Famly DSGVO Auftragsverarbeitungsvertrag

Version: 2.7

Zuletzt aktualisiert:

20/12/2024

In diesem Dokument:

1. Hintergrund2. Rollen und Zuständigkeiten3. Umfang und Spezifikation der Verarbeitung4. Pflichten von Famly5. Pflichten des Kunden6. Weiterverarbeitung7. Standort der Kundendaten und Übermittlung an Drittländer8. Aufbewahrung von Kundendaten9. Kündigung, Beendigung und Rückgabe oder Löschung von Kundendaten10. Anfrage der betroffenen Person11. Datenvorfall12. Datenschutz-Folgenabschätzung und Konsultation der Aufsichtsbehörden13. Audits14. Anwendungsprotokoll und verknüpfte Dienste15. Haftung und Haftungsbeschränkungen16. Informationspflichten, Änderungen und Datenschutzbeauftragter17. Kontaktperson18. Abschließende Vereinbarung19. Geltendes Recht & StreitbeilegungAnhang 1 - Technische und organisatorische Sicherheitsmaßnahmen (Artikel 32 der DSGVO)Anhang 2 – Neues Bundesgesetz über den Datenschutz (nDSG)Anhang 3 – Zusatzklauseln zu den Übertragungsmechanismen

Der Kunde

(nachstehend "Kunde")

und

Famly ApS, Købmagergade 19, 2tv., 1150 Kopenhagen, Dänemark

(im Folgenden "Famly")

(jeweils eine "Partei" und gemeinsam die "Parteien")

diesen Vertrag über die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Kunden geschlossen haben.

Dieser Auftragsverarbeitungsvertrag (dieser “AVV”) ist ab dem Datum des Vertrages wirksam.


Definitionen

"Anfrage der betroffenen Person" hat die in Klausel 10.1 angegebene Bedeutung;

"Anwendungsprotokoll" bezeichnet das Protokoll, das für die Speicherung des Zugriffs auf Kundendaten verwendet wird;

"Autorisierte Unterauftragsverarbeiter" sind die in Klausel 6.2 aufgeführten Unterauftragsverarbeiter, die von Zeit zu Zeit geändert werden können;

"AVV" bezeichnet diesen Auftragsverarbeitungsvertrag, einschließlich aller beigefügten oder in Bezug genommenen Anhänge und einschließlich aller künftigen schriftlichen Änderungen und Ergänzungen (wenn zutreffend);

"Datenverletzung" hat die in Klausel 11.1 angegebene Bedeutung;

"Datenzentren" bezeichnet die Datenzentren, die für das Hosting und die Speicherung von Kundendaten auf der Famly-Plattform verwendet werden;

"Dienste" bezeichnet die Dienste der Famly-Plattform, die im Rahmen der Vereinbarung und in Übereinstimmung mit diesem Auftragsverarbeitungsvertrag beschrieben und bereitgestellt werden; 

"DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EU;

"EWR" bezeichnet den Europäischen Wirtschaftsraum und die Länder, die dem Vertrag über den Europäischen Wirtschaftsraum beigetreten sind;

"Kundendaten" bezeichnet die personenbezogenen Daten (wie in der DSGVO definiert) über Personen, die Famly vom Kunden oder im Namen des Kunden gemäß der Vereinbarung zur Verarbeitung für die Erbringung der Dienstleistungen zur Verfügung gestellt werden;

"Kundenkontaktstelle" hat die in Klausel 16.3 angegebene Bedeutung;

"Unterauftragsverarbeiter" hat die in Klausel 6.1 angegebene Bedeutung;

"Übertragungsmechanismen" bezeichnet die von der Europäischen Kommission am 4. Juni 2021 genehmigten Standardvertragsklauseln (von Auftragsverarbeiter zu Auftragsverarbeiter), wie sie von Zeit zu Zeit geändert werden, Datenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ("EDÖB") genehmigt wurden, Angemessenheitsbeschlüsse des EDÖB und/oder der Europäischen Kommission und/oder andere derart rechtlich genehmigte Mechanismen zur Sicherstellung der Sicherheit und des Schutzes von Datenübertragungen aus Drittländern außerhalb des EWR/Schweiz.

"Vertrag" bezeichnet den Hauptvertrag (Geschäftsbedingungen und Famly-Angebot), der zwischen dem Kunden und Famly abgeschlossen wurde, in der jeweils gültigen Fassung.

Die Begriffe "Verantwortlicher", "Auftragsverarbeiter", "Verarbeitung", "betroffene Person", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten" und "Aufsichtsbehörde" haben dieselbe Bedeutung wie in der DSGVO. Alle in Großbuchstaben geschriebenen Begriffe, die hier nicht anders definiert sind, haben die in dem Vertrag festgelegte Bedeutung. Jeder Verweis auf schriftlich oder in Schriftform schließt E-Mail ein.

1. Hintergrund

1.1. Die Parteien haben den Vertrag geschlossen, wobei der Kunde Famly mit der Erbringung der Dienstleistungen beauftragt hat. Dieser AVV wird durch Verweis in den Vertrag aufgenommen.

1.2. Zum Zweck der Erbringung der Dienstleistungen im Rahmen des Vertrages wird Famly während der Laufzeit dieser AVV Kundendaten verarbeiten. Dieser AVV gilt für alle Aktivitäten im Zusammenhang mit dem Vertrag, in dessen Rahmen die MitarbeiterInnen oder Beauftragten von Famly die Kundendaten im Namen des Kunden verarbeiten, wie in Klausel 3 dargelegt.

2. Rollen und Zuständigkeiten

2.1. Die Parteien vereinbaren, dass der Kunde der Verantwortliche für die Kundendaten und Famly der Auftragsverarbeiter der Kundendaten ist, es sei denn, Famly handelt als Verantwortlicher für die Verarbeitung der Kundendaten in Übereinstimmung mit Klausel 2.3.

2.2. Der Kunde als Verantwortlicher beauftragt Famly mit der Durchführung der in diesem AVV beschriebenen Verarbeitungstätigkeiten. Der Kunde hat anschließend das Recht, schriftlich oder in einem maschinenlesbaren Format einzelne Anweisungen zu ändern, zu ergänzen oder zu ersetzen, indem er diese Anweisungen an die von Famly benannte Kontaktstelle übermittelt. Anweisungen, die nicht in diesem AVV vorgesehen oder von diesem abgedeckt sind, sind als Änderungswünsche zum AVV zu behandeln. Der Kunde hat jede mündlich erteilte Weisung unverzüglich schriftlich zu bestätigen.

2.3. Famly kann als unabhängiger Verantwortlicher einige Kundendaten für seine eigenen legitimen Geschäftszwecke verarbeiten, solange dies nach para 35 SGB I zulässig ist, gegebenenfalls nur dann, wenn die Verarbeitung für einen der folgenden Zwecke unbedingt erforderlich und verhältnismäßig ist:

a) Gewährung des Zugangs zur Plattform (Verarbeitung von Benutzernamen und Passwörtern der autorisierten NutzerInnen); was erforderlich ist, um einen Vertrag mit dem Kunden abzuschließen und diesen zu erfüllen;

b) Rechnungslegung, Verwaltung der Beziehung- und Korrespondenz mit dem Kunden, z. B. Aktualisierungs- und andere Informations- oder Marketing-E-Mails (Name, E-Mail-Adresse, Telefonnummer, Titel des Administrator-Nutzers- und des MitarbeiterInnen-Nutzers); dies ist erforderlich, um den Vertrag mit dem Kunden abzuschließen und die Beziehung mit Kunden aufrechtzuerhalten;

c) Überwachung, Verhinderung und Aufdeckung von Missbrauch oder betrügerischen Aktivitäten auf der Plattform, dies ist erforderlich für die Verbesserung der Plattform;

d) Analyse der Nutzung der Plattform als anonymisierte aggregierte Daten, die erforderlich sind, um die Qualität des Supports und/oder den Erfolg der Leistungen zu verbessern und die Plattform weiterzuentwickeln sowie um Vergleichsdaten (aggregiert und anonymisiert) zu sammeln, die für die Weiterentwicklung der Plattform erforderlich sind. Famly versichert, dass die Daten gemäß der Richtlinien des EDSA anonymisiert sind. Soweit solche Richtlinien nicht vorhanden sind, wird der „Praxisleitfaden zum Anonymisieren personenbezogener Daten“ der Stiftung Datenschutz verwendet.

Wenn Famly als unabhängiger Verantwortlicher agiert, ist Famly verantwortlich für die Einhaltung der DSGVO. Famly wird die Kundendaten nicht für andere Zwecke als die oben aufgeführten berechtigten Interessen verarbeiten. Weitere Details zu den Verarbeitungstätigkeiten sind in der Datenschutzrichtlinie von Famly näher beschrieben.

