Addendum zum Datenschutz

Effective date:

Vorliegendes Addendum zum Datenschutz („DPA“) ist Bestandteil des HERE Mobility Lizenzvertrags, einschließlich der Allgemeinen Vertragsbedingungen von HERE (sowie jegliche hiermit verbundenen Anlagen, Anhänge und Pläne), der Partnernutzungsbedingungen der Mobilitätsprodukte von HERE (und damit verbundenen Anlagen, Anhänge und Pläne) und von jeglichen weiteren schriftlichen Vereinbarung („Vertrag“), die zwischen HERE und dem Partner unter Annahme des Vertrags (sei es als ein vorhandener Partner, der den Vertrag bereits unterzeichnet hat oder als neuer Partner, der den Vertrag jetzt abschließt) abgeschlossen wird („Partner“) in Bezug auf den Zugriff auf und/oder die Nutzung der Mobilitätsprodukte (wie im Vertrag festgelegt) durch den Partner.

Sie erklären und gewährleisten, dass Sie über uneingeschränkte Befugnis verfügen, um den Partner an die Bedingungen des DPAs zu binden. Wenn Sie oder der Partner sich nicht binden können oder diesem DPA nicht zustimmen oder befolgen können, oder falls Sie nicht befugt sind, den Partner an dieses DPA zu binden, geben Sie bitte keine personenbezogenen Daten von HERE weiter, stellen Sie diese bitte nicht zur Verfügung noch versuchen Sie, diese zu erhalten. Weiter erklären und gewährleisten Sie, dass Sie in Ihrem eigenen Auftrag, als Einzelperson, und im Auftrag des Partners (als Ihr Arbeitgeber oder eine andere juristische Person, die Ihre Dienstleistungen in Anspruch nimmt) dieses DPA vollständig gelesen, verstanden und akzeptiert haben und, dass Sie eine verbindliche rechtliche Vereinbarung mit HERE Global B. V. („HERE“ oder „wir“) abschließen, um die Vereinbarung der Parteien bezüglich der Verarbeitung personenbezogener Daten aufzuweisen.

Jede Bezugnahme auf dieses DPA in diesem DPA bezieht sich auf dieses DPA einschließlich seiner Anlagen (sofern zutreffend). Sofern in diesem DPA nicht ausdrücklich anders erklärt, haben alle in Großbuchstaben aufgeführte Begriffe die im Vertrag festgelegte Bedeutung, einschließlich, ohne Einschränkungen: „Datenschutzgesetze“; „DSGVO“; Konto; verbundenes Unternehmen; Verbraucherdaten; Fahrerdaten; Fahrer-App; Mobilitätsprodukte; Vertikale Märkte des Mobility Marketplace; Servicekits des Mobility Marketplace; Marketplace Dispatcher; Partnerkontodaten; Partnerpersonaldaten; Verbraucherdaten unter des Partners Verantwortung und Partnerpersonal

Sollten Sie eine unterzeichnete Kopie dieses DPAs benötigen, senden Sie bitte eine unterzeichnete Kopie an mobility.privacy@here.com und wir stellen Ihnen eine gegengezeichnete Kopie zu.

1. Datenverarbeitungsbedingungen

Im Laufe der Nutzung der Mobilitätsprodukte verarbeiten HERE und der Partner (jeder einzeln eine „Partei“, gemeinsam die „Parteien“) personenbezogene Daten. Vorliegendes DPA legt die Vereinbarungen und Verpflichtungen der Parteien fest, einschließlich, ohne Einschränkungen, den Einsatz von Mitteln, Maßnahmen, Verfahren und angemessenen Bemühungen in Bezug auf die Verarbeitung von personenbezogenen Daten in Verbindung mit den Mobilitätsprodukten und in Übereinstimmung mit den Anforderungen der Datenschutzgesetze.

2. Definitionen.

2.1 Datenverantwortlicher, Datenverarbeiter (und Datenverarbeitung) und Datensubjekt haben die Bedeutung, die ihnen durch das Datenschutzgesetz zugeteilt wird.

2.2 „Standardvertragsklauseln zwischen Datenverantwortlichen“ bezieht sich auf die Standardvertragsklauseln (Übermittlung zwischen Datenverantwortlichen – Gruppe II) des Anhangs zum Beschluss der Europäischen Kommission vom 27. Dezember 2004, die von der Europäischen Kommission von Zeit zu Zeit geändert oder ersetzt werden können.

2.3 „Standardvertragsklauseln zwischen Datenverantwortlichen und Datenverarbeitern“ bezieht sich auf die Standardvertragsklauseln (für Datenverarbeiter) des Anhangs zum Beschluss der Europäischen Kommission vom 5. Februar 2010, die von der Europäischen Kommission von Zeit zu Zeit geändert oder ersetzt werden können.

2.4 „Personenbezogene Daten“ sind die Informationen bezüglich eines identifizierten oder identifizierbaren Datensubjekts, die im Rahmen der anwendbaren Datenschutzgesetze als „personenbezogene Daten“ bezeichnet werden und die während des Aufrufs von oder der Nutzung der Mobilitätsprodukte oder bei der Ausführung des Vertrags bereitgestellt, konsumiert, abgerufen, für den Zugriff oder die Verarbeitung zur Verfügung gestellt werden.

2.5 „Sicherheitsvorfall“ bezeichnet jeden tatsächlichen oder begründeten Verdacht auf unbefugten Zugriff auf, Erwerb oder Weitergabe personenbezogener Daten, die eine Partei im Namen der anderen Partei verarbeitet.

3. Verhältnis der Parteien

Die Parteien bestätigen und stimmen zu, dass zwischen dem Partner und HERE in Bezug auf die Verarbeitung von personenbezogenen Daten, die in Verbindung mit dem Zugriff auf oder der Nutzung von Mobilitätsprodukten durch den Partner stehen, Folgendes gilt:

3.1 Partnerpersonaldaten:

Der Partner ist der Datenverantwortliche und HERE der Datenverarbeiter in Bezug auf alle Partnerpersonaldaten.

3.2 Kontodaten des Partners:

Der Partner ist der Datenverantwortliche und HERE ein unabhängiger Datenverantwortlicher in Bezug auf die Kontodaten des Partners. 

3.3 Fahrerdaten:

      3.3.1 HERE und der Partner sind unabhängige Datenverantwortliche in Bezug auf die Fahrerdaten, die jeweils von einem von ihnen in Verbindung mit dem Verbrauch und/oder der Nutzung der Fahrer-App durch die Fahrer, verarbeitet werden, und

     3.3.2. HERE ist der Datenverarbeiter und der Partner der Datenverantwortliche in Bezug auf die Fahrerdaten, die vom Partner HERE über die Mobilitätsangebot-API zur Verfügung gestellt werden.

