Luware Auftragsdatenverarbeitungsvertrag

Hintergrund

1.1  Die Parteien haben die Luware Cloud Nutzungsbedingungen („Nutzungsbedingungen“) aufgrund der Bestellung, des Zugriffs oder der Nutzung der Services durch den Kunden abgeschlossen. Soweit sich die Services auf die Verarbeitung personenbezogener Kundendaten durch Luware im Auftrag des Kunden beziehen, möchten die Parteien die Nutzungsbedingungen erweitern, um die kontinuierliche Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.

1.2 Dieser Auftragsverarbeitungsvertrag („AVV“) ist ein integraler Bestandteil der Nutzungsbedingungen und endet mit der Kündigung oder dem Ablauf der Nutzungsbedingungen. Die in diesem AVV dargelegten Bestimmungen ändern, ergänzen und ersetzen die Nutzungsbedingungen in Bezug auf Bestimmungen, die sich auf die Verarbeitung von personenbezogene Kundendaten durch Luware beziehen. Alle weiteren Bestimmungen der Nutzungsbedingungen, die hier nicht anderweitig geändert und ergänzt werden, bleiben unverändert und in vollem Umfang in Kraft und wirksam.

1.3  Alle in diesem AVV verwendeten Begriffe, welche in den Nutzungsbedingungen definiert und hier nicht weiter bestimmt werden, haben die gleiche Bedeutung wie in den Nutzungsbedingungen. Sollten sich die Bestimmungen dieses AVV und der Nutzungsbedingungen widersprechen hat dieser AVV Vorrang.

1.4 Luware kann diesen AVV von Zeit zu Zeit ändern. Sofern von Luware nicht anders angegeben, treten die Änderungen für den Kunden mit der Verlängerung der aktuellen Abonnementlaufzeit oder dem Abschluss eines neuen Serviceauftrags in Kraft, nachdem die aktualisierte Version des AVV in Kraft getreten ist. Luware wird den Kunden in angemessener Weise durch Mitteilungen über das Kundenkonto, per E-Mail oder auf anderem Wege informieren.

Allgemeine Bestimmungen

2.1  Der Kunde ist als Datenverantwortlicher der personenbezogenen Kundendaten für die Einhaltung der geltenden Datenschutzgesetze verantwortlich und hat ein Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 (1) DSGVO zu führen.

2.2  Die Parteien vereinbaren, dass Luware und die genehmigten Dritten die personenbezogenen Kundendaten in Übereinstimmung mit den Bestimmungen dieses AVV verarbeiten dürfen. Luware muss die Verpflichtungen, die sich aus den geltenden Datenschutzgesetzen in Bezug auf die personenbezogenen Kundendaten ergeben, einhalten und dafür sorgen, dass die zugelassenen Dritten diese einhalten.

2.3 Luware verarbeitet personenbezogene Kundendaten ausschließlich zum Zweck der Erbringung der Services im Rahmen der Nutzungsbedingungen. Luware verarbeitet personenbezogenen Kundendaten gemäß den Anweisungen des Kunden. Die Nutzungsbedingungen, einschließlich dieses AVV, der Dokumentation und der Luware Datenschutzrichtlinie, enthalten die ursprünglichen Anweisungen des Kunden an Luware in Bezug auf die Verarbeitung von personenbezogenen Kundendaten. Der Kunde kann Luware jede Änderung seiner ursprünglichen Anweisungen durch eine schriftliche Mitteilung anzeigen. Sämtliche Anweisungen, die zu einer Verarbeitung außerhalb des Anwendungsbereichs der Nutzungsbedingungen, einschließlich dieses AVV, der Dokumentation und der Datenschutzrichtlinie führen, müssen von den Parteien vertraglich vereinbart werden.

2.4  Luware benachrichtigt den Kunden unverzüglich, wenn Luware nach vernünftigem Ermessen der Ansicht ist, dass sie gesetzlich verpflichtet ist, anders als gemäß den Anweisungen des Kunden nach Klausel 2.3 dieses AVV zu handeln. Luware ist erst dann verpflichtet, die Anweisungen zu befolgen, wenn die Anweisungen vom Kunden entweder bestätigt oder korrigiert wurden. Anweisungen, die rechtswidrig sind, sind nicht zu befolgen. Luware haftet nicht für Schäden, die sich aus oder im Zusammenhang mit einer gemäß diesen Anweisungen durchgeführten Verarbeitung ergeben.

2.5 Mit Ausnahme der Löschung und/oder Rückgabe der personenbezogenen Kundendaten endet das Recht von Luware und seinen zugelassenen Dritten, personenbezogene Kundendaten gemäß dieses AVV zu verarbeiten, automatisch mit der Beendigung der Nutzungsbedingungen, es sei denn, die geltenden Datenschutzgesetze schreiben etwas anderes vor.

Datenverarbeitungstätigkeiten

3.1  Der Kunde nimmt zur Kenntnis, dass Luware und seine autorisierten Dritten die personenbezogenen Kundendaten in Übereinstimmung mit den geltenden Datenschutzgesetzen, den Nutzungsbedingungen, diesem AVV, der Dokumentation und der Luware Datenschutzrichtlinie in ihren jeweils gültigen Fassungen verarbeiten.

3.2  Die personenbezogenen Kundendaten werden verarbeitet, um die vertraglichen Pflichten gemäß den Nutzungsbedingungen zu erfüllen, insbesondere für folgende Verarbeitungsaktivitäten:

Support- und Wartungsleistungen: Luware kann dem Kunden im Rahmen der Nutzungsbedingungen Support- und Wartungsleistungen erbringen. Support und Wartung können entweder im Zusammenhang mit der Software oder mit Cloud-basierten Services (je nach Fall) erbracht werden. Bei der Erbringung von Support- und Wartungsleistungen muss Luware unter Umständen auf personenbezogene Kundendaten zugreifen oder diese verarbeiten.

Professionelle Dienstleistungen: Wenn der Kunde professionelle Dienstleistungen als Teil eines Serviceangebots in Anspruch nimmt, kann Luware vom Kunden aufgefordert werden, personenbezogene Kundendaten im Rahmen eines solchen Auftrags zu verarbeiten.

Cloud-basierte Services: Abonniert der Kunde Cloud-basierte Services, lädt er Kundendaten, einschließlich personenbezogener Kundendaten, in diesen Cloud-basierten Service hoch, um den Service ordnungsgemäß nutzen zu können. Weiterführende Informationen zu den Verarbeitungstätigkeiten in Bezug auf die Cloud-basierten Services von Luware finden sich in den Whitepapers zu Luware Nimbus und Luware Recording.

Mit Luware verbundene Unternehmen, die in diesem AVV als zugelassene Dritte bezeichnet sind, erbringen insbesondere technischen Support, projektbezogene Dienstleistungen, Back-Office-Systeme, Datentransfer und speicherung sowie Backup- und Disaster-Recovery-Dienste.

3.3  Luwares Datenschutzbeauftragter. E-Mail compliance@luware.com zu Händen des DPO der Luware Gruppe (Luware AG, Pfingstweidstrasse 102, 8005 Zürich, Schweiz).

