AVV

Auftragsverarbeitungsvereinbarung (AVV) der SAVE AG

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend «AVV») konkretisiert die Verpflichtungen betreffend Datenschutz, welche sich aus dem Vertragsverhältnis zwischen der SAVE AG (nachfolgend «Auftragnehmerin») und ihren Kundinnen und Kunden (nachfolgend «Auftraggeber») ergeben. Grundlage für das Vertragsverhältnis der Parteien bilden die Allgemeinen Geschäftsbedingungen (nachfolgend «AGB») und die Datenschutzerklärung (nachfolgend «DSE») und diese sind somit integrierender Bestandteil des AVV. Der AVV findet Anwendung auf alle Tätigkeiten, die sich aus dem Vertragsverhältnis der Parteien ergeben und bei denen Mitarbeitende der Auftragnehmerin oder durch die Auftragnehmerin beauftrage Dritte personenbezogene Daten (nachfolgend «Daten») des Auftraggebers verarbeiten. Für sämtliche anfallende Datenschutzfragen kann der Auftraggeber den Datenschutzbeauftragen der Auftragnehmerin über datenschutz@save.ch erreichen.

 

1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

1.1. Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung ergeben sich grundsätzlich aus den AGB, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen ergeben.
1.2. Im Anhang A zum AVV werden Gegenstand, Art und Zweck der Auftragsverarbeitung spezifiziert.

 

2. Anwendungsbereich und Verantwortlichkeit

2.1. Die Auftragnehmerin verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die in den AGB, der DSE, im Anhang A des AVV und in der aktuellen Leistungsbeschreibung auf der Website der Auftragnehmerin konkretisiert sind.
2.2. Der Auftraggeber ist im Rahmen des Vertragsverhältnisses für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an die Auftragnehmerin sowie für die Rechtmässigkeit der Datenverarbeitung allein verantwortlich.

 

3. Pflichten der Auftragnehmerin

3.1. Die Auftragnehmerin verarbeitet Daten von betroffenen Personen nur im Rahmen des Vertragsverhältnisses gemäss den AGB, der DSE und dem vorliegenden AVV; ausser es liegt ein gesetzlich geregelter Ausnahmefall vor.
3.2. Die Auftragnehmerin gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so aus, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Sie trifft technische und organisatorische Massnahmen zum angemessenen Schutz der Daten des Auftraggebers, die den jeweiligen gesetzlichen Anforderungen genügen. Insbesondere stellen diese die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicher. Dem Auftraggeber sind diese technischen und organisatorischen Massnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
3.3. Die von der Auftragnehmerin getroffenen Massnahmen werden in Anhang B (unten folgend) präzisiert. Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es der Auftragnehmerin gestattet, alternative adäquate Massnahmen jederzeit umzusetzen. Dabei darf das mit diesem AVV vertraglich vereinbarte Sicherheitsniveau nicht unterschritten werden.
3.4. Die Auftragnehmerin unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der datenschutzrechtlichen Anfragen und Ansprüche betroffener Personen sowie bei der Einhaltung der datenschutzrechtlichen Pflichten. Die Auftragnehmerin ist gemäss AGB berechtigt, hierfür eine Aufwandsentschädigung zu verlangen.
3.5. Die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitenden sowie weitere für die Auftragnehmerin tätige Dritte verarbeiten die Daten ausschliesslich im Rahmen des Vertragsverhältnisses gemäss den AGB, der DSE und dem vorliegenden AVV und sind zur Geheimhaltung verpflichtet.
3.6. Sofern der Auftragnehmerin Verletzung des Schutzes personenbezogener Daten bekannt werden, trifft sie die zumutbaren Massnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen. Ausserdem hält die Auftragnehmerin die geltenden gesetzlichen Bestimmungen betreffend Meldung von Verletzungen des Datenschutzes vollumfänglich ein.
3.7. Die Auftragnehmerin hält die geltenden datenschutzrechtlichen Bestimmungen vollumfänglich ein und überprüft die Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung regelmässig.
3.8. Die Auftragnehmerin bearbeitet und speichert personenbezogene Daten. Die Auftragnehmerin berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Davon ausgenommen sind Daten, welche für die Weiterbearbeitung aufgrund gesetzlicher Vorschriften oder für zwingende interne Zwecke erforderlich sind. Die Herausgabe der Daten und die entsprechende Vergütung ist in den AGB geregelt.

