Auftragsverarbeitungsvertrag (AVV)

• Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in Art. 4(1) DSGVO und nach Schweizer Datenschutzrecht definiert.
• Verarbeitung: jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.
• Verletzung des Schutzes personenbezogener Daten: Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.
• Unterauftragsverarbeiter: jeder von Numezis eingesetzte Auftragsverarbeiter zur Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Kunden.
• Dokumentierte Weisungen: schriftliche oder offensichtlich implizite Weisungen aus Hauptvertrag, Nutzungsbedingungen, diesem DPA, Konfiguration des Dienstes und Produktdokumentation.

Gegenstand. Dieses DPA regelt die Verarbeitung personenbezogener Daten durch Numezis als Auftragsverarbeiter, die der Kunde als Verantwortlicher im Rahmen der Nutzung des Dienstes bereitstellt oder zugänglich macht.

Dauer. Dieses DPA gilt für die Dauer der Vertragsbeziehung sowie für die Zeit, die zur Rückgabe oder Löