Auftragsverarbeitungsvertrag (AVV)

===========================

Haftungsausschluss: Diese deutsche Fassung dient lediglich Ihrer Bequemlichkeit. Unter allen Umständen hat die englische Version Vorrang und ist maßgeblich. Im Falle von Widersprüchen zwischen der deutschen Übersetzung und der englischen Version, geht die englische Version vor. Wir übernehmen keine Haftung für eventuelle Fehler oder Auslassungen in der Übersetzung oder für jegliche Art von Verlusten oder Schäden, die aus der Verwendung der übersetzten Dokumente entstehen könnten.

===========================

Diese Auftragsverarbeitungsvertrag (AVV) bildet zusammen mit unseren Nutzungsbedingungen, der Datenschutzrichtlinie und der Richtlinie zur akzeptablen Nutzung einen Teil der ("Vereinbarung"), die von und zwischen Smylor ("Wir", "Unser" oder "Uns") und der natürlichen oder juristischen Person, die dieser Vereinbarung zustimmt (zusammen mit den verbundenen Unternehmen dieser Person, die Plattformen für dieses verbundene Unternehmen bestellt haben, wie in dieser Vereinbarung vorgesehen, jeweils "Kunde", "Sie" oder "Ihr"), abgeschlossen wird, um die Bedingungen wiederzugeben, unter denen Smylor personenbezogene Daten in Verbindung mit Ihrer Nutzung unserer Plattform und gemäß der Vereinbarung verarbeiten wird. Smylor und Sie können jeweils als eine "Partei" oder gemeinsam als "Parteien" bezeichnet werden.

Alle in dieser AVV in Großbuchstaben geschriebenen Begriffe haben die gleiche Bedeutung wie in der Vereinbarung und im anwendbaren Recht definiert.

Definitionen und Auslegung

Die folgenden Begriffe haben die folgenden Bedeutungen:

Anwendbare Datenschutzgesetze bedeutet, soweit anwendbar:

(i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ("GDPR"), die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation ("e-Privacy-Richtlinie"), das britische Datenschutzgesetz 2018 ("UK GDPR") sowie alle anderen Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, der Schweiz, des Vereinigten Königreichs; und (ii) alle Datenschutzgesetze und -vorschriften weltweit (auf nationaler, bundesstaatlicher, provinzieller, lokaler oder sonstiger Ebene), die auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung anwendbar sind, in der jeweils geltenden Fassung, erweitert, wieder in Kraft gesetzt oder ausgelegt; einschließlich, aber nicht beschränkt auf die anwendbaren rechtsprechungsspezifischen Bestimmungen, die in Anhang 3 aufgeführt sind.

Betroffene Person bedeutet die identifizierte oder identifizierbare Person, auf die sich die persönlichen Daten beziehen;

Personenbezogene Daten sind "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind", wie in der Datenschutz-Grundverordnung (DSGVO) 2016/679 definiert, einschließlich aller gleichwertigen Definitionen in den anwendbaren Datenschutzgesetzen;

Verarbeiten, Verarbeiten oder Verarbeitetes bedeutet "jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung" gemäß der Definition in der Datenschutz-Grundverordnung 2016/679 und umfasst jede gleichwertige Definition in den geltenden Datenschutzgesetzen;

Zweck bezeichnet die Dienstleistungen und die damit verbundene Verarbeitung personenbezogener Daten gemäß der Definition in Anhang 1 zu diesem Vertrag;

Standardvertragsklauseln oder SCCs bezeichnet die "Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates" in der von der Europäischen Kommission am 4. Juni 2021 angenommenen Fassung (Durchführungsbeschluss (EU) 2021/914 der Kommission), siehe Abschnitte 1 bis 3 unten;

Nutzungsbedingungen bezeichnet die rechtliche Vereinbarung zwischen der verantwortlichen Stelle als Nutzer und dem Auftragsverarbeiter, die das eingeschränkte, nicht-exklusive und kündbare Recht der verantwortlichen Stelle zur Nutzung der Smylor-Website und der Plattform gemäß der Definition in den Nutzungsbedingungen regelt.

UK-Zusatz zu den SCCs bezeichnet den britischen Zusatz B.1.0 zu den Standardvertragsklauseln, der vom United Kingdom Commissioner's Office herausgegeben wurde.

Behandlungsanbieter bezeichnet jede Organisation mit einer einzelnen Person oder einer Gruppe von Personen, die qualifiziert sind, zahnärztliche Behandlungen durchzuführen, wie z.B. eine Zahnklinik.

Engagement Activity bedeutet, dass die betroffene Person eine Terminanfrage ausgefüllt oder eine Online-Konversation begonnen hat, bei der sie sich für die Angabe ihrer persönlichen Daten entschieden hat.

ABSCHNITT 1

Klausel 1

Zweck und Anwendungsbereich

(a) Der Zweck dieser Standardvertragsklauseln (die Klauseln) besteht darin, die Einhaltung von Artikel 28 (3) und (4) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sicherzustellen.

(b) Die in Anhang I aufgeführten für die Verarbeitung Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 (3) und (4) der Verordnung (EU) 2016/679 zu gewährleisten.

(c) Diese Klauseln gelten für die Verarbeitung der in Anhang II aufgeführten personenbezogenen Daten.

(d) Die Anhänge I bis IV sind integraler Bestandteil der Klauseln.

(e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der für die Verarbeitung Verantwortliche aufgrund der Verordnung (EU) 2016/679 unterliegt.

(f) Diese Klauseln gewährleisten für sich genommen nicht die Einhaltung der Verpflichtungen im Zusammenhang mit internationalen Übermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679.

Klausel 2

Unveränderlichkeit der Klauseln

(a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, mit Ausnahme der Hinzufügung von Informationen zu den Anhängen oder der Aktualisierung von Informationen in den Anhängen.

(b) Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu den Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

Klausel 3

Auslegung

(a) Wenn in diesen Klauseln die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet werden, haben diese Begriffe dieselbe Bedeutung wie in der genannten Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigt.

Klausel 4

Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verbundener Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, haben diese Klauseln Vorrang.

ABSCHNITT 2 - VERPFLICHTUNGEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung(en)

Die Einzelheiten der Verarbeitungen, insbesondere die Kategorien personenbezogener Daten und die Zwecke der Verarbeitung, für die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7

Verpflichtungen der Vertragsparteien

7.1. Anweisungen

(a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, es sei denn, er ist aufgrund von Rechtsvorschriften der Union oder eines Mitgliedstaats, denen er unterliegt, dazu verpflichtet. In diesem Fall unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Der für die Verarbeitung Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten auch nachträgliche Weisungen erteilen. Diese Anweisungen sind stets zu dokumentieren.

(b) Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass die von dem für die Verarbeitung Verantwortlichen erteilten Anweisungen gegen die Verordnung (EU) 2016 und/oder die geltenden Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2. Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten Zweck(e) der Verarbeitung, es sei denn, er erhält weitere Anweisungen von dem für die Verarbeitung Verantwortlichen.

7.3. Dauer der Verarbeitung von personenbezogenen Daten

Die Verarbeitung durch den Auftragsverarbeiter darf nur für die in Anhang II angegebene Dauer erfolgen.

7.4. Sicherheit der Verarbeitung

(a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III genannten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehört der Schutz der Daten vor einer Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf die Daten führt (Verletzung der Sicherheit personenbezogener Daten). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die Risiken für die betroffenen Personen.

(b) Der Auftragsverarbeiter gewährt seinen Mitarbeitern nur insoweit Zugang zu den personenbezogenen Daten, die verarbeitet werden, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass die Personen, die zur Verarbeitung der erhaltenen personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5. Sensible Daten

Handelt es sich bei der Verarbeitung um personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, um genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, um Daten über die Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder um Daten über strafrechtliche Verurteilungen und Straftaten ("sensible Daten"), so wendet der Auftragsverarbeiter besondere Einschränkungen und/oder zusätzliche Garantien an.

7.6 Dokumentation und Einhaltung der Vorschriften

(a) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen.

(b) Der Auftragsverarbeiter muss Anfragen des für die Verarbeitung Verantwortlichen über die Verarbeitung von Daten gemäß diesen Klauseln unverzüglich und angemessen bearbeiten. 

(c) Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen nachzuweisen, die in diesen Klauseln festgelegt sind und sich direkt aus der Verordnung (EU) 2016/679 ergeben. Auf Ersuchen des für die Verarbeitung Verantwortlichen gestattet der Auftragsverarbeiter in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung auch Überprüfungen der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt dazu bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der für die Verarbeitung Verantwortliche die einschlägigen Zertifizierungen des Auftragsverarbeiters berücksichtigen.   

(d) Der für die Verarbeitung Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Audits können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Audits, der/den zuständigen Aufsichtsbehörde(n) auf Anfrage zur Verfügung.

7.7. Einsatz von Unterauftragsverarbeitern

(a) Der Auftragsverarbeiter verfügt über die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen mindestens 30 Tage im Voraus schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, so dass der für die Verarbeitung Verantwortliche genügend Zeit hat, vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des für die Verarbeitung Verantwortlichen), so erfolgt dies im Rahmen eines Vertrags, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzverpflichtungen auferlegt wie dem Auftragsverarbeiter gemäß diesen Klauseln. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, die dem Auftragsverarbeiter gemäß diesen Klauseln und der Verordnung (EU) 2016/679 auferlegt werden.

(c) Auf Verlangen des für die Verarbeitung Verantwortlichen legt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen eine Kopie einer solchen Unterauftragsverarbeitungsvereinbarung und aller nachfolgenden Änderungen vor. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Auftragsverarbeiter den Text der Vereinbarung vor der Weitergabe der Kopie schwärzen.

(d) Der Auftragsverarbeiter bleibt gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß seinem Vertrag mit dem Auftragsverarbeiter verantwortlich. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen, wenn der Unterauftragsverarbeiter seinen vertraglichen Verpflichtungen nicht nachkommt.

(e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach der für die Verarbeitung Verantwortliche das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben, falls der Auftragsverarbeiter faktisch verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist.

7.8. Internationale Übermittlungen

(a) Jegliche Übermittlung von Daten in ein Drittland oder an eine internationale Organisation durch den Auftragsverarbeiter erfolgt nur auf der Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen oder zur Erfüllung einer spezifischen Anforderung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und in Übereinstimmung mit Kapitel V der Verordnung (EU) 2016/679.

(b) Der für die Verarbeitung Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7. mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des für die Verarbeitung Verantwortlichen) beauftragt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 durch die Verwendung von Standardvertragsklauseln sicherstellen können, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 angenommen wurden, sofern die Bedingungen für die Verwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8

Unterstützung des für die Verarbeitung Verantwortlichen

(a) Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich über jedes Ersuchen, das er von der betroffenen Person erhalten hat. Er beantwortet das Ersuchen nicht selbst, es sei denn, er wurde von dem für die Verarbeitung Verantwortlichen dazu ermächtigt.

(b) Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen der betroffenen Person auf Ausübung ihrer Rechte, wobei er die Art der Verarbeitung berücksichtigt. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a) und b) befolgt der Auftragsverarbeiter die Anweisungen des für die Verarbeitung Verantwortlichen.

(c) Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Ziffer 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Einhaltung der folgenden Verpflichtungen, wobei die Art der Datenverarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen zu berücksichtigen sind:

(1) die Verpflichtung, eine Abschätzung der Auswirkungen der geplanten Verarbeitungen auf den Schutz personenbezogener Daten (eine "Datenschutz-Folgenabschätzung") vorzunehmen, wenn eine Art der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt;

(2) die Verpflichtung, die zuständige(n) Aufsichtsbehörde(n) vor der Verarbeitung zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Minderung des Risikos ergreift;

(3) die Verpflichtung, dafür zu sorgen, dass personenbezogene Daten richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich informiert, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig sind oder veraltet sind;

(4) die Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.

(d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Anwendung dieser Klausel unterstützen muss, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

Klausel 9

Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem für die Verarbeitung Verantwortlichen zusammen und unterstützt ihn, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 nachkommen kann, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden.

9.1 Datenschutzverletzung in Bezug auf Daten, die von dem für die Verarbeitung Verantwortlichen verarbeitet werden

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die von dem für die Verarbeitung Verantwortlichen verarbeitet werden, unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen:

(a) bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), gegebenenfalls unverzüglich nachdem der für die Verarbeitung Verantwortliche davon Kenntnis erlangt hat (es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt);

(b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des für die Verarbeitung Verantwortlichen angegeben werden müssen und mindestens Folgendes umfassen müssen:  

(1) die Art der personenbezogenen Daten, einschließlich, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;

(2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; 

(3) die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung ihrer möglichen negativen Auswirkungen.

Wenn und soweit es nicht möglich ist, alle diese Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.

(c) bei der Einhaltung der Verpflichtung gemäß Artikel 34 der Verordnung (EU) 2016/679, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

9.2 Datenschutzverletzung in Bezug auf Daten, die vom Auftragsverarbeiter verarbeitet werden

Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf Daten, die vom Auftragsverarbeiter verarbeitet werden, benachrichtigt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung muss mindestens Folgendes enthalten:

(a) eine Beschreibung der Art des Verstoßes (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze);

(b) die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

(c) die wahrscheinlichen Folgen der Verletzung und die Maßnahmen, die zur Behebung der Verletzung ergriffen wurden oder ergriffen werden sollen, einschließlich der Abmilderung möglicher negativer Auswirkungen.

Wenn und soweit es nicht möglich ist, alle diese Informationen gleichzeitig zu übermitteln, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.

Die Vertragsparteien legen in Anhang III alle weiteren Elemente fest, die der Auftragsverarbeiter bereitzustellen hat, wenn er den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 unterstützt.

ABSCHNITT 3 - SCHLUSSBESTIMMUNGEN

Klausel 10

Nichteinhaltung der Klauseln und Kündigung

(a) Unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 kann der für die Verarbeitung Verantwortliche im Falle eines Verstoßes des Auftragsverarbeiters gegen seine Verpflichtungen aus diesen Klauseln den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis der Auftragsverarbeiter diese Klauseln einhält oder der Vertrag gekündigt wird. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich, falls er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Der für die Verarbeitung Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

(1) die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter von dem für die Verarbeitung Verantwortlichen gemäß Buchstabe a) ausgesetzt wurde und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(2) Der Auftragsverarbeiter verstößt in erheblichem Maße oder anhaltend gegen diese Klauseln oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679;

(3) der Auftragsverarbeiter einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n) hinsichtlich seiner Verpflichtungen gemäß diesen Klauseln oder der Verordnung (EU) 2016/679 nicht nachkommt.

(c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der für die Verarbeitung Verantwortliche, nachdem er den für die Verarbeitung Verantwortlichen darüber informiert hat, dass seine Anweisungen gegen geltende Rechtsvorschriften gemäß Klausel 7.1 (b) verstoßen, auf der Einhaltung der Anweisungen besteht.

(d) Nach Beendigung des Vertrags hat der Auftragsverarbeiter nach Wahl des für die Verarbeitung Verantwortlichen alle im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten zu löschen und dem für die Verarbeitung Verantwortlichen zu bescheinigen, dass er dies getan hat, oder alle personenbezogenen Daten an den für die Verarbeitung Verantwortlichen zurückzugeben und vorhandene Kopien zu löschen, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Aufbewahrung der personenbezogenen Daten vor. Bis zur Löschung oder Rückgabe der Daten muss der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln gewährleisten.

Annex 1 List of Parties

Verantwortliche(r): Die Person, die diese DPA-Vereinbarung mit Smylor Ltd. unterzeichnet.

Verarbeiter: Smylor Limited

Adresse des Unternehmens: 24 Rowan Park, Lismonaghan, Letterkenny, Co. Donegal, Irland F92 N7D1

Kontakt: E-Mail: privacy@smylor.com, Telefon: +353 1 907 9610

Annex II - Description of the Processing

Scope of the data processing

Smylor is a Processor and You are a Controller (both as defined in the GDPR). The only exception to this when the Data Subject has not completed an Engagement Activity (contact with the dentists, like bookng or communications with the Treatment Provider) where You or any other listed third party is considered as a potential Treatment Provider, in this case Smylor will act as the sole Controller.

Categories of data subjects whose personal data is processed

Dentist Patients (Smylor),

Dentist Practice Staff including Practitioners (SmylorPRO).

