Data Processing Agreement (Vereinbarung zur Datenverarbeitung)

Diese Datenverarbeitungsvereinbarung (nachfolgend „Vereinbarung“) legt die Bedingungen, Anforderungen und Bedingungen fest, nach denen die Safe Swiss Cloud AG (nachfolgend „SSC“) personenbezogene Daten verarbeitet, wenn sie Dienstleistungen für Sie als Kunden erbringt, der unsere Dienstleistungen abonniert.

Diese Vereinbarung ist ein Anhang zum Vertrag des Kunden mit der SSC für die Bereitstellung von Cloud-Computing, IT- und verwandten Dienstleistungen und bildet einen integralen Bestandteil davon.

1. DEFINITIONEN

Für die Zwecke dieser Vereinbarung:

1.1 „Anwendbares Datenschutzrecht“ bezieht sich auf Datenschutzgesetze, die für SSC als Verarbeiter der personenbezogenen Daten oder den Kunden als Datenverantwortlichen der personenbezogenen Daten gelten, einschliesslich, aber nicht beschränkt auf das Bundesgesetz über den Datenschutz von 1992 (DSG) und seine überarbeitete Version, die am 1. September 2023 in Kraft tritt, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Allgemeine Datenschutzverordnung, „DSGVO“) und deren weitere Umsetzung, Änderung, Ersetzung oder Erneuerung (zusammen als „EU-Gesetzgebung“ bezeichnet), sowie alle verbindlichen nationalen Gesetze zur Umsetzung der EU-Gesetzgebung und andere verbindliche Datenschutz- oder Datensicherheitsrichtlinien, Gesetze, Verordnungen und Entscheidungen, die zu einem gegebenen Zeitpunkt gültig sind.

1.2 „Verarbeitung“ oder „Verarbeiten“ umfasst alle Operationen oder Massnahmen, die an personenbezogenen Daten oder an Gruppen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, einschliesslich Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung.

1.3 Die Begriffe „Datenverantwortlicher„, „betroffene Person„, „personenbezogene Daten„, „Auftragsverarbeiter“ und „Unterauftragsverarbeiter„, „Verarbeitung“ oder „Verarbeiten“ sind gemäss der Definition von „Verarbeitung“ auszulegen.

2. VERARBEITUNG PERSONENBEZOGENER DATEN

SSC wird:

2.1 die personenbezogenen Daten des Kunden ausschliesslich gemäss den Bestimmungen dieser Vereinbarung und nur gemäss den schriftlichen Anweisungen des Kunden verarbeiten und die personenbezogenen Daten ausschliesslich für die Zwecke der Erfüllung dieser Vereinbarung und nicht für andere Zwecke (z. B. kommerzielle Zwecke) verwenden, wie in Anhang 1 festgelegt;

2.2 sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Verschwiegenheit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitsverpflichtung unterliegen;

2.3 geeignete technische und organisatorische Massnahmen ergreifen, um ein Schutzniveau sicherzustellen, das den Anforderungen an Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten entspricht;

2.4 die von SSC von Zeit zu Zeit geforderten Sicherheitsmassnahmen gemäss dem anwendbaren Datenschutzrecht übernehmen, einschliesslich folgender: (i) Widerstandsfähigkeit von Systemen und Diensten im Zusammenhang mit den Verarbeitungsaktivitäten; (ii) die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten bei physischen oder technischen Zwischenfällen rechtzeitig wiederherzustellen; (iii) Verfahren zur regelmässigen Prüfung, Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Sicherstellung der Sicherheit der Verarbeitungsaktivitäten personenbezogener Daten;

2.5 den Kunden über jeden neuen Unterauftragsverarbeiter informieren, der nicht in Anhang 1 aufgeführt ist. Der Kunde hat das Recht, dieser Bestellung zu widersprechen. In diesem Fall besteht jedoch sein alleiniges Recht darin, seinen Vertrag mit SSC zu kündigen. Jeder Unterauftragsverarbeiter ist an dieselben Verpflichtungen gemäss Klausel 2.2 gebunden;

2.6 den Kunden bei der Beantwortung von Anfragen zur Ausübung der Rechte betroffener Personen unterstützen und im Falle eines Datenschutzverstosses bei der Erfüllung der Verpflichtungen des Kunden in Bezug auf die Sicherheit personenbezogener Daten oder im Zusammenhang mit den Informationspflichten des Kunden gegenüber Behörden unterstützen;

2.7 den Kunden unverzüglich benachrichtigen (und in jedem Fall innerhalb einer Frist von höchstens 48 Stunden), nachdem er von einem tatsächlichen oder vermuteten Verstoss gegen personenbezogene Daten oder von einem Sicherheitsvorfall Kenntnis erlangt hat, der in einer versehentlichen oder rechtswidrigen Weise zur Löschung, zum Verlust, zur Änderung, zur unbefugten Offenlegung der übertragenen, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten oder zum unbefugten Zugriff auf solche personenbezogenen Daten geführt hat, sowie, wenn seiner Meinung nach die Anweisungen des Kunden gegen die Datenschutzgesetze verstossen sollten;

2.8 nach Beendigung dieser Vereinbarung aus welchem Grund auch immer die Verarbeitung von personenbezogenen Daten im Auftrag des Kunden einstellen und falls vom Kunden angeordnet, die personenbezogenen Daten innerhalb von dreissig (30) Kalendertagen nach Aufforderung durch den Kunden sicher löschen oder vernichten.

