Datenverarbeitungsvereinbarung (DPA)

• «Personenbezogene Daten»: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. • «Verarbeitung»: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erhebung, Erfassung, Speicherung, Änderung, Abfrage, Übermittlung, Löschung). • «Verantwortlicher» (Controller): Der Kunde, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. • «Auftragsverarbeiter» (Processor): Numezis SA, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. • «Unterauftragsverarbeiter» (Sub-processor): Jeder Dienstleister, der von Numezis mit der Verarbeitung personenbezogener Daten beauftragt wird. • «Datenschutzverletzung»: Jede Sicherheitsverletzung, die zur Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Offenlegung personenbezogener Daten führt.

2.1 Gegenstand Diese DPA regelt die Verarbeitung personenbezogener Daten durch Numezis im Rahmen der Bereitstellung der in den AGB beschriebenen SaaS-Dienste. 2.2 Art der Verarbeitung Die Verarbeitung umfasst die Erhebung, Speicherung, Organisation, Strukturierung, Extraktion, Abfrage, Nutzung und Löschung personenbezogener Daten, die für die Erbringung der Dienste erforderlich sind. 2.3 Dauer Die Verarbeitung dauert so lange, wie der Dienstleistungsvertrag in Kraft ist. Nach Beendigung des Vertrags werden die Daten gemäss Abschnitt 10 dieser DPA verarbeitet.

Die Kategorien verarbeiteter personenbezogener Daten können umfassen: • Identifikationsdaten: Name, Vorname, Position, berufliche Kontaktdaten • Verbindungsdaten: E-Mail-Adresse, verschlüsselte Zugangsdaten, Zugriffsprotokolle • Finanzdaten: In Rechnungen, Kontoauszügen, Spesenabrechnungen enthaltene Informationen • HR-Daten: Informationen über Mitarbeiter des Kunden (wenn das HR-Modul verwendet wird) • Technische Daten: IP-Adressen, Browsing-Metadaten, Nutzungsprotokolle Der Kunde ist dafür verantwortlich sicherzustellen, dass keine sensiblen Daten (rassische Herkunft, politische Meinungen, Gesundheitsdaten usw.) über die Plattform verarbeitet werden, ohne vorherige ausdrückliche Zustimmung von Numezis.

Von der Verarbeitung betroffene Personen können sein: • Plattformnutzer (Mitarbeiter des Kunden) • Kunden und Interessenten des Kunden • Lieferanten und Partner des Kunden • Mitarbeiter des Kunden (wenn das HR-Modul verwendet wird) • Jede andere Person, deren Daten vom Kunden auf die Plattform hochgeladen werden

Numezis verpflichtet sich zu: 5.1 Dokumentierte Anweisungen Personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen zu verarbeiten, auch in Bezug auf Übermittlungen in Drittländer. 5.2 Vertraulichkeit Sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen einer vertraglichen oder gesetzlichen Vertraulichkeitspflicht unterliegen. 5.3 Sicherheit Geeignete technische und organisatorische Massnahmen zu implementieren, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten (siehe Abschnitt 7). 5.4 Unterauftragsvergabe Keinen anderen Verarbeiter ohne vorherige allgemeine oder spezifische Genehmigung des Verantwortlichen zu beauftragen (siehe Abschnitt 6). 5.5 Unterstützung Den Verantwortlichen bei der Einhaltung seiner Verpflichtungen zu unterstützen (Rechteanfragen, Meldung von Verletzungen, Folgenabschätzungen). 5.6 Löschung oder Rückgabe Am Ende des Vertrags alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (siehe Abschnitt 10). 5.7 Audit Dem Verantwortlichen alle zur Nachweisführung der Verpflichtungseinhaltung erforderlichen Informationen zur Verfügung zu stellen und Audits zu ermöglichen (siehe Abschnitt 9).

6.1 Allgemeine Genehmigung Der Verantwortliche erteilt Numezis eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die aktualisierte Liste der Unterauftragsverarbeiter ist auf Anfrage unter dpa@numezis.ch erhältlich. 6.2 Pflichten der Unterauftragsverarbeiter Numezis erlegt seinen Unterauftragsverarbeitern die gleichen Datenschutzpflichten auf wie in dieser DPA festgelegt. 6.3 Änderungsbenachrichtigung Numezis wird den Verantwortlichen über geplante Änderungen bezüglich der Hinzufügung oder des Ersatzes von Unterauftragsverarbeitern informieren und dem Verantwortlichen die Möglichkeit geben, Einspruch zu erheben. Bei berechtigtem Einspruch werden die Parteien nach einer gutgläubigen Lösung suchen. 6.4 Aktuelle Unterauftragsverarbeiter-Liste Die wichtigsten Unterauftragsverarbeiter umfassen: • Cloud-Hosting (Schweiz) • Transaktionale E-Mail-Dienste • Monitoring und Diagnose • Zahlungsdienste (Stripe) Eine detaillierte Liste wird auf Anfrage bereitgestellt.

