Shortcuts

Lokale Datenschutzgesetze, die von der DPA abgedeckt werden

(Überarbeitung 7. März 2024)


Die vorliegende IDEXX-Kundendatenverarbeitungsvereinbarung ("DPA") und ihre anwendbaren Datenverarbeitungsvereinbarungsanlagen (jeweils eine "DPA-Anlage") gelten für die Verarbeitung personenbezogener Daten ("personenbezogene Kundendaten") durch IDEXX im Namen des Kunden ("Kunde") im Rahmen der Vereinbarung zwischen IDEXX und dem Kunden ("Vereinbarung") zur Erbringung von IDEXX-Dienstleistungen, wenn und soweit i) die Europäische Datenschutz-Grundverordnung (EU/2016/679) (DSGVO) oder ii) andere nachstehend genannte Datenschutzgesetze Anwendung finden.


Europäischer Wirtschaftsraum:
Verordnungen der Europäischen Union und Gesetze der EWR-Mitgliedstaaten mit Ausnahme der DSGVO, die einen Vertrag über die Verarbeitung personenbezogener Daten vorschreiben, der mit den in Artikel 28 der DSGVO genannten Anforderungen identisch oder ihnen im Wesentlichen ähnlich ist.


Schweiz:
Das Schweizerische Bundesgesetz über den Datenschutz vom 19. Juni 1992; ab dem 1. September 2023 in seiner totalrevidierten Fassung vom 25. September 2020 ("DSG"), in der jeweils geänderten, ersetzten oder angepassten Fassung.

Für die Zwecke von Abschnitt 9 des DSG werden die EU-Standardvertragsklauseln (SCC) für Übermittlungen in Nicht-Angemessene Länder, die dem DSG in seiner geänderten und angepassten Fassung unterliegen, wie folgt umgesetzt:

  1. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die zuständige Aufsichtsbehörde gemäss Ziff. 13 und Anhang
    I.C der EU-SCC; und
  2. das anwendbare Recht gemäß Klausel 17 der EU-SCC ist schweizerisches Recht, wenn die Datenübermittlung ausschließlich dem DSG unterliegt; und
  3. der Begriff "Mitgliedstaat" darf nicht so ausgelegt werden, dass er betroffene Personen in der Schweiz von der Möglichkeit ausschließt, ihre Rechte gemäß Klausel 18 EU-SCC an ihrem gewöhnlichen Aufenthaltsort (Schweiz) einzuklagen, und
  4. Verweise auf die DSGVO in den EU-SCC schließen auch den Verweis auf die entsprechenden Bestimmungen des DSG (in seiner geänderten oder ersetzten Fassung) ein.


Brasilien:
Das Allgemeine Datenschutzgesetz Brasiliens, Lei Geral de Proteção de Dados Pessoais ("LGPD"). Aus Gründen der Klarheit handelt es sich bei den Verpflichtungen von IDEXX gegenüber einem Kunden im Rahmen der DPA nur um die ausdrücklichen Verpflichtungen, welche die LGPD einem "Datenverarbeiter (operador)" zugunsten eines "Verantwortlichen für die Datenverarbeitung (controlador)" auferlegt (einschließlich des neuen Abschnitts 3.5 nachstehend), da "Verarbeiter (operador)" und "Verantwortlicher für die Datenverarbeitung (controlador)" in der LGPD definiert sind:

  • 3.5 Jede Partei ist für die Erfüllung ihrer jeweiligen Verpflichtungen im Rahmen der LGPD verantwortlich, und der Kunde wird nur Verarbeitungsanweisungen gemäß Abschnitt 3 der DPA erteilen, die IDEXX in die Lage versetzen, ihre LGPD-Verpflichtungen zu erfüllen. Für die Zwecke von Abschnitt 9 der DPA gelten die EU-SCCs für Übermittlungen in Drittländer gemäß DSGVO.


Südafrika:
South African Protection of Personal Information Act 4 of 2013 ("POPIA"). Der Klarheit halber sind die Verpflichtungen von IDEXX gegenüber dem Kunden im Rahmen der DPA die ausdrücklichen Verpflichtungen, die das POPIA einem "Betreiber" (gleichbedeutend mit "Verarbeiter") zugunsten einer "verantwortlichen Partei" (gleichbedeutend mit einem "für die Datenverarbeitung Verantwortlichen") auferlegt. Jede Partei ist für die Erfüllung ihrer jeweiligen Verpflichtungen gemäß POPIA verantwortlich. Für die Zwecke von Abschnitt 9 der DPA gelten die EU-SCCs für Übermittlungen in Drittländer gemäß der DSGVO.
 

