Famly DSGVO Datenverarbeitungsvertrag

Version: 2.8

Datum des Inkrafttreten:

10/4/2023

Der Kunde

(nachstehend "Kunde")

und Famly ApS,

Købmagergade 19, 2tv., 1150 Kopenhagen, Dänemark (im Folgenden "Famly") (jeweils eine "Partei" und gemeinsam die "Parteien")

diesen Vertrag über die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Kunden geschlossen haben.

Dieser Datenverarbeitungsvertrag ist ab dem Datum des Vertrages wirksam.

 

Definitionen

"Anfrage der betroffenen Person" hat die in Klausel 10.1 angegebene Bedeutung;

"Anwendungsprotokoll" bezeichnet das Protokoll, das für die Speicherung des Zugriffs auf Kundendaten verwendet wird;

"Autorisierte Unterauftragsverarbeiter" sind die in Klausel 6.2 aufgeführten Unterauftragsverarbeiter, die von Zeit zu Zeit geändert werden können;

"Datenverletzung" hat die in Klausel 11.1 angegebene Bedeutung;

"Datenzentren" bezeichnet die Datenzentren, die für das Hosting und die Speicherung von Kundendaten auf der Famly-Plattform verwendet werden;

"Dienste" bezeichnet die Dienste der Famly-Plattform, die im Rahmen der Vereinbarung und in Übereinstimmung mit diesem Datenverarbeitungsvertrag beschrieben und bereitgestellt werden; 

"DPA" bezeichnet diesen Datenverarbeitungsvertrag, einschließlich aller beigefügten oder in Bezug genommenen Anhänge und einschließlich aller künftigen schriftlichen Änderungen und Ergänzungen;

"DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EU;

"EWR" bezeichnet den Europäischen Wirtschaftsraum und die Länder, die dem Vertrag über den Europäischen Wirtschaftsraum beigetreten sind;

"Kundendaten" bezeichnet die personenbezogenen Daten (wie in der DSGVO definiert) über Personen, die mit dem Kunden in Verbindung stehen und im Rahmen dieses Datenverarbeitungsvertrages verarbeitet werden;

"Kundenkontaktstelle" hat die in Klausel 16.3 angegebene Bedeutung;

"SCCs" sind die Standardvertragsklauseln, die durch den Beschluss der Europäischen Kommission vom 4.  Juni 2021 (Verarbeiter an Verarbeiter) in der jeweils gültigen Fassung genehmigt wurden;

"Unterauftragsverarbeiter" hat die in Klausel 6.1 angegebene Bedeutung;

"Vertrag" bezeichnet den Hauptvertrag (Geschäftsbedingungen und Famly-Angebot), der zwischen dem Kunden und Famly abgeschlossen wurde, in der jeweils gültigen Fassung.

 

Die Begriffe "Verantwortlicher", "Auftragsverarbeiter", "Verarbeitung", "betroffene Person", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten" und "Aufsichtsbehörde" haben dieselbe Bedeutung wie in der DSGVO. Alle in Großbuchstaben geschriebenen Begriffe, die hier nicht anders definiert sind, haben die in dem Vertrag festgelegte Bedeutung. Jeder Verweis auf schriftlich oder in Schriftform schließt E-Mail ein.


1. Hintergrund

1.1. Die Parteien haben den Vertrag geschlossen, wobei der Kunde Famly mit der Erbringung der Dienstleistungen beauftragt hat. Dieser Datenverarbeitungsvertrag ("DPA") wird durch Verweis in den Vertrag aufgenommen.

1.2. Zum Zweck der Erbringung der Dienstleistungen im Rahmen des Vertrages wird Famly während der Laufzeit dieser DPA Kundendaten verarbeiten. Dieser DPA gilt für alle Aktivitäten im Zusammenhang mit dem Vertrag, in dessen Rahmen die Mitarbeiter oder Beauftragten von Famly die Kundendaten im Namen des Kunden verarbeiten, wie in Klausel 3 dargelegt.


2. Rollen und Zuständigkeiten

2.1. Die Parteien vereinbaren, dass der Kunde der Verantwortliche für die Kundendaten und Famly der Auftragsverarbeiter der Kundendaten ist, es sei denn, Famly handelt als Verantwortlicher für die Verarbeitung der Kundendaten in Übereinstimmung mit Klausel 2.3.

2.2. Der Kunde als Verantwortlicher beauftragt Famly mit der Durchführung der in diesem DPA beschriebenen Verarbeitungstätigkeiten. Der Kunde hat anschließend das Recht, schriftlich oder in einem maschinenlesbaren Format einzelne Anweisungen zu ändern, zu ergänzen oder zu ersetzen, indem er diese Anweisungen an die von Famly benannte Kontaktstelle übermittelt. Anweisungen, die nicht in diesem DPA vorgesehen oder von diesem abgedeckt sind, sind als Änderungswünsche zum DPA zu behandeln. Der Kunde hat jede mündlich erteilte Weisung unverzüglich schriftlich zu bestätigen.

2.3. Famly kann als unabhängiger Verantwortlicher einige Kundendaten für seine eigenen legitimen Geschäftszwecke verarbeiten, solange dies nach para 35 SGB I zulässig ist, gegebenenfalls nur dann, wenn die Verarbeitung für einen der folgenden Zwecke unbedingt erforderlich und verhältnismäßig ist:

  a. Gewährung des Zugangs zur Plattform (Verarbeitung von Benutzernamen und Passwörtern der autorisierten Nutzer); was erforderlich ist, um einen Vertrag mit dem Kunden abzuschließen und diesen zu erfüllen;

   b. Rechnungslegung, Verwaltung der Beziehung- und Korrespondenz mit dem Kunden, z. B. Aktualisierungs- und andere Informations- oder Marketing-E-Mails (Name, E-Mail-Adresse, Telefonnummer, Titel des Administrator-Nutzers- und des Mitarbeiter-Nutzers); dies ist erforderlich, um den Vertrag mit dem Kunden abzuschließen und die Beziehung mit Kunden betreuen;

   c. Überwachung, Verhinderung und Aufdeckung von Missbrauch oder betrügerischen Aktivitäten auf der Plattform, dies ist erforderlich für die Verbesserung der Plattform;

   d. Analyse der Nutzung der Plattform (beschränkt auf Log-In-Aktivitäten) als anonymisierte aggregierte Daten, die erforderlich sind, um die Qualität des Supports und/oder den Erfolg der Leistungen zu verbessern und die Plattform weiter zu entwickeln sowie um Vergleichsdaten (aggregiert und anonymisiert) zu sammeln, die für die Weiterentwicklung der Plattform erforderlich sind (da diese Art der Daten anonymisiert ist, fallen sie nicht in den Anwendungsbereich der DSGVO). Famly versichert, dass die Daten gemäß der Richtlinien des EDSA anonymisiert sind. Soweit solche Richtlinien nicht vorhanden sind, wird der „Praxisleitfaden zum Anonymisieren personenbezogener Daten“ der Stiftung Datenschutz verwendet.

Wenn Famly als unabhängiger Verantwortlicher agiert, ist Famly verantwortlich für die Einhaltung der DSGVO. Famly wird die Kundendaten nicht für andere Zwecke als die oben aufgeführten berechtigten Interessen verarbeiten. Weitere Details zu den  Verarbeitungstätigkeiten sind in der Datenschutzrichtlinie von Famly näher beschrieben.


3. Umfang und Spezifikation der Verarbeitung

Der Gegenstand und die Art der Verarbeitung von Kundendaten durch Famly ist die Erbringung der Dienstleistungen gemäß dem Vertrag und den in diesem DPA festgelegten Zwecken. Der Kunde und/oder seine autorisierten Nutzer laden die Kundendaten auf die Plattform hoch, und die Arten der verarbeiteten Kundendaten hängen von der Nutzung der Dienste durch den Kunden ab. Die Art, der Zweck der Verarbeitung, die Arten der Kundendaten und die Kategorien der betroffenen Personen, die im Rahmen dieses DPA erarbeitet werden können, werden in der nachstehenden Tabelle näher erläutert:

Art der Daten
Zweck (Gegenstand) der Verarbeitung
Kategorien betroffener Personen
Stammdaten (wie Name, Geburtsdatum, Geburtsort, Sozialversicherungsnummer, Geschlecht, Sprachen, Ernährungsgewohnheiten usw.)
Sicherstellen, dass der Kunde über alle relevanten Informationen des Kindes verfügt, um das Geschäft zu führen und die gesetzlichen Anforderungen zu erfüllen.
Kinder
Sensible Daten (wie Religion, ethnische Zugehörigkeit, Allergien, Impfstoffe, Medikamente, Verletzungen/Unfallberichte)
Sicherstellen, dass der Kunde über alle relevanten Informationen des Kindes verfügt, um das Geschäft zu führen und die gesetzlichen Anforderungen zu erfüllen.
Kinder
Anwesenheitsdaten (wie Krankheitstage, Urlaub, An- und Abmeldedaten usw.)
Zum Speichern von Anwesenheitsdaten und Erstellen von Anwesenheitsberichten.
Kinder
Tätigkeitsdaten (z. B. Einzelheiten zu Lern- oder Entwicklungsaktivitäten usw.)
Um die Aktivitäten des Kindes digital verfolgen zu können, z. B. Schlafen, Ausflüge, Essen, Lernen.
Kinder
Fotos und Dateien
Um Fotos von Kindern und andere notwendige Dateien, die Kundendaten enthalten können, mit den Eltern/Erziehungsberechtigten zu teilen. Möglicherweise sind auch Mitarbeiter auf den Fotos zu sehen.
Kinder
Kontaktdaten (wie Name, Adresse, E-Mail-Adresse, Telefonnummer)
Um sicher zu stellen, dass die Eltern kontaktiert werden können.
Eltern/Erziehungsberechtigte/anderes Familienmitglied
Finanzielle Informationen (z. B. Bankverbindung, Rechnungen usw.)
Der Kunde muss in der Lage sein, relevante Finanzinformationen an einem Ort zu speichern, um dann Rechnungen usw. ausstellen zu können.
Eltern/Erziehungsberechtigte/anderes Familienmitglied
Angaben zum Mitarbeiter (z. B. Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Qualifikationen und Zeugnisse, Angaben zu den nächsten Angehörigen usw.)
Aufzeichnungen über Mitarbeiter zu führen, sie zu kontaktieren und Notfalldaten zu speichern
Mitarbeiter des Kunden
Anwesenheitsdaten (Krankheitstage und Urlaub)
Zum Speichern von Anwesenheitsdaten und Erstellen von Anwesenheitsberichten.
Mitarbeiter des Kunden
Jegliche Kundendaten oder andere persönliche Daten, die in Notizen enthalten sind oder in privaten oder Teamnachrichten über die Plattform geteilt werden.
Erforderlich, damit die Kunden die Funktionen der Plattform nutzen können.
Mitarbeiter des Kunden, Eltern/Erziehungsberechtigte/andere Familienmitglieder, Kinder

4. Pflichten von Famly

4.1. Einhaltung der dokumentierten Anweisungen. Außer in den Fällen, in denen die DSGVO dies ausdrücklich zulässt, wird Famly Kundendaten nur insoweit verarbeiten, als dies für die Erfüllung des Vertrags unbedingt erforderlich ist, und ausschließlich in Übereinstimmung mit den Anweisungen des Kunden in diesem DPA und der DSGVO.

4.2. Beanstandung von Anweisungen. Wenn Famly der Ansicht ist, dass eine Anweisung gegen die DSGVO verstößt, wird Famly den Kunden unverzüglich von dieser Ansicht in Kenntnis setzen. Famly ist berechtigt, die Ausführung einer solchen Anweisung auszusetzen, bis der Kunde die Anweisung bestätigt oder abändert.

4.3. Technische und organisatorische Maßnahmen. Famly ist für die Umsetzung technischer und organisatorischer Maßnahmen verantwortlich, um einen angemessenen Schutz der Kundendaten zu gewährleisten. Diese Maßnahmen müssen die Anforderungen der DSGVO erfüllen und die kontinuierliche Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und Dienste gewährleisten. Diese Maßnahmen sind in Anhang 1 des DPA beschrieben. Famly behält sich das Recht vor, die implementierten Maßnahmen und Sicherheitsvorkehrungen zu ändern, vorausgesetzt, das Sicherheitsniveau ist nicht geringer als ursprünglich vereinbart. Im Falle erheblicher Änderungen der Maßnahmen wird Famly den Kunden von den Änderungen in Kenntnis setzen. 

Famly gewährleistet, dass das Unternehmen seinen Verpflichtungen gemäß der DSGVO nachkommt und ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einführt.

