Auftragsverarbeitungs-
Vertrag
Version vom Oktober 2024
1. Einleitende Bemerkungen
Subsidia AG, CHE-111.725.734, Zielstrasse 38, 9050 Appenzell, (die «Subsidia») bietet verschiedene Softwarelösungen für die Schweizer Fashion- und Lifestylebranche an. Der vorliegende Auftragsverarbeitungsvertrag (der «AVV») dient zur Konkretisierung der datenschutzrechtlichen Rechte und Pflichten der Parteien, welche sich aus dem Hauptvertrag zwischen Subsidia und dem jeweiligen Kunden ergeben.
Der AVV findet Anwendung auf alle Tätigkeiten, die sich aus dem Vertragsverhältnis zwischen Subsidia und dem jeweiligen Kunden ergeben und bei denen Mitarbeitende von Subsidia oder durch Subsidia beauftrage Dritte personenbezogene Daten des Kunden verarbeiten.
Für sämtliche Datenschutzfragen kann Subsidia per E-Mail über legal@subsidia.ch erreicht werden.
Für die Bestimmung der im AVV verwendeten Begriffe wird auf Anhang A («Begriffsbestimmungen») verwiesen.
2. Rahmenbedingungen des AVV
2.1 Verhältnis zum Hauptvertrag
Der AVV ist integraler Bestandteil des Hauptvertrages. Er ist mit Abschluss des Hauptvertrages für die Parteien verbindlich und ersetzt alle zuvor von den Parteien vereinbarten Bestimmungen zum Datenschutz, zur Datenverarbeitung und/oder zur Datensicherheit.
Jede Partei schliesst diesen AVV in ihrem eigenen Namen und, soweit nach den Datenschutzgesetzen erforderlich und/oder zulässig, im Namen und im Auftrag ihrer verbundenen Unternehmen ab.
Die Regelungen des AVV gehen im Zweifelsfall den Regelungen des Hauptvertrags vor.
2.2 Dauer und Änderungen
Die Dauer des AVV richtet sich nach der Dauer des Hauptvertrages, sofern sich aus diesem AVV nicht darüberhinausgehende Verpflichtungen ergeben.
Subsidia ist berechtigt, den AVV in begründeten Fällen jederzeit zu ändern. Dabei hat sie die Änderungen vorgängig und in geeigneter Weise bekannt zu geben. Ohne schriftlichen Widerspruch innert Monatsfrist seit Bekanntgabe gelten die Änderungen als genehmigt.
3. Datenverarbeitung
3.1 Gegenstand und Spezifizierung der Datenverarbeitung
Gegenstand sowie Art und Zweck der Verarbeitung ergeben sich grundsätzlich aus dem Hauptvertrag, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen ergeben.
In Anhang B («Gegenstand, Art und Zweck der Datenverarbeitung») werden Gegenstand, Art und Zweck der Datenverarbeitung spezifiziert.
Subsidia und die mit der Verarbeitung der Kundendaten befassten Mitarbeitenden von Subsidia sowie die für Subsidia tätigen Dritten verarbeiten personenbezogene Daten des Kunden nur im Zusammenhang mit der Erbringung der Subsidia-Dienste und/oder auf dokumentierte Anweisung des Kunden, sofern Subsidia nicht durch das anwendbare Recht zu einer anderen Bearbeitung verpflichtet ist; im letzteren Fall teilt Subsidia dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das geltende Recht eine solche Mitteilung nicht verbietet.
Sollte Subsidia bei der Erbringung der Subsidia-Dienste auch selbst Verantwortliche sein oder werden, so ist der Kunde verpflichtet, seine Mitarbeitenden und andere Personen, deren Daten Subsidia als Verantwortliche bearbeitet, über diesen Umstand zu informieren (z.B. durch Vorlage der Datenschutzerklärung von Subsidia). Weiter hat der Kunde die für die Verarbeitungstätigkeiten erforderlichen Einwilligungen oder sonstigen Rechtsgrundlagen sicherzustellen.
Der Kunde verpflichtet sich, bei der Nutzung der Subsidia-Dienste und der Erteilung von Anweisungen die Kundendaten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze zu verwenden und zu verarbeiten. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmässigkeit der Kundendaten und dafür, wie er diese erworben hat.
Die Weisungen des Kunden werden anfänglich durch diesen Vertrag festgelegt und können vom Kunden danach in schriftlicher Form oder in einem dokumentierten elektronischen Format durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Der Kunde ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Weisungen, die in dem Hauptvertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt.
Subsidia benachrichtigt den Kunden, wenn sie der Ansicht ist, dass die dokumentierten Anweisungen des Kunden gegen Datenschutzgesetze verstossen, und ist berechtigt, die Ausführung der betreffenden Anweisung auszusetzen, bis der Kunde eine datenschutzkonforme Anweisung erteilt. Verstösst eine Anweisung des Kunden gegen Datenschutzgesetze, so hat der Kunde Subsidia schadlos zu halten.
Der Kunde ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmassnahmen von Subsidia vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
3.2 Verarbeitungsdauer
Die Verarbeitungstätigkeiten werden während der Verarbeitungsdauer durchgeführt, zuzüglich des Zeitraums nach Beendigung des Hauptvertrages bis zur Löschung aller personenbezogenen Daten des Kunden durch Subsidia gemäss diesem AVV.
3.3 Löschung oder Rückgabe von Kundendaten
Während der Verarbeitungsdauer ermöglicht Subsidia dem Kunden und/oder den Nutzern, Kundendaten über die Funktionalitäten der Subsidia-Dienste zu löschen. Wenn der Kunde oder ein Nutzer Kundendaten löscht, stellt dies eine Anweisung an Subsidia dar, die betreffenden Kundendaten in Übereinstimmung mit dem geltenden Recht aus den Systemen von Subsidia zu entfernen.
Subsidia ist berechtigt, Kundendaten aufzubewahren, die (a) in einem archivierten Computersystem-Backup in Übereinstimmung mit Sicherheits- und/oder Disaster-Recovery-Verfahren enthalten sind; (b) in latenten Daten enthalten sind, einschliesslich gelöschter Dateien und anderer nicht logischer Datentypen wie Speicherabzüge, Auslagerungsdateien, temporäre Dateien, Drucker-Spool-Dateien und Metadaten, die ohne den Einsatz spezieller Tools und Techniken nicht allgemein abrufbar oder zugänglich sind; (c) zu Zwecken der Einhaltung gesetzlicher Vorschriften, der Archivierung oder der Aufbewahrung von Aufzeichnungen in Übereinstimmung mit geltendem Recht erstellt werden; oder (d) zu Zwecken der Bestätigung der Einhaltung dieses AVV aufbewahrt werden, jeweils vorbehaltlich der Vernichtung dieser Kundendaten zu gegebener Zeit und der Unzugänglichkeit dieser Kundendaten für Subsidia, deren Mitarbeitenden sowie für Subsidia tätige Dritte im Rahmen des normalen Geschäftsbetriebs.
Nach der Verarbeitungsdauer ist Subsidia verpflichtet, die personenbezogenen Daten des Kunden nach Wahl des Kunden entweder zu löschen oder diesem zurückgeben; vorbehalten bleibt eine gesetzliche oder sonstige Verpflichtung zur Speicherung der personenbezogenen Daten des Kunden.
4. Unterauftragsverarbeitung
4.1 Beauftragung von Unterauftragsverarbeitern
Subsidia kann zur Erfüllung des Hauptvertrages Unterauftragsverarbeiter beiziehen. Die Beauftragung von Unterauftragsverarbeitern als Auftragsverarbeiter durch Subsidia ist zulässig, soweit diesen im Rahmen des Unterauftrags dieselben Datenschutzpflichten auferlegt werden, die in diesem AVV und dem Hauptvertrag festgelegt sind.
Subsidia trifft mit den Unterauftragsverarbeitern im erforderlichen Umfang Vereinbarungen, um angemessene Datenschutz- und Informationssicherheitsmassnahmen zu gewährleisten.
4.2 Liste der Unterauftragsverarbeiter und Hinzuziehung neuer Unterauftragsverarbeiter
Die derzeitigen Unterauftragsverarbeiter von Subsidia sind über folgenden Link abrufbar (die «Liste der Unterauftragsverarbeiter»): Third party sub-processors for SUBSIDIA (https://subsidia.ch/privacy/third-party-sub-processors)
Der Kunde stimmt zu, dass Subsidia die auf der Liste der Unterauftragsverarbeiter genannten Unterauftragsverarbeiter hinzuzieht.
Vor Hinzuziehung weiterer Unterauftragsverarbeiter informiert Subsidia den Kunden durch Aktualisierung der Liste der Unterauftragsverarbeiter. Die Liste der Unterauftragsverarbeiter ist dabei mindestens vierzehn (14) Tage bevor der neue Unterauftragsverarbeiter Zugang zu den personenbezogenen Daten des Kunden erhält zu aktualisieren. Der Kunde verpflichtet sich, die Liste der Unterauftragsverarbeiter regelmässig einzusehen.
Der Auftraggeber kann der Hinzuziehung eines neuen Unterauftragsverarbeiter innert vierzehn (14) Tagen seit Kenntnisnahme aus wichtigem Grund widersprechen (z. B. wenn die Hinzuziehung des neuen Unterauftragsverarbeiters gegen Datenschutzgesetze verstossen könnte). Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Hinzuziehung als gegeben. Erfolgt ein Widerspruch innerhalb der Frist, prüft Subsidia diesen und kann nach eigenem Ermessen: (a) entscheiden, den neuen Unterauftragsverarbeiter nicht hinzuzuziehen und/oder einen alternativen Unterauftragsverarbeiter vorzuschlagen; (b) Schritte unternehmen, um die spezifischen Bedenken des Kunden zu beheben oder zu entschärfen, und die schriftliche Zustimmung des Kunden zur Nutzung des neuen Unterauftragsverarbeiters einholen; oder (c) dem Kunden die Subsidia-Dienste ohne die vom neuen Unterauftragsverarbeiter bereitgestellten Dienste oder Funktionen zur Verfügung stellen, ohne dass dies zu einer Reduktion der vom Kunden gemäss Hauptvertrag zu bezahlenden Gebühr führt. Wenn Subsidia aus technischen Gründen nicht in der Lage ist oder nach vernünftigem Ermessen feststellt, dass es wirtschaftlich unzumutbar ist, eine der vorgenannten Möglichkeiten zu nutzen, kann der Kunde die betroffenen Teile der Subsidia-Dienste durch schriftliche Mitteilung innerhalb von dreissig (30) Tagen ausserordentlich kündigen.
5. Betroffene Personen
5.1 Zugang zu den Kundendaten
Während der Verarbeitungsdauer ermöglicht Subsidia dem Kunden, auf Kundendaten zuzugreifen, sie zu korrigieren, einzuschränken, zu löschen und zu exportieren, und zwar in einer Weise, die mit den Funktionen der Subsidia-Dienste kompatibel ist.
5.2 Anfragen einer betroffenen Person
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an Subsidia, wird Subsidia die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden nach Angaben der betroffenen Person möglich ist. Subsidia leitet die Anfrage der betroffenen Person innert angemessener Frist an den Kunden weiter.
Subsidia haftet nicht, wenn das Ersuchen der betroffenen Person vom Kunden nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
5.3 Unterstützung durch Subsidia
Subsidia unterstützt den Kunden im Rahmen ihrer Möglichkeiten bei der Erfüllung der datenschutzrechtlichen Anfragen und Ansprüche betroffener Personen sowie bei der Einhaltung seiner datenschutzrechtlichen Pflichten. Subsidia ist berechtigt, hierfür vom Kunden eine Aufwandsentschädigung zu verlangen.
6. Sicherheit
6.1 Technische und organisatorische Massnahmen
Subsidia stellt sicher, dass die Verarbeitungstätigkeiten den durch die Datenschutzgesetze auferlegten Verpflichtungen in Bezug auf die Sicherheit der personenbezogenen Daten des Kunden entsprechen. Insbesondere wird Subsidia unter Berücksichtigung des Umfangs und des Zwecks der Verarbeitung personenbezogener Daten des Kunden geeignete technische und organisatorische Massnahmen umsetzen und aufrechterhalten, um ein dem Risiko angemessenes Sicherheitsniveau sowie die Vertraulichkeit und Integrität der personenbezogenen Daten des Kunden zu gewährleisten. Dem Kunden sind die technischen und organisatorischen Massnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Kundendaten ein angemessenes Schutzniveau bieten.
Die technischen und organisatorischen Massnahmen sind in Anhang C («Technische und organisatorische Massnahmen») aufgeführt. Diese unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist Subsidia berechtigt, alternative adäquate Massnahmen jederzeit umzusetzen. Sie stellt dabei sicher, dass das mit diesem AVV vereinbarte Sicherheitsniveau nicht unterschritten wird.
6.2 Vertraulichkeit
Subsidia stellt mit der gebotenen Sorgfalt sicher, dass die mit der Verarbeitung der Kundendaten befassten Mitarbeitenden von Subsidia sowie die für Subsidia tätigen Dritte, die zur Verarbeitung von Kundendaten berechtigt sind, zur Geheimhaltung verpflichtet sind. Diese Geheimhaltungsverpflichtung muss so gefasst sein, dass sie auch nach Beendigung des Arbeitsverhältnisses zwischen Subsidia und ihrem Mitarbeitenden bzw. nach Beendigung des Vertrages zwischen Subsidia und dem für sie tätigen Dritten bestehen bleibt.
6.3 Management von Sicherheitsvorfällen und Benachrichtigung
Wird Subsidia eine Verletzung des Schutzes personenbezogener Daten bekannt (der«Sicherheitsvorfall»), trifft sie die zumutbaren Massnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffene(n) Person(en). Ausserdem hält sie die geltenden gesetzlichen Bestimmungen betreffend Meldung von Verletzungen des Datenschutzes ein. Hat Subsidia einen Sicherheitsvorfall zu melden, gilt dies nicht als Anerkennung eines Verschuldens oder einer Haftung von Subsidia in Bezug auf den Sicherheitsvorfall.
Subsidia wird im Rahmen ihrer Möglichkeiten mit dem Kunden zusammenarbeiten, um die Ursache eines Sicherheitsvorfalls zu ermitteln, und, sofern die Behebung im Einflussbereich von Subsidia liegt, angemessene Schritte zur Behebung der Ursache unternehmen. Sofern nicht durch Datenschutzgesetze vorgeschrieben, gelten die in diesem AVV enthaltenen Verpflichtungen nicht für Vorfälle, die durch den Kunden, Nutzer oder Produkte und Dienste von Drittanbietern verursacht werden.
Sollten die Kundendaten bei Subsidia durch Pfändung oder Beschlagnahme, durch ein Konkurs- oder Sanierungsverfahren oder durch sonstige Ereignisse oder Massnahmen Dritter gefährdet werden, so hat Subsidia den Kunden unverzüglich darüber zu informieren, sofern ihr dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Subsidia wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Kundendaten ausschliesslich beim Kunden liegt.
7. Haftungsbegrenzung
Sofern in diesem AVV nicht anders geregelt, unterliegt die Haftung, die sich aus oder im Zusammenhang mit dem AVV ergibt, den im Hauptvertrag vereinbarten Haftungsbeschränkungen.
8. Datenübertragung
8.1 Übermittlung nach dem Schweizer Datenschutzgesetz
Die personenbezogenen Daten des Kunden werden in der Schweiz oder an einem Ort verarbeitet, für den die Gesetzgebung des entsprechenden Empfängerstaates oder das internationale Organ einen angemessenen Datenschutz im Sinne von Art. 16 Abs. 1 DSG gewährleistet (die «sicheren Empfangsorte»).
Sofern spezifische Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten des Kunden an einen Ort ausserhalb eines sicheren Empfangsortes erfordern, ist Subsidia zur entsprechenden Datenübermittlung berechtigt, wenn sie den Datenschutz auf andere Weise sicherstellt oder ein Ausnahmetatbestand gemäss Art. 17 Abs. 1 DSG vorliegt.
8.2 Übermittlung nach der Datenschutz-Grundverordnung
Soweit die Datenschutz-Grundverordnung anwendbar ist, verarbeitet Subsidia die personenbezogenen Daten des Kunden nach Möglichkeit innerhalb des EWR oder in einem Drittland, für das die Europäische Kommission einen Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 und 3 DSGVO erlassen hat (das «sichere Drittland»).
Sofern spezifische Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten des Kunden an einen Ort ausserhalb eines sicheren Drittlandes erfordern, ist Subsidia berechtigt, eine in Art. 46 Abs. 2 DSGVO genannte Massnahme zu implementieren, um geeignete Garantien für die Datenübermittlung zu gewährleisten.
9. Zusammenarbeit
9.1 Datenschutz-Folgenabschätzung
Auf Anfrage und sofern durch Datenschutzgesetze vorgeschrieben, unterstützt Subsidia den Kunden in angemessener Weise bei der Durchführung von Datenschutz-Folgenabschätzungen und/oder bei vorgängigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, solange der Kunde nicht anderweitig Zugang zu den relevanten Informationen hat. Subsidia ist berechtigt, hierfür vom Kunden eine Aufwandsentschädigung zu verlangen.
9.2 Inspektionen
Sollten infolge einer gesetzlichen Verpflichtung Inspektionen durch den Kunden oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Subsidia darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Geheimhaltungserklärung hinsichtlich der Kundendaten anderer Kunden und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Kunden beauftragte Prüfer in einem Wettbewerbsverhältnis zu Subsidia stehen, kann Subsidia diesen ablehnen und eine neutrale Person vorschlagen. Allfällige mit der Prüfung verbundene Kosten kann Subsidia dem Kunden in Rechnung stellen.
Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde eine Inspektion vornehmen, gelten die Bestimmungen im vorangehenden Absatz sinngemäss. Eine Unterzeichnung einer Geheimhaltungserklärung ist nicht erforderlich, wenn die betreffende Aufsichtsbehörde einer beruflichen oder gesetzlichen Schweigepflicht unterliegt, bei der ein Verstoss nach dem Strafgesetzbuch strafbewehrt ist.
10. Schlussbestimmungen
10.1 Schriftlichkeit von Änderungen und Ergänzungen
Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
10.2 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam oder unvollständig sein oder sollte die Erfüllung unmöglich sein, so berührt dies die Wirksamkeit der übrigen Bestimmungen dieses AVV nicht. Ungültige Bestimmungen sind durch eine gültige und zulässige Bestimmung zu ersetzen, die dem Inhalt der ursprünglichen Bestimmung in ihrem Sinngehalt am nächsten kommt.
10.3 Anwendbares Recht und Gerichtsstand
Der AVV und alle Streitigkeiten oder Ansprüche, die sich aus oder im Zusammenhang mit ihm ergeben untersteht schweizerischem Recht.
Vorbehaltlich zwingender gesetzlicher Regelungen vereinbaren die Parteien als ausschliesslichen Gerichtsstand Appenzell, Schweiz.
Anhang A: Begriffsbestimmungen
«Auftragsverarbeiter» bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
«Betroffene Person» ist die natürliche Person, auf die sich die personenbezogenen Daten beziehen.
«Datenschutzgesetze» bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrages anwendbar sind.
«DSG» bedeutet das Bundesgesetz über den Datenschutz vom 25. September 2020 (Datenschutzgesetz; SR 235.1).
«DSGVO» bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
«EWR» bezeichnet den Europäischen Wirtschaftsraum.
«Hauptvertrag» bezeichnet sämtliche Verträge, die zwischen Subsidia und dem jeweiligen Kunden für die Nutzung der Subsidia-Dienste geschlossen wurden, einschliesslich aller Anhänge und zusätzlichen Dokumente, die das betreffende Vertragsverhältnis zwischen Subsidia und dem Kunden regeln, ausgenommen dieser AVV.
«Kunde» ist diejenige Person, einschliesslich etwaiger verbundener Unternehmen, die den Hauptvertrag mit Subsidia eingegangen ist.
«Kundendaten» sind Daten, einschliesslich personenbezogener Daten des Kunden, die vom Kunden, seinen verbundenen Unternehmen oder seiner Nutzer über die Subsidia-Dienste übermittelt, gespeichert, gesendet oder empfangen werden.
«Nutzer» bezeichnet jede natürliche Person, die berechtigt ist, die Subsidia-Dienste gemäss dem Hauptvertrag zu nutzen.
«Personenbezogene Daten» sind alle Informationen, die sich auf eine identifizierte oder identifizierbare betroffene Person beziehen; als identifizierbar wird eine betroffene Person angesehen, die direkt oder indirekt identifiziert werden kann.
«Produkte und Dienste von Drittanbietern» sind unabhängige Produkte und Dienste von Drittanbietern, die nicht direkt durch Subsidia lizenziert werden, einschliesslich, jedoch nicht beschränkt auf webbasierte, mobile, offline oder andere Softwarefunktionen, die mit den Subsidia-Diensten interagieren, die vom Kunden oder einem Drittanbieter bereitgestellt werden und die der Kunde einbinden kann, um die Nutzung und Funktionalität der Subsidia-Dienste zu erweitern.
«Subsidia-Dienste» bezeichnet die von Subsidia angebotenen und vom Kunden im Rahmen des Hauptvertrages erworbenen Produkte und Dienstleistungen, sowohl aktuell als auch in Zukunft, einschliesslich des Rechts und/oder der Lizenz zur Nutzung der Subsidia-Plattform.
«Subsidia-Plattform» bezeichnet die Software, die Subsidia dem Kunden zur Nutzung über das Internet zur Verfügung stellt, namentlich die von Subsidia angebotene webbasierte All-in-One Markenmanagement-SaaS-Lösung, die mobile App und die Desktop-App.
«Unterauftragsverarbeiter» bezeichnet jeden Dritten, der von oder im Namen von Subsidia beauftragt wird, personenbezogene Daten des Kunden im Rahmen der Erbringung der Subsidia-Dienste zu verarbeiten.
«Verantwortlicher» bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
«Verarbeitung» oder «Verarbeitungstätigkeit» bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
«Verarbeitungsdauer» bezeichnet den Zeitraum, ab dem die Subsidia-Dienste erbracht werden, bis zur Beendigung der Erbringung der Subsidia-Dienste.
«Verbundenes Unternehmen» bedeutet jedes Unternehmen, das direkt oder indirekt das betreffende Unternehmen kontrolliert, von ihm kontrolliert wird oder unter gemeinsamer Kontrolle mit ihm steht. «Kontrolle» im Sinne dieser Definition bedeutet das direkte oder indirekte Eigentum an oder die Macht über mehr als 50 % der stimmberechtigten Anteile des betreffenden Unternehmens oder die Möglichkeit, die Finanz- und Geschäftspolitik zu bestimmen oder die Geschäftsführung des betreffenden Unternehmens zu ernennen.
Anhang B: Gegenstand, Art und Zweck der Datenverarbeitung
Gegenstand der Datenverarbeitung
Gegenstand der Datenverarbeitung ist die Bereitstellung der Subsidia-Dienste und den dazugehörigen technischen Support für den Kunden.
Art und Zweck
Subsidia verarbeitet personenbezogene Daten, die vom Kunden oder seinen Nutzern über die Subsidia-Dienste übermittelt, gespeichert, gesendet oder empfangen werden, um die Subsidia-Dienste und den dazugehörigen technischen Support für den Kunden in Übereinstimmung mit dem Hauptvertrag und diesem AVV bereitzustellen.
Art der personen-bezogenen Daten
Die Datenarten hängen von den durch den Kunden übermittelten Kundendaten ab. Diese können insbesondere sein:
Personenstammdaten (Name und Vorname, Geburtsdatum, Adresse, Profilbild, Berufsbezeichnung, Arbeitgeber)
Kontakt- und Kommunikationsdaten (E-Mail-Adresse, Telefonnummer)
Vertragsstammdaten (Vertragsbeziehung inkl. Vertragshistorie)
IT-Nutzungsdaten (UserID, Rollen, IP-Adresse)
Kategorien betroffener Personen
Die Kategorien betroffener Personen hängen von den durch den Kunden übermittelten Kundendaten ab. Diese können insbesondere sein:
Mitarbeitende des Kunden
Lieferanten des Kunden
Dienstleister des Kunden
Beim Kunden einkaufende Personen
Interessenten des Kunden
Ansprechpartner
Anhang C: Technische und organisatorische Massnahmen
1. Einleitende Bemerkungen
Subsidia hat geeignete technische und organisatorische Massnahmen (die «TOMs») ergriffen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitungstätigkeiten, die zur Bereitstellung der Subsidia-Dienste durchgeführt werden, angemessen ist. Die TOMs von Subsidia sind auf die Gegebenheiten eines Cloud-basierten Software-as-a-Service (SaaS)-Anbieters ausgerichtet. Sie berücksichtigen insbesondere den Stand der Technik, die Implementierungskosten und die Art, den Umfangs, die Umstände und die Zwecke der Verarbeitung sowie das Risiko für die betroffenen Personen.
https://cloud.google.com/security
https://cloud.google.com/privacy
2. Geschütztes Cloud-Hosting
Die Subsidia-Dienste werden über die Serverinfrastruktur unseres Cloud Hosting Partners Google Cloud Plattform (die «GCP») erbracht. Informationen über die von unserem Cloud Hosting Partner implementierten Sicherheitsstandards sind zu finden unter:
3. Anonymisierung und Pseudonymisierung
Soweit es technisch möglich und mit der Erbringung der Subsidia Dienste vereinbar ist, anonymisiert Subsidia die personenbezogenen Daten. Wenn eine Anonymisierung nicht möglich ist, greift Subsidia auf die Pseudonymisierung von personenbezogenen Daten zurück. Um die Subsidia-Dienste zu erbringen, ist eine Anonymisierung oder Pseudonymisierung personenbezogener Daten jedoch nicht in jedem Fall möglich und würde dem Zweck der Subsidia-Dienste zuwiderlaufen.
4. Verschlüsselung
Die Subsidia-Dienste sind nur auf Seiten mit HTTPS verfügbar, und HSTS-Header werden für alle Subdomains erstellt. Subsidia nutzt Transport Layer Security (TLS) 1.2 (oder besser) für Daten, die über ein beliebiges Netzwerk übertragen werden. Subsidia unterstützt die Verschlüsselung von Daten während der Übertragung. Die Überwachungs- und Backend-Systeme senden entweder lokalen Datenverkehr über die VPC (Virtual Private Cloud) oder verwenden Verschlüsselung auf Transportebene, wenn sie mit dem Rest des Internets kommunizieren.
5. Geheimhaltung
Subsidia ergreift Massnahmen, um die Geheimhaltung der Daten zu gewährleisten und eine unbefugte Offenlegung von oder einen unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete Daten zu verhindern. Zu diesen Massnahmen gehören die physische Zugangskontrolle, die Einlasskontrolle, die Zugangskontrolle und die Trennungskontrolle.
5.1 Physische Zugangskontrolle
Folgende Massnahmen wurden ergriffen, damit Unbefugten der Zutritt zur Datenverarbeitungsinfrastruktur verwehrt wird:
Kontrollierte Schlüsselverwaltung
Türsicherung
Überwachungssystem (Alarmanlage)
5.2 Einlasskontrolle
Folgende Massnahmen wurden ergriffen, damit Unbefugte nicht auf die Daten zugreifen können:
Passwortpolitik, d.h. persönliche und individuelle Benutzeranmeldung beim Zugriff auf das System
Automatische Sperre (z. B. Passwort, Pausenmodus)
Erstellung eines Benutzerstammsatzes pro Benutzer
Begrenzung der Zahl der zugelassenen Mitarbeiter
Verschlüsselung der Datenspeicherung
Isolierung sensibler Systeme durch getrennte Netzbereiche
Authentifizierungsverfahren (VPN, Zertifikate, Multi-Faktor-Authentifizierung)
Protokollierung der Anmeldeversuche und Unterbrechung des Anmeldevorgangs nach einer bestimmten Anzahl erfolgloser Versuche
5.3 Zugangskontrolle
Folgende Massnahmen wurden ergriffen, damit die zum Zugriff auf eine Datenverarbeitungsinfrastruktur Berechtigten nur auf die Daten zugreifen können, die ihrer Zugriffsberechtigung unterliegen:
Konzept, das auf dem Prinzip der geringsten Rechte (Least Privilege Principle) beruht
Berechtigungskonzepte (differenzierte Berechtigungen in Profilen, Rollen etc.)
Verschlüsselung von verschiedenen Datenspeichern
Protokollierung von Zugriffen und Missbrauchsversuchen
5.4 Trennungskontrolle
Folgende Massnahmen wurden ergriffen, damit Daten, die für unterschiedliche Zwecke bearbeitet werden, getrennt von anderen Daten und Systemen verarbeitet und aufbewahrt werden, um eine ungeplante Nutzung dieser Daten für andere Zwecke zu verhindern:
Beschreibung der Trennungskontrolle
Berechtigungskonzepte (differenzierte Berechtigungen in Profilen, Rollen etc.)
Verschlüsselte Speicherung von Daten
Multi-Tenant-Umgebung mit logischer Kundentrennung
Trennung von Test- und Produktivsystemen
6. Integrität
Subsidia ergreift Massnahmen zur Wahrung der Integrität der Daten, um zu verhindern, dass Daten unbemerkt, unerlaubt oder ungewollt verändert werden. Zu diesen Massnahmen gehören Datenintegritätskontrolle, Übertragungskontrolle, Transportkontrolle und Eingabekontrolle.
6.1 Datenintegritätskontrolle
Folgende Massnahmen wurden ergriffen, damit Daten nicht durch Fehlfunktionen des Systems beschädigt oder geändert werden:
Implementierung von neuen Versionen und Patches mit einem Release/Patch-Management
Betriebstest während der Implementierung und Releases/Patches durch die IT-Abteilung
Protokollierung
Transportprozesse mit individueller Verantwortung
6.2 Übertragungskontrolle
Folgende Massnahmen wurden ergriffen, damit überprüft und festgestellt werden kann, wohin Daten mit Hilfe von Datenübertragungseinrichtungen übermittelt wurden oder werden können:
Protokollierung
Transportprozesse mit individueller Verantwortung
Hashing
6.3 Transportkontrolle
Folgende Massnahmen wurden ergriffen, damit die Geheimhaltung und Integrität der Daten bei der Übermittlung von Daten und beim Transport von Datenträgern geschützt werden kann:
Übertragung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN)
Transportprozesse mit individueller Verantwortung
Protokollierungsverfahren
6.4 Eingabekontrolle
Folgende Massnahmen wurden ergriffen, damit überprüft und festgestellt werden kann, ob und von wem die Daten in der Datenverarbeitungsinfrastruktur eingegeben, geändert oder entfernt wurden.
Protokollierung von Systemaktivitäten
Protokollanalysesysteme
Hashing
Digitale Signaturen
7. Erkennung und Verwaltung von Schwachstellen
Subsidia nutzt Tools zur Erkennung von Sicherheitsrisiken, damit verdächtige Aktivitäten, potenzielle Schadprogramme, Viren und/oder bösartige Computercodes erkannt werden und Subsidia darüber informiert wird.
8. Datenneutralität
Subsidia überprüft die von den Kunden an die Subsidia-Dienste gesendeten Daten nicht und verarbeitet alle Daten unabhängig von ihrer Art, sofern sie die vordefinierten Merkmale für die Verarbeitung erfüllen.
9. Administrative Massnahmen
Subsidia überprüft im Rahmen seines Einstellungsverfahrens den strafrechtlichen Hintergrund seiner Mitarbeitenden, soweit dies in Anbetracht der Rolle des Mitarbeitenden angemessen und nach geltendem Recht zulässig ist.
Subsidia führt Schulungen zum Thema Datenschutz und Sicherheit durch und die Mitarbeitenden von Subsidia absolvieren ein Onboarding-Programm.
Die Mitarbeitenden von Subsidia sind entweder durch ihren jeweiligen Arbeitsvertrag oder durch eine gesonderte Vereinbarung zur Geheimhaltung und Einhaltung der Informationssicherheitsrichtlinien verpflichtet.
10. Verfügbarkeit und Belastbarkeit
Subsidia ergreift Massnahmen und/oder achtet darauf, dass Massnahmen bestehen, um eine hohe Verfügbarkeit und Belastbarkeit von Datenverarbeitungsanlagen zu gewährleisten und damit der Zugriff auf die Daten bei einem physischen oder technischen Zwischenfall zeitnah wiederhergestellt werden kann.
Die Subsidia-Dienste werden über die GCP erbracht (siehe hierzu Ziff. 2 des Anhanges A). Informationen zu den Massnahmen, welche unser Cloud Hosting Partner im vorliegenden Zusammenhang ergreift, sind zu finden unter https://cloud.google.com/security. Zudem trifft Subsidia folgende Massnahmen:
Datensicherungsverfahren
Katastrophen- und Notfallpläne
Automatische Überwachung mit E-Mail-Benachrichtigung
Tests der Datenwiederherstellung
11. Meldung von Sicherheitsvorfällen
Wenn Subsidia von einem Sicherheitsvorfall Kenntnis erlangt, der zur versehentlichen oder unrechtmässigen Zerstörung, Verlust, Änderung, Offenlegung oder Zugriff der personenbezogenen Daten des Kunden führt, benachrichtigt Subsidia die betroffenen Kunden in Übereinstimmung mit ihren vertraglichen Verpflichtungen und den Anforderungen der anwendbaren Datenschutzgesetze. Zudem ergreift Subsidia angemessene Massnahmen, um den Sicherheitsvorfall einzudämmen, zu untersuchen und zu beheben.
12. Regelmässige Überprüfung, Bewertung und Evaluierung
Subsidia hat ein Verfahren implementiert, um die Wirksamkeit der TOMs regelmässig zu prüfen, zu bewerten und zu evaluieren. Dazu gehören ein Bewertungsverfahren und eine Vertragskontrolle.
12.1 Bewertungsverfahren
Folgende Massnahmen wurden ergriffen, damit die Daten möglichst sicher und im Einklang mit den Datenschutzbestimmungen verarbeitet werden:
Datenschutzmanagement
Dokumentation der Anweisungen der Kunden
Formalisierte Auftragsverwaltung
Service Level Agreements
12.2 Vertragskontrolle
Folgende Massnahmen wurden ergriffen, damit die Kundendaten gemäss den Anweisungen des Kunden verarbeitet werden:
Klare Vertragsformulierung
Dokumentation der Anweisungen der Kunden
Formalisierte Auftragsverwaltung