TAXBACK INTERNATIONAL Allgemeine Geschäftsbedingungen

Datenverarbeitungsvertrag

Präambel

Dieser Datenverarbeitungsvertrag („DPA“) dient der Ernennung von T.B.I. Refunds durch IDA BUSINESS & TECHNOLOGY PARK, RING ROAD, KILKENNY, IRLAND als Auftragnehmer („Datenverarbeiter“) des Kunden („Datenverantwortlicher“).

Gegenstand:

Die Vertragsparteien vereinbaren bestimmte Bestimmungen zum Schutz und zur Sicherheit von Daten, die vom Datenverantwortlichen an den Datenverarbeiter weitergegeben werden, um die Anforderungen der geltenden Gesetze und Vorschriften zu berücksichtigen, einschließlich der Gesetze und Vorschriften für den Schutz personenbezogener Daten, wie sie das Datenschutzgesetz des Landes vorsieht, in dem der Datenverantwortliche tätig ist.

A. HIERMIT WIRD VEREINBART, dass die Vertragsparteien mit den nachfolgenden Bedingungen einverstanden sind:

1. DEFINITIONEN

1.1 Die in dieser Vereinbarung verwendeten Begriffe sind wie nachfolgend definiert. „Schäden“ sind alle Verbindlichkeiten, Kosten, Aufwendungen, Schäden und Verluste (einschließlich, aber nicht beschränkt auf direkte, indirekte oder Folgeschäden, entgangenen Gewinn, Reputationsverlust und alle Zinsen, Geldbußen, Strafen und Prozesskosten (berechnet auf Basis einer vollständigen Entschädigung) und alle anderen angemessenen beruflichen Kosten und Ausgaben), die dem Kunden aus dieser Vereinbarung oder einem Klagegrund im Zusammenhang mit der Anwendung dieser Vereinbarung entstanden sind oder entstehen, einschließlich Vertragsverletzung, unerlaubter Handlung (einschließlich Fahrlässigkeit) und allen anderen gängigen Gesetzen, rechtmäßigen oder gesetzlichen Klagegründen;

„Datenverantwortlicher“ ist im Sinne des Datenschutzgesetzes zu verstehen;

„Datenverarbeiter“ ist im Sinne des Datenschutzgesetzes zu verstehen;

„Datenschutz-Folgenabschätzung“ ist im Sinne des Datenschutzgesetzes zu verstehen;

„Datenschutzgesetz“ bezeichnet die Datenschutzgesetze gemäß den Angaben des Gerichtsstands des Datenverantwortlichen.

„Datensicherheitsverletzung“ ist im Sinne des Datenschutzgesetzes zu verstehen;

„Betroffene“ ist im Sinne des Datenschutzgesetzes zu verstehen;

„Personenbezogene Daten“ ist im Sinne des Datenschutzgesetzes zu verstehen;

„Privacy Shield“ bezeichnet das vom US-Handelsministerium betriebene und von der Europäischen Kommission genehmigte Privacy Shield-System oder von der Europäischen Kommission zu diesem Zweck von Zeit zu Zeit genehmigte Ersatzsysteme und -grundsätze;

„Verarbeitung“ ist im Sinne des Datenschutzgesetzes zu verstehen; „Prozess“ wird entsprechend ausgelegt;

„Regulierungsbehörde“ bezeichnet jede Behörde und jede andere Einrichtung, jeden Ausschuss und jedes andere Organ, das nach Gesetz, Regeln, Vorschriften, Verhaltenskodex oder anderweitig nach geltendem Recht berechtigt ist, die in dieser Vereinbarung behandelten Angelegenheiten oder andere Angelegenheiten der Vertragsparteien zu überwachen, zu regulieren, zu untersuchen oder zu beeinflussen.;

„Sub-Verarbeiter“ ist im Sinne des Datenschutzgesetzes zu verstehen.

2. DATENSCHUTZ

2.1 Datenverantwortlicher: Der Kunde ist für die Verarbeitung personenbezogener Daten gemäß Anhang 1 verantwortlich.

2.2 Datenverarbeiter: Der Auftragnehmer fungiert als Datenverarbeiter in Bezug auf die personenbezogenen Daten, die er im Auftrag des Kunden verarbeitet.

2.3 Der Auftragnehmer ist verpflichtet, seine datenschutzrechtlichen Verpflichtungen als Datenverarbeiter zu erfüllen. Wenn dem Auftragnehmer ein Grund bekannt ist oder wird, der seine Einhaltung des Datenschutzgesetzes oder einen Vorfall der Nichteinhaltung des Datenschutzgesetzes im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung verhindern würde, wird er den Kunden so schnell wie möglich informieren.

2.4 Anweisungen: Der Auftragnehmer oder ein Mitarbeiter des Auftragnehmers wird nur die personenbezogenen Daten gemäß dieser Vereinbarung und allen anderen schriftlichen Anweisungen des Kunden verarbeiten. Es sei denn, dass das Recht der EU oder eines Mitgliedsstaats, dem der Auftragnehmer in diesem unterliegt, etwas anderes vorschreibt. In diesem Fall muss der Auftragnehmer den Kunden vor der Verarbeitung über diese gesetzliche Verpflichtung informieren. Es sei denn, dass Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses. Der Auftragnehmer erklärt sich damit einverstanden, dass er keine Rechte oder Interessen an den personenbezogenen Daten erwirbt.

2.5 Rechte der betroffenen Person: Der Auftragnehmer verpflichtet sich, auf Anfragen der betroffenen Personen zu reagieren, die ihm vorschreiben, die datenschutzrechtlichen Rechte nur innerhalb eines festgelegten, vom Kunden angegebenen Zeitraums auszuüben.

2.6 Erhält der Auftragnehmer eine solche Anfrage direkt von den betroffenen Personen, wird er den Kunden unverzüglich über den Empfang der Anfrage in Kenntnis setzen und die Anfrage an den Kunden weiterleiten. Der Auftragnehmer wird nur auf Weisung des Kunden auch eine solche Anfrage reagieren.

2.7 Unterstützung: Der Auftragnehmer unterstützt den Kunden im vom Kunden festgelegten Zeitraum bei der Verpflichtung des Kunden zur Einhaltung der Compliance in folgenden Punkten:

2.7.1 Sicherheit der Verarbeitung

2.7.2 Benachrichtigung über Datenschutzverletzungen

2.7.3 Datenschutz-Folgenabschätzungen

2.8 Datenübertragungen: Der Auftragnehmer überträgt personenbezogene Daten oder sonstige Informationen von Kunden des Kunden in Übereinstimmung mit der Erfüllung seiner vertraglichen Verpflichtungen. Der Kunde kann vom Auftragnehmer unter anderem verlangen:

2.8.1 einen Subunternehmer zu beschaffen oder zu beauftragen, der einen entsprechenden Datenverarbeitungsvertrag abschließt; oder

2.8.2 bei Übertragungen in die USA sicherzustellen, dass der Empfänger eine aktuelle, gültige Zertifizierung nach dem Privacy Shield hat und die Grundsätze des Privacy Shield einhält.

Die vorstehenden Bestimmungen dieser Ziffer 2.8 gelten auch für jede weitere Übertragung der personenbezogenen Daten oder sonstiger Informationen von Kunden des Kunden.

2.9 Für den Fall, dass der in Ziffer 2.8 festgelegte Übertragungsmechanismus ungültig wird, hat der Auftragnehmer nach Ermessen des Kunden:

2.9 Für den Fall, dass der in Ziffer 2.8 festgelegte Übertragungsmechanismus ungültig wird, hat der Auftragnehmer nach Ermessen des Kunden:

2.9.1 die Pflicht, für einen alternativen Datenübertragungsmechanismus zu sorgen und dafür einen entsprechenden Subunternehmer zu beschaffen;

2.9.2 alle personenbezogenen Daten zu vernichten, die sich ein seinem Besitz und/oder im Besitz des Subunternehmers befinden; oder

2.9.3 personenbezogene Daten, die sich in seinem Besitz und/oder im Besitz des Subunternehmers befinden, an den Kunden zurückzugeben.

2.10 Personenbezogene Daten von Mitgliedern der Kundengruppe: Für den Fall, dass mehr als ein Mitglied der Kundengruppe an den Auftragnehmer übergeht oder dem Auftragnehmer anderweitig Zugriff auf personenbezogene Daten oder andere Informationen über seine Kunden im Rahmen dieser Vereinbarung gewährt werden:

2.10.1 wird der Auftragnehmer die personenbezogenen Daten und andere Informationen über Kunden jedes Mitglieds separat unter Bezugnahme auf dieses Mitglied aufbewahren; und

2.10.2 wird der Auftragnehmer keine personenbezogenen Daten oder andere Informationen, die Kunden eines Mitglieds der Kundengruppe betreffen, an ein anderes Mitglied der Kundengruppe weitergeben, ohne die Zustimmung des Mitglieds, das die personenbezogenen Daten oder andere Informationen über seine Kunden besitzt.

2.11 Sub-Verarbeitung: Der Auftragnehmer erklärt sich damit einverstanden, dass er ohne vorherige schriftliche Zustimmung des Kunden keine Dritten mit der Verarbeitung personenbezogener Daten des Kunden beauftragt.

2.12 Beauftragt der Auftragnehmer einen Dritten mit der Verarbeitung personenbezogener Daten des Kunden, so hat der Auftragnehmer diesem Dritten durch einen schriftlichen Vertrag dieselben Datenschutzverpflichtungen aufzuerlegen, wie sie in dieser Vereinbarung festgelegt sind. Dies stellt sicher, dass, wenn der vom Auftragnehmer beauftragte Dritte selbst einen Dritten verpflichtet, personenbezogene Daten zu verarbeiten, muss auch dieser Dritte allen Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten erfüllen, wie sie in dieser Vereinbarung festgelegt sind.

2.13 Der Auftragnehmer hat den Kunden über beabsichtigte Änderungen im Zusammenhang mit verarbeitenden Dritten zu informieren und diese Änderungen ohne vorherige schriftliche Zustimmung des Kunden nicht vorzunehmen.

2.14 Der Auftragnehmer haftet gegenüber dem Kunden in vollem Umfang für die Verarbeitung durch Dritte, und zwar so, als würde der Auftragnehmer die Verarbeitung selbst durchführen.

2.15 Sicherheit: Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko für die Sicherheit personenbezogener Daten, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Änderung, Unbefugte, Offenlegung oder Zugriff auf personenbezogene Daten, entspricht und teilt dies dem Kunden im Voraus mit:

2.15.1 die Pseudonymisierung und Verschlüsselung personenbezogener Daten

2.15.2 die Fähigkeit, die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten und die Widerstandsfähigkeit der für diese Verarbeitung verwendeten Systeme des Auftragnehmers zu gewährleisten;

2.15.3 die Möglichkeit, die Verfügbarkeit und den Zugriff auf die personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls wiederherzustellen; und

2.15.4 ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zur Verfügung zu stellen.

2.16 Vertraulichkeit: Der Auftragnehmer stellt sicher, dass sein Personal, das personenbezogene Daten gemäß dieser Vereinbarung verarbeitet, diese personenbezogenen Daten vertraulich behandelt.

2.17 Nachweis der Compliance: Der Auftragnehmer stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um Audits, einschließlich Inspektionen, die vom Auftraggeber oder von einem vom Auftraggeber beauftragten Auditor durchgeführt werden, zu ermöglichen und dazu beizutragen.

2.18 Rechtsverletzung: Der Auftragnehmer wird den Kunden unverzüglich informieren, wenn seiner Meinung nach eine Weisung oder Anfrage gemäß dieser Vereinbarung gegen das Datenschutzrecht verstößt.

2.19 Anzeigepflicht: Der Auftragnehmer wird den Kunden innerhalb von vierundzwanzig (24) Stunden nach Bekanntwerden einer Datenschutzverletzung informieren. Der Auftragnehmer darf ohne vorherige schriftliche Zustimmung des Kunden nicht mit einer betroffenen Person in Bezug auf eine Datenschutzverletzung kommunizieren.

2.20 Schäden: Der Auftragnehmer stellt den Kunden von Schäden frei, die dem Kunden aus oder im Zusammenhang entstehen mit:

2.20.1 Handlungen des Auftragnehmers außerhalb oder entgegen den gesetzlichen Anweisungen des Kunden;

2.20.2 einer Pflichtverletzung durch den Auftragnehmer in Bezug auf diese Vereinbarung oder die Datenschutzgesetze; und/oder

2.20.3 jeder Handlung oder Unterlassung des Auftragnehmers oder seines Personals, durch die der Kunde in irgendeiner Weise gegen Datenschutzgesetze verstößt.

2.21 Kündigung/Ablauf: Bei Beendigung oder Ablauf dieser Vereinbarung (oder zu einem anderen vom Kunden verlangten Zeitpunkt) hat der Auftragnehmer alle Kopien der empfangenen personenbezogenen Daten und/oder der von ihm gemäß dieser Vereinbarung verarbeiteten Daten zurückzugeben. Es sei denn, dass gültige Recht verlangt eine Aufbewahrung der personenbezogenen Daten.

2.22 Fortbestehen des Vertrags: Die Bestimmungen dieser Vereinbarung bleiben so lange bestehen, bis der Auftragnehmer alle personenbezogenen Daten gemäß Ziffer 2.21 zurückgegeben oder vernichtet hat.

3. KÜNDIGUNG

3.1 Diese Vereinbarung endet automatisch mit der Kündigung oder dem Ablauf der Verpflichtungen des Datenverarbeiters in Bezug auf die Dienste. Bei einer Kündigung dieser Vereinbarung muss der Datenverarbeiter seine Verpflichtungen aus Ziffer 2.21 erfüllen.

3.2 Jede Partei kann diese Vereinbarung mit sofortiger Wirkung durch schriftliche Mitteilung an die andere kündigen:

a) wenn die andere Partei einen wesentlichen Verstoß gegen die Vereinbarung begeht; oder

b) wenn die andere Partei zahlungsunfähig ist oder für zahlungsunfähig erklärt wird, wenn sie ein Konkursverfahren einleitet, wenn sie einen Vergleich mit ihren Gläubigern schließt oder vorschlägt, wenn sie einen Konkursverwalter oder ähnlichen Beamten für Teile oder das gesamte Vermögen bestellt oder wenn sie Maßnahmen zur Auflösung einleitet.

4. SONSTIGES

4.1 Ausfertigungen: Diese Vereinbarung kann in einer beliebigen Anzahl von Ausfertigungen und von den Vertragsparteien in getrennten Ausfertigungen abgeschlossen werden, von denen jedes ein Original ist, die aber alle zusammen ein und dieselbe Vereinbarung bilden.

4.2 Geltendes Recht und Gerichtsbarkeit: Diese Vereinbarung und alle Streitigkeiten oder Ansprüche, die sich aus oder im Zusammenhang mit ihrem Gegenstand ergeben, unterliegen den Gesetzen der Republik Irland und werden entsprechend ausgelegt. Die Vertragsparteien erkennen die ausschließliche Zuständigkeit der irischen Gerichte für alle Streitigkeiten oder Ansprüche an, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben.

ANHANG 1

Beschreibung der Verarbeitung personenbezogener Daten

1. Gegenstand

Mehrwertsteuerrückforderung für die Dauer des Vertragsvereinbarung.

2. Art der Geschäftsvereinbarung

Der Datenverarbeiter ist verantwortlich für die Verarbeitung von Daten und Informationen im Auftrag des Datenverantwortlichen, unter der Voraussetzung, dass der Datenverantwortliche die erforderliche Einwilligung eingeholt hat oder zur Datenverarbeitung berechtigt ist.

3. Zweck

Personenbezogene Daten werden verarbeitet, um die Mehrwertsteuer zu validieren, wenn Käufe in direktem Zusammenhang mit Geschäftsreisen und damit verbundenen Ausgaben getätigt wurden.

4. Kategorien personenbezogener Daten

Kontaktdaten (Name, Adresse, E-Mail-Adresse, Telefonnummern), Transaktionsdaten.

5. Sensible personenbezogene Daten

Es werden keine sensiblen personenbezogenen Daten erfasst.

6. Kategorien von betroffenen Personen

Mitarbeiter des Kunden.

7. Sicherheits- und Organisationsmaßnahmen

Technische und organisatorische Sicherheitskontrollen werden gemäß dem Informationssicherheitsstandard nach ISO27001 durchgeführt; Taxback International ist dafür durch unsere externe Akkreditierungsstelle zertifiziert.

8. Empfänger der personenbezogenen Daten

Taxback International erhält Daten aus verschiedenen Quellen, um sicherzustellen, dass die Mehrwertsteuer für (Name des Kunden) wie vertraglich vereinbart zurückerstattet wird.

Die Daten werden an unsere Dienstleister weitergegeben, einschließlich (ohne Einschränkung) derjenigen, die von uns mit der Erbringung von Funktionen für die Verarbeitung globaler Mehrwertsteuerdienstleistungen beauftragt sind, einschließlich der Speicherung Ihrer Daten im EWR und in den USA. Hierzu gehören alle Personen, die erforderlich sind, um die Einhaltung der anwendbaren Gesetze, Vorschriften und gesetzlichen Anforderungen durch Taxback International sicherzustellen.

9. Datenübertragungen

Datenübertragungen erfolgten auf Anweisung des Datenverantwortlichen, einschließlich der lokalen Steuerbehörden, in Übereinstimmung mit jedem Land, das für die MwSt.-Rückerstattung berechtigt ist.

10. Aufbewahrung

Die Datenspeicherung erfolgt nach Anweisung des Datenverarbeiters.

11. Taxback Datenschutzbeauftragte

Margaret Corrigan, The Taxback Group, IDA Business & Technology Park, Ring Road, Kilkenny, Ireland.