Dieser Nachtrag zum Digital Operational Resilience Act („DORA“) („Nachtrag“) wird erstellt, um die Einhaltung der VERORDNUNG (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über die digitale Betriebsstabilität des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 zu dokumentieren.
Dieser Nachtrag wird mit dem Datum der Unterzeichnung beider Parteien wirksam.
Im Falle von Unstimmigkeiten oder Konflikten zwischen den Bestimmungen dieses Nachtrags und den Bestimmungen anderer Dokumente, auf die in der Vereinbarung verwiesen wird, haben die Bestimmungen dieses Nachtrags im Umfang dieser Unstimmigkeiten oder Konflikte Vorrang.
Vereinbarung - bezeichnet die Auftragsbestätigung, die Allgemeinen Geschäftsbedingungen, die Datenverarbeitungsvereinbarung, den DORA-Nachtrag und die zwischen Formalize und dem Kunden vereinbarten Service Level Agreements.
IKT-Dienstleistungen – hat die in Artikel 3 von DORA festgelegte Bedeutung.
Personenbezogene Daten - bezeichnet alle Informationen gemäß der Definition in Artikel 4.1 der Datenschutz-Grundverordnung (EU) 2016/679.
Prozessor - hat die in Artikel 4.8 der Datenschutz-Grundverordnung (EU) 2016/679 festgelegte Bedeutung.
Dienstleistungen - bezeichnet die von Formalize im Rahmen der Vereinbarung für den Kunden erbrachten Dienstleistungen.
Untervergabe – bedeutet den Einsatz von Subunternehmern durch Formalize, um seine Verpflichtungen zu erfüllen und seine Dienstleistungen im Rahmen des Vertrags und dieses Zusatzes zu erbringen.
Der Kunde ist eine juristische Person, die in den Geltungsbereich von DORA gemäß der Definition in Artikel 2 von DORA und/oder dessen umsetzendem nationalen Recht fällt.
Formalize verpflichtet sich, dem Kunden Dienstleistungen bereitzustellen, die unter DORA als ICT-Dienstleistungen definiert sind. Der Zweck dieses Zusatzes besteht darin, sicherzustellen, dass diese Anforderungen und Standards in den Vertrag aufgenommen werden.
Für die Zwecke dieses Zusatzes gehen die Parteien davon aus, dass Formalize ApS die wichtigen oder kritischen Geschäftsfunktionen des Kunden unterstützt.
Eine klare und vollständige Beschreibung aller von Formalize bereitzustellenden Funktionen und IKT-Dienste finden Sie in den Allgemeinen Geschäftsbedingungen, die Teil dieser Vereinbarung sind. Diese IKT-Dienste gelten als Cloud-Dienste: SaaS.
Es obliegt dem Kunden, zu ermitteln, welche dieser Dienste seine wichtigen oder kritischen Geschäftsfunktionen unterstützen.
Der Kunde ist berechtigt, die Leistung von Formalize im Zusammenhang mit dem Vertrag und den vereinbarten Servicelevels kontinuierlich zu überwachen. In diesem Zusammenhang wird dem Kunden gewährt:
Um die Ausübung dieser Rechte zu erleichtern, stellt Formalize dem Kunden Zertifizierungen Dritter sowie interne und externe Prüfberichte zur Verfügung. Diese sind jederzeit im Trust Center von Formalize verfügbar, wie weiter unten in 4.3. Berichterstattung näher erläutert.
Zudem hat der Kunde das Recht, in einer Häufigkeit, die aus der Perspektive des Risikomanagements vernünftig und gerechtfertigt ist, Änderungen des Umfangs der Zertifizierungen oder Prüfberichte für andere relevante Systeme und Kontrollen anzufordern. Der Kunde hat außerdem das vertragliche Recht, einzelne und zusammengefasste Audits nach eigenem Ermessen in Bezug auf die vertraglichen Vereinbarungen durchzuführen und diese Rechte entsprechend der vereinbarten Häufigkeit auszuüben.
