Data Processing Agreement (DPA)

Zuletzt geändert: 20. Dezember 2017 (PDF Version)

Diese Vereinbarung zur Datenverarbeitung (Data Processing Agreement, im Folgenden kurz “DPA” genannt) wird zwischen Vision Information Transaction und angeschlossenen Unternehmen („Picturepark“, „wir“, „uns“ oder „unser“; dem Datenprozessor) und Ihnen (dem Datencontroller) geschlossen. Diese Vereinbarung ist Bestandteil von und unterliegt den Bestimmungen des Vertrags.

  1. Definitionen

Sämtliche grossgeschriebenen Begriffe, die nicht in dieser DPA definiert werden, besitzen die im Vertrag festgelegte Bedeutung.

“Vertrag” bezeichnet den zwischen Ihnen und uns geschlossenen Vertrag über die Bereitstellung von Diensten, wie im Angebot definiert.
“Autorisierte verbundene Unternehmen” bezeichnet eines oder mehrere Ihrer verbundenen Unternehmen, denen erlaubt wurde, die im Vertrag festgelegten Dienste zu nutzen, ohne selbst einen Vertrag oder eine Bestellung unterzeichnet zu haben.
“Datencontroller” Sie.
“Kundendaten” bezeichnet alle Dateien, Inhalte, Metadaten, persönliche Daten, vertrauliche Informationen und andere Daten, die mithilfe der Dienste gespeichert oder verarbeitet werden, wie von Ihnen als Datencontroller beauftragt.
“Datensubjekt” wird hier in Übereinstimmung mit der Direktive 95/46/EC des Europäischen Parlaments und des Rats vom 24. Oktober 1995 (inklusive späterer Erweiterungen und Folge-Gesetzen) oder anderen gleichwertigen anwendbaren Datenschutzgesetzen verwendet. Ohne das Vorangehende einzuschränken, bezeichnet der Begriff “Datensubjekt” im Prinzip eine natürliche Person, deren persönliche Daten geschützt werden.
“DPA” bezeichnet diese Vereinbarung zur Datenverarbeitung, inklusive der Anhänge A und B.
“Effektives Datum” bezeichnet den 25. Mai 2018, bzw. das Datum an dem Sie den Vertrag eingegangen sind, sofern dies nach dem 25. Mai 2018 geschehen ist, oder das im Angebot vereinbarte Datum.
“Persönliche Daten” wird hier in Übereinstimmung mit der Direktive 95/46/EC des Europäischen Parlaments und Rats vom 24. Oktober 1995 (inklusive nachfolgender Erweiterungen und Folge-Gesetze) oder anderen gleichwertigen anwendbaren Datenschutzgesetzen verwendet. Ohne das Vorangehende einzuschränken, bezeichnet der Begriff “persönliche Daten” jede Art von Informationen, die verwendet werden können, eine natürliche Person direkt oder indirekt zu identifizieren, insbesondere durch Nennung eines Namens oder einer persönlichen Identifikationsnummer, oder eines oder mehrerer Faktoren die über die physische, physiologische, genetische, mentale, ökonomische, kulturelle oder soziale Identität der natürlichen Person Aufschluss geben können.
“Datenprozessor” Wir.
“Dienste” bezeichnet unseren Cloud Service oder andere Dienstleistungen, die wir Ihnen und Ihren autorisierten verbundenen Unternehmen zur Verfügung stellen.
“Standard-Vertragsklauseln” bezeichnet die Standard-Vertragsklauseln zur Übermittlung personenbezogener Daten an Datenprozessoren in Drittländern gemäss c2010-593 – Entscheidung 2010/87EU (inklusive nachfolgender Erweiterungen und Folge-Gesetzen).
“Subprozessor” bezeichnet natürliche oder juristische Personen, die von uns oder einem unserer verbundenen Unternehmen mit der Verarbeitung von Kundendaten beauftragt wurden, um Ihnen die vereinbarten Dienste zu erbringen.
  1. Zweck

2.1 Wir haben der Bereitstellung von Diensten an Sie gemäss den Regelungen des Vertrags zugestimmt. Durch die Bereitstellung der Dienste werden wir Kundendaten in Ihrem Auftrag verarbeiten. Kundendaten enthalten auch persönliche Daten. Beginnend mit dem effektiven Datum werden wir diese Kundendaten verarbeiten und schützen, wie in den Bestimmungen dieser DPA für die Laufzeit des Vertrags festgelegt.

  1. Geltungsbereich

3.1 Bei der Bereitstellung der im Vertrag festgelegten Dienste werden wir die Kundendaten nur in dem Umfang verarbeiten, wie dies nach den Bestimmungen des Vertrags und Ihren dort und in dieser DPA dokumentierten Anweisungen nötig ist.

  1. Pflichten des Datenprozessors

4.1 Wir dürfen Kundendaten nur im Rahmen der Bestimmungen dieser DPA sammeln und verarbeiten.

4.2 Wir bestätigen, dass wir Kundendaten in Ihrem Auftrag verarbeiten und dabei alle nötigen Massnahmen unternehmen, um sicherzustellen, dass jede uns unterstellte Person mit Zugriff auf die Kundendaten diese ausschliesslich auf Basis Ihrer Anweisungen verarbeitet.

4.3 Wir werden Sie umgehend informieren, sobald unserer Meinung nach eine Anweisung von Ihnen zum Verarbeiten von Kundendaten einen Bruch mit anwendbaren Datenschutzgesetzen darstellt.

4.4 Wir stellen sicher, dass alle unsere Angestellten, Repräsentanten, Vorstände und Auftragnehmer, die mit der Verarbeitung von Kundendaten beschäftigt sind: (i) um die Vertraulichkeit der Kundendaten wissen und vertraglich gebunden sind, deren Vertraulichkeit zu schützen; (ii) angemessen in ihrer Verantwortung als Datenprozessor geschult sind; (iii) an die Bedingungen dieser DPA gebunden sind.

4.5 Wir implementieren angemessene technische und organisatorische Verfahren zum Schutz der Kundendaten, wobei der gegenwärtige Stand der Technik, Implementierungskosten, sowie Natur, Geltungsbereich, Kontext und Zweck der Datenverarbeitung, wie auch die Risiken gegeben durch die unterschiedliche Eintrittswahrscheinlichkeit und Schwere in ihren möglichen Auswirkungen auf die Rechte und Freiheiten natürlicher Personen entsprechend berücksichtigt werden.

4.6 Wir treffen den möglichen Risiken angemessene technische und organisatorische Sicherheitsmassnahmen. Hierzu gehören unter anderem: (i) die Pseudonymisierung und Verschlüsselung von Kundendaten; (ii) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und Dienste sicherzustellen; (iii) die Fähigkeit, im Falle einer physischen oder technischen Störung die Verfügbarkeit und Zugriffsmöglichkeit auf Kundendaten zeitnah wieder herzustellen; (iv) ein Verfahren für das regelmässige Testen, Überprüfen und Auswerten der Effektivität technischer und organisatorischer Massnahmen, um die Sicherheit der Datenverarbeitung sicherzustellen. Durch Verwendung angemessener Sicherheitsmassnahmen begegnen wir den Risiken bei der Verarbeitung, die speziell durch unbeabsichtigte oder unrechtmässige Zerstörung, Verlust, Veränderung, nicht autorisierter Weitergabe oder Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete Kundendaten auftreten können.

4.7 Die in Anhang B aufgeführten technischen und organisatorischen Massnahmen werden grundsätzlich als minimaler Sicherheitsstandard betrachtet. Sie nehmen zur Kenntnis und erklären sich damit einverstanden, dass die technischen und organisatorischen Massnahmen weiterentwickelt und überprüft werden und dass wir zusätzlich zu den in den Anhängen dieser DPA genannten Verfahren angemessene alternative Massnahmen verwenden dürfen.

4.8 Sie nehmen zur Kenntnis und erklären sich damit einverstanden, dass es für die Bereitstellung der Dienste an Sie nötig sein kann, auf Kundendaten zuzugreifen, um auf technische Probleme oder Anfragen des Datencontrollers reagieren zu können und die korrekte Funktionsweise des Cloud Service sicherzustellen. Sämtliche dieser Zugriffe durch uns sind auf die in Anhang A definierten Zwecke beschränkt.

4.9 Werden Kundendaten eines Datencontrollers aus der EU (oder aus Grossbritannien oder der Schweiz) ausserhalb des Europäischen Wirtschaftsraumes (EEA) übertragen, dürfen diese nur von einer Organisation verarbeitet werden, die (i) sich in einem Drittland oder Territorium befindet, dessen Sicherheitsniveau von der EU-Kommission als angemessen sicher eingestuft wurde; oder die (ii) den Standard-Vertragsklauseln zugestimmt hat; oder die (iii) andere rechtlich anerkannte Sicherheitsmassnahmen getroffen hat, wie das EU-US Privacy Shield, oder verbindlichen firmeninternen Regeln unterliegt.

4.10 Unter Berücksichtigung der Art der Datenverarbeitung und den uns zur Verfügung stehenden Informationen unterstützen wir Sie sofern möglich mittels angemessener technischer und organisatorischer Massnahmen in der Erfüllung Ihrer Pflichten bei der Beantwortung von Anfragen zur Rechtewahrnehmung von Datensubjekten, sowie der Einhaltung Ihrer Datenschutz-Pflichten bezogen auf die Verarbeitung von Kundendaten.

4.11 Wir bestätigen, dass wir und/oder unsere verbundenen Unternehmen einen Datenschutzbeauftragten benannt haben, sofern dies nach anwendbarem Datenschutzrecht notwendig ist. Der benannte Datenschutzbeauftragte kann unter www.picturepark.com/terms/dpo erreicht werden.

  1. Pflichten des Datencontrollers

5.1 Sie erklären und sichern zu, dass Sie sich an die Bestimmungen des Vertrags, an diese DPA und an alle anzuwendenden Datenschutzgesetze halten.

