Zweck dieses Anhangs ist es, die Bedingungen festzulegen, unter denen sich FYGR als Auftragsverarbeiter und im Rahmen der in diesem Dokument definierten Dienste verpflichtet, im Auftrag seiner Nutzer die Verarbeitung personenbezogener Daten gemäß den geltenden Bestimmungen zum Schutz personenbezogener Daten, insbesondere dem geänderten Gesetz vom 6. Januar 1978 über Informatik, Dateien und Freiheiten sowie der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, die seit dem 25. Mai 2018 anwendbar ist (im Folgenden "DSGVO"), durchzuführen.
Für die Zwecke dieser Vereinbarung handelt FYGR daher in den folgenden Fällen als "Auftragsverarbeiter": Wenn der Kunde durch die Nutzung des Powens-Dienstes, der Bridge API oder Fintecture persönliche Informationen über Dritte speichert oder ihnen Zugang zu diesen Informationen gewährt.
Es wird davon ausgegangen, dass der Nutzer als "für die Verarbeitung Verantwortlicher" im Sinne der Definitionen der DSGVO handelt.
Im Rahmen ihrer vertraglichen Beziehungen verpflichten sich die Parteien, die geltenden Vorschriften über die Verarbeitung personenbezogener Daten einzuhalten.↪Lo_Cf_200D↩
Im Rahmen ihrer vertraglichen Beziehungen verpflichten sich die Parteien, die geltenden Vorschriften über die Verarbeitung personenbezogener Daten einzuhalten.↪Lo_Cf_200D↩
Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als "identifizierbare natürliche Person" wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Sensible Daten oder besondere Datenkategorien: personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person. (Art. 9 DSGVO).
Verarbeitung: jeder Vorgang oder jede Gruppe von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren durchgeführt werden und auf personenbezogene Daten oder Datensätze angewendet werden, wie das Erheben, das Speichern, die Organisation, die Strukturierung, die Aufbewahrung, die Anpassung oder Änderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Verantwortlicher: die natürliche oder juristische Person, Behörde, Dienststelle oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.Auftragsverarbeiter: die natürliche oder juristische Person, Behörde, Dienststelle oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
Empfänger: die natürliche oder juristische Person, Behörde, Dienststelle oder jede andere Stelle, die personenbezogene Daten erhält, unabhängig davon, ob es sich dabei um einen Dritten handelt oder nicht. Öffentliche Behörden, die im Rahmen eines besonderen Untersuchungsauftrags nach dem Unionsrecht oder dem Recht eines Nutzerstaates möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die betreffenden öffentlichen Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften für die Zwecke der Verarbeitung.
FYGR ist als Subunternehmer, der nach den Anweisungen des Nutzers handelt, berechtigt, die personenbezogenen Daten des für die Verarbeitung Verantwortlichen in dem Umfang zu verarbeiten, der für die Erbringung der Dienstleistungen erforderlich ist.
Die Art der von FYGR durchgeführten Operationen in Bezug auf Persönliche Daten kann die Speicherung von Informationen und/oder jede andere Dienstleistung, wie in den AGB beschrieben, sein. Die Art der Persönlichen Daten und die Kategorien der betroffenen Personen werden vom Nutzer nach eigenem Ermessen bestimmt und kontrolliert. Die Verarbeitungsaktivitäten werden von FYGR für die in den ANB festgelegte Dauer durchgeführt.
