Dieser Nachtrag zum Digital Operational Resilience Act („DORA“) („Nachtrag“) wird erstellt, um die Einhaltung der VERORDNUNG (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über die digitale Betriebsstabilität des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 zu dokumentieren.
Dieser Nachtrag wird mit dem Datum der Unterzeichnung beider Parteien wirksam.
Im Falle von Unstimmigkeiten oder Konflikten zwischen den Bestimmungen dieses Nachtrags und den Bestimmungen anderer Dokumente, auf die in der Vereinbarung verwiesen wird, haben die Bestimmungen dieses Nachtrags im Umfang dieser Unstimmigkeiten oder Konflikte Vorrang.
Vereinbarung - bezeichnet die Auftragsbestätigung, die Allgemeinen Geschäftsbedingungen, die Datenverarbeitungsvereinbarung, den DORA-Nachtrag und die zwischen Formalize und dem Kunden vereinbarten Service Level Agreements.
ICT-Dienstleistungen – hat die in Artikel 3 von DORA festgelegte Bedeutung.
Personenbezogene Daten - bezeichnet alle Informationen gemäß der Definition in Artikel 4.1 der Datenschutz-Grundverordnung (EU) 2016/679.
Prozessor - hat die in Artikel 4.8 der Datenschutz-Grundverordnung (EU) 2016/679 festgelegte Bedeutung.
Dienstleistungen - bezeichnet die von Formalize im Rahmen der Vereinbarung für den Kunden erbrachten Dienstleistungen.
Untervergabe - bedeutet, dass Formalize zur Erfüllung seiner Verpflichtungen und Bereitstellung seiner Dienste im Rahmen der Vereinbarung und dieses Nachtrags Subunternehmer einsetzt.
Der Kunde ist eine juristische Person, die in den Geltungsbereich von DORA gemäß der Definition in Artikel 2 von DORA und/oder dessen umsetzendem nationalen Recht fällt.
Formalize verpflichtet sich, dem Kunden Dienste bereitzustellen, die IKT-Dienste im Sinne von DORA darstellen. Der Zweck dieses Nachtrags besteht darin, sicherzustellen, dass diese Anforderungen und Standards in die Vereinbarung aufgenommen werden.
Für die Zwecke dieses Nachtrag gehen die Parteien davon aus, dass Formalize ApS die wichtigen oder kritischen Geschäftsfunktionen des Kunden unterstützt.
Eine klare und vollständige Beschreibung aller von Formalize bereitzustellenden Funktionen und IKT-Dienste finden Sie in den Allgemeinen Geschäftsbedingungen, die Teil dieser Vereinbarung sind. Diese IKT-Dienste gelten als Cloud-Dienste: SaaS.
Es obliegt dem Kunden, zu ermitteln, welche dieser Dienste seine wichtigen oder kritischen Geschäftsfunktionen unterstützen.
Der Kunde ist berechtigt, die Leistung von Formalize im Zusammenhang mit dem Vertrag und den vereinbarten Service-Levels laufend zu überwachen. In diesem Zusammenhang wird dem Kunden Folgendes gewährt:
Um die Ausübung dieser Rechte zu erleichtern, stellt Formalize dem Kunden Zertifizierungen Dritter sowie interne und externe Prüfberichte zur Verfügung. Diese sind jederzeit im Trust Center von Formalize verfügbar, wie weiter unten in 4.3. Berichterstattung näher erläutert.
Darüber hinaus hat der Kunde das Recht, in einer aus Sicht des Risikomanagements angemessenen und legitimen Häufigkeit Änderungen des Umfangs der Zertifizierungen oder Prüfberichte zu anderen relevanten Systemen und Kontrollen zu verlangen und das vertragliche Recht, nach eigenem Ermessen Einzel- und Poolprüfungen im Hinblick auf die vertraglichen Vereinbarungen durchzuführen und diese Rechte entsprechend der vereinbarten Häufigkeit auszuüben.