5.2 Sie erklären und sichern zu, dass Sie sämtliche nötigen Einwilligungen und Berechtigungen besitzen, um uns, unseren angeschlossenen Unternehmen und Subprozessoren zu erlauben, entsprechende Rechte und Pflichten gemäss dieser DPA ausüben zu können.

5.3 Sie sind dafür verantwortlich, sich an sämtliche anwendbaren Datenschutzgesetze zu halten, inklusive der Anforderungen für die Übertragung von Kundendaten gemäss dieser DPA und des Vertrags.

5.4 Sämtliche Ihre autorisierten verbundenen Unternehmen, welche die Dienste verwenden, sind ihrerseits verpflichtet, sich an die von Ihnen in dieser DPA eingegangenen Verpflichtungen zu halten.

5.5 Sie implementieren angemessene technische und organisatorische Verfahren zum Schutz der Kundendaten, wobei der gegenwärtige Stand der Technik, Implementierungskosten, sowie Natur, Geltungsbereich, Kontext und Zweck der Datenverarbeitung, wie auch die Risiken gegeben durch unterschiedliche die Eintrittswahrscheinlichkeit und Schwere in ihren möglichen Auswirkungen auf die Rechte und Freiheiten natürlicher Personen entsprechend berücksichtigt werden.

5.6 Sie treffen den möglichen Risiken angemessene technische und organisatorische Sicherheitsmassnahmen. Hierzu gehören unter anderem: (i) die Pseudonymisierung und Verschlüsselung von Kundendaten; (ii) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und Dienste sicherzustellen; (iii) die Fähigkeit, im Falle einer physischen oder technischen Störung die Verfügbarkeit und Zugriffsmöglichkeit auf Kundendaten zeitnah wieder herzustellen; (iv) ein Verfahren für das regelmässige Testen, Überprüfen und Auswerten der Effektivität technischer und organisatorischer Massnahmen, um die Sicherheit der Datenverarbeitung sicherzustellen. Durch Verwendung angemessener Sicherheitsmassnahmen begegnen Sie den Risiken bei der Verarbeitung, die speziell durch unbeabsichtigte oder unrechtmässige Zerstörung, Verlust, Veränderung, nicht autorisierter Weitergabe oder Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete Kundendaten auftreten können.

5.7 Sie stellen sicher, dass alle Ihnen unterstellten Personen mit Zugriff auf Kundendaten, diese ausschliesslich gemäss Ihren Anweisungen verarbeiten.

5.8 Sie haben das Recht zu verlangen, dass die Kundendaten während oder nach Ende der Laufzeit des Vertrags korrigiert, gelöscht, blockiert und/oder anderweitig zur Verfügung gestellt werden. Anfragen hierzu werden wir wenn rechtens bearbeiten und in Übereinstimmung mit unseren Möglichkeiten und üblichen Verfahrensweisen ausführen.

5.9 Sie nehmen zur Kenntnis und erklären sich damit einverstanden, dass einige Ihrer Anweisungen, inklusive der Zerstörung und Rückgabe von Daten durch uns, zusätzliche Gebühren zur Folge haben können. In einem solchen Fall werden wir Sie im Voraus über diese Gebühren informieren, sofern nichts Anderes vereinbart wurde.

  1. Subprozessoren

6.1 Sie nehmen zur Kenntnis und erklären sich einverstanden, dass: (i) unsere angeschlossenen Unternehmen als Subprozessoren eingesetzt werden dürfen; und dass (ii) wir, bzw. unsere angeschlossenen Unternehmen ihrerseits Subprozessoren mit der Erbringung der Dienste beauftragen dürfen.

6.2 Sämtliche Subprozessoren, die bei der Bereitstellung von Diensten an Sie, Kundendaten verarbeiten, sind verpflichtet, sich an unsere in dieser DPA festgelegten Pflichten zu halten.

6.3 Befinden sich Subprozessoren ausserhalb des Europäischen Wirtschaftsraumes (EEA), so bestätigen wir, dass diese Subprozessoren: (i) sich in einem Drittland oder Territorium befinden, dessen Sicherheitsniveau von der EU-Kommission als angemessen sicher eingestuft wurde; oder (ii) sich uns gegenüber zur Einhaltung der Standardvertragsbedingungen verpflichtet hat; oder (iii) andere rechtlich anerkannte Sicherheitsmassnahmen getroffen hat, wie das EU-US Privacy Shield, oder verbindlichen firmeninternen Regeln unterliegt.

6.4 Wir stellen Ihnen die aktuelle Liste der Subprozessoren unter der Adresse www.picturepark.com/terms/dpa-subprocessors zur Verfügung. Hierin enthalten sind die Identitäten der Subprozessoren, sowie die entsprechenden Standortländer. Sollte sich die Liste der Subprozessoren, die Kundendaten verarbeiten, während der Laufzeit dieser DPA ändern, werden wir Sie mindestens 30 Tage im Voraus darüber per E-Mail informieren. Dies geschieht, bevor neue oder ersatzweise Subprozessoren Kundendaten in Verbindung mit der Bereitstellung der Dienste verarbeiten.

