Version
2.9
Datum des Inkrafttreten: 29/05/2025
In diesem Dokument:
Der Kunde
(nachstehend "Kunde")
und
Famly ApS, Købmagergade 19, 2tv., 1150 Kopenhagen, Dänemark
(im Folgenden "Famly")
(jeweils eine "Partei" und gemeinsam die "Parteien")
diesen Vertrag über die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Kunden geschlossen haben.
Dieser Auftragsverarbeitungsvertrag (dieser “AVV”) ist ab dem Datum des Vertrages wirksam.
Definitionen
"Anfrage der betroffenen Person" hat die in Klausel 9.1 angegebene Bedeutung;
"Anwendungsprotokoll" bezeichnet das Protokoll, das für die Speicherung des Zugriffs auf Kundendaten verwendet wird;
"Autorisierte Unterauftragsverarbeiter" sind die in Anhang B aufgeführten Unterauftragsverarbeiter, die von Zeit zu Zeit geändert werden können;
"AVV" bezeichnet diesen Auftragsverarbeitungsvertrag, einschließlich aller beigefügten oder in Bezug genommenen Anhänge und einschließlich aller künftigen schriftlichen Änderungen und Ergänzungen (wenn zutreffend);
"Datenverletzung" hat die in Klausel 10.1 angegebene Bedeutung;
"Datenzentren" bezeichnet die Datenzentren, die für das Hosting und die Speicherung von Kundendaten auf der Famly-Plattform verwendet werden;
"Dienste" bezeichnet die Dienste der Famly-Plattform, die im Rahmen der Vereinbarung und in Übereinstimmung mit diesem Auftragsverarbeitungsvertrag beschrieben und bereitgestellt werden;
"DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EU;
"EWR" bezeichnet den Europäischen Wirtschaftsraum und die Länder, die dem Vertrag über den Europäischen Wirtschaftsraum beigetreten sind;
"Kundendaten" bezeichnet die personenbezogenen Daten (wie in der DSGVO definiert) über Personen, die Famly vom Kunden oder im Namen des Kunden gemäß der Vereinbarung zur Verarbeitung für die Erbringung der Dienstleistungen zur Verfügung gestellt werden;
"Kundenkontaktstelle" hat die in Klausel 18.3 angegebene Bedeutung;
"Unterauftragsverarbeiter" hat die in Klausel 6.1 angegebene Bedeutung;
"Übertragungsmechanismen" bezeichnet die von der Europäischen Kommission am 4. Juni 2021 genehmigten Standardvertragsklauseln (von Auftragsverarbeiter zu Auftragsverarbeiter), wie sie von Zeit zu Zeit geändert werden, Datenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ("EDÖB") genehmigt wurden, Angemessenheitsbeschlüsse des EDÖB und/oder der Europäischen Kommission und/oder andere derart rechtlich genehmigte Mechanismen zur Sicherstellung der Sicherheit und des Schutzes von Datenübertragungen aus Drittländern außerhalb des EWR/Schweiz;
"Vertrag" bezeichnet den Hauptvertrag (Geschäftsbedingungen und Famly-Angebot), der zwischen dem Kunden und Famly abgeschlossen wurde, in der jeweils gültigen Fassung.
Die Begriffe "Verantwortlicher", "Auftragsverarbeiter", "Verarbeitung", "betroffene Person", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten" und "Aufsichtsbehörde" haben dieselbe Bedeutung wie in der DSGVO. Alle in Großbuchstaben geschriebenen Begriffe, die hier nicht anders definiert sind, haben die in dem Vertrag festgelegte Bedeutung. Jeder Verweis auf schriftlich oder in Schriftform schließt E-Mail ein.
1. Hintergrund
1.1. Die Parteien haben den Vertrag geschlossen, wobei der Kunde Famly mit der Erbringung der Dienstleistungen beauftragt hat. Dieser AVV, einschließlich aller beigefügten Anhänge, wird durch Verweis in das Abkommen aufgenommen.
1.2. Zum Zweck der Erbringung der Dienstleistungen im Rahmen des Vertrages wird Famly während der Laufzeit dieser AVV Kundendaten verarbeiten. Dieser AVV gilt für alle Aktivitäten im Zusammenhang mit dem Vertrag, in dessen Rahmen die MitarbeiterInnen oder Beauftragten von Famly die Kundendaten im Namen des Kunden verarbeiten, wie in Anhang A dargelegt.
2. Verantwortlichkeiten und Weisungen
2.1. Die Parteien vereinbaren, dass im Rahmen dieses AVV der Kunde der Verantwortliche für die Kundendaten und Famly der Auftragsverarbeiter ist. Der Kunde erklärt sich damit einverstanden, dass für die Verarbeitung von Kundendaten durch Famly als Auftragsverarbeiter ausschließlich dieser AVV gilt und nicht die Datenschutzrichtlinie von Famly.
2.2. Der Kunde ist für die Einhaltung der DSGVO verantwortlich, einschließlich, aber nicht beschränkt auf die Rechtmäßigkeit der Weitergabe von Kundendaten an Famly und die Rechtmäßigkeit der Verarbeitung der Kundendaten durch Famly im Namen des Kunden. Der Kunde garantiert, dass er rechtmäßig befugt ist, die Kundendaten zu verarbeiten und an Famly weiterzugeben. Der Kunde ist dafür verantwortlich, seine jeweiligen Datenschutzhinweise, Mitteilungen und Erklärungen zu pflegen und zu aktualisieren, sowie Famly darin als seinen Auftragsverarbeiter zu erwähnen.
2.3. Famly verarbeitet Kundendaten ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, Famly ist nach geltendem Recht, dem Famly unterliegt, zu einer abweichenden Verarbeitung verpflichtet. Solche Weisungen sind in den Anhängen A und C sowie in diesem AVV festgehalten. Während der gesamten Dauer der Verarbeitung von Kundendaten kann der Kunde auch nachträglich Weisungen erteilen, die jedoch stets dokumentiert und schriftlich – auch elektronisch – im Zusammenhang mit diesem AVV aufbewahrt werden müssen.
2.4. Famly wird den Kunden unverzüglich informieren, wenn die Weisungen des Kunden nach Ansicht von Famly gegen die geltenden Datenschutzgesetze verstoßen. Famly ist berechtigt, die Ausführung solcher Weisungen auszusetzen, bis der Kunde diese Weisung bestätigt oder ändert.
2.5. Famly darf auf Kundendaten in begrenztem und bedarfsorientiertem Umfang zugreifen, um Support zu leisten, Fehler zu beheben und die Plattform zu warten, vorausgesetzt, dieser Zugriff erfolgt ausschließlich zum Zweck der Leistungserbringung gemäß der Vereinbarung und diesem AVV.
3. Einzelheiten der Verarbeitung
3.1. Der Gegenstand und die Art der Verarbeitung von Kundendaten durch Famly ist die Erbringung der Dienstleistungen gemäß dem Vertrag und den in diesem AVV festgelegten Zwecken. Der Kunde und/oder seine autorisierten Nutzer laden bzw. fügen Kundendaten in die Plattform ein. Welche Arten von Kundendaten verarbeitet werden, hängt von der konkreten Nutzung der Dienste durch den Kunden ab. Die Art, der Zweck der Verarbeitung, die Arten der Kundendaten und die Kategorien der betroffenen Personen, die im Rahmen dieses AVV verarbeitet werden können, werden in Anhang A näher erläutert.
3.2. Die Verarbeitung der Kundendaten dauert für die Laufzeit der Vereinbarung und dieses AVV sowie für 60 Tage nach Beendigung an, sofern der Kunde nicht eine frühere Löschung verlangt oder selbst durchführt oder in Anhang A etwas anderes festgelegt ist.
4. Sicherheitsmaßnahmen bei der Verarbeitung
4.1. Famly ist für die Umsetzung technischer und organisatorischer Maßnahmen verantwortlich, um einen angemessenen Schutz der Kundendaten zu gewährleisten. Diese Maßnahmen müssen die Anforderungen der DSGVO erfüllen und die kontinuierliche Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und Dienste gewährleisten. Diese Maßnahmen sind in Anhang C des AVV beschrieben.
4.2. Famly wird diese Maßnahmen regelmäßig überprüfen, bewerten und bei Bedarf aktualisieren, um neuen Sicherheitsrisiken, Branchenstandards, technologischen Entwicklungen und regulatorischen Änderungen gerecht zu werden. Famly behält sich das Recht vor, die implementierten Maßnahmen und Sicherheitsvorkehrungen zu ändern, vorausgesetzt, das Sicherheitsniveau ist nicht geringer als ursprünglich vereinbart. Im Falle erheblicher Änderungen der Maßnahmen wird Famly den Kunden von den Änderungen in Kenntnis setzen.
4.3. Famly gewährleistet, dass das Unternehmen seinen Verpflichtungen gemäß der DSGVO nachkommt und ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einführt.