3.4 Verbraucherdaten:

      3.4.1 HERE und der Partner sind unabhängige Datenverantwortliche in Bezug auf die Verbraucherdaten, die jeweils von einem von ihnen in Verbindung mit dem Verbrauch und/oder der Nutzung jeglicher Mobilitätsdienstleistungen durch den Verbraucher, verarbeitet werden, bei Mobilitätsdiensten, die dem Verbraucher durch den Partner über den Mobility-Kiosk und/oder das Mobility Web Widget angeboten oder bereitgestellt werden. 

     3.4.2 HERE ist der Verarbeiter und der Partner ist der Datenverantwortliche in Bezug auf Verbraucherdaten, die durch den Partner für HERE über Mobility for Concierge bereitgestellt werden;

    3.4.3 HERE ist der Verarbeiter und der Partner ist der Datenverantwortliche in Bezug auf Verbraucherdaten, die unter des Partners Verantwortung stehen und die durch den Partner für HERE über den Marketplace Dispatcher bereitgestellt werden, ausdrücklich in Bezug auf die Bereitstellung von Mobilitätsdiensten durch den Partner; und

    3.4.4 HERE sowie der Partner sind unabhängige Datenverantwortliche, HERE ist der Verarbeiter und der Partner ist der Datenverantwortliche oder HERE ist der Datenverantwortliche und der Partner ist der Verarbeiter (alles soweit zutreffend) in Bezug auf Verbraucherdaten, die durch den Partner (direkt oder durch den Verbraucher) für HERE über die Mobilitätsnachfrage-API und/oder das Mobilitäts-SDK mit jedem einzelnen Partner bereitgestellt werden. Die Festlegung von HERE als Datenverantwortlicher oder -Verarbeiter beruht auf der Umsetzung der Mobilitätsnachfrage-API und/oder des Mobility SDK bei jedem einzelnen Partner.

(A) in Bezug auf Abschnitt 3.4.1 sind der Partner und HERE jeweils verantwortlich, eine Rechtsgrundlage zu schaffen, einschließlich und falls erforderlich, alle Zustimmungen und Genehmigungen einzuholen und alle Mitteilungen (soweit zutreffend) zu erstellen, die für den Partner und HERE (jeweils) zur Verarbeitung personenbezogener Daten der betreffenden Personen, wenn der Partner und HERE (jeweils) Datenverantwortliche sind, erforderlich sind; und

(B) in Bezug auf die Abschnitte 3.4.2-3.4.4, ist der Partner in seiner Eigenschaft als Datenverantwortlicher für die Erstellung einer Rechtsgrundlage verantwortlich, einschließlich und falls erforderlich, alle Zustimmungen und Genehmigungen einzuholen und alle Mitteilungen (soweit zutreffend) zu erstellen, die für den Partner und HERE erforderlich sind, um personenbezogene Daten der betroffenen Personen zu verarbeiten, einschließlich, aber nicht beschränkt auf die Offenlegung in seinen Online-Nutzungsbedingungen und Datenschutzrichtlinien und den Erhalt der ausdrücklichen Zustimmung der betroffenen Personen dafür.    

3.4.5 HERE ist der Datenverantwortliche oder der Datenverarbeiter und der Partner ist der Verarbeiter oder unterbeauftragter Verarbeiter in Bezug auf Verbraucherdaten, die durch den Partner über die Vertikalen Märkte des Mobility Marketplace und/oder den Marketplace Dispatcher verarbeitet werden. Die Bestimmung von HERE als Datenverantwortlicher oder Datenverarbeiter beruft sich auf das jeweilige Mobility Marketplace Service-Kit, aus der die Verbraucherdaten stammen. Ungeachtet des Vorstehenden kann der Partner ein Datenverantwortlicher dieser Verbraucherdaten sein, wenn er eine Rechtsgrundlage direkt mit dem/den Verbraucher(n) in Übereinstimmung mit den geltenden Datenschutzgesetzen erstellt hat.

Die Parteien bestätigen weiter und stimmen zu, dass sie in Bezug auf jegliche im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten keine gemeinsamen Datenverantwortliche im Sinne der Begriffsbestimmung in der DSGVO sind.

4. Verarbeitung von personenbezogenen Daten.

Dieses DPA ist für die Verarbeitung von personenbezogenen Daten durch HERE und/oder einen Partner gültig. In dem Umfang, in dem EU-Datenschutzgesetze und -bestimmungen auf die personenbezogenen Daten anwendbar sind, gilt Folgendes:

4.1 Verarbeitung durch einen Datenverantwortlichen. 

4.1.1 In Bezug auf personenbezogene Daten, die eine Partei (einschließlich jeglicher Person im Auftrag dieser Partei) der anderen Partei über oder durch oder in Verbindung mit der Nutzung der Mobilitätsprodukte bereitstellt, übermittelt, zustellt oder zur Verfügung stellt, erklärt und gewährleistet diese Partei der anderen Partei, dass: (i) sie und jeder, der in ihrem Auftrag handelt, die personenbezogenen Daten nur in Übereinstimmung mit den geltenden Datenschutzgesetzen und diesem DPA verarbeiten wird und sicherstellt; (ii) die Genauigkeit, Qualität und Rechtmäßigkeit der bereitgestellten und/oder auf Mobilitätsprodukte geladenen Daten bei der Bereitstellung von personenbezogenen Daten für die andere Partei sichergestellt werden; (iii) die Mittel und Verfahren, über welche sie (einschließlich jegliche Person in ihrem Auftrag) solche personenbezogenen Daten erworben hat, und die Bereitstellung dieser personenbezogenen Daten an die andere Partei über die Mobilitätsprodukte, zur Verarbeitung durch die andere Partei in Übereinstimmung mit dieser Vereinbarung, allen geltenden Datenschutzgesetzen entspricht.  Jede als Datenverantwortlicher tätige Partei bestätigt und beweist auf Antrag der anderen Partei, dass die durch sie über die Mobilitätsprodukte bereitgestellten und/oder zugestellten personenbezogenen Daten der Datensubjekte nur von solchen Datensubjekte erhoben wurden, die betreffende Hinweise und Benachrichtigungen erhalten haben, wie durch die geltenden Datenschutzgesetze erfordert, einschließlich für die Nutzung, Verbreitung und grenzüberschreitende Übermittlung der personenbezogenen Daten dieser Datensubjekte, wie für die Ausführung des Vertrags erforderlich und/oder anderweitig in Übereinstimmung mit diesem DPA und, dass diese Partei eine Rechtsgrundlage direkt mit  den betreffenden Datensubjekten  erstellt hat, wie nach den geltenden Datenschutzgesetzen erforderlich. Wenn ein Dritter die Mitteilungen an die betroffenen Datensubjekte geliefert und deren Einwilligung erhalten hat, oder eine anderweitige Rechtsgrundlage mit den Datensubjekten erstellt hat, ist jede als Datenverantwortlicher tätige Partei die alleinige Verantwortliche für die Überprüfung dieser Einwilligung und muss nachweisen können, dass die Hinweise und Einwilligungen für die im Vertrag festgelegten Zwecke ausreichend und gemäß den geltenden Datenschutzgesetzen angemessen sind, oder dass eine andere Rechtsgrundlage in Übereinstimmung mit den geltenden Datenschutzgesetzen erstellt wurde.

4.1.2 In Bezug auf personenbezogene Daten, die die als Datenverarbeiter tätige Partei  (einschließlich jeglicher Person in ihrem Auftrag) anderweitig in Verbindung mit der Nutzung der Mobilitätsprodukte erhält, oder auf die er Zugriff hat oder die für sie verfügbar sind, verpflichtet sich diese Partei: (i) personenbezogene Daten gemäß den Bedingungen dieses DPAs und des Vertrags als vertrauliche Informationen zu behandeln; (ii) jegliche personenbezogene Daten der Datensubjekte nur in Übereinstimmung mit den Bedingungen und Bestimmungen und den im Vertrag festgelegten Zwecke aufzurufen oder zu verwenden.

4.2 Verarbeitung als ein Datenverarbeiter. In Bezug auf die personenbezogenen Daten, die eine Partei (einschließlich jemand in ihrem Auftrag) in Verbindung mit der Nutzung der Mobilitätsprodukte für die andere Partei zur Verarbeitung in ihrem Auftrag bereitstellt, Zugriff gewährt oder zur Verfügung stellt, weist diese Partei die andere darauf hin, diese personenbezogenen Daten gemäß den Bedingungen dieses DPAs und des Vertrags zu verarbeiten. In Bezug auf alle personenbezogenen Daten, die diese Partei der anderen Partei bereitstellt, übermittelt oder den Zugriff gewährt, stellt diese Partei sicher, dass diese personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen erhoben und bereitgestellt wurden, nachdem die erforderlichen Mitteilungen erteilt wurden und eine gültige Rechtsgrundlage in Übereinstimmung mit den Datenschutzgesetzen erstellt wurde, damit die andere Partei diese personenbezogenen Daten gemäß diesem DPAs verarbeiten kann. Gegenstand, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der Datensubjekte sind der durch den Partner aufgerufenen und genutzten Mobilitätsprodukte entsprechenden Anlage zu entnehmen.

4.3 Rechtsgrundlage für die Verarbeitung. Soweit und wo zutreffend, werden des Partners und HEREs Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten für die Erfüllung eines Vertrages mit dem Datensubjekt, für berechtigte Interessen, für die Einhaltung rechtlicher Verpflichtungen und/oder gemäß der Zustimmung des Datensubjekts bestehen.

4.4 Einzelheiten der Verarbeitung. Weiter stellt jede Partei sicher, dass sie und beliebige Dritte, die in ihrem Auftrag handeln: (i) personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet; (ii) personenbezogene Daten  werden für festgelegte, ausdrückliche und rechtmäßige Zwecke erhebt und nicht in einer mit diesen Zwecken unvereinbaren Weise verarbeitet; (iii) die Verarbeitung von personenbezogenen Daten auf das für die Verarbeitungszwecke Erforderliche beschränkt; (iv) versichert, dass die Erhebung von personenbezogenen Daten nach bestem Wissen und Gewissen genau und erforderlichenfalls auf dem neuesten Stand gehalten wird und ungenaue Daten unverzüglich korrigiert oder gelöscht werden; (v) alle von ihr verarbeiteten personenbezogene Daten in identifizierbarer Form nicht länger als für die Zwecke, für die sie verarbeitet werden, erforderlich aufbewahrt; und (vi) dass von ihr verarbeitete personenbezogene Daten geschützt und gesichert werden, einschließlich vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung, durch geeignete technische oder organisatorische Maßnahmen.

5. Rechte und Kooperation der Datensubjekte.

5.1 Jede Partei hat ein Verfahren für die Ausübung der Persönlichkeitsrechte der Datensubjekte erstellt und wartet dies, wie durch die geltenden Datenschutzgesetze erforderlich.

5.2 Jede Partei wird mit der anderen kooperieren und wirtschaftliche angemessene Anstrengungen unternehmen, um der anderen Partei Hilfe zu leisten in Bezug auf: (i) jede erforderliche Mitteilung an die betroffenen Datensubjekte und Aufsichtsbehörden, wie zutreffend, unter Berücksichtigung der Verarbeitungsart und der verfügbaren Informationen; (ii) Folgenabschätzungen und vorherige Konsultationen, die von einer der Parteien durchgeführt werden (auf Kosten der ersuchenden Partei); gemäß den geltenden Datenschutzgesetzen; (iii) Nachweis der Einhaltung der geltenden Datenschutzgesetze durch eine der Parteien; (iv) die Handhabung der Anträge zur Ausübung der Rechte der Datensubjekte seitens einer der Parteien, in Übereinstimmung mit den Bestimmungen von Abschnitt 5.3; und (v) den Umgang einer Partei mit Beschwerden von Datensubjekten oder Dritten und behördlichen Untersuchungen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten in Verbindung mit der Nutzung von Mobilitätsprodukten durch einen Partner gemäß dem Vertrag.

5.3 Sofern nicht durch geltende Datenschutzgesetze verboten, wird jede Partei unverzüglich die andere Partei benachrichtigen, im Falle von: (i) einem Verstoß der Partei oder einer Person im Auftrag der Partei gegen eine Bestimmung dieses DPAs oder einer Anweisung der Partei im Rahmen dieses DPAs; (ii) offizielle behördliche Aufsichtsverfahren in Verbindung mit personenbezogenen Daten, die im Zusammenhang mit der Nutzung von Mobilitätsprodukten durch den Partner gemäß dem Vertrag verarbeitet werden; (iii) alle rechtlichen oder sachlichen Umstände, die eine der Parteien daran hindern, Pflichten dieser Partei nach den Bestimmungen dieses DPAs zu erfüllen; und (iv) alle wesentlichen Änderungen, die sich auf die technischen und organisatorischen Sicherheitsmaßnahmen einer Partei auswirken, wodurch bewirkt wird, dass diese Maßnahmen den in diesem DPA festgelegten Informationssicherheitsverpflichtungen dieser Partei nicht entsprechen.