4.4. Vertraulichkeit. Famly wird die Kundendaten vertraulich behandeln. Diese Verpflichtung besteht ohne zeitliche Begrenzung und überdauert die Beendigung oder das Auslaufen des Vertrags und dieses DPA. Famly gewährleistet, dass die Kundendaten nur an Personen weitergegeben werden, die zur Verarbeitung der Kundendaten auf einer Need-to-know-Basis befugt sind (einschließlich Mitarbeiter). Famly sichert zu, dass es allen Mitarbeitern, die an der Verarbeitung der Kundendaten beteiligt sind, und anderen Personen, die in den Verantwortungsbereich von Famly fallen, untersagt ist, Kundendaten außerhalb des Rahmens der Kundenanweisungen zu verarbeiten. Darüber hinaus gewährleistet Famly, dass alle Personen, die zur Verarbeitung der Kundendaten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

4.5. Löschung, Korrektur oder Rückgabe von Kundendaten. Famly ist verpflichtet, Kundendaten zu korrigieren oder zu löschen, wenn der Kunde dies anordnet und es im Rahmen der Anweisungen zulässig ist. Falls der Kunde dies anordnet, kann Famly Kundendaten unbrauchbar machen, wenn der Kunde berechtigte Interessen daran gemäß der DSGVO hat, Kundendaten nicht zu löschen. Auf Anfrage kann Famly die Kundendaten an den Kunden zurückgeben.

4.6. Unterstützung bei der Abwehr von Rechtsansprüchen. Wenn eine betroffene Person gemäß Artikel 82  DSGVO Ansprüche gegen den Kunden geltend macht, wird Famly den Kunden in angemessener Weise bei der Verteidigung gegen solche Ansprüche unterstützen.


5. Pflichten des Kunden

5.1. Einhaltung der DSGVO. Der Kunde ist für die Einhaltung der DSGVO verantwortlich, einschließlich, aber nicht beschränkt auf die Rechtmäßigkeit der Weitergabe von Kundendaten an Famly und die Rechtmäßigkeit der Verarbeitung der Kundendaten durch Famly im Namen des Kunden. Der Kunde garantiert, dass er rechtmäßig befugt ist, die Kundendaten zu verarbeiten und an Famly weiterzugeben. Der Kunde ist dafür verantwortlich, seine jeweiligen Datenschutzhinweise zu pflegen und zu aktualisieren, sowie Famly darin als seinen Auftragsverarbeiter zu erwähnen.

5.2. Technische und organisatorische Maßnahmen. Dem Kunden sind die in Anhang 1 aufgeführten technischen und organisatorischen Maßnahmen bekannt, und es liegt in seiner Verantwortung, dass diese Maßnahmen ein dem Risiko angemessenes Sicherheitsniveau gewährleisten.

5.3. Unterstützung bei der Abwehr von Rechtsansprüchen. Die obige Klausel 4.6 gilt entsprechend für Ansprüche, die von betroffenen Personen gegen Famly in Übereinstimmung mit Artikel 82 der DSGVO geltend gemacht werden.


6. Weiterverarbeitung

6.1. Der Kunde erkennt an, dass Famly Subunternehmer einsetzt, die als Unterauftragsverarbeiter im Auftrag des Kunden handeln ("Unterauftragsverarbeiter").

6.2. Der Kunde erklärt sich damit einverstanden, dass die folgenden Unterauftragsverarbeiter für die Zwecke der Verarbeitung der Kundendaten im Rahmen dieses DPA zugelassen sind:

Autorisierte Unterauftragsverarbeiter
Unterauftragsverarbeiter
Ort der Verarbeitung
Beschreibung der untervergebenen Dienstleistung
Verarbeitete Kundendaten
SysEleven GmbH
Berlin, Deutschland
Datenzentrum für das Hosting der Plattform.
Alle Arten und Kategorien von Kundendaten, die in Klausel 3 aufgeführt sind.
noris network AG
Nürnberg und München, Deutschland
Für das Hosting von Dateien und Bildern
Fotos und Dateien, die auf die Plattform hochgeladen werden (einschließlich aller Kundendaten in diesen Dateien).
SMTP.dk ApS
Glostrup, Dänemark
Zum Senden von Benachrichtigungs-E-Mails
E-Mail-Adressen und Namen der autorisierten Benutzer.
Rsync.net Inc.
Zürich, Schweiz
Zur Datensicherung. Alle Daten werden von Famly mit einem Private-Key verschlüsselt, bevor sie an den Dienstleister zur Datensicherung übertragen werden. Der Dienstleister verfügt nicht über den Private-Key und kann somit die Daten nicht entschlüsseln.
Alle Arten und Kategorien von Kundendaten, die in Klausel 3 aufgeführt sind.
Planhat AB
Schweden und Irland
Für Kundenerfolg und Supportdienste
Name und E-Mail-Adressen der autorisierten Benutzer.
DeepL SE (Dieser Unterauftragsverarbeiter ist ein autorisierter Unterauftragsverarbeiter, wenn sich der Kunde für Famly Translate entschieden hat)
Finnland
Übersetzungsdienste
Kundendaten, die in Newsfeeds und Beobachtungsposts auf der Plattform enthalten sein können, die von Familiennutzern übersetzt werden
Famly GmbH.
Berlin, Deutschland
Tochtergesellschaft von Famly ApS. Die Kundendaten können für eine begrenzte Anzahl von Mitarbeitern zugänglich sein, damit diese Kundendienstleistungen erbringen können. Die Kundendaten sind nur zugänglich und werden NICHT auf einen separaten Server in Deutschland übertragen.
Alle Arten und Kategorien von Kundendaten, die in Klausel 3 aufgeführt sind.
3Q GmbH.
Nürnberg, Deutschland und Wien, Österreich
So kodieren Sie hochgeladene Videos
Bilder von Kindern, angestellten Mitarbeitenden und möglicherweise Eltern. Des Weiteren eventuell andere personenbezogene Daten, wenn sie in einem Video mündlich mitgeteilt werden.