4.4. Der Kunde ist mit den in Anhang C aufgeführten technischen und organisatorischen Maßnahmen vertraut. Es liegt in der Verantwortung des Kunden sicherzustellen, dass diese Maßnahmen ein dem Risiko entsprechendes Sicherheitsniveau gewährleisten.
5. Vertraulichkeit
5.1. Famly wird die Kundendaten vertraulich behandeln. Diese Verpflichtung besteht ohne zeitliche Begrenzung und überdauert die Beendigung oder das Auslaufen des Vertrags und dieses AVV.
5.2. Famly gewährt den Zugriff auf die im Auftrag des Kunden verarbeiteten Kundendaten nur den Personen, die seiner Autorität unterstehen und sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen – und zwar ausschließlich auf der Grundlage der Notwendigkeit der Kenntnisnahme. Die Liste der Personen, denen Zugriff gewährt wurde, wird regelmäßig überprüft. Auf Basis dieser Überprüfung kann ein solcher Zugriff auf personenbezogene Daten entzogen werden, wenn er nicht mehr erforderlich ist, und den betreffenden Personen steht dann kein Zugang mehr zu den Kundendaten zur Verfügung.
5.3. Famly wird auf Verlangen des Kunden nachweisen, dass die betreffenden Personen, die Famly unterstellt sind, der oben genannten Geheimhaltung unterliegen.
6. Unterauftragsverarbeitung
6.1. Der Kunde ermächtigt Famly hiermit grundsätzlich, Unterauftragsverarbeiter gemäß dieser Klausel 6 zu benennen und zu beauftragen. Der Kunde erkennt an, dass Famly Subunternehmer einsetzt, die als Unterauftragsverarbeiter im Auftrag des Kunden handeln ("Unterauftragsverarbeiter").
6.2. Der Kunde erklärt sich damit einverstanden, dass die in Anhang B erwähnten Unterauftragsverarbeiter für die Zwecke der Verarbeitung der Kundendaten im Rahmen dieses AVV zugelassen sind und erteilt hierfür seine ausdrückliche Zustimmung:
6.3. Bevor Famly einen neuen Unterauftragsverarbeiter einsetzt oder einen Unterauftragsverarbeiter ersetzt, wird Famly den Ansprechpartner des Kunden mit einer Frist von mindestens dreißig (30) Tagen im Voraus schriftlich darüber informieren. Der Kunde hat das Recht, innerhalb von vierzehn (14) Tagen nach Erhalt der Mitteilung von Famly schriftlich Einspruch zu erheben, vorausgesetzt, dass ein solcher Einspruch auf angemessenen Gründen in Bezug auf Datenschutz beruht. Famly wird die Bedenken prüfen und mögliche Lösungen mit dem Kunden besprechen. Wenn diese Lösungen nach dem Ermessen von Famly nicht möglich sind und der Kunde der Änderung weiterhin nicht zustimmt (eine solche Zustimmung darf nicht ohnte berechtigten Grund verweigert werden), kann der Kunde den Vertrag mit einer Frist von vierzehn (14) Tagen nach Erhalt der vorgenannten Entscheidung von Famly schriftlich kündigen. Wenn der Kunde den Vertrag nicht innerhalb dieser Frist kündigt, wird davon ausgegangen, dass der Kunde den jeweiligen Unterauftragsverarbeiter akzeptiert hat. Der Kunde erhält eine Rückerstattung aller im Voraus gezahlten Gebühren für den Zeitraum nach dem Datum des Wirksamwerdens der Kündigung in Bezug auf solche beendeten Dienste. Weitere Ansprüche des Kunden gegenüber Famly oder von Famly gegenüber dem Kunden können aus einer solchen Kündigung nicht abgeleitet werden.
6.4. Der Kunde akzeptiert, dass ein Austausch eines Unterauftragsverarbeiters erforderlich sein kann, wenn der Grund für den Wechsel außerhalb der zumutbaren Kontrolle von Famly liegt (so genannter Notaustausch). Famly wird den Kunden über einen solchen Wechsel informieren. Wenn der Kunde berechtigte Einwände gegen die Nutzung dieses Unterauftragsverarbeiters erhebt, kann der Kunde von seinem Recht Gebrauch machen, den Vertrag wie im obigen Abschnitt beschrieben zu kündigen.