6.5 Sie haben das Recht, dem Einsatz neuer oder ersatzweiser Subprozessoren zu widersprechen, indem Sie uns umgehend schriftlich innerhalb von zehn (10) Geschäftstagen nach Erhalt unseres Hinweises (s. Abschnitt6.4) informieren. Sollten Sie dem Einsatz eines neuen oder ersatzweisen Subprozessors widersprechen und der Widerspruch ist zumutbar, ist es Ihnen erlaubt, den Vertrag oder den jeweils gültigen Auftrag in Bezug auf die Dienste, die von uns ohne einen neuen oder ersatzweisen Subprozessor nicht bereitgestellt werden können, zu kündigen. Wir werden Ihnen alle im Voraus gezahlten Gebühren für die verbleibende Laufzeit des Vertrags (bzw. den jeweils gültigen Auftrag) ab dem Folgetag des effektiven Kündigungsdatums in Bezug auf die gekündigten Dienste rückerstatten.

  1. Haftung

7.1 Sämtliche in der Vereinbarung festgelegten Haftungsbeschränkungen gelten auch für alle Haftungsansprüche, die durch einen Verstoss gegen die in dieser DPA vereinbarten Bedingungen entstehen sollten.

7.2 Beide Parteien kommen überein, dass wir die Haftung für Verstösse gegen Bedingungen dieser DPA übernehmen, die durch Vorsatz oder Fahrlässigkeit unserer Subprozessoren entstehen, und zwar in gleichem Umfang wie wir haftbar wären, wenn wir die Dienste der Subprozessoren direkt selber gemäss den Bedingungen dieser DPA, bzw. unter Berücksichtigung der im Vertrag getroffenen Regelungen, ausgeführt hätten.

7.3 Beide Parteien kommen überein, dass Sie die Haftung für jegliche Verstösse gegen diese DPA übernehmen, die durch Vorsatz oder Fahrlässigkeit Ihrer autorisierten verbundenen Unternehmen entstehen, als seien diese Handlungen vorsätzlich oder fahrlässig durch Sie selbst begangen worden.

7.4 Sie sind nicht berechtigt, einen Schadensersatzanspruch für den selben Vorfall mehrfach geltend zu machen.

  1. Audit

8.1 Wir stellen Ihnen gegen Gebühr sämtliche vernünftigerweise erforderlichen Informationen zur Verfügung, um die Einhaltung unserer Datenverarbeitungspflichten zu belegen, und Audits sowie Inspektionen zu erlauben und zu unterstützen.

8.2 Sämtliche von Ihnen im Rahmen dieser DPA durchgeführten Audits bestehen aus der Überprüfung unserer neuesten Berichte, Zertifizierungen und/oder von Auszügen davon, die durch uns oder einen unabhängigen Prüfer erstellt wurden. Der Prüfer muss dabei Vertraulichkeitsregelungen unterliegen, die mindestens so streng sind, wie die im Vertrag festgelegten. Sollten die so zur Verfügung gestellten Unterlagen Ihrer berechtigten Ansicht nach nicht ausreichend sein, haben Sie das Recht eine umfangreichere Prüfung vorzunehmen, die: (i) auf Ihre Kosten durchzuführen ist; (ii) sich auf im Voraus zu vereinbarende und ausschliesslich Sie betreffende Angelegenheiten bezieht; (iii) während Schweizer Geschäftszeiten und mit angemessenen Vorankündigungsfristen von mindestens vier (4) Wochen stattfindet, sofern keine wesentlichen Einwände dagegen sprechen; und (iv) auf eine Weise durchgeführt wird, die unser Tagesgeschäft nicht beeinträchtigt.

8.3 Diese Klausel soll Ihr Recht auf Überprüfung nicht einschränken. Sie ist vielmehr dafür gedacht, die Vorgehensweise der darauf basierenden Überprüfungen zu klären.

  1. Benachrichtigung über Datenschutzverletzungen

9.1 Wir werden Sie unverzüglich über jegliche(n) unbeabsichtigte(n) oder unrechtmässige(n) Zerstörung, Verlust, Veränderung, oder nicht autorisierte Weitergabe oder den Zugriff auf Kundendaten (“Datenschutzverletzung“) informieren, sobald uns dieser zur Kenntnis kommt (und in jedem Fall innert 72 Stunden nach Kenntnisnahme eines solchen Vorfalls).

9.2 Wir werden jede Sicherheitsverletzung umgehend untersuchen und die nötigen Massnahmen unternehmen, um die Ursache(n) zu finden, die nachteiligen Auswirkungen einzuschränken und eine Wiederholung zu verhindern. Sobald uns nähere Informationen zur Verfügung stehen, erhalten Sie von uns eine Beschreibung der Sicherheitsverletzung, die Art der betroffenen Kundendaten und angemessene weitere Informationen zu den betroffenen Kundendaten, wie sie von Ihnen gegebenenfalls angefordert werden.

9.3 Wir werden sämtliche wirtschaftlich angemessenen Massnahmen treffen, um Ihre Kundendaten abzusichern, damit Auswirkungen einer möglichen Datenschutzverletzung möglichst gering ausfallen, und Sie gemäss den rechtlichen Vorgaben darin unterstützen, Ihren Verpflichtungen erwachsend aus anwendbarem Recht nachzukommen.

  1. Erfüllung, Kooperation und Beantwortung

10.1 Sollten wir eine Anfrage eines Datensubjektes bezüglich der Kundendaten erhalten, werden wir die Person an Sie verweisen, sofern dies nicht durch anwendbares Recht untersagt ist. Sie sind verpflichtet, uns sämtliche Kosten zu erstatten, die uns durch die angemessene Unterstützung bei der Bearbeitung einer Anfrage durch ein Datensubjekt entstehen. Sollten wir gesetzlich verpflichtet sein, dem Datensubjekt zu antworten, werden Sie soweit erforderlich mit uns kooperieren.

10.2 Sollten wir eine Anfrage oder Beschwerde bezüglich der Verarbeitung von Kundendaten erhalten, die negative Folgen für Sie hat, werden wir Sie umgehend darüber informieren, sofern dies nicht durch anwendbares Recht oder eine gerichtliche Anordnung untersagt ist.

10.3 Es ist uns erlaubt, in Übereinstimmung mit rechtlichen oder regulatorischen Anforderungen (inklusive beispielsweise Aufbewahrungsanforderungen), Kopien von Kundendaten anzufertigen und aufzubewahren.

10.4 Beide Parteien erklären sich einverstanden, dass Sie verpflichtet sind, uns innerhalb einer angemessenen Zeit über Änderungen in anwendbaren Datenschutzgesetzen, Normen, Regelungen oder Bestimmungen zu informieren, die unsere vertraglichen Pflichten beeinflussen könnten. Wir werden in einem angemessenen Zeitrahmen auf daraus womöglich resultierende Änderungen der Bedingungen dieser DPA reagieren. Sind sich die Parteien darüber einig, dass Anpassungen nötig sind, wir die nötigen Änderungen aber nicht vornehmen können, sind Sie berechtigt den oder die betreffenden Teile der Dienste die zu einer Nichterfüllung geführt haben, zu kündigen. Sofern andere bereitgestellte Dienste von solchen Änderungen nicht betroffen sind, bleibt die Beauftragung für diese Dienste davon unberührt.

10.5 Der Datencontroller und der Datenprozessor und so anwendbar deren Vertreter sind auf Anweisung zur Kooperation mit der zuständigen Aufsichtsbehörde verpflichtet, um den in dieser DPA vereinbarten Verpflichtungen nachzukommen. Die für uns zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).

  1. Laufzeit und Beendigung

11.1 Die Laufzeit dieser DPA fällt mit dem Beginn des Vertrags zusammen und endet automatisch mit der Beendigung oder Kündigung des Vertrags.

11.2 Wir werden sämtliche Kundendaten innerhalb einer Frist von fünfundvierzig (45) Tagen nach Beendigung des Vertrags löschen und Ihnen die Belege der Löschung auf Anfrage vorlegen. Ausgenommen von dieser Regelung sind Kundendaten, die auf Hosting-Typen oder Backup-Optionen mit längerer Vorhaltezeit gespeichert wurden. Für diese Speicherarten dürfen wir die Daten für die Dauer der vom Hosting-Typ oder der Backup-Option bestimmten Speicherdauer plus fünfundvierzig (45) Tage aufbewahren. Sollten Sie uns anweisen, die Kundendaten vor Ablauf der Speicherfrist zu löschen, werden wir die Kundendaten gegen Gebühr ohne schuldhaftes Zögern entfernen, sofern dies nicht durch geltendes Recht untersagt ist.

  1. Allgemeines

12.1 Diese DPA stellt die gesamte Abmachung und Absprache zwischen den Parteien in Bezug auf den darin geregelten Gegenstand dar.

12.2 Sollte eine Bestimmung dieser DPA ungültig sein oder werden, so bleiben die rechtlichen Auswirkungen der übrigen Regelungen davon unberührt. Anstelle der unwirksamen Bestimmung gilt dann eine wirksame Bestimmung als vereinbart, die der von den Parteien wirtschaftlich Gewollten am nächsten kommt. Das Gleiche gilt für etwaige Vertragslücken.

12.3 Für diese DPA soll das gleiche Recht angewandt werden wie für die Bestimmungen des Vertrages. Der ausschliesslich geltende Gerichtsstand für alle aus dieser DPA resultierenden Streitigkeiten ist der im Vertrag festgelegte.

Anhang A

Überblick über die von uns durchgeführte Datenverarbeitung

  1. Datencontroller

Sie als Datencontroller verpflichten sich, die Dienste so nutzen, bzw. Ihren Nutzern Zugriff auf den Cloud Service zu gestatten, wie in den Bedingungen des Vertrags bezüglich der Übertragung der in den untenstehenden Abschnitten 3, 4 und 5 beschriebenen Kundendaten festgelegt, soweit die in Abschnitt 6 genannten Formen der Datenverarbeitung davon betroffen sind.

