Version
3.0
Datum des Inkrafttreten: 30/03/2026
In diesem Dokument:
Der Kunde
(nachstehend "Kunde")
und
Famly ApS, Købmagergade 19, 2tv., 1150 Kopenhagen, Dänemark
(im Folgenden "Famly")
(jeweils eine "Partei" und gemeinsam die "Parteien")
diesen Auftragsverarbeitungsvertrag über die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Kunden geschlossen haben.
Dieser Auftragsverarbeitungsvertrag (dieser "AVV") ist ab dem Datum der Vereinbarung wirksam.
"Anfrage der betroffenen Person" hat die in Ziffer 9.1 angegebene Bedeutung;
"Anwendungsprotokoll" bezeichnet das Protokoll, das für die Speicherung des Zugriffs auf Kundendaten verwendet wird;
"Autorisierte Unterauftragsverarbeiter" sind die in Anhang B aufgeführten Unterauftragsverarbeiter, die von Zeit zu Zeit geändert werden können;
"AVV" bezeichnet diesen Auftragsverarbeitungsvertrag, einschließlich aller beigefügten oder in Bezug genommenen Anhänge und einschließlich aller künftigen schriftlichen Änderungen und Ergänzungen (wenn zutreffend);
"Datenverletzung" hat die in Ziffer 10.1 angegebene Bedeutung;
"Datenzentren" bezeichnet die Datenzentren, die für das Hosting und die Speicherung von Kundendaten auf der Famly-Plattform verwendet werden;
"Dienste" bezeichnet die Dienste der Famly-Plattform, die im Rahmen der Vereinbarung und in Übereinstimmung mit diesem Auftragsverarbeitungsvertrag beschrieben und bereitgestellt werden;
"DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EU;
"EWR" bezeichnet den Europäischen Wirtschaftsraum und die Länder, die dem Vertrag über den Europäischen Wirtschaftsraum beigetreten sind;
"Kundendaten" bezeichnet die personenbezogenen Daten (wie in der DSGVO definiert) über Personen, die Famly vom Kunden oder im Namen des Kunden gemäß der Vereinbarung zur Verarbeitung für die Erbringung der Dienstleistungen zur Verfügung gestellt werden;
"Kundenkontaktstelle" hat die in Ziffer 18.3 angegebene Bedeutung;
"Unterauftragsverarbeiter" hat die in Ziffer 6.1 angegebene Bedeutung;
"Übertragungsmechanismen" bezeichnet die von der Europäischen Kommission am 4. Juni 2021 genehmigten Standardvertragsklauseln (von Auftragsverarbeiter zu Auftragsverarbeiter), wie sie von Zeit zu Zeit geändert werden, Datenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ("EDÖB") genehmigt wurden, Angemessenheitsbeschlüsse des EDÖB und/oder der Europäischen Kommission und/oder andere derart rechtlich genehmigte Mechanismen zur Sicherstellung der Sicherheit und des Schutzes von Datenübertragungen aus Drittländern außerhalb des EWR/Schweiz.
"Vereinbarung" bezeichnet die Hauptvereinbarung (Geschäftsbedingungen und Famly-Angebot), die zwischen dem Kunden und Famly abgeschlossen wurde, in der jeweils gültigen Fassung.
Die Begriffe "Verantwortlicher", "Auftragsverarbeiter", "Verarbeitung", "betroffene Person", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten" und "Aufsichtsbehörde" haben dieselbe Bedeutung wie in der DSGVO. Alle in Großbuchstaben geschriebenen Begriffe, die hier nicht anders definiert sind, haben die in der Vereinbarung festgelegte Bedeutung. Jeder Verweis auf schriftlich oder in Schriftform schließt E-Mail ein.
1.1. Die Parteien haben die Vereinbarung geschlossen, wobei der Kunde Famly mit der Erbringung der Dienstleistungen beauftragt hat. Dieser AVV, einschließlich aller beigefügten Anhänge, wird durch Verweis in die Vereinbarung aufgenommen.
1.2. Zum Zweck der Erbringung der Dienstleistungen im Rahmen der Vereinbarung wird Famly während der Laufzeit dieses AVV Kundendaten verarbeiten. Dieser AVV gilt für alle Aktivitäten im Zusammenhang mit der Vereinbarung, in deren Rahmen die MitarbeiterInnen oder Beauftragten von Famly die Kundendaten im Namen des Kunden verarbeiten, wie in Anhang A dargelegt.
2.1. Die Parteien vereinbaren, dass im Rahmen dieses AVV der Kunde der Verantwortliche für die Kundendaten und Famly der Auftragsverarbeiter ist. Der Kunde erklärt sich damit einverstanden, dass für die Verarbeitung von Kundendaten durch Famly als Auftragsverarbeiter ausschließlich dieser AVV gilt und nicht die Datenschutzerklärung von Famly.