Numezis implementiert folgende technische und organisatorische Massnahmen: 7.1 Physische Zugangskontrolle • ISO 27001 und Tier IV zertifizierte Rechenzentren • Biometrischer Zugang und 24/7-Überwachung • Ausschliesslicher Standort in der Schweiz 7.2 Logische Zugangskontrolle • Starke Authentifizierung (MFA obligatorisch für Administratoren) • Prinzip der geringsten Berechtigung • Zentralisiertes Identitätsmanagement 7.3 Verschlüsselung • TLS 1.3-Verschlüsselung für Daten während der Übertragung • AES-256-Verschlüsselung für ruhende Daten • Sichere Verwaltung von Verschlüsselungsschlüsseln 7.4 Datenisolierung • Multi-Tenant-Architektur mit strikter Partitionierung • Logische und physische Trennung von Kundendaten 7.5 Protokollierung und Überwachung • Zugriffs- und Aktivitätsprotokolle • Echtzeit-Einbruchserkennung • Protokollaufbewahrung für 12 Monate 7.6 Geschäftskontinuität • Tägliche verschlüsselte Backups • Geografische Replikation (nur Schweiz) • Jährlich getesteter Disaster-Recovery-Plan

8.1 Datenstandort Alle personenbezogenen Daten werden ausschliesslich in der Schweiz gespeichert und verarbeitet. Die Schweiz profitiert von einem Angemessenheitsbeschluss der Europäischen Kommission. 8.2 Übermittlungen in Drittländer Numezis übermittelt keine personenbezogenen Daten in Länder ausserhalb der Schweiz und des Europäischen Wirtschaftsraums (EWR), ausser: • Mit ausdrücklicher Zustimmung des Verantwortlichen • In ein Land mit Angemessenheitsbeschluss • Mit angemessenen Garantien (Standardvertragsklauseln, BCRs) 8.3 Unterauftragsverarbeiter ausserhalb der Schweiz/des EWR Wenn sich ein Unterauftragsverarbeiter ausserhalb der Schweiz/des EWR befindet, stellt Numezis sicher, dass angemessene Garantien vorhanden sind, und informiert den Verantwortlichen.

9.1 Zugang zu Informationen Numezis stellt dem Verantwortlichen die zur Nachweisführung der Verpflichtungseinhaltung dieser DPA erforderlichen Informationen zur Verfügung, darunter: • Konformitätsbescheinigungen (SOC 2, ISO 27001) • Penetrationstestberichte (Zusammenfassung) • Dokumentation der Sicherheitsmassnahmen 9.2 Vor-Ort-Audits Der Verantwortliche kann mit angemessener Vorankündigung von 30 Tagen und während der normalen Geschäftszeiten ein Audit durchführen oder durchführen lassen, um die Einhaltung der Verpflichtungen zu überprüfen. Das Audit darf die Aktivitäten von Numezis nicht stören oder die Vertraulichkeit anderer Kunden gefährden. 9.3 Kosten Die Auditkosten trägt der Verantwortliche, es sei denn, das Audit deckt einen erheblichen Verstoss von Numezis gegen ihre Verpflichtungen auf.

10.1 Meldefrist Im Falle einer Verletzung personenbezogener Daten wird Numezis den Verantwortlichen unverzüglich und spätestens innerhalb von 48 Stunden nach Kenntniserlangung der Verletzung informieren. 10.2 Inhalt der Meldung Die Meldung wird Folgendes enthalten: • Art der Verletzung und betroffene Datenkategorien • Ungefähre Anzahl betroffener Personen • Wahrscheinliche Folgen der Verletzung • Ergriffene oder vorgeschlagene Massnahmen zur Behebung der Verletzung 10.3 Unterstützung Numezis wird den Verantwortlichen bei seinen Verpflichtungen zur Benachrichtigung von Aufsichtsbehörden und gegebenenfalls betroffener Personen unterstützen.

11.1 Bei Vertragsende Nach Ablauf oder Kündigung des Dienstleistungsvertrags hat der Verantwortliche 30 Tage Zeit, seine Daten über die Standardfunktionen der Plattform zu exportieren. 11.2 Löschung Nach diesem Zeitraum wird Numezis alle personenbezogenen Daten des Verantwortlichen sicher löschen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. 11.3 Löschungsbescheinigung Auf Anfrage des Verantwortlichen stellt Numezis eine Datenlöschungsbescheinigung aus.

Bei Fragen zu dieser DPA oder zum Datenschutz: Numezis SA Datenschutzbeauftragter Genf, Schweiz E-Mail: dpa@numezis.ch Alternative E-Mail: privacy@numezis.ch Der Verantwortliche verpflichtet sich, einen Ansprechpartner für Datenschutzfragen zu benennen und dessen Kontaktdaten Numezis mitzuteilen.