5.4 Soweit gesetzlich zulässig wird jede Partei, soweit sie im Rahmen dieser Vereinbarung als Datenverarbeiter oder -Verantwortlicher tätig ist, die andere Partei unmittelbar benachrichtigen, wenn sie einen Antrag von einem betroffenen Datensubjekt erhält, dessen personenbezogene Daten in den in Verbindung mit der Nutzung der Mobilitätsprodukte durch den Partner, gemäß dem Vertrag, erhobenen Daten enthalten sind, um das Recht auszuüben, auf die personenbezogenen Daten des Datensubjekts zuzugreifen, diese zu korrigieren, ändern oder löschen oder um weitere Persönlichkeitsrechte auszuüben, die dem Datensubjekt gemäß den geltenden Datenschutzgesetzen zustehen. Diese Partei wird der anderen Partei wirtschaftlich angemessene Kooperation und Unterstützung in Bezug auf die Bearbeitung des Antrags des betroffenen Datensubjekts bieten, soweit gesetzlich zulässig. Jedes betroffene Datensubjekt, das seine Rechte gegenüber HERE in der Eigenschaft als Datenverantwortlicher bezüglich der Mobilitätsprodukte geltend machen möchte, kann einen Antrag stellen, indem HERE unter folgender E-Mail-Adresse kontaktiert wird: mobility.privacy@here.com.  Jedes betroffene Datensubjekt, das seine Rechte gegenüber dem Partner in der Eigenschaft als Datenverantwortlicher bezüglich der Mobilitätsprodukte geltend machen möchte, kann einen Antrag stellen, indem es den Partner über die durch den Partner an HERE bereitgestellte E-Mail-Adresse, gemäß der Vereinbarung, kontaktiert. Jede Partei verpflichtet sich, alle angemessenen Anstrengungen zu unternehmen, um diesem Antrag nachzukommen.

5.5 Sollte der Partner bei der Nutzung oder dem Empfang der Mobilitätsprodukte nicht in der Lage sein, als Datenverantwortlicher Daten gemäß den anwendbaren Datenschutzgesetzen zu korrigieren, zu ändern, zu sperren oder zu löschen, muss HERE alle wirtschaftlich angemessenen Anfragen des Partners erfüllen, um solche Maßnahmen zu ermöglichen, soweit HERE rechtlich dazu berechtigt und technisch dazu in der Lage ist, mit angemessenen Kosten, die durch den Partner zu tragen sind. Keine der Parteien, die im Rahmen dieser Vereinbarung als Datenverarbeiter handelt darf ohne die vorherige schriftliche Zustimmung der anderen Partei auf eine solche Anfrage antworten, außer zur Bestätigung, dass sich die Anfrage auf diesen Datenverarbeiter bezieht, und es sei denn, dass dies ist nach den geltenden Datenschutzgesetzen erforderlich ist.

6. Unterbeauftragte und Personal der Parteien.

6.1 Jede Partei stellt sicher, dass sowohl das eigene Personal, die Unterbeauftragten und Dienstleister, als auch die der verbundenen Unternehmen, die sich mit der Verarbeitung personenbezogener Daten befassen: (i) über die Vertraulichkeit dieser personenbezogenen Daten in Kenntnis gesetzt werden; (ii) entsprechende Schulung über Sicherheit und Datenschutz (oder Auffrischungskurse) und ihre Verantwortungen erhalten und der Geheimhaltungspflicht unterliegen, wobei diese Verpflichtungen auch nach Beendigung des Arbeitsverhältnisses dieser Personen mit betreffender Partei weiter bestehen bleiben; und (iii) den Zugriff auf die personenbezogenen Daten ausschließlich auf die Personen beschränken, die diesen Zugriff für die Ausführung der Vertragszwecke benötigen. Alle verbundenen Unternehmen, Unterbeauftragte und relevante Dienstleister, denen eine Partei personenbezogene Daten während der Ausführung des Vertrags übermittelt, müssen schriftliche Vereinbarungen oder weitere rechtliche Instrumente mit dieser Partei unterzeichnen, durch welche sie den diesem DPA entsprechenden Verpflichtungen unterstehen.

6.2 Jede Partei muss: (i) für die ausreichende Sicherheit, den Datenschutz und die Vertraulichkeit sowohl des eigenen Personals, der Unterbeauftragten und Dienstleister, als auch des Personals der verbundenen Unternehmen in Bezug auf die personenbezogenen Daten verantwortlich sein; und (ii) für jeden Verstoß sowohl des eigenen Personals, der Unterbeauftragten und Dienstleister, als auch des Personals der verbundenen Unternehmen gegen die Einhaltung der Bedingungen dieses DPAs zu haften. Jede Partei übernimmt die gesamte Haftung für Handlungen und Unterlassungen sowohl der eigenen Mitarbeiter, Unterbeauftragten und Dienstleister als auch der der verbundenen Unternehmen in Verbindung mit der Verarbeitung von personenbezogenen Daten.

7. Datenverantwortliche, Verarbeiter und Unterbeauftragte Verarbeiter.

7.1 Um dem Datensubjekt bestimmte Dienstleistungen als Teil der Mobilitätsprodukte bereitzustellen, ist HERE als Datenverarbeiter berechtigt, bestimmte Drittdienstleister als Unterbeauftragte Verarbeiter zu beauftragen, die als Datenverantwortliche (auch bezüglich Daten, für die HERE der Datenverarbeiter ist) handeln, soweit dies für die Ausführung der Mobilitätsprodukte im Rahmen der Zusammenarbeit zwischen dem Partner und HERE erforderlich ist (jeweils ein „Externer Datenverantwortlicher“). Im diesem Fall schließt HERE einen schriftlichen Vertrag mit jedem externen Datenverantwortlichen ab, durch welchen dieser Unterbeauftragte entsprechenden Verpflichtungen untersteht, wie die, die HERE im Rahmen dieses Vertrages auferlegt sind, und zwar derart, dass die Verarbeitung personenbezogener Daten den Anforderungen der geltenden Datenschutzgesetze entspricht. Der Partner verpflichtet sich, die jeweiligen Datensubjekte über diese externen Datenverantwortliche in seinen Online-Nutzungsbedingungen und der Datenschutzrichtlinie zu informieren und ist für die Erstellung einer Rechtsgrundlage verantwortlich, einschließlich und falls erforderlich, alle Zustimmungen und Genehmigungen einzuholen und alle Mitteilungen (soweit anwendbar) zu machen, die nach den geltenden Datenschutzgesetzen im Zusammenhang mit der Weitergabe personenbezogener Daten der Datensubjekte an diese externen Datenverantwortliche erforderlich sind. HERE verwendet Twilio Inc. als externen Datenverantwortlichen, zwecks Bereitstellung von Telekommunikations-Verbindungsdienste für HERE, die es HERE unter anderem ermöglichen, Textnachrichten als Teil der Mobilitätsprodukte programmgesteuert zu senden und zu empfangen.

7.2 Eine als Datenverabeiter tätige Partei ist hiermit befugt, die Verarbeitung von personenbezogenen Daten an Verarbeiter und Unterbeauftragte Verarbeiter weiter zu vergeben, soweit dies anwendbar und auf angemessene Weise für die Auftragserfüllung im Rahmen der Vereinbarung erforderlich ist. In solchem Fall schließt dieser Verarbeiter einen schriftlichen Vertrag mit dem Unterbeauftragten Verarbeiter ab, durch welchen dieser Unterbeauftragte entsprechenden Verpflichtungen untersteht, wie die, die dem Verarbeiter im Rahmen dieses Vertrages auferlegt sind; dieser Vertrag muss eine Beschreibung der technischen und organisatorischen Maßnahmen enthalten, welche der Unterbeauftragte durchführen muss, damit die Verarbeitung den Anforderungen der anwendbaren Datenschutzgesetze gerecht wird. Auf Anfrage des Datenverantwortlichen informiert dieser Verarbeiter dem Verantwortlichen den Namen, Adresse und Aufgabe jedes beteiligten unterbeauftragten Verarbeiters. Ungeachtet des Vorstehenden geschieht der Einsatz von Verarbeitern seitens HERE (wenn HERE der Datenverantwortliche für die personenbezogene Daten ist), einschließlich der Nutzung jeglicher Zahlungsdienstleister, nach HEREs eigenem Ermessen.

7.3 Eine Partei, die im Rahmen dieser Vereinbarung als Datenverarbeiter handelt, wird dem Datenverantwortlichen im Voraus (über E-Mail oder durch Veröffentlichung auf dem Konto) jede Änderung der zum Zeitpunkt des Inkrafttretens gültigen Liste der unterbeauftragten Verarbeiter mitteilen (außer bei Wechsel in Notfällen oder ersatzloser Streichung von unterbeauftragten Verarbeitern). Falls der Datenverantwortliche einen berechtigten Grund in Bezug auf die Verarbeitung von personenbezogenen Daten durch den unterbeauftragten Verarbeiter hat, kann der Datenverantwortliche Einwand gegen den Einsatz eines unterbeauftragten Verarbeiters durch den Datenverarbeiter erheben, indem er den Verarbeiter innerhalb von zehn (10) Tagen nach dem Empfang der Mitteilung des Verabeiters schriftlich benachrichtigt und in diesem Fall werden die Parteien eine Lösung in Treu und Glauben erörtern. Der Datenverarbeiter kann Folgendes wählen: (i) den unterbeauftragten Verarbeiter nicht einzusetzen, oder (ii) die Korrekturmaßnahmen, die der Datenverantwortliche in seinem Einwand bezeichnet hat, auszuführen und den unterbeauftragten Verarbeiter einsetzen. Wenn keine dieser Möglichkeiten plausibel ist und der Datenverantwortliche sich weiter aus berechtigtem Grund widersetzt, kann jede Partei den Vertrag schriftlich kündigen, unter Berücksichtigung der Kündigungsfrist von dreißig (30) Tagen. Wenn der Datenverantwortliche sich innerhalb der Frist von zehn (10) Tagen nach Erhalt der Mitteilung nicht widersetzt, bedeutet das, dass der Datenverantwortliche den neuen unterbeauftragten Verarbeiter akzeptiert. Sofern gesetzlich vorgeschrieben, hat der Datenverarbeiter die unveränderte Fassung der Standardvertragsklauseln für die Übertragung von personenbezogenen Daten an die in Drittländern niedergelassenen Verarbeiter gemäß dem Beschluss 2010/87 / EU der Kommission ("Standardvertragsklauseln") abzuschließen, bevor der unterbeauftragte Verarbeiter die Daten verarbeitet. Durch dieses Dokument stimmt der Partner den Standardvertragsklauseln, die zwischen HERE und seinem unterbeauftragten Verarbeiter abgeschlossen wurden, zu.

8. Rechenschaftspflicht; Dokumentation.

8.1 Jede Partei verpflichtet sich, ihre Datenschutzpraktiken und -Aktivitäten in Bezug auf die Verarbeitung personenbezogener Daten gemäß den geltenden Anforderungen nach den geltenden Datenschutzgesetzen angemessen zu dokumentieren.

8.2 Eine Partei, die als Datenverarbeiter im Rahmen dieser Vereinbarung tätig ist, wird nur personenbezogene Daten gemäß den schriftlichen Anweisungen des Datenverantwortlichen verarbeiten, wie in diesem DPA festgelegt. Der Datenverarbeiter wird dem Datenverantwortlichen schriftlich mitteilen, wenn auf angemessen Weise bestätigt oder festgestellt wird, dass seine Verarbeitungsanweisungen gegen geltende Datenschutzgesetze verstoßen.

8.3 Die Haftung jeder Vertragspartei und ihrer verbundenen Unternehmen, die sich aus oder mit diesem DPA ergibt (ob im Rahmen eines Vertrags, aus unerlaubter Handlung oder aufgrund einer anderen Haftungstheorie), unterliegt Abschnitt 10 („Haftungsbeschränkung“) des Vertrags und jeglicher Bezug auf die Haftung einer Partei in betreffendem Abschnitt bezieht sich auf die Partei und ihre verbundenen Unternehmen gemeinsam.

9. Löschung oder Rückgabe von personenbezogenen Daten.  

9.1 Wenn eine Partei personenbezogene Daten als Verarbeiter unter dieser Vereinbarung verarbeitet, wird sie nach Wahl der anderen Partei alle personenbezogenen Daten nach Beendigung oder Ablauf des Vertrags löschen oder der anderen Partei zurückgeben und alle vorhandenen Kopien der personenbezogenen Daten in ihrem Besitz oder unter ihrer Verantwortung löschen, sofern: (i) gesetzliche Bestimmungen nicht die Rückhaltung personenbezogener Daten für einen bestimmten Zeitraum durch den Datenverarbeiter und/oder seine unterbeauftragten Verarbeiter erfordern; oder (ii) wenn solche Rückhaltung anderweitig gesetzlich zulässig ist. Wenn eine solche Rückhaltung der Daten gesetzlich zulässig und/oder erforderlich ist, können der Verarbeiter und/oder seine unterbeauftragen Verarbeiter diese personenbezogenen Daten für eben diese Zwecke speichern, vorausgesetzt, dass diese personenbezogenen Daten weiterhin unter den in diesem DPA festgelegten Bedingungen geschützt sind, ungeachtet des Ablaufs oder der Beendigung dieser Vereinbarung, bis diese personenbezogenen Daten endgültig gelöscht werden.

