Diese Auftragsverarbeitungsvertrag (nachfolgend „AV-Vertrag“) legt die Anforderungen und Bedingungen fest, nach denen die Safe Swiss Cloud AG (nachfolgend „SSC“) personenbezogene Daten verarbeitet, wenn sie Dienstleistungen für Sie als Kunden erbringt, der unsere Dienstleistungen abonniert.
Diese Vereinbarung ist ein Anhang zum Vertrag des Kunden mit der SSC für die Bereitstellung von Cloud-Computing, IT- und verwandten Dienstleistungen und bildet einen integralen Bestandteil davon.
1. DEFINITIONEN
Für die Zwecke dieser Vereinbarung:
1.1 „Anwendbares Datenschutzrecht“ bezieht sich auf Datenschutzgesetze, die für SSC als Verarbeiter der personenbezogenen Daten oder den Kunden als Datenverantwortlichen der personenbezogenen Daten gelten, einschliesslich, aber nicht beschränkt auf das Bundesgesetz über den Datenschutz von 1992 (DSG) und seine überarbeitete Version, die am 1. September 2023 in Kraft tritt, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Allgemeine Datenschutzverordnung, „DSGVO“) und deren weitere Umsetzung, Änderung, Ersetzung oder Erneuerung (zusammen als „EU-Gesetzgebung“ bezeichnet), sowie alle verbindlichen nationalen Gesetze zur Umsetzung der EU-Gesetzgebung und andere verbindliche Datenschutz- oder Datensicherheitsrichtlinien, Gesetze, Verordnungen und Entscheidungen, die zu einem gegebenen Zeitpunkt gültig sind.
1.2 „Verarbeitung“ oder „Verarbeiten“ umfasst alle Operationen oder Massnahmen, die an personenbezogenen Daten oder an Gruppen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, einschliesslich Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung.
1.3 Die Begriffe „Datenverantwortlicher„, „betroffene Person„, „personenbezogene Daten„, „Auftragsverarbeiter“ und „Unterauftragsverarbeiter„, „Verarbeitung“ oder „Verarbeiten“ sind gemäss der Definition von „Verarbeitung“ auszulegen.
2. VERARBEITUNG PERSONENBEZOGENER DATEN
SSC wird:
2.1 die personenbezogenen Daten des Kunden ausschliesslich gemäss den Bestimmungen dieser Vereinbarung und nur gemäss den schriftlichen Anweisungen des Kunden verarbeiten und die personenbezogenen Daten ausschliesslich für die Zwecke der Erfüllung dieser Vereinbarung und nicht für andere Zwecke (z. B. kommerzielle Zwecke) verwenden, wie in Anhang 1 festgelegt;
2.2 sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Verschwiegenheit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitsverpflichtung unterliegen;
2.3 geeignete technische und organisatorische Massnahmen ergreifen, um ein Schutzniveau sicherzustellen, das den Anforderungen an Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten entspricht;
2.4 die von SSC von Zeit zu Zeit geforderten Sicherheitsmassnahmen gemäss dem anwendbaren Datenschutzrecht übernehmen, einschliesslich folgender: (i) Widerstandsfähigkeit von Systemen und Diensten im Zusammenhang mit den Verarbeitungsaktivitäten; (ii) die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten bei physischen oder technischen Zwischenfällen rechtzeitig wiederherzustellen; (iii) Verfahren zur regelmässigen Prüfung, Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Sicherstellung der Sicherheit der Verarbeitungsaktivitäten personenbezogener Daten;
2.5 den Kunden über jeden neuen Unterauftragsverarbeiter informieren, der nicht in Anhang 1 aufgeführt ist. Der Kunde hat das Recht, dieser Bestellung zu widersprechen. In diesem Fall besteht jedoch sein alleiniges Recht darin, seinen Vertrag mit SSC zu kündigen. Jeder Unterauftragsverarbeiter ist an dieselben Verpflichtungen gemäss Klausel 2.2 gebunden;
2.6 den Kunden bei der Beantwortung von Anfragen zur Ausübung der Rechte betroffener Personen unterstützen und im Falle eines Datenschutzverstosses bei der Erfüllung der Verpflichtungen des Kunden in Bezug auf die Sicherheit personenbezogener Daten oder im Zusammenhang mit den Informationspflichten des Kunden gegenüber Behörden unterstützen;
2.7 den Kunden unverzüglich benachrichtigen (und in jedem Fall innerhalb einer Frist von höchstens 48 Stunden), nachdem er von einem tatsächlichen oder vermuteten Verstoss gegen personenbezogene Daten oder von einem Sicherheitsvorfall Kenntnis erlangt hat, der in einer versehentlichen oder rechtswidrigen Weise zur Löschung, zum Verlust, zur Änderung, zur unbefugten Offenlegung der übertragenen, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten oder zum unbefugten Zugriff auf solche personenbezogenen Daten geführt hat, sowie, wenn seiner Meinung nach die Anweisungen des Kunden gegen die Datenschutzgesetze verstossen sollten;
2.8 nach Beendigung dieser Vereinbarung aus welchem Grund auch immer die Verarbeitung von personenbezogenen Daten im Auftrag des Kunden einstellen und falls vom Kunden angeordnet, die personenbezogenen Daten innerhalb von dreissig (30) Kalendertagen nach Aufforderung durch den Kunden sicher löschen oder vernichten.