6.3. Bevor Famly einen neuen Unterauftragsverarbeiter einsetzt oder einen Unterauftragsverarbeiter ersetzt, wird  Famly den Ansprechpartner des Kunden mit einer Frist von mindestens dreißig (30) Tagen im Voraus schriftlich darüber informieren. Der Kunde hat das Recht, innerhalb von zehn (10) Tagen nach Erhalt der Mitteilung von Famly schriftlich Einspruch zu erheben, vorausgesetzt, dass ein solcher Einspruch auf angemessenen Gründen in Bezug auf Datenschutz beruht. Famly wird die Bedenken prüfen und mögliche Lösungen mit dem Kunden besprechen. Wenn diese Lösungen nach dem Ermessen von Famly nicht möglich sind und der Kunde der Änderung weiterhin nicht zustimmt (eine solche Zustimmung darf nicht unbillig verweigert werden), kann der Kunde den Vertrag mit einer Frist von vierzehn (14) Tagen nach Erhalt der vorgenannten Entscheidung von Famly schriftlich kündigen. Wenn der Kunde den Vertrag nicht innerhalb dieser Frist kündigt, wird davon ausgegangen, dass der Kunde den jeweiligen Unterauftragsverarbeiter akzeptiert hat. Der Kunde erhält eine Rückerstattung aller im Voraus gezahlten Gebühren für den Zeitraum nach dem Datum des Wirksamwerdens der Kündigung in Bezug auf solche beendeten Dienste. Weitere Ansprüche des Kunden gegenüber Famly oder von Famly gegenüber dem Kunden können aus einer solchen Kündigung nicht abgeleitet werden.

6.4. Der Kunde akzeptiert, dass ein Austausch eines Unterauftragsverarbeiters erforderlich sein kann, wenn der Grund für den Wechsel außerhalb der zumutbaren Kontrolle von Famly liegt (so genannter Notaustausch). Famly wird den Kunden über einen solchen Wechsel informieren. Wenn der Kunde berechtigte Einwände gegen die Nutzung dieses Unterauftragsverarbeiters erhebt, kann der Kunde von seinem Recht Gebrauch machen, den Vertrag wie im obigen Abschnitt beschrieben zu kündigen.

6.5. Wenn Famly Unterauftragsverarbeiter beauftragt, ist Famly dafür verantwortlich, dass die Verpflichtungen von Famly zum Datenschutz, die sich aus dem Vertrag und diesem DPA ergeben, in dem Umfang, der auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen zutrifft, gültig und für den Unterauftragsverarbeiter verbindlich sind. Famly schließt eine schriftliche Vereinbarung ab und beschränkt den Zugang des Unterauftragsverarbeiters (und aller neuen Unterauftragsverarbeiter) zu den Kundendaten auf das, was für die Erbringung oder Aufrechterhaltung der Dienstleistungen in Übereinstimmung mit dem Vertrag und dieser DPA erforderlich ist.


7. Standort der Kundendaten und Übermittlung an Drittländer

7.1. Der Speicherort der Kundendaten ist in Klausel 6.2 oben aufgeführt.

7.2. Vorbehaltlich der autorisierten Unterauftragsverarbeiter in Klausel 6.2 wird Famly die Kundendaten nicht außerhalb des EWR übertragen, ohne das in Klausel 6.3 dargelegte Benachrichtigungs- und Widerspruchsverfahren einzuhalten.

7.3. Famly darf Kundendaten nur dann außerhalb des EWR übertragen, wenn ein angemessener Schutz der Kundendaten im Empfängerland gewährleistet ist. In Ermangelung eines Angemessenheitsbeschlusses gemäß der DSGVO wird ein angemessener Schutz im Empfängerland ("Drittland") sichergestellt, nachdem Famly eine Risikobewertung für die Übermittlung bzw. eine Folgenabschätzung der Übermittlung durchgeführt hat, und zwar durch die Umsetzung und gegebenenfalls die Aushandlung einer Vereinbarung, der die SCCs einschließt.


8. Aufbewahrung von Kundendaten

8.1. Die Kundendaten auf der Famly-Plattform werden bis 60 Tage nach Beendigung des Vertrages aufbewahrt oder bis der Kunde ausdrücklich die Löschung verlangt, oder sofern in Klausel 8.2 nicht anders angegeben.

8.2. Kundendaten, die von dem folgenden bevollmächtigten Unterauftragsverarbeiter verarbeitet werden, werden wie folgt aufbewahrt:

   a. DeepL SE: Kundendaten, die Teil der von Famly-Benutzern übersetzten Beiträge sind, werden von DeepL SE für die Dauer der Übersetzung aufbewahrt und nach Übermittlung der Übersetzung unwiderruflich gelöscht. Die Übersetzung wird dann für maximal 30 Tage auf dem Famly-Server bei SysEleven gespeichert.

   b. Rsync.net: Kundendatensicherungen werden 30 Tage ab dem Datum jeder Sicherung aufbewahrt.


9. Kündigung, Beendigung und Rückgabe oder Löschung von Kundendaten

9.1. Dieser DPA und die Verarbeitung bleiben bis 60 Tage nach Beendigung des Vertrages in Kraft, es sei denn, dieser DPA sieht Verpflichtungen vor, die über die Laufzeit des Vertrageshinausgehen.

9.2. Innerhalb von 60 Tagen nach Beendigung des Vertrages gibt Famly auf Anweisung des Kunden alle Kundendaten an den Kunden zurück oder löscht sie, sofern die DSGVO nichts anderes vorschreiben. Die Kundendaten werden unwiderruflich gelöscht und können nach diesen 60 Tagen nicht mehr abgerufen und dem Kunden zur Verfügung gestellt werden. In bestimmten, vom Kunden bestimmten Fällen werden die Kundendaten gespeichert. Die damit verbundenen Vergütungen und Schutzmaßnahmen werden gesondert vereinbart, sofern sie nicht bereits im Vertrag festgelegt sind.


10. Anfrage der betroffenen Person

10.1. Wenn eine betroffene Person gegenüber Famly Ansprüche auf Berichtigung, Löschung, Widerspruch oder Auskunft ("Anfrage der betroffenen Person") geltend macht und Famly in der Lage ist, die betroffene Person auf der Grundlage der von der betroffenen Person bereitgestellten Informationen mit dem Kunden in Verbindung zu bringen, wird Famly die betroffene Person darauf verweisen, den Kunden direkt zu kontaktieren.

10.2. Famly wird den Kunden auf Grundlage der Anweisungen des Kunden im Rahmen des Möglichen bei der Erfüllung einer Anfrage der betroffenen Person unterstützen, wenn der Kunde dies nicht ohne die Hilfe von Famly tun kann. Famly haftet nicht in Fällen, in denen der Kunde die Anfrage der betroffenen Person nicht vollständig, korrekt oder zeitgerecht beantwortet.


11. Datenvorfall

11.1 Famly benachrichtigt den Kunden unverzüglich, in jedem Fall aber innerhalb von 48 Stunden nach Bekanntwerden einer unbefugten oder unrechtmäßigen Verarbeitung, Änderung, eines Verlusts, einer Zerstörung oder Offenlegung der Kundendaten oder einer Beschädigung oder eines Zugriffs auf die Kundendaten innerhalb des Verantwortungsbereichs von Famly bei einem Unterauftragsverarbeiter, der Kundendaten in seinem Namen verarbeitet ("Datenvorfall"). Famly wird die erforderlichen Maßnahmen zur Sicherung der Kundendaten und zur Abmilderung möglicher negativer Folgen für die betroffene Person ergreifen. Famly wird diese Maßnahmen unverzüglich mit dem Kunden abstimmen.

11.2. Famly unterstützt den Kunden, soweit dies vernünftigerweise möglich ist und nur dann, wenn der Kunde dies nicht ohne die Hilfe von Famly tun kann, bei der Mitteilung von Datenverstößen an die betroffenen Personen und bei der Meldung von Datenverstößen an die zuständige Aufsichtsbehörde (vorausgesetzt, dass diese Unterstützung nicht zu einem Verstoß gegen die Vertraulichkeitsverpflichtungen von Famly gegenüber Dritten führt).


12. Datenschutz-Folgenabschätzung und Konsultation der Aufsichtsbehörden

12.1. Soweit die erforderlichen Informationen Famly zur Verfügung stehen und der Kunde nicht anderweitig Zugang zu den erforderlichen Informationen hat, wird Famly den Kunden auf schriftlichen Aufforderung hin in angemessener Weise bei der Durchführung einer Datenschutz-Folgenabschätzung und bei vorherigen Konsultationen mit den zuständigen Aufsichtsbehörden unterstützen, soweit dies entsprechend der DSGVO erforderlich ist.


13. Audits

13.1. Famly wird sich jährlich einer unabhängigen externen Prüfung der Informationssicherheit und der Maßnahmen gemäß dieses DPA unterziehen. Famly wird die Einhaltung der in dieser DPA vereinbarten technischen und organisatorischen Maßnahmen durch geeignete Maßnahmen dokumentieren.

13.2. Auf schriftliche Anfrage des Kunden stellt Famly dem Kunden eine Zusammenfassung eines unabhängigen externen Prüfberichts mit ausreichenden Informationen zur Verfügung, die es dem Kunden ermöglichen, in angemessener Weise zu überprüfen, ob Famly seinen Verpflichtungen gemäß dieses DPA nachkommt, einschließlich, dass Famly die in Anhang 1 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt hat. Die Dokumentationen sind vertrauliche Informationen von Famly und müssen als solche behandelt werden.

13.3. Der Kunde erklärt sich damit einverstanden, von seinem Prüfrecht Gebrauch zu machen, indem er Famly anweist, die Zusammenfassung des Prüfungsberichts, wie in Klausel 13.2 dieses DPA beschrieben,zur Verfügung zu stellen. Wenn der Kunde angemessener Weise zu dem Schluss kommt, dass eine Vor-Ort-Prüfung erforderlich ist, um die Einhaltung der technischen und organisatorischen Maßnahmen im Einzelfall oder die Einhaltung dieses DPA zu überwachen, hat der Kunde das Recht, entsprechende Vor-Ort-Prüfungen im Einzelfall durchzuführen oder von einem Prüfer (der kein Konkurrent von Famly ist) durchführen zu lassen, vorausgesetzt, der Kunde informiert Famly mit einer Frist von mindestens 30 Tagen darüber und dass solche Prüfungen und Inspektionen (i) während der üblichen Geschäftszeiten, (ii) ohne unverhältnismäßige Beeinträchtigung des Geschäftsbetriebs von Famly, (iii) nach vorheriger angemessener Ankündigung und weiterer Rücksprache mit Famly, (iv) vorbehaltlich einer Vertraulichkeitsverpflichtung (sofern nicht bereits durch den Vertrag abgedeckt), insbesondere zum Schutz der Vertraulichkeit der implementierten technischen und organisatorischen Maßnahmen und Sicherheitsvorkehrungen durchgeführt werden.

13.4. Im Falle einer Vor-Ort-Prüfung trägt der Kunde seine eigenen Kosten und erstattet Famly die Kosten für seine internen Ressourcen, die für die Durchführung der Vor-Ort-Prüfung erforderlich sind (auf Grundlage von Zeit und Material gemäß der jeweils aktuellen Preisliste). Sollte sich bei der Prüfung herausstellen, dass Famly gegen seine Verpflichtungen aus dem Vertrag oder dieses DPA verstoßen hat, wird Famly den Verstoß unverzüglich auf eigene Kosten beheben und alle vom Kunden geleisteten Zahlungen für die Kosten der internen Ressourcen von Famly im Zusammenhang mit der Vor-Ort-Prüfung des Kunden erstatten.


14. Haftung und Haftungsbeschränkungen

14.1. Famly haftet nur für Datenschutzverletzungen, -kosten und -ausgaben, die dadurch entstehen, dass i) Famly seinen Verpflichtungen gemäß dieses DPA nicht nachkommt; ii) Famly seinen Verpflichtungen als Auftragsverarbeiter gemäß der DSGVO nicht nachkommt; oder iii) der bevollmächtigte Unterauftragsverarbeiter von Famly seinen Datenschutzverpflichtungen nicht nachkommt (unabhängig davon, ob diese vertraglich gegenüber Famly oder durch die DSGVO auferlegt wurden).