3.4  Luware führt ein schriftliches Protokoll über seine Verarbeitungstätigkeiten und hält es auf dem aktuellen Stand.

Verarbeitungsort

4.1 Die Verarbeitung im Rahmen dieses AVV erfolgt in einem EWR-Mitgliedstaat, der Schweiz oder dem Vereinigten Königreich. Eine Übermittlung personenbezogener Kundendaten in ein Drittland, für das kein gültiger Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 (3) DSGVO vorliegt, ist nur dann zulässig, wenn der Kunde dieser zugestimmt hat und mindestens eine der folgenden Bedingungen, die einen angemessenen Schutz der personenbezogenen Kundendaten in diesem Drittland gewährleistet, erfüllt ist:

Angemessene Schutzmaßnahmen mit verbindlichen Unternehmensregeln, Art. 46 (2) lit. b und Art. 47 DSVGO

EU-Standardvertragsklauseln (SCC), Art. 46 (2) lit. c und d DSVGO

Genehmigter Verhaltenskodex, Art. 46 (2) lit. e und Art. 40 DSVGO

Anerkannter Zertifizierungsmechanismus, Art. 46 (2) lit. f und Art. 42 DSVGO

Andere zwischen Kunde und Luware vereinbarte Maßnahmen, Art. 46 (2) lit. a, (3) lit. a und b DSVGO; und/oder

Ausnahmen gemäß Art. 49 DSVGO

4.2 Im Falle eines internationalen Transfers personenbezogener Kundendaten in Länder, die kein angemessenes Schutzniveau gemäß Art. 45 (3) DSGVO bieten, schließen die Parteien bzw. Luware und seine zugelassenen Dritten EUStandardvertragsklauseln mit dem Schweizer- und UK-Zusatz („SCC“) ab, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre sowie der Grundrechte und -freiheiten natürlicher Personen zu gewährleisten. Luware führt vor einer solchen Übermittlung eine Risikobewertung durch.

Zugelassene Dritte

5.1  Luware darf Dritte einsetzen und personenbezogene Kundendaten an solche Dritte nur insoweit weitergeben, als dies zur Erfüllung der Verpflichtungen aus den Nutzungsbedingungen oder zur Einhaltung geltender zwingender Rechtsvorschriften erforderlich ist. Der Kunde kann innerhalb von 30 Tagen nach der Benachrichtigung über die Beauftragung neuer Dritter aus triftigen Gründen, die sich auf den Schutz personenbezogener Daten beziehen, Widerspruch erheben. Sollte der Kunde Luware über einen solchen Widerspruch schriftlich informieren, werden die Parteien die Bedenken des Kunden in gutem Glauben miteinander besprechen, um eine wirtschaftlich angemessene Lösung zu finden. Sollte eine solche Lösung nicht innerhalb von 15 Tagen erreicht werden können, wird Luware nach eigenem Ermessen entweder den neuen Dritten nicht einsetzen oder dem Kunden gestatten, den betreffenden Service gemäß der Klausel 11.2 der Nutzungsbedingungen zu kündigen, ohne dass eine der beiden Parteien dafür haftbar gemacht werden kann (jedoch unbeschadet der Gebühren, die dem Kunden vor der Kündigung entstanden sind). Alle zum Zeitpunkt des Wirksamwerdens der Kündigung fälligen Gebühren werden unverzüglich zur Zahlung fällig.

5.2  Luware schliesst eine rechtsverbindliche Vereinbarung mit dem Dritten ab, welche den Bedingungen dieses AVV entsprechen muss. Luware überwacht regelmäßig, dass die zugelassenen Dritten die Vereinbarung und die geltenden Datenschutzgesetze einhalten.

5.3  Luware ist für Handlungen und Unterlassungen ihrer zugelassenen Dritten im Zusammenhang mit diesem AVV verantwortlich. Luware wird den Kunden unverzüglich benachrichtigen, wenn Luware von einer Datenschutzverletzung durch einen ihrer zugelassenen Dritten im Zusammenhang mit diesem AVV Kenntnis erlangt.

5.4 Zugelassene Dritte. Unmittelbar an der Bereitstellung der Services gemäß den Nutzungsbedingungen beteiligt sind die verbundenen Unternehmen von Luware, Luware AG, Luware UK Limited, Luware Poland Sp. z o.o (https://luware.com/en/imprint/), Verint Systems UK Limited, 241 Brooklands Road, Weybridge, Surrey KT13 0RH, Vereinigtes Königreich, (reg. 02602824) sowie ihre verbundenen Unternehmen (wenn Verint-Produkte/Dienstleistungen bestellt werden) und Microsoft Ireland Operations Ltd. Diese Anbieter sind im Rahmen dieses AVV zugelassene Dritte.

5.5  24/7 Premium-Support. Der 24/7-Support von Luware wird von Mitarbeitern in Kanada (Vancouver) (Angemessenheitsbeschluss der EU-Kommission) zusammen mit den bei Luware beschäftigten Mitarbeitern sowie allen unter Ziffer 5.4 aufgeführten verbundenen Unternehmen geleistet. Diese Mitarbeiter unterliegen den konzernweiten Prozessen und Richtlinien von Luware, einschließlich entsprechender Background Checks.

Datenverarbeitung

6.1  Luware stellt sicher, dass ihre interne Organisation so eingerichtet ist, dass sie die geltenden Datenschutzgesetze und die gute Branchenpraxis einhält. Luware stellt sicher, dass die getroffenen technischen und organisatorischen Maßnahmen einen angemessenen Schutz hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Leistungsfähigkeit der jeweiligen Systeme gewährleisten. Bei der Auswahl der geeigneten technischen und organisatorischen Maßnahmen sind der Stand der Technik, die Implementierungskosten, der Zweck, der Umfang, die Art der personenbezogenen Daten und die Art der Verarbeitung sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeiten und Schwere für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen. Luware überprüft die getroffenen Maßnahmen in regelmäßigen Abständen.

6.2  Luware stellt sicher, dass ihre technischen und organisatorischen Sicherheitsmaßnahmen regelmäßig in Übereinstimmung mit den geltenden Datenschutzgesetzen und der guten Branchenpraxis überprüft werden.

6.3 Luware ändert, löscht oder berichtigt personenbezogene Kundendaten nicht, es sei denn, der Kunde hat dem zugestimmt oder dies ist für die ordnungsgemäße Erbringung der Services im Rahmen der Nutzungsbedingungen erforderlich. Luware darf ohne vorherige Zustimmung des Kunden keine Kopien der personenbezogenen Kundendaten anfertigen. Sicherungskopien sind zulässig, sofern sie für die ordnungsgemäße Erbringung der Services erforderlich oder nach den geltenden Gesetzen vorgeschrieben sind.

6.4 Luware stellt sicher, dass nur ihre Mitarbeiter, Auftragnehmer und Beauftragten sowie die Mitarbeiter, Auftragnehmer und Beauftragten der zugelassenen Dritten, welche für die Erbringung der Services Zugang zu den personenbezogenen Kundendaten benötigen, Zugang erhalten. Luware ergreift angemessene Maßnahmen, um die Zuverlässigkeit und Integrität dieser Mitarbeiter, Auftragnehmer und Beauftragten zu gewährleisten, und sorgt dafür, dass zwischen ihr und diesen Parteien angemessene vertraglich bindende Vertraulichkeitsverpflichtungen eingegangen werden. Die Vertraulichkeitsverpflichtungen gelten auch nach Beendigung dieses AVV weiter.

6.5 Luware wird personenbezogene Kundendaten nur in Übereinstimmung mit diesem AVV weitergeben und stellt sicher, dass die zugelassenen Dritten diese Daten nur weitergeben, wenn dies für die Erbringung der Services im Rahmen dieses AVV unbedingt erforderlich ist, der Kunde dies genehmigt oder anweist oder dies durch die geltenden Datenschutzgesetze vorgeschrieben ist. In solchen Fällen informiert Luware den Kunden vor einer solchen Übermittlung, in jedem Fall aber unmittelbar nach einer solchen Offenlegung, es sei denn, dies ist durch die geltenden Datenschutzgesetze untersagt.

