützung entstehenden angemessenen Mehrkosten in Rechnung zu stellen, und der Kunde ist verpflichtet, die von GroupLotse in Rechnung gestellten Mehrkosten zu bezahlen.

Falls eine betroffene Person, eine andere Person oder Aufsichtsbehörde GroupLotse direkt um Unterstützung bei den personenbezogenen Kundendaten ersucht (z.B. Antrag auf Auskunft, Berichtigung oder Löschung, Bereitstellung von Informationen oder Durchführung anderer Maßnahmen), informiert GroupLotse den Kunden so schnell wie möglich und im Rahmen des geltenden Rechts darüber.

C. Weitergabe personenbezogener Daten

GroupLotse verarbeitet hauptsächlich personenbezogene Kundendaten innerhalb des Europäischen Wirtschaftsraums („EWR“). Um die Dienstleistungen erbringen zu können, muss GroupLotse jedoch von Zeit zu Zeit die personenbezogenen Kundendaten auch außerhalb des EWR offenlegen oder übermitteln. Diese Situationen können Fälle umfassen, in denen sich die Subunternehmer von GroupLotse oder deren Systeme außerhalb des EWR befinden. In solchen Fällen trifft GroupLotse stets die notwendigen rechtlichen Vorkehrungen, um die Sicherheit und Vertraulichkeit der personenbezogenen Kundendaten in Übereinstimmung mit den geltenden Gesetzen zu gewährleisten. Der Kunde anerkennt und akzeptiert diese Offenlegungen und Übermittlungen im Zusammenhang mit den Diensten. Auf Verlangen des Kunden stellt GroupLotse dem Kunden weitere Informationen über solche Übermittlungen und die getroffenen rechtlichen Vorkehrungen zur Verfügung.

Das Recht von GroupLotse, Subunternehmer einzusetzen, ist weiter unten in Abschnitt VI beschrieben.

D. Datenschutzbeauftragter

GroupLotse hat einen Datenschutzbeauftragten ernannt, der sich um den Datenschutz kümmert. Falls nach geltendem Recht erforderlich, teilt GroupLotse dem Kunden auf Anfrage die entsprechenden Kontaktdaten mit.

E. Mitarbeiter

GroupLotse macht seine Mitarbeiter, die an der Verarbeitung personenbezogener Daten (einschließlich personenbezogener Kundendaten) beteiligt sind, mit den Datenschutzbestimmungen der geltenden Gesetze vertraut, erteilt ihnen Anweisungen, schult sie und gewährleistet, dass diese Mitarbeiter sich zur angemessenen Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Hat der Kunde spezifische Anweisungen zur Verarbeitung der personenbezogenen Kundendaten erteilt, unterrichtet GroupLotse auch seine an der Verarbeitung der personenbezogenen Kundendaten beteiligten Mitarbeiter über den Inhalt dieser Anweisungen.

F. Sicherheit

GroupLotse setzt angemessene technische und organisatorische Sicherheitsmaßnahmen ein und erhält diese aufrecht, um alle von ihr verarbeiteten personenbezogenen Daten (einschließlich der personenbezogenen Kundendaten) zu schützen. GroupLotse wählt solche Sicherheitsmaßnahmen nach eigenem Ermessen, z.B. auf der Grundlage von Industriestandards, Marktpraktiken und den spezifischen Anforderungen der anwendbaren Gesetze. GroupLotse kann seine Sicherheitsmaßnahmen von Zeit zu Zeit ändern, wird aber das allgemeine Sicherheitsniveau während der Laufzeit des DPA nicht verringern.

GroupLotse gewährleistet jederzeit die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die sie für die Verarbeitung personenbezogener Daten verwendet. GroupLotse prüft, untersucht und bewertet regelmäßig die Wirksamkeit der von GroupLotse durchgeführten technischen und organisatorischen Sicherheitsmaßnahmen. GroupLotse verpflichtet sich, Regelungsentscheidungen über geeignete Sicherheitsmaßnahmen für die Verarbeitung personenbezogener Daten einzuhalten.

