Anhang Unterauftragsverarbeiter persönliche Daten

Einführung

Zweck dieses Anhangs ist es, die Bedingungen festzulegen, unter denen sich FYGR als Auftragsverarbeiter und im Rahmen der im Dokument definierten Dienste verpflichtet, im Auftrag seiner Nutzer die Verarbeitung personenbezogener Daten gemäß den geltenden Bestimmungen zum Schutz personenbezogener Daten, insbesondere dem geänderten Gesetz vom 6. Januar 1978 über Informatik, Dateien und Freiheiten sowie der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, die seit dem 25. Mai 2018 anwendbar ist (im Folgenden "DSGVO"), durchzuführen.‍
Für die Zwecke dieser Vereinbarung handelt FYGR daher in den folgenden Fällen als "Auftragsverarbeiter": Wenn der Kunde durch die Nutzung des Budgea API-, Bridge- oder Fintecture-Dienstes personenbezogene Informationen über Dritte speichert oder ihnen Zugang dazu verschafft.‍‍
Vom Nutzer wird seinerseits angenommen, dass er als "für die Verarbeitung Verantwortlicher" im Sinne der Definitionen in der DSGVO handelt.‍
Im Rahmen ihrer vertraglichen Beziehungen verpflichten sich die Parteien, die geltenden Vorschriften über die Verarbeitung personenbezogener Daten einzuhalten.↪Lo_Cf_200D↩

Artikel 1. Definitionen

Für die Zwecke dieses Dokuments haben die folgenden Begriffe die gleiche Bedeutung wie in der DSGVO:
Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als "identifizierbare natürliche Person" wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Sensible Daten oder besondere Datenkategorien: personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person. (Art. 9 DSGVO).
Verarbeitung: jeder Vorgang oder jede Gruppe von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren durchgeführt werden und auf personenbezogene Daten oder Datensätze angewendet werden, wie das Erheben, das Speichern, die Organisation, die Strukturierung, die Aufbewahrung, die Anpassung oder Änderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Verantwortlicher: die natürliche oder juristische Person, Behörde, Dienststelle oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.Auftragsverarbeiter: die natürliche oder juristische Person, Behörde, Dienststelle oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
Empfänger: die natürliche oder juristische Person, Behörde, Dienststelle oder jede andere Stelle, die personenbezogene Daten erhält, unabhängig davon, ob es sich dabei um einen Dritten handelt oder nicht. Öffentliche Behörden, die im Rahmen eines besonderen Untersuchungsauftrags nach dem Unionsrecht oder dem Recht eines Nutzerstaates möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die betreffenden öffentlichen Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften für die Zwecke der Verarbeitung.

Artikel 2. Beschreibung der Verarbeitungen, die Gegenstand der Unterauftragsvergabe sind

FYGR ist als Subunternehmer, der nach den Anweisungen des Nutzers handelt, berechtigt, die personenbezogenen Daten des für die Verarbeitung Verantwortlichen in dem Umfang zu verarbeiten, der für die Erbringung der Dienstleistungen erforderlich ist.
Die Art der von FYGR durchgeführten Operationen in Bezug auf Persönliche Daten kann die Speicherung von Informationen und/oder jede andere Dienstleistung, wie in den AGB beschrieben, sein. Die Art der Persönlichen Daten und die Kategorien der betroffenen Personen werden vom Nutzer nach eigenem Ermessen bestimmt und kontrolliert. Die Verarbeitungsaktivitäten werden von FYGR für die in den ANB festgelegte Dauer durchgeführt.

Artikel 3. Pflichten von FYGR als Unterauftragnehmer

Die Gesellschaft FYGR verpflichtet sich als Unterauftragnehmer zu :
1. Verarbeitung personenbezogener Daten ausschließlich zum Zweck der Erbringung von Dienstleistungen;↪Lo_Cf_200D↩
2. Nicht auf personenbezogene Daten zugreifen oder sie für andere Zwecke als die zur Erbringung der Dienstleistungen erforderlichen verwenden;■ ■.
3. Personenbezogene Daten gemäß den dokumentierten Anweisungen des Nutzers verarbeiten;↪Lo_Cf_200D↩
‍4. Den Nutzer informieren, wenn nach ihrer Ansicht und unter Berücksichtigung der ihr vorliegenden Informationen eine der Anweisungen einen Verstoß gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen des Unionsrechts oder des Rechts der Nutzerstaaten darstellt.
5. Gewährleistung der Vertraulichkeit personenbezogener Daten, die im Rahmen der Ausübung ihrer Aufgaben verarbeitet werden;‍.
‍‍6. Gegebenenfalls sicherstellen, dass die Nutzer seiner Mitarbeiter, die zur Verarbeitung personenbezogener Daten berechtigt sind:
- sich zur Vertraulichkeit verpflichten oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen;
- die erforderliche Schulung im Bereich des Schutzes personenbezogener Daten erhalten;
‍‍7. Berücksichtigen Sie in Bezug auf ihre Werkzeuge, Produkte, Anwendungen oder Dienstleistungen die Grundsätze "Datenschutz durch Technik" und "Datenschutz durch Voreinstellungen".
‍8. Spätere Unterauftragnehmer :
‍FYGR kann einen weiteren Unterauftragnehmer beauftragen, die Persönlichen Daten im Zusammenhang mit der Ausführung der Dienstleistungen zu verarbeiten ("Unterauftragnehmer"). Der Nutzer ermächtigt FYGR ausdrücklich, diese Unternehmen als weitere Unterauftragnehmer zu beauftragen.
‍In jedem Fall ist der Unterauftragsverarbeiter verpflichtet, die Verpflichtungen aus diesem Vertrag im Namen und nach den Anweisungen von FYGR zu erfüllen. Es liegt in der Verantwortung von FYGR, sicherzustellen, dass der Unterauftragsverarbeiter die gleichen ausreichenden Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen bietet, so dass die Verarbeitung den Anforderungen der Europäischen Datenschutzverordnung entspricht. Falls der Unterauftragsverarbeiter seine Datenschutzverpflichtungen nicht erfüllt, bleibt FYGR gegenüber dem Nutzer voll verantwortlich für die Erfüllung seiner Verpflichtungen durch den Unterauftragsverarbeiter.
‍‍9. Informationsrecht der betroffenen Personen :
Der Nutzer als Verantwortlicher für die Verarbeitung ist voll verantwortlich für die Information der betroffenen Personen über ihre Rechte und für die Einhaltung dieser Rechte, einschließlich der Rechte auf Zugang, Berichtigung, Löschung, Einschränkung oder Übertragbarkeit.
10. Ausübung der Rechte von Personen :
FYGR leistet Kooperation und Unterstützung, soweit dies vernünftigerweise erforderlich ist, um die Anfragen der betroffenen Personen zu beantworten. Diese angemessene Zusammenarbeit und Unterstützung kann darin bestehen, dass (a) dem Nutzer jede Anfrage, die er direkt von der betroffenen Person erhält, mitgeteilt wird und (b) der Verantwortliche in die Lage versetzt wird, die technischen und organisatorischen Maßnahmen zu entwerfen und einzusetzen, die erforderlich sind, um die Anfragen der betroffenen Personen zu beantworten.
Der Nutzer ist als Verantwortlicher für die Verarbeitung allein für die Antworten auf diese Anfragen verantwortlich.
Der Nutzer erkennt an und stimmt zu, dass, falls eine solche Kooperation und Unterstützung erhebliche Ressourcen von FYGR erfordert, dies dem Nutzer in Rechnung gestellt werden kann, vorausgesetzt, dass der Nutzer vorab darüber informiert wird und seine Zustimmung erhält.
11. Meldung von Verletzungen des Schutzes personenbezogener Daten :
FYGR verpflichtet sich, den Nutzer innerhalb von maximal 72 (zweiundsiebzig) Stunden nach Kenntnisnahme einer Verletzung personenbezogener Daten mit allen Mitteln zu benachrichtigen. Dieser Benachrichtigung werden alle relevanten Unterlagen beigefügt, um den Nutzer in die Lage zu versetzen, diese Verletzung gegebenenfalls der zuständigen Aufsichtsbehörde (CNIL) zu melden.
12. Hilfe von FYGR bei der Einhaltung der Verpflichtungen des Nutzers :
FYGR verpflichtet sich, den Nutzer bei der Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen, soweit dies möglich und notwendig ist.
FYGR verpflichtet sich außerdem, falls erforderlich, den Nutzer bei der Durchführung der vorherigen Konsultation der Aufsichtsbehörde (CNIL) zu unterstützen.
13. Sicherheitsmaßnahmen :
FYGR setzt geeignete technische und organisatorische Maßnahmen ein, um die Sicherheit, Vertraulichkeit und Integrität der Datenverarbeitung zu gewährleisten und die Daten gegen Zerstörung, Verlust, Änderung, unbefugte Offenlegung personenbezogener Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden, oder gegen unbefugten Zugriff auf solche Daten zu schützen.
14. Sort der Daten :
Bei Beendigung des Dienstes (einschließlich der Beendigung der AGB) wird FYGR alle Inhalte (einschließlich Daten, Dateien usw.), die vom Nutzer im Rahmen der Dienste vervielfältigt, gespeichert, gehostet oder anderweitig genutzt werden, löschen, es sei denn, eine Aufforderung durch eine zuständige gesetzliche oder gerichtliche Behörde oder das anwendbare Recht der Europäischen Union oder eines Nutzerstaates der Europäischen Union verlangt etwas anderes.
Der Nutzer ist allein dafür verantwortlich, dafür zu sorgen, dass die notwendigen Maßnahmen (wie Sicherung, Übertragung auf eine Drittlösung usw.) zur Aufbewahrung der Persönlichen Daten durchgeführt werden, insbesondere vor der Kündigung oder dem Ablauf der Dienste und vor der Durchführung jeglicher Lösch-, Aktualisierungs- oder Neuinstallationsmaßnahmen der Dienste.
In diesem Zusammenhang wird der Nutzer darauf hingewiesen, dass die Beendigung und der Ablauf des Dienstes aus irgendeinem Grund sowie bestimmte Aktualisierungs- oder Neuinstallationsvorgänge der Dienste automatisch zur unwiderruflichen Löschung aller Inhalte führen können, die vom Nutzer im Zusammenhang mit den Diensten reproduziert, gespeichert, gehostet oder anderweitig verwendet werden, einschließlich aller potenziellen Sicherungskopien.
15. Register der Kategorien von Verarbeitungstätigkeiten :
FYGR erklärt, ein schriftliches Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Nutzers durchgeführt werden, zu führen, das Folgendes umfasst:
- Name und Kontaktdaten des Nutzers, in dessen Auftrag er handelt, etwaiger Subunternehmer und ggf. des Datenschutzbeauftragten ;
- Kategorien von Verarbeitungen, die im Auftrag des Nutzers durchgeführt werden ;
- gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz 2 DSGVO, der Dokumente, die das Vorhandensein geeigneter Garantien belegen ;
- soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
16. Dokumentation :
FYGR stellt seinen Nutzern die Dokumentation zur Verfügung, die notwendig ist, um die Einhaltung aller seiner Verpflichtungen nachzuweisen und um Audits, einschließlich Inspektionen, durch den Nutzer oder einen anderen von ihm beauftragten Auditor zu ermöglichen und zu diesen Audits beizutragen.
Im Rahmen solcher Prüfungen ist es dem Nutzer oder dem von ihm beauftragten Prüfer jedoch nicht gestattet, auf Geschäftsgeheimnisse von FYGR, strategische Informationen von FYGR oder Informationen, zu deren vertraulicher Behandlung FYGR sich gegenüber anderen Kunden und/oder Partnern verpflichtet hat, zuzugreifen. FYGR kann sich jeder Kontrollmaßnahme des Nutzers oder des von ihm beauftragten Prüfers widersetzen, die ihnen Zugang zu solchen Daten oder Informationen verschaffen könnte. FYGR wird darüber hinaus in jedem Fall dafür sorgen, dass der Prüfer und generell das Personal, das die Prüfung durchführt, angemessenen Geheimhaltungsverpflichtungen unterliegt.