9.2 Ist eine Partei berechtigt oder gesetzlich verpflichtet, personenbezogene Daten nach geltendem Recht zu speichern, so wird diese Partei diese personenbezogenen Daten nur in Übereinstimmung mit den in Richtlinien und Verfahren für die Aufbewahrung und Vernichtung von Daten und im anwendbaren Recht festgelegten Verfahren und Zeiträumen speichern.

10. Anonymisierte und gesammelte Daten

Der Partner bestätigt und stimmt zu, dass HERE die personenbezogenen Daten derart anonymisieren kann, dass sie sich nicht mehr auf eine identifizierte oder identifizierbare natürliche Person beziehen oder damit das Datensubjekt nicht mehr identifizierbar ist („Anonymisierte Daten“) und solche anonymisierten Daten für seine eigenen Zwecke aufbewahren, nutzen und verteilen darf. Weiter verpflichtet sich der Partner, in dem Umfang, der nach diesem DPA und/oder geltenden Datenschutzgesetzen erforderlich ist, die relevante Sprache und Bedingungen in seine Datenschutzrichtlinie aufzunehmen und die betroffenen Datensubjekte zu informieren und im gesetzlich erforderlichen Umfang die rechtsgültige und wirksame Zustimmung einzuholen oder eine andere Rechtsgrundlage in Bezug auf diese Nutzung durch HERE festzulegen, gemäß den anwendbaren Datenschutzgesetzen.

11. Prüfungsrechte.  

11.1 Jede Partei kann die Datenschutz- und Sicherheitspraktiken der anderen Partei prüfen, um die Einhaltung dieses DPAs festzustellen und sicherzustellen, wenn: (i) ein Sicherheitsverstoß vorliegt; (ii) die prüfende Partei einen begründeten Verdacht hat, dass die andere Partei nicht in Übereinstimmung mit den Verpflichtungen im Rahmen dieses DPAs handelt; (iii) eine Prüfung offiziell durch eine zuständige Datenschutzbehörde gefordert wird; oder (iv) verbindliche Datenschutzgesetze der prüfenden Partei das direkte Prüfungsrecht gewähren. Eine solche Prüfung darf nur von einem seriösen externen Wirtschaftsprüfer (der keinem Interessenkonflikt unterliegt und an strikte Geheimhaltungspflichten gebunden ist) durchgeführt werden, mittels schriftlicher Vorankündigung innerhalb einer Frist von mindestens dreißig (30) Tagen. Die geprüfte Partei wird der prüfenden Partei bei ihrem Prüfungsverfahren, angemessen unterstützen. Die Prüfungen beschränken sich auf einmal im Kalenderjahr und sind auf maximal einen Werktag begrenzt, während der üblichen Geschäftszeiten und ohne den normalen Geschäftsbetrieb der geprüften Partei zu unterbrechen. Die prüfende Partei trägt ihre eigenen Prüfungskosten. Alle Informationen, die durch die geprüfte Partei als Teil des Prüfungsverfahrens bereitstellt oder durch die prüfende Partei erhalten werden, werden als vertrauliche Informationen der geprüften Partei geachtet.

11.2 Wenn die Standardvertragsklauseln gelten, ändert nichts in diesem Abschnitt 11 die Standardvertragsklauseln noch werden die Rechte der Aufsichtsbehörden oder der Datensubjekte im Rahmen der Standardvertragsklauseln davon berührt.

12. Technische und organisatorische Maßnahmen

12.1 Während der Vertragsdauer wird jede Partei verwaltungstechnische, organisatorische, physische und technische Maßnahmen umsetzen und wahren (auch in Bezug auf ihr Personal, ihre Einrichtungen, Hardware und Software, Speicherung und Netzwerke, Zugangskontrollen, Überwachung und Aufzeichnung, und Reaktion auf Vorfälle), zum Schutz der Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten gemäß den Richtlinien und Verfahren der Partei zur Informationssicherheit und wie durch geltende Datenschutzgesetzen erfordert. Jede Partei kontrolliert regelmäßig die Einhaltung dieser Sicherheitsmaßnahmen, um ein angemessenes und ausreichendes Schutzniveau in Bezug auf die mit der Verarbeitung verbundenen Risiken zu gewährleisten, unter Berücksichtigung der Art der betroffenen personenbezogenen Daten. Bei Abschluss dieses Vertrags stellt der Partner HERE eine Kopie seiner technischen und organisatorischen Maßnahmen zur Verfügung, es sei denn, die technischen und organisatorischen Maßnahmen des Partners stimmen im Wesentlichen mit denen im nachfolgenden Abschnitt 12.2 überein. In diesem Fall versichert und garantiert der Partner hiermit gegenüber HERE, dass: (i) seine umgesetzten technischen und organisatorischen Maßnahmen den geltenden Datenschutzgesetzen entsprechen und mindestens ein Schutzniveau gemäß den in Abschnitt 12.2 aufgeführten Schutzbestimmungen bieten; und (ii) er HERE unverzüglich schriftlich benachrichtigen wird, wenn sich Änderungen in seinen umgesetzten technischen und organisatorischen Maßnahmen ergeben, und HERE eine Kopie seiner aktualisierten umgesetzten technischen und organisatorischen Maßnahmen zur Verfügung stellt.