6.5. Wenn Famly Unterauftragsverarbeiter einsetzt, ist Famly dafür verantwortlich, dass die Verpflichtungen von Famly zum Datenschutz, die sich aus dem Vertrag und diesem AVV ergeben, in dem Umfang, der auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen zutrifft, gültig und für den Unterauftragsverarbeiter verbindlich sind. Famly schließt eine schriftliche Vereinbarung ab und beschränkt den Zugang des Unterauftragsverarbeiters (und aller neuen Unterauftragsverarbeiter) zu den Kundendaten auf das, was für die Erbringung oder Aufrechterhaltung der Dienstleistungen in Übereinstimmung mit dem Vertrag und dieser AVV erforderlich ist.
6.6. Erfüllt der Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt Famly gegenüber dem Kunden in vollem Umfang für die Erfüllung dieser Pflichten verantwortlich. Famlys Haftung entspricht hierbei dem Umfang, als würde Famly diese Leistungen selbst erbringen, jedoch unter Beachtung der in diesem AVV und dem Vertrag festgelegten Haftungsbeschränkungen.
7. Standort der Kundendaten und Übermittlung in Drittländer
7.1. Der Speicherort der Kundendaten ist in Anhang B dieser AVV aufgeführt.
7.2. Vorbehaltlich der in Anhang B genannten autorisierten Unterauftragsverarbeiter wird Famly die Kundendaten nicht außerhalb des EWR und/oder der Schweiz übermitteln, ohne das in Klausel 6.3 festgelegte Benachrichtigungs- und Widerspruchsverfahren einzuhalten.
7.3. Kundendaten können aus dem EWR und/oder der Schweiz in Länder übermittelt werden, die entweder durch einen Angemessenheitsbeschluss der Europäischen Kommission oder durch die zuständigen Datenschutzbehörden in der Schweiz („Angemessenheitsbeschlüsse“) als Länder anerkannt wurden, die ein angemessenes Datenschutzniveau bieten, ohne dass weitere Garantien erforderlich sind.
7.4. Wenn die Verarbeitung von Kundendaten einen Transfer aus dem EWR und/oder der Schweiz in andere Länder umfasst, für die kein entsprechender Angemessenheitsbeschluss vorliegt („Drittlandtransfer“), wird dieser Transfer nach Durchführung einer Transferfolgenabschätzung (nach EU- bzw. Schweizer Recht, sofern auf den Kunden anwendbar) durch Famly abgesichert. Dies geschieht durch den Abschluss und ggf. die Aushandlung einer Vereinbarung, die den passenden Transfermechanismus enthält. Reicht der Transfermechanismus nicht aus, um die übertragenen Kundendaten hinreichend zu schützen, werden zusätzliche Maßnahmen ergriffen, um sicherzustellen, dass die Kundendaten das gleiche Schutzniveau erhalten, wie es die DSGVO erfordert. Dazu gehören auch die in Anhang D aufgeführten Maßnahmen. Der Kunde erkennt an und stimmt zu, dass Famly den geeigneten Transfermechanismus in alle Vereinbarungen mit Unterauftragsverarbeitern in Drittländern ohne Angemessenheitsbeschluss integriert hat, um sicherzustellen, dass solche Drittlandtransfers den Anforderungen der DSGVO entsprechen.
8. Löschung, Korrektur oder Rückgabe von Kundendaten
8.1. Der Kunde kann die Kundendaten mit Hilfe der von den Diensten bereitgestellten Funktionen löschen. Wenn der Kunde nicht in der Lage ist, die Löschung und/oder Korrektur der Kundendaten vorzunehmen, muss Famly die Maßnahme durchführen, wenn der Kunde dies anordnet und es nach der DSGVO zulässig ist. Wenn ein Antrag auf Löschung von Kundendaten in Übereinstimmung mit der DSGVO oder eine entsprechende Einschränkung der Verarbeitung nicht möglich ist, wird Famly auf Anweisung des Kunden und sofern im Vertrag nicht anders vereinbart, alle Kundendaten in Übereinstimmung mit der DSGVO löschen oder anderweitig unzugänglich machen oder sie dem Kunden zurückgeben.
8.2. Innerhalb von 60 Tagen nach Beendigung des Vertrages gibt Famly auf Anweisung des Kunden alle Kundendaten an den Kunden zurück oder löscht sie, sofern die DSGVO nichts anderes vorschreibt. Die Kundendaten werden unwiderruflich gelöscht und können nach diesen 60 Tagen nicht mehr abgerufen und dem Kunden zur Verfügung gestellt werden. In bestimmten, vom Kunden bestimmten Fällen werden die Kundendaten gespeichert. Die damit verbundenen Vergütungen und Schutzmaßnahmen werden gesondert vereinbart, sofern sie nicht bereits im Vertrag festgelegt sind.
