Im Zusammenhang mit dieser Verarbeitung fungieren Aegean Airlines SA / Olympic Air SA und die jeweilige Reiseagentur (Agent) als Verantwortliche / gemeinsam Verantwortliche (Controllers/Joint Controllers). Diese Musterklausel ist den jeweiligen Gruppenangeboten beizufügen.
Erklärungen:
Unter Berücksichtigung gegenseitiger Zusagen vereinbaren die Parteien diese Klausel einzugehen, um zu gewährleisten, dass adäquate Sicherheitsvorkehrungen in Bezug auf den Schutz personenbezogener Daten gemäß den Datenschutzgesetzen getroffen werden.
In Anbetracht der nachstehend aufgeführten Zusagen, Vereinbarungen und gegenseitigen Verpflichtungen vereinbaren die Parteien hiermit folgendes, dessen Begriffsbestimmungen in Anhang A erläutert werden:
1. Datenschutz
A. Beide Parteien haben alle Datenschutzgesetze einzuhalten, die für die Erfüllung ihrer Verpflichtungen aus dieser Klausel gelten.
B. Die Parteien haben in angemessenem Umfang miteinander zu kooperieren, was die Erfüllung ihrer jeweiligen Verpflichtungen hinsichtlich der Anfragen Betroffener („Data Subject“) zu Benachrichtigungen Dritter, Datenlöschung bzw. sonstigen Anträgen im Rahmen der Datenschutzgesetze angeht.
C. Eine Partei hat die andere Partei unverzüglich zu benachrichtigen, wenn sie von einer Forderung oder Beschwerde im Zusammenhang mit Datenschutzgesetzen in Bezug auf personenbezogene Daten, für die Aegean Airlines SA / Olympic Air SA und die Reiseagentur Datenverantwortliche sind, Kenntnis erhält.
D. Unter Berücksichtigung der Art und der Risiken, die mit der Art der im Zusammenhang mit den angebotenen Diensten erhobenen oder verwendeten personenbezogenen Daten verbunden sind, hat jede Partei geeignete technische und organisatorische Maßnahmen zu ergreifen, um einen Sicherheitsgrad zu gewährleisten, der den Risiken angemessen ist, die sich aus der Verarbeitung, Speicherung und Übermittlung personenbezogener Daten durch die Parteien oder in ihrem Namen ergeben, einschließlich gegebenenfalls Maßnahmen zum Datenschutz durch Voreinstellung und/oder durch Gestaltung sowie alle anderen zwischen den Parteien vereinbarten Maßnahmen.
E. In Bezug auf personenbezogene Daten, bei denen alle Parteien gemeinsam für die Verarbeitung Verantwortliche sind, gewähren die Parteien einander angemessene Unterstützung und arbeiten zusammen, um die Einhaltung der Datenschutzgesetze durch jede Partei sicherzustellen. Vorbehaltlich der Vertraulichkeitsverpflichtungen und der Richtlinien von Aegean Airlines SA / Olympic Air SA zur Offenlegung von Informationen vereinbaren die Parteien für den Fall, dass eine Partei Bedenken hat, dass die andere Partei diesen Abschnitt 1 nicht einhält, Informationen auszutauschen, um die Ursache dieser Nichteinhaltung zu ermitteln, und angemessene Schritte zu unternehmen, um diese Nichteinhaltung zu beheben.
F. Die Reiseagentur verpflichtet sich, Aegean Airlines SA / Olympic Air SA unverzüglich nach Bekanntwerden eines Verstoßes gegen den Schutz personenbezogener Daten zu benachrichtigen (in keinem Fall jedoch später als 48 Stunden nach Bekanntwerden des Verstoßes gegen personenbezogene Daten); Innerhalb derselben Frist hat er Aegean Airlines SA / Olympic Air SA alle Einzelheiten, die Aegean Airlines SA / Olympic Air SA angemessener Weise benötigt, über die Art der Verletzung des Schutzes personenbezogener Daten, alle damit zusammenhängenden Untersuchungen, die wahrscheinlichen Folgen und alle Maßnahmen, die die Reiseagentur ergriffen hat, um die Verletzung des Schutzes personenbezogener Daten zu beheben, mitzuteilen und Aegean Airlines SA / Olympic Air SA regelmäßig über diese Angelegenheiten zu informieren. Die Reiseagentur wird in angemessener Weise mit Aegean Airlines SA / Olympic Air SA zusammenarbeiten, auch in Bezug auf eine geplante Meldung an eine Aufsichtsbehörde.
G. Internationale Datenübermittlungen
(i) Die Leistungserbringung durch die Reiseagentur kann zeitweise die Übermittlung von Daten in Länder außerhalb des EWR erfordern. Die Reiseagentur stellt sicher und verlangt von seinen Datenverarbeitern, dass ein geeigneter Mechanismus, der von den geltenden Datenschutzgesetzen anerkannt wird, implementiert wird, um die Datenübermittlung zu ermöglichen.
(ii) Die Reiseagentur hat zum Datum des Inkrafttretens die Einhaltung der EU-Verordnung zertifiziert und verpflichtet sich, die Grundsätze der EU-Verordnung gemäß dieser Klausel einzuhalten, auch bei der Weiterübermittlung, es sei denn, das Privacy Shield wird nach den Datenschutzgesetzen nicht mehr als angemessener Mechanismus für Datenübermittlungen angesehen und/oder er beschließt, seine Zertifizierung nicht zu erneuern.