12.2 Im Folgenden werden die aktuellen Sicherheitsmaßnahmen von HERE festgelegt. HERE stellt dem Partner sicher, dass: (i) die Unternehmensleitung Sicherheitsaufgaben zuteilt und die Umsetzung der Sicherheit innerhalb des Unternehmens überprüft. Die Geschäftsleitung hat qualifiziertes Personal eingesetzt, das für die allgemeine Sicherheit, das Risikomanagement, die Informationssicherheit, den Datenschutz und die Kontrollen der Handhabung von personenbezogenen Daten verantwortlich ist; (ii) seine Verpflichtung zur Sicherheit durch eine angewandte Sicherheitspolitik im gesamten Unternehmen („Sicherheitspolitik“) erstellt und bewiesen ist. Die Sicherheitspolitik und damit verbundene Richtlinien werden allen Mitarbeitern, Unterbeauftragten und Dienstleistern von HERE mitgeteilt; (iii) das Unternehmen über ein eigenes Informationszuordnungsschema aufgrund der Informationssensibilität (z. B. Intern, Vertraulich und Geheim) verfügt und Maßnahmen eingesetzt hat, um sicherzustellen, dass das Informationseigentum jederzeit bestimmbar ist. Dieses Schema umfasst angemessene Sicherheitskontrollen, um die personenbezogenen Daten, die Aktiva und die Partnerinformationen zu schützen, wie zutreffend; (iv) mindestens jährliche Sicherheitsrisikobewertungen als Teil der normalen Geschäftstätigkeit durchgeführt werden und dabei auftretende Bedrohungen, mögliche geschäftliche Auswirkungen und Vorfallswahrscheinlichkeiten miteinbezogen werden; und die sicherheitsrelevanten Prozesse, Verfahren und Richtlinien aufgrund der Ergebnisse solcher Sicherheitsrisikobewertungen angepasst werden; (v) geeignete Zugriffskontrollen und die Verwaltung von Zugriffsrechten eingeführt wurden, um sicherzustellen, dass die Daten nur von einer minimalen Anzahl befugter Personen verarbeitet werden, wobei diese Personen nur Zugriff auf die für die Ausführung ihrer Berufspflichten notwendigen Daten haben (d. h., funktionsbasierte Zugriffskontrolle mit weniger Privilegien); (vi) Folgendes gewahrt wird: Prozesse, um den Zugriff von Nutzern und von Unterbeauftragten zu gestatten und zu beenden, einschließlich des Verfahrens zur Beendigung des Notfallzugriffs; Richtlinien zur Passwortverwaltung einschließlich der Anforderungen zur Passwortkomplexität, keine Nutzung von gemeinsamen oder geteilten Nutzerkonten, Passwortalterung bei Systemen, die keinen Passwortverwalter zulassen, und sichere Übermittlung von Anmeldedaten an die Nutzer; Prüfungsaufzeichnungen von allen bestehenden Nutzerprivilegien, die aufbewahrt und regelmäßig geprüft werden müssen, um überschüssige Privilegien zu entfernen, und Prozesse, die Aufgabenteilung gewährleisten; (vii) ein ausreichender Prüfpfad beibehalten wird und der Einsatz von Zugriffsprivilegien (Änderungen, wer, was, wann gemacht hat) beim Umgang mit sensiblen (vertraulichen oder geheimen) Informationen vorhanden ist; (viii) Aufzeichnungen bezüglich der Nutzerzugriffe auf die durch den Partner verarbeitete Daten erhoben und mindestens drei (3) Monate lang gespeichert werden, es sei denn, dies ist durch die örtliche Gesetzgebung begrenzt; (ix) angemessene und geeignete Informationssicherheitsmaßnahmen (z. B. Härtung, Patching, Antivirus, IDS, usw.) eingesetzt wurden, um die personenbezogenen Daten vor unbefugtem oder versehentlichem Zugriff, Verwendung, Offenlegung, Löschung, Zerstörung, Verlust, Änderung oder Wechsel zu schützen; (x) personenbezogene Daten nur in einer IT-Umgebung, in der die erforderlichen Sicherheitskontrollen eingesetzt wurden, speichert und verarbeitet und, dass sichergestellt wird, dass die IT-Infrastruktur und -Netzwerke so ausgelegt sind und so verwaltet werden, dass sie IT-Systeme, Informationen, Nutzer und die elektronische Kommunikation schützen; und (xi) Industriestandardtechniken verwendet werden, um die Vernetzung zwischen dem Partner und HERE gegen Abhöraktionen und Änderungen (einschließlich kabellosen Zugangs oder Fernverbindung) bei Lösungen und Dienstleistungen zu schützen.

12.3 HERE kann die umgesetzten Sicherheitsmaßnahmen jederzeit ohne Vorankündigung ändern, sofern ein vergleichbares oder höheres Sicherheitsniveau gewährleistet wird.

13. Verstoßmanagement und Benachrichtigungen.

13.1 Jede Partei wird: (i) Sicherheitsrichtlinien und -Verfahren für das Management von Sicherheitsverstößen, wie nach geltendem Recht erforderlich, pflegen und wahren; und (ii) sobald eine Partei von einem Sicherheitsverstoß in Kenntnis gesetzt wird, die andere Partei unverzüglich schriftlich benachrichtigen. Eine solche Mitteilung muss erfolgen, bevor Behörden benachrichtigt oder öffentliche Mitteilungen erteilt werden, es sei denn, dies ist nach geltendem Recht verboten. Wenn eine der Parteien von einem Sicherheitsverstoß in Kenntnis gesetzt wird, wird sie sofort: (a) den Sicherheitsverstoß untersuchen und der anderen Partei Informationen über den Sicherheitsverstoß übermitteln; und (b) angemessene Maßnahmen ergreifen, um die Auswirkungen zu mildern und Schäden aufgrund des Sicherheitsverstoßes zu verringern. Jede Partei stimmt zu, dass ein erfolgloser Versuch eines Sicherheitsverstoßes nicht diesem Abschnitt 13 unterliegt. Ein erfolgloser Versuch eines Sicherheitsverstoßes ist der, der nicht zu einem unbefugten Zugriff oder Verlust, Offenlegung oder Änderung von personenbezogenen Daten oder Geräten oder Einrichtungen einer Partei, die personenbezogene Daten speichern, führt und kann, unter anderem, Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Attacken, Packet Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff jenseits von IP-Adressen oder Header führen) umfassen oder ähnliche Vorfälle, die Verpflichtung jeder Partei, einen Sicherheitsverstoß gemäß diesem Abschnitt 13 zu melden oder zu beantworten ist und wird nicht als Anerkennung einer Schuld oder Haftung der Partei in Bezug auf den Sicherheitsverstoß angesehen. Jede Partei verpflichtet sich, der anderen Partei Unterstützung und wirtschaftlich angemessene Hilfe zu leisten, für die Erfüllung der Meldepflicht von Verstößen an die andere Partei, gemäß den geltenden Datenschutzgesetzen in Bezug auf personenbezogene Daten. Meldungen von Sicherheitsverstößen, wenn vorhanden, werden an einen oder mehrere geschäftliche, technische und verwaltungstechnische Kontakte der anderen Partei übermittelt, auf eine von der Partei gewählten Weise, inklusive über E-Mail. Jede Partei ist verantwortlich, um sicherzustellen, dass jederzeit genaue Kontaktinformationen in den Unterstützungssystemen der anderen Partei vorhanden sind.