Formalize verpflichtet sich, den Kunden unverzüglich schriftlich über sämtliche Entwicklungen zu informieren, die wesentliche Auswirkungen auf die Fähigkeit von Formalize haben könnten, die Dienstleistungen in Übereinstimmung mit Folgendem effektiv zu erbringen:
Formalize wird jährlich überprüft und im Rahmen der erhaltenen und erneuerten Zertifizierungen und Berichte wird der Notfallplan überprüft und getestet. Um die oben genannten Zertifizierungen und Berichte aufrechtzuerhalten, führt Formalize außerdem halbjährlich einen Test des Notfallwiederherstellungsplans durch. Darüber hinaus führt Formalize jährlich einen Penetrationstest durch, der von einem unabhängigen Dritten durchgeführt wird. Die Ergebnisse dieser Übungen werden auf der Webseite von Formalize im Trust Center veröffentlicht.
Der Kunde hat das Recht, von Formalize die Bereitstellung von Berichten (einschließlich interner oder externer Prüfberichte) zu verlangen, sofern diese Berichte auf die Unfähigkeit von Formalize hinweisen, die Dienstleistungen entsprechend den in dieser Klausel festgelegten Anforderungen wirksam zu erbringen.
Der Kunde ist dafür verantwortlich, eine spezielle E-Mail-Adresse bereitzustellen, an die Mitteilungen in Bezug auf DORA gesendet werden, um diese zu formalisieren und auf dem neuesten Stand zu halten.
Vorfälle werden wie im Service Level Agreement beschrieben verwaltet und dem Kunden mitgeteilt.
Formalize wird dem Kunden im Falle eines Vorfalls, der aus den Diensten entsteht oder damit in Zusammenhang steht, jede notwendige Unterstützung gewähren.
Jegliche Unterstützung im Zusammenhang mit einem IKT-bezogenen Vorfall wird von Formalize kostenlos bereitgestellt, sofern zwischen den Parteien nichts anderes vereinbart wurde.
Formalize kann zur Erbringung eines Teils der Dienstleistungen Subunternehmer einsetzen („Untervergabe an einen „Unterauftragspartner“).
Diese Informationen in Bezug auf die untervergebenen Dienstleistungen, den Standort, die Länge der Lieferkette, die Art der Daten, den Unterauftragnehmer und die Dienstleistungsstandorte (Verarbeitung und Speicherung von Daten) finden Sie im Formular „Formalisieren – DORA – Lieferantendaten“ und in der Datenverarbeitungsvereinbarung, die zusammen mit diesem Nachtrag bereitgestellt werden.
Für den Fall, dass Formalize zur Erbringung eines Teils der Dienstleistungen Subunternehmer einsetzt, erkennt Formalize Folgendes an und stimmt Folgendem zu:
Formalize stellt in der Datenverarbeitungsvereinbarung eine aktuelle Übersicht über die Standorte (Länder) bereit, an denen die untervergebenen Dienste bereitgestellt werden und in denen Daten verarbeitet werden, einschließlich des Speicherorts.
Formalize informiert den Kunden über etwaige Änderungen der Standorte, an denen die ausgelagerten Funktionen und Dienstleistungen erbracht werden.
Formalize hat unter Berücksichtigung des aktuellen Stands der technologischen Entwicklung und der verfügbaren Maßnahmen geeignete technische und organisatorische Maßnahmen umgesetzt, darunter unter anderem, soweit angemessen:
Ungeachtet anderslautender Bestimmungen ist der Kunde während der Laufzeit der Vereinbarung jederzeit berechtigt, auf die ihm gehörenden Daten in einer Weise zuzugreifen, die mit der Funktionalität der Dienste vereinbar ist.
Im Falle einer Insolvenz oder Einstellung des Geschäftsbetriebs von Formalize hat der Kunde uneingeschränkten Zugriff auf die ihm gehörenden Daten.
Die Leistungserbringung von Formalize umfasst die Verarbeitung der personenbezogenen Daten des Kunden im Rahmen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Datenschutz-Grundverordnung“). Zu diesem Zweck haben die Parteien eine separate Datenverarbeitungsvereinbarung geschlossen, in der die Verantwortlichkeiten und Pflichten in Bezug auf diese Verarbeitung personenbezogener Daten festgelegt sind.
Gegebenenfalls und mindestens jährlich nimmt das Personal von Formalize an Programmen zur Sensibilisierung für die Sicherheit teil.
Die betreffenden Mitarbeiter von Formalize können aufgefordert werden, an den Sensibilisierungsprogrammen des Kunden zur IKT-Sicherheit und an Schulungen zur digitalen Betriebsbelastbarkeit teilzunehmen, wenn der Kunde der Ansicht ist, dass die Inhalte der Sensibilisierungsprogramme von Formalize für die Zwecke von DORA nicht ausreichen.
Wenn die Programme und Schulungen Auswirkungen auf die normalen Geschäftsaktivitäten von Formalize haben, hat Formalize das Recht, für die Verfügbarkeit der Mitarbeiter eine im Voraus festgelegte Gebühr zu erheben.
Die Laufzeit dieses Nachtrags beginnt mit dem Datum seiner Unterzeichnung und bleibt in vollem Umfang wirksam bis (i) dem Datum, an dem die aktive Vereinbarung abläuft oder gemäß den Bedingungen der Vereinbarung gekündigt wird; (ii) dem Datum, an dem die aktive Vereinbarung gemäß den Bestimmungen dieses Nachtrags gekündigt wird; oder (iii) dem Datum, an dem der Kunde kein DORA-pflichtiges Unternehmen mehr ist.
Zusätzlich zu den in den Allgemeinen Geschäftsbedingungen genannten Kündigungsrechten des Kunden kann der Kunde eine Vereinbarung kündigen, wenn:
In Bezug auf die in den Klauseln a, b und c beschriebenen Kündigungsrechte muss der Kunde Formalize mindestens 15 Tage im Voraus schriftlich benachrichtigen. Diese Frist dient Formalize als Abhilfefrist, um den festgestellten Verstoß, das Risiko oder die Schwäche zur angemessenen Zufriedenheit des Kunden zu beheben. Wenn Formalize das Problem innerhalb der Abhilfefrist nicht angemessen behebt, kann der Kunde die Vereinbarung mit sofortiger Wirkung kündigen.
Im Falle einer Kündigung gemäß Klausel d gilt die Vereinbarung mit der schriftlichen Mitteilung des Kunden sofort als gekündigt, ohne dass es einer Nachfrist bedarf.
Von einer Kündigung gemäß dieser Klausel bleiben alle anderen dem Kunden gemäß der Vereinbarung oder den geltenden Gesetzen zustehenden Rechte und Rechtsmittel unberührt.
Die Absicht dieses Abschnitts (im Folgenden als „Ausstiegsplan“ bezeichnet) besteht darin, Klarheit über eine angemessene Übergangsfrist für Fälle zu schaffen, in denen die Vereinbarung gekündigt wurde oder wird (oder bald gekündigt wird). Der Ausstiegsplan sieht Maßnahmen vor, um einen reibungslosen und rechtzeitigen Übergang zu gewährleisten, wobei Formalize verpflichtet ist, beim Ausstieg uneingeschränkt zu kooperieren.
Der Exit-Plan beginnt 30 Tage vor Vertragsende.
Soft Exit - 30 Tage vor den Kündigungen
Ab diesem Tag und für die folgenden 30 Tage hat der Kunde weiterhin Zugriff auf die Dienste, alle Anwendungen und alle gespeicherten Daten. Der Kunde muss die Gelegenheit nutzen, die relevanten Daten aus der Infrastruktur von Formalize zu extrahieren. Während dieser Frist muss der Kunde Formalize alle anderen Informationen mitteilen, die nicht extrahiert werden konnten, um dem Kunden die Migration zu einem anderen IKT-Drittanbieter oder den Wechsel zu internen Lösungen zu ermöglichen, die der Komplexität des bereitgestellten Dienstes angemessen sind.