Formalize verpflichtet sich, den Kunden unverzüglich schriftlich über Entwicklungen zu benachrichtigen, die einen wesentlichen Einfluss auf die Fähigkeit von Formalize haben könnten, die Dienste in Übereinstimmung mit den folgenden Anforderungen effektiv zu erbringen:
Formalize unterzieht sich jährlichen Prüfungen, und im Rahmen der erhaltenen und erneuerten Zertifizierungen und Berichte wird der Notfallplan überprüft und getestet. Zudem führt Formalize, um die oben genannten Zertifizierungen und Berichte aufrechtzuerhalten, alle sechs Monate einen Test des Notfallwiederherstellungsplans durch. Darüber hinaus führt Formalize einmal jährlich einen Penetrationstest durch, der von einer unabhängigen dritten Partei durchgeführt wird. Die Ergebnisse dieser Tests werden auf der Webseite von Formalize im Trust Center veröffentlicht.
Der Kunde hat das Recht, von Formalize zu verlangen, dass ihm Berichte (einschließlich interner oder externer Prüfberichte) zur Verfügung gestellt werden, sofern diese Berichte aufzeigen, dass Formalize nicht in der Lage ist, die Dienste gemäß den in dieser Klausel festgelegten Anforderungen effektiv zu erbringen.
Der Kunde ist dafür verantwortlich, Formalize eine spezifische E-Mail-Adresse zur Verfügung zu stellen und diese regelmäßig zu aktualisieren, an die Mitteilungen im Zusammenhang mit DORA gesendet werden.
Vorfälle werden gemäß der im Service Level Agreement beschriebenen Vorgehensweise verwaltet und dem Kunden mitgeteilt.
Formalize wird dem Kunden im Falle eines Vorfalls, der aus oder im Zusammenhang mit den Diensten entsteht, alle erforderliche Unterstützung bereitstellen.
Jegliche Unterstützung im Zusammenhang mit einem IKT-bezogenen Vorfall wird von Formalize kostenlos bereitgestellt, es sei denn, die Parteien haben etwas anderes vereinbart.
Formalize kann Subunternehmer einsetzen, um einen Teil der Dienste zu erbringen („Subuntervergabe“ an einen „Subunternehmer“).
Hinsichtlich der subunternehmerisch erbrachten Dienste, des Standorts, der Dauer der Lieferkette, der Art der Daten, des Subunternehmers und der Standorte der Dienste (Verarbeitung und Speicherung der Daten) sind diese Informationen im Formular Formalize - DORA - Supplier Data sowie in der Vereinbarung zur Datenverarbeitung enthalten, die zusammen mit diesem Nachtrag bereitgestellt werden.
Für den Fall, dass Formalize Subunternehmer zur Erbringung eines Teils der Dienste einsetzt, erkennt Formalize an und stimmt zu:
Formalize stellt in der Datenverarbeitungsvereinbarung eine aktuelle Übersicht über die Standorte (Länder) bereit, an denen die untervergebenen Dienste bereitgestellt werden und in denen Daten verarbeitet werden, einschließlich des Speicherorts.
Formalize informiert den Kunden über etwaige Änderungen der Standorte, an denen die ausgelagerten Funktionen und Dienstleistungen erbracht werden.
Formalize hat unter Berücksichtigung des aktuellen Stands der technologischen Entwicklung und der verfügbaren Maßnahmen geeignete technische und organisatorische Maßnahmen umgesetzt, darunter unter anderem, soweit angemessen:
Ungeachtet gegenteiliger Bestimmungen hat der Kunde während der Laufzeit der Vereinbarung jederzeit das Recht, auf Daten, die ihm gehören, in einer Weise zuzugreifen, die mit der Funktionalität der Dienste übereinstimmt.
Im Falle einer Insolvenz oder Einstellung des Geschäftsbetriebs von Formalize hat der Kunde uneingeschränkten Zugriff auf die ihm gehörenden Daten.
