Bei Fin arbeiten wir hart daran, die EU-Datenschutz-Grundverordnung (GDPR) einzuhalten, um sicherzustellen, dass wir unsere Verpflichtungen erfüllen und Transparenz bezüglich Kundenkommunikation und der Nutzung von Daten gewährleisten.

Hier ist ein Überblick über die GDPR und wie wir bei Fin die Einhaltung erreichen:

Die GDPR ist ein umfassendes Datenschutzgesetz, das am 25. Mai 2018 in Kraft trat. Es ersetzte bestehendes EU-Recht, um den Schutz personenbezogener Daten und die Rechte des Einzelnen zu stärken. Es ist ein einheitliches Regelwerk, das die Verarbeitung und Überwachung von EU-Daten regelt.

Ja, höchstwahrscheinlich. Wenn Sie Daten einer Person in der EU speichern oder verarbeiten, gilt die GDPR für Sie, egal ob Sie in der EU ansässig sind oder nicht. 

Wir helfen Ihnen, Ihre Datenportabilitätsanforderungen zu erfüllen; Sie können alle Ihre mit einer Person verknüpften Daten einfach exportieren und dauerhaft löschen. 

Wir werden automatisch Daten von Besuchern löschen, die seit 9 Monaten nicht mehr gesehen wurden, um die GDPR-Aufbewahrungsanforderungen einzuhalten.

Fin prüft sorgfältig alle Drittanfragen nach Daten, einschließlich Anfragen von Strafverfolgungs- und Nachrichtendiensten.

Als Richtlinie geben wir Dritten keine Informationen weiter, die ihnen nicht gehören, und reagieren nur auf Anfragen, zu denen wir gesetzlich verpflichtet sind. Das bedeutet, dass Fin Daten nur als Reaktion auf eine gerichtliche Anordnung, Vorladung, Durchsuchungsbefehl oder eine andere gültige rechtliche Aufforderung herausgibt, die uns zur Bereitstellung von Daten aus einem Kundenkonto zwingt.

Soweit es uns gesetzlich erlaubt ist, informieren wir Sie immer über die Anfragen, die wir erhalten, und arbeiten mit Ihnen zusammen, falls Sie eine Anfrage anfechten oder die Offenlegung einschränken möchten.

Die DPA (einschließlich der neuen SCCs, die von der Europäischen Kommission am 4. Juni 2021 herausgegeben wurden) ist in die Nutzungsbedingungen integriert, unter denen Ihre Fin-Dienste geregelt sind, und benötigt keine separate Unterschrift.

Starke Datenschutzverpflichtungen sind ein wesentlicher Bestandteil der GDPR-Anforderungen. Unsere Datenverarbeitungsvereinbarung teilt unsere Datenschutzverpflichtungen mit und legt die Bedingungen fest, unter denen Fin und unsere Kunden die GDPR-Anforderungen erfüllen. Diese ist auf Anfrage für Kunden zur Unterzeichnung verfügbar. 

Wir können keine Änderungen an unserer DPA akzeptieren, da wir nicht in der Lage sind, maßgeschneiderte DPAs mit Kunden abzuschließen. Wenn Sie spezifische Fragen zur DPA haben, kontaktieren Sie uns bitte über Messenger.

Unsere Richtlinie ist, dass wir nur auf Basis unserer GDPR-DPA Verträge abschließen.
​
Dieser etablierte Ansatz basiert auf soliden rechtlichen und operativen Gründen und entspricht der gängigen Praxis bei SaaS-Anbietern.
​
Aus rechtlicher Sicht verlangt die EU-GDPR von einem Auftragsverarbeiter wie Fin, bestimmte Datenschutzverpflichtungen aus seinen Kundenverträgen an seine Unterauftragsverarbeiter weiterzugeben. Wir haben unsere DPA für die GDPR-Konformität vorbereitet und somit Verpflichtungen enthalten, die an unsere Unterauftragsverarbeiter weitergegeben werden können. Einfach ausgedrückt könnten wir die Weitergabepflicht der GDPR nicht erfüllen, wenn wir maßgeschneiderte DPAs mit Kunden abschließen würden. Dies gilt insbesondere für große Unterauftragsverarbeiter wie Amazon Web Services, bei denen wenig bis keine Verhandlungsspielräume für deren Standardbedingungen bestehen.
​
Aus operativer Sicht hat Fin Zehntausende von Kunden und ist ein schnell wachsendes Unternehmen. Wir haben einfach nicht die Kapazitäten oder operative Flexibilität, um für jeden einzelnen Kunden unterschiedliche DPAs mit unterschiedlichen Bedingungen abzuschließen. Dies würde für Fin zu übermäßigen Verpflichtungen führen und ist nicht skalierbar. Durch die Verwendung der Fin GDPR-DPA können wir unsere Datenschutzverpflichtungen besser verwalten und uns darauf konzentrieren, personenbezogene Daten konform zu verarbeiten und Kunden einen optimierten Service zu bieten.
​

Um die Anforderungen der GDPR für internationale Datenübertragungen zu erfüllen, nimmt Fin am EU-US Data Privacy Framework (DPF), der UK-Erweiterung des EU-US DPF und dem Swiss-US Data Privacy Framework teil, wie vom US-Handelsministerium festgelegt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Wir haben einen engagierten Datenschutzbeauftragten, der unsere Datenverwaltung überwacht und berät. Kontaktieren Sie uns über den Messenger oder per E-Mail an dataprotection@intercom.io. 

Wo es angebracht ist, verlangen wir von allen unseren Drittanbietern den Abschluss von Datenverarbeitungsvereinbarungen, die sicherstellen, dass Kundendaten gemäß der GDPR und unseren Verpflichtungen Ihnen gegenüber geschützt bleiben.

Alle Daten, die an uns gesendet oder von uns empfangen werden, sind während der Übertragung mit 256-Bit-Verschlüsselung gesichert. Unsere API- und Anwendungsendpunkte sind nur TLS/SSL und erhalten bei den Tests von Qualys SSL Labs eine „A+“-Bewertung. Das bedeutet, dass wir nur starke Chiffren verwenden und Funktionen wie HSTS und Perfect Forward Secrecy vollständig aktiviert sind. Wir verschlüsseln auch ruhende Daten mit einem branchenüblichen AES-256-Verschlüsselungsalgorithmus.

Sicherheit hat für uns Priorität. Wir führen regelmäßige externe Audits, Penetrationstests und Bug-Bounties durch. Wir haben ein robustes Sicherheitsframework aufgebaut, das internationale Compliance-Standards (SOC2, ISO27001, ISO27701, ISO27018, HIPAA und HDS) erfüllt, und haben unser internes Zugriffsdesign überprüft, um sicherzustellen, dass die richtigen Personen Zugriff auf das richtige Kundendatenlevel haben. Weitere Details finden Sie auf unserer Sicherheitsseite. 

Wir helfen unseren Kunden und potenziellen Kunden weiterhin bei der Einhaltung. Einige Schritte, die Sie unternehmen können, sind: 

Wir werden auch weiterhin neue und aufkommende Leitlinien beobachten, um zu bestimmen, ob wir aufgrund des Urteils des EuGH Änderungen an unseren Datenpraktiken vornehmen müssen.