  1. Datenprozessor

Wir als Datenprozessor erhalten von Ihnen die in den Abschnitten 3, 4 und 5 angegebenen Daten, soweit diese für die in Abschnitt 6 genannten Arten der Datenverarbeitung benötigt werden.

  1. Datensubjekte

Sie nehmen zur Kenntnis und erklären sich damit einverstanden, dass die Kategorien der Datensubjekte, die Kundendaten mittels dem Cloud Service nutzen und verarbeiten können, ausschliesslich [durch Sie und] die Verwendung des Cloud Service durch Ihre Benutzer bestimmt wird. Ungeachtet des Vorstehenden betrifft die Verarbeitung von Kundendaten üblicherweise die folgenden Kategorien von Datensubjekten:

  • Ihre Angestellten, sowie von Ihnen engagierte Freelancer und andere Vertragsnehmer.
  • Benutzer, Ihre autorisierten verbundenen Unternehmen und andere Teilnehmer.
  • Ihre Partner, Lieferanten und Dienstleister.
  • Ihre Kunden oder Ihre Medienkontakte.
  • Alle Personen, denen Sie in Übereinstimmung mit den Bestimmungen des Vertrags Zugriff auf die Dienste gewährt haben.
  • Andere Personen, soweit Sie den Cloud Service benutzen oder sich dafür registriert haben, oder soweit sie über Inhalte in Dateien oder Metadaten, welche von unseren Diensten verarbeitet werden, identifizierbar sind.
  1. Kategorien von Kundendaten

Welche Kundendaten verarbeitet werden, wird ausschliesslich durch Verwendung der Dienste durch Sie oder Ihre Benutzer bestimmt. Wird der Cloud Service als registrierter Benutzer verwendet, wird mindestens der vollständige Name des Benutzers, sowie dessen Email-Adresse, Passwort und IP-Adresse benötigt. Kundendaten können in Datenbankeinträgen, Metadaten oder Dateien im Dateisystem gespeichert werden, anhand derer Datensubjekte identifiziert werden, oder die auf angemessene Weise für deren Identifikation benutzt werden können.

Bei Benutzung des Cloud Service erklären Sie sich einverstanden und nehmen zur Kenntnis, dass Sie und Ihre Benutzer verpflichtet sind, sich strikt an die Nutzungsbedingungen (AUP) zu halten, und dass Kundendaten einschliesslich personenbezogener Daten ausschliesslich mit schriftlicher Einwilligung der Datensubjekte über den Cloud Service verarbeitet werden dürfen.

  1. Spezielle Kategorien von personenbezogener Daten

Wir erfordern für die Nutzung der Dienste keine speziellen Kategorien personenbezogener Daten wie beispielsweise Daten von Kindern. Ob und welche speziellen Kategorien personenbezogener Daten gespeichert und verarbeitet werden, hängt ausschliesslich von der Nutzung der Dienste durch Sie und Ihre Benutzer ab.

Durch die Nutzung des Cloud Service nehmen Sie zur Kenntnis und erklären sich damit einverstanden, dass Sie und Ihre Benutzer sich strikt an die Nutzungsbedingungen halten und das sensible persönliche Daten nur mit schriftlicher Einwilligung des Datensubjektes durch den Cloud Service verarbeitet werden.

  1. Art der Datenverarbeitung

Die Kundendaten werden grundsätzlich wie folgt verarbeitet:

  • Kundendaten werden in Übereinstimmung mit dem Vertrag und Ihren Anweisungen verarbeitet, soweit dies für die Bereitstellung der Dienste notwendig ist. Wir prozessieren Daten nur wie von Ihnen als Data Controller beauftragt.

Arten der Verarbeitung sind unter anderem (aber nicht ausschliesslich):

  • Bereitstellung des Cloud Service über unsere Hosting-Infrastruktur.
  • Auditierung der Verwendung des Cloud Service, um die Einhaltung des Vertrags, bzw. bestehenden Rechts sicherzustellen.
  • Das Identifizieren, Analysieren und Schützen des Cloud Service und der Kundendaten gegen Bedrohungen.
  • Die Bereitstellung technischen Supports, die Diagnose möglicher Vorfälle und die Beseitigung von Defekten, um sicherzustellen, dass die Systeme effizient und reibungslos laufen und um technische Probleme zu identifizieren, analysieren und beseitigen, sowohl allgemein für den Betrieb des Cloud Service wie auch im Besonderen, um Ihre Support-Anfrage beantworten zu können.
  • Die Erfüllung Ihres Auftrags zur Lieferung von Dienstleistungen oder Audits, für welche der Zugriff auf oder die Verarbeitung von Kundendaten notwendig ist.
  • Die Erfüllung anderer Verpflichtungen, die sich aus dem Vertrag ergeben.

Sämtliche oben genannten Arten der Verarbeitung beziehen sich auf alle Aspekte und Kategorien von verarbeiteten Kundendaten.

Anhang B

Technische und organisatorische Sicherheitsmassnahmen

Die folgenden Beschreibungen geben einen Überblick über die eingesetzten technischen und organisatorischen Sicherheitsmassnahmen. Hierbei sollte allerdings beachtet werden, dass detaillierte Beschreibungen im Kontext der Datensicherheit möglicherweise nicht zur Verfügung gestellt werden können, um die Integrität der Sicherheitsmassnahmen nicht zu gefährden. Sie nehmen zur Kenntnis und erklären sich einverstanden, dass die hier beschriebenen technischen und organisatorischen Sicherheitsmassnahmen, sowie unsere internen IT-Sicherheitsrichtlinien ausschliesslich nach unserem Ermessen von Zeit zu Zeit aktualisiert und erweitert werden können. Ungeachtet des Vorstehenden werden die technischen und organisatorischen Sicherheitsmassnahmen in keiner materiellen, benachteiligenden Weise geringer ausfallen als die in unseren IT-Sicherheitsrichtlinien (IT Security Policy) beschriebenen Massnahmen.

1.1 Hosting-Infrastruktur

Für die Bereitstellung des Cloud Service verwenden wir die Hosting-Dienste von Drittanbietern in Form von Datencentern und Infrastructure-as-a-Service (IaaS), die nach aktuellem ISO 27001-Standard zertifiziert sind und/oder über Prüfungsberichte gemäss den Standards SSAE 16 SOC 1 Type II oder SOC 2 verfügen. Wir verwenden keine Datencenter von Drittanbietern oder IaaS Anbieter für das Hosting unseres Cloud Service, die nicht über die zuvor genannten Zertifizierungen und/oder Bescheinigungen oder über gleichwertige Zertifizierungen und/oder entsprechende Prüfbescheinigungen verfügen.

1.2 Physische Zugangskontrolle

Technische und organisatorische Massnahmen zur Zugangskontrolle, insbesondere die Legitimierung autorisierter Personen:

Der Zweck der Zugangskontrolle besteht darin, zu verhindern, dass nicht autorisierte Personen physischen Zugriff auf Einrichtungen zur Datenverarbeitung erhalten, die Kundendaten verarbeiten.

Wir setzen Massnahmen ein, die sicherstellen sollen, dass unautorisierte Personen keinen Zugriff auf die Einrichtungen zur Datenverarbeitung erhalten, die wir für die Dienste nutzen.

Für unseren Cloud Service richten sich die baulichen und materiellen Sicherheitsstandards nach den Vorgaben für Datencenter, die nach aktuellem ISO 27001-Standard zertifiziert sind und/oder über Prüfungsberichte gemäss den Standards SSAE 16 SOC 1 Type II oder SOC 2 verfügen.

1.3 Zugangskontrolle auf Systemebene

Technische und organisatorische Massnahmen bezüglich der Benutzer-ID und Authentifizierung:

Der Zweck der Zugangskontrolle auf Systemebene besteht darin, die nicht autorisierte Verwendung von Einrichtungen zur Datenverarbeitung von Kundendaten zu verhindern.

Abhängig von den jeweils beauftragten Diensten werden folgende Kontrollmechanismen ggf. zusammen mit anderen Massnahmen angewandt: Authentifizierung anhand eines Passworts und/oder Zwei-Faktor-Authentifizierung, dokumentierte Authentifizierungsprozesse, dokumentierte Change-Management-Prozesse, sowie die Protokollierung der Zugriffe auf verschiedenen Ebenen.

Für alle Dienste gilt: (i) Zugriffe auf Systeme zur Datenspeicherung oder -verarbeitung werden protokolliert; (ii) Logischer Zugriff auf die Zentren zur Datenspeicherung und -verarbeitung ist durch den Einsatz von VLAN/VPN beschränkt und geschützt; (iii) Es werden zentralisierte Systeme zur Protokollierung und Alarmierung, sowie Firewalls eingesetzt.

1.4 Zugangskontrolle für Daten

Technische und organisatorische Massnahmen in Bezug auf das Autorisierungskonzept, der Zugriffsrechte auf Daten, sowie das Monitoring und die Aufzeichnung dieser:

Massnahmen in Bezug auf die Zugriffskontrolle für Daten werden so durchgeführt, dass nur auf solche Daten zugegriffen werden kann, für die auch eine Zugriffsberechtigung existiert und dass Daten während der Verarbeitung und nach der Speicherung nicht auf unberechtigte Weise gelesen, kopiert, verändert oder gelöscht werden können.

Auf Kundendaten kann nur durch korrekt autorisierte Mitarbeiter zugegriffen werden. Der direkte Zugriff auf Datenbank-Abfragen ist eingeschränkt und Applikationsrechte sind vorhanden und werden erzwungen. Muss für die Durchführung einer bestimmten Aufgabe auf Daten zugegriffen werden, wird der Zugriff innerhalb des Systems und der Applikationen über ein entsprechendes Rollen- und Autorisierungskonzept abgesichert.

1.5 Kontrolle der Datenübertragung

Technische und organisatorische Massnahmen in Bezug auf den Transport, die Übertragung, den Versand, die Speicherung und nachfolgende Überprüfungen von Kundendaten auf Datenmedien (manuell oder elektronisch).