Während der Soft-Exit-Phase trägt der Kunde die Verantwortung für die Einleitung aller Datenexportaktivitäten. Formalize unterstützt den Kunden beim Export der oben unter „Daten“ aufgeführten Elemente.
Hard Exit - Datenlöschung - Tage 1 bis 30 nach Kündigung
Nach der Soft-Exit-Phase überprüft Formalize alle Kundendaten und stellt sicher, dass diese aus seiner Infrastruktur entfernt werden. Diese Entfernung erfolgt innerhalb von 30 Tagen nach Abschluss der Soft-Exit-Phase. Danach werden die Informationen 90 Tage lang im Backup-Speicher aufbewahrt.
Nach der Soft-Exit-Phase überprüft Formalize alle Kundendaten und stellt sicher, dass diese aus seiner Infrastruktur entfernt werden. Diese Entfernung erfolgt innerhalb von 30 Tagen nach Abschluss der Soft-Exit-Phase. Danach werden die Informationen 90 Tage lang im Backup-Speicher aufbewahrt.
Während der Hard-Exit-Phase ist Formalize für die endgültige Löschung aller Kundendaten aus seiner Infrastruktur und für die schriftliche Information des Kunden über den Abschluss des Exit-Plans verantwortlich.
Zusammenarbeit mit dem Exit:
Formalize ist verpflichtet, bei der Umsetzung des Austritts uneingeschränkt mitzuwirken und alle erforderlichen Arbeiten innerhalb der unten festgelegten Grenzen durchzuführen.
Die Dienste von Formalize können nach dem Kündigungsdatum fortgesetzt werden, bis der Übergang zu einem neuen Dienstanbieter oder System vollständig abgeschlossen ist. Der Kunde informiert Formalize über seine Absicht, weiterhin auf das System zuzugreifen. Diese Benachrichtigung muss vor dem Kündigungsdatum erfolgen und die Parteien vereinbaren eine Übergangsvereinbarung für einen Zeitraum zwischen 6 Monaten und 1 Jahr. Die Kosten für die Übergangsvereinbarung können eine Preiserhöhung von höchstens 10 % gegenüber der vorherigen Vereinbarung darstellen.
Aktualisierung des Ausstiegsplans:
Der Exit-Plan kann auf schriftliche Anfrage des Kunden jährlich in Absprache mit Formalize aktualisiert und überarbeitet werden, einschließlich der Angabe von Kosten und Zeitplan.
Jede Anfrage des Kunden im Rahmen dieses Nachtrags muss:
Im Falle von Konflikten oder Unstimmigkeiten zwischen diesem Nachtrag und den Bedingungen der Vereinbarung hat dieser Nachtrag Vorrang.
Änderungen der Vereinbarung oder der Nachträge können zwischen den Parteien nur schriftlich vereinbart werden.
Dieser Nachtrag unterliegt dänischem Recht und den geltenden europäischen Verordnungen, auf die hierin verwiesen wird, DORA und zugehörigen delegierten Verordnungen.
Sollte das Gericht einzelne Artikel dieses Nachtrags für ungültig erklären, bleiben die übrigen Artikel davon unberührt und voll wirksam.
Die Bestimmungen dieses Nachtrags basieren auf dem Digital Operational Resilience Act (DORA), den damit verbundenen delegierten Rechtsakten, den technischen Durchführungsstandards (ITS) und den technischen Regulierungsstandards (RTS). Falls eines dieser Rechtsinstrumente geändert oder aufgehoben wird und eine Bestimmung dieses Nachtrags im geltenden Rechtsrahmen nicht mehr berücksichtigt oder erforderlich ist, verliert diese Bestimmung ihre Gültigkeit. Die übrigen Bestimmungen dieses Nachtrags bleiben jedoch in vollem Umfang in Kraft und wirksam, sofern die Parteien nichts anderes vereinbaren.