 

4. Pflichten des Auftraggebers

4.1. Der Auftraggeber hat die Auftragnehmerin unverzüglich und vollständig schriftlich zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmässigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
4.2. Der Auftraggeber nennt der Auftragnehmerin den Ansprechpartner für im Rahmen des Vertragsverhältnisses anfallende Datenschutzfragen, sofern dieser von der genannten Ansprechperson abweicht.
4.3. Der Auftraggeber erklärt, dass er die alleinige Verantwortung trägt für die Information der von der Datenverarbeitung betroffenen Personen betreffend der möglichen Datenspeicherung, -nutzung, -bearbeitung und -weitergabe durch die Auftragnehmerin gemäss den Bestimmungen in den AGB, der DSE und diesem AVV. Sollten einzelne betroffene Personen mit der vorgesehenen Datenbearbeitung nicht einverstanden sein, ist der Auftraggeber verantwortlich, die Löschung der jeweiligen Daten zu beantragen.
4.4. Mit Akzeptierung der AGB sowie der DSE erklärt der Auftraggeber ausdrücklich sein Einverständnis zur Weitergabe seiner Daten an die Muttergesellschaft der Auftragnehmerin sowie verbundene Gesellschaften. Der Auftraggeber befreit die Auftragnehmerin von jeglichen möglichen Ansprüchen. Die Einholung des Einverständnisses der betroffenen Personen ist Sache des Auftraggebers.

 

5. Nachweismöglichkeiten

5.1. Die Auftragnehmerin weist dem Auftraggeber die Einhaltung der in dieser Anlage niedergelegten Pflichten mit geeigneten Mitteln nach. Dies erfolgt durch einen Selbstaudit und/oder ISO-Zertifizierung.
5.2. Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein (z.B. aufgrund Unterstellung DSGVO), werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Die Auftragnehmerin darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu der Auftragnehmerin stehen, kann die Auftragnehmerin diesen ablehnen und eine neutrale Person vorschlagen. Allfällige mit der Prüfung verbundene Kosten kann die Auftragnehmerin dem Auftraggeber in Rechnung stellen, insbesondere wenn keine Unregelmässigkeiten festgestellt werden konnten.
5.3. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Ziffer 5.2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoss nach dem Strafgesetzbuch strafbewehrt ist.

 

6. Subunternehmer (weitere Auftragsverarbeiter)

6.1. Die Auftragnehmerin kann zur Erfüllung der vertraglichen Leistung Subunternehmer beiziehen. Die Beauftragung von Subunternehmern als Auftragsverarbeiter durch die Auftragnehmerin ist zulässig, soweit diese im Umfang des Unterauftrags ihrerseits die Anforderungen des vorliegenden AVV erfüllen. Die Auftragnehmerin trifft mit den Subunternehmern im erforderlichen Umfang Vereinbarungen, um angemessene Datenschutz- und Informationssicherheitsmassnahmen zu gewährleisten. Subunternehmer, welche keinen Zugriff auf Kundendaten haben bzw. keine Verarbeitung von personenbezogenen Daten als Auftragsverarbeiter vornehmen, sind von diesem Kapitel ausgenommen.

 

7. Informationspflichten

7.1. Sollten die Daten des Auftraggebers bei der Auftragnehmerin durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Massnahmen Dritter gefährdet werden, so hat die Auftragnehmerin den Auftraggeber unverzüglich darüber zu informieren. Die Auftragnehmerin wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschliesslich beim Auftraggeber liegen.