Im Falle eines Sicherheitsvorfalls, der zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den von GroupLotse verarbeiteten personenbezogenen Kundendaten führt („Sicherheitsvorfall“), informiert GroupLotse den Kunden unverzüglich über diesen Sicherheitsvorfall.

Eine solche Benachrichtigung über einen Sicherheitsvorfall muss mindestens die nach den anwendbaren Gesetzen erforderlichen Angaben enthalten:

1. eine Beschreibung der Art und des Umfangs des Sicherheitsvorfalls, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der von dem Sicherheitsvorfall betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der von dem Sicherheitsvorfall betroffenen personenbezogenen Kundendaten;

2. Name und Kontaktdaten des Datenschutzbeauftragten von GroupLotse (falls ernannt) oder anderer Kontaktstellen, bei denen weitere Informationen erhältlich sind;

3. eine Beschreibung der geschätzten Folgen des Sicherheitsvorfalls und

4. eine Beschreibung der Maßnahmen, die GroupLotse ergriffen hat oder zu ergreifen gedenkt, um den Sicherheitsvorfall zu beheben und zu berichtigen, einschließlich Maßnahmen zur Abschwächung seiner möglichen negativen Auswirkungen.

Die oben genannten Informationen über den Sicherheitsvorfall können auch in Phasen bereitgestellt werden, wenn GroupLotse sie nicht alle gleichzeitig zur Verfügung stellen kann, wenn der Kunde über den Sicherheitsvorfall informiert wird. GroupLotse dokumentiert alle vorgefallenen Sicherheitsvorfälle in Übereinstimmung mit den geltenden Gesetzen.

V. Prüfung

GroupLotse führt angemessene Aufzeichnungen über die Verarbeitung personenbezogener Kundendaten, oder dokumentiert diese anderweitig, sofern und soweit dies nach geltendem Recht erforderlich ist. Auf Verlangen legt GroupLotse dem Kunden eine Kopie des entsprechenden Teils dieser Unterlagen oder Aufzeichnungen über die Verarbeitung personenbezogener Kundendaten durch GroupLotse vor.

Der Kunde oder ein vom Kunden beauftragter externer Prüfer kann die Einhaltung dieser DPA und der anwendbaren Gesetze über die Verarbeitung personenbezogener Kundendaten durch GroupLotse gemäß den Bestimmungen dieses DPA überprüfen. Der Kunde muss GroupLotse über jede beabsichtigte Prüfung in den Räumlichkeiten von GroupLotse schriftlich und immer mindestens einundzwanzig (21) Tage im Voraus informieren. GroupLotse richtet eine Testplattform ein, auf der der Kunde die Prüfung der Dienste von GroupLotse durchführen kann. Solche Prüfungen müssen in erster Linie von einem unabhängigen Dritten und immer während der normalen Geschäftszeiten von GroupLotse durchgeführt werden, ohne den Geschäftsbetrieb von GroupLotse erheblich zu stören.

GroupLotse stellt eine Kopie seiner Aufzeichnungen über die Verarbeitung personenbezogener Kundendaten und alle anderen für die Prüfung relevanten Unterlagen zur Verfügung und verpflichtet sich auf Anfrage des Kunden, den Kunden bei den Prüfungen angemessen zu unterstützen. Für jede weitere vom Kunden gewünschte Dokumentation, Unterstützung oder Dienstleistung behält sich GroupLotse das Recht vor, den Aufwand und die entstehenden angemessenen Kosten dem Kunden in Rechnung zu stellen. Dazu gehört auch eine angemessene Vergütung für die Arbeitszeit der Mitarbeiter von GroupLotse, die den Kunden bei seiner Prüfung unterstützen. Der Kunde ist für seine eigenen Kosten (einschließlich der Kosten eines eventuell eingesetzten externen Prüfers) im Zusammenhang mit solchen Prüfungen verantwortlich.

GroupLotse stimmt ebenso zu, von den zuständigen Aufsichtsbehörden initiierte und durchgeführte Prüfungen der Verarbeitung personenbezogener Kundendaten durch GroupLotse zuzulassen, und verpflichtet sich, diesen zuständigen Aufsichtsbehörden die erforderlichen Informationen über seine Verarbeitungstätigkeiten zur Verfügung zu stellen. Erhält GroupLotse eine Mitteilung von einer zuständigen Aufsichtsbehörde über eine beabsichtigte Prüfung der Verarbeitung personenbezogener Kundendaten, informiert GroupLotse den Kunden unverzüglich über die beabsichtigte Prüfung durch die Aufsichtsbehörde.