Artikel 4. Pflichten des Nutzers als Datenverarbeiter gegenüber FYGR

Der Nutzer verpflichtet sich, seine Verpflichtungen als Verantwortlicher für die Datenverarbeitung gemäß der DSGVO einzuhalten. In diesem Zusammenhang obliegt es ihm insbesondere, sicherzustellen, dass :
- Die Verarbeitung personenbezogener Daten hat eine geeignete Rechtsgrundlage (z. B. die Einwilligung der betroffenen Person, das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder eine gesetzliche Bestimmung usw.) ;
- die Register der Datenverarbeitung aktualisiert werden ;
- alle erforderlichen Formalitäten und Verfahren (z. B. Folgenabschätzung, Meldung oder Antrag auf Genehmigung bei der Aufsichtsbehörde oder einer anderen Stelle) wurden ggf. durchgeführt;
- Die betroffenen Personen werden in knapper, transparenter, verständlicher und leicht zugänglicher Form über die Verarbeitung ihrer personenbezogenen Daten informiert ;
- die betroffenen Personen die Möglichkeit haben, ihre Rechte auszuüben, wie in der DSGVO vorgesehen;
- in ihren eigenen Systemen und Vorgängen, die nicht zum Umfang der Dienstleistungen gehören, technische und organisatorische Maßnahmen umgesetzt werden, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.
Darüber hinaus verpflichtet sich der Nutzer zu :
- jede Anweisung zur Datenverarbeitung schriftlich dokumentieren ;
- vorab und während der gesamten Dauer der Verarbeitung darauf achten, dass FYGR die in der DSGVO vorgesehenen Verpflichtungen einhält;
- die Verarbeitung zu beaufsichtigen, einschließlich der Durchführung von Audits und Inspektionen bei FYGR, unter den oben beschriebenen Bedingungen.