Informationen zu Datenexportoptionen und dem Anbieterwechselprozess (Data Act)

Informationen zu Datenexportoptionen und dem Anbieterwechselprozess (Data Act)

Diese Seite enthält die nach der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (der „Data Act") erforderlichen Informationen zu:

einer detaillierten Spezifikation aller Kategorien von Daten und digitalen Vermögenswerten, die während des Anbieterwechselprozesses übertragen werden können, einschließlich aller exportierbaren Daten,

einer abschließenden Spezifikation der Kategorien von Daten, die spezifisch für die interne Funktionsweise des Dienstes sind und von den exportierbaren Daten ausgeschlossen werden,

Informationen zu den verfügbaren Verfahren für den Wechsel von Anbietern von Datenverarbeitungsdiensten und die Datenübertragung, einschließlich verfügbarer Wechselmethoden, Übertragungsformate sowie wflow bekannter technischer oder sonstiger Einschränkungen,

Datenstrukturen und -formate sowie relevanter Standards und offener Interoperabilitätsspezifikationen, in denen die in Artikel 25 Absatz 2 Buchstabe e des Data Act genannten exportierbaren Daten verfügbar sind,

Informationen zu der Rechtsordnung, der die für die Datenverarbeitung verwendete Informations- und Kommunikationstechnologie-Infrastruktur unterliegt,

einer allgemeinen Beschreibung der von wflow umgesetzten technischen, organisatorischen und vertraglichen Maßnahmen, um einen internationalen staatlichen Zugriff auf oder eine Übermittlung von in der Europäischen Union gespeicherten nicht-personenbezogenen Daten zu verhindern, wenn ein solcher Zugriff oder eine solche Übermittlung mit dem Unionsrecht oder dem nationalen Recht des betreffenden Mitgliedstaats im Widerspruch stehen könnte.

Die auf dieser Seite beschriebenen Rechte gelten, soweit der Dienst als Datenverarbeitungsdienst im Sinne des Data Act bereitgestellt wird. Soweit der Dienst nicht der Definition eines Datenverarbeitungsdienstes gemäß dem Data Act entspricht, entstehen diese Rechte für den Kunden nicht.

1. VERFÜGBARE METHODEN FÜR DEN ANBIETERWECHSEL UND DIE DATENÜBERTRAGUNG

Kunden können zu einem anderen Anbieter von Datenverarbeitungsdiensten wechseln oder auf ihre eigene On-Premise-Infrastruktur migrieren. Für diesen Zweck stehen die folgenden Methoden zur Verfügung.

Export über API
Kunden können die wflow-API-Schnittstelle nutzen. Eine Dokumentation ist online verfügbar.

Unterstützter Export und Migrationsunterstützung
Auf Anfrage kann wflow Migrationsunterstützung in dem in diesem Dokument beschriebenen Umfang bereitstellen.

2. TECHNISCHE UND SONSTIGE BEKANNTE EINSCHRÄNKUNGEN

Obwohl wflow sich bemüht, den Anbieterwechsel und die Datenportabilität so reibungslos wie möglich zu gestalten, können folgende Einschränkungen gelten.

Abhängigkeiten von Drittanbieterdiensten
Wenn der Kunde Integrationen mit Tools von Drittanbietern nutzt, können in diesen Tools gespeicherte Daten eigenen Einschränkungen hinsichtlich Exportoptionen, Formaten oder API-Verfügbarkeit unterliegen. wflow kann die Portabilität von Daten, die ausschließlich in solchen Drittumgebungen verarbeitet werden, nicht garantieren.

Leistungs- und Kapazitätsgrenzen
Umfangreiche oder häufige Massenexporte können Einschränkungen (Ratenbegrenzungen), Zeitplanungen oder Stapelverarbeitung unterliegen, um die Stabilität und Leistung des Dienstes für alle Kunden aufrechtzuerhalten.

Kundenkonfiguration und Zielumgebung
Der erfolgreiche Import in die Zielumgebung (einen anderen Anbieter oder ein On-Premise-System) hängt von den technischen Fähigkeiten, der Konfiguration und dem Datenmodell dieser Umgebung ab. wflow hat keine Kontrolle über Einschränkungen auf Seiten des Zielsystems und ist hierfür nicht verantwortlich.

3. KATEGORIEN EXPORTIERBARER DATEN UND DIGITALER VERMÖGENSWERTE, DATENSTRUKTUREN UND -FORMATE

3.1 Kategorien exportierbarer Daten und digitaler Vermögenswerte

Der Kunde kann seine Daten aus dem Dienst über eine öffentliche API beziehen, die online verfügbar und vollständig dokumentiert ist. Diese Schnittstelle ermöglicht ein sicheres und systematisches Herunterladen von Daten aus dem wflow-Dienst, ohne dass eine individuelle Mitwirkung von wflow erforderlich ist.

Vereinfacht ausgedrückt fungiert die API als standardisierte Methode zum Anfordern von Daten aus dem Dienst und deren Verwendung an anderer Stelle – beispielsweise beim Wechsel zu einem anderen Anbieter oder bei der Migration zu einer On-Premise-Lösung.

Funktionsweise des Datenexports

Der Exportprozess kann wie folgt beschrieben werden:

Der Kunde erhält Zugang zur API (typischerweise über einen Zugangsschlüssel).
Der Kunde wählt aus, welche Daten herunterzuladen sind (z. B. Dokumente oder Informationen über deren Verarbeitung).
Die Daten werden schrittweise aus dem Dienst heruntergeladen und für die weitere Verwendung gespeichert.
Die Daten können anschließend in ein anderes System importiert oder einem neuen Diensteanbieter übermittelt werden.

Der gesamte Prozess kann automatisch ablaufen, beispielsweise mittels eines Skripts oder Integrationstools.

Welche Daten exportiert werden können

Über die API können Kunden insbesondere Folgendes beziehen:

Im Dienst gespeicherte Dokumente,
Informationen zu diesen Dokumenten (z. B. Typ, Status oder Kennungen),
aus Dokumenten extrahierte Daten,
Dokumentanhänge,
Informationen zum Fortschritt der Dokumentenverarbeitung.

Die genaue Liste der verfügbaren Daten findet sich in der API-Dokumentation.

Datenformate

Die meisten Daten werden in strukturierten JSON- oder XML-Formaten bereitgestellt, die gängig und leicht auf andere Systeme übertragbar sind.

Exporte können auch Dokumentanhänge (wie PDFs oder Bilder) enthalten. Diese werden über separate API-Aufrufe als Binärdaten (d. h. der ursprüngliche Dateiinhalt) bereitgestellt und können ohne weitere Konvertierung gespeichert werden.

Wesentliche Merkmale

Keine Abhängigkeit von wflow – Kunden können ihre Daten eigenständig exportieren.
Inkrementeller Export – Daten können kontinuierlich heruntergeladen werden, auch in großen Mengen.
Unterstützung der Automatisierung – Exportprozesse können automatisiert werden.

Weitere Informationen

Detaillierte Informationen zu verfügbaren Daten und Exportverfahren finden sich in der Dokumentation:

https://api.wflow.com/index.html
https://developers.wflow.com/docs/wflowapidoc

3.2 Kategorien von Daten, die nicht exportiert werden können

Konfiguration der Bankkontoverbindung
Hierbei handelt es sich um spezifische Parameter, die ein Sicherheitsrisiko darstellen und unmittelbar mit technischen Systemintegrationen verbunden sind. Sie sind nicht Eigentum des Kunden.

Konfiguration der ERP-Systemverbindung
Diese Daten gehören nicht dem Kunden.

BI-Daten
Geschützt zur Wahrung des geistigen Eigentums von wflow.

Konfiguration von Automatisierungsworkflows
Geschützt zur Wahrung des geistigen Eigentums von wflow.

Einstellungen für Mahn-E-Mails (Collection Email Settings)
Diese Daten gehören nicht dem Kunden.

Benutzerpasswörter und API-Client-Authentifizierungsschlüssel
Aus Sicherheitsgründen sowohl für den Kunden als auch für wflow ausgeschlossen.

Bitte beachten Sie, dass Kunden keinen Anspruch auf Daten oder digitale Vermögenswerte haben, die durch geistige Eigentumsrechte von wflow geschützt sind oder Geschäftsgeheimnisse von wflow oder Dritten darstellen, insbesondere Quellcode, Maschinencode oder zugehörige Dokumentation, sofern in diesem Dokument nichts anderes angegeben ist.

4. IKT-INFRASTRUKTUR UND RELEVANTE RECHTSORDNUNGEN

Die Daten werden in einer Datenbank gespeichert, die innerhalb der Microsoft Azure-Cloud-Infrastruktur in der Europäischen Union (Microsoft Azure North Europe – Irland) gehostet wird, einschließlich laufender Backups.

Backups werden zudem automatisch in einem redundanten Rechenzentrum in Microsoft Azure West Europe – Niederlande gespeichert.

Die für die primäre Cloud-Infrastruktur maßgebliche Rechtsordnung ist die Republik Irland.

5. MASSNAHMEN GEGEN UNRECHTMÄSSIGEN INTERNATIONALEN ZUGRIFF DURCH BEHÖRDEN

wflow verpflichtet sich sicherzustellen, dass jeglicher internationale Zugriff von Behörden auf in der EU gespeicherte nicht-personenbezogene Daten im Einklang mit geltendem EU-Recht und dem Recht der Mitgliedstaaten erfolgt.

wflow hat eine Kombination technischer, organisatorischer und vertraglicher Maßnahmen umgesetzt, die darauf abzielen, einen solchen Zugriff zu verhindern oder Anfragen anzufechten, die mit EU-Recht oder geltendem nationalem Recht im Widerspruch stehen würden.

Technische Maßnahmen

Logische und physische Trennung von Umgebungen
In der EU gespeicherte Daten werden in EU-basierten Rechenzentren gehostet und sind logisch von anderen Umgebungen getrennt.

Zugangskontrolle und Prinzip der geringsten Rechtevergabe
Der Zugang zu Produktionssystemen wird streng kontrolliert, protokolliert und auf autorisiertes Personal nach Rolle und geschäftlicher Notwendigkeit beschränkt.

Verschlüsselung
Daten werden sowohl während der Übertragung als auch im Ruhezustand durch branchenübliche Verschlüsselungsmechanismen geschützt, soweit dies von der genutzten Infrastruktur und den Diensten unterstützt wird.

Diese Maßnahmen verringern das Risiko, dass ausländische Behörden über Infrastrukturanbieter direkten Zugriff auf Daten erhalten, ohne angemessene rechtliche Verfahren einzuhalten.

Organisatorische und vertragliche Maßnahmen

Vertragliche Verpflichtungen der Anbieter
wflow verpflichtet seine Cloud- und Infrastrukturanbieter, geltendes EU-Recht einzuhalten und, soweit rechtlich zulässig, wflow über rechtsverbindliche Anfragen von Behörden zum Datenzugriff zu informieren.

Wo relevant, werden zudem Standardvertragsklauseln (Standard Contractual Clauses, SCCs) zwischen wflow und dem Infrastrukturanbieter vereinbart.

Interne Verfahren zur Bearbeitung von Anfragen
Erhält wflow eine Anfrage einer Behörde außerhalb der EU/des EWR auf Zugriff zu in der EU gespeicherten Daten, wird wflow:

die Rechtsgrundlage der Anfrage sorgfältig prüfen,
verifizieren, ob die Anfrage mit dem EU-Recht und dem geltenden nationalen Recht vereinbar ist,
die Anfrage anfechten oder ihr widersprechen, wenn ein begründeter Anlass zur Annahme besteht, dass sie diesen Rechtsvorschriften widerspricht oder die Befugnisse der anfragenden Stelle überschreitet.

Transparenz gegenüber Kunden
Sofern nicht gesetzlich untersagt, wird wflow betroffene Kunden unverzüglich über solche Anfragen und die betroffenen Daten informieren, damit diese geeignete Maßnahmen zum Schutz ihrer Interessen ergreifen können.

‍