2.2. Der Kunde ist für die Einhaltung der DSGVO verantwortlich, einschließlich, aber nicht beschränkt auf die Rechtmäßigkeit der Weitergabe von Kundendaten an Famly und die Rechtmäßigkeit der Verarbeitung der Kundendaten durch Famly im Namen des Kunden. Der Kunde garantiert, dass er rechtmäßig befugt ist, die Kundendaten zu verarbeiten und an Famly weiterzugeben. Der Kunde ist dafür verantwortlich, seine jeweiligen Datenschutzhinweise, Mitteilungen und Erklärungen zu pflegen und zu aktualisieren, sowie Famly darin als seinen Auftragsverarbeiter zu erwähnen.
2.3. Famly verarbeitet Kundendaten ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, Famly ist nach geltendem Recht, dem Famly unterliegt, zu einer abweichenden Verarbeitung verpflichtet. Solche Weisungen sind in den Anhängen A und C sowie in diesem AVV festgehalten. Während der gesamten Dauer der Verarbeitung von Kundendaten kann der Kunde auch nachträglich Weisungen erteilen, die jedoch stets dokumentiert und schriftlich – auch elektronisch – im Zusammenhang mit diesem AVV aufbewahrt werden müssen.
2.4. Famly wird den Kunden unverzüglich informieren, wenn die Weisungen des Kunden nach Ansicht von Famly gegen die geltenden Datenschutzgesetze verstoßen. Famly ist berechtigt, die Ausführung solcher Weisungen auszusetzen, bis der Kunde diese Weisung bestätigt oder ändert.
2.5. Famly darf auf Kundendaten in begrenztem und bedarfsorientiertem Umfang zugreifen, um Support zu leisten, Fehler zu beheben und die Plattform zu warten, vorausgesetzt, dieser Zugriff erfolgt ausschließlich zum Zweck der Leistungserbringung gemäß der Vereinbarung und diesem AVV.
3.1. Der Gegenstand und die Art der Verarbeitung von Kundendaten durch Famly ist die Erbringung der Dienstleistungen gemäß der Vereinbarung und den in diesem AVV festgelegten Zwecken. Der Kunde und/oder seine autorisierten Nutzer laden bzw. fügen Kundendaten in die Plattform ein. Welche Arten von Kundendaten verarbeitet werden, hängt von der konkreten Nutzung der Dienste durch den Kunden ab. Die Art, der Zweck der Verarbeitung, die Arten der Kundendaten und die Kategorien der betroffenen Personen, die im Rahmen dieses AVV verarbeitet werden können, werden in Anhang A näher erläutert.
3.2. Die Verarbeitung der Kundendaten dauert für die Laufzeit der Vereinbarung und dieses AVV sowie für 60 Tage nach Beendigung an, sofern der Kunde nicht eine frühere Löschung verlangt oder selbst durchführt oder in Anhang A etwas anderes festgelegt ist.
4.1. Famly ist für die Umsetzung technischer und organisatorischer Maßnahmen verantwortlich, um einen angemessenen Schutz der Kundendaten zu gewährleisten. Diese Maßnahmen müssen die Anforderungen der DSGVO erfüllen und die kontinuierliche Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und Dienste gewährleisten. Diese Maßnahmen sind in Anhang C des AVV beschrieben.
4.2. Famly wird diese Maßnahmen regelmäßig überprüfen, bewerten und bei Bedarf aktualisieren, um neuen Sicherheitsrisiken, Branchenstandards, technologischen Entwicklungen und regulatorischen Änderungen gerecht zu werden. Famly behält sich das Recht vor, die implementierten Maßnahmen und Sicherheitsvorkehrungen zu ändern, vorausgesetzt, das Sicherheitsniveau ist nicht geringer als ursprünglich vereinbart. Im Falle erheblicher Änderungen der Maßnahmen wird Famly den Kunden von den Änderungen in Kenntnis setzen.
4.3. Famly gewährleistet, dass das Unternehmen seinen Verpflichtungen gemäß der DSGVO nachkommt und ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einführt.
4.4. Der Kunde ist mit den in Anhang C aufgeführten technischen und organisatorischen Maßnahmen vertraut. Es liegt in der Verantwortung des Kunden sicherzustellen, dass diese Maßnahmen ein dem Risiko entsprechendes Sicherheitsniveau gewährleisten.
5.1. Famly wird die Kundendaten vertraulich behandeln. Diese Verpflichtung besteht ohne zeitliche Begrenzung und überdauert die Beendigung oder das Auslaufen der Vereinbarung und dieses AVV.
5.2. Famly gewährt den Zugriff auf die im Auftrag des Kunden verarbeiteten Kundendaten nur den Personen, die seiner Autorität unterstehen und sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen – und zwar ausschließlich auf der Grundlage der Notwendigkeit der Kenntnisnahme. Die Liste der Personen, denen Zugriff gewährt wurde, wird regelmäßig überprüft. Auf Basis dieser Überprüfung kann ein solcher Zugriff auf personenbezogene Daten entzogen werden, wenn er nicht mehr erforderlich ist, und den betreffenden Personen steht dann kein Zugang mehr zu den Kundendaten zur Verfügung.
5.3. Famly wird auf Verlangen des Kunden nachweisen, dass die betreffenden Personen, die Famly unterstellt sind, der oben genannten Geheimhaltung unterliegen.
6.1. Der Kunde ermächtigt Famly hiermit grundsätzlich, Unterauftragsverarbeiter gemäß dieser Ziffer 6 zu benennen und zu beauftragen. Der Kunde erkennt an, dass Famly Subunternehmer einsetzt, die als Unterauftragsverarbeiter im Auftrag des Kunden handeln ("Unterauftragsverarbeiter").
6.2. Der Kunde erklärt sich damit einverstanden, dass die in Anhang B erwähnten Unterauftragsverarbeiter für die Zwecke der Verarbeitung der Kundendaten im Rahmen dieses AVV zugelassen sind und erteilt hierfür seine ausdrückliche Zustimmung:
6.3. Bevor Famly einen neuen Unterauftragsverarbeiter einsetzt oder einen Unterauftragsverarbeiter ersetzt, wird Famly den Ansprechpartner des Kunden mit einer Frist von mindestens dreißig (30) Tagen im Voraus schriftlich darüber informieren. Der Kunde hat das Recht, innerhalb von vierzehn (14) Tagen nach Erhalt der Mitteilung von Famly schriftlich Einspruch zu erheben, vorausgesetzt, dass ein solcher Einspruch auf angemessenen Gründen in Bezug auf Datenschutz beruht. Famly wird die Bedenken prüfen und mögliche Lösungen mit dem Kunden besprechen. Wenn diese Lösungen nach dem Ermessen von Famly nicht möglich sind und der Kunde der Änderung weiterhin nicht zustimmt (eine solche Zustimmung darf nicht ohne berechtigten Grund verweigert werden), kann der Kunde die Vereinbarung mit einer Frist von vierzehn (14) Tagen nach Erhalt der vorgenannten Entscheidung von Famly schriftlich kündigen. Wenn der Kunde die Vereinbarung nicht innerhalb dieser Frist kündigt, wird davon ausgegangen, dass der Kunde den jeweiligen Unterauftragsverarbeiter akzeptiert hat. Der Kunde erhält eine Rückerstattung aller im Voraus gezahlten Gebühren für den Zeitraum nach dem Datum des Wirksamwerdens der Kündigung in Bezug auf solche beendeten Dienste. Weitere Ansprüche des Kunden gegenüber Famly oder von Famly gegenüber dem Kunden können aus einer solchen Kündigung nicht abgeleitet werden.
6.4. Der Kunde akzeptiert, dass ein Austausch eines Unterauftragsverarbeiters erforderlich sein kann, wenn der Grund für den Wechsel außerhalb der zumutbaren Kontrolle von Famly liegt (sogenannter Notaustausch). Famly wird den Kunden über einen solchen Wechsel informieren. Wenn der Kunde berechtigte Einwände gegen die Nutzung dieses Unterauftragsverarbeiters erhebt, kann der Kunde von seinem Recht Gebrauch machen, die Vereinbarung wie im obigen Abschnitt beschrieben zu kündigen.
6.5. Wenn Famly Unterauftragsverarbeiter einsetzt, ist Famly dafür verantwortlich, dass die Verpflichtungen von Famly zum Datenschutz, die sich aus der Vereinbarung und diesem AVV ergeben, in dem Umfang, der auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen zutrifft, gültig und für den Unterauftragsverarbeiter verbindlich sind. Famly schließt eine schriftliche Vereinbarung ab und beschränkt den Zugang des Unterauftragsverarbeiters (und aller neuen Unterauftragsverarbeiter) zu den Kundendaten auf das, was für die Erbringung oder Aufrechterhaltung der Dienstleistungen in Übereinstimmung mit der Vereinbarung und diesem AVV erforderlich ist.
6.6. Erfüllt der Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt Famly gegenüber dem Kunden in vollem Umfang für die Erfüllung dieser Pflichten verantwortlich. Famlys Haftung entspricht hierbei dem Umfang, als würde Famly diese Leistungen selbst erbringen, jedoch unter Beachtung der in diesem AVV und der Vereinbarung festgelegten Haftungsbeschränkungen.
7.1. Der Speicherort der Kundendaten ist in Anhang B dieses AVV aufgeführt.
7.2. Vorbehaltlich der in Anhang B genannten autorisierten Unterauftragsverarbeiter wird Famly die Kundendaten nicht außerhalb des EWR und/oder der Schweiz übermitteln, ohne das in Ziffer 6.3 festgelegte Benachrichtigungs- und Widerspruchsverfahren einzuhalten.
7.3. Kundendaten können aus dem EWR und/oder der Schweiz in Länder übermittelt werden, die entweder durch einen Angemessenheitsbeschluss der Europäischen Kommission oder durch die zuständigen Datenschutzbehörden in der Schweiz ("Angemessenheitsbeschlüsse") als Länder anerkannt wurden, die ein angemessenes Datenschutzniveau bieten, ohne dass weitere Garantien erforderlich sind.
7.4. Wenn die Verarbeitung von Kundendaten einen Transfer aus dem EWR und/oder der Schweiz in andere Länder umfasst, für die kein entsprechender Angemessenheitsbeschluss vorliegt ("Drittlandtransfer"), wird dieser Transfer nach Durchführung einer Transferfolgenabschätzung (nach EU- bzw. Schweizer Recht, sofern auf den Kunden anwendbar) durch Famly abgesichert. Dies geschieht durch den Abschluss und ggf. die Aushandlung einer Vereinbarung, die den passenden Transfermechanismus enthält. Reicht der Transfermechanismus nicht aus, um die übertragenen Kundendaten hinreichend zu schützen, werden zusätzliche Maßnahmen ergriffen, um sicherzustellen, dass die Kundendaten das gleiche Schutzniveau erhalten, wie es die DSGVO erfordert. Dazu gehören auch die in Anhang D aufgeführten Maßnahmen. Der Kunde erkennt an und stimmt zu, dass Famly den geeigneten Transfermechanismus in alle Vereinbarungen mit Unterauftragsverarbeitern in Drittländern ohne Angemessenheitsbeschluss integriert hat, um sicherzustellen, dass solche Drittlandtransfers den Anforderungen der DSGVO entsprechen.
8.1. Der Kunde kann die Kundendaten mit Hilfe der von den Diensten bereitgestellten Funktionen löschen. Wenn der Kunde nicht in der Lage ist, die Löschung und/oder Korrektur der Kundendaten vorzunehmen, muss Famly die Maßnahme durchführen, wenn der Kunde dies anordnet und es nach der DSGVO zulässig ist. Wenn ein Antrag auf Löschung von Kundendaten in Übereinstimmung mit der DSGVO oder eine entsprechende Einschränkung der Verarbeitung nicht möglich ist, wird Famly auf Anweisung des Kunden und sofern in der Vereinbarung nicht anders vereinbart, alle Kundendaten in Übereinstimmung mit der DSGVO löschen oder anderweitig unzugänglich machen oder sie dem Kunden zurückgeben.
8.2. Innerhalb von 60 Tagen nach Beendigung der Vereinbarung gibt Famly auf Anweisung des Kunden alle Kundendaten an den Kunden zurück oder löscht sie, sofern die DSGVO nichts anderes vorschreibt. Die Kundendaten werden unwiderruflich gelöscht und können nach diesen 60 Tagen nicht mehr abgerufen und dem Kunden zur Verfügung gestellt werden. In bestimmten, vom Kunden bestimmten Fällen werden die Kundendaten gespeichert. Die damit verbundenen Vergütungen und Schutzmaßnahmen werden gesondert vereinbart, sofern sie nicht bereits in der Vereinbarung festgelegt sind.
9.1. Wenn eine betroffene Person Ansprüche auf Berichtigung, Löschung, Widerspruch, Auskunft oder sonstige Rechte einer betroffenen Person gemäß den geltenden Datenschutzgesetzen geltend macht ("Antrag der betroffenen Person") und Famly die betroffene Person anhand der von ihr bereitgestellten Informationen dem Kunden zuordnen kann, wird Famly diese betroffene Person ohne unangemessene Verzögerung an den Kunden verweisen.
9.2. Famly wird den Kunden auf Grundlage der Anweisungen des Kunden im Rahmen des Möglichen bei der Erfüllung einer Anfrage der betroffenen Person unterstützen, wenn der Kunde dies nicht ohne die Hilfe von Famly tun kann. Famly haftet nicht in Fällen, in denen der Kunde die Anfrage der betroffenen Person nicht vollständig, korrekt oder zeitgerecht beantwortet.
10.1. Famly wird den Kunden unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, über jede unbefugte oder rechtswidrige Verarbeitung, Veränderung, den Verlust, die Zerstörung oder Offenlegung von oder den Schaden an beziehungsweise den Zugriff auf die Kundendaten ("Datenverstoß") informieren, sofern dieser in Famlys Verantwortungsbereich fällt. Dies schließt auch Datenverstöße bei von Famly beauftragten Unterauftragsverarbeitern ein, soweit Famly hiervon Kenntnis erlangt. Famly wird die erforderlichen Maßnahmen zur Sicherung der Kundendaten und zur Abmilderung möglicher negativer Folgen für die betroffene Person ergreifen. Famly wird diese Maßnahmen unverzüglich mit dem Kunden abstimmen.
10.2. Famly unterstützt den Kunden, soweit dies vernünftigerweise möglich ist und nur dann, wenn der Kunde dies nicht ohne die Hilfe von Famly tun kann, bei der Mitteilung von Datenverstößen an die betroffenen Personen und bei der Meldung von Datenverstößen an die zuständige Aufsichtsbehörde (vorausgesetzt, dass diese Unterstützung nicht zu einem Verstoß gegen die Vertraulichkeitsverpflichtungen von Famly gegenüber Dritten führt).
11.1. Soweit die erforderlichen Informationen Famly zur Verfügung stehen und der Kunde nicht anderweitig Zugang zu den erforderlichen Informationen hat, wird Famly den Kunden auf schriftlichen Aufforderung hin in angemessener Weise bei der Durchführung einer Datenschutz-Folgenabschätzung und bei vorherigen Konsultationen mit den zuständigen Aufsichtsbehörden unterstützen, soweit dies entsprechend der DSGVO erforderlich ist.
12.1. Famly wird sich jährlichen unabhängigen externen Prüfungen seiner Informationssicherheits- und Datenschutzmaßnahmen unterziehen.
12.2. Soweit nach der DSGVO erforderlich und auf schriftliche Anfrage des Kunden, stellt Famly dem Kunden alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung dieses AVV nachzuweisen. Darüber hinaus übermittelt Famly gegebenenfalls eine Kopie eines unabhängigen externen Prüfberichts. Diese Unterlagen stellen vertrauliche Informationen von Famly dar und sind entsprechend zu behandeln.
12.3. Der Kunde verpflichtet sich, seine Prüf- und Inspektionsrechte auszuüben, indem er Famly anweist, den in Ziffer 12.2 dieser Auftragsverarbeitungsvereinbarung (AVV) beschriebenen Prüfbericht weiterzugeben. Sollte der Kunde nach vernünftigem Ermessen zu dem Schluss kommen, dass eine Vor-Ort-Prüfung oder -Inspektion zur Überwachung der Einhaltung der technischen und organisatorischen Maßnahmen im Einzelfall oder der Einhaltung dieses AVV erforderlich ist, hat er das Recht, entsprechende Vor-Ort-Prüfungen oder -Inspektionen selbst durchzuführen oder von einem Prüfer (der kein direkter Wettbewerber von Famly oder ein unabhängiger Prüfer von Famly ist) durchführen zu lassen, vorausgesetzt, dass diese Prüfungen oder Inspektionen ordnungsgemäß durchgeführt werden: (i) während der regulären Geschäftszeiten und (ii) ohne die Geschäftstätigkeit von Famly unverhältnismäßig zu beeinträchtigen, (iii) nach angemessener vorheriger Ankündigung und Rücksprache mit Famly, (iv) vorbehaltlich (sofern nicht bereits in der Vereinbarung geregelt) der Unterzeichnung einer Vertraulichkeitsverpflichtung, insbesondere zum Schutz der Vertraulichkeit der implementierten technischen und organisatorischen Maßnahmen und Sicherheitsvorkehrungen. Die Vertraulichkeitsverpflichtungen hindern den Kunden nicht daran, seinen Rechenschaftspflichten als Verantwortlicher nachzukommen oder den Aufsichtsbehörden Bericht zu erstatten. Vor-Ort-Prüfungen oder -Inspektionen können unangemeldet erfolgen, wenn der Kunde eine rechtsverbindliche Aufforderung einer Aufsichtsbehörde oder einen dokumentierten Verdacht auf einen wesentlichen Verstoß gegen geltende Datenschutzgesetze hat. Die Begründung für eine unangemeldete Prüfung oder Inspektion ist bei deren Eintreffen vorzulegen.
12.4. Im Falle einer Vor-Ort-Prüfung und Inspektion trägt der Kunde seine eigenen Kosten und erstattet Famly die Kosten für seine internen Ressourcen, die für die Durchführung der Vor-Ort-Prüfung und Inspektion erforderlich sind (auf Grundlage von Zeit und Material gemäß der jeweils aktuellen Preisliste). Sollte sich bei der Prüfung und Inspektion herausstellen, dass Famly gegen seine Verpflichtungen aus der Vereinbarung oder diesem AVV verstoßen hat, wird Famly den Verstoß unverzüglich auf eigene Kosten beheben und alle vom Kunden geleisteten Zahlungen für die Kosten der internen Ressourcen von Famly im Zusammenhang mit der Vor-Ort-Prüfung und Inspektion des Kunden erstatten.
13.1. Famly speichert Kundendaten im Anwendungsprotokoll (die "Anwendungsprotokolldaten") für 6 bis 7 Monate.
13.2. Die Anwendungsprotokolldaten werden von Famly ausschließlich zur Demonstration der Einhaltung von regulatorischen und rechtlichen Anforderungen sowie zur Gewährleistung einer guten Funktionsweise der Plattform verwendet.
13.3. Der Zugang zu den Anwendungsprotokolldaten ist streng auf die oben genannten Anwendungsfälle beschränkt.
a) Sollte der Kunde Zugang zu den Anwendungsprotokolldaten für Zwecke der regulatorischen oder rechtlichen Einhaltung, des Schutzes, der Prüfung oder ähnlicher Zwecke benötigen, kann Famly dem Kunden Zugang gewähren.
13.4. Sollte der Kunde einen verknüpften Dienstanbieter beauftragen, wie in den Famly-Nutzungsbedingungen definiert, kann Famly eine Open-API bereitstellen für den Zugriff auf bestimmte Kundendaten, um die Funktionsweise der verknüpften Dienste zu ermöglichen. Der Kunde ist allein verantwortlich dafür, sicherzustellen, dass der verknüpfte Dienstanbieter ausreichenden Schutz für personenbezogene Daten gemäß der DSGVO bietet. Unter keinen Umständen wird ein verknüpfter Dienstanbieter als Unterauftragsverarbeiter von Famly für Kundendaten betrachtet.
14.1. Wenn eine betroffene Person gemäß Artikel 82 DSGVO Ansprüche gegen den Kunden geltend macht, wird Famly den Kunden in angemessener Weise bei der Verteidigung gegen solche Ansprüche unterstützen.
14.2. Die vorstehende Ziffer gilt entsprechend für Ansprüche, die von betroffenen Personen gegen Famly in Übereinstimmung mit Artikel 82 der DSGVO geltend gemacht werden.
15.1. Dieser AVV und die Vereinbarung bleiben bis 60 Tage nach Beendigung der Vereinbarung in Kraft, es sei denn, dieser AVV sieht Verpflichtungen vor, die über die Laufzeit der Vereinbarung hinausgehen.
16.1. Famly haftet nur für Datenschutzverletzungen, -kosten und -ausgaben, die dadurch entstehen, dass i) Famly seinen Verpflichtungen gemäß dieses AVV nicht nachkommt; ii) Famly seinen Verpflichtungen als Auftragsverarbeiter gemäß der DSGVO nicht nachkommt; oder iii) der bevollmächtigte Unterauftragsverarbeiter von Famly seinen Datenschutzverpflichtungen nicht nachkommt (unabhängig davon, ob diese vertraglich gegenüber Famly oder durch die DSGVO auferlegt wurden).
16.2. Die Gesamthaftung jeder Partei, die sich aus diesem AVV ergibt oder mit ihr zusammenhängt, unterliegt den Haftungsausschlüssen und -beschränkungen in Ziffer 15 der Vereinbarung, sofern nichts anderes vereinbart wurde.
17.1. Wenn die Kundendaten Gegenstand einer Durchsuchung und Beschlagnahme, eines Pfändungsbeschlusses, einer Beschlagnahme während eines Konkurs- oder Insolvenzverfahrens oder ähnlicher Ereignisse oder Maßnahmen durch Dritte werden, während sie sich in der Kontrolle von Famly befinden, wird Famly den Kunden unverzüglich über diese Maßnahmen informieren und die angemessenen Anweisungen des Kunden zur Wahrung der Vertraulichkeit der Kundendaten befolgen. Famly wird alle an solchen Maßnahmen beteiligten Parteien unverzüglich davon in Kenntnis setzen, dass sich die davon betroffenen Kundendaten im alleinigen Eigentum und Verantwortungsbereich des Kunden befinden, dass die Kundendaten in der alleinigen Verfügungsgewalt des Kunden stehen und dass der Kunde die verantwortliche Stelle im Sinne der DSGVO ist.
17.2. Ziffer 21 der Vereinbarung über das Recht von Famly, die Bedingungen der Vereinbarung zu ändern, gilt für Änderungen an diesem AVV, da dieser AVV Teil der Vereinbarung ist. Zur Klarstellung: Dies gilt nicht für die Benachrichtigung neuer Unterauftragsverarbeiter gemäß Ziffer 6.3.
17.3. Famly hat einen Datenschutzbeauftragten ernannt, der für Fragen der Privatsphäre und des Datenschutzes verantwortlich ist. Dieser Datenschutzbeauftragte ist unter der folgenden Adresse zu erreichen:
Attn. Datenschutzbeauftragter
Købmagergade 19, 2. tv.