VI. Subunternehmer

GroupLotse setzt im Zusammenhang mit seinen Dienstleistungen Subunternehmer ein, von denen einige auch an der Verarbeitung personenbezogener Kundendaten beteiligt sind. Der Kunde erteilt seine allgemeine Genehmigung und Zustimmung, dass GroupLotse die mit ihr verbundenen Unternehmen und andere Subunternehmer zur Verarbeitung personenbezogener Kundendaten im Zusammenhang mit der Erbringung der Dienstleistungen beteiligen und nutzen darf, sofern eine solche Ernennung nicht zur Nichteinhaltung der anwendbaren Gesetze oder der Verpflichtungen von GroupLotse im Rahmen dieses DPA führt.

GroupLotse gewährleistet, dass die beteiligten Subunternehmer ordnungsgemäß qualifiziert sind, einen Datenverarbeitungsvertrag mit GroupLotse abschließen und die Datenverarbeitungs- und Vertraulichkeitsverpflichtungen mindestens ebenso umfassend wie die in diesem DPA vereinbarten einhalten. GroupLotse überwacht regelmäßig die Leistung seiner Subunternehmer und haftet für deren Arbeit gegenüber dem Kunden wie für sich selbst. GroupLotse verpflichtet sich, dem Kunden auf seinen Wunsch eine Liste ihrer im Zusammenhang mit den Dienstleistungen eingesetzten Subunternehmer zur Verfügung zu stellen.

GroupLotse kann seine Subunternehmer in Übereinstimmung mit den Bestimmungen dieses DPA und den anwendbaren Gesetzen frei wählen und wechseln. Dennoch informiert GroupLotse den Kunden über alle wesentlichen Änderungen bei seinen Subunternehmern. Wenn der Kunde zu Recht der Ansicht ist, dass eine solche Änderung bei den Subunternehmern von GroupLotse ein Risiko für die personenbezogenen Kundendaten darstellen würde, hat der Kunde das Recht, gegen eine solche Änderung bei den Subunternehmern von GroupLotse Einspruch zu erheben.

VII. Haftung

Bei der Verarbeitung personenbezogener Kundendaten im Zusammenhang mit dem Vertrag haften beide Parteien einander gegenüber für unmittelbare Einbußen und Schäden, die durch ihre Verletzungen dieses DPA oder der anwendbaren Gesetze gegenüber der nicht verletzenden Partei verursacht werden (einschließlich, aber nicht beschränkt auf administrative Sanktionen, die von den zuständigen Aufsichtsbehörden verhängt werden). Keine der Parteien haftet für mittelbare Schäden, Folgeschäden oder Einbußen, einschließlich, aber nicht beschränkt auf Gewinnverlust, Ertragseinbußen, Rufschädigung oder Verlust des Firmenwerts (Goodwill).

Die Haftung der Parteien richtet sich nach der im Vertrag vereinbarten Haftungsobergrenze.

VIII. Gültigkeit

Dieser DPA tritt am selben Tag in Kraft wie die Datenschutz-Grundverordnung und bleibt bis zur Beendigung des Vertrages gültig.

Während des Zeitraums von dreißig (30) Tagen nach Beendigung des Vertrages stellt GroupLotse dem Kunden auf seinen Wunsch die Kundendaten unverzüglich zur Verfügung. Nach Beendigung des Vertrages gibt GroupLotse alle personenbezogenen Kundendaten (sowie alle Kopien davon) unverzüglich an den Kunden zurück oder vernichtet diese, es sei denn, GroupLotse ist verpflichtet, die personenbezogenen Kundendaten aufgrund der Anforderungen der für GroupLotse geltenden Gesetze aufzubewahren.