Eine Kontrolle der Datenübertragung ist implementiert, so dass Kundendaten nicht ohne entsprechende Autorisierung gelesen, kopiert, verändert oder gelöscht werden können, während der Übertragung oder wenn auf Datenmedien gespeichert. Dies geschieht so, dass überwacht und sichergestellt wird, dass die Übertragung von Kundendaten nur an bestimmte Empfänger bestimmt ist.

Sofern für den Dienst oder Teile davon nicht anders angegeben, werden Datenübertragungen ausserhalb der Cloud Service-Umgebung verschlüsselt oder auf verschlüsselten Medien gespeichert.

Per E-Mail oder über Messaging-Dienste verschickte Kommunikationsinhalte (inklusive der Absender- und Empfängeradressen) können unverschlüsselt übertragen werden. Sollten Sie sich entscheiden, unverschlüsselte Kommunikationswege für Nachrichten oder den Datenaustausch mit uns über solche E-Mail- oder Messagingdienste zu nutzen, liegt die Verantwortung für mögliche Auswirkungen Ihres Entscheides ausschliesslich bei Ihnen.

Die Übertragung von Kundendaten an eine Drittpartei (z.B. Subprozessor) wird nur durchgeführt, wenn ein entsprechender Vertrag für diesen spezifischen Zweck existiert. Werden Kundendaten an Firmen übertragen, die sich ausserhalb des Europäischen Wirtschaftsraumes (EEA) befinden, stellen wir sicher, dass am Zielort oder bei der Zielorganisation ein angemessenes Datenschutzniveau, gemäss den Zusicherungen dieser DPA existiert. Dies geschieht beispielsweise durch die Verwendung von Verträgen basierend auf den Standard-Vertragsklauseln.

Kundendaten, die nur für interne Zwecke, z.B. als Teil der jeweiligen Kundenbeziehung verwendet werden, dürfen nur unter Berücksichtigung der vertraglichen Vereinbarungen und angemessenen Anforderungen an die Datenschutzbestimmungen solcher Drittparteien übertragen werden.

1.6 Kontrolle der Dateneingabe

Technische und organisatorische Massnahmen bezüglich der Aufzeichnung und Überwachung der Umstände der Dateneingabe zum Zweck einer nachträglichen Überprüfung.

Kontrollen zur Dateneingabe werden verwendet, um eine nachträgliche Überprüfung zu ermöglichen.

Systemeingaben werden in Form von Logdateien und Datenbankeinträgen aufgezeichnet, wodurch nachträglich überprüft werden kann, ob und durch wen Kundendaten eingegeben, verändert oder gelöscht wurden.

1.7 Kontrolle von Datenbackups und Datenverfügbarkeit

Technische und organisatorische Massnahmen im Bezug auf (physikalische/logische) Daten-Backups:

Kontrollen von Datenbackups und Datenverfügbarkeit werden eingesetzt, um die Kundendaten vor unvorhersehbarer Zerstörung oder Verlust zu schützen.

Haben Sie einen entsprechenden Hosting-Typ oder Backup-Option gemäss den vertraglichen Definitionen ausgewählt, so werden wie im Vertrag definiert regelmässig Backups von den Daten unseres Cloud Service angefertigt. Es liegt ausschliesslich in Ihrer Verantwortung, die entsprechenden Optionen auszuwählen, damit Ihnen Datenbackups und die Kontrolle über die Verfügbarkeit von Kundendaten angemessen zur Verfügung stehen.

Backup-Medien, die ausserhalb der Hosting-Infrastruktur des Cloud Service übertragen werden, werden immer verschlüsselt, ausser wir werden von Ihnen anders beauftragt, wofür Sie in diesem Fall verantwortlich sind.

1.8 Kontrolle der Datenverarbeitung

Technische und organisatorische Massnahmen zur Unterscheidung der Kompetenzen von Datencontroller und Datenprozessor.

Die Kontrolle der Datenverarbeitung soll sicherstellen, dass Kundendaten in Übereinstimmung mit den Anweisungen des Datencontrollers von einem bevollmächtigten Datenprozessoren verarbeitet werden.

Details zur Kontrolle der Datenverarbeitung sind im Vertrag und der DPA festgelegt.

1.9 Trennung von Daten

Technische und organisatorische Massnahmen bezüglich der Sammlung und separierten Verarbeitung von Daten:

Kundendaten aus unseren verschiedenen Kunden-Umgebungen werden auf unseren Systemen, bzw. denen unserer Subprozessoren durch technische und organisatorische Massnahmen voneinander getrennt.

Angestellte werden angewiesen, Kundendaten nur im Rahmen der in unseren IT-Sicherheitsbestimmungen definierten und für die Erfüllung Ihrer Pflichten (z.B. die Lieferung von Dienstleistungen) zu sammeln und zu verarbeiten und diese Kundendaten zu löschen, sobald sie für die Bereitstellung von Diensten nicht mehr gebraucht werden, oder sie durch zwingende gesetzliche Vorschriften dazu verpflichtet sind.

Die mittels unserem Cloud Service verarbeiteten Kundendaten werden so gespeichert, dass sie logisch von anderen Kundendaten getrennt sind.