Auftragsverarbeitungsvertrag (DPA)

Im Sinne dieses DPA bedeutet:

• Anwendbares Datenschutzrecht die fur die betreffende Verarbeitung einschlagigen Datenschutzgesetze, einschliesslich soweit relevant des schweizerischen Datenschutzgesetzes und der DSGVO.
• Personenbezogene Daten jede Information uber eine identifizierte oder identifizierbare naturliche Person.
• Verantwortlicher die Stelle, die Zwecke und Mittel der Verarbeitung bestimmt.
• Auftragsverarbeiter die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
• Unterauftragsverarbeiter jeden Dritten, den Numezis zur Durchfuhrung bestimmter Verarbeitungstatigkeiten im Auftrag des Kunden einsetzt.
• Verletzung personenbezogener Daten jede Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmassigen Vernichtung, zum Verlust, zur Veranderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten fuhrt.

Dieses DPA gilt fur alle verarbeiterseitigen Verarbeitungstatigkeiten, die Numezis im Zusammenhang mit dem Dienst wahrend der Abonnementlaufzeit sowie wahrend einer anschliessenden vereinbarten Ubergangs-, Support-, Backup- oder Loschperiode im Auftrag des Kunden durchfuhrt.

Gegenstand der Verarbeitung ist die Bereitstellung des gehosteten Dienstes sowie der damit verbundenen Support-, Sicherheits-, Wartungs-, Speicher-, Uebertragungs-, Troubleshooting-, Export- und Kontoverwaltungsfunktionen, die der Kunde anfordert. Die Verarbeitungsdauer entspricht dem Zeitraum, in dem Numezis angewiesen oder anderweitig verpflichtet ist, die betreffenden personenbezogenen Daten im Rahmen der Kundenbeziehung zu verarbeiten.

Je nach Konfiguration und Nutzung des Dienstes durch den Kunden kann Numezis insbesondere folgende Kategorien personenbezogener Daten verarbeiten:

• Identitats- und Kontaktdaten von autorisierten Nutzern, Mitarbeitern, Auftragnehmern, Kunden, Lieferanten oder sonstigen Geschaftskontakten;
• Konto-, Authentifizierungs-, Zugriffs- und Sicherheitsmetadaten;
• Geschafts- und Transaktionsdaten in Rechnungen, Buchungsdaten, Einkaufsunterlagen, Vertragen, lohnbezogenen Eintragen, Freigabeworkflows, Dokumentenablagen oder anderen vom Kunden importierten operativen Datensatzen;
• Support- und Troubleshooting-Informationen, die aus der Nutzung des Dienstes entstehen; sowie
• Logs, Telemetrie und systemgenerierte Metadaten im Zusammenhang mit Betrieb, Sicherheit und Support des Dienstes.

Betroffene Personen konnen autorisierte Nutzer des Kunden, Mitarbeiter, Auftragnehmer, Organe, Berater, Lieferanten, Kunden, Interessenten, Gegenparteien und alle sonstigen naturlichen Personen sein, deren personenbezogene Daten vom Kunden in den Dienst eingebracht oder innerhalb des Dienstes erzeugt werden.

Numezis verarbeitet personenbezogene Daten nur insoweit, wie dies zur Bereitstellung des Dienstes sowie der vom Kunden angeforderten Support-, Hosting-, Speicher-, Uebertragungs-, Export-, Backup-, Sicherheits-, Troubleshooting-, Monitoring- und Kontoverwaltungsfunktionen erforderlich ist. Je nach Konfiguration und Weisung des Kunden kann die Verarbeitung das Erheben, Erfassen, Ordnen, Strukturieren, Speichern, Abfragen, Verwenden, Offenlegen durch Uebermittlung, Abgleichen, Einschranken, Loschen oder Vernichten umfassen.

Dokumentierte Weisungen des Kunden konnen sich aus der Vereinbarung, Kontoeinstellungen, Benutzerrechten, API-Aufrufen, Support-Tickets, Implementierungs-Workflows, schriftlichen Anfragen oder sonstigen dokumentierten Nutzungen des Dienstes ergeben, die vom Kunden veranlasst oder autorisiert wurden.

Numezis wird:

• personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten, soweit keine gesetzliche Pflicht etwas anderes verlangt;
• sicherstellen, dass zur Verarbeitung befugte Personen Vertraulichkeitsverpflichtungen unterliegen und angemessen geschult werden;
• geeignete technische und organisatorische Massnahmen zum Schutz personenbezogener Daten umsetzen und aufrechterhalten;
• den Kunden unter Berucksichtigung der Art der Verarbeitung und der Numezis verfugbaren Informationen bei Betroffenenanfragen und bei der Erfullung datenschutzrechtlicher Pflichten unterstutzen; und
• den Kunden unverzuglich informieren, wenn Numezis der Ansicht ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstosst, soweit ein solcher Hinweis nicht gesetzlich untersagt ist.

Der Kunde gestattet Numezis den Einsatz von Unterauftragsverarbeitern fur Infrastruktur, Hosting, Speicherung, Kommunikation, Sicherheit, Support-Tooling, Analytics und sonstige legitime Zwecke der Leistungserbringung, sofern Numezis diesen Unterauftragsverarbeitern Datenschutzpflichten auferlegt, die materiell mindestens dem Schutzstandard dieses DPA entsprechen.

Numezis bleibt fur die Leistungen seiner Unterauftragsverarbeiter verantwortlich, soweit dies das anwendbare Datenschutzrecht und der zugrunde liegende Kundenvertrag verlangen. Soweit sachgerecht, stellt Numezis Informationen zu Unterauftragsverarbeitern uber Vertragsunterlagen, ein Trust Center oder einen anderen angemessenen Offenlegungsmechanismus zur Verfugung.

Beabsichtigt Numezis die Aufnahme oder Ersetzung eines Unterauftragsverarbeiters in einer Weise, die das auftragsverarbeiterseitige Risiko wesentlich verandert, wird Numezis wirtschaftlich angemessene Anstrengungen unternehmen, vorab zu informieren und dem Kunden Gelegenheit zu einer begrundeten datenschutzrechtlichen Einwendung zu geben.

Numezis unterhalt ein Sicherheitsprogramm, das der Art des Dienstes und den Risiken der Verarbeitung angemessen ist. Die Massnahmen konnen Zugriffskontrollen nach Least Privilege, Rollentrennung, Verschlusselung in der Ubertragung, gegebenenfalls Verschlusselung im Ruhezustand, Logging, Monitoring, starke Authentifizierung, Vulnerability Management, Patch-Management, Incident-Response-Verfahren sowie Backup- und Wiederherstellungsmechanismen umfassen.

Der Kunde erkennt an, dass Sicherheit eine gemeinsame Verantwortung ist. Er bleibt verantwortlich fur die Konfiguration von Benutzerrechten, Freigabeworkflows, Aufbewahrungsfristen, Endgeratesicherheit, Datenminimierung und etwaigen zusatzlichen Massnahmen, die sein regulatorisches Umfeld erfordert.

Werden personenbezogene Daten, die diesem DPA unterliegen, ausserhalb der Schweiz oder des EWR/Vereinigten Konigreichs ubermittelt, setzt Numezis einen geeigneten Ubermittlungsmechanismus nach anwendbarem Recht ein, etwa Angemessenheitsbeschlusse, die EU-Standardvertragsklauseln, das Schweizer Addendum, das britische Addendum oder eine andere genehmigte Garantie.

Soweit relevant, erganzt Numezis diese Mechanismen durch technische, vertragliche und organisatorische Massnahmen, die die mit der Ubermittlung verbundenen Risiken unter Berucksichtigung von Art der Daten, Zielland und Verarbeitungskontext adressieren.

Numezis informiert den Kunden unverzuglich, nachdem Numezis von einer bestatigten Verletzung personenbezogener Daten Kenntnis erlangt hat, die personenbezogene Daten unter diesem DPA betrifft. Soweit operationell moglich, strebt Numezis fur wesentliche Vorfalle eine erste Benachrichtigung innerhalb von 48 Stunden nach dieser Kenntnis an, wobei komplexe Vorfalle gestufte Kommunikation erforderlich machen konnen.

Die Mitteilung enthalt, soweit bekannt und verhaltnismassig verfugbar, die Art der Verletzung, die betroffenen Datenkategorien, die wahrscheinlichen Folgen, die ergriffenen oder vorgeschlagenen Abhilfemassnahmen und sonstige Informationen, die der Kunde vernunftigerweise zur Erfullung eigener Meldepflichten benotigt.

Unter Berucksichtigung der Art der Verarbeitung und der Numezis verfugbaren Informationen wird Numezis den Kunden in angemessenem Umfang dabei unterstutzen, auf rechtmassige Anfragen betroffener Personen zu reagieren und Pflichten zu Sicherheit, Vorfallsmanagement, Folgenabschatzungen und Konsultationen mit zustandigen Aufsichtsbehorden zu erfullen, soweit der Dienst fur diese Pflichten relevant ist.

Erfordert eine Anfrage unverhaltnismassigen Aufwand, kundenspezifische Entwicklung, erhebliche juristische Prufung oder Leistungen ausserhalb der Standardfahigkeiten des Dienstes, kann Numezis angemessene Gebuhren berechnen, sofern diese soweit kommerziell praktikabel vorab offengelegt werden.

Nach Beendigung oder Ablauf des betreffenden Dienstes und vorbehaltlich des zugrunde liegenden Vertrags wird Numezis die unter diesem DPA verarbeiteten personenbezogenen Daten nach Ablauf einer vereinbarten Export- oder Ubergangsphase loschen oder zuruckgeben, sofern keine gesetzliche Aufbewahrungspflicht, kein Bedarf an Sicherheitslogs oder keine legitimen Beweis- oder Streitmanagementinteressen entgegenstehen.

Soweit eine Ruckgabe verlangt wird, kann Numezis dieser Pflicht durch Bereitstellung uber die Standard-Exportfunktionen des Dienstes oder durch eine andere wirtschaftlich zumutbare Exportmethode genugen. Soweit nicht anders vereinbart, wird die prozessorseitige Loschung in der Regel innerhalb von 30 Tagen nach Ende des anwendbaren Ubergangsfensters abgeschlossen.

Auf angemessene schriftliche Anfrage stellt Numezis Informationen zur Verfugung, die vernunftigerweise zum Nachweis der Einhaltung dieses DPA erforderlich sind. Numezis kann dieser Pflicht durch Sicherheitsdokumentation, Compliance-Fragebogen, Richtlinien, Zusammenfassungen von Auditberichten oder andere Standard-Assurance-Materialien nachkommen.

Reichen diese Informationen nach anwendbarem Recht nicht aus, kann der Kunde hochstens einmal pro Jahr ein Audit verlangen, das wahrend der ublichen Geschaftszeiten, mit angemessener Vorankundigung und unter Wahrung von Vertraulichkeit, Sicherheit und Betriebsfortfuhrung durchgefuhrt wird. Audits mussen verhaltnismassig sein, durfen keine Informationen anderer Kunden offenlegen und konnen durch einen unabhangigen, zur Vertraulichkeit verpflichteten Drittprufer erfolgen.

Sofern ein Audit keinen wesentlichen Verstoss von Numezis aufdeckt, tragt der Kunde seine Auditkosten selbst und erstattet Numezis angemessene interne Kosten fur die Auditunterstutzung.

Dieses DPA unterliegt dem im zugrunde liegenden Kundenvertrag bestimmten Recht und den dort vorgesehenen Streitbeilegungsregeln, soweit das anwendbare Datenschutzrecht keine zwingenden vorrangigen Vorgaben macht. Sollte eine Bestimmung dieses DPA unwirksam oder nicht durchsetzbar sein, bleibt der uebrige Teil im gesetzlich maximal zulassigen Umfang wirksam.

Fragen zu diesem DPA, zu Unterauftragsverarbeitern, Transfers, Betroffenenanfragen oder zur prozessorseitigen Compliance konnen an privacy@numezis.com gerichtet werden. Kommerzielle oder vertragliche Fragen konnen ausserdem an hello@numezis.com gerichtet werden; Numezis leitet diese an den zustandigen Legal- oder Compliance-Kontakt weiter.