Common use of Datenbearbeitung und -weitergabe Clause in Contracts

Datenbearbeitung und -weitergabe. Der Vertragspartner ermächtigt SPS ausdrücklich, vor Inkrafttreten des Vertragsmoduls und während dessen Gültigkeitsdauer sämtliche Informa- tionen, einschliesslich personenbezogener Daten, die SPS im Zusammen- hang mit dem Vertragsmodul und der Erbringung der darin begründeten Leistungen als wichtig erachtet, einzuholen. Ferner ist SPS berechtigt, zur Beurteilung eventueller Risiken bzw. zur Transaktionsabwicklung, Daten aus den Vertragsmodulen und der Rahmenvereinbarung im erforderlichen Umfang an durch SPS bestimmte Dritte weiterzugeben. Der Vertragspart- ner nimmt zur Kenntnis, dass die Daten (insbesondere Stamm- und Trans- aktionsdaten) im Zusammenhang mit dem Abschluss und der Erfüllung der Vertragsmodule in der Schweiz und in Ländern der EU bearbeitet wer- den. Im Rahmen der Akzeptanz von Xxxxxx nimmt der Vertragspartner ausserdem zur Kenntnis, dass Stamm-, Transaktions- und Marketingdaten durch Alipay auch in der Xxxxxxxxxxxxx Xxxxx bearbeitet werden. SPS, in ihrer Funktion als Verantwortliche für die Datenbearbeitung, sammelt und bearbeitet personenbezogene Daten des Vertragspartners und/oder der natürlichen Personen, die in Verbindung zum Unternehmen des Vertragspartners stehen, um Folgendes zu gewährleisten: – die Identifizierung des Vertragspartners und/oder der natürlichen Perso- nen, die in Verbindung zum Unternehmen des Vertragspartners stehen; – die ordnungsgemässe Erfüllung der Vertragsmodule; und – die Einhaltung der gesetzlichen Bestimmungen. SPS trifft angemessene technische Massnahmen und implementiert eine geeignete Organisation, um den Schutz der personenbezogenen Daten zu gewährleisten und diese gemäss den oben genannten Zwecken und in Übereinstimmung mit den anwendbaren Gesetzen bezüglich Daten- schutz, einschliesslich der Zahlungsdiensterichtlinie und der nationale Umsetzungsgesetz sowie ab dem 25. Mai 2018, der Allgemeinen Daten- schutzverordnung (EU) 2016/679, zu bearbeiten. Der Vertragspartner ist damit einverstanden und erteilt seine ausdrückliche Zustimmung zur Datenbearbeitung. Der Vertragspartner und gegebenenfalls auch die natürlichen Personen, die in Verbindung zum Unternehmen des Vertragspartners stehen, haben ein Recht auf Auskunft über ihre personenbezogenen Daten sowie ein Recht auf Berichtigung und Löschung dieser Daten und, ab 25. Mai 2018, ein Recht auf Datenübertragbarkeit ihrer personenbezogenen Daten in Übereinstimmung mit den anwendbaren Gesetzen. Der Vertragspartner verpflichtet sich, alle notwendigen Massnahmen zu ergreifen, um die natürlichen Personen, die in Verbindung zu seinem Unternehmen stehen, über die Bearbeitung ihrer personenbezogenen Daten im Sinne der vorliegenden Ziffer zu informieren und zu gewährleis- ten, dass diese Personen der Datenbearbeitung, in der von den anwend- baren Gesetzen vorgeschriebenen Form, zugestimmt haben. Kartendaten (insbesondere Kartennummern, Verfalldaten) müssen gegen Verlust und vor unberechtigtem Zugriff durch Dritte geschützt werden. Die diesbezüglich einzuhaltenden Datensicherheitsbestimmungen der Karten- organisationen sind im PCI DSS festgelegt. In diesem Zusammenhang ver- pflichtet sich der Vertragspartner, die jeweils geltende Fassung der von SPS erlassenen «Weisungen für die Einhaltung der PCI DSS Sicherheitsvor- schriften», die einen integrierenden Bestandteil dieser AGB bildet, zu beachten und jederzeit und vollumfänglich einzuhalten. Insbesondere ist der Vertragspartner verpflichtet, die Zertifizierungsmassnahmen, z.B. Selbstbeurteilungsfragebogen («Self-Assessment