3. BEENDIGUNG

Diese Vereinbarung endet, wenn der Vertrag des Kunden mit der Safe Swiss Cloud AG für die Bereitstellung von Cloud-Computing, IT- und allen verwandten Dienstleistungen beendet wird.

ANHANG 1: BESCHREIBUNG DER VERARBEITUNG

Gegenstand und Dauer der Verarbeitung personenbezogener Kundendaten

Der Gegenstand und die Dauer der Verarbeitung der personenbezogenen Kundendaten sind im Vertrag festgelegt.

Gegenstand der Datenverarbeitung ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten für den Kunden, soweit dies zur Durchführung des Vertrags erforderlich ist, und beschränkt sich auf die Laufzeit des Vertrags.

Art und Zweck der Verarbeitung personenbezogener Kundendaten

Erstellen von Systemen und Administratoren für den Kunden zur Verwaltung seiner Cloud-Infrastruktursysteme, Zugriff auf Ticketing- und Überwachungssysteme, Beantwortung von Kundenanfragen, Versendung von Benachrichtigungen und Erinnerungen über Aktivitäten in SSC, Versendung von Transaktions-E-Mails wie Passwortwiederherstellung, Wartungshinweise, neue Produkte und Preisänderungen, Kundenrechnungsadresse und zugehörige Kontaktinformationen für die Versendung von Rechnungen und die Bearbeitung damit verbundener Angelegenheiten.

Arten von personenbezogenen Kundendaten, die verarbeitet werden

Vorname, Nachname, E-Mail-Adresse der Benutzer und optional: Berufsbezeichnung, Telefonnummer, Standort und Organisationsname.

Kategorien von betroffenen Personen, auf die sich die personenbezogenen Kundendaten beziehen

Mitarbeiter des Kunden und andere speziell eingeladene Benutzer wie Geschäftspartner oder Kunden.

Service-Daten

„Service-Daten“ sind personenbezogene Daten oder andere Informationen, die Benutzer direkt in die Plattform eingeben, in der Plattform erstellen, an die Plattform senden oder SSC im Rahmen anderer Dienstleistungen auf autorisierte Weise zur Verfügung stellen.

ANHANG 2: GENEHMIGTE UNTERAUFTRAGSVERARBEITER

Auftragnehmer

SSC verwendet bestimmte Subunternehmen, um bei den für die Erbringung der SSC-Dienste erforderlichen Vorgängen zu unterstützen. Die SSC-Produktionsinfrastruktur, die für das Hosting von Service-Daten für die Dienste verwendet wird, befindet sich in Rechenzentren in der Schweiz, die zu einer Konzerngesellschaft von SSC gehören. Im Folgenden finden Sie eine Liste der Namen und Standorte wesentlicher Subunternehmen.

Nr.	Subunternehmen	Anwendungsbereich	Standort	Compliance	Data subjects
1	Everyware AG	Betrieb von Rechenzentren	Schweiz	Datenschutzgesetz (DSG) (gültig seit 1. September 2023) Europäische Datenschutz-Grundverordnung (DSGVO) ISO 27001	Service Data

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics		Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-marketing		This cookie is set by the GDPR Cookie Consent plugin to store the user consent for the cookies in the category "Marketing".
cookielawinfo-checkbox-necessary		Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
JSESSIONID		Used for Cross Site Request Forgery (CSRF) protection
sdsc		Signed data service context cookie used for database routing to ensure consistency across all databases when a change is made. Used to ensure that user-inputted content is immediately available to the submitting user upon submission
viewed_cookie_policy		The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_ga		The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_D83559EP8M		This cookie is installed by Google Analytics.
browser_id		This cookie is used for identifying the visitor browser on re-visit to the website.
split		This cookie is used to evaluate the changes to the website by checking which multivariate test the user takes part in.

Cookie	Dauer	Beschreibung
lang		Used to remember a user's language setting to ensure LinkedIn.com displays in the language selected by the user in their settings
li_gc		Used to store consent of guests regarding the use of cookies for non-essential purposes
li_mc		Used as a temporary cache to avoid database lookups for a member's consent for use of non-essential cookies and used for having consent information on the client side to enforce consent on the client side
lidc		To facilitate data center selection