Vereinigtes Königreich:
Die UK General Data Protection Regulation (in der durch den European Union (Withdrawal) Act von 2018 in das britische Recht übernommenen Fassung), der UK Data Protection Act von 2018, beide in der durch die Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations von 2019 geänderten oder ersetzten Fassung. Für die Zwecke von Abschnitt 9 der DPA wird bei Übermittlungen in nicht-angemessene Länder, die der UK General Data Protection Regulation unterliegen, Folgendes umgesetzt. Die Parteien stützen sich auf die EU SCCs für Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich, vorbehaltlich des Abschlusses eines "UK-Zusatzes zu den EU Standardvertragsklauseln ", das vom Information Commissioner's Office gemäß s.119A(1) des Data Protection Act 2018 (das "UK Addendum") herausgegeben wurde. Die EU-Standardvertragsklauseln, die gemäß Abschnitt 9 der DPA ergänzt werden, gelten auch für die Übermittlung dieser personenbezogenen Daten. Der UK-Zusatz gilt als zwischen IDEXX und dem Kunden abgeschlossen und die EU SCCs gelten als geändert, wie im UK-Zusatz in Bezug auf die Übermittlung dieser personenbezogenen Daten angegeben.

Japan:
Das japanische Gesetz über den Schutz personenbezogener Daten Nr. 57 aus dem Jahr 2003 ("APPI") in seiner geänderten Fassung. Der Klarheit halber sei darauf hingewiesen, dass die Verpflichtungen von IDEXX gegenüber dem Kunden im Rahmen der DPA diejenigen sind, die der Kunde nach dem APPI als "Betreiber eines Unternehmens, das personenbezogene Daten verarbeitet" haben muss, um IDEXX als "beauftragte Person" mit der Verarbeitung der personenbezogenen Daten des Kunden zu betrauen, wie diese Begriffe im APPI verwendet werden.

Kalifornien:
Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern aus dem Jahr 2018, geändert durch das kalifornische Gesetz zum Schutz der Privatsphäre, und alle damit verbundenen Vorschriften ("CCPA"). Die Verpflichtungen von IDEXX gegenüber dem Kunden im Rahmen des DSG sind diejenigen, die das CCPA von einem "Unternehmen" (d. h. dem Kunden und gleichbedeutend mit dem "Verantwortlichen" im Rahmen des DSG) gegenüber einem "Dienstleister" (d. h. IDEXX und gleichbedeutend mit dem "Auftragsbearbeiter" im Rahmen des DSG) verlangt, wie diese Begriffe im CCPA definiert sind.  Darüber hinaus:

Die Begriffe "verkaufen" und "teilen" haben die Bedeutung, die ihnen im CCPA gegeben wird.  Der Begriff "Personendaten ", wie er im DSG verwendet wird, wird durch "personenbezogene Informationen" ersetzt. Der Begriff "Betroffene Person" im Sinne des DSG wird durch "Verbraucher" ersetzt. Der Begriff "Besonders schützenswerte Personendaten ", wie er im der DSG verwendet wird, wird durch "Sensible personenbezogene Daten" ersetzt. "De-identifizierte Informationen" sind Daten, die nicht vernünftigerweise verwendet werden können, um Informationen über einen identifizierten oder identifizierbaren Verbraucher oder ein mit einer solchen Person verbundenes Gerät abzuleiten oder anderweitig damit in Verbindung gebracht zu werden.

Ein neuer Abschnitt 3.5 wird wie folgt hinzugefügt:

  • 3.5.  IDEXX verpflichtet sich:
  1. Personenbezogene Informationen nicht zu verkaufen oder weiterzugeben;
  2. Personenbezogene Informtionen nicht weiter zu kombinieren oder aufzubewahren, zu verwenden oder offenzulegen: (A) außerhalb der direkten Geschäftsbeziehung zwischen IDEXX und dem Kunden; oder (B) für andere Zwecke als für die in der Vereinbarung genannten Geschäftszwecke, sofern nicht anderweitig durch das CCPA gestattet;
  3. auf Anweisung des Kunden die Verwendung sensibler personenbezogener Daten für andere Zwecke als die Erbringung der Dienstleistungen einzustellen, soweit der Lieferant tatsächlich Kenntnis davon hat, dass es sich bei den personenbezogenen Informationen um sensible personenbezogene Daten handelt;
  4. den Versuch zu unterlassen, de-identifizierte Informationen, die der Kunde IDEXX im Rahmen der Vereinbarung offengelegt hat, erneut zu identifizieren;
  5. den direkt an IDEXX gerichteten Löschungsanträgen von Verbrauchern nicht nachzukommen, soweit IDEXX die personenbezogenen Informationen in ihrer Rolle als Dienstleister für den Kunden erhoben, verwendet, verarbeitet oder gespeichert hat;
  6. den Kunden unverzüglich zu benachrichtigen, wenn IDEXX feststellt, dass sie ihren Verpflichtungen gemäß dem kalifornischen Datenschutzgesetz oder gemäß diesem Abschnitt nicht mehr nachkommen kann; und
  7. für IDEXXs eigene Verstöße gegen das CCPA haftbar zu bleiben.