3. Umfang und Spezifikation der Verarbeitung

3.1. Der Gegenstand und die Art der Verarbeitung von Kundendaten durch Famly ist die Erbringung der Dienstleistungen gemäß dem Vertrag und den in diesem AVV festgelegten Zwecken. Der Kunde und/oder seine autorisierten NutzerInnen laden die Kundendaten auf die Plattform hoch, und die Arten der verarbeiteten Kundendaten hängen von der Nutzung der Dienste durch den Kunden ab. Die Art, der Zweck der Verarbeitung, die Arten der Kundendaten und die Kategorien der betroffenen Personen, die im Rahmen dieses AVV erarbeitet werden können, werden in der nachstehenden Tabelle näher erläutert:

Art der Daten
Zweck (Gegenstand) der Verarbeitung
Kategorien betroffener Personen
Stammdaten (wie Name, Geburtsdatum, Geburtsort, Sozialversicherungsnummer, Geschlecht, Sprachen, Ernährungsgewohnheiten usw.)
Sicherstellen, dass der Kunde über alle relevanten Informationen des Kindes verfügt, um das Geschäft zu führen und die gesetzlichen Anforderungen zu erfüllen.
Kinder
Sensible Daten (wie Religion, ethnische Zugehörigkeit, Allergien, Impfstoffe, Medikamente, Verletzungen/Unfallberichte)
Sicherstellen, dass der Kunde über alle relevanten Informationen des Kindes verfügt, um das Geschäft zu führen und die gesetzlichen Anforderungen zu erfüllen.
Kinder
Anwesenheitsdaten (wie Krankheitstage, Urlaub, An- und Abmeldedaten usw.)
Zum Speichern von Anwesenheitsdaten und Erstellen von Anwesenheitsberichten.
Kinder
Tätigkeitsdaten (z. B. Einzelheiten zu Lern- oder Entwicklungsaktivitäten usw.)
Um die Aktivitäten des Kindes digital verfolgen zu können, z. B. Schlafen, Ausflüge, Essen, Lernen.
Kinder
Fotos und Dateien
Um Fotos von Kindern und andere notwendige Dateien, die Kundendaten enthalten können, mit den Eltern/Erziehungsberechtigten zu teilen. Möglicherweise sind auch MitarbeiterInnen auf den Fotos zu sehen.
Kinder, MitarbeiterInnen des Kunden
Kontaktdaten (wie Name, Adresse, E-Mail-Adresse, Telefonnummer)
Um sicherzustellen, dass die Eltern kontaktiert werden können.
Eltern/Erziehungsberechtigte/anderes Familienmitglied
Finanzielle Informationen (z. B. Bankverbindung, Rechnungen usw.)
Der Kunde muss in der Lage sein, relevante Finanzinformationen an einem Ort zu speichern, um dann Rechnungen usw. ausstellen zu können.
Eltern/Erziehungsberechtigte/anderes Familienmitglied
Angaben zu MitarbeiterInnen (z. B. Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Qualifikationen und Zeugnisse, Angaben zu den nächsten Angehörigen usw.)
Aufzeichnungen über MitarbeiterInnen zu führen, sie zu kontaktieren und Notfalldaten zu speichern
MitarbeiterInnen des Kunden
Anwesenheitsdaten (Krankheitstage und Urlaub)
Zum Speichern von Anwesenheitsdaten und Erstellen von Anwesenheitsberichten.
MitarbeiterInnen des Kunden
Jegliche Kundendaten oder andere persönliche Daten, die in Notizen enthalten sind oder in privaten oder Teamnachrichten über die Plattform geteilt werden
Erforderlich, damit die Kunden die Funktionen der Plattform nutzen können.
MitarbeiterInnen des Kunden, Eltern/Erziehungsberechtigte/andere Familienmitglieder, Kinder
Alle Kundendaten oder andere personenbezogene Daten, die mit dem Kundensupport von Famly oder den Teams zur Kundenbetreuung geteilt werden.
Erforderlich zur Bereitstellung von Support-Dienstleistungen.
MitarbeiterInnen der Kunden, Eltern/Erziehungsberechtigte/andere Familienangehörige, Kinder
Bestimmte Zahlungsinformationen (Name, E-Mail, Adresse, Zahlungsmethode, letzten 4 Ziffern der Kartennummer, Ablaufdatum, einmalige Zahlung oder Einstellung zukünftiger Zahlungen) sowie jegliche Dokumentation, die personenbezogene Daten im Zusammenhang mit Zahlungsstreitigkeiten enthält.
Erforderlich, um die In-App-Zahlungsdienste bereitzustellen, und um den Zahlenden zu ermöglichen, ihre Zahlungsmethoden einzusehen und zu verwalten sowie bei Zahlungsstreitigkeiten zu unterstützen.
Eltern/Erziehungsberechtigte, die Zahlungen über die In-App-Zahlungsfunktion tätigen.

3.2. Die Dauer der Verarbeitung entspricht dem im Einklang mit dem Vertrag und dem AVV festgelegten Zeitraum, einschließlich der Klauseln 8-9.

4. Pflichten von Famly

4.1. Einhaltung der dokumentierten Anweisungen. Außer in den Fällen, in denen die DSGVO dies ausdrücklich zulässt, wird Famly Kundendaten nur insoweit verarbeiten, als dies für die Erfüllung des Vertrags unbedingt erforderlich ist, und ausschließlich in Übereinstimmung mit den Anweisungen des Kunden in diesem AVV und der DSGVO.

4.2. Beanstandung von Anweisungen. Wenn Famly der Ansicht ist, dass eine Anweisung gegen die DSGVO verstößt, wird Famly den Kunden unverzüglich von dieser Ansicht in Kenntnis setzen. Famly ist berechtigt, die Ausführung einer solchen Anweisung auszusetzen, bis der Kunde die Anweisung bestätigt oder abändert.

4.3. Technische und organisatorische Maßnahmen. Famly ist für die Umsetzung technischer und organisatorischer Maßnahmen verantwortlich, um einen angemessenen Schutz der Kundendaten zu gewährleisten. Diese Maßnahmen müssen die Anforderungen der DSGVO erfüllen und die kontinuierliche Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und Dienste gewährleisten. Diese Maßnahmen sind in Anhang 1 des AVV beschrieben. Famly behält sich das Recht vor, die implementierten Maßnahmen und Sicherheitsvorkehrungen zu ändern, vorausgesetzt, das Sicherheitsniveau ist nicht geringer als ursprünglich vereinbart. Im Falle erheblicher Änderungen der Maßnahmen wird Famly den Kunden von den Änderungen in Kenntnis setzen. 

Famly gewährleistet, dass das Unternehmen seinen Verpflichtungen gemäß der DSGVO nachkommt und ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung eingeführt hat.

4.4. Vertraulichkeit. Famly wird die Kundendaten vertraulich behandeln. Diese Verpflichtung besteht ohne zeitliche Begrenzung und überdauert die Beendigung oder das Auslaufen des Vertrags und dieses AVV. Famly gewährleistet, dass die Kundendaten nur an Personen weitergegeben werden, die zur Verarbeitung der Kundendaten auf einer Need-to-know-Basis befugt sind (einschließlich MitarbeiterInnen). Famly sichert zu, dass es allen MitarbeiterInnen, die an der Verarbeitung der Kundendaten beteiligt sind, und anderen Personen, die in den Verantwortungsbereich von Famly fallen, untersagt ist, Kundendaten außerhalb des Rahmens der Kundenanweisungen zu verarbeiten. Darüber hinaus gewährleistet Famly, dass alle Personen, die zur Verarbeitung der Kundendaten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

4.5. Löschung, Korrektur oder Rückgabe von Kundendaten. Famly ist verpflichtet, Kundendaten zu korrigieren oder zu löschen, wenn der Kunde dies anordnet und es nach der DSGVO zulässig ist. Wenn ein Antrag auf Löschung von Kundendaten in Übereinstimmung mit der DSGVO oder eine entsprechende Einschränkung der Verarbeitung nicht möglich ist, wird Famly auf Anweisung des Kunden und sofern im Vertrag nicht anders vereinbart, alle Kundendaten in Übereinstimmung mit der DSGVO vernichten oder anderweitig unzugänglich machen oder sie dem Kunden zurückgeben.

4.6. Unterstützung bei der Abwehr von Rechtsansprüchen. Wenn eine betroffene Person gemäß Artikel 82 DSGVO Ansprüche gegen den Kunden geltend macht, wird Famly den Kunden in angemessener Weise bei der Verteidigung gegen solche Ansprüche unterstützen.

5. Pflichten des Kunden

5.1. Einhaltung der DSGVO. Der Kunde ist allein für die Einhaltung der DSGVO verantwortlich, einschließlich, aber nicht beschränkt auf die Rechtmäßigkeit der Weitergabe von Kundendaten an Famly und die Rechtmäßigkeit der Verarbeitung der Kundendaten durch Famly im Namen des Kunden. Der Kunde garantiert, dass er rechtmäßig befugt ist, die Kundendaten zu verarbeiten und an Famly weiterzugeben. Der Kunde ist dafür verantwortlich, seine jeweiligen Datenschutzhinweise, Mitteilungen und Erklärungen zu pflegen und zu aktualisieren, sowie Famly darin als seinen Auftragsverarbeiter zu erwähnen.

5.2. Technische und organisatorische Maßnahmen. Der Kunde ist mit den in Anhang 1 aufgeführten technischen und organisatorischen Maßnahmen vertraut und erklärt sich vorbehaltlich der Ziffer 4.3 damit einverstanden, dass diese Maßnahmen ein dem Risiko angemessenes Sicherheitsniveau gewährleisten.

5.3. Unterstützung bei der Abwehr von Rechtsansprüchen. Die obige Klausel 4.6 gilt entsprechend für Ansprüche, die von betroffenen Personen gegen Famly in Übereinstimmung mit Artikel 82 der DSGVO geltend gemacht werden.

6. Weiterverarbeitung

6.1. Der Kunde ermächtigt Famly grundsätzlich, Unterauftragsverarbeiter gemäß dieser Klausel 6 zu benennen. Der Kunde erkennt an, dass Famly Subunternehmer einsetzt, die als Unterauftragsverarbeiter im Auftrag des Kunden handeln ("Unterauftragsverarbeiter").

6.2. Der Kunde erklärt sich damit einverstanden, dass die folgenden Unterauftragsverarbeiter für die Zwecke der Verarbeitung der Kundendaten im Rahmen dieses AVV zugelassen sind und erteilt hierfür seine ausdrückliche Zustimmung:

Autorisierte Unterauftragsverarbeiter
Unterauftragsverarbeiter
Ort der Verarbeitung
Beschreibung der untervergebenen Dienstleistung
Verarbeitete Kundendaten
Amazon Web Services Inc.
Deutschland und sehr begrenzte Verarbeitung in Irland
Datenzentrum für das Hosting der Plattform.
Alle Arten und Kategorien von Kundendaten, die in Klausel 3.1 aufgeführt sind
Rsync.net Inc.
Zürich, Schweiz
Zur Datensicherung. Alle Daten werden von Famly mit einem Private-Key verschlüsselt, bevor sie an den Dienstleister zur Datensicherung übertragen werden. Der Dienstleister verfügt nicht über den Private-Key und kann somit die Daten nicht entschlüsseln.
Alle Arten und Kategorien von Kundendaten, die in Klausel 3.1 aufgeführt sind.
Intercom Inc.
Nord-Virginia, USA
Wird für die Abwicklung der schriftlichen Kundensupport-Interaktionen von Famly verwendet. Das KI-Tool von Intercom, Fin, ist aktiviert. Die Verarbeitung unterliegt einem Auftragsverarbeitungsvertrag, der die entsprechenden Übertragungsmechanismen enthält.
Personenbezogene Daten auf dieser Plattform sind sehr begrenzt. Nur die Kontaktdaten (Name, E-Mail) der Person, die um Hilfe bittet, und alle Kundendaten (z. B. Unterlagen), die von dieser Person im Support-Chat mitgeteilt werden.
Planhat AB
Schweden & Irland
Für Kundenerfolg und Supportdienste
Personenbezogene Daten, um persönlichen Support zu leisten. Nutzungsstatistiken.
Google Cloud EMEA Limited (Dieser Unterauftragsverarbeiter ist ein autorisierter Unterauftragsverarbeiter, wenn sich der Kunde für die Famly Übersetzungsfunktion Entschieden hat)
EU Region
Übersetzungsdienste gemäß den zusätzlichen Produktbedingungen.
Kundendaten, die im Neuigkeitenbereich, Nachrichtenbereich/direkten Nachrichten und in Beobachtungsbeiträgen auf der Plattform enthalten sein können und die vom Famly-Nutzenden übersetzt werden.
DeepL SE (Dieser Unterauftragsverarbeiter ist ein autorisierter Unterauftragsverarbeiter, wenn der Kunde die Famly-Übersetzungsfunktion aktiviert hat).
Finnland
Übersetzungsdienste gemäß den zusätzlichen Produktbedingungen
Kundendaten, die im Neuigkeitenbereich, Nachrichtenbereich/direkten Nachrichten und in Beobachtungsbeiträgen auf der Plattform enthalten sein können und die vom Famly-Nutzenden übersetzt werden.
Stripe Payments Europe Ltd. (dieser Unterauftragsverarbeiter ist ein autorisierter Unterauftragsverarbeiter, wenn der Kunde die In-App-Zahlungsfunktion nutzt).
Die Vereinigten Staaten von Amerika
Zahlungsabwicklung gemäß den zusätzlichen Produktbedingungen. Die Verarbeitung unterliegt einem Auftragsverarbeitungsvertrag, der die entsprechenden Übertragungsmechanismen enthält.
Daten, die von Famly an Stripe übertragen werden, umfassen Angaben zur zahlenden Person (Name, E-Mail, Adresse, weitere Daten, die für die Zahlungsabwicklung erforderlich sind), Dokumentation (die personenbezogene Daten enthalten kann), die vom Kunden an Famly im Zusammenhang mit Zahlungsstreitigkeiten bereitgestellt wird, sowie potenzielle Dokumente im Zusammenhang mit KYC- und AML-Vorschriften. Famly verarbeitet KEINE vollständige Kreditkartennummer. Diese Informationen werden direkt an Stripe übermittelt und unterliegen den Bedingungen zwischen dem Kunden und Stripe.
Zoom Video Communications Inc.
Die Vereinigten Staaten von Amerika, aber Aufnahmen werden in Deutschland gespeichert.
Für die Kommunikation mit Kunden per Videoanruf. Videoanrufe können aufgezeichnet werden, z. B. wenn der Kunde sie intern zu Schulungszwecken weitergeben möchte. Die Verarbeitung unterliegt einem Auftragsverarbeitungsvertrag, der die entsprechenden Übertragungsmechanismen enthält.
Name der MitarbeiterInnen-Nutzer und möglicherweise andere Kundendaten, die von dieser Person per Videoanruf weitergegeben werden.
Dialpad Inc.
Die Vereinigten Staaten von Amerika, aber Aufnahmen werden in der EU gespeichert
Wird für den telefonischen Kundensupport verwendet. Famly kann nach ausdrücklicher Zustimmung Telefongespräche zu Qualitäts- und Schulungszwecken aufzeichnen und/oder transkribieren. In solchen Fällen handelt Famly als der für die Verarbeitung Verantwortliche. Die Verarbeitung unterliegt einem Auftragsverarbeitungsvertrag, der die entsprechenden Übertragungsmechanismen enthält. Darüber hinaus ist Dialpad ein zertifiziertes Unternehmen gemäß dem Datenschutzrahmen EU-USA.
Namen von MitarbeiterInnen-Nutzer und möglicherweise andere Kundendaten, die von dieser Person per Telefonanruf weitergegeben werden.
Joincube, Inc. (“Beamer”)
Die Vereinigten Staaten von Amerika
Verwendung zur Kommunikation mit NutzerInnen, wenn Updates auf der Plattform durchgeführt werden, und zur Einholung von Feedback zu diesen Updates. Sehr begrenzte Informationen werden von Beamer verarbeitet. Die Verarbeitung unterliegt einer Auftragsverarbeitungsvertrag, die die geeigneten Übertragungsmechanismen einschließt.
Vollständiger Name, E-Mail und Benutzer-ID von NutzerInnen, die Feedback einreichen.
Twilio Ireland Limited (Nur USA-Kunden)
Die Vereinigten Staaten von Amerika
Wird verwendet, um Eltern über Neuigkeitenposts und Nachrichten zu benachrichtigen, die von VertreterInnen des Kunden für die Benachrichtigung per SMS markiert wurden. Die Verarbeitung erfolgt gemäß einer Auftragsverarbeitungsvertrag, die die entsprechenden Übertragungsmechanismen einschließt.
Vollständiger Name, Telefonnummer der Eltern. Jegliche personenbezogenen Daten, die in einem relevanten c oder einer Nachricht enthalten sind.
OpenAI Ireland Ltd. für Kunden, die in EEA/Schweiz ansässig sind (dieser Unterauftragsverarbeiter ist ein autorisierter Unterauftragsverarbeiter nur, wenn der Kunde KI-Funktionen aktiviert hat, die auf der Platform bereitgestellt werden)
Die Vereinigten Staaten von Amerika
Wird verwendet, um die OpenAI API KI-Funktionen auf der Plattform anzubieten, gemäß den zusätzlichen Produktbedingungen. Die Verarbeitung unterliegt einem Auftragsverarbeitungsvertrag, der die entsprechenden Übertragungsmechanismen enthält.
Alle Kundendaten, die dem Dienst übermittelt oder von ihm bereitgestellt werden und von einem KI-Feature des Kunden oder seiner autorisierten NutzerInnen verwendet werden, um generative Ausgaben bereitzustellen, wie z. B. die Umformulierung von Texten, Zusammenfassungen von Informationen auf der Plattform, Empfehlungen usw.
Famly Inc.
Washington DC, USA
Tochtergesellschaft von Famly ApS. Kundendaten können einem begrenzten MitarbeiterInnenkreis zugänglich gemacht werden, damit sie EU-/UK-Kunden Support-Dienstleistungen anbieten können. Die Kundendaten sind nur für sie zugänglich und werden NICHT auf einen Server in den USA übertragen.
Alle Arten und Kategorien von Kundendaten gemäß Klausel 3.1 festgelegt.
Famly GmbH.
Berlin, Deutschland
Tochtergesellschaft von Famly ApS. Die Kundendaten können für eine begrenzte Anzahl von MitarbeiterInnen zugänglich sein, damit diese Kundendienstleistungen erbringen können. Die Kundendaten sind nur zugänglich und werden NICHT auf einen separaten Server übertragen.
Alle Arten und Kategorien von Kundendaten, die in Klausel 3.1 aufgeführt sind.
Famly Ltd.
Vereinigtes Königreich
Tochtergesellschaft von Famly ApS. Kundendaten können einem begrenzten MitarbeiterInnenkreis zugänglich gemacht werden, damit sie EU-/UK-Kunden Support-Dienstleistungen anbieten können. Die Kundendaten sind nur für sie zugänglich und werden NICHT auf einen Server im Vereinigten Königreich übertragen.
Alle Arten und Kategorien von Kundendaten, die in Klausel 3.1 aufgeführt sind.