2. Allgemeines
A. Diese Klausel lässt die Rechte und Pflichten der Parteien im Rahmen des Gruppenangebots unberührt, die weiterhin in vollem Umfang wirksam und rechtsgültig bleiben. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Klausel und den Bestimmungen des Gruppenangebots haben die Bestimmungen dieser Klausel Vorrang, sofern die betreffende Angelegenheit sich auf die Verarbeitung personenbezogener Daten bezieht.
B. Personen, die nicht Partei dieser Klausel sind – einschließlich Dritter, falls zutreffend -, sind nicht berechtigt, die Bestimmungen dieser Klausel geltend zu machen.
C. Sollte eine Bestimmung dieser Klausel unwirksam oder nicht durchsetzbar sein, so bleiben die übrigen Bestimmungen dieser Klausel gültig und in Kraft. Die unwirksame oder nicht durchsetzbare Bestimmung ist entweder (i) so zu ändern, dass ihre Wirksamkeit und Durchsetzbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich erhalten bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der unwirksame oder nicht durchsetzbare Teil nie enthalten gewesen wäre.
D. Diese Klausel unterliegt den Gesetzen des Landes, das zu diesem Zweck im Gruppenangebot festgelegt wurde und ist entsprechend auszulegen und jede der Parteien erklärt sich damit einverstanden, sich in Bezug auf jegliche Ansprüche oder Angelegenheiten, die sich aus dieser Klausel ergeben, der im Gruppenangebot festgelegten gerichtlichen Zuständigkeit zu unterwerfen.
E. Außer hinsichtlich etwaiger angefallener Verbindlichkeiten einer der Parteien und der Bestimmungen der Abschnitte 1 und 2 endet diese Klausel automatisch mit dem Ablauf oder der Beendigung des Gruppenangebots, aus welchem Grund auch immer.
F. Diese Klausel und Anhang A sind Teil der Gruppenangebote. Keine Änderung, Ergänzung oder Modifikation einer Bestimmung dieser Klausel ist wirksam, wenn sie nicht schriftlich niedergelegt und von einem bevollmächtigten Vertreter jeder Partei unterzeichnet ist.
Anhang A
Begriffsbestimmungen
Für die Zwecke dieser Klausel kommt den nachstehenden Begriffen folgende Bedeutung zu:
A. „Gruppenangebot" bezeichnet das von der Gruppenabteilung von Aegean Airlines SA / Olympic Air SA ausgestellte und an die Reiseagentur weitergeleitete Angebot für Gruppenreservierungen.
B. „Datenschutzgesetze" bezeichnet alle Gesetze, Verordnungen oder Vorschriften in Bezug auf die Verarbeitung, den Schutz der Privatsphäre und die Verwendung personenbezogener Daten, die auf den Agent oder Aegean Airlines SA / Olympic Air SA anwendbar sind, einschließlich, ohne Einschränkung, (i) ab dem 25. Mai 2018 die Allgemeine Datenschutzverordnung (EU) 2016/679 (GDPR) und/oder alle lokalen und nationalen Gesetze, Verordnungen und Vorschriften zur Umsetzung der GDPR oder zur Einführung spezifischer datenschutzbezogener Vorschriften, sofern die GDPR dies zulässt; (ii) ePrivacy-Gesetze; und (iii) alle anderen anwendbaren Gesetze, Vorschriften und Verordnungen zum Datenschutz und zum Schutz der Privatsphäre, und „Datenverantwortlicher", „Datenverarbeiter", „Betroffener (Data Subject)" und „Verarbeitung" haben die Bedeutung, die diesen Begriffen in den Datenschutzgesetzen zukommt.
C. „EWR" bezeichnet den europäischen Wirtschaftsraum.
D. „e-Datenschutzgesetz (ePrivacy Law)” bedeutet (i) in den Mitgliedsstaaten der Europäischen Union und im Vereinigten Königreich: alle Gesetze oder Verordnungen zur Umsetzung der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) und, sobald diese in Kraft getreten ist, der Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation (Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation) 2017/0003 (COD); (ii) alle gerichtlichen oder verwaltungstechnischen Auslegungen der oben genannten Gesetze und Verordnungen, alle Leitlinien, Richtlinien, Verhaltenskodizes, genehmigten Verhaltenskodizes oder genehmigten Zertifizierungsmechanismen, die von den zuständigen Aufsichtsbehörden herausgegeben werden; und (iii) sofern von den Parteien schriftlich vereinbart, selbstregulierende Verhaltenskodizes der Branche.
D. „Personenbezogene Daten" bezeichnet alle personenbezogenen Daten im Sinne der Datenschutzgesetze.
E. „Verletzung des Schutzes personenbezogener Daten” bezeichnet die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Abänderung, die unbefugte Weitergabe von oder den unbefugten Zugriff auf Daten, die von den für die Verarbeitung Verantwortlichen gemäß dieser Klausel verarbeitet werden.
F. „Aufsichtsbehörde” bezeichnet jede lokale, nationale oder multinationale Behörde, jedes Ministerium, jeden Beamten, jedes Parlament, jede öffentliche oder satzungsgemäße Person oder jedes Regierungs- oder Berufsgremium, jede Regulierungs- oder Aufsichtsbehörde, jedes Gremium oder jede andere Einrichtung, die für die Anwendung der Datenschutzgesetze zuständig ist.