BedingungenDatenverarbeitungsvereinbarung (DPA)

1. Einleitung

1.1 Diese Vereinbarung ergänzt zusammen mit ihren Anhängen unsere Nutzungsbedingungen, indem sie die Bedingungen für die Weitergabe Personendaten im Rahmen der Erbringung unserer Dienstleistung festlegt.

1.2 Unser Ziel ist es, einen angemessenen Schutz personenbezogener Daten in Übereinstimmung mit allen Datenschutzgesetzen zu gewährleisten, die auf Sie anwendbar sein können, einschliesslich, aber nicht beschränkt auf das Bundesdatenschutzgesetz, die kantonalen Datenschutzgesetze oder die Datenschutz-Grundverordnung.

2. Gegenstand der Vereinbarung

2.1 Diese Vereinbarung regelt jegliche Übertragung personenbezogener Daten, die Sie uns anvertrauen, sowie jegliche Verarbeitung personenbezogener Daten, die wir in Ihrem Auftrag durchführen. In diesem Zusammenhang sind Sie der Verantwortliche und wir handeln als Auftragsverarbeiter.

2.2 Sie übermitteln uns personenbezogene Daten ausschliesslich zum Zwecke der Verarbeitung in direktem Zusammenhang mit der Erbringung unserer Dienstleistung. Die Beschreibung der durchgeführten Verarbeitung ist in Anhang 1 aufgeführt.

3. Prioritätsrang

3.1 Diese Vereinbarung bildet zusammen mit ihren Anhängen einen integralen Bestandteil der Nutzungsbedingungen.

3.2 Bei Widersprüchen oder Unstimmigkeiten zwischen dieser Vereinbarung und den Nutzungsbedingungen oder anderen für uns verbindlichen Vereinbarungen haben die Bestimmungen dieser Vereinbarung Vorrang, sofern nicht schriftlich etwas anderes vereinbart wurde.

3.3 Bei Unstimmigkeiten bei der Auslegung der Sprachversionen dieser Vereinbarung hat die französische Version Vorrang.

4. Definitionen

4.1 Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

4.2 Betroffene Personen sind alle natürlichen Personen, deren Personendaten bearbeitet werden. Gegebenenfalls gelten auch Personendaten, die sich auf bestimmte oder bestimmbare juristische Personen beziehen, als Personendaten.

4.3 Die Verarbeitung personenbezogener Daten bezieht sich auf alle Vorgänge im Zusammenhang mit personenbezogenen Daten, unabhängig von den verwendeten Mitteln und Verfahren, einschliesslich der Erhebung, Aufzeichnung, Speicherung, Nutzung, Änderung, Übermittlung, Archivierung, Löschung oder Vernichtung von Daten.

4.4 Die Aufsichtsbehörde benennt die zuständige Datenschutzbehörde, die für die Einhaltung der geltenden Datenschutzgesetze verantwortlich ist.

5. Ihre Pflichten

5.1 Sie verpflichten sich und garantieren, dass Sie alle erforderlichen Genehmigungen der betroffenen Personen eingeholt haben, damit wir ihre Personendaten gemäss den geltenden Datenschutzgesetzen rechtmässig verarbeiten können.

5.2 Sie verpflichten sich und garantieren, dass Sie auf alle Anfragen von betroffenen Personen, der Aufsichtsbehörde und anderen Dritten gemäss den geltenden Datenschutzgesetzen antworten werden.

5.3 Sie verpflichten sich, uns so schnell wie möglich über alle Fehler oder Unregelmässigkeiten zu informieren, die Ihnen im Rahmen unserer Unterauftragsbeziehung auffallen.

6. Unsere Pflichten

6.1 Wir verpflichten uns, die Daten ausschliesslich zu dem Zweck zu verwenden, für den Sie sie uns zur Verfügung stellen.

6.2 Wir verpflichten uns und garantieren Ihnen, dass geeignete Massnahmen getroffen werden, um einen unbefugten direkten Zugriff auf den Inhalt Ihrer Daten zu verhindern. Wenn ein technischer Zugriff erforderlich ist, holen wir Ihre vorherige Zustimmung ein. Darüber hinaus ist ein Protokollierungssystem vorhanden, um jeden Zugriff zu dokumentieren.

6.3 Wir verpflichten uns, Sie unverzüglich zu informieren, wenn wir nach ausländischem Recht oder aufgrund einer gerichtlichen Entscheidung gezwungen sind, personenbezogene Daten an eine ausländische Behörde weiterzugeben, oder wenn ein solches Risiko besteht.

6.4 Wir benennen einen Ansprechpartner für Datenschutzfragen und informieren Sie im Falle eines Wechsels des Ansprechpartners.

6.5 Wir verpflichten uns, soweit dies unter Berücksichtigung der Nutzung unseres Dienstes, der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen vernünftigerweise von uns verlangt werden kann, Sie bei der Erfüllung Ihrer Verpflichtungen in Bezug auf die Datenschutz-Folgenabschätzung und die vorherige Konsultation zu unterstützen.

6.6 Wir garantieren die Anwendung der Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

7. Unsere Mitarbeiter und Vertraulichkeit

7.1 Wir beschränken den Zugriff auf Personendaten auf unsere Mitarbeiter und die für uns tätigen Personen, und zwar nur dann, wenn ein solcher Zugriff erforderlich ist. Wir stellen sicher, dass diese Personen die in dieser Vereinbarung festgelegten Verpflichtungen einhalten.

7.2 Wir garantieren, dass unsere Mitarbeiter und die für uns tätigen Personen in der Verarbeitung von Personendaten gemäss den gesetzlichen Anforderungen an den Datenschutz und den bewährten Verfahren in diesem Bereich geschult sind.

7.3 Wir garantieren, dass die für die Datenverarbeitung verantwortlichen Mitarbeiter und die anderen für uns tätigen Personen an Vertraulichkeitsverpflichtungen gebunden sind, die über unser Vertragsverhältnis mit ihnen hinausgehen.

7.4 Bestimmte Daten können der Geheimhaltung unterliegen, insbesondere dem Amtsgeheimnis oder dem Berufsgeheimnis. Wir unterwerfen uns in unserer Eigenschaft als Hilfsperson automatisch der Geheimhaltungspflicht in Bezug auf diese Daten und halten die damit verbundenen Anforderungen ein.

8. Datensicherheit

8.1 Wir verpflichten uns, geeignete organisatorische und technische Massnahmen zu ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten. Diese Massnahmen zielen darauf ab, ihre Vertraulichkeit, Integrität, Verfügbarkeit und Rückverfolgbarkeit unter Berücksichtigung der damit verbundenen Risiken zu gewährleisten.

8.2 Diese Massnahmen berücksichtigen den Stand der Technik, die Implementierungskosten und die Art, den Umfang und die Zwecke der Verarbeitung sowie die Wahrscheinlichkeit und Schwere der Risiken für die Persönlichkeit und die Grundrechte der betroffenen Personen. Wir bewerten diese Massnahmen regelmässig im Rahmen unseres Risikomanagementsystems neu.

8.3 Wir möchten Sie darüber informieren, dass wir nach SOC 2 Typ II zertifiziert sind. Diese Zertifizierung bescheinigt unsere Einhaltung und unser Engagement für die Datensicherheit. Wir sind bestrebt, diese Zertifizierung aufrechtzuerhalten, und werden Sie im Falle einer Nichtverlängerung oder eines Entzugs informieren.

8.4 Wir verpflichten uns ausserdem, die erforderlichen Massnahmen zu ergreifen, um die Kontinuität unserer Aktivitäten zu gewährleisten und Sie über jede Verletzung der Datensicherheit zu informieren.

9. Verletzung der Datensicherheit

9.1 Im Falle einer Verletzung der Datensicherheit verpflichten wir uns, alle angemessenen Mittel einzusetzen, um diese zu identifizieren und die Gründe dafür sowie die Umstände, unter denen sie aufgetreten ist, zu verstehen.

9.2 Wir ergreifen alle erforderlichen Massnahmen, um die Auswirkungen des Verstosses zu vermeiden, einzudämmen und zu begrenzen. Wir verpflichten uns, alle Elemente im Zusammenhang mit seiner Entdeckung, seiner Ursache und seinen Auswirkungen sowie die Massnahmen zu seiner Behebung zu dokumentieren.

9.3 Wir verpflichten uns, Sie so schnell wie möglich über unsere Kontaktperson für Datenschutzangelegenheiten über den Verstoss zu informieren.

9.4 Diese Meldung enthält alle Informationen, die Sie benötigen, um Ihren eigenen Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen nachzukommen. Die Informationen umfassen unter anderem:

• Art des Datenschutzverstosses sowie, soweit möglich, eine Angabe zu Zeitpunkt und Dauer des Verstosses, die Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Daten und der betroffenen Personen.
• - Folgen, einschliesslich möglicher Risiken, für die betroffenen Personen.
• - Massnahmen zur Behebung des Verstosses und zur Minderung der Folgen, einschliesslich möglicher Risiken.
• Name und Kontaktdaten unserer Kontaktperson für Datenschutzangelegenheiten.

9.5 Wenn wir Ihnen nicht alle Informationen gleichzeitig zur Verfügung stellen können, werden wir Ihnen die fehlenden Informationen so schnell wie möglich zukommen lassen.

9.6 Wir verpflichten uns, Sie auf Ihren Wunsch bei der Erfüllung Ihrer eigenen Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen zu unterstützen, soweit dies vernünftigerweise von uns verlangt werden kann. Sie werden sich diesbezüglich so schnell wie möglich mit uns abstimmen.

10. Sub-Prozessoren

10.1 Wir werden die Verarbeitung personenbezogener Daten nur mit Ihrer Zustimmung an weitere Auftragsverarbeiter delegieren. Jede Verarbeitung personenbezogener Daten durch unsere weiteren Auftragsverarbeiter darf nur Verarbeitungsvorgänge umfassen, die für die Erbringung der Dienstleistung erforderlich sind.

10.2 Ihre Zustimmung gilt generell für die in Anhang 2 dieser Vereinbarung aufgeführten weiteren Verarbeiter als erteilt.

10.3 Im Falle einer Änderung von Anhang 2 werden wir Sie mindestens sechzig Tage im Voraus informieren. Sie können dieser Änderung innerhalb von dreissig Tagen nach unserer Benachrichtigung widersprechen. Dieser Widerspruch kann nur aus berechtigten Gründen im Zusammenhang mit dem Datenschutzrecht erfolgen. Der Löschung eines Unterauftragsverarbeiters kann nicht widersprochen werden.

10.4 Wenn innerhalb dieser Frist keine einvernehmliche Regelung über die Nutzung eines Unterauftragsverarbeiters erzielt werden kann, haben Sie die Möglichkeit, die Nutzung unseres Dienstes ausserordentlich zu kündigen, sofern Sie nachweisen, dass der Widerspruch nach dem Datenschutzrecht erforderlich ist.

11. Bekanntgabe von Perosnendaten ins Ausland

11.1 Grundsätzlich verarbeiten wir Personendaten in der Schweiz.

11.2 Abweichend von diesem Grundsatz können Personendaten ausserhalb der Schweiz offengelegt werden, wenn eines der folgenden Kriterien erfüllt ist:

• Der Bestimmungsstaat gewährleistet ein angemessenes Schutzniveau, das durch einen Angemessenheitsbeschluss oder durch das Swiss-U.S. Data Privacy Framework für zertifizierte Organisationen anerkannt ist.
• Die Übermittlung unterliegt Standardvertragsklauseln oder einer anderen angemessenen Garantie, die in den geltenden Datenschutzgesetzen vorgesehen ist.

11.3 Wir verpflichten uns, im Rahmen des Zumutbaren sicherzustellen, dass unsere Subunternehmer die geltenden Vorschriften für die grenzüberschreitende Datenübermittlung einhalten.

11.4 Wir informieren Sie in Anhang 2 über die Orte, an denen Personendaten ausserhalb der Schweiz übermittelt werden, sowie über die angewandten Kriterien.

12. Anfragen von betroffenen Personen

12.1 Unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen verpflichten wir uns, auf Ihren Wunsch hin Ihren Verpflichtungen gegenüber betroffenen Personen nachzukommen, die ihre Rechte ausüben (z. B. Recht auf Auskunft, Recht auf Berichtigung). Sie müssen uns alle Anfragen weiterleiten, die Sie im Zusammenhang mit der Verarbeitung personenbezogener Daten erhalten.

12.2 Wenn wir eine Anfrage von einer betroffenen Person erhalten, leiten wir diese nach Erhalt an Sie weiter. Wir informieren die betroffene Person auch darüber, dass Sie für die Bearbeitung ihrer Anfrage verantwortlich sind, und geben Ihre Kontaktdaten und das Datum der Übermittlung an.

12.3 Es wird einvernehmlich vereinbart, dass Sie die volle Verantwortung für die Beantwortung von Anfragen betroffener Personen übernehmen.

13. Kontrollpflichten

13.1 Sie können eine Prüfung unserer Subunternehmerbeziehung verlangen. Diese Prüfung kann von Ihnen oder einem kompetenten Dritten durchgeführt werden, sofern dieser Dritte nicht mit uns im Wettbewerb steht. Wir werden uneingeschränkt kooperieren, um die Prüfung gemäss den vereinbarten Bedingungen zu ermöglichen.

13.2 Sie müssen uns mindestens sechzig Tage im Voraus über Ihre Absicht einer Prüfung informieren. Diese Benachrichtigung muss mindestens den Zweck der Prüfung, den Umfang der Prüfung, die geprüften Daten, die verwendeten Methoden, die voraussichtliche Dauer und die Identität des/der zuständigen Dritten, falls zutreffend, angeben. Sie oder der benannte zuständige Dritte müssen sich schriftlich verpflichten, die Vertraulichkeit der Informationen zu wahren, auf die Sie im Rahmen der Prüfung Zugriff haben werden.

13.3 Wir garantieren, dass der Zugang zu den erforderlichen Informationen ohne unangemessene Verzögerung gewährt wird, wobei die Sicherheit der betreffenden Daten gewährleistet wird.

13.4 Am Ende der Prüfung wird ein Prüfbericht erstellt und uns kostenlos zur Verfügung gestellt. Dieser Bericht enthält die Ergebnisse sowie Empfehlungen zur Behebung festgestellter Mängel.

14. Datenentsorgung

14.1 Am Ende der Bereitstellung des Dienstes oder auf Ihren Wunsch hin und vorbehaltlich der gesetzlichen Aufbewahrungspflichten verpflichten wir uns:

• Ihnen alle oder einige Ihrer personenbezogenen Daten in einem gängigen elektronischen Format zurückzugeben; oder
• sie zu löschen, ohne eine Kopie aufzubewahren.

15. Entschädigung und Haftung

15.1 Sie verpflichten sich, uns für alle Kosten und Auslagen zu entschädigen, die im Zusammenhang mit der Unterstützung bei der Erfüllung Ihrer Datenschutzpflichten und der Durchführung von Audits entstehen.

15.2 Diese Ersatzpflicht besteht nicht, wenn Sie nachweisen können, dass diese Kosten auf ein Verschulden unsererseits zurückzuführen sind oder nicht von Ihnen zu tragen sind.

15.3 Wir verpflichten uns, Sie von allen Ansprüchen Dritter freizustellen, die sich aus einer Verletzung dieser Vereinbarung oder der geltenden Datenschutzgesetze ergeben. Diese Freistellung gilt für alle Schäden, Kosten, Ansprüche oder Aufwendungen, die Ihnen aufgrund solcher Verstöße entstehen.

16. Sonstige Bestimmungen

16.1 Diese Vereinbarung gilt so lange, wie wir Ihnen unseren Service zur Verfügung stellen. Sie endet automatisch, wenn dieser Service eingestellt wird.

16.2 Wir behalten uns das Recht vor, diese Vereinbarung jederzeit zu ändern. Wir verpflichten uns, Sie zu informieren und Ihnen die neue, geänderte Version zur Verfügung zu stellen.

Anhang 1 – Beschrieb der Bearbeitung von Personendaten

Einleitung

In diesem Anhang wird die Verarbeitung personenbezogener Daten gemäss Punkt 2 der Vereinbarung beschrieben.

Art und Zweck der Datenverarbeitung

Der Zweck der Verarbeitung personenbezogener Daten besteht in der Bereitstellung und Verbesserung der in den Nutzungsbedingungen definierten Dienste, insbesondere:

• Sitzungsmanagement: Gemeinsame Vorbereitung von Traktandenlisten, Echtzeit-Protokollerstellung und Nachverfolgung von Entscheidungen und Aufgaben, die den Teilnehmern zugewiesen wurden.
• Aufgabenverwaltung: Erstellung und Zuweisung von Aufgaben innerhalb gemeinsamer Arbeitsbereiche, Überwachung des Projektfortschritts und Priorisierung von Aktivitäten zur besseren Organisation.
• Projektmanagement: Planen Sie Projekte mit Start- und Fälligkeitsdatum, fügen Sie Statusangaben hinzu, um das Team über den Fortschritt zu informieren, und verschaffen Sie sich einen Überblick über alle laufenden Projekte.
• Interne Kommunikation: Senden Sie Benachrichtigungen und Erinnerungen zu Aktivitäten auf der Plattform sowie Transaktions-E-Mails, z. B. zur Passwortwiederherstellung und zur Bestätigung wichtiger Aktionen.
• Serviceverbesserung: Analysieren Sie die Nutzung der Plattform, um die Funktionalität zu optimieren, den reibungslosen Betrieb und die Sicherheit des Dienstes zu gewährleisten und eine verbesserte Benutzererfahrung zu bieten.

Kategorien verarbeiteter Personendaten

Zu den Kategorien verarbeiteter Personendaten gehören:

• Kontaktdaten: Wir verarbeiten Ihre Kontaktdaten wie Name, Vorname, Adresse, Korrespondenzsprache, Telefonnummer oder E-Mail-Adresse.
• Berufliche Angaben: Wir verarbeiten Ihre beruflichen Angaben, insbesondere Ihren beruflichen Status, Titel, Berufsbezeichnung, den Namen Ihrer Organisation und Ihren Arbeitsort.
• Wirtschaftsdaten: Wir verarbeiten Ihre Wirtschaftsdaten wie Ihre Rechnungsadresse und Zahlungsinformationen.
• Servicedaten: Wir verarbeiten Servicedaten, d. h. Daten, die von Benutzern bei der Nutzung unseres Dienstes erstellt werden. Zu diesen Daten gehören Informationen, die direkt von den Benutzern eingegeben werden, Daten, die von der Plattform automatisch auf der Grundlage von Interaktionen erstellt werden, und Informationen, die uns bei der Nutzung eines anderen Dienstes auf autorisierte Weise übermittelt werden.
• Internet- und Verbindungsdaten: Aus technischen Gründen und zur Verbesserung unseres Dienstes werden bei jeder Nutzung des Dienstes bestimmte Daten generiert, darunter Ihre IP-Adresse, Informationen über Ihren Internetdienstanbieter und das Betriebssystem Ihres Geräts, Informationen über die verweisende URL, Informationen über den verwendeten Browser sowie Datum und Uhrzeit des Zugriffs.

Kategorien betroffener Personen

Zu den Kategorien betroffener Personen gehören:

• Interne Nutzer des Dienstes (z. B. Ihre Mitarbeiter).
• Externe Nutzer des Dienstes (z. B. Ihre Geschäftspartner oder Ihre eigenen Kunden).
• Personen, deren personenbezogene Daten von internen oder externen Nutzern eingegeben werden.

Anhang 2 – Unsere Subprozessoren

Einleitung

In diesem Anhang sind unsere Subprozessoren und alle Garantien in Bezug auf die grenzüberschreitende Offenlegung von Daten gemäss den Punkten 10 und 11 der Vereinbarung aufgeführt.