Twilio verfügt über verbindliche Unternehmensregeln (Binding Corporate Rules, BCR), die von einer Aufsichtsbehörde innerhalb der EU genehmigt wurden. Dies bedeutet, dass Twilio an die DSGVO in allen seinen weltweiten Operationen gebunden ist. Seine genehmigten Prozessor-BCRs verpflichten es, Daten von Drittanbieter-Controllern, die sich in der EU befinden, in Übereinstimmung mit der DSGVO zu verarbeiten.

6.3. Bevor Famly einen neuen Unterauftragsverarbeiter einsetzt oder einen Unterauftragsverarbeiter ersetzt, wird Famly den Ansprechpartner des Kunden mit einer Frist von mindestens dreißig (30) Tagen im Voraus schriftlich darüber informieren. Der Kunde hat das Recht, innerhalb von zehn (10) Tagen nach Erhalt der Mitteilung von Famly schriftlich Einspruch zu erheben, vorausgesetzt, dass ein solcher Einspruch auf angemessenen Gründen in Bezug auf Datenschutz beruht. Famly wird die Bedenken prüfen und mögliche Lösungen mit dem Kunden besprechen. Wenn diese Lösungen nach dem Ermessen von Famly nicht möglich sind und der Kunde der Änderung weiterhin nicht zustimmt (eine solche Zustimmung darf nicht unbillig verweigert werden), kann der Kunde den Vertrag mit einer Frist von vierzehn (14) Tagen nach Erhalt der vorgenannten Entscheidung von Famly schriftlich kündigen. Wenn der Kunde den Vertrag nicht innerhalb dieser Frist kündigt, wird davon ausgegangen, dass der Kunde den jeweiligen Unterauftragsverarbeiter akzeptiert hat. Der Kunde erhält eine Rückerstattung aller im Voraus gezahlten Gebühren für den Zeitraum nach dem Datum des Wirksamwerdens der Kündigung in Bezug auf solche beendeten Dienste. Weitere Ansprüche des Kunden gegenüber Famly oder von Famly gegenüber dem Kunden können aus einer solchen Kündigung nicht abgeleitet werden.

6.4. Der Kunde akzeptiert, dass ein Austausch eines Unterauftragsverarbeiters erforderlich sein kann, wenn der Grund für den Wechsel außerhalb der zumutbaren Kontrolle von Famly liegt (sogenannter Notaustausch). Famly wird den Kunden über einen solchen Wechsel informieren. Wenn der Kunde berechtigte Einwände gegen die Nutzung dieses Unterauftragsverarbeiters erhebt, kann der Kunde von seinem Recht Gebrauch machen, den Vertrag wie im obigen Abschnitt beschrieben zu kündigen.

6.5. Wenn Famly Unterauftragsverarbeiter beauftragt, ist Famly dafür verantwortlich, dass die Verpflichtungen von Famly zum Datenschutz, die sich aus dem Vertrag und diesem AVV ergeben, in dem Umfang, der auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen zutrifft, gültig und für den Unterauftragsverarbeiter verbindlich sind. Famly schließt eine schriftliche Vereinbarung ab und beschränkt den Zugang des Unterauftragsverarbeiters (und aller neuen Unterauftragsverarbeiter) zu den Kundendaten auf das, was für die Erbringung oder Aufrechterhaltung der Dienstleistungen in Übereinstimmung mit dem Vertrag und dieser AVV erforderlich ist.

7. Standort der Kundendaten und Übermittlung an Drittländer

7.1. Der Speicherort der Kundendaten ist in Klausel 6.2 oben aufgeführt.

7.2. Vorbehaltlich der autorisierten Unterauftragsverarbeiter in Klausel 6.2 wird Famly die Kundendaten nicht außerhalb des EWR übertragen, ohne das in Klausel 6.3 dargelegte Benachrichtigungs- und Widerspruchsverfahren einzuhalten.

7.3. Famly darf Kundendaten nicht außerhalb des EWR übertragen, es sei denn, ein angemessener Schutz der Kundendaten im Empfängerland ist durch einen nach der DSGVO akzeptablen Übertragungsmechanismus gewährleistet. In Ermangelung eines Angemessenheitsbeschlusses gemäß der DSGVO wird ein angemessener Schutz im Empfängerland ("Drittland") sichergestellt, nachdem Famly eine Risikobewertung für die Übermittlung bzw. eine Folgenabschätzung der Übermittlung durchgeführt hat, und zwar durch die Umsetzung und gegebenenfalls die Aushandlung einer Vereinbarung, der die Übertragungsmechanismen einschließt. Wenn der Übertragungsmechanismus nicht ausreicht, um die übermittelten Kundendaten zu schützen, werden zusätzliche Maßnahmen ergriffen, um sicherzustellen, dass die Kundendaten nach demselben Standard geschützt sind, wie er in der DSGVO vorgeschrieben ist, einschließlich der in Anhang 3 aufgeführten Maßnahmen.

8. Aufbewahrung von Kundendaten

8.1. Die Kundendaten auf der Famly-Plattform werden bis 60 Tage nach Beendigung des Vertrages aufbewahrt oder bis der Kunde ausdrücklich die Löschung verlangt, oder sofern in Klausel 8.2 nicht anders angegeben. 

8.2. Kundendaten, die von dem folgenden bevollmächtigten Unterauftragsverarbeiter verarbeitet werden, werden wie folgt aufbewahrt:

a) Intercom Inc: Die Kontaktdaten eines Mitarbeiters/einer Mitarbeiterin des Kunden werden für 360 Tage ab der letzten Interaktion mit dem Famly-Supportteam aufbewahrt oder wenn der/die MitarbeiterIn 30 Tage lang kein/e aktive/r MitarbeiterIn ist. Support-Tickets/Nachrichten werden ab dem Datum, an dem sie bei Famly eingegangen sind, für 360 Tage aufbewahrt.

b) Rsync.net: Kundendatensicherungen werden 30 Tage ab dem Datum jeder Sicherung aufbewahrt.

c) Google Cloud EMEA Limited: Die an die Übersetzung gesendeten Texte, die Kundendaten enthalten können, werden kurzzeitig gespeichert, um die Übersetzung durchzuführen und die Ergebnisse zu liefern. Die Übersetzung wird dann für maximal 30 Tage auf dem Famly-Server bei AWS gespeichert.

d) DeepL SE: Kundendaten, die Teil der von Famly-Benutzern übersetzten Beiträge sind, werden von DeepL SE für die Dauer der Übersetzung aufbewahrt und nach Übermittlung der Übersetzung unwiderruflich gelöscht. Die Übersetzung wird dann für maximal 30 Tage auf dem Famly-Server bei SysEleven gespeichert.

e) Zoom Video Communications Inc.: Die während eines Videoanrufs ausgetauschten Kundendaten werden für die Dauer des Videoanrufs verarbeitet. Solche Gespräche können aufgezeichnet werden, wenn der Kunde dies wünscht und zustimmt, und werden 90 Tage lang aufbewahrt.

f) Dialpad Inc.: Die vom Kunden während eines Telefongesprächs übermittelten Kundendaten werden für die Dauer des Telefongesprächs verarbeitet, es sei denn, in der Famly-Datenschutzrichtlinie ist etwas anderes angegeben (falls Famly als unabhängiger Verantwortlicher handelt).

g) OpenAI Ireland Ltd.: Die Kundendaten werden von OpenAI für 30 Tage aufbewahrt.

h) Beamer: Kundendaten werden für 60 Tage aufbewahrt.

i) Twilio Ireland Limited: Vom Kunden gesendete Kundendaten werden von Twilio für 365 Tage aufbewahrt.

9. Kündigung, Beendigung und Rückgabe oder Löschung von Kundendaten

9.1. Dieser AVV und die Verarbeitung bleiben bis 60 Tage nach Beendigung des Vertrages in Kraft, es sei denn, dieser AVV sieht Verpflichtungen vor, die über die Laufzeit des Vertrages hinausgehen.

9.2. Innerhalb von 60 Tagen nach Beendigung des Vertrages gibt Famly auf Anweisung des Kunden alle Kundendaten an den Kunden zurück oder löscht sie, sofern die DSGVO nichts anderes vorschreiben. Die Kundendaten werden unwiderruflich gelöscht und können nach diesen 60 Tagen nicht mehr abgerufen und dem Kunden zur Verfügung gestellt werden. In bestimmten, vom Kunden vorgegebenen Fällen werden die Kundendaten gespeichert. Die damit verbundenen Vergütungen und Schutzmaßnahmen werden gesondert vereinbart, sofern sie nicht bereits im Vertrag festgelegt sind.