 

8. Haftung

8.1. Die Haftung richtet sich nach den entsprechenden Bestimmungen in den AGB.

 

SAVE AG
Tittwiesenstrasse 61
7000 Chur

 

Anhang A   Gegenstand, Art und Zweck
Anhang B   Technische und organisatorische Massnahmen (TOM)

Anhang A – Gegenstand, Art und Zweck

 

Gegenstand des Auftrags:
Verarbeitung von personenbezogenen Daten des Auftraggebers im Rahmen seiner Teilnahme an den Veranstaltungen der Auftragnehmerin (Tagungen, Kongresse, Seminare und ähnlichen).

Art und Zweck der vorgesehenen Verarbeitung von Daten:
Die vom Auftraggeber personenbezogenen Daten werden an die Auftragnehmerin im Rahmen der Leistungen rund um die Veranstaltungen übertragen. Die Auftragnehmerin verarbeitet diese Daten ausschliesslich gemäss den AGB und dem entsprechenden Leistungsbeschrieb auf der Website der Auftragnehmerin (Auftragsverwaltung, Kontaktverwaltung (CRM), Buchhaltung, E-Banking, Lohnbuchhaltung, Lagerverwaltung, Projektverwaltung, etc.).

Art der personen-bezogenen Daten:
Die Datenarten hängen von den durch den Auftraggeber übermittelten Daten ab. Diese sind insbesondere (abhängig vom Auftrag):

  • Personenstammdaten (Name, Geburtsdatum, Anschrift, Arbeitgeber) einschliesslich Kontaktdaten (z.B. Telefon, E-Mail)
  • Vertragsdaten, einschliesslich Abrechnung und Zahlungsdaten
  • Historie der Vertragsdaten

Kategorien betroffener Personen:
Die Kategorien der betroffenen Personen hängen von den durch den Auftraggeber übermittelten Daten ab. Diese sind insbesondere (abhängig vom Auftrag):

  • Mitarbeitende (einschliesslich Bewerber und ehemalige Mitarbeitende) des Auftraggebers
  • Kunden des Auftraggebers
  • Interessenten des Auftraggebers
  • Dienstleister des Auftraggebers
  • Kontaktdaten zu Ansprechpartnern

Löschung, Sperrung und Berichtigung von Daten:
Anfragen zur Löschung, Sperrung und Berichtigung sind an die Auftragnehmerin zu richten; im Übrigen gelten die Regelungen in den AGB, in der DSE und dem vorliegenden AVV.

Anhang B – Technische und organisatorische Massnahmen (TOM)

 

1. Vertraulichkeit

1.1. Zutrittskontrolle

1.1.1. Physische Massnahmen

  • Bauplanung gemäss SIA-Norm

1.1.2. Technische Massnahmen

  • Einbruchmeldeanlage (wo angebracht)
  • Brandmeldeanlage
  • Punktuelle Videoüberwachung
  • Zutrittskontrollsystem

1.1.3. Organisatorische Massnahmen

  • Empfang
  • Protokollierung der Besucher
  • Sorgfalt bei Auswahl des Personals

1.2. Zugangskontrolle

1.2.1. Technische Massnahmen

  • Einsatz von Firewalls
  • Anti-Malware-Software
  • Login mittels Benutzer-ID und Passwort
  • Remote-Zugriffe mittels VPN und/oder MFA (Hardware-Token, App oder SMS (mTAN))
  • Erzwungene Passwortänderung gemäss IT-Vorgaben
  • Printer mit Authentication Funktion (wo sinnvoll)

1.2.2. Organisatorische Massnahmen

  • Vorgabe Passwortwahl

1.3. Zugriffskontrolle/ Eingabekontrolle

1.3.1. Technische Massnahmen

  • Zuordnung jedes Accounts zu einer eindeutigen Identität
  • Physische Vernichtung von Datenträgern
  • Nicht reversible Löschung von Datenträgern

1.3.2. Organisatorische Massnahmen

  • Vorgabe Clean Desk Policy (wo angebracht)
  • Vorgabe für Akten- und Datenträgervernichtung (wo angebracht)