[:en]

Legal

GroupLotse Data Processing Addendum (DPA)

This Data Processing Addendum (“DPA”) is an appendix to the Service Agreement between the controlex GmbH as owner of the brand GroupLotse (in the following “GroupLotse”) and the Customer, and is subject to its terms and conditions to the extent not otherwise agreed herein. It is legally binding only in connection with the Service Agreement between GroupLotse and Customer. The Service Agreement together with all its appendices (including this DPA) are jointly referred to as the “Agreement”.

I. Definitions of the DPA

The definitions of the Service Agreement apply to this DPA. In addition, the following definitions apply for the purposes of this DPA:

Personal Data means any information relating to an identified or identifiable natural person (the data subject), whether such identification is or can be done directly or indirectly.

Customer Personal Data means the personal data of the Customer or otherwise related to the Customer’s operations.

Processing means operations and actions that concern or include Personal Data such as collection, recording, organization, storage, adaptation or alteration, retrieval or use.

Data Controller means the entity who alone or jointly with others determines the purposes and means of the Processing of personal data.

Data subject means the natural person, who’s Personal Data is processed.

Processor means the entity who processes Personal Data on behalf and under the instructions of the Controller.

Data Breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Personal Data transmitted, stored or otherwise processed.

Applicable Laws means the laws of and practice arising from the General Data Protection Regulation (GDPR), national legislation implementing or complementing the General Data Protection Regulation, the regulations and statements of regulatory authorities, including the European Data Protection Board, and acts of the Commission.

Subcontractor means an entity who processes Personal Data in accordance with the instructions of the Processor as a sub-processor of the Processor.

II. Purpose

GroupLotse provides Services to Customer as identified in the Service Agreement. In the course of providing the Services to the Customer pursuant to the Service Agreement, GroupLotse may process Personal Data on behalf of the Customer. The purpose of this DPA is to agree the terms and conditions applicable to the Processing of Customer Personal Data in connection with the Services.

III. Customer obligations

A. Data Controller

Customer is the Data Controller in relation to any Customer Personal Data processed under this DPA and the Service Agreement, and shall be responsible for the lawful collection, Processing and use, and for the accuracy of the Customer Personal Data, as well as for fulfilling other legal obligations of a data controller. The Customer shall be responsible for informing the Data Subjects of disclosures of their Personal Data to and shall obtain their consent for such disclosures if necessary.

Customer acknowledges that the Processor cannot control and has no obligation to verify the Customer Personal Data disclosed or transferred to the Processor for Processing on behalf of the Customer when the Customer uses the Services. Customer ensures and is liable for having the appropriate legal basis to transfer and disclose the Customer Personal Data to the Processor so that the Processor may lawfully process the Customer Personal Data as agreed between the Parties.

B. Instructions

Customer confirms that Customer’s instructions on Processing the Customer Personal Data (“Instructions”) are exhaustively set out in the Agreement. In case Customer subsequently wants to modify its Instructions, it shall primarily use the functions offered by the Services. If such functions would however not be sufficient for implementing such new Instructions, Customer shall contact the Processor in writing. If the scope of such new Instructions is beyond the Services, the Processor shall be entitled to charge the Customer for any additional costs incurred in relation to the Processor implementing such new Instructions. Instructions must be commercially reasonable, compliant with Applicable Laws and consistent with the Agreement.

IV. GroupLotse obligations

A. Data Processor

GroupLotse is the Processor in relation of the Customer Personal Data Processed under the Agreement. GroupLotse undertakes to abide by the Applicable Laws and the Customer’s Instructions in relation to all its Processing of the Customer Personal Data. The Processor may not copy or reproduce the Customer Personal Data or in any way Process the Customer Personal Data for purposes other than those agreed on any Processing in the Agreement.

Processor shall notify the Customer if it reasonably believes that any new Instruction issued by Customer violate the Applicable Laws. Processor may suspend the implementation of such new Instruction until it is modified or confirmed by the Customer. The Customer is always ultimately responsible for any and all of its Instructions complying with the Applicable Laws. The Processor shall only be obligated to notify the Customer if it detects any imminent incompliances with the Applicable Laws in the Instructions, but is not otherwise obligated to inspect or verify the Instructions compliance with the Applicable Laws.