Die Leistungserbringung von Formalize umfasst die Verarbeitung der personenbezogenen Daten des Kunden im Rahmen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Datenschutz-Grundverordnung“). Zu diesem Zweck haben die Parteien eine separate Datenverarbeitungsvereinbarung geschlossen, in der die Verantwortlichkeiten und Pflichten in Bezug auf diese Verarbeitung personenbezogener Daten festgelegt sind.
Gegebenenfalls und mindestens jährlich nimmt das Personal von Formalize an Programmen zur Sensibilisierung für die Sicherheit teil.
Die relevanten Mitarbeiter von Formalize können aufgefordert werden, an den IKT-Sicherheitsbewusstseinsprogrammen und Schulungen zur digitalen betrieblichen Resilienz des Kunden teilzunehmen, wenn der Kunde der Meinung ist, dass der Inhalt der Bewusstseinsprogramme von Formalize nicht ausreichend für die Zwecke der DORA ist.
Wenn die Programme und Schulungen Auswirkungen auf die normalen Geschäftstätigkeiten von Formalize haben, hat Formalize das Recht, eine im Voraus festgelegte Gebühr für die Verfügbarkeit der Mitarbeiter zu berechnen.
Die Laufzeit dieses Nachtrags beginnt mit dem Datum seiner Unterzeichnung und bleibt in vollem Umfang wirksam bis (i) dem Datum, an dem die aktive Vereinbarung abläuft oder gemäß den Bedingungen der Vereinbarung gekündigt wird; (ii) dem Datum, an dem die aktive Vereinbarung gemäß den Bestimmungen dieses Nachtrags gekündigt wird; oder (iii) dem Datum, an dem der Kunde kein DORA-pflichtiges Unternehmen mehr ist.
Zusätzlich zu den in den Allgemeinen Geschäftsbedingungen genannten Kündigungsrechten des Kunden kann der Kunde eine Vereinbarung kündigen, wenn:
Bezüglich der in den Klauseln a, b und c beschriebenen Kündigungsrechte muss der Kunde Formalize mindestens 15 Tage im Voraus schriftlich benachrichtigen. Diese Benachrichtigung dient als Nachbesserungsfrist für Formalize, um den festgestellten Verstoß, das Risiko oder die Schwäche zur angemessenen Zufriedenheit des Kunden zu beheben. Sollte es Formalize innerhalb der Nachbesserungsfrist nicht gelingen, das Problem ausreichend zu beheben, kann der Kunde die Vereinbarung mit sofortiger Wirkung kündigen.
Im Falle einer Kündigung gemäß Klausel d gilt die Vereinbarung mit der schriftlichen Mitteilung des Kunden sofort als gekündigt, ohne dass es einer Nachfrist bedarf.
Die Beendigung gemäß dieser Klausel lässt alle anderen Rechte oder Rechtsmittel, die dem Kunden gemäß dem Vertrag oder dem geltenden Recht zur Verfügung stehen, unberührt.
Die Absicht dieses Abschnitts (im Folgenden als „Ausstiegsplan“ bezeichnet) besteht darin, Klarheit über eine angemessene Übergangsfrist für Fälle zu schaffen, in denen die Vereinbarung gekündigt wurde oder wird (oder bald gekündigt wird). Der Ausstiegsplan sieht Maßnahmen vor, um einen reibungslosen und rechtzeitigen Übergang zu gewährleisten, wobei Formalize verpflichtet ist, beim Ausstieg uneingeschränkt zu kooperieren.
Der Exit-Plan beginnt 30 Tage vor Vertragsende.
Soft-Exit - 30 Tage vor den Kündigungen
Ab diesem Tag und für die folgenden 30 Tage hat der Kunde weiterhin Zugriff auf die Dienste, alle Anwendungen und alle gespeicherten Daten. Der Kunde muss die Gelegenheit nutzen, die relevanten Daten aus der Infrastruktur von Formalize zu extrahieren. Während dieser Frist muss der Kunde Formalize alle anderen Informationen mitteilen, die nicht extrahiert werden konnten, um dem Kunden die Migration zu einem anderen IKT-Drittanbieter oder den Wechsel zu internen Lösungen zu ermöglichen, die der Komplexität des bereitgestellten Dienstes angemessen sind.