6.6 Auf schriftliche Anfrage stellt Luware dem Kunden in angemessenem Umfang Informationen zur Verfügung, um nachzuweisen, dass Luware die in diesem AVV festgelegten Verpflichtungen und die geltenden Datenschutzgesetze einhält, und zwar in Übereinstimmung mit dem folgenden Verfahren:

(i)  Auf angemessene Anfrage des Kunden stellt Luware die relevanten und notwendigen Unterlagen, die Dokumentation und die Informationen in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen zur Verfügung, die Luware zum Schutz der personenbezogenen Kundendaten im Zusammenhang mit den Services einsetzt, welche die Einhaltung der geltenden Datenschutzgesetze und dieses AVV nachweisen.

(ii)  Sollte der Kunde nach Durchführung der unter Klausel 6.6 (i) dieses AVV genannten Maßnahmen berechtigterweise der Ansicht sein, dass Luware die geltenden Datenschutzgesetze oder diesen AVV nicht einhält, kann der Kunde verlangen, dass Luware entweder per Webinar oder in einer persönlichen Überprüfung Auszüge der relevanten Informationen zur Verfügung stellt, die erforderlich sind, um die Einhaltung der Vorschriften näher nachzuweisen. Der Kunde, der eine solche Überprüfung durchführen möchte, hat Luware in angemessener Weise darüber zu informieren, indem der Kunde sich an den Datenschutzbeauftragten von Luware (compliance@luware.com zu Händen des DPO der Luware-Gruppe mit dem Betreff „Customer Audit Request“) wendet.

(iii)  Ist der Kunde berechtigterweise der Ansicht, dass die in Klausel 6.6 (ii) beschriebenen Schritten es ihm nicht ermöglichen, seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen im Hinblick auf seine Beauftragung von Luware nachzukommen, hat der Kunde Luware mindestens dreißig (30) Tage im Voraus schriftlich über seine Absicht zu informieren, ein Audit, das Inspektionen der Räumlichkeiten von Luware beinhalten kann, von einem vom Kunden beauftragten unabhängigen Prüfer (der kein Konkurrent von Luware ist) durchzuführen. Ein solches Audit (a) unterliegt den zwischen dem Kunden und Luware vereinbarten Vertraulichkeitsverpflichtungen, (b) wird nur in dem Umfang durchgeführt, der durch die geltenden Datenschutzgesetze vorgeschrieben ist und darf nicht weiter eingeschränkt werden, (c) hat nicht zur Folge, dass Luware die Vertraulichkeit der Sicherheitsaspekte ihrer Systeme und/oder Datenverarbeitungseinrichtungen (einschließlich der Dritter) gefährdet, und (d) wird nicht durchgeführt, wenn Luware dadurch gegen ihre Vertraulichkeitsverpflichtungen gegenüber Kunden, Resellern und/oder Geschäftspartnern verstoßen würde, oder (d) allgemein oder anderweitig dazu führen würde, dass Luware gegen für sie geltende Gesetze verstößt. Der beauftragte Prüfer hat es zu vermeiden, im Zuge einer solchen Prüfung Schäden, Verletzungen oder Störungen an den Räumlichkeiten, der Ausrüstung, dem Personal oder dem Geschäft von Luware zu verursachen. Sofern eine solche Prüfung länger als einen (1) Arbeitstag dauert, behält sich Luware das Recht vor, dem Kunden jeden weiteren Tag zu den jeweils gültigen Tagessätzen in Rechnung zu stellen.

(iv)  Stellt der Kunde nach einer solchen Prüfung berechtigterweise fest, dass Luware die geltenden Datenschutzgesetze nicht einhält, muss der Kunde Luware schriftlich über die Einzelheiten informieren, woraufhin Luware eine Antwort und, soweit erforderlich, einen Entwurf für einen Abhilfeplan zur gegenseitigen Zustimmung der Parteien vorlegt (eine solche Zustimmung darf nicht unangemessen verweigert oder verzögert werden; der einvernehmlich vereinbarte Plan ist der „Abhilfeplan“). Können sich die Parteien nicht auf einen Abhilfeplan einigen oder setzt Luware im Falle einer Einigung den Abhilfeplan nicht zu den vereinbarten Terminen um und erfolgt innerhalb von fünfundvierzig (45) Tagen nach der Benachrichtigung durch den Kunden oder einer anderen von den Parteien einvernehmlich festgelegten Frist keine Behebung, kann der Kunde die Services, die sich auf die nicht konforme Verarbeitung beziehen, ganz oder teilweise kündigen, wobei die verbleibenden Services von einer solchen Kündigung unberührt bleiben.

6.7 Die Rechte des Kunden gemäß Klausel 6.6 dieses AVV können nur einmal pro Kalenderjahr ausgeübt werden, es sei denn, der Kunde ist der berechtigten Ansicht, dass Luware gegen seine Verpflichtungen gemäß diesem AVV oder die geltenden Datenschutzgesetze verstößt.

Unterstützung, Meldung von Sicherheitsverletzungen und Löschung

7.1 Luware erbringt auf Anfrage die vernünftigerweise erforderliche Unterstützung, die für den Kunden zur Einhaltung der geltenden Datenschutzgesetze erforderlich ist, soweit diese im direkten Zusammenhang mit den Services stehen. Dies umfasst die Unterstützung des Kunden bei der Einhaltung gesetzlicher Vorschriften und die Bearbeitung und Beantwortung von Anfragen oder Beschwerden von betroffenen Personen, Behörden und/oder anderen Dritten in Bezug auf ihre Rechte gemäß den geltenden Datenschutzgesetzen.

7.2  Wenn eine Datenschutz-Folgenabschätzung nach den geltenden Datenschutzgesetzen für die Verarbeitung personenbezogener Daten des Kunden erforderlich ist, wird Luware dem Kunden auf Anfrage die angemessene Zusammenarbeit und Unterstützung bieten, die erforderlich ist, um die Verpflichtung des Kunden zur Durchführung einer Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der Services durch den Kunden zu erfüllen, soweit der Kunde nicht anderweitig Zugang zu den relevanten Informationen hat und diese Informationen Luware zur Verfügung stehen.

7.3 Anfrage einer betroffenen Person. Luware wird den Kunden unverzüglich benachrichtigen, wenn Luware oder einer ihrer zugelassenen Dritten eine Anfrage einer betroffenen Person erhält, und wird (i) ohne die schriftliche Zustimmung des Kunden keine personenbezogenen Daten auf eine solche Anfrage hin weitergeben, (ii) dem Kunden unverzüglich eine angemessene Zusammenarbeit und Unterstützung bei einer solchen Anfrage bieten, und (iii) dem Kunden alle von ihm vernünftigerweise angeforderten Informationen zur Verfügung stellen.

7.4 Anfrage einer Behörde. Ist Luware gesetzlich verpflichtet, personenbezogene Kundendaten an eine Strafverfolgungsbehörde oder einen anderen Dritten weiterzugeben, wird Luware den Kunden in angemessener Weise über die Anfrage informieren. Kunden werden grundsätzlich informiert bevor der Zugriff gewährt wird, damit die Kunden die Möglichkeit haben eine einstweilige Verfügung oder ein anderes geeignetes Rechtsmittel zu beantragen. Ist eine solche Mitteilung gesetzlich verboten, ergreift Luware angemessene Maßnahmen, um die Offenlegung der personenbezogene Daten des Kunden zu minimieren.

7.5  Sofern eine Zusammenarbeit bzw. Unterstützung gemäß den Ziffern 7.1, 7.2, 7.3 und 7.4 dieses AVV nicht im Rahmen der normalen Erbringung der Services erbracht werden kann, hat der Kunde Luware eine angemessene, zwischen den Parteien vereinbarte Gebühr zu bezahlen.

7.6 Benachrichtigung bei Datenschutzverletzungen. Luware stellt dem Kunden unverzüglich alle in ihrem Besitz befindlichen Informationen über eine Datenschutzverletzung, die in Verbindung mit den Nutzungsbedingungen oder dieses AVV steht, zur Verfügung. Nach einer solchen Benachrichtigung und innerhalb eines zwischen den Parteien zu vereinbarenden Zeitrahmens (in angemessener Weise und nach Treu und Glauben) unterstützen sich beide Parteien gegenseitig dabei, (i) alle erforderlichen Maßnahmen zur Wiederherstellung der Integrität der gefährdeten personenbezogenen Kundendaten zu ergreifen, und (ii) die erforderlichen Benachrichtigungen an die zuständigen Behörden, die betroffenen Personen und andere relevante Dritte zu übermitteln.

7.7 Rückgabe und Löschung. Luware stellt die personenbezogenen Kundendaten für einen Zeitraum von dreißig (30) Tagen ab dem Datum der Beendigung bzw. des Ablaufs dieses AVV für den Export zur Verfügung („Exportzeitraum“). Für personenbezogene Kundendaten, die von Luware aufbewahrt werden und exportierbar sind, und vorausgesetzt, dass der Kunde alle anfallenden Gebühren bezahlt hat, kann der Kunde Luware über support@luware.com innerhalb des Exportzeitraums kontaktieren und personenbezogene Kundendaten gegen Gebühr von Luware exportieren lassen. Nach Ablauf des Exportzeitraums löscht Luware die entsprechenden personenbezogenen Kundendaten, es sei denn, eine weitere Verarbeitung ist erforderlich, um den rechtlichen Verpflichtungen von Luware nachzukommen, Streitigkeiten beizulegen oder um diesen AVV durchzusetzen. Einmal gelöschte Kundendaten können nicht wiederhergestellt werden.

Schlussbestimmungen

8.1  Keine der Parteien darf ihre Rechte oder Pflichten aus diesem AVV ohne die vorherige schriftliche Zustimmung der anderen Partei (die nicht unbillig verweigert werden darf) abtreten. Jede Partei kann diesen AVV jedoch ohne Zustimmung der anderen Partei an einen Nachfolger des gesamten oder eines wesentlichen Teils des Geschäftsbetriebs abtreten, sei es durch Fusion, Übernahme, Unternehmensumstrukturierung oder Verkauf eines wesentlichen Teils ihrer Vermögenswerte. Dieser AVV ist für die Rechtsnachfolger der Parteien verbindlich und kommt ihnen zugute.

8.2 Sind einzelne Klauseln dieses AVV ganz oder teilweise rechtswidrig, unwirksam oder aus sonstigen Gründen nicht durchsetzbar, ist die Gültigkeit der übrigen Klauseln dieses AVV davon nicht berührt. Die Parteien sind verpflichtet, nach Treu und Glauben zusammenzuarbeiten, um unwirksame Klauseln durch solche zu ersetzen, welche die Parteien bei Abschluss dieses AVV beabsichtigt hätten und die den unwirksamen Klauseln möglichst nahe kommen.

8.3  Keine Partei haftet gegenüber der anderen für eine Verzögerung oder ein Versäumnis bei der Erfüllung einer Verpflichtung aus diesem AVV, wenn die Verzögerung oder das Versäumnis auf Ursachen zurückzuführen ist, die außerhalb der zumutbaren Kontrolle der Partei liegen, einschließlich, aber nicht beschränkt auf höhere Gewalt, staatliche Maßnahmen, Terrorakte oder zivile Unruhen, Internetausfälle oder Handlungen Dritter, die nicht unter der Kontrolle der ausführenden Partei stehen, einschließlich, aber nicht beschränkt auf Angriffe auf den Service. Dauert ein Ereignis höherer Gewalt über einen Zeitraum von dreißig (30) aufeinander folgenden Tagen an, kann die andere Partei diese AVV durch schriftliche Mitteilung an die nicht leistende Partei kündigen.

8.4  Dieser AVV endet mit der Kündigung oder dem Auslaufen der Nutzungsbedingungen. Das Recht jeder Partei zur außerordentlichen und fristlosen Kündigung nach den gesetzlichen Bestimmungen bleibt unberührt. Ungeachtet des Vorstehenden überdauert dieser AVV die Beendigung oder das Auslaufen der Nutzungsbedingungen in dem Umfang, in dem Luware weiterhin personenbezogene Kundendaten verarbeitet.

8.5  Dieser AVV unterliegen ausschließlich deutschem Recht ohne weitere Bezugnahme auf Kollisionsnormen und unter Ausschluss aller internationalen Übereinkommen. Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser AVV ergeben, unterliegen der Gerichtsbarkeit der zuständigen Gerichte in Stuttgart.

Anhang 1: Einzelheiten über die Verarbeitungstätigkeit

In diesem Anhang 1 werden der Gegenstand, die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitungen, die Arten personenbezogener Daten und die Kategorien betroffener Personen beschrieben, die Bestandteil dieses AVV sind.

Gegenstand

Verarbeitung personenbezogener Daten für die Erbringung von Services in Übereinstimmung mit den Luware Cloud Nutzungsbedingungen.

Dauer der Verarbeitung

Wir verarbeiten personenbezogene Daten für die Dauer der Luware Cloud Nutzungsbedingungen bzw. der schriftlichen Einzelvereinbarung in einem Luware-Angebot, sofern nichts anderes schriftlich vereinbart wurde.

Art und Zweck der Verarbeitung

Personenbezogene Daten werden ausschließlich gemäß den Luware Cloud Nutzungsbedingungen, dem Luware Nimbus Whitepaper und dem Luware Recording Whitepaper verarbeitet.

Art der personenbezogenen Daten

Je nach den vom Kunden genutzten Produkten und Services können personenbezogene Daten aus den folgenden Kategorien enthalten sein:

Personendaten (z. B. Vorname, Nachname, E-Mail-Adresse, Telefonnummer)

Authentifizierungsdaten (z. B. Audit Trail)

Anrufdetails (z. B. Start-/Endzeit des Anrufs, technische Anrufdetails, Telefonnummer oder SIP-Adresse des Anrufers, Standort/Abteilung des Azure-Benutzers)

Nutzerstatus (z. B. O365-ID des Office 365-Benutzers, Nutzerstatus wie offline, dienstfrei, wählbar)

Gesprächskontext (zusätzliche Informationen zur Rufnummer des Anrufers)

Sitzungsprotokolle (z.B. angerufener Dienst, Rufnummer des Anrufers)

Konfigurationsdaten (Konfigurationsdaten des Nimbus-Systems für den Kunden)

Gesprächsaufzeichnungen (z.B. Audioaufzeichnung des Gesprächs, Videoaufzeichnung des Gesprächs)

Voicemail-Aufzeichnungen (Sprachnachrichten, die ein Anrufer bei einem Nimbus-Dienst hinterlassen hat)

Kategorien von betroffenen Personen

Vertreter des Kunden

Nutzer des Dienstes

Endnutzer

Zugelassene Dritte

Hintergrund

1.1  Die Parteien haben die Luware Cloud Nutzungsbedingungen („Nutzungsbedingungen“) aufgrund der Bestellung, des Zugriffs oder der Nutzung der Services durch den Kunden abgeschlossen. Soweit sich die Services auf die Verarbeitung personenbezogener Kundendaten durch Luware im Auftrag des Kunden beziehen, möchten die Parteien die Nutzungsbedingungen erweitern, um die kontinuierliche Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.

1.2 Dieser Auftragsverarbeitungsvertrag („AVV“) ist ein integraler Bestandteil der Nutzungsbedingungen und endet mit der Kündigung oder dem Ablauf der Nutzungsbedingungen. Die in diesem AVV dargelegten Bestimmungen ändern, ergänzen und ersetzen die Nutzungsbedingungen in Bezug auf Bestimmungen, die sich auf die Verarbeitung von personenbezogenen Kundendaten durch Luware beziehen. Alle weiteren Bestimmungen der Nutzungsbedingungen, die hier nicht anderweitig geändert und ergänzt werden, bleiben unverändert und in vollem Umfang in Kraft und wirksam.

1.3  Alle in diesem AVV verwendeten Begriffe, welche in den Nutzungsbedingungen definiert und hier nicht weiter bestimmt werden, haben die gleiche Bedeutung wie in den Nutzungsbedingungen. Sollten sich die Bestimmungen dieses AVV und der Nutzungsbedingungen widersprechen, hat dieser AVV Vorrang.

1.4 Luware kann dieser AVV von Zeit zu Zeit ändern. Sofern von Luware nicht anders angegeben, treten die Änderungen für den Kunden mit der Verlängerung der aktuellen Abonnementlaufzeit oder dem Abschluss eines neuen Serviceauftrags in Kraft, nachdem die aktualisierte Version des AVV in Kraft getreten ist. Luware wird den Kunden in angemessener Weise durch Mitteilungen über das Kundenkonto, per E-Mail oder auf anderem Wege informieren.

Allgemeine Bestimmungen

2.1  Der Kunde ist als Datenverantwortlicher der personenbezogenen Kundendaten für die Einhaltung der geltenden Datenschutzgesetze verantwortlich und hat ein Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 (1) DSGVO bzw. Art.12 (1) DSG zu führen.

2.2  Die Parteien vereinbaren, dass Luware und die genehmigten Dritten die personenbezogenen Kundendaten in Übereinstimmung mit den Bestimmungen dieses AVV verarbeiten dürfen. Luware muss die Verpflichtungen, die sich aus den geltenden Datenschutzgesetzen in Bezug auf die personenbezogenen Kundendaten ergeben, einhalten und dafür sorgen, dass die zugelassenen Dritten diese einhalten.

2.3 Luware verarbeitet personenbezogene Kundendaten ausschließlich zum Zweck der Erbringung der Services im Rahmen der Nutzungsbedingungen. Luware verarbeitet personenbezogenen Kundendaten gemäß den Anweisungen des Kunden. Die Nutzungsbedingungen, einschließlich dieses AVV, der Dokumentation und der Luware Datenschutzrichtlinie, enthalten die ursprünglichen Anweisungen des Kunden an Luware in Bezug auf die Verarbeitung von personenbezogenen Kundendaten. Der Kunde kann Luware jede Änderung seiner ursprünglichen Anweisungen durch eine schriftliche Mitteilung anzeigen. Sämtliche Anweisungen, die zu einer Verarbeitung außerhalb des Anwendungsbereichs der Nutzungsbedingungen, einschließlich dieses AVV, der Dokumentation und der Datenschutzrichtlinie führen, müssen von den Parteien vertraglich vereinbart werden.

2.4  Luware benachrichtigt den Kunden unverzüglich, wenn Luware nach vernünftigem Ermessen der Ansicht ist, dass sie gesetzlich verpflichtet ist, anders als gemäß den Anweisungen des Kunden nach Klausel 2.3 dieses AVV zu handeln. Luware ist erst dann verpflichtet, die Anweisungen zu befolgen, wenn die Anweisungen vom Kunden entweder bestätigt oder korrigiert wurden. Anweisungen, die rechtswidrig sind, sind nicht zu befolgen. Luware haftet nicht für Schäden, die sich aus oder im Zusammenhang mit einer gemäß diesen Anweisungen durchgeführten Verarbeitung ergeben.

2.5 Mit Ausnahme der Löschung und/oder Rückgabe der personenbezogenen Kundendaten endet das Recht von Luware und seinen zugelassenen Dritten, personenbezogene Kundendaten gemäß dieses AVV zu verarbeiten, automatisch mit der Beendigung der Nutzungsbedingungen, es sei denn, die geltenden Datenschutzgesetze schreiben etwas anderes vor.

DATENVERARBEITUNGstätigkeiten

3.1  Der Kunde nimmt zur Kenntnis, dass Luware und seine autorisierten Dritten die personenbezogenen Kundendaten in Übereinstimmung mit den geltenden Datenschutzgesetzen, den Nutzungsbedingungen, diesem AVV, der Dokumentation und der Luware Datenschutzrichtlinie in ihren jeweils gültigen Fassungen verarbeiten.

3.2  Die personenbezogenen Kundendaten werden verarbeitet, um die vertraglichen Pflichten gemäß den Nutzungsbedingungen zu erfüllen, insbesondere für folgende Verarbeitungsaktivitäten:

Support- und Wartungsleistungen: Luware kann dem Kunden im Rahmen der Nutzungsbedingungen Support- und Wartungsleistungen erbringen. Support und Wartung können entweder im Zusammenhang mit der Software oder mit Cloud-basierten Services (je nach Fall) erbracht werden. Bei der Erbringung von Support- und Wartungsleistungen muss Luware unter Umständen auf personenbezogene Kundendaten zugreifen oder diese verarbeiten.

Professionelle Dienstleistungen: Wenn der Kunde professionelle Dienstleistungen als Teil eines Serviceangebots in Anspruch nimmt, kann Luware vom Kunden aufgefordert werden, personenbezogene Kundendaten im Rahmen eines solchen Auftrags zu verarbeiten.

Cloud-basierte Services: Abonniert der Kunde Cloud-basierte Services, lädt er Kundendaten, einschließlich personenbezogener Kundendaten, in diesen Cloud-basierten Service hoch, um den Service ordnungsgemäß nutzen zu können. Weiterführende Informationen zu den Verarbeitungstätigkeiten in Bezug auf die Cloud-basierten Services von Luware finden sich in den Whitepapers zu Luware Nimbus und Luware Recording.

Mit Luware verbundene Unternehmen, die in diesem AVV als zugelassene Dritte bezeichnet sind, erbringen insbesondere technischen Support, projektbezogene Dienstleistungen, Back-Office-Systeme, Datentransfer und speicherung sowie Backup- und Disaster-Recovery-Dienste.

3.3  Luwares Datenschutzbeauftragter. E-Mail compliance@luware.com zu Händen des DPO der Luware Gruppe (Luware AG, Pfingstweidstrasse 102, 8005 Zürich, Schweiz).

3.4 Luware führt ein schriftliches Protokoll über seine Verarbeitungstätigkeiten und hält es auf dem aktuellen Stand.

Verarbeitungsort

4.1 Die Verarbeitung im Rahmen dieses AVV erfolgt in einem EWR-Mitgliedstaat, der Schweiz oder dem Vereinigten Königreich. Eine Übermittlung personenbezogener Kundendaten in ein Drittland, für das kein gültiger Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 (3) DSGVO respektive des Bundesrates gemäß Art. 16 (1) DSG vorliegt, ist nur dann zulässig, wenn der Kunde dieser zugestimmt hat und mindestens eine der in Art. 46 (2) oder Art. 49 DSGVO bzw. Art. 16 (2) oder Art. 17 DSG aufgeführten Bedingungen, die einen angemessenen Schutz der personenbezogenen Kundendaten in diesem Drittland gewährleistet, erfüllt ist.

4.2 Im Falle eines internationalen Transfers personenbezogener Kundendaten in Länder, die kein angemessenes Schutzniveau gemäß Art. 45 (3) DSGVO bzw. Art. 16 (1) DSG bieten, schließen die Parteien bzw. Luware und seine zugelassenen Dritten EU-Standardvertragsklauseln mit dem Schweizer- und UK-Zusatz („SCC“) ab, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre sowie der Grundrechte und -freiheiten natürlicher Personen zu gewährleisten. Luware führt vor einer solchen Übermittlung eine Risikobewertung durch.

Zugelassene Dritte

5.1  Luware darf Dritte einsetzen und personenbezogene Kundendaten an solche Dritte nur insoweit weitergeben, als dies zur Erfüllung der Verpflichtungen aus den Nutzungsbedingungen oder zur Einhaltung geltender zwingender Rechtsvorschriften erforderlich ist. Der Kunde kann innerhalb von 30 Tagen nach der Benachrichtigung über die Beauftragung neuer Dritter aus triftigen Gründen, die sich auf den Schutz personenbezogener Daten beziehen, Widerspruch erheben. Sollte der Kunde Luware über einen solchen Widerspruch schriftlich informieren, werden die Parteien die Bedenken des Kunden in gutem Glauben miteinander besprechen, um eine wirtschaftlich angemessene Lösung zu finden. Sollte eine solche Lösung nicht innerhalb von 15 Tagen erreicht werden können, wird Luware nach eigenem Ermessen entweder den neuen Dritten nicht einsetzen oder dem Kunden gestatten, den betreffenden Service gemäß der Klausel 11.2 der Nutzungsbedingungen zu kündigen, ohne dass eine der beiden Parteien dafür haftbar gemacht werden kann (jedoch unbeschadet der Gebühren, die dem Kunden vor der Kündigung entstanden sind). Alle zum Zeitpunkt des Wirksamwerdens der Kündigung fälligen Gebühren werden unverzüglich zur Zahlung fällig.

5.2  Luware schliesst eine rechtsverbindliche Vereinbarung mit dem Dritten ab, welche den Bedingungen dieses AVV entsprechen muss. Luware überwacht regelmäßig, dass die zugelassenen Dritten die Vereinbarung und die geltenden Datenschutzgesetze einhalten.

5.3  Luware ist für Handlungen und Unterlassungen ihrer zugelassenen Dritten im Zusammenhang mit diesem AVV verantwortlich. Luware wird den Kunden unverzüglich benachrichtigen, wenn Luware von einer Datenschutzverletzung durch einen ihrer zugelassenen Dritten im Zusammenhang mit diesem AVV Kenntnis erlangt.

5.4 Zugelassene Dritte. Unmittelbar an der Bereitstellung der Services gemäß den Nutzungsbedingungen beteiligt sind die verbundenen Unternehmen von Luware, Luware Deutschland GmbH, Luware UK Limited, Luware Poland Sp. z o.o (https://luware.com/en/imprint/), Verint Systems UK Limited, 241 Brooklands Road, Weybridge, Surrey KT13 0RH, Vereinigtes Königreich, (reg. 02602824) sowie ihre verbundenen Unternehmen (wenn Verint-Produkte/Dienstleistungen bestellt werden) und Microsoft Ireland Operations Ltd. Diese Anbieter sind im Rahmen dieses AVV zugelassene Dritte.

5.5  24/7 Premium-Support. Der 24/7-Support von Luware wird von Mitarbeitern in Kanada (Vancouver) (Angemessenheitsbeschluss der EU-Kommission) zusammen mit den bei Luware beschäftigten Mitarbeitern sowie allen unter Ziffer 5.4 aufgeführten verbundenen Unternehmen geleistet. Diese Mitarbeiter unterliegen den konzernweiten Prozessen und Richtlinien von Luware, einschließlich entsprechender Background Checks.

Datenverarbeitung

6.1  Luware stellt sicher, dass ihre interne Organisation so eingerichtet ist, dass sie die geltenden Datenschutzgesetze und die gute Branchenpraxis einhält. Luware stellt sicher, dass die getroffenen technischen und organisatorischen Maßnahmen einen angemessenen Schutz hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Leistungsfähigkeit der jeweiligen Systeme gewährleisten. Bei der Auswahl der geeigneten technischen und organisatorischen Maßnahmen sind der Stand der Technik, die Implementierungskosten, der Zweck, der Umfang, die Art der personenbezogenen Daten und die Art der Verarbeitung sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeiten und Schwere für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen. Luware überprüft die getroffenen Maßnahmen in regelmäßigen Abständen.

6.2  Luware stellt sicher, dass ihre technischen und organisatorischen Sicherheitsmaßnahmen regelmäßig in Übereinstimmung mit den geltenden Datenschutzgesetzen und der guten Branchenpraxis überprüft werden.

6.3 Luware ändert, löscht oder berichtigt personenbezogene Kundendaten nicht, es sei denn, der Kunde hat dem zugestimmt oder dies ist für die ordnungsgemäße Erbringung der Services im Rahmen der Nutzungsbedingungen erforderlich. Luware darf ohne vorherige Zustimmung des Kunden keine Kopien der personenbezogenen Kundendaten anfertigen. Sicherungskopien sind zulässig, sofern sie für die ordnungsgemäße Erbringung der Services erforderlich oder nach den geltenden Gesetzen vorgeschrieben sind.

6.4 Luware stellt sicher, dass nur ihre Mitarbeiter, Auftragnehmer und Beauftragten sowie die Mitarbeiter, Auftragnehmer und Beauftragten der zugelassenen Dritten, welche für die Erbringung der Services Zugang zu den personenbezogenen Kundendaten benötigen, Zugang erhalten. Luware ergreift angemessene Maßnahmen, um die Zuverlässigkeit und Integrität dieser Mitarbeiter, Auftragnehmer und Beauftragten zu gewährleisten, und sorgt dafür, dass zwischen ihr und diesen Parteien angemessene vertraglich bindende Vertraulichkeitsverpflichtungen eingegangen werden. Die Vertraulichkeitsverpflichtungen gelten auch nach Beendigung dieses AVV weiter.

6.5 Luware wird personenbezogene Kundendaten nur in Übereinstimmung mit diesem AVV weitergeben und stellt sicher, dass die zugelassenen Dritten diese Daten nur weitergeben, wenn dies für die Erbringung der Services im Rahmen dieses AVV unbedingt erforderlich ist, der Kunde dies genehmigt oder anweist oder dies durch die geltenden Datenschutzgesetze vorgeschrieben ist. In solchen Fällen informiert Luware den Kunden vor einer solchen Übermittlung, in jedem Fall aber unmittelbar nach einer solchen Offenlegung, es sei denn, dies ist durch die geltenden Datenschutzgesetze untersagt.

6.6 Auf schriftliche Anfrage stellt Luware dem Kunden in angemessenem Umfang Informationen zur Verfügung, um nachzuweisen, dass Luware die in diesem AVV festgelegten Verpflichtungen und die geltenden Datenschutzgesetze einhält, und zwar in Übereinstimmung mit dem folgenden Verfahren:

(i)  Auf angemessene Anfrage des Kunden stellt Luware die relevanten und notwendigen Unterlagen, die Dokumentation und die Informationen in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen zur Verfügung, die Luware zum Schutz der personenbezogenen Kundendaten im Zusammenhang mit den Services einsetzt, welche die Einhaltung der geltenden Datenschutzgesetze und dieses AVV nachweisen.

(ii)  Sollte der Kunde nach Durchführung der unter Klausel 6.6 (i) dieses AVV genannten Maßnahmen berechtigterweise der Ansicht sein, dass Luware die geltenden Datenschutzgesetze oder diesen AVV nicht einhält, kann der Kunde verlangen, dass Luware entweder per Webinar oder in einer persönlichen Überprüfung Auszüge der relevanten Informationen zur Verfügung stellt, die erforderlich sind, um die Einhaltung der Vorschriften näher nachzuweisen. Der Kunde, der eine solche Überprüfung durchführen möchte, hat Luware in angemessener Weise darüber zu informieren, indem der Kunde sich an den Datenschutzbeauftragten von Luware (compliance@luware.com zu Händen des DPO der Luware-Gruppe mit dem Betreff „Customer Audit Request“) wendet.

(iii)  Ist der Kunde berechtigterweise der Ansicht, dass die in Klausel 6.6 (ii) beschriebenen Schritten es ihm nicht ermöglichten, seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen im Hinblick auf seine Beauftragung von Luware nachzukommen, hat der Kunde Luware mindestens dreißig (30) Tage im Voraus schriftlich über seine Absicht zu informieren, ein Audit, das Inspektionen der Räumlichkeiten von Luware beinhalten kann, von einem vom Kunden beauftragten unabhängigen Prüfer (der kein Konkurrent von Luware ist) durchzuführen. Ein solches Audit (a) unterliegt den zwischen dem Kunden und Luware vereinbarten Vertraulichkeitsverpflichtungen, (b) wird nur in dem Umfang durchgeführt, der durch die geltenden Datenschutzgesetze vorgeschrieben ist und darf nicht weiter eingeschränkt werden, (c) hat nicht zur Folge, dass Luware die Vertraulichkeit der Sicherheitsaspekte ihrer Systeme und/oder Datenverarbeitungseinrichtungen (einschließlich der Dritter) gefährdet, und (d) wird nicht durchgeführt, wenn Luware dadurch gegen ihre Vertraulichkeitsverpflichtungen gegenüber Kunden, Resellern und/oder Geschäftspartnern verstoßen würde, oder (d) allgemein oder anderweitig dazu führen würde, dass Luware gegen für sie geltende Gesetze verstößt. Der beauftragte Prüfer hat es zu vermeiden, im Zuge einer solchen Prüfung Schäden, Verletzungen oder Störungen an den Räumlichkeiten, der Ausrüstung, dem Personal oder dem Geschäft von Luware zu verursachen. Sofern eine solche Prüfung länger als einen (1) Arbeitstag dauert, behält sich Luware das Recht vor, dem Kunden jeden weiteren Tag zu den jeweils gültigen Tagessätzen in Rechnung zu stellen.

(iv)  Stellt der Kunde nach einer solchen Prüfung berechtigterweise fest, dass Luware die geltenden Datenschutzgesetze nicht einhält, muss der Kunde Luware schriftlich über die Einzelheiten informieren, woraufhin Luware eine Antwort und, soweit erforderlich, einen Entwurf für einen Abhilfeplan zur gegenseitigen Zustimmung der Parteien vorlegt (eine solche Zustimmung darf nicht unangemessen verweigert oder verzögert werden; der einvernehmlich vereinbarte Plan ist der „Abhilfeplan“). Können sich die Parteien nicht auf einen Abhilfeplan einigen oder setzt Luware im Falle einer Einigung den Abhilfeplan nicht zu den vereinbarten Terminen um und erfolgt innerhalb von fünfundvierzig (45) Tagen nach der Benachrichtigung durch den Kunden oder einer anderen von den Parteien einvernehmlich festgelegten Frist keine Behebung, kann der Kunde die Services, die sich auf die nicht konforme Verarbeitung beziehen, ganz oder teilweise kündigen, wobei die verbleibenden Services von einer solchen Kündigung unberührt bleiben.

6.7 Die Rechte des Kunden gemäß Klausel 6.6 dieses AVV können nur einmal pro Kalenderjahr ausgeübt werden, es sei denn, der Kunde ist der berechtigten Ansicht, dass Luware gegen seine Verpflichtungen gemäß diesem AVV oder die geltenden Datenschutzgesetze verstößt.

Unterstützung, Meldung von Sicherheitsverletzungen und Löschung

7.1 Luware erbringt auf Anfrage die vernünftigerweise erforderliche Unterstützung, die für den Kunden zur Einhaltung der geltenden Datenschutzgesetze erforderlich ist, soweit diese im direkten Zusammenhang mit den Services stehen. Dies umfasst die Unterstützung des Kunden bei der Einhaltung gesetzlicher Vorschriften und die Bearbeitung und Beantwortung von Anfragen oder Beschwerden von betroffenen Personen, Behörden und/oder anderen Dritten in Bezug auf ihre Rechte gemäß den geltenden Datenschutzgesetzen.

7.2  Wenn eine Datenschutz-Folgenabschätzung nach den geltenden Datenschutzgesetzen für die Verarbeitung personenbezogener Daten des Kunden erforderlich ist, wird Luware dem Kunden auf Anfrage die angemessene Zusammenarbeit und Unterstützung bieten, die erforderlich ist, um die Verpflichtung des Kunden zur Durchführung einer Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der Services durch den Kunden zu erfüllen, soweit der Kunde nicht anderweitig Zugang zu den relevanten Informationen hat und diese Informationen Luware zur Verfügung stehen.

7.3 Anfrage einer betroffenen Person. Luware wird den Kunden unverzüglich benachrichtigen, wenn Luware oder einer ihrer zugelassenen Dritten eine Anfrage einer betroffenen Person erhält, und wird (i) ohne die schriftliche Zustimmung des Kunden keine personenbezogenen Daten auf eine solche Anfrage hin weitergeben, (ii) dem Kunden unverzüglich eine angemessene Zusammenarbeit und Unterstützung bei einer solchen Anfrage bieten, und (iii) dem Kunden alle von ihm vernünftigerweise angeforderten Informationen zur Verfügung stellen.

7.4 Anfrage einer Behörde. Ist Luware gesetzlich verpflichtet, personenbezogene Kundendaten an eine Strafverfolgungsbehörde oder einen anderen Dritten weiterzugeben, wird Luware den Kunden in angemessener Weise über die Anfrage informieren. Kunden werden grundsätzlich informiert bevor der Zugriff gewährt wird, damit die Kunden die Möglichkeit haben eine einstweilige Verfügung oder ein anderes geeignetes Rechtsmittel zu beantragen. Ist eine solche Mitteilung gesetzlich verboten, ergreift Luware angemessene Maßnahmen, um die Offenlegung der personenbezogenen Daten des Kunden zu minimieren.