14.2. Die Gesamthaftung jeder Partei, die sich aus diesem DPA ergibt oder mit ihr zusammenhängt, unterliegt den Haftungsausschlüssen und -beschränkungen in Abschnitt 13 des Vertrags, sofern nichts anderes vereinbart wurde.


15. Informationspflichten, Änderungen und Datenschutzbeauftragter

15.1. Wenn die Kundendaten Gegenstand einer Durchsuchung und Beschlagnahme, eines Pfändungsbeschlusses, einer Beschlagnahme während eines Konkurs- oder Insolvenzverfahrens oder ähnlicher Ereignisse oder Maßnahmen durch Dritte werden, während sie sich in der Kontrolle von Famly befinden, wird Famly den Kunden unverzüglich über diese Maßnahmen informieren und die angemessenen Anweisungen des Kunden zur Wahrung der Vertraulichkeit der Kundendaten befolgen. Famly wird alle an solchen Maßnahmen beteiligten Parteien unverzüglich davon in Kenntnis setzen, dass sich die davon betroffenen Kundendaten im alleinigen Eigentum und Verantwortungsbereich des Kunden befinden, dass die Kundendaten in der alleinigen Verfügungsgewalt des Kunden stehen und dass der Kunde die verantwortliche Stelle im Sinne der DSGVO ist.

15.2. Abschnitt 19 des Vertrages über das Recht von Famly, die Bedingungen des Vertrages zu ändern, gilt für Änderungen an diesem DPA, da diese DPA Teil des Vertrages ist.Zur Klarstellung, dies gilt nicht für die Benachrichtigung neuer Unterauftragsverarbeiter gemäß Abschnitt 6.3.

15.3. Famly hat einen Datenschutzbeauftragten ernannt, der für Fragen der Privatsphäre und des Datenschutzes verantwortlich ist. Dieser Datenschutzbeauftragte ist unter der folgenden Adresse zu erreichen:

Attn. Datenschutzbeauftragter
Købmagergade 19, 2. tv.
1150 Kopenhagen K
Dänemark
privacy@famly.co


16. Kontaktperson 

16.1. Die Vertragsparteien müssen einander eine Kontaktstelle für alle datenschutzrechtlichen Fragen benennen, die sich aus dem Vertrag und diesem DPA ergeben oder mit ihnen in Zusammenhang stehen.

16.2. In solchen Fällen kann sich der Kunde an das Famly Security & Privacy Team unter privacy@famly.co wenden.

16.3. Der Kunde informiert Famly über seine Kontaktstelle ("Kundenkontaktstelle"). Diese Kontaktstelle ist der Hauptansprechpartner, wenn Famly bei Anfragen der betroffenen Personen behilflich ist, über Datenschutzvorfälle informiert und den Kunden über neue Unterauftragsverarbeiter oder Änderungen dieser DPA informiert.


17. Abschließende Vereinbarung

Soweit nicht durch diesen DPA geändert, bleibt der Vertrag in vollem Umfang in Kraft und wirksam. Im Falle eines Konflikts hat die DPA Vorrang vor den Bestimmungen des Vertrags. Sollten einzelne Bestimmungen dieses DPAs unwirksam oder undurchführbar sein, so wird dadurch die Wirksamkeit und Durchführbarkeit der übrigen Bestimmungen dieses DPA nicht berührt. Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame und durchführbare Bestimmung zu ersetzen, die dem Sinn und Zweck der unwirksamen Bestimmung möglichst nahe kommt.


18. Geltendes Recht & Streitbeilegung

Abschnitt 23 des Vertrags (Anwendbares Recht und Streitbeilegung) gilt für dieses DPA.


Anhang 1 - Technische und organisatorische Sicherheitsmaßnahmen (Artikel 32 der DSGVO)

Famly hat bestimmte technische und organisatorische Sicherheitsmaßnahmen ergriffen, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten. Diese Maßnahmen dienen dazu, die unzulässige Zerstörung, Änderung, Weitergabe, den Zugang und andere unzulässige Formen der Verarbeitung von Kundendaten zu verhindern. Die Maßnahmen sind Teil dieses Anhangs 1 und können hier eingesehen werden.