Während der Soft-Exit-Phase trägt der Kunde die Verantwortung für die Einleitung aller Datenexportaktivitäten. Formalize unterstützt den Kunden beim Export der oben unter Daten aufgeführten Elemente.
Hard-Exit - Datenlöschung - Tage 1 bis 30 nach Kündigung
Nach der Soft-Exit-Phase überprüft Formalize alle Kundendaten und stellt sicher, dass diese aus seiner Infrastruktur entfernt werden. Diese Entfernung erfolgt innerhalb von 30 Tagen nach Abschluss der Soft-Exit-Phase. Danach werden die Informationen 90 Tage lang im Backup-Speicher aufbewahrt.
Nach der Soft-Exit-Phase überprüft Formalize alle Kundendaten und stellt sicher, dass diese aus seiner Infrastruktur entfernt werden. Diese Entfernung erfolgt innerhalb von 30 Tagen nach Abschluss der Soft-Exit-Phase. Danach werden die Informationen 90 Tage lang im Backup-Speicher aufbewahrt.
Während der Hard-Exit-Phase ist Formalize für die endgültige Löschung aller Kundendaten aus seiner Infrastruktur und für die schriftliche Information des Kunden über den Abschluss des Ausstiegplans verantwortlich.
Zusammenarbeit beim Ausstieg:
Formalize ist verpflichtet, bei der Umsetzung des Ausstiegs uneingeschränkt mitzuwirken und alle erforderlichen Maßnahmen durchzuführen, vorbehaltlich der nachstehend festgelegten Grenzen.
Die Dienstleistungen von Formalize können nach dem Beendigungsdatum fortgeführt werden und solange bestehen bleiben, bis der Übergang zu einem neuen Dienstleister oder System vollständig abgeschlossen ist. Der Kunde muss Formalize über seine Absicht informieren, weiterhin auf das System zuzugreifen. Diese Mitteilung muss vor dem Beendigungsdatum erfolgen, und die Parteien werden eine Interimsvereinbarung für einen Zeitraum zwischen 6 Monaten und 1 Jahr vereinbaren. Die Kosten für die Interimsvereinbarung können eine Preissteigerung von maximal 10 % im Vergleich zur vorherigen Vereinbarung beinhalten.
Aktualisierung des Ausstiegsplans:
Der Ausstiegsplan kann auf schriftliche Anfrage des Kunden in Absprache mit Formalize jährlich aktualisiert und überarbeitet, einschließlich einer Kosten- und Zeitplanung.
Jede Anfrage des Kunden im Rahmen dieses Nachtrags muss:
Im Falle eines Konflikts oder einer Unstimmigkeit zwischen diesem Addendum und den Bedingungen der Vereinbarung hat dieses Addendum Vorrang.
Änderungen der Vereinbarung oder des Vertrags können nur schriftlich zwischen den Parteien vereinbart werden.
Dieses Nachtrag unterliegt dem dänischen nationalen Recht sowie den hierin genannten geltenden europäischen Vorschriften, einschließlich DORA und den damit verbundenen delegierten Verordnungen.
Falls das Gericht Artikel dieses Nachtrags für ungültig erklärt, bleiben die anderen Artikel vollständig in Kraft.
Die Bestimmungen dieses Nachtrags basieren auf dem Gesetz über die digitale operationelle Resilienz (DORA), seinen delegierten Rechtsakten, den technischen Durchführungsstandards (ITS) und den regulatorischen technischen Standards (RTS). Falls einer dieser Rechtsakte geändert oder aufgehoben wird und eine Bestimmung dieses Nachtrags nicht mehr im geltenden regulatorischen Rahmen vorgesehen oder erforderlich ist, tritt diese Bestimmung außer Kraft.Die übrigen Bestimmungen dieses Nachtrags bleiben jedoch weiterhin in vollem Umfang gültig, es sei denn, die Parteien vereinbaren etwas anderes.