Die Gesellschaft FYGR verpflichtet sich als Unterauftragnehmer zu :
1. Verarbeitung personenbezogener Daten ausschließlich zum Zweck der Erbringung von Dienstleistungen ;
2. Sie dürfen nicht auf Persönliche Daten zugreifen oder diese für andere Zwecke als die zur Erbringung der Dienstleistungen erforderlichen verwenden;
3. Persönliche Daten gemäß den dokumentierten Anweisungen des Nutzers verarbeiten ;
4. Den Nutzer darüber informieren, ob eine der Anweisungen ihrer Ansicht nach und unter Berücksichtigung der ihr zur Verfügung stehenden Informationen einen Verstoß gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen des Unionsrechts oder des Rechts der Nutzerstaaten darstellt;
5. Gewährleistung der Vertraulichkeit personenbezogener Daten, die im Rahmen der Ausübung ihrer Aufgaben verarbeitet werden ;
6. Gegebenenfalls sicherstellen, dass die Nutzer seiner Mitarbeiter, die zur Verarbeitung der personenbezogenen Daten berechtigt sind :
7. Bei ihren Werkzeugen, Produkten, Anwendungen oder Dienstleistungen die Grundsätze "Datenschutz durch Technik" und "Datenschutz durch Voreinstellungen" berücksichtigen ;
8. Nachträgliche Auftragsverarbeiter:
FYGR kann einen anderen Auftragsverarbeiter beauftragen, die Persönlichen Daten in Verbindung mit der Erbringung der Dienstleistungen zu verarbeiten ("Nachträgliche Auftragsverarbeiter"). Der Nutzer ermächtigt FYGR ausdrücklich, diese Unternehmen als Unterauftragsverarbeiter zu beauftragen.
In jedem Fall ist der Unterauftragsverarbeiter verpflichtet, die Verpflichtungen aus diesem Vertrag im Namen und nach den Anweisungen von FYGR zu erfüllen. Es liegt in der Verantwortung von FYGR, sicherzustellen, dass der nachfolgende Unterauftragnehmer die gleichen ausreichenden Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen bietet, so dass die Verarbeitung den Anforderungen der Europäischen Datenschutzverordnung entspricht. Falls der Unterauftragnehmer seine Datenschutzverpflichtungen nicht erfüllt, bleibt FYGR gegenüber dem Nutzer voll verantwortlich für die Erfüllung seiner Verpflichtungen durch den anderen Unterauftragnehmer.
9. Recht auf Information der betroffenen Personen:
Der Nutzer als Verantwortlicher für die Verarbeitung ist voll verantwortlich für die Information der betroffenen Personen über ihre Rechte und die Einhaltung dieser Rechte, einschließlich der Rechte auf Zugang, Berichtigung, Löschung, Einschränkung oder Übertragbarkeit.
10. Ausübung der Rechte von Personen:
FYGR leistet Kooperation und Unterstützung, soweit dies vernünftigerweise erforderlich ist, um auf Anfragen von betroffenen Personen zu reagieren. Diese angemessene Zusammenarbeit und Unterstützung kann darin bestehen, dass (a) dem Nutzer jede Anfrage, die er direkt von der betroffenen Person erhält, mitgeteilt wird und (b) der für die Verarbeitung Verantwortliche die technischen und organisatorischen Maßnahmen entwerfen und einsetzen kann, die erforderlich sind, um die Anfragen der betroffenen Personen zu beantworten.
Der Nutzer ist als der für die Verarbeitung Verantwortliche allein für die Beantwortung dieser Anfragen verantwortlich.
Der Nutzer erkennt an und stimmt zu, dass, falls eine solche Zusammenarbeit und Unterstützung erhebliche Ressourcen von FYGR erfordert, dies dem Nutzer in Rechnung gestellt werden kann, vorausgesetzt, dass der Nutzer vorab darüber informiert wird und seine Zustimmung erhält.
11. Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten:
FYGR verpflichtet sich, den Nutzer innerhalb von maximal 72 (zweiundsiebzig) Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten auf jede Weise zu benachrichtigen. Dieser Benachrichtigung werden alle relevanten Unterlagen beigefügt, um es dem Nutzer zu ermöglichen, diese Verletzung gegebenenfalls der zuständigen Aufsichtsbehörde (CNIL) zu melden.
12. Unterstützung von FYGR bei der Erfüllung der Verpflichtungen des Nutzers:
FYGR verpflichtet sich, den Nutzer bei der Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen, soweit dies möglich und erforderlich ist.