B. Assistance

GroupLotse agrees to reasonable assist the Customer in performing its obligations as a Data Controller in relation to the Customer Personal Data Processed by GroupLotse hereunder. These obligations may include assisting the Customer in answering to requests or inquiries made by competent supervisory authorities, performing data protection impact assessments and requesting prior consultation with the supervisory authorities, as well as assisting the Customer in realizing requests made by Data Subjects in relation to their rights under the Applicable Laws.

When it comes to assistance in responding requests made by a Data Subject exercising her/his rights under the Applicable Laws (such as the right of access and the right to rectification or erasure), the Customer shall first use the corresponding functions of the Services. Where and to the extent the Customer cannot respond to such request by using the Services’ functions, GroupLotse shall otherwise provide Customer with commercially reasonable assistance. GroupLotse has the right to invoice any reasonable additional costs incurred due to such assistance and the Customer shall be obligated to pay such additional costs as invoiced by GroupLotse.

In case any Data Subject, other individual or supervisory authority makes a request for assistance directly to GroupLotse concerning the Customer Personal Data (such as a request for access, rectification or erasure, delivering any information or executing any other action), GroupLotse shall inform Customer on such request as soon as reasonably possible and as allowed by Applicable Law.

C. Transfers of personal data

GroupLotse mainly processes Customer Personal Data within the European Economic Area (“EEA”). However, in order to provide the Services, GroupLotse may from time to time have to disclose or transfer the Customer Personal Data also outside the EEA. These situations may include cases, where GroupLotse’s Subcontractors’ or their systems are located outside EEA. In such cases, GroupLotse shall always implement necessary legal safeguards to ensure the security and confidentiality of Customer Personal Data in accordance with Applicable Laws. The Customer acknowledges and accepts such disclosures and transfers in connection with the Services. GroupLotse shall, upon the Customer’s request, provide the Customer further information on such transfers and the applied legal safeguards.

GroupLotse’s right to use Subcontractors is further described below in section VI.

D. Data protection officer

GroupLotse has appointed Privacy and Information Officer to take care of Data protection issues. If required under Applicable Laws, GroupLotse appoints a data protection officer, and shall communicate the relevant contact details to Customer upon request.

E. Employees

GroupLotse familiarizes, instructs and trains its employees who participate in Processing Personal Data (including Customer Personal Data) of the data protection and privacy requirements under Applicable Laws, and ensures that these employees have committed themselves to appropriate confidentiality or are under an appropriate statutory obligation of confidentiality. Where the Customer has issued specific Instructions on Processing the Customer Personal Data, GroupLotse shall also instruct its employees participating in the Processing of the Customer Personal Data on the contents of any such Instructions.

F. Security

GroupLotse implements and maintains appropriate technical and organizational security measures to protect all Personal Data (including the Customer Personal Data) it Processes. GroupLotse chooses such security measures at its sole discretion based on e.g. industry standards, market practice and specific requirements under Applicable Laws. GroupLotse may modify its security measures from time to time, but will not decrease the overall level of security during the term of the DPA.

GroupLotse shall at all times ensure the confidentiality, integrity, availability and resilience of the systems it uses for Processing of Personal Data. GroupLotse shall regularly test, investigate and evaluate the effectiveness of the technical and organizational security measures GroupLotse has implemented. GroupLotse undertakes to comply with regulatory decisions concerning appropriate security measures for the Processing of Personal Data.

In the event of any security incident leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, the Customer Personal Data Processed by GroupLotse (“Security Incident”), GroupLotse shall notify Customer without undue delay of such Security Incident.

Such notification of a Security Incident shall include at least and as required under the Applicable Laws:

1. a description of the nature and extent of the Security Incident, including, where feasible, the categories of and the approximate number of Data Subjects affected by the Security Incident as well as the categories of and the approximate amount of Customer Personal Data affected by the Security Incident;

2. name of and contact details of GroupLotse’s data protection officer (if appointed) or other points of contact where more information can be obtained;

3. a description of the estimated consequences of the Security Incident; and

4. a description of the measures which GroupLotse has taken or intends to take to address and amend the Security Incident, including measures for mitigating its potential negative effects.

The above mentioned information on the Security Incident may also be provided in phases if GroupLotse cannot provide them all simultaneously when informing the Customer of the Security Incident. GroupLotse shall document any and all Security Incidents it has suffered in accordance with Applicable Laws.