13.2. Wenn und soweit die Parteien als unabhängige Datenverantwortliche handeln, erklärt jede Partei der anderen und versichert, dass: (i) sie solide Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen einhält, wie nach geltendem Recht erforderlich; und (ii) soweit sie es für anwendbar hält, wird sie, sobald sie von einem Sicherheitsverstoß Kenntnis erlangt, die andere Partei schriftlich darüber benachrichtigen.

14. Internationale Datenübermittlung

14.1 Die Parteien können Instrumente, Maßnahmen, Verträge oder weitere anwendbare Mechanismen zur Vereinfachung der rechtmäßigen, Grenzen übergreifenden Übermittlung von personenbezogenen Daten nutzen, unter Vertrag nehmen, zertifizieren oder sich selbst dadurch zertifizieren, wie durch die geltenden Datenschutzgesetze erfordert. Die Parteien können personenbezogene Daten von Datensubjekten im Europäischen Wirtschaftsraum („EWR“) in andere Länder oder Hoheitsgebiete, die durch die Europäische Kommission anerkannt werden, übertragen, sofern sie den personenbezogenen Daten ein angemessenes Schutzniveau bieten („Angemessenheitsbeschluss“).

14.2 Soweit dies nach den anwendbaren Datenschutzgesetzen erforderlich ist, verpflichten sich die Parteien, Instrumente zum Schutz der internationalen Datenübertragung umzusetzen, wie die Standardvertragsklauseln zwischen Datenverantwortlichen, sowie weitere rechtmäßige Instrumente zur Übermittlung personenbezogener Daten zwischen den Parteien und zwischen einer Partei und verbundenen Unternehmen, Dienstleistern und anderen Dritten. Soweit zutreffend, wenn: (i) der Angemessenheitsbeschluss ungültig ist oder anderweitig gekündigt wurde; (ii) die Standardvertragsklauseln ungültig oder nicht mehr wirksam sind; und (iii) andere Schutzmaßnahmen für die Übermittlung personenbezogener Daten aus irgendeinem Grund nicht mehr wirksam sind, treffen die Parteien gegebenenfalls alternative rechtliche Maßnahmen, je nach Verfügbarkeit und Anwendbarkeit, um die rechtmäßige Übermittlung der personenbezogenen Daten weiterhin zu vereinfachen.

14.3 Ist eine Partei nicht in der Lage, eine alternative Maßnahme zur weiteren rechtmäßigen Übermittlung personenbezogener Daten zu bieten, so kann die andere Partei dieses DPA und den Vertrag mit sofortiger Wirkung durch eine schriftliche Mitteilung kündigen.

14.4 Ungeachtet des Vorstehenden bestätigt der Partner, dass die personenbezogenen Daten durch oder im Auftrag von HERE in einem anderen Land gespeichert und/oder verarbeitet werden können, als das, in dem die Mobilitätsprodukte angeboten werden. Die personenbezogenen Daten eines Partners im Europäischen Wirtschaftsraum oder in der Schweiz dürfen nur durch HERE oder seine unterbeauftragten Verarbeiter außerhalb des EWR oder der Schweiz exportiert oder aufgerufen werden, wenn: (i) der Empfänger oder das Land oder Hoheitsgebiet in dem die Daten verarbeitet oder aufgerufen werden einen angemessenen Schutzniveau sicherstellt, wie durch die Europäische Kommission festgelegt; oder (ii) die Standardvertragsklauseln für die Übertragung von personenbezogenen Daten an in Drittländer niedergelassenen Verarbeitern anwendbar sind.

15. Dauer und Kündigung.

Vorliegendes DPA beginnt am Datum des Inkrafttretens des Vertrags, bleibt während der Vertragslaufzeit in Kraft und ist auch nach Ablauf oder Kündigung des Vertrags weiterhin wirksam. Sollte eine der Parteien nicht in der Lage sein, eine Bestimmung oder Bedingungen dieses DPAs nach Treu und Glauben einzuhalten, kann die andere Partei den Vertrag unverzüglich mittels schriftlicher Mitteilung kündigen.

 16. Übereinstimmung.

Jede Partei ernennt einen Datenschutzbeauftragten, der die Verarbeitung personenbezogener Daten betreut und der anderen Partei als Kontaktperson für Datenschutzangelegenheiten dient. Die ernannte Kontaktperson von HERE kann über E-Mail erreicht werden, durch Zustellung an: mobility.privacy@here.com. Innerhalb von 5 Werktagen nach Vertragsabschluss stellt der Partner eine E-Mail an oben bezeichnete Adresse zu, mit den Kontaktinformationen des durch den Partner ernannten Datenschutzbeauftragten; sollte der Partner dies nicht ausführen, erklärt er sich einverstanden, dass HERE alle Mitteilungen in Bezug auf dieses DPA an die mit seinem Konto verbundene E-Mail-Adresse sendet.

17. Sonstiges.

Vorliegendes DPA ersetzt alle früheren und derzeitigen, schriftlichen oder mündlichen Vorschläge, Erklärungen, Verkaufsunterlagen oder Präsentationen und Vereinbarungen in Bezug auf den Gegenstand dieses DPAs, einschließlich vorheriger Ergänzungen oder Zusätze über Datenverarbeitung, die zwischen HERE und dem Partner abgeschlossen wurden. Nichts in diesem DPA mindert die Verpflichtungen der Parteien im Rahmen der Vertragsbedingungen, einschließlich in Bezug auf die Erhebung und den Schutz personenbezogener Daten, oder genehmigt einer Partei, personenbezogene Daten auf eine Weise zu verarbeiten (oder solche Verarbeitung zu erlauben), die nach dem Vertrag untersagt ist. Bei Konflikten oder Unstimmigkeiten zwischen diesem DPA und dem Vertrag, hat dieses DPA ausschließlich für den hier behandelten Gegenstand Vorrang und nur, wenn der betreffende Konflikt oder die Unstimmigkeit sich aus den Anforderungen des Artikels 28 der DSGVO ergeben (ausgenommen wenn ausdrücklich anderweitig schriftlich vereinbart, mit Unterzeichnung beider Parteien). Dieses DPA bezweckt weder Beschränkung noch die Beeinträchtigung der entsprechenden Verpflichtungen und Haftungen der Parteien (jede als Datenverantwortliche) im Rahmen dieses Vertrags und/oder gemäß der DSGVO oder jeglichem auf den Datenverantwortlichen anwendbaren Gesetz in Verbindung mit der Erhebung, Handhabung und Verwendung der personenbezogenen Daten.