Questionnaire»), durch- zuführen und die Einhaltung des PCI DSS gegenüber SPS zu bestätigen. Im Falle eines Kartendatendiebstahls bzw. bei Verdacht eines Kartenda- tendiebstahls, hat der Vertragspartner SPS umgehend zu benachrichti- gen. Der Vertragspartner ermächtigt SPS in diesem Fall ausdrücklich, ein von den Kartenorganisationen akkreditiertes Prüfungsunternehmen damit zu beauftragen, einen «PCI-Prüfungsbericht» zu erstellen. Dabei werden die Umstände der Schadensentstehung untersucht und zugleich überprüft, ob der PCI DSS durch den Vertragspartner eingehalten worden ist. Der Vertragspartner ist verpflichtet, vollumfänglich mit dem Prüfungs- unternehmen zu kooperieren; insbesondere gewährt er dem Prüfungsun- ternehmen uneingeschränkten Zutritt zu seinen Räumlichkeiten sowie Zugriff auf seine Infrastruktur. Nach Erstellung des PCI-Prüfungsberichts hat der Vertragspartner alle festgestellten Sicherheitsmängel auf seine Kosten innerhalb einer von SPS mitgeteilten Frist vollständig zu beheben. Zeigt die Untersuchung, dass die Sicherheitsvorgaben gemäss PCI DSS zum Zeitpunkt des Datendiebstahls nicht eingehalten worden sind, gehen die Kosten für die Erstellung des PCI-Prüfungsberichts ebenfalls zu Las- ten des Vertragspartners. SPS ist berechtigt, Schadenersatzansprüche der Kartenorganisationen an den Vertragspartner weiterzubelasten und/oder das Vertragsmodul mit sofortiger Wirkung zu beenden, falls der PCI DSS durch den Vertrags- partner nicht eingehalten oder dessen Einhaltung durch den Vertrags- partner nach Aufforderung nicht bestätigt wird. Dies gilt gleichermassen im Falle eines Kartendatendiebstahls bzw. bei Verdacht eines Kartenda- tendiebstahls.‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌

Datenbearbeitung und -weitergabe. Der Vertragspartner ermächtigt SPS ausdrücklich, vor Inkrafttreten des Vertragsmoduls und während dessen Gültigkeitsdauer sämtliche Informa- tionenInfor- mationen, einschliesslich personenbezogener Daten, die SPS im Zusammen- hang Zusam- menhang mit dem Vertragsmodul und der Erbringung der darin begründeten begrün- deten Leistungen als wichtig erachtet, einzuholen. Ferner ist SPS berechtigt, zur Beurteilung eventueller Risiken bzw. zur TransaktionsabwicklungTransaktionsab- wicklung, Daten aus den Vertragsmodulen und der Rahmenvereinbarung im erforderlichen Umfang an durch SPS bestimmte Dritte weiterzugeben. Zudem werden die Daten zu Marketingzwecken an die Kartenorganisati- onen weitergeleitet. Der Vertragspart- ner Vertragspartner nimmt zur Kenntnis, dass die Daten (insbesondere Stamm- und Trans- aktionsdatenTransaktionsdaten) im Zusammenhang mit dem Abschluss und der Erfüllung der Vertragsmodule in der Schweiz und in Ländern der EU bearbeitet wer- denwerden. Im Rahmen der Akzeptanz von Xxxxxx nimmt der Vertragspartner ausserdem zur Kenntnis, dass Stamm-, Transaktions- und Marketingdaten durch Alipay auch in der Xxxxxxxxxxxxx Xxxxx bearbeitet werden. SPS, in ihrer Funktion als Verantwortliche für die Datenbearbeitung, sammelt sam- melt und bearbeitet personenbezogene Daten des Vertragspartners und/und/ oder der natürlichen Personen, die in Verbindung zum Unternehmen des Vertragspartners stehen, um Folgendes zu gewährleisten: – die Identifizierung des Vertragspartners und/oder der natürlichen Perso- nenPer- sonen, die in Verbindung zum Unternehmen des Vertragspartners stehen; – die ordnungsgemässe Erfüllung der Vertragsmodule; und – die Einhaltung der gesetzlichen Bestimmungen. SPS trifft angemessene technische Massnahmen und implementiert eine geeignete Organisation, um den Schutz der personenbezogenen Daten zu gewährleisten und diese gemäss den oben genannten Zwecken und in Übereinstimmung mit den anwendbaren Gesetzen bezüglich Daten- schutz, einschliesslich der Zahlungsdiensterichtlinie und der nationale Umsetzungsgesetz sowie ab dem 25. Mai 2018, der Allgemeinen Daten- schutzverordnung (EU) 2016/679, zu bearbeiten. Der Vertragspartner ist damit einverstanden und erteilt seine ausdrückliche Zustimmung zur Datenbearbeitung. Der Vertragspartner und gegebenenfalls auch die natürlichen Personen, die in Verbindung zum Unternehmen des Vertragspartners stehen, haben ein Recht auf Auskunft über ihre personenbezogenen Daten sowie ein Recht auf Berichtigung und Löschung dieser Daten und, ab 25. Mai 2018, ein Recht auf Datenübertragbarkeit ihrer personenbezogenen Daten in Übereinstimmung mit den anwendbaren Gesetzen. Der Vertragspartner verpflichtet sich, alle notwendigen Massnahmen zu ergreifen, um die natürlichen Personen, die in Verbindung zu seinem Unternehmen stehen, über die Bearbeitung ihrer personenbezogenen Daten im Sinne der vorliegenden Ziffer zu informieren und zu gewährleis- ten, dass diese Personen der Datenbearbeitung, in der von den anwend- baren Gesetzen vorgeschriebenen Form, zugestimmt haben. Kartendaten (insbesondere Kartennummern, Verfalldaten) müssen gegen Verlust und vor unberechtigtem Zugriff durch Dritte geschützt werden. Die diesbezüglich einzuhaltenden Datensicherheitsbestimmungen der Karten- organisationen sind im PCI DSS festgelegt. In diesem Zusammenhang ver- pflichtet sich der Vertragspartner, die jeweils geltende Fassung der von SPS erlassenen «Weisungen für die Einhaltung der PCI DSS Sicherheitsvor- schriften», die einen integrierenden Bestandteil dieser AGB bildet, zu beachten und jederzeit und vollumfänglich einzuhalten. Insbesondere ist der Vertragspartner verpflichtet, die Zertifizierungsmassnahmen, z.B. Selbstbeurteilungsfragebogen («Self-Assessment Questionnaire»), durch- zuführen und die Einhaltung des PCI DSS gegenüber SPS zu bestätigen. Im Falle eines Kartendatendiebstahls bzw. bei Verdacht eines Kartenda- tendiebstahls, hat der Vertragspartner SPS umgehend zu benachrichti- gen. Der Vertragspartner ermächtigt SPS in diesem Fall ausdrücklich, ein von den Kartenorganisationen akkreditiertes Prüfungsunternehmen damit zu beauftragen, einen «PCI-Prüfungsbericht» zu erstellen. Dabei werden die Umstände der Schadensentstehung untersucht und zugleich überprüft, ob der PCI DSS durch den Vertragspartner eingehalten worden ist. Der Vertragspartner ist verpflichtet, vollumfänglich mit dem Prüfungs- unternehmen zu kooperieren; insbesondere gewährt er dem Prüfungsun- ternehmen uneingeschränkten Zutritt zu seinen Räumlichkeiten sowie Zugriff auf seine Infrastruktur. Nach Erstellung des PCI-Prüfungsberichts hat der Vertragspartner alle festgestellten Sicherheitsmängel auf seine Kosten innerhalb einer von SPS mitgeteilten Frist vollständig zu beheben. Zeigt die Untersuchung, dass die Sicherheitsvorgaben gemäss PCI DSS zum Zeitpunkt des Datendiebstahls nicht eingehalten worden sind, gehen die Kosten für die Erstellung des PCI-Prüfungsberichts ebenfalls zu Las- ten des Vertragspartners. SPS ist berechtigt, Schadenersatzansprüche der Kartenorganisationen an den Vertragspartner weiterzubelasten und/oder das Vertragsmodul mit sofortiger Wirkung zu beenden, falls der PCI DSS durch den Vertrags- partner nicht eingehalten oder dessen Einhaltung durch den Vertrags- partner nach Aufforderung nicht bestätigt wird. Dies gilt gleichermassen im Falle eines Kartendatendiebstahls bzw. bei Verdacht eines Kartenda- tendiebstahls.‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌tendiebstahls.

Datenbearbeitung und -weitergabe. Der Vertragspartner ermächtigt SPS ausdrücklich, vor Inkrafttreten des Vertragsmoduls und während dessen Gültigkeitsdauer Gültigkeitsdauer, sämtliche Informa- tionenInfor- mationen, einschliesslich personenbezogener Daten, die SPS im Zusammen- hang Zusam- menhang mit dem Vertragsmodul und der Erbringung der darin begründeten begrün- deten Leistungen als wichtig erachtet, einzuholen. Ferner ist SPS berechtigt, zur Beurteilung eventueller Risiken bzw. zur TransaktionsabwicklungTransaktionsab- wicklung, Daten aus den Vertragsmodulen und der Rahmenvereinbarung im erforderlichen Umfang an durch SPS bestimmte Dritte weiterzugeben. Der Vertragspart- ner Vertragspartner nimmt zur Kenntnis, dass die Daten (insbesondere Stamm- und Trans- aktionsdatenTransaktionsdaten) im Zusammenhang mit dem Abschluss und der Erfüllung der Vertragsmodule in der Schweiz und in Ländern der EU bearbeitet wer- denwerden. Im Rahmen der Akzeptanz von Xxxxxx nimmt der Vertragspartner ausserdem zur Kenntnis, dass Stamm-, Transaktions- und Marketingdaten durch Alipay auch in der Xxxxxxxxxxxxx Xxxxx bearbeitet bear- beitet werden. SPS, in ihrer Funktion als Verantwortliche für die Datenbearbeitung, sammelt sam- melt und bearbeitet personenbezogene Daten des Vertragspartners und/und/ oder der natürlichen Personen, die in Verbindung zum Unternehmen des Vertragspartners stehen, um Folgendes zu gewährleisten: – die Identifizierung des Vertragspartners und/oder der natürlichen Perso- nenPer- sonen, die in Verbindung zum Unternehmen des Vertragspartners stehen; – die ordnungsgemässe Erfüllung der Vertragsmodule; und – die Einhaltung der gesetzlichen Bestimmungen. SPS trifft angemessene technische Massnahmen und implementiert eine geeignete Organisation, um den Schutz der personenbezogenen Daten zu gewährleisten und diese gemäss den oben genannten Zwecken und in Übereinstimmung mit den anwendbaren Gesetzen bezüglich Daten- schutz, einschliesslich der Zahlungsdiensterichtlinie und der nationale Umsetzungsgesetz sowie ab dem 25. Mai 2018, der Allgemeinen Daten- schutzverordnung (EU) 2016/679, zu bearbeiten. Der Vertragspartner ist damit einverstanden und erteilt seine ausdrückliche Zustimmung zur Datenbearbeitung. Der Vertragspartner und gegebenenfalls auch die natürlichen Personen, die in Verbindung zum Unternehmen des Vertragspartners stehen, haben ein Recht auf Auskunft über ihre personenbezogenen Daten sowie ein Recht auf Berichtigung und Löschung dieser Daten und, ab 25. Mai 2018, ein Recht auf Datenübertragbarkeit ihrer personenbezogenen Daten in Übereinstimmung mit den anwendbaren Gesetzen. Der Vertragspartner verpflichtet sich, alle notwendigen Massnahmen zu ergreifen, um die natürlichen Personen, die in Verbindung zu seinem Unternehmen stehen, über die Bearbeitung ihrer personenbezogenen Daten im Sinne der vorliegenden Ziffer zu informieren und zu gewährleis- ten, dass diese Personen der Datenbearbeitung, in der von den anwend- baren Gesetzen vorgeschriebenen Form, zugestimmt haben. Kartendaten (insbesondere Kartennummern, Verfalldaten) müssen gegen Verlust und vor unberechtigtem Zugriff durch Dritte geschützt werden. Die diesbezüglich einzuhaltenden Datensicherheitsbestimmungen der Karten- organisationen Kartenorganisationen sind im PCI DSS festgelegt. In diesem Zusammenhang ver- pflichtet Zusammen- hang verpflichtet sich der Vertragspartner, die jeweils geltende Fassung der von SPS erlassenen «Weisungen für die Einhaltung der PCI DSS Sicherheitsvor- schriftenSicherheitsvorschriften», die einen integrierenden Bestandteil dieser AGB bildet, zu beachten und jederzeit und vollumfänglich einzuhalten. Insbesondere Insbe- sondere ist der Vertragspartner verpflichtet, die ZertifizierungsmassnahmenZertifizierungsmassnah- men, z.B. Selbstbeurteilungsfragebogen («Self-Assessment QuestionnaireQuestion- naire»), durch- zuführen durchzuführen und die Einhaltung des PCI DSS gegenüber SPS zu bestätigen. Im Falle eines Kartendatendiebstahls bzw. bei Verdacht eines Kartenda- tendiebstahls, hat der Vertragspartner SPS umgehend zu benachrichti- gen. Der Vertragspartner ermächtigt SPS in diesem Fall ausdrücklich, ein von den Kartenorganisationen akkreditiertes Prüfungsunternehmen damit zu beauftragen, einen «PCI-Prüfungsbericht» zu erstellen. Dabei werden die Umstände der Schadensentstehung untersucht und zugleich überprüft, ob der PCI DSS durch den Vertragspartner eingehalten worden ist. Der Vertragspartner ist verpflichtet, vollumfänglich mit dem Prüfungs- unternehmen zu kooperieren; insbesondere gewährt er dem Prüfungsun- ternehmen uneingeschränkten Zutritt zu seinen Räumlichkeiten sowie Zugriff auf seine Infrastruktur. Nach Erstellung des PCI-Prüfungsberichts hat der Vertragspartner alle festgestellten Sicherheitsmängel auf seine Kosten innerhalb einer von SPS mitgeteilten Frist vollständig zu beheben. Zeigt die Untersuchung, dass die Sicherheitsvorgaben gemäss PCI DSS zum Zeitpunkt des Datendiebstahls nicht eingehalten worden sind, gehen die Kosten für die Erstellung des PCI-Prüfungsberichts ebenfalls zu Las- ten des Vertragspartners. Vertragspartners.‌‌‌‌‌‌‌‌‌‌‌‌‌‌ SPS ist berechtigt, Schadenersatzansprüche der Kartenorganisationen an den Vertragspartner weiterzubelasten und/oder das Vertragsmodul mit sofortiger Wirkung zu beenden, falls der PCI DSS durch den Vertrags- partner nicht eingehalten oder dessen Einhaltung durch den Vertrags- partner nach Aufforderung nicht bestätigt wird. Dies gilt gleichermassen im Falle eines Kartendatendiebstahls bzw. bei Verdacht eines Kartenda- tendiebstahls.‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌tendiebstahls.

Datenbearbeitung und -weitergabe. Der Vertragspartner ermächtigt SPS ausdrücklich, vor Inkrafttreten des Vertragsmoduls und während dessen Gültigkeitsdauer Dauer, von Dritten sämtliche Informa- tionen, einschliesslich personenbezogener DatenInfor- mationen, die SPS im Zusammen- hang Zusammenhang mit dem Vertragsmodul und der Erbringung der darin begründeten Leistungen als wichtig erachtet, einzuholeneinzu- holen. Ferner ist SPS berechtigt, zur Beurteilung eventueller Risiken bzw. zur Transaktionsabwicklung, Daten aus den Vertragsmodulen und der Rahmenvereinbarung im erforderlichen Umfang an durch SPS bestimmte Dritte weiterzugeben(z.B. Kartenorganisationen, Network Service Provider oder Finanz- institute) zur Beurteilung eventueller Risiken bzw. zur Transaktionsab- wicklung zu übermitteln. Der Vertragspart- ner Vertragspartner nimmt zur Kenntnis, dass die Daten (insbesondere Stamm- und Trans- aktionsdatenTransaktionsdaten) im Zusammenhang mit dem Abschluss und der Erfüllung der Vertragsmodule in der Schweiz und in Ländern der EU bearbeitet wer- den. Im Rahmen der Akzeptanz von Xxxxxx nimmt der Vertragspartner ausserdem zur Kenntnis, dass Stamm-, Transaktions- und Marketingdaten durch Alipay auch in der Xxxxxxxxxxxxx Xxxxx bearbeitet werden. SPS, in ihrer Funktion als Verantwortliche für die Datenbearbeitung, sammelt und bearbeitet personenbezogene Daten des Vertragspartners und/oder der natürlichen Personen, die in Verbindung zum Unternehmen des Vertragspartners stehen, um Folgendes zu gewährleisten: – die Identifizierung des Vertragspartners und/oder der natürlichen Perso- nen, die in Verbindung zum Unternehmen des Vertragspartners stehen; – die ordnungsgemässe Erfüllung der Vertragsmodule; und – die Einhaltung der gesetzlichen Bestimmungen. SPS trifft angemessene technische Massnahmen und implementiert eine geeignete Organisation, um den Schutz der personenbezogenen Daten zu gewährleisten und diese gemäss den oben genannten Zwecken und in Übereinstimmung mit den anwendbaren Gesetzen bezüglich Daten- schutz, einschliesslich der Zahlungsdiensterichtlinie und der nationale Umsetzungsgesetz sowie ab dem 25. Mai 2018, der Allgemeinen Daten- schutzverordnung (EU) 2016/679, zu bearbeiten. Der Vertragspartner ist damit einverstanden und erteilt seine ausdrückliche Zustimmung zur Datenbearbeitung. Der Vertragspartner und gegebenenfalls auch die natürlichen Personen, die in Verbindung zum Unternehmen des Vertragspartners stehen, haben ein Recht auf Auskunft über ihre personenbezogenen Daten sowie ein Recht auf Berichtigung und Löschung dieser Daten und, ab 25. Mai 2018, ein Recht auf Datenübertragbarkeit ihrer personenbezogenen Daten in Übereinstimmung mit den anwendbaren Gesetzen. Der Vertragspartner verpflichtet sich, alle notwendigen Massnahmen zu ergreifen, um die natürlichen Personen, die in Verbindung zu seinem Unternehmen stehen, über die Bearbeitung ihrer personenbezogenen Daten im Sinne der vorliegenden Ziffer zu informieren und zu gewährleis- ten, dass diese Personen der Datenbearbeitung, in der von den anwend- baren Gesetzen vorgeschriebenen Form, zugestimmt haben. Kartendaten (insbesondere Kartennummern, Verfalldaten) müssen gegen Verlust und vor unberechtigtem Zugriff durch Dritte geschützt werden. Die diesbezüglich einzuhaltenden Datensicherheitsbestimmungen der Karten- organisationen Kartenorganisationen sind im PCI DSS festgelegt. In diesem Zusammenhang ver- pflichtet Zusammen- hang verpflichtet sich der Vertragspartner, die jeweils geltende Fassung der von SPS erlassenen «Weisungen für die Einhaltung der PCI DSS Sicherheitsvor- schriftenSicherheitsvorschriften», die einen integrierenden Bestandteil dieser AGB bildet, zu beachten und jederzeit und vollumfänglich einzuhalten. Insbesondere Insbe- sondere ist der Vertragspartner verpflichtet, die ZertifizierungsmassnahmenZertifizierungsmassnah- men, z.B. Selbstbeurteilungsfragebogen («Self-Assessment QuestionnaireQuestion- naire»), durch- zuführen durchzuführen und die Einhaltung des PCI DSS gegenüber SPS zu bestätigen. Im Falle eines Kartendatendiebstahls bzw. bei Verdacht eines Kartenda- tendiebstahls, hat der Vertragspartner SPS umgehend zu benachrichti- gen. Der Vertragspartner ermächtigt SPS in diesem Fall ausdrücklich, ein von den Kartenorganisationen akkreditiertes Prüfungsunternehmen damit zu beauftragen, einen «PCI-Prüfungsbericht» zu erstellen. Dabei werden die Umstände der Schadensentstehung untersucht und zugleich überprüftüber- prüft, ob der PCI DSS durch den Vertragspartner eingehalten worden ist. Der Vertragspartner ist verpflichtet, vollumfänglich mit dem Prüfungs- unternehmen zu kooperieren; insbesondere gewährt er dem Prüfungsun- ternehmen Prüfungs- unternehmen uneingeschränkten Zutritt zu seinen Räumlichkeiten sowie Zugriff auf seine Infrastruktur. Nach Erstellung des PCI-Prüfungsberichts hat der Vertragspartner alle festgestellten Sicherheitsmängel auf seine Kosten innerhalb einer von SPS mitgeteilten Frist vollständig zu beheben. Zeigt die Untersuchung, dass die Sicherheitsvorgaben gemäss PCI DSS zum Zeitpunkt des Datendiebstahls nicht eingehalten worden sind, gehen die Kosten für die Erstellung des PCI-Prüfungsberichts ebenfalls zu Las- ten des Vertragspartners. SPS ist berechtigt, Schadenersatzansprüche der Kartenorganisationen an den Vertragspartner weiterzubelasten und/oder das Vertragsmodul mit sofortiger Wirkung zu beenden, falls der PCI DSS durch den Vertrags- partner nicht eingehalten oder dessen Einhaltung durch den Vertrags- partner nach Aufforderung nicht bestätigt wird. Dies gilt gleichermassen im Falle eines Kartendatendiebstahls bzw. bei Verdacht eines Kartenda- tendiebstahls.‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌Karten- datendiebstahls.