V. Audit

GroupLotse shall maintain appropriate records of or otherwise document its Processing concerning the Customer Personal Data where and to the extent required under Applicable Laws. Upon request, GroupLotse shall present to Customer a copy of the relevant part of such documentation or records relating to the Processing of Customer Personal Data by GroupLotse.

The Customer or a third party auditor appointed by the Customer may audit GroupLotse’s compliance with this DPA and Applicable laws in relation to Processing of the Customer Personal Data in accordance with the terms of this DPA. The Customer must notify GroupLotse of any intended audit on the premises of GroupLotse in writing and always at least twentyone (21) days in advance. GroupLotse will create a test platform where the Customer can perform the audit in relation to GroupLotse’s Services. Such Audits must primarily be carried out by an independent third party auditor and always during normal business hours of GroupLotse without causing significant disturbances to the business operations of GroupLotse.

GroupLotse will provide a copy of its records of Processing of Customer Personal Data and any other existing documentation relevant to the audit and by request of the Customer, and agrees to provide the Customer reasonable assistance in the audits. For any additional documentation, support or service requested by Customer, GroupLotse reserves the right to invoice the effort and arising reasonable cost from Customer. This shall also include adequate compensation for the working hours of GroupLotse personnel while they are supporting the Customer in its audit. The Customer shall be responsible for its own costs (including the costs of any third party auditor used) in connection with such audits.

GroupLotse also agrees to allow audits initiated and performed by competent supervisory authorities in relation to GroupLotse’s Processing of Customer Personal Data, and agrees to provide necessary information on its Processing activities to such competent supervisory authorities. If GroupLotse receives a notice from any competent supervisory authority on an intended audit concerning Processing of the Customer Personal Data, GroupLotse shall promptly notify the Customer of such intended supervisory authority audit.

VI. Subcontractors

GroupLotse uses Subcontractors in connection with its Services, some of which will also participate in the Processing of Customer Personal Data. The Customer gives its general authorization and consent to allow GroupLotse to involve and use its´ affiliated companies and other Subcontractors to process the Customer Personal Data in connection with the provision of the Services, to the extent such appointment does not lead to non-compliance with the Applicable Laws or GroupLotse´s obligations under this DPA.

GroupLotse ensures that the involved Subcontractors are properly qualified, will enter into a data processing agreement with GroupLotse, and will comply with data processing and confidentiality obligations at least as extensive as the ones agreed under this DPA. GroupLotse regularly monitors the performance of its Subcontractors and is liable for their work towards the Customer as it is of its own. GroupLotse agrees to provide the Customer a list of its Subcontractors used in relation to the Services upon the Customer’s request.

GroupLotse is free to choose and change Subprocessors in accordance with the terms of this DPA and Applicable Laws GroupLotse shall nonetheless inform the Customer of any material changes in its Subcontractors. If the Customer justifiably considers that such change in GroupLotse’s Subcontractors would result in a risk concerning the Customer Personal Data, the Customer shall have the right to state its objection to such change of GroupLotse’s Subcontractors.

VII. Liability

In relation to the Processing of Customer Personal Data in connection with the Agreement, both Parties shall be liable towards one another for direct loss and damage caused by their breaches of this DPA or the Applicable Laws to the non-breaching Party (including, but not limited to any administrative sanctions imposed by competent supervisory authorities). Neither Party shall be liable for any indirect or consequential loss or damage, including but not limited to any loss of profits, revenue, reputation or goodwill.

The Parties’ liability hereunder shall be subject to the liability cap agreed in the Agreement.

VIII. Validity

This DPA enters into force on the same date as the General Data Protection Regulation shall apply and shall remain valid until the Agreement is terminated.

During the period of thirty (30) days of the termination of the Agreement, GroupLotse makes the Customer Data available to the Customer without undue delay upon Customer’s request. After termination of the Agreement, GroupLotse shall without undue delay either destroy or return to the Customer all Customer Personal Data (as well as any copies thereto), unless GroupLotse is obligated to retain the Customer Personal Data due to requirements of any laws applicable to GroupLotse.

[:]