3. BEENDIGUNG
Diese Vereinbarung endet, wenn der Vertrag des Kunden mit der Safe Swiss Cloud AG für die Bereitstellung von Cloud-Computing, IT- und allen verwandten Dienstleistungen beendet wird.
ANHANG 1: BESCHREIBUNG DER VERARBEITUNG
Gegenstand und Dauer der Verarbeitung personenbezogener Kundendaten
Der Gegenstand und die Dauer der Verarbeitung der personenbezogenen Kundendaten sind im Vertrag festgelegt.
Gegenstand der Datenverarbeitung ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten für den Kunden, soweit dies zur Durchführung des Vertrags erforderlich ist, und beschränkt sich auf die Laufzeit des Vertrags.
Art und Zweck der Verarbeitung personenbezogener Kundendaten
Erstellen von Systemen und Administratoren für den Kunden zur Verwaltung seiner Cloud-Infrastruktursysteme, Zugriff auf Ticketing- und Überwachungssysteme, Beantwortung von Kundenanfragen, Versendung von Benachrichtigungen und Erinnerungen über Aktivitäten in SSC, Versendung von Transaktions-E-Mails wie Passwortwiederherstellung, Wartungshinweise, neue Produkte und Preisänderungen, Kundenrechnungsadresse und zugehörige Kontaktinformationen für die Versendung von Rechnungen und die Bearbeitung damit verbundener Angelegenheiten.
Arten von personenbezogenen Kundendaten, die verarbeitet werden
Vorname, Nachname, E-Mail-Adresse der Benutzer und optional: Berufsbezeichnung, Telefonnummer, Standort und Organisationsname.
Kategorien von betroffenen Personen, auf die sich die personenbezogenen Kundendaten beziehen
Mitarbeiter des Kunden und andere speziell eingeladene Benutzer wie Geschäftspartner oder Kunden.
Service-Daten
„Service-Daten“ sind personenbezogene Daten oder andere Informationen, die Benutzer direkt in die Plattform eingeben, in der Plattform erstellen, an die Plattform senden oder SSC im Rahmen anderer Dienstleistungen auf autorisierte Weise zur Verfügung stellen.
ANHANG 2: GENEHMIGTE UNTERAUFTRAGSVERARBEITER
Auftragnehmer
SSC verwendet bestimmte Subunternehmen, um bei den für die Erbringung der SSC-Dienste erforderlichen Vorgängen zu unterstützen. Die SSC-Produktionsinfrastruktur, die für das Hosting von Service-Daten für die Dienste verwendet wird, befindet sich in Rechenzentren in der Schweiz, die zu einer Konzerngesellschaft von SSC gehören. Im Folgenden finden Sie eine Liste der Namen und Standorte wesentlicher Subunternehmen.
Nr. | Subunternehmen | Anwendungsbereich | Standort | Compliance | Data subjects |
1 | Everyware AG | Betrieb von Rechenzentren | Schweiz | Datenschutzgesetz (DSG) (gültig seit 1. September 2023) Europäische Datenschutz-Grundverordnung (DSGVO) ISO 27001 | Service Data |