1.4. Trennungskontrolle

1.4.1. Technische Massnahmen

  • Einsatz von Firewalls
  • Trennung von Produktions- Integrations- und Testumgebung
  • Logische Trennung der Mandanten (Mandantenfähigkeit)

1.4.2. Organisatorische Massnahmen

  • Berechtigungskonzepte (User/ Administratoren/ Super User)

 

2. Integrität

2.1. Weitergabekontrolle

2.1.1. Technische Massnahmen

  • Einsatz von VPN
  • Sicherer Datentransport (SSL/TLS, SFTP (FTP over SSH))
  • WLAN-Authentifizierung

2.1.2. Organisatorische Massnahmen

  • Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen
  • Sorgfalt bei Auswahl von Personal und Fahrzeugen
  • Vorgabe Remote-Zugriffe/ Fernwartung

 

3. Verfügbarkeit (und Belastbarkeit)

3.1. Verfügbarkeitskontrolle

3.1.1. Technische Massnahmen

  • Redundante Rechenzentren
  • USV-Anlage/ Diesel-Aggregat
  • Regelmässige full- und incremental Backups
  • Offline-Backups (örtlich getrennte Datenaufbewahrung)
  • Regelmässige Recovery-Tests
  • Regelmässige Security-Checks auf Infrastruktur- und Applikationsebene
  • Gebäudeautomation: Überwachung der Serverräume (Temperatur, Feuchtigkeit, Rauch)
  • Schutz vor Überspannung
  • Alarmgesicherter Serverraum (Alarm bei unberechtigtem Zutritt/ geöffneter Türe)

3.1.2. Organisatorische Massnahmen

  • Sicherheitsprozess für Software- und IT-Anwendungen
  • Umfassendes Backup- und Recovery-Prozess (online/ offline; on-site/ off-site)
  • Notfallplan (technisch, organisatorisch)
  • Standardprozesse bei Wechsel/ Ausscheiden von Mitarbeitenden

 

4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

4.1. Datenschutz-Management

Im Rahmen der Leistungserbringung gegenüber ihren Kunden ist der SAVE AG der verantwortungsvolle und rechtskonforme Umgang mit Personendaten ein grosses Anliegen. Die SAVE AG stellt dabei sicher, dass die Daten mit grosser Sorgfalt und gemäss den einschlägigen gesetzlichen Bestimmungen des Datenschutzrechts behandelt werden.

4.1.1. Technische Massnahmen

  • Dokumentation zum Datenschutz für Mitarbeitende (Intranet)
  • Periodische Überprüfung der Wirksamkeit der technischen Schutzmassnahmen
  • Datenschutz Management mit unterstützenden Tool-Lösungen (Schnittstellenverwaltung, Bearbeitungsverzeichnisse etc.)

4.1.2. Organisatorische Massnahmen

  • Benennung Datenschutzbeauftragte Person(en)
  • Verpflichtung der Mitarbeitenden zur Geheimhaltung
  • Gewährleistung der Informationspflichten
  • Prozess zur Bearbeitung von Auskunftsanfragen sowie weiteren Rechten von Betroffenen

4.2. Incident-Response-Management

4.2.1. Technische Massnahmen Voraussetzung:

  • Incident Response Toolkit
  • Anti-Phishing-Services
  • DDoS-Protection

4.2.2. Organisatorische Massnahmen

  • Meldeprozess für Datenschutzverletzungen
  • Einbindung von Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen
  • Einbindung von Informationssicherheitsbeauftragten in Sicherheitsvorfälle und Datenpannen
  • Definierte Rolle von Operations im Krisenmanagement

4.3. Privacy- und Security by Design

4.3.1. Technische Massnahmen

  • Anwendung unterschiedlicher Security-Tools

4.3.2. Organisatorische Massnahmen

  • Empfehlungen von technischen Massnahmen
  • Einsatz von Security Champions (Security-affine Mitarbeitende mit vertieftem Wissen zu Informationssicherheit und/oder Datenschutz)
  • Möglichkeit zu Weiterbildungen

Anzeige: