BedingungenData Processing Agreement (DPA)
Letzte Aktualisierung: 4. September 2020
Diese Datenverarbeitungsvereinbarung („Vereinbarung“) legt die Bedingungen, Anforderungen und Konditionen fest, unter denen die WEDO AG („WEDO“) personenbezogene Daten verarbeitet, wenn sie Ihnen als Kunde, der unsere Dienste abonniert hat, Dienstleistungen anbietet.
Diese Vereinbarung ist ein Anhang zu den WEDO Nutzungsbedingungen und bildet einen integralen Bestandteil derselben.
1. DEFINITIONEN
Für die Zwecke dieser Vereinbarung:
1. 1 „Anwendbares Datenschutzrecht“ bezeichnet die Datenschutzgesetze, die auf WEDO als Verarbeiter der personenbezogenen Daten oder auf den Kunden als für die Verarbeitung der personenbezogenen Daten Verantwortlichen anwendbar sind, einschliesslich, aber nicht beschränkt auf das Bundesdatenschutzgesetz von 1992 und seine bevorstehende überarbeitete Fassung, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Allgemeine Datenschutzverordnung, „GDPR“) und alle weiteren Umsetzungen, Änderungen, Ersetzungen oder Verlängerungen davon (gemeinsam als „EU-Gesetzgebung“ bezeichnet) sowie alle verbindlichen nationalen Gesetze zur Umsetzung der EU-Gesetzgebung und andere verbindliche Datenschutz- oder Datensicherheitsrichtlinien, Gesetze, Verordnungen und Entscheidungen, die zum jeweiligen Zeitpunkt gültig sind.
1.2 „Verarbeitung“ oder „Verfahren“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten oder an Gruppen von personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren durchgeführt werden, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Kombination, die Einschränkung, das Löschen oder die Vernichtung.
1.3 Die Begriffe "Datenverantwortlicher", "Datensubjekt", "personenbezogene Daten", "Datenverarbeiter" und "Sub-Verarbeiter", "Verarbeitung" oder "Verfahren" sind gemäss der Definition von "Verarbeitung" zu verstehen.
2. VERARBEITUNG VON PERSONENBEZOGENEN DATEN
WEDO soll:
2.1 die personenbezogenen Daten des Kunden ausschliesslich in Übereinstimmung mit den Bestimmungen dieses Vertrages und nur gemäss den schriftlichen Anweisungen des Kunden verarbeiten und die personenbezogenen Daten ausschliesslich zum Zweck der Erfüllung dieses Vertrages und nicht für andere Zwecke (z.B. für kommerzielle Zwecke) zu verwenden, wie in Anlage 1 dargelegt;
2.2 sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen;
2.3 die nach geltendem Datenschutzrecht erforderlichen Sicherheitsmassnahmen zu ergreifen, wie sie von WEDO von Zeit zu Zeit im Einzelnen dargelegt werden, einschliesslich der folgenden: (i) Ausfallsicherheit der Systeme und Dienste im Zusammenhang mit den Verarbeitungstätigkeiten; (ii) Fähigkeit zur rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten, wenn ein physischer oder technischer Zwischenfall eintritt; (iii) Verfahren zur regelmässigen Prüfung, Verifizierung und Bewertung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten;
2.4 den Kunden über jeden neuen Sub-Verarbeiter zu informieren, der nicht zu den in Anlage 1 aufgeführten genehmigten Unterauftragsverarbeitern gehört. Der Kunde hat das Recht, einer solchen Beauftragung zu widersprechen; in diesem Fall hat er jedoch ausschliesslich das Recht, seinen Vertrag mit WEDO zu kündigen. Jeder Sub-Verarbeiter ist an die gleichen Verpflichtungen gebunden, die in dieser Klausel 2.2 aufgeführt sind;
2.5 den Kunden bei der Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Personen zu unterstützen;
2.6 den Auftraggeber unverzüglich (und in jedem Fall innerhalb einer Frist von höchstens 48 Stunden) zu benachrichtigen, nachdem er von einer tatsächlichen oder vermuteten Verletzung der personenbezogenen Daten oder einer Sicherheitsverletzung Kenntnis erlangt hat, die versehentlich oder unrechtmässig zur Löschung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung der übermittelten, gespeicherten oder auf andere Weise verarbeiteten personenbezogenen Daten oder zum unbefugten Zugriff auf diese personenbezogenen Daten geführt hat, sowie wenn die Anweisung des Auftraggebers seiner Ansicht nach gegen die Datenschutzgesetze verstösst;
2.7 bei Beendigung dieser Vereinbarung, aus welchem Grund auch immer, die Verarbeitung personenbezogener Daten im Auftrag des Kunden einzustellen und nach Wahl des Kunden entweder unverzüglich alle personenbezogenen Daten, die er im Auftrag des Kunden verwaltet oder verarbeitet hat, und/oder alle Unterlagen oder Materialien, die sie enthalten, sowie alle Kopien davon an den Kunden zurückgeben oder gemäss den Anweisungen des Kunden die personenbezogenen Daten innerhalb von dreissig (30) Kalendertagen nach Aufforderung durch den Kunden sicher zu löschen oder zu vernichten.
3. KÜNDIGUNG
Diese Vereinbarung endet gemäss den in den WEDO Nutzungsbedingungen festgelegten Bedingungen.
ANHANG 1: BESCHREIBUNG DER VERARBEITUNG
Gegenstand und Dauer der Verarbeitung der personenbezogenen Daten des Kunden
Der Gegenstand und die Dauer der Verarbeitung der personenbezogenen Daten des Kunden sind in der Vereinbarung festgelegt.
Gegenstand der Datenverarbeitung ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten für den Kunden, soweit dies zur Durchführung des Vertrages erforderlich ist, und ist auf die Dauer des Vertrages beschränkt.
Art und Zweck der Verarbeitung der personenbezogenen Daten des Kunden
Beantwortung von Kundenanfragen, Versand von Benachrichtigungen und Erinnerungen über Aktivitäten in WEDO, Versand von Transaktions-E-Mails wie z.B. Passwortwiederherstellung.
Die Arten der zu verarbeitenden personenbezogenen Kundendaten
Vorname, Nachname, E-Mail-Adresse des Benutzers und optional: Berufsbezeichnung, Telefonnummer, Standort und Name der Organisation. Rechnungsadresse des Kunden.
Die Kategorien der betroffenen Personen, auf die sich die personenbezogenen Daten des Kunden beziehen
Mitarbeiter des Kunden und andere speziell eingeladene Nutzer wie Geschäftspartner oder Kunden.
Dienstdaten
„Servicedaten“ sind personenbezogene Daten oder andere Informationen, die Nutzer: direkt in die Plattform eingeben, innerhalb der Plattform erstellen, an die Plattform senden oder WEDO durch autorisierte Methoden als Teil eines anderen Services zur Verfügung stellen.
ANHANG 2: ZUGELASSENE SUB-VERARBEITER
Auftragnehmer
WEDO setzt bestimmte Sub-Auftragnehmer ein, um die für die Erbringung der WEDO-Dienste erforderlichen Arbeiten zu unterstützen. Nachfolgend finden Sie eine Liste mit den Namen und Standorten der wesentlichen Subunternehmer, die von Dritten beauftragt wurden. Die Sub-Auftragnehmer haben keinen Zugang zu den Daten der Dienste.
| Nr. | Sub-Verarbeiter | Geltungsbereich | Standort | Compliance | Datensubjekt |
|---|---|---|---|---|---|
| 1 | Equinix (Suisse) GmbH | Rechenzentrumsbetreiber | Schweiz | ISO 27001, GDPR | Dienstdaten |
Infrastruktur Sub-Verarbeiter – Speicherung und Verarbeitung von Dienstdaten
WEDO ist Eigentümer der Infrastruktur, die WEDO zum Hosten und Verarbeiten der über die Dienste übermittelten Servicedaten verwendet, oder kontrolliert den Zugang zu dieser Infrastruktur. Derzeit befindet sich die Produktionsinfrastruktur von WEDO, die für das Hosting der Servicedaten für die Dienste verwendet wird, in Co-Location-Einrichtungen in der Schweiz und bei den unten aufgeführten Infrastruktur Sub-Verarbeitern. Die folgende Tabelle beschreibt die Länder und juristischen Personen, die von WEDO mit der Speicherung von Servicedaten beauftragt werden. WEDO nutzt auch zusätzliche Dienste, die von diesen Sub-Verarbeitern bereitgestellt werden, um Servicedaten zu verarbeiten, die für die Bereitstellung der Dienste erforderlich sind.
| Nr. | Sub-Verarbeiter | Geltungsbereich | Standort | Compliance | Datensubjekt |
|---|---|---|---|---|---|
| 2 | Akenes SA (Exoscale) | Hosting | Schweiz | ISO 27001, GDPR | Dienstdaten |
Dienstleistungsspezifische Sub-Verarbeiter
WEDO beauftragt einige Drittdienstleister, die personenbezogene Daten im Auftrag von WEDO in Verbindung mit der Bereitstellung unserer Dienstleistungen für Kunden verarbeiten.
| Nr. | Sub-Verarbeiter | Geltungsbereich | Standort | Compliance | Datensubjekt |
|---|---|---|---|---|---|
| 3 | Intercom | Chat-Service für die Kundenbetreuung | Vereinigte Staaten | ISO 27001, SOC 2 Type II, GDPR | Vorname, Nachname und E-Mail Adresse |
| 4 | Mailgun | E-Mail-Dienstleister | Europäische Union (Deutschland) | ISO 27001, GDPR | Vorname, Nachname und E-Mail Adresse |
| 5 | Pipedrive | Newsletter | London, Vereinigtes Königreich | ISO 27001, GDPR | Vorname, Nachname und E-Mail Adresse |
| 6 | Twilio | SMS-Versanddienst | Vereinigte Staaten | ISO 27001, GDPR | Telefonnummer |
| 7 | Chargebee | Verwaltung von Abonnements | Europäische Union | ISO 27001, SOC 2 Type II, GDPR | Rechnungsadresse |
| 8 | Sentry | Fehlerverfolgung | Vereinigte Staaten | GDPR | Keine Benutzerdaten |