9. Anfrage der betroffenen Person
9.1. Wenn eine betroffene Person gegenüber Famly Ansprüche auf Berichtigung, Löschung, Widerspruch oder Auskunft ("Anfrage der betroffenen Person") geltend macht und Famly in der Lage ist, die betroffene Person auf der Grundlage der von der betroffenen Person bereitgestellten Informationen mit dem Kunden in Verbindung zu bringen, wird Famly die betroffene Person unverzüglich darauf verweisen, den Kunden direkt zu kontaktieren.
9.2. Famly wird den Kunden auf Grundlage der Anweisungen des Kunden nach Möglichkeit bei der Bearbeitung einer Anfrage der betroffenen Person unterstützen, wenn der Kunde dies nicht ohne die Hilfe von Famly tun kann. Famly haftet nicht in Fällen, in denen der Kunde die Anfrage der betroffenen Person nicht vollständig, korrekt oder zeitgerecht beantwortet.
10. Datenvorfall
10.1. Famly wird den Kunden unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, über jede unbefugte oder rechtswidrige Verarbeitung, Veränderung, den Verlust, die Zerstörung oder Offenlegung von oder den Schaden an beziehungsweise den Zugriff auf die Kundendaten („Datenverstoß“) informieren, sofern dieser in Famlys Verantwortungsbereich fällt. Dies schließt auch Datenverstöße bei von Famly beauftragten Unterauftragsverarbeitern ein, soweit Famly hiervon Kenntnis erlangt. Famly wird die erforderlichen Maßnahmen zur Sicherung der Kundendaten und zur Abmilderung möglicher negativer Folgen für die betroffene Person ergreifen. Famly wird diese Maßnahmen unverzüglich mit dem Kunden abstimmen.
10.2. Famly unterstützt den Kunden, soweit dies angemessen möglich ist und nur dann, wenn der Kunde dies nicht ohne die Hilfe von Famly tun kann, bei der Mitteilung von Datenverstößen an die betroffenen Personen und bei der Meldung von Datenverstößen an die zuständige Aufsichtsbehörde (vorausgesetzt, dass diese Unterstützung nicht zu einem Verstoß gegen die Vertraulichkeitsverpflichtungen von Famly gegenüber Dritten führt).
11. Datenschutz-Folgenabschätzung und Konsultation der Aufsichtsbehörden
11.1. Soweit die erforderlichen Informationen Famly zur Verfügung stehen und der Kunde nicht anderweitig Zugang zu den erforderlichen Informationen hat, wird Famly den Kunden auf schriftlichen Aufforderung hin in angemessener Weise bei der Durchführung einer Datenschutz-Folgenabschätzung und bei vorherigen Konsultationen mit den zuständigen Aufsichtsbehörden unterstützen, soweit dies entsprechend der DSGVO erforderlich ist.
12. Audits und Inspektionen
12.1. Famly wird sich jährlich einer unabhängigen externen Prüfung der Informationssicherheit und der Maßnahmen gemäß diesem AVV unterziehen. Famly wird die Einhaltung der in dieser AVV vereinbarten technischen und organisatorischen Maßnahmen durch geeignete Maßnahmen dokumentieren.
12.2. Soweit nach der DSGVO erforderlich und auf schriftliche Anfrage des Kunden, stellt Famly dem Kunden alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung dieses AVV nachzuweisen. Darüber hinaus übermittelt Famly gegebenenfalls eine Kopie eines unabhängigen externen Prüfberichts. Diese Unterlagen stellen vertrauliche Informationen von Famly dar und sind entsprechend zu behandeln.
12.3. Der Kunde erklärt sich damit einverstanden, sein Prüf- und Inspektionsrecht auszuüben, indem er Famly anweist, den in Klausel 12.2 dieses AVV beschriebenen Prüfbericht zur Verfügung zu stellen. Wenn der Kunde angemessener Weise zu dem Schluss kommt, dass eine Prüfung und Inspektion erforderlich sind, um die Einhaltung der technischen und organisatorischen Maßnahmen im Einzelfall oder die Einhaltung dieses AVV zu überwachen, hat der Kunde das Recht, entsprechende Prüfungen und Inspektionen vor Ort im Einzelfall durchzuführen oder von einem Prüfer (der kein Konkurrent von Famly ist) durchführen zu lassen, vorausgesetzt, der Kunde informiert Famly darüber und dass solche Prüfungen und Inspektionen (i) während der üblichen Geschäftszeiten, (ii) ohne unverhältnismäßige Beeinträchtigung des Geschäftsbetriebs von Famly, (iii) nach vorheriger angemessener Ankündigung und weiterer Rücksprache mit Famly, (iv) vorbehaltlich einer Vertraulichkeitsverpflichtung (sofern nicht bereits durch den Vertrag abgedeckt), insbesondere zum Schutz der Vertraulichkeit der implementierten technischen und organisatorischen Maßnahmen und Sicherheitsvorkehrungen durchgeführt werden. Eine Prüfung oder Inspektion vor Ort kann unangekündigt erfolgen, wenn dem Kunden eine rechtsverbindliche Aufforderung einer Aufsichtsbehörde vorliegt oder ein dokumentierter Verdacht auf eine wesentliche Verletzung oder Nichteinhaltung der geltenden Datenschutzgesetze besteht. Eine unangekündigte Prüfung oder Inspektion muss zum Zeitpunkt der Ankunft begründet werden.
12.4. Im Falle einer Vor-Ort-Prüfung und Inspektion trägt der Kunde seine eigenen Kosten und erstattet Famly die Kosten für seine internen Ressourcen, die für die Durchführung der Vor-Ort-Prüfung und Inspektion erforderlich sind (auf Grundlage von Zeit und Material gemäß der jeweils aktuellen Preisliste). Sollte sich bei der Prüfung und Inspektion herausstellen, dass Famly gegen seine Verpflichtungen aus dem Vertrag oder diesen AVV verstoßen hat, wird Famly den Verstoß unverzüglich auf eigene Kosten beheben und alle vom Kunden geleisteten Zahlungen für die Kosten der internen Ressourcen von Famly im Zusammenhang mit der Vor-Ort-Prüfung und Inspektion des Kunden erstatten.
13. Anwendungsprotokoll und verknüpfte Dienste
13.1. Famly speichert Kundendaten im Anwendungsprotokoll (die "Anwendungsprotokolldaten") für 60 Tage.
13.2. Die Anwendungsprotokolldaten werden von Famly ausschließlich zur Demonstration der Einhaltung von regulatorischen und rechtlichen Anforderungen sowie zur Gewährleistung einer guten Funktionsweise der Plattform verwendet.
13.3. Der Zugang zu den Anwendungsprotokolldaten ist streng auf die oben genannten Anwendungsfälle beschränkt.
a) Sollte der Kunde Zugang zu den Anwendungsprotokolldaten für Zwecke der regulatorischen oder rechtlichen Einhaltung, des Schutzes, der Prüfung oder ähnlicher Zwecke benötigen, kann Famly dem Kunden Zugang gewähren.
13.4. Sollte der Kunde einen verknüpften Dienstanbieter beauftragen, wie in den Famly-Nutzungsbedingungen definiert, kann Famly eine Open-API bereitstellen für den Zugriff auf bestimmte Kundendaten, um die Funktionsweise der verknüpften Dienste zu ermöglichen. Der Kunde ist allein verantwortlich dafür, sicherzustellen, dass der verknüpfte Dienstanbieter ausreichenden Schutz für personenbezogene Daten gemäß der DSGVO bietet. Unter keinen Umständen wird ein verknüpfter Dienstanbieter als Unterauftragsverarbeiter von Famly für Kundendaten betrachtet.
14. Unterstützung bei der Abwehr von Rechtsansprüchen
14.1. Wenn eine betroffene Person gemäß Artikel 82 DSGVO Ansprüche gegen den Kunden geltend macht, wird Famly den Kunden in angemessener Weise bei der Verteidigung gegen solche Ansprüche unterstützen.
14.2. Die vorstehende Klausel gilt entsprechend für Ansprüche, die von betroffenen Personen gegen Famly in Übereinstimmung mit Artikel 82 der DSGVO geltend gemacht werden.
15. Laufzeit des AVV
15.1. Dieser AVV und der Vertrag bleiben bis 60 Tage nach Beendigung des Vertrages in Kraft, es sei denn, dieser AVV sieht Verpflichtungen vor, die über die Laufzeit des Vertrages hinausgehen.
16. Haftung und Haftungsbeschränkungen
16.1. Famly haftet nur für Datenschutzverletzungen, -kosten und -ausgaben, die dadurch entstehen, dass i) Famly seinen Verpflichtungen gemäß dieses AVV nicht nachkommt; ii) Famly seinen Verpflichtungen als Auftragsverarbeiter gemäß der DSGVO nicht nachkommt; oder iii) der bevollmächtigte Unterauftragsverarbeiter von Famly seinen Datenschutzverpflichtungen nicht nachkommt (unabhängig davon, ob diese vertraglich gegenüber Famly oder durch die DSGVO auferlegt wurden).
16.2. Die Gesamthaftung jeder Partei, die sich aus diesem AVV ergibt oder mit ihr zusammenhängt, unterliegt den Haftungsausschlüssen und -beschränkungen in Klausel 15 des Vertrags, sofern nichts anderes vereinbart wurde.
17. Informationspflichten, Änderungen und Datenschutzbeauftragter
17.1. Wenn die Kundendaten Gegenstand einer Durchsuchung und Beschlagnahme, eines Pfändungsbeschlusses, einer Beschlagnahme während eines Konkurs- oder Insolvenzverfahrens oder ähnlicher Ereignisse oder Maßnahmen durch Dritte werden, während sie sich in der Kontrolle von Famly befinden, wird Famly den Kunden unverzüglich über diese Maßnahmen informieren und die angemessenen Anweisungen des Kunden zur Wahrung der Vertraulichkeit der Kundendaten befolgen. Famly wird alle an solchen Maßnahmen beteiligten Parteien unverzüglich davon in Kenntnis setzen, dass sich die davon betroffenen Kundendaten im alleinigen Eigentum und Verantwortungsbereich des Kunden befinden, dass die Kundendaten in der alleinigen Verfügungsgewalt des Kunden stehen und dass der Kunde die verantwortliche Stelle im Sinne der DSGVO ist.
17.2. Klausel 21 des Vertrages über das Recht von Famly, die Bedingungen des Vertrages zu ändern, gilt für Änderungen an diesem AVV, da diese AVV Teil des Vertrages ist. Zur Klarstellung: Dies gilt nicht für die Benachrichtigung neuer Unterauftragsverarbeiter gemäß Klausel 6.3.
17.3. Famly hat einen Datenschutzbeauftragten ernannt, der für Fragen der Privatsphäre und des Datenschutzes verantwortlich ist. Dieser Datenschutzbeauftragte ist unter der folgenden Adresse zu erreichen:
Attn. Datenschutzbeauftragter
Købmagergade 19, 2. tv.
1150 Kopenhagen K
Dänemark
privacy@famly.co
18. Kontaktperson
18.1. Die Vertragsparteien müssen einander eine Kontaktstelle für alle datenschutzrechtlichen Fragen benennen, die sich aus dem Vertrag und diesem AVV ergeben oder mit ihnen in Zusammenhang stehen.
18.2. In solchen Fällen kann sich der Kunde an das Famly Security & Privacy Team unter privacy@famly.co wenden.
18.3. Der Kunde informiert Famly über seine Kontaktstelle ("Kundenkontaktstelle"). Diese Kontaktstelle ist der Hauptansprechpartner, wenn Famly bei Anfragen der betroffenen Personen behilflich ist, über Datenschutzvorfälle informiert und den Kunden über neue Unterauftragsverarbeiter oder Änderungen dieser AVV informiert.
19. Abschließende Vereinbarung
19.1. Soweit nicht durch diesen AVV geändert, bleibt der Vertrag in vollem Umfang in Kraft und wirksam. Im Falle eines Konflikts hat die DSGVO Vorrang vor den Bestimmungen dieses AVV. Sollten einzelne Bestimmungen dieses AVVs unwirksam oder undurchführbar sein, so wird dadurch die Wirksamkeit und Durchführbarkeit der übrigen Bestimmungen dieses AVV nicht berührt.
19.2. Im Falle eines Konflikts oder Widerspruchs zwischen den folgenden Dokumenten hat die Rangfolge folgende Reihenfolge: (i) jeder Übertragungsmechanismus, (ii) Anhang D (Schweizer Bundesdatenschutzgesetz), Anhang E (Zusätzliche Klauseln zu Übertragungsmechanismen), (iii) diese AVV-Datenschutzvereinbarung und (iv) der Vertrag.
20. Geltendes Recht & Streitbeilegung
Klausel 25 des Vertrags (Geltendes Recht und Streitbeilegung) gilt für dieses AVV.
Art, Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien der betroffenen Personen:
Der Gegenstand und die Art der Verarbeitung von Kundendaten durch Famly bestehen in der Erbringung der Dienstleistungen gemäß dem Vertrag und den unten aufgeführten Zwecken:
Dauer der Verarbeitung:
Die allgemeine Aufbewahrungsfrist ist in Klausel 3.2 der AVV festgelegt. In der nachstehenden Tabelle sind die spezifischen Aufbewahrungsfristen für bestimmte autorisierte Unterauftragsverarbeiter aufgeführt:
Wie in Klausel 6.2 dargelegt, erklärt sich der Kunde damit einverstanden, dass die folgenden Unterauftragsverarbeiter für die Zwecke der Verarbeitung der Kundendaten im Rahmen dieser AVV autorisiert sind und ihr Einverständnis dazu geben:
Famly hat bestimmte technische und organisatorische Sicherheitsmaßnahmen ergriffen, um die Einhaltung der geltenden DSGVO zu gewährleisten. Diese Maßnahmen dienen dazu, eine unzulässige Zerstörung, Veränderung, Offenlegung, einen unzulässigen Zugriff und andere unzulässige Formen der Verarbeitung von Kundendaten zu verhindern.
Famly behält sich das Recht vor, die durchgeführten Maßnahmen und Sicherheitsvorkehrungen zu ändern, vorausgesetzt, dass das Sicherheitsniveau nicht geringer ist als ursprünglich vereinbart. Im Falle erheblicher Änderungen der Maßnahmen wird Famly den Kunden über diese Änderungen informieren.
1. Vertraulichkeit (Artikel 32 Absatz 1 lit. b DSGVO)
Physische Zugangskontrolle
Unbefugter Zugriff (im physischen Sinn) ist zu verhindern.
Technische und organisatorische Maßnahmen zur Zugangskontrolle zu Räumen und Einrichtungen, insbesondere zur Berechtigungsprüfung:
Elektronische Zugangskontrolle
Unbefugter Zugriff auf die IT-Systeme ist zu verhindern.
Technische (ID-/Passwortsicherheit) und organisatorische (Benutzerdaten-stamm) Maßnahmen zur Benutzeridentifikation und –authentifizierung:
Interne Zugangskontrolle
Aktivitäten im IT-System, die nicht unter die zugewiesenen Zugriffsrechte fallen, sind zu verhindern.
Anforderungsgerechte Definition des Autorisierungskonzepts und der Zugriffsrechte sowie Überwachung und Protokollierung der Zugriffe:
a) Autorisierung
b) Login, Benutzername und Passwörter
c) Vertraulichkeit
Trennbarkeitskontrolle
Daten, die für verschiedene Zwecke erhoben werden, sind getrennt zu verarbeiten.
Maßnahmen zur getrennten Verarbeitung (Speicherung, Änderung, Löschung, Übermittlung) von Daten für verschiedene Zwecke:
2. Integrität (Artikel 32 Absatz 1 lit. b DSGVO)
Datenübertragungskontrolle
Aspekte bei der Übertragung personenbezogener Daten müssen überprüft werden: elektronische Übermittlung, Datenübertragung, Übertragungskontrolle.
Maßnahmen zur Übertragung, Übermittlung und Austausch oder Speicherung von Daten auf Datenträgern (manuell oder elektronisch) und zur nachträglichen Prüfung:
Dateneingabekontrolle
Die vollständige Dokumentation der Datenverwaltung und -pflege muss gewährleistet werden.
Maßnahmen zur nachträglichen Kontrolle, ob Daten erfasst, geändert oder entfernt (gelöscht) wurden und von wem:
3. Verfügbarkeit und Belastbarkeit (Artikel 32 Absatz 1 lit. b und c DSGVO)
Verfügbarkeitskontrolle
Die Daten müssen vor unbeabsichtigter Zerstörung oder Verlust geschützt werden.
Maßnahmen zur Gewährleistung der Datensicherheit (physisch/logisch):
Schnelle Wiederherstellung
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Artikel 32 Absatz 1 lit. d DSGVO; Artikel 25 Absatz 1 DSGVO)
Störungsmanagement (Incident Response Management)
Sicherheitsverletzungsverfahren
Auftrags- oder Vertragskontrolle
Famly hat marktübliche DSGVO-Auftragsverarbeitungsverträge mit Anbietern abgeschlossen, um die Bedingungen dieser Vereinbarung zur Auftragsverarbeitung einhalten zu können.
Überprüfung/Audit
Famly wird mindestens einmal pro Jahr durch einen externen Prüfer überprüfen lassen, ob die in dieser Vereinbarung zur Auftragsverarbeitung näher erläuterten Verfahren eingehalten werden. Der Prüfbericht wird dem Auftraggeber auf Wunsch vorgelegt.
Für Kunden, die in der Schweiz ansässig sind oder dort die Dienste in Anspruch nehmen, gilt der folgende Anhang vollständig und wird akzeptiert.