Datenschutzvorschriften. Sofern es das Gesetz erfordert oder die Parteien dies vereinbaren, werden zusätzliche Datenschutzbedingungen in einem separaten Datenverarbeitungsvertrag geregelt („Datenverarbeitungsbedingungen“). Diese Datenverarbeitungsbedingungen werden Bestandteil dieser Vereinbarung und werden dieser als Anlage beigefügt. Bei Widersprüchen zwischen den Bedingungen in den Abschnitten 7.1 bis 7.3 dieser Vereinbarung und der Datenverarbeitungsbedingungen, gelten die Datenverarbeitungsbedingungen vorrangig. In Bezug auf personenbezogene Kundendaten, gilt der Kunde als rechenschaftspflichtige Organisation bzw. Datenverantwortlicher, während Mimecast als Dienstleister bzw. Datenverarbeiter gilt. Soweit die Anwendbaren Datenschutzgesetze es nichts anderes vorsehen, verarbeitet Mimecast die personenbezogenen Daten ausschließlich gemäß den Anweisungen des Kunden. Die „Anweisungen“ sind in dieser Vereinbarung festgelegt und zusätzlich kann der Kunde bei Bedarf weitere Anweisungen in Schriftform an Mimecast übermitteln. Mimecast erhebt und schützt personenbezogene Daten gemäß der Anwendbaren Datenschutzgesetze. „Anwendbare Datenschutzgesetze“ umfassen eines oder mehrere der folgenden Datenschutzgesetze oder - vorschriften, die auf die Verarbeitung von personenbezogenen Daten durch Mimecast im Rahmen dieses Vertrags anwendbar sind: (i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 („DSGVO“); (ii) die DSGVO, wie sie durch den Data Protection Act 2018 in das Recht des Vereinigten Königreichs („UK“) übernommen und durch die Data Protection, Privacy and Electronic Communications (Amendments, etc.) (EU-Exit) Regulations 2019 („UK GDPR“) geändert wurde; und (iii) alle Gesetze, Verordnungen oder Anordnungen, durch die die vorstehenden Vorschriften umgesetzt werden. Sofern es nach geltendem Recht zulässig ist, kann Mimecast personenbezogene Daten in den Vereinigten Staaten oder anderen Ländern als dem Land, in dem sie erhoben wurden, verarbeiten, so wie es im Trust Center beschrieben wird. Der Kunde ist dazu verpflichtet, alle für die Verarbeitung und Übertragung (insbesondere ins Ausland) von personenbezogenen Daten ggf. erforderlichen Mitteilungen zu machen und die entsprechenden Einwilligungen einzuholen.
Datenschutzvorschriften. Sofern die einschlägigen Datenschutzvorschriften dies erfordern oder es zwischen den beiden Parteien vereinbart wurde, werden die zu treffenden Datenschutzmaßnahmen gegebenenfalls ausführlich in einer zwischen den Parteien geschlossenen Datenverarbeitungsvereinbarung beschrieben, die ergänzend zu der vorliegenden Evaluierungsvereinbarung gilt („Datenverarbeitungsvereinbarung“). Bei Widersprüchen zwischen der vorliegenden Evaluierungsvereinbarung und der Datenverarbeitungsvereinbarung ist die Datenverarbeitungsvereinbarung maßgeblich. Mimecast erkennt an, dass im Verhältnis zwischen den Parteien alle Rechte und Ansprüche an sämtlichen Kundendaten beim Kunden liegen. In Bezug auf alle personenbezogenen Daten, die in den Kundendaten enthalten sind, handelt der Kunde als Datenverantwortlicher und Mimecast als Datenverarbeiter. Mimecast nutzt und verarbeitet die personenbezogenen Daten ausschließlich gemäß den Anweisungen des Kunden und auch nur während des Evaluierungszeitraums. Die „Anweisungen“ sind in der vorliegenden Evaluierungsvereinbarung, dem jeweiligen Evaluierungsauftrag sowie der jeweils anwendbaren Datenverarbeitungsvereinbarung niedergelegt; zusätzlich kann der Kunde bei Bedarf weitere Anweisungen in Schriftform an Mimecast übermitteln. Mimecast erhebt und schützt die Kundendaten gemäß Geltendem Recht. “Geltendes Recht” wird in diesem Zusammenhang definiert als das deutsche Datenschutzrecht und die Datenschutz- Grundverordnung (Verordnung (EU) 2016/679), soweit für die Verarbeitung von personenbezogenen Daten durch Mimecast im Rahmen dieser Vereinbarung anwendbar. Der Kunde akzeptiert, dass Mimecast Kundendaten und personenbezogene Daten in den Vereinigten Staaten oder anderen Ländern als dem Land, in dem sie erhoben wurden, verarbeiten bzw. sie dorthin übertragen oder kopieren darf, sofern eine solche Datenübertragung im Rahmen eines gültigen Datenübertragungsmechanismus erfolgt. Weitere Informationen hierzu stehen unter xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxxxx-xxxxx-xxxxxx/ zur Verfügung. Der Kunde ist dazu verpflichtet, alle für die Verarbeitung und Übertragung (insbesondere ins Ausland) der personenbezogenen Daten von zugelassenen Nutzern gegebenenfalls erforderlichen Mitteilungen zu machen und die entsprechenden Einwilligungen einzuholen.
Datenschutzvorschriften. Die Bedeutung der Begriffe "personenbezogene Daten", "Verarbeitung", "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter" in dieser Vereinbarung entspricht ihrer Bedeutung in der EU-Richtlinie. Die Parteien stimmen zu und erkennen an, dass die Datenschutzvorschriften für die Verarbeitung von Kundendaten gelten.
Datenschutzvorschriften. Die europäische Union hat ein umfassendes Regelungswerk für die Erhebung, Verarbeitung und sonstige Nutzung personenbezogener Daten erlassen (z.B. Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Datenschutzgrundverordnung“ oder „DSGVO“), das von nationalen Rechtsvorschriften flankiert wird (z. B. das deutsche Bundesdatenschutzgesetz oder das deutsche Telemediengesetz). Daneben gibt es verschiedene sektorspezifische Gesetze und Vorschriften, die für bestimmte Branchen oder Unternehmen gelten und den allgemeinen Bestimmungen vorgehen. Die Datenschutzgrundverordnung ist am 25. Mai 2018 in allen EU-Mitgliedstaaten in Kraft getreten und stellt die zentrale datenschutzrechtliche Regelung dar. Im Allgemeinen regelt die DSGVO, wann und wie personenbezogene Daten erhoben werden dürfen, zu welchen Zwecken sie verarbeitet werden dürfen, wie lange sie gespeichert werden dürfen und an wen und wie sie übermittelt werden dürfen. Die Datenschutzgrundverordnung enthält zudem strenge Anforderungen für die Einholung der Zustimmung der Betroffenen (der Personen, auf die sich die personenbezogenen Daten beziehen) in die Verwendung und Verarbeitung ihrer personenbezogenen Daten. Eine solche Einwilligung kann jederzeit und ohne Angabe von Gründen widerrufen werden, wodurch die weitere Verwendung der betroffenen Daten verhindert wird. Darüber hinaus unterliegt die Übermittlung personenbezogener Daten an Stellen außerhalb Europas besonderen Anforderungen. Auch werden organisatorische Maßnahmen, wie die Bestellung eines Datenschutzbeauftragten, der u.a. die Einhaltung der DSGVO überwachen muss, vorgeschrieben. Auf nationaler Ebene wird die DSGVO in Deutschland z.B. durch das Bundesdatenschutzgesetz flankiert, das die DSGVO in den Bereichen ergänzt, in denen die DSGVO den Mitgliedstaaten Raum für nationale Regelungen lässt. Regelungsbereiche sind insbesondere die Verarbeitung von Arbeitnehmerdaten, die Videoüberwachung und die Bestellung eines Datenschutzbeauftragten in Deutschland. Sie enthält auch Bestimmungen über Bußgelder und Strafen. Das deutsche Telemediengesetz regelt unter anderem die Impressumspflicht. Die Richtlinie 2002/58/EG vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) dient der Harmonisierung der Vorschriften der Mitgliedstaate...