7.5 Sofern eine Zusammenarbeit bzw. Unterstützung gemäß den Ziffern 7.1, 7.2, 7.3 und 7.4 dieses AVV nicht im Rahmen der normalen Erbringung der Services erbracht werden kann, hat der Kunde Luware eine angemessene, zwischen den Parteien vereinbarte Gebühr zu bezahlen.

7.6 Benachrichtigung bei Datenschutzverletzungen. Luware stellt dem Kunden unverzüglich alle in ihrem Besitz befindlichen Informationen über eine Datenschutzverletzung, die in Verbindung mit den Nutzungsbedingungen oder dieses AVV steht, zur Verfügung. Nach einer solchen Benachrichtigung und innerhalb eines zwischen den Parteien zu vereinbarenden Zeitrahmens (in angemessener Weise und nach Treu und Glauben) unterstützen sich beide Parteien gegenseitig dabei, (i) alle erforderlichen Maßnahmen zur Wiederherstellung der Integrität der gefährdeten personenbezogenen Kundendaten zu ergreifen, und (ii) die erforderlichen Benachrichtigungen an die zuständigen Behörden, die betroffenen Personen und andere relevante Dritte zu übermitteln.

7.7 Rückgabe und Löschung. Luware stellt die personenbezogenen Kundendaten für einen Zeitraum von dreißig (30) Tagen ab dem Datum der Beendigung bzw. des Ablaufs dieses AVV für den Export zur Verfügung („Exportzeitraum“). Für personenbezogene Kundendaten, die von Luware aufbewahrt werden und exportierbar sind, und vorausgesetzt, dass der Kunde alle anfallenden Gebühren bezahlt hat, kann der Kunde Luware über support@luware.com innerhalb des Exportzeitraums kontaktieren und personenbezogene Kundendaten gegen Gebühr von Luware exportieren lassen. Nach Ablauf des Exportzeitraums löscht Luware die entsprechenden personenbezogenen Daten, es sei denn, eine weitere Verarbeitung ist erforderlich, um den rechtlichen Verpflichtungen von Luware nachzukommen, Streitigkeiten beizulegen oder um diesen AVV durchzusetzen. Einmal gelöschte Kundendaten können nicht wiederhergestellt werden.

Schlussbestimmungen

8.1  Keine der Parteien darf ihre Rechte oder Pflichten aus diesem AVV ohne die vorherige schriftliche Zustimmung der anderen Partei (die nicht unbillig verweigert werden darf) abtreten. Jede Partei kann diesen AVV jedoch ohne Zustimmung der anderen Partei an einen Nachfolger des gesamten oder eines wesentlichen Teils des Geschäftsbetriebs abtreten, sei es durch Fusion, Übernahme, Unternehmensumstrukturierung oder Verkauf eines wesentlichen Teils ihrer Vermögenswerte. Dieser AVV ist für die Rechtsnachfolger der Parteien verbindlich und kommt ihnen zugute.

8.2 Sind einzelne Klauseln dieses AVV ganz oder teilweise rechtswidrig, unwirksam oder aus sonstigen Gründen nicht durchsetzbar, ist die Gültigkeit der übrigen Klauseln dieses AVV davon nicht berührt. Die Parteien sind verpflichtet, nach Treu und Glauben zusammenzuarbeiten, um unwirksame Klauseln durch solche zu ersetzen, welche die Parteien zum Zeitpunkt des Abschluss dieses AVV beabsichtigt hätten und die den unwirksamen Klauseln möglichst nahe kommen.

8.3  Keine Partei haftet gegenüber der anderen für eine Verzögerung oder ein Versäumnis bei der Erfüllung einer Verpflichtung aus diesem AVV, wenn die Verzögerung oder das Versäumnis auf Ursachen zurückzuführen ist, die außerhalb der zumutbaren Kontrolle der Partei liegen, einschließlich, aber nicht beschränkt auf höhere Gewalt, staatliche Maßnahmen, Terrorakte oder zivile Unruhen, Internetausfälle oder Handlungen Dritter, die nicht unter der Kontrolle der ausführenden Partei stehen, einschließlich, aber nicht beschränkt auf Angriffe auf den Service. Dauert ein Ereignis höherer Gewalt über einen Zeitraum von dreißig (30) aufeinanderfolgenden Tagen an, kann die andere Partei diesen AVV durch schriftliche Mitteilung an die nicht leistende Partei kündigen.

8.4  Dieser AVV endet mit der Kündigung oder dem Auslaufen der Nutzungsbedingungen. Das Recht jeder Partei zur außerordentlichen und fristlosen Kündigung nach den gesetzlichen Bestimmungen bleibt unberührt. Ungeachtet des Vorstehenden überdauert dieser AVV die Beendigung oder das Auslaufen der Nutzungsbedingungen in dem Umfang, in dem Luware weiterhin personenbezogene Kundendaten verarbeitet.

8.5  Dieser AVV unterliegt ausschließlich schweizerischem Recht unter ausdrücklichem Ausschluss des UN-Kaufrechts. Gerichtsstand ist Zürich unter Vorbehalt zwingender gesetzlicher Bestimmungen.

Anhang 1: Einzelheiten über die Verarbeitungstätigkeit

In diesem Anhang 1 werden der Gegenstand, die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitungen, die Arten personenbezogener Daten und die Kategorien betroffener Personen beschrieben, die Bestandteil dieses AVV sind.

Gegenstand

Verarbeitung personenbezogener Daten für die Erbringung von Services in Übereinstimmung mit den Luware Cloud Nutzungsbedingungen.

Dauer der Verarbeitung

Wir verarbeiten personenbezogene Daten für die Dauer der Luware Cloud Nutzungsbedingungen bzw. der schriftlichen Einzelvereinbarung in einem Luware-Angebot, sofern nichts anderes schriftlich vereinbart wurde.

Art und Zweck der Verarbeitung

Personenbezogene Daten werden ausschließlich gemäß den Luware Cloud Nutzungsbedingungen, dem Luware Nimbus Whitepaper und dem Luware Recording Whitepaper verarbeitet.

Art der personenbezogenen Daten

Je nach den vom Kunden genutzten Produkten und Services können personenbezogene Daten aus den folgenden Kategorien enthalten sein:

Personendaten (z. B. Vorname, Nachname, E-Mail-Adresse, Telefonnummer)

Authentifizierungsdaten (z. B. Audit Trail)

Anrufdetails (z. B. Start-/Endzeit des Anrufs, technische Anrufdetails, Telefonnummer oder SIP-Adresse des Anrufers, Standort/Abteilung des Azure-Benutzers)

Nutzerstatus (z. B. O365-ID des Office 365-Benutzers, Nutzerstatus wie offline, dienstfrei, wählbar)

Gesprächskontext (zusätzliche Informationen zur Rufnummer des Anrufers)

Sitzungsprotokolle (z.B. angerufener Dienst, Rufnummer des Anrufers)

Konfigurationsdaten (Konfigurationsdaten des Nimbus-Systems für den Kunden)

Gesprächsaufzeichnungen (z.B. Audioaufzeichnung des Gesprächs, Videoaufzeichnung des Gesprächs)

Voicemail-Aufzeichnungen (Sprachnachrichten, die ein Anrufer bei einem Nimbus-Dienst hinterlassen hat)

Kategorien von betroffenen Personen

Vertreter des Kunden

Nutzer des Dienstes

Endnutzer

Zugelassene Dritte