FYGR verpflichtet sich ebenfalls, den Nutzer bei der Durchführung der vorherigen Konsultation der Aufsichtsbehörde (CNIL) zu unterstützen, soweit dies erforderlich ist.
13. Sicherheitsmaßnahmen:
FYGR setzt geeignete technische und organisatorische Maßnahmen ein, um die Sicherheit, Vertraulichkeit und Integrität der Datenverarbeitung zu gewährleisten und die Daten gegen Zerstörung, Verlust, Änderung, unbefugte Offenlegung personenbezogener Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden, oder gegen unbefugten Zugriff auf solche Daten zu schützen.
14. Verbleib der Daten:
Bei Beendigung des Dienstes (insbesondere im Falle der Kündigung der AGB) verpflichtet sich FYGR, alle Inhalte (insbesondere Daten, Dateien, etc.), die vom Nutzer im Rahmen der Dienste vervielfältigt, gespeichert, gehostet oder anderweitig genutzt werden, zu löschen, es sei denn, eine Aufforderung einer zuständigen gesetzlichen oder gerichtlichen Behörde oder das anwendbare Recht der Europäischen Union oder eines Nutzerstaates der Europäischen Union verlangt etwas anderes.
Der Nutzer ist allein dafür verantwortlich, sicherzustellen, dass die notwendigen Vorgänge (wie z.B. Backup, Übertragung an eine Drittlösung etc.) zur Aufbewahrung der Persönlichen Daten durchgeführt werden, insbesondere vor der Kündigung oder dem Ablauf der Dienste und vor der Durchführung jeglicher Lösch-, Aktualisierungs- oder Neuinstallationsvorgänge der Dienste.
In diesem Zusammenhang wird der Nutzer darauf hingewiesen, dass die Kündigung und der Ablauf der Dienste aus irgendeinem Grund sowie bestimmte Aktualisierungs- oder Neuinstallationsvorgänge der Dienste automatisch zur unwiderruflichen Löschung aller Inhalte führen können, die vom Nutzer im Rahmen der Dienste reproduziert, gespeichert, gehostet oder anderweitig verwendet werden, einschließlich aller potenziellen Sicherungskopien.
15. Register der Kategorien von Verarbeitungstätigkeiten:
FYGR erklärt, ein schriftliches Register aller Kategorien von Verarbeitungstätigkeiten zu führen, die im Auftrag des Nutzers durchgeführt werden, das Folgendes umfasst:
16. Dokumentation:
FYGR stellt seinen Nutzern die notwendige Dokumentation zur Verfügung, um die Einhaltung aller seiner Verpflichtungen nachzuweisen und um Audits, einschließlich Inspektionen, durch den Nutzer oder einen anderen von ihm beauftragten Auditor zu ermöglichen und zu solchen Audits beizutragen.
Im Rahmen solcher Audits ist es dem Nutzer oder dem von ihm beauftragten Auditor jedoch nicht gestattet, auf Geschäftsgeheimnisse von FYGR, strategische Informationen von FYGR oder Informationen, zu deren vertraulicher Behandlung sich FYGR gegenüber seinen anderen Kunden und/oder Partnern verpflichtet hat, zuzugreifen. FYGR kann sich jeder Kontrollmaßnahme des Nutzers oder des von ihm beauftragten Prüfers widersetzen, die ihnen Zugang zu solchen Daten oder Informationen verschaffen könnte. FYGR wird darüber hinaus in jedem Fall dafür sorgen, dass der Prüfer und generell das Personal, das die Prüfung durchführt, angemessenen Geheimhaltungsverpflichtungen unterliegt.
Der Nutzer verpflichtet sich, seine Verpflichtungen als Verantwortlicher für die Datenverarbeitung gemäß der DSGVO einzuhalten. In diesem Zusammenhang obliegt es ihm insbesondere, sicherzustellen, dass :
Darüber hinaus verpflichtet sich der Nutzer zu :