1150 Kopenhagen K
Dänemark
privacy@famly.co
18.1. Die Vertragsparteien müssen einander eine Kontaktstelle für alle datenschutzrechtlichen Fragen benennen, die sich aus der Vereinbarung und diesem AVV ergeben oder mit ihnen in Zusammenhang stehen.
18.2. In solchen Fällen kann sich der Kunde an das Famly Security & Privacy Team unter privacy@famly.co wenden.
18.3. Der Kunde informiert Famly über seine Kontaktstelle ("Kundenkontaktstelle"). Diese Kontaktstelle ist der Hauptansprechpartner, wenn Famly bei Anfragen der betroffenen Personen behilflich ist, über Datenschutzvorfälle informiert und den Kunden über neue Unterauftragsverarbeiter oder Änderungen dieses AVV informiert.
19.1. Soweit nicht durch diesen AVV geändert, bleibt die Vereinbarung in vollem Umfang in Kraft und wirksam. Im Falle eines Konflikts hat die DSGVO Vorrang vor den Bestimmungen dieses AVV. Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein, so wird dadurch die Wirksamkeit und Durchführbarkeit der übrigen Bestimmungen dieses AVV nicht berührt.
19.2. Im Falle eines Konflikts oder Widerspruchs zwischen den folgenden Dokumenten hat die Rangfolge folgende Reihenfolge: (i) jeder Übertragungsmechanismus, (ii) Anhang D (Schweizer Bundesdatenschutzgesetz), Anhang E (Zusätzliche Ziffern zu Übertragungsmechanismen), (iii) diese AVV-Datenschutzvereinbarung und (iv) die Vereinbarung.
Ziffer 25 der Vereinbarung (Anwendbares Recht und Streitbeilegung) gilt für diesen AVV.
Art, Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien der betroffenen Personen:
Der Gegenstand und die Art der Verarbeitung von Kundendaten durch Famly bestehen in der Erbringung der Dienstleistungen gemäß der Vereinbarung und den unten aufgeführten Zwecken:
Dauer der Verarbeitung:
Die allgemeine Aufbewahrungsfrist ist in Ziffer 3.2 des AVV festgelegt. In der nachstehenden Tabelle sind die spezifischen Aufbewahrungsfristen für bestimmte autorisierte Unterauftragsverarbeiter aufgeführt:
Wie in Ziffer 6.2 dargelegt, erklärt sich der Kunde damit einverstanden, dass die folgenden Unterauftragsverarbeiter für die Zwecke der Verarbeitung der Kundendaten im Rahmen dieses AVV autorisiert sind und ihr Einverständnis dazu geben
*Twilio verfügt über verbindliche Unternehmensregeln (Binding Corporate Rules, BCR), die von einer Aufsichtsbehörde innerhalb der EU genehmigt wurden. Dies bedeutet, dass Twilio an die DSGVO in allen seinen weltweiten Operationen gebunden ist. Seine genehmigten Prozessor-BCRs verpflichten es, Daten von Drittanbieter-Controllern, die sich in der EU befinden, in Übereinstimmung mit der DSGVO zu verarbeiten
Famly hat bestimmte technische und organisatorische Sicherheitsmaßnahmen ergriffen, um die Einhaltung der geltenden DSGVO zu gewährleisten. Diese Maßnahmen dienen dazu, eine unzulässige Zerstörung, Veränderung, Offenlegung, einen unzulässigen Zugriff und andere unzulässige Formen der Verarbeitung von Kundendaten zu verhindern.
Famly behält sich das Recht vor, die durchgeführten Maßnahmen und Sicherheitsvorkehrungen zu ändern, vorausgesetzt, dass das Sicherheitsniveau nicht geringer ist als ursprünglich vereinbart. Im Falle erheblicher Änderungen der Maßnahmen wird Famly den Kunden über diese Änderungen informieren.
Unbefugter Zugriff (im physischen Sinn) ist zu verhindern.
Technische und organisatorische Maßnahmen zur Zugangskontrolle zu Räumen und Einrichtungen, insbesondere zur Berechtigungsprüfung:
Unbefugter Zugriff auf die IT-Systeme ist zu verhindern.
Technische (ID-/Passwortsicherheit) und organisatorische (Benutzerdaten-stamm) Maßnahmen zur Benutzeridentifikation und -authentifizierung:
Aktivitäten im IT-System, die nicht unter die zugewiesenen Zugriffsrechte fallen, sind zu verhindern.
Anforderungsgerechte Definition des Autorisierungskonzepts und der Zugriffsrechte sowie Überwachung und Protokollierung der Zugriffe:
a) Autorisierung
b) Login, Benutzername und Passwörter
c) Vertraulichkeit
Daten, welche für verschiedene Zwecke erhoben werden, sind getrennt zu verarbeiten.
Maßnahmen zur getrennten Verarbeitung (Speicherung, Änderung, Löschung, Übermittlung) von Daten für verschiedene Zwecke:
Aspekte bei der Übertragung personenbezogener Daten müssen überprüft werden: elektronische Übermittlung, Datenübertragung, Übertragungskontrolle.
Maßnahmen zur Übertragung, Übermittlung und Austausch oder Speicherung von Daten auf Datenträgern (manuell oder elektronisch) und zur nachträglichen Prüfung:
Die vollständige Dokumentation der Datenverwaltung und -pflege muss gewährleistet werden.
Maßnahmen zur nachträglichen Kontrolle, ob Daten erfasst, geändert oder entfernt (gelöscht) wurden und von wem:
Die Daten müssen vor unbeabsichtigter Zerstörung oder Verlust geschützt werden.
Maßnahmen zur Gewährleistung der Datensicherheit (physisch/logisch):
Sicherheitsverletzungsverfahren
Für Kunden, die in der Schweiz ansässig sind oder dort die Dienste in Anspruch nehmen, gilt der folgende Anhang vollständig und wird akzeptiert.
a. Dieser Anhang verändert den AVV einschließlich Anhang 1, an den er ausschließlich im Fall angehängt wird, dass der Kunde, der den AVV akzeptiert, ein Einwohner der Schweizerischen Eidgenossenschaft ist oder die Dienste in ihrem Gebiet nutzt.
a. Unter Vorbehalt von Ziffer 1 dieses Anhangs 2 gilt dieser Anhang 2 und alle durch ihn vorgenommenen Änderungen des Textes des AVV als Teil dieses AVV und werden so ausgelegt, verstanden und interpretiert, als wären sie ursprünglich in diesem AVV verfasst worden. Jegliche Ziffern, Abschnitte, Gebühren, Bestimmungen, Anforderungen oder andere Bestimmungen in diesem AVV, die nicht durch diesen Anhang 2 geändert wurden, gelten entsprechend.
a. Alle Verweise auf die DSGVO in diesem AVV werden durch Verweise auf das nDSG ersetzt. Die Verweise auf Artikel 82 in den Ziffern 4.6 und 5.3 des AVV werden als Verweis auf Artikel 32 des nDSG gelesen.
b. Alle Verweise auf eine Aufsichtsbehörde beziehen sich auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten der Schweizerischen Eidgenossenschaft.
c. Alle anderen ähnlichen Definitionsänderungen, bei denen die Änderung des Textes des AVV zur Sicherstellung der Einhaltung erforderlich ist und die tatsächlich von Famly vorgenommene Maßnahme Famly faktisch mit dem nDSG in Einklang bringen würde, gelten als vorgenommen.
a. Ziffer 10.1 des AVV wird vollständig durch den folgenden Text ersetzt:
Famly wird den Kunden unverzüglich benachrichtigen, sobald Famly Kenntnis von einer unbefugten oder rechtswidrigen Verarbeitung, Änderung, Verlust, Zerstörung oder Offenlegung von, oder Schaden oder Zugriff auf die Kundendaten innerhalb des Verantwortungsbereichs von Famly, bei einem etwaigen Auftragsverarbeiter, der möglicherweise Kundendaten in seinem Auftrag verarbeitet ("Datenverstoß"), erlangt. Famly wird die erforderlichen Maßnahmen zur Sicherung der Kundendaten und zur Minderung möglicher negativer Folgen für die betroffenen Personen ergreifen. Famly wird diese Bemühungen in angemessener Weise mit dem Kunden koordinieren.
1. Personenbezogene Daten werden sowohl während der Übertragung als auch im Ruhezustand unter Verwendung von Verschlüsselungstechnologie nach Industriestandard verschlüsselt.
2. Famly wird sich, soweit dies nach geltendem Recht zulässig ist, jeder Anfrage gemäß Abschnitt 702 des Foreign Intelligence Surveillance Act ("FISA") widersetzen.
3. Famly wird angemessene rechtliche Mechanismen nutzen, um jegliche Anforderungen zum Datenzugriff im Rahmen des nationalen Sicherheitsprozesses, die im Zusammenhang mit den Daten des Kunden eingehen könnten, anzufechten.
4. Spätestens zum Zeitpunkt, an dem Ihre Zustimmung zum AVV wirksam wird, wird Famly Sie über jegliche bindende rechtliche Forderung für die von ihr erhaltenen personenbezogenen Daten informieren, einschließlich nationaler Sicherheitsanordnungen und -anweisungen, die jeden Prozess gemäß Abschnitt 702 des FISA umfassen, es sei denn, dies ist nach geltendem Recht untersagt.
5. Famly wird sicherstellen, dass sein Datenschutzbeauftragter die Aufsicht über den Ansatz von Famly und seinen verbundenen Unternehmen bei internationalen Datenübertragungen hat.