10. Anfrage der betroffenen Person

10.1. Wenn eine betroffene Person gegenüber Famly Ansprüche auf Berichtigung, Löschung, Widerspruch oder Auskunft ("Anfrage der betroffenen Person") geltend macht und Famly in der Lage ist, die betroffene Person auf der Grundlage der von der betroffenen Person bereitgestellten Informationen mit dem Kunden in Verbindung zu bringen, wird Famly die betroffene Person darauf verweisen, den Kunden direkt zu kontaktieren.

10.2. Famly wird den Kunden auf Grundlage der Anweisungen des Kunden im Rahmen des Möglichen bei der Erfüllung einer Anfrage der betroffenen Person unterstützen, wenn der Kunde dies nicht ohne die Hilfe von Famly tun kann. Famly haftet nicht in Fällen, in denen der Kunde die Anfrage der betroffenen Person nicht vollständig, korrekt oder zeitgerecht beantwortet.

11. Datenvorfall

11.1. Famly benachrichtigt den Kunden unverzüglich, in jedem Fall aber innerhalb von 48 Stunden nach Bekanntwerden einer unbefugten oder unrechtmäßigen Verarbeitung, Änderung, eines Verlusts, einer Zerstörung oder Offenlegung der Kundendaten oder einer Beschädigung oder eines Zugriffs auf die Kundendaten innerhalb des Verantwortungsbereichs von Famly bei einem Unterauftragsverarbeiter, der Kundendaten in seinem Namen verarbeitet ("Datenvorfall"). Famly wird die erforderlichen Maßnahmen zur Sicherung der Kundendaten und zur Abmilderung möglicher negativer Folgen für die betroffene Person ergreifen. Famly wird diese Maßnahmen unverzüglich mit dem Kunden abstimmen.

11.2. Famly unterstützt den Kunden, soweit dies vernünftigerweise möglich ist und nur dann, wenn der Kunde dies nicht ohne die Hilfe von Famly tun kann, bei der Mitteilung von Datenverstößen an die betroffenen Personen und bei der Meldung von Datenverstößen an die zuständige Aufsichtsbehörde (vorausgesetzt, dass diese Unterstützung nicht zu einem Verstoß gegen die Vertraulichkeitsverpflichtungen von Famly gegenüber Dritten führt).

12. Datenschutz-Folgenabschätzung und Konsultation der Aufsichtsbehörden

12.1. Soweit die erforderlichen Informationen Famly zur Verfügung stehen und der Kunde nicht anderweitig Zugang zu den erforderlichen Informationen hat, wird Famly den Kunden auf schriftlichen Aufforderung hin in angemessener Weise bei der Durchführung einer Datenschutz-Folgenabschätzung und bei vorherigen Konsultationen mit den zuständigen Aufsichtsbehörden unterstützen, soweit dies entsprechend der DSGVO erforderlich ist.

13. Audits

13.1. Famly wird sich jährlich einer unabhängigen externen Prüfung der Informationssicherheit und der Maßnahmen gemäß dieses AVV unterziehen. Famly wird die Einhaltung der in dieser AVV vereinbarten technischen und organisatorischen Maßnahmen durch geeignete Maßnahmen dokumentieren.

13.2. In dem nach der DSGVO erforderlichen Umfang und auf schriftliche Anfrage des Kunden stellt Famly dem Kunden eine Zusammenfassung eines unabhängigen externen Prüfberichts mit ausreichenden Informationen zur Verfügung, die es dem Kunden ermöglichen, in angemessener Weise zu überprüfen, ob Famly seinen Verpflichtungen gemäß dieses AVV nachkommt, einschließlich, dass Famly die in Anhang 1 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt hat. Die Dokumentationen sind vertrauliche Informationen von Famly und müssen als solche behandelt werden.

13.3. Der Kunde erklärt sich damit einverstanden, von seinem Prüfrecht Gebrauch zu machen, indem er Famly anweist, die Zusammenfassung des Prüfungsberichts, wie in Klausel 13.2 dieses AVV beschrieben, zur Verfügung zu stellen. Wenn der Kunde angemessener Weise zu dem Schluss kommt, dass eine Vor-Ort-Prüfung erforderlich ist, um die Einhaltung der technischen und organisatorischen Maßnahmen im Einzelfall oder die Einhaltung dieses AVV zu überwachen, hat der Kunde das Recht, entsprechende Vor-Ort-Prüfungen im Einzelfall durchzuführen oder von einem Prüfer (der kein Konkurrent von Famly ist) durchführen zu lassen, vorausgesetzt, der Kunde informiert Famly mit einer Frist von mindestens 30 Tagen darüber und dass solche Prüfungen und Inspektionen (i) während der üblichen Geschäftszeiten, (ii) ohne unverhältnismäßige Beeinträchtigung des Geschäftsbetriebs von Famly, (iii) nach vorheriger angemessener Ankündigung und weiterer Rücksprache mit Famly, (iv) vorbehaltlich einer Vertraulichkeitsverpflichtung (sofern nicht bereits durch den Vertrag abgedeckt), insbesondere zum Schutz der Vertraulichkeit der implementierten technischen und organisatorischen Maßnahmen und Sicherheitsvorkehrungen durchgeführt werden. 

13.4. Im Falle einer Vor-Ort-Prüfung trägt der Kunde seine eigenen Kosten und erstattet Famly die Kosten für seine internen Ressourcen, die für die Durchführung der Vor-Ort-Prüfung erforderlich sind (auf Grundlage von Zeit und Material gemäß der jeweils aktuellen Preisliste). Sollte sich bei der Prüfung herausstellen, dass Famly gegen seine Verpflichtungen aus dem Vertrag oder dieses DSVGO verstoßen hat, wird Famly den Verstoß unverzüglich auf eigene Kosten beheben und alle vom Kunden geleisteten Zahlungen für die Kosten der internen Ressourcen von Famly im Zusammenhang mit der Vor-Ort-Prüfung des Kunden erstatten.

14. Anwendungsprotokoll und verknüpfte Dienste

14.1. Famly speichert Kundendaten im Anwendungsprotokoll (die "Anwendungsprotokolldaten") für 60 Tage.

14.2. Die Anwendungsprotokolldaten werden von Famly ausschließlich zur Demonstration der Einhaltung von regulatorischen und rechtlichen Anforderungen sowie zur Gewährleistung einer guten Funktionsweise der Plattform verwendet.

14.3. Der Zugang zu den Anwendungsprotokolldaten ist streng auf die oben genannten Anwendungsfälle beschränkt.

a) Sollte der Kunde Zugang zu den Anwendungsprotokolldaten für Zwecke der regulatorischen oder rechtlichen Einhaltung, des Schutzes, der Prüfung oder ähnlicher Zwecke benötigen, kann Famly dem Kunden Zugang gewähren.

14.4. Sollte der Kunde einen verknüpften Dienstanbieter gemäß den Bedingungen und Konditionen von Famly in Anspruch nehmen, kann Famly eine Open-API bereitstellen für den Zugriff auf bestimmte Kundendaten, um die Funktionsweise der verknüpften Dienste zu ermöglichen. Der Kunde ist allein verantwortlich dafür, sicherzustellen, dass der verknüpfte Dienstanbieter ausreichenden Schutz für personenbezogene Daten gemäß der DSGVO bietet. Unter keinen Umständen wird ein verknüpfter Dienstanbieter als Unterauftragsverarbeiter von Famly für Kundendaten betrachtet.

15. Haftung und Haftungsbeschränkungen

15.1. Famly haftet nur für Datenschutzverletzungen, -kosten und -ausgaben, die dadurch entstehen, dass i) Famly seinen Verpflichtungen gemäß dieses AVV nicht nachkommt; ii) Famly seinen Verpflichtungen als Auftragsverarbeiter gemäß der DSGVO nicht nachkommt; oder iii) der bevollmächtigte Unterauftragsverarbeiter von Famly seinen Datenschutzverpflichtungen nicht nachkommt (unabhängig davon, ob diese vertraglich gegenüber Famly oder durch die DSGVO auferlegt wurden). 

15.2. Die Gesamthaftung jeder Partei, die sich aus diesem AVV ergibt oder mit ihr zusammenhängt, unterliegt den Haftungsausschlüssen und -beschränkungen in Abschnitt 13 des Vertrags, sofern nichts anderes vereinbart wurde. 

15.3. Vorbehaltlich von Klausel 15.1 und 15.2 wird jede Partei (die "Entschädigende Partei") die andere Partei (die "Entschädigte Partei") gegen alle Ansprüche und Verfahren sowie alle Haftungen, Verluste, Kosten und Ausgaben entschädigen, die der entschädigten Partei aufgrund eines von einem Betroffenen oder einer anderen juristischen Person erhobenen Anspruchs entstehen oder die sich aus Schäden, Verlusten oder Unannehmlichkeiten ergeben, die ihnen durch einen Verstoß gegen die DSGVO durch die entschädigende Partei, ihre Mitarbeiter oder Beauftragten entstanden sind, vorausgesetzt, dass die entschädigte Partei der entschädigenden Partei umgehend Mitteilung über einen solchen Anspruch, vollständige Informationen über die zugrunde liegenden Umstände, angemessene Unterstützung bei der Bearbeitung des Anspruchs und die alleinige Autorität zur Verwaltung, Verteidigung oder Beilegung desselben gibt.