Categories of personal data processed

Personal Contact Information (e.g. First Name, Last Name, Phone Number and Email address) & Appointment information (e.g. Appointment Date, Start Time, End Time and Location).

Sensitive data processed (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

Possible photos or descriptions of dental health problems including information on treatment plans. Those pictures or descriptions are uploaded to the platfom voluntarlily by the clients. They are being informed about the upload, the storage and the deletion period in advance.

Nature of the processing

Patient Data: Personal profile informaiton is stored on a database which is used primarily to manage their appointments and notification communication preferences. Notifications are needed to remind patients about upcoming appointment, including pre & post appointment care.  Online Chat is storing conversations that exist between the Patient and the Dentist Practice primarily to arrange appointments, provide Dentist Practice and Treatment information.

Dentist Staff Data: Dentist staff profile information is stored on a database including their treatment based competencies and current scheduled appointments which identify when the staff member is occupied and unable to take an appointment.

Sensitive Data: Informaiton provided during a conversation on Patient’s symptons or other course of treatment. This is processed over data communication channels including Chat, Email and Voice calls which is stored for a maximum of 21 days before being deleted unless explicitly requested to be extended by Patient.

Purpose(s) for which the personal data is processed on behalf of the controller

Appointments: To identify free appointment slots and allow the ability for Dental Practices to secure online bookings

Online Chat Conversations:  To improve how Dental Practices can manage a Patient’s dental treatments. In addition, to provide general information on dental treatments and Dental Practice information (e.g. opening times)

Duration of the processing: Maximum 21 days

…………………………

For processing by (sub-) processors, also specify subject matter, nature and duration of the processing

As listed here: Data Sub-Processors | Smylor-Dental Treatment Marketplaces

ANNEX III TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organisational security measures implemented by the processor(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, as well as the risks for the rights and freedoms of natural persons.

The security concept of Smylor can be found here: Data Security & Safety | Smylor-Dental Treatment Marketplaces

SCHEDULE 1 : Beschreibung der Verarbeitungsvorgänge

Zweck Smylor ist eine Marktplatzplattform für Zahnbehandlungen, die Behandlungsbewertungen, Informationen, Buchungen und Bewertungen an einem Ort bereitstellt. Mit diesem Instrumentarium ermöglicht Smylor seinen Nutzern die Bewertung und den Austausch von Behandlungsinformationen, die von Quellen künstlicher Intelligenz wie ChatGPT, qualifizierten Zahnärzten und Mitarbeitern von Zahnkliniken stammen. 

Der einzige Zweck der Sammlung dieser Daten ist die Verbesserung der Beziehung zwischen Behandlungsanbietern und ihren Kunden oder Patienten. Weitere Informationen darüber, welche Daten gesammelt werden und welche Sicherheitsmaßnahmen zum Schutz dieser Daten ergriffen werden, finden Sie in den Smylor-Nutzungsbedingungen und der Datenschutzerklärung.

SCHEDULE 2 : Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter gewährleistet und verpflichtet sich in Bezug auf alle personenbezogenen Daten, die er im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, jederzeit geeignete und ausreichende technische und organisatorische Sicherheitsmaßnahmen zu treffen, um diese personenbezogenen Daten oder Informationen gegen zufällige oder unrechtmäßige Zerstörung oder zufälligen Verlust, Beschädigung, Änderung, unberechtigte Weitergabe oder unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, sowie gegen alle anderen unrechtmäßigen Formen der Verarbeitung zu schützen.

Diese Maßnahmen umfassen unter anderem eine physische Zugangskontrolle, eine logische Zugangskontrolle (d. h. nicht physische Zugangskontrollmaßnahmen wie Passwörter), eine Datenzugangskontrolle, eine Datenübertragungskontrolle, eine Eingabekontrolle, Verfügbarkeitsmaßnahmen und eine Datentrennung; insbesondere mindestens die in der Smylor-Datenschutzpolitik & Datenschutz & Sicherheit dargelegten Maßnahmen.

Der Auftragsverarbeiter muss dem für die Verarbeitung Verantwortlichen auf Anfrage einen angemessenen Nachweis über die Einhaltung der Vorschriften vorlegen (z. B. die einschlägigen Teile der Vereinbarungen des Auftragsverarbeiters mit seinem Rechenzentrumsbetreiber).