16. Informationspflichten, Änderungen und Datenschutzbeauftragter

16.1. Wenn die Kundendaten Gegenstand einer Durchsuchung und Beschlagnahme, eines Pfändungsbeschlusses, einer Beschlagnahme während eines Konkurs- oder Insolvenzverfahrens oder ähnlicher Ereignisse oder Maßnahmen durch Dritte werden, während sie sich in der Kontrolle von Famly befinden, wird Famly den Kunden unverzüglich über diese Maßnahmen informieren und die angemessenen Anweisungen des Kunden zur Wahrung der Vertraulichkeit der Kundendaten befolgen. Famly wird alle an solchen Maßnahmen beteiligten Parteien unverzüglich davon in Kenntnis setzen, dass sich die davon betroffenen Kundendaten im alleinigen Eigentum und Verantwortungsbereich des Kunden befinden, dass die Kundendaten in der alleinigen Verfügungsgewalt des Kunden stehen und dass der Kunde die verantwortliche Stelle im Sinne der DSGVO ist.

16.2. Abschnitt 19 des Vertrages über das Recht von Famly, die Bedingungen des Vertrages zu ändern, gilt für Änderungen an diesem AVV, da diese DSVGO Teil des Vertrages ist. Zur Klarstellung, dies gilt nicht für die Benachrichtigung neuer Unterauftragsverarbeiter gemäß Abschnitt 6.3.

16.3. Famly hat einen Datenschutzbeauftragten ernannt, der für Fragen der Privatsphäre und des Datenschutzes verantwortlich ist. Dieser Datenschutzbeauftragte ist unter der folgenden Adresse zu erreichen:

Attn. Data Protection Officer Købmagergade 19, 2. tv.
1150 Copenhagen K
Denmark
privacy@famly.co

17. Kontaktperson

17.1. Die Vertragsparteien müssen einander eine Kontaktstelle für alle datenschutzrechtlichen Fragen benennen, die sich aus dem Vertrag und diesem DSVGO ergeben oder mit ihnen in Zusammenhang stehen.

17.2. In solchen Fällen kann sich der Kunde an das Famly Security & Privacy Team unter privacy@famly.co wenden.

17.3. Der Kunde informiert Famly über seine Kontaktstelle ("Kundenkontaktstelle"). Diese Kontaktstelle ist der Hauptansprechpartner, wenn Famly bei Anfragen der betroffenen Personen behilflich ist, über Datenschutzvorfälle informiert und den Kunden über neue Unterauftragsverarbeiter oder Änderungen dieser DSVGO informiert.

18. Abschließende Vereinbarung

18.1. Soweit nicht durch diesen DSVGO geändert, bleibt der Vertrag in vollem Umfang in Kraft und wirksam. Im Falle eines Konflikts hat die DSGVO Vorrang vor den Bestimmungen dieses AVV. Sollten einzelne Bestimmungen dieses AVVs unwirksam oder undurchführbar sein, so wird dadurch die Wirksamkeit und Durchführbarkeit der übrigen Bestimmungen dieses DSVGO nicht berührt.

18.2. Im Falle eines Konflikts oder Widerspruchs zwischen den folgenden Dokumenten hat die Rangfolge folgende Reihenfolge: (i) jeder Übertragungsmechanismus, (ii) Anhang 2 (Schweizer Bundesdatenschutzgesetz), Anhang 3 (Zusätzliche Klauseln), (v) diese AVV-Datenschutzvereinbarung und (vi) der Vertrag.

19. Geltendes Recht & Streitbeilegung

Abschnitt 24 des Vertrags (Anwendbares Recht und Streitbeilegung) gilt für dieses AVV.

Anhang 1 - Technische und organisatorische Sicherheitsmaßnahmen (Artikel 32 der DSGVO)

Dieser Anhang 1 ist Teil des Famly-DSGVO Auftragsverarbeitungsvertrages, und alle in diesem Anhang 1 in Großbuchstaben geschriebenen Begriffe haben die in dem Famly-DSGVO Auftragsverarbeitungsvertrages festgelegte Bedeutung. Famly hat bestimmte technische und organisatorische Sicherheitsmaßnahmen ergriffen, um die Einhaltung der geltenden DSGVO zu gewährleisten. Diese Maßnahmen dienen dazu, eine unzulässige Zerstörung, Veränderung, Offenlegung, einen unzulässigen Zugriff und andere unzulässige Formen der Verarbeitung von Kundendaten zu verhindern. 

Famly behält sich das Recht vor, die durchgeführten Maßnahmen und Sicherheitsvorkehrungen zu ändern, vorausgesetzt, dass das Sicherheitsniveau nicht geringer ist als ursprünglich vereinbart. Im Falle erheblicher Änderungen der Maßnahmen wird Famly den Kunden über diese Änderungen informieren. 

1. Vertraulichkeit (Artikel 32 Absatz 1 lit. b DSGVO)

Physische Zugangskontrolle

Unbefugter Zugriff (im physischen Sinn) ist zu verhindern.

Technische und organisatorische Maßnahmen zur Zugangskontrolle zu Räumen und Einrichtungen, insbesondere zur Berechtigungsprüfung:

  • Die Bürogebäude von Famly sind mit Brandmeldeanlagen sowie elektronischen Sicherheits- und Überwachungseinrichtungen geschützt. Es werden keine Kundendaten in den Büros gelagert oder auf Mitarbeitercomputern gespeichert. Alle Daten werden von Famly MitarbeiterInnen über sichere, verschlüsselte Verbindungen mit dem Rechenzentrum abgerufen.
  • Die von Famly genutzten Rechenzentren sind auf dem neuesten Stand der Technik  und nutzen innovative architektonische und technische Ansätze. Unser Anbieter verfügt über langjährige Erfahrung in der Planung, dem Bau und dem Betrieb von Großrechenzentren. Diese Erfahrung wurde auf die Plattform und die Infrastruktur übertragen. Rechenzentren sind in unscheinbaren Einrichtungen untergebracht. Der physische Zugang wird sowohl im Außenbereich als auch an den Gebäudeeingängen durch professionelles Sicherheitspersonal mit Videoüberwachung, Überwachungssystemen und anderen elektronischen Vorkehrungen streng kontrolliert. Autorisierte Mitarbeiter müssen mindestens zwei Mal eine Zwei-Faktor-Authentifizierung bestehen, bevor diese das Rechenzentrum betreten dürfen. Alle Besucher und Vertragspartner müssen sich ausweisen und werden von autorisiertem Personal angemeldet und dauerhaft begleitet. Alle physischen Zugriffe auf die Datenzentren werden routinemäßig protokolliert und geprüft. 
  • Physische Medien: Physische Medien (z.B. Kopien), welche personenbezogene Daten aus der Famly-IT-Lösung enthalten, werden, solange sie nicht in Gebrauch sind und bis zum Zeitpunkt ihrer Vernichtung, in verschlossenen Schränken aufbewahrt.

Elektronische Zugangskontrolle

Unbefugter Zugriff auf die IT-Systeme ist zu verhindern.

Technische (ID-/Passwortsicherheit) und organisatorische (Benutzerdaten-stamm) Maßnahmen zur Benutzeridentifikation und –authentifizierung:

  • Firewalls: Es werden aktualisierte Firewalls eingesetzt, um das Netzwerk im Büro von Famly vor unberechtigtem Zugriff zu schützen. Die gleichen Standards werden auch in der Firmenzentrale implementiert, wo Firewalls sowie andere technische Methoden angewendet werden, um die Zentrale vor unberechtigtem Zugriff zu schützen.  
  • Anti-Virus/Anti-Malware: IT-Geräte, welche von Famly für den Zugriff auf die IT-Lösung verwendet werden, einschließlich der Server, sind, soweit möglich und erforderlich, mit aktualisierter Anti-Viren- und Anti-Malware-Software geschützt. 
  • Verschlüsselung: Bei der Datenübertragung innerhalb der IT-Lösung von Famly über öffentliche Kommunikationsverbindungen, auch beim Zugriff der Benutzer auf die IT-Lösung, wird eine sichere Verschlüsselung angewendet, welche auf allgemein anerkannten Algorithmen basiert, die mindestens SSL 256bit entsprechen. Alle Wifi-Verbindungen, die im Famly-Büro und in der Zentrale verwendet werden, sind durch Verschlüsselung in Form von WPA oder besser gesichert.
  • Famly’s Fernzugriff: Greifen MitarbeiterInnen von Famly per Fernzugriff auf die IT-Lösung zu, werden diese Verbindungen durch Verschlüsselung, z.B. in Form von VPN, gesichert. Jeder Zugriff auf die IT-Systeme von Famly erfordert die Eingabe eines Benutzernamens und eines Passworts durch den/die jeweilige/n MitarbeiterIn. Famly erfüllt die Bedingungen dieser Auftragsverarbeitungsvertrag, unabhängig von der Nutzung des Fernzugriffs.
  • Famly’s Passwortrichtlinie: MitarbeiterInnen von Famly mit Zugriff auf die IT-Lösung  unterliegen einer strengen Passwortpolitik. Passwörter müssen mindestens 10 Zeichen lang sein und Folgendes enthalten: Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Passwörter müssen regelmäßig geändert werden. Passwörter dürfen keinerlei Namen oder Benutzernamen enthalten.
  • Penetrationstests: Famly lässt regelmäßig Penetrationstests auf der IT-Lösung von einer externen Agentur nach Industriestandards durchführen.

Interne Zugangskontrolle

Aktivitäten im IT-System, die nicht unter die zugewiesenen Zugriffsrechte fallen, sind zu verhindern. 

Anforderungsgerechte Definition des Autorisierungskonzepts und der Zugriffsrechte sowie Überwachung und Protokollierung der Zugriffe:

a) Autorisierung

  • Alle MitarbeiterInnen von Famly, die Zugang zu personenbezogenen Daten haben, sind von Famly hierfür autorisiert. Diese Berechtigungen legen fest, welcher/welchem MitarbeiterIn welche Art von Zugriff auf die personenbezogenen Daten und zu welchem Zweck gestattet ist. Den MitarbeiterInnen von Famly ist der Zugriff auf die personenbezogenen Daten des Kunden zu betrieblichen oder technischen Zwecken gestattet. Die MitarbeiterInnen von Famly haben keinen Zugriff auf personenbezogene Daten, die außerhalb ihrer Berechtigung liegen. Alle Zugriffe von Famly-MitarbeiterInnen auf personenbezogene Daten werden protokolliert. 
  • Famly überprüft und aktualisiert die Berechtigungen der MitarbeiterInnen in regelmäßigen Abständen, mindestens jedoch halbjährlich. Die Berechtigungen werden angepasst oder entzogen, wenn ein/e MitarbeiterIn die Position oder den Verantwortungsbereich wechselt oder aus dem Unternehmen ausscheidet. 
  • Die MitarbeiterInnen der Firmenzentrale sind ausschließlich dazu berechtigt, auf personenbezogene Daten für betriebliche Zwecke zuzugreifen. Solche Zugriffe werden protokolliert. Diese Berechtigung wird entzogen, sobald diese nicht mehr ihrem Zweck entspricht. MitarbeiterInnen von Famly greifen nur im Zusammenhang mit Kundenanfragen auf personenbezogene Daten zu.
  • Das IT-System von Famly ist so konfiguriert, dass der Auftraggeber seine MitarbeiterInnen nach Aufgabenbereichen autorisieren kann. Der Kunde vergibt die MitarbeiterInnen-Berechtigungen über das von Famly zur Verfügung gestellte Web-Modul. Anderen Nutzern des Systems ist zusätzlich eine Berechtigung zu gewähren, welche einen entsprechenden Zugang ermöglicht.  
  • Alle MitarbeiterInnen von Famly, die Zugang zu personenbezogenen Daten haben, werden über diese Auftragsverarbeitung informiert und verpflichtet, deren Anforderungen zu erfüllen. Ohne Berechtigung besteht kein Zugriff  auf personenbezogene Daten.
  • Für alle neuen MitarbeiterInnen von Famly wird eine Schulung zum Datenschutz und zur Informationssicherheit durchgeführt, und für alle MitarbeiterInnen von Famly wird mindestens einmal jährlich eine Auffrischungsschulung durchgeführt.
  • Alle Famly-MitarbeiterInnen, die Zugang zu personenbezogenen Daten haben, haben sich im Vorfeld der Tätigkeit einer Überprüfung anhand ihres Strafregisters unterzogen und mindestens einmal jährlich während ihrer Beschäftigung wird diese aktualisiert.
  • Alle Produktentwicklungs- und Fehlerbehebungsaktivitäten werden soweit möglich anhand von Dummy-Testdaten und nicht anhand von tatsächlichen Kundendaten durchgeführt.

b) Login, Benutzername und Passwörter

  • Alle MitarbeiterInnen bei Famly und in der Firmenzentrale haben eindeutig zugeordnete Benutzernamen und Passwörter. Benutzernamen und Passwörter werden nach allgemein anerkannten Grundsätzen erstellt und geändert, ferner wird kein Benutzername innerhalb eines Zeitraumes von sechs Monaten seit der letzten Verwendung des Benutzernamens wiederverwendet. Sofern ein/e Famly-MitarbeiterIn den ihm/ihr zugeordneten Benutzernamen innerhalb eines Zeitraumes von 3 Monaten nicht benutzt hat, wird dieser automatisch gesperrt.
  • Nach mehreren aufeinanderfolgenden, fehlgeschlagenen Anmeldeversuchen mit demselben Benutzernamen wird dieser gesperrt. Dies gilt sowohl für MitarbeiterInnen von Famly als auch für Kunden. Die Sperrung aufgrund der oben genannten Szenarien begründet keine Haftung gegenüber Famly. Sollte es zu einer Sperrung eines Famly-MitarbeiterInnenkontos kommen, wird Famly die Angelegenheit schnellstmöglich überprüfen.
  • Es ist nicht möglich, sich mit einem anonymen Benutzer- oder Gastkonto in die IT-Systeme von Famly einzuloggen.

c) Vertraulichkeit

  • All Famly employees with access to Personal Data are subject to strict confidentiality throughout their employment contracts and all employees within the Data Centre are subject to confidentiality.
  • The confidentiality is maintained beyond the termination of the Agreement or if the Agreement with Data Sub-processors ceases. Famly employees are also subject to the confidentiality obligation upon cessation of their employment.

Trennbarkeitskontrolle

Daten, welche für verschiedene Zwecke erhoben werden, sind getrennt zu verarbeiten.

Maßnahmen zur getrennten Verarbeitung (Speicherung, Änderung, Löschung, Übermittlung) von Daten für verschiedene Zwecke:

  • Datenspeicherung: Innerhalb der IT-Lösung von Famly werden alle Daten auf den Servern des Subunternehmers gespeichert. Die Daten des Auftraggebers werden logisch getrennt von den Daten anderer Kunden, für welche Famly die Datenverarbeitung durchführt. Alle Daten sind mit eindeutigen IDs versehen, welche erkennen lassen, zu welchem Endnutzer oder Auftraggeber die Daten gehören.

2. Integrität (Artikel 32 Absatz 1 lit. b DSGVO)

Datenübertragungskontrolle

Aspekte bei der Übertragung personenbezogener Daten müssen überprüft werden: elektronische Übermittlung, Datenübertragung, Übertragungskontrolle.

Maßnahmen zur Übertragung, Übermittlung und Austausch oder Speicherung von Daten auf Datenträgern (manuell oder elektronisch) und zur nachträglichen Prüfung:

  • IT-Speichermedien: Bei Recycling, Entsorgung, Reparatur oder Instandhaltung von Speichermedien, welche für personenbezogene Daten verwendet werden, wird sichergestellt, dass Dritte keinen Zugang zu Daten auf diesen Medien erhalten. Solche Sicherungsvorkehrungen werden entweder durch Verschlüsselung oder durch gründliches Löschen oder Überschreiben durchgeführt, um sicherzustellen, dass alle zuvor gespeicherten personenbezogenen Daten nicht mittels einer allgemein anerkannten Methode (z.B. DOD 5220-22-M) wiederhergestellt werden können.
  • Physische Medien: Alle physischen Medien, die personenbezogene Daten aus der IT-Lösung des Auftraggebers enthalten können (z.B. Ausdrucke), werden auf sichere Weise entsorgt, nachdem diese nicht mehr gebraucht werden. Dies kann durch Schreddern oder durch andere Mittel geschehen, die sicherstellen, dass der Zugriff auf personenbezogene Daten nicht möglich ist.  
  • Virtuelles Privates Netz: Greifen MitarbeiterInnen von Famly auf die IT-Lösung zu, werden diese Verbindungen durch Verschlüsselung, beispielsweise in Form von VPN, gesichert. Jeder Zugriff erfordert die Registrierung via Benutzername und Passwort. 
  • Elektronische Signatur: Famly verwendet 256-Bit-SSL-Zertifikate für die Authentifizierung von Famly gegenüber den Endnutzern.

Übertragungssicherheit: Famly verwendet durchgängig SSL-Verschlüsselung zwischen dem Endgerät und der Datenbank sowie bei den internen Dienstleistungen auf den Servern.

Dateneingabekontrolle

Die vollständige Dokumentation der Datenverwaltung und –pflege muss gewährleistet werden.

Maßnahmen zur nachträglichen Kontrolle, ob Daten erfasst, geändert oder entfernt (gelöscht) wurden und von wem:

  • Jeder Zugriff auf personenbezogene Daten im Zusammenhang mit der Nutzung der IT-Lösung von Famly wird automatisch protokolliert („Application Log“). Das Erfassen von Uhrzeit, Benutzername, Art der Anwendung und der betroffenen Person werden registriert. Dieses Protokoll wird mindestens sechs Monate aufbewahrt und nach maximal sieben Monaten gelöscht.
  • Der Auftraggeber kann auf besonderen Wunsch Zugang zum bestimmten Data in dem Application Log erhalten.
  • Sofern der Zugriff auf die IT-Lösung im Zusammenhang mit technischen Problemen wie z.B. Support, Fehlerkorrekturen oder anderen technischen Ursachen erfolgt, wird dieser Zugriff in dem Application Log protokolliert.

3. Verfügbarkeit und Belastbarkeit (Artikel 32 Absatz 1 lit) b und c DSGVO)

Verfügbarkeitskontrolle

Die Daten müssen vor unbeabsichtigter Zerstörung oder Verlust geschützt werden. 

Maßnahmen zur Gewährleistung der Datensicherheit (physisch/logisch):

  • Feuer, Stromausfälle: Das Büro sowie die Zentrale von Famly sind in üblichem Maß gegen Feuer gesichert. Die Zentrale ist darüber hinaus so gesichert, dass der Betrieb auch bei Stromausfall eine gewisse Dauer fortgesetzt werden kann; zudem wurde ein Schutz gegen den Verlust der Kommunikationswege eingerichtet.
  • Backup: Famly sichert die in der Famly IT-Lösung gespeicherten Daten durch täglich mehrfache dauerhafte Sicherung. Das Backup wird als eine Mischung aus einem vollen Backup und inkrementellem Backup (wobei die Änderungen gespeichert werden) durchgeführt. Famly führt regelmäßig Restore-Tests von bereits abgeschlossenen Backups durch, um sicherzustellen, dass die Backup-Routinen wie vorgesehen funktionieren. Backups werden aus Sicherheitsgründen dupliziert und in einem anderen Rechenzentrum desselben Anbieters in demselben Land sowie derselben Region gespeichert.
  • Unterbrechungsfreie Stromversorgung (USV): Die Stromversorgungssysteme des Rechenzentrums sind vollständig redundant und wartungsfrei ausgelegt, 24 Stunden am Tag und sieben Tage in der Woche. Unterbrechungsfreie Stromversorgungseinheiten (USV) stellen bei einem Stromausfall eine Notstromversorgung für kritische und unverzichtbare Geräte in der Anlage bereit. Rechenzentren verwenden Generatoren, um die gesamte Anlage mit Strom zu versorgen.       
  • Klima und Temperatur: Eine Klimatisierung ist erforderlich, um eine konstante Betriebstemperatur für Server und andere Hardware aufrechtzuerhalten, die eine Überhitzung verhindert und die Möglichkeit von Serviceausfällen reduziert. Rechenzentren sind so ausgestattet, dass sie für optimale Bedingungen sorgen. Personal und Systeme überwachen und kontrollieren Temperatur und Luftfeuchtigkeit. Elektrische, mechanische und funktionserhaltende Systeme und Geräte werden derart überwacht, sodass etwaige Probleme sofort identifiziert werden. 
    Präventive Wartungen werden durchgeführt, um die Funktionsfähigkeit der Systeme aufrechtzuerhalten.

Schnelle Wiederherstellung

  • Im Falle eines schwerwiegenden Vorfalls hat Famly die Möglichkeit, den Zugang zu personenbezogenen Daten jederzeit wiederherzustellen, indem kürzlich gesicherte Dateien in den Produktionsumgebungen auf neu gestarteten Servern wiederhergestellt werden. Dies erfordert nur wenige Stunden, sodass eventuelle Ausfallzeiten minimiert werden.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Artikel 32 Absatz 1 lit. d DSGVO; Artikel 25 Absatz 1 DSGVO)

Sicherheitsverletzungsverfahren

  • Stellt Famly eine Sicherheitsverletzung oder eine Bedrohung im Zusammenhang mit der IT-Lösung von Famly fest, verpflichtet sich Famly, den Verstoß bzw. die Bedrohung sowie den Umfang des Problems schnellstmöglich zu lokalisieren und zu identifizieren, den drohenden oder eingetretenen Schaden größtmöglich zu begrenzen, einen solchen Sicherheitsverstoß zukünftig zu verhindern und, soweit möglich, alle verlorenen Daten wiederherzustellen. 
  • Im Falle eines Sicherheitsverstoßes, bei welchem Unbefugte Zugang zu den Daten des Auftraggebers erhalten oder bei dem ein Datenverlust eingetreten ist, wird Famly den Auftraggeber unverzüglich, schriftlich über den Verstoß informieren. Solche Benachrichtigungen enthalten Informationen darüber, welche Daten Famly als unbefugt abgerufen betrachtet, ob Famly besondere Vorkehrungen getroffen hat und ob der Kunde nach Einschätzung von Famly besondere Vorkehrungen zu treffen hat.

Auftrags- oder Vertragskontrolle

  • Famly hat marktübliche DSGVO-Auftragsverarbeitungsverträge mit Anbietern abgeschlossen, um die Bedingungen dieser Vereinbarung zur Auftragsverarbeitung einhalten zu können.

Überprüfung/Audit 

Famly wird mindestens einmal pro Jahr durch einen externen Prüfer überprüfen lassen, ob die in dieser Vereinbarung zur Auftragsverarbeitung näher erläuterten Verfahren eingehalten werden. Der Prüfbericht wird dem Auftraggeber auf Wunsch vorgelegt.

Anhang 2 – Neues Bundesgesetz über den Datenschutz (nDSG)

Für Kunden, die in der Schweiz ansässig sind oder dort die Dienste in Anspruch nehmen, gilt der folgende Anhang vollständig und wird akzeptiert.

1. Anwendbarkeit:

a) Dieser Anhang verändert die AVV einschließlich Anhang 1, an die er ausschließlich im Fall angehängt wird, dass der Kunde, der die AVV akzeptiert, ein Einwohner der Schweizerischen Eidgenossenschaft ist oder die Dienste in ihrem Gebiet nutzt.

2. Integrierter Bestandteil des Auftragsverarbeitungsvertrags:

a) Unter Vorbehalt von Klausel 1 dieses Anhangs 2 gilt dieser Anhang 2 und alle durch ihn vorgenommenen Änderungen des Textes der AVV als Teil dieser AVV und werden so ausgelegt, verstanden und interpretiert, als wären sie ursprünglich in dieser AVV verfasst worden. Jegliche Klauseln, Abschnitte, Gebühren, Bestimmungen, Anforderungen oder andere Bestimmungen in dieser AVV, die nicht durch diesen Anhang 2 geändert wurden, gelten entsprechend.

3. Definitionen:

a) Alle Verweise auf die DSGVO in der AVV werden durch Verweise auf das nDSG ersetzt. Die Verweise auf Artikel 82 in den Klauseln 4.6 und 5.3 der AVV werden als Verweis auf Artikel 32 des nDSG gelesen.

b) Alle Verweise auf eine Aufsichtsbehörde beziehen sich auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten der Schweizerischen Eidgenossenschaft.

c) Alle anderen ähnlichen Definitionsänderungen, bei denen die Änderung des Textes der AVV zur Sicherstellung der Einhaltung erforderlich ist und die tatsächlich von Famly vorgenommene Maßnahme Famly faktisch mit dem nDSG in Einklang bringen würde, gelten als vorgenommen.

4. Benachrichtigung bei Verstoß:

a) Klausel 11.1 des Vertrags wird vollständig durch den folgenden Text ersetzt:

Famly wird den Kunden unverzüglich benachrichtigen, sobald Famly Kenntnis von einer unbefugten oder rechtswidrigen Verarbeitung, Änderung, Verlust, Zerstörung oder Offenlegung von, oder Schaden oder Zugriff auf die Kundendaten innerhalb des Verantwortungsbereichs von Famly, bei einem etwaigen Auftragsverarbeiter, der möglicherweise Kundendaten in seinem Auftrag verarbeitet ("Datenverstoß"), erlangt. Famly wird die erforderlichen Maßnahmen zur Sicherung der Kundendaten und zur Minderung möglicher negativer Folgen für die betroffenen Personen ergreifen. Famly wird diese Bemühungen in angemessener Weise mit dem Kunden koordinieren.

Anhang 3 – Zusatzklauseln zu den Übertragungsmechanismen

  1. Personenbezogene Daten werden sowohl während der Übertragung als auch im Ruhezustand unter Verwendung von Verschlüsselungstechnologie nach Industriestandard verschlüsselt.
  2. Famly wird sich, soweit dies nach geltendem Recht zulässig ist, jeder Anfrage gemäß Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“) widersetzen.
  3. Famly wird angemessene rechtliche Mechanismen nutzen, um jegliche Anforderungen zum Datenzugriff im Rahmen des nationalen Sicherheitsprozesses, die im Zusammenhang mit den Daten des Kunden eingehen könnten, anzufechten.
  4. Spätestens zum Zeitpunkt, an dem Ihre Zustimmung zur AVV wirksam wird, wird Famly Sie über jegliche bindende rechtliche Forderung für die von ihr erhaltenen personenbezogenen Daten informieren, einschließlich nationaler Sicherheitsanordnungen und -anweisungen, die jeden Prozess gemäß Abschnitt 702 des FISA umfassen, es sei denn, dies ist nach geltendem Recht untersagt.
  5. Famly wird sicherstellen, dass sein Datenschutzbeauftragter die Aufsicht über den Ansatz von Famly und seinen verbundenen Unternehmen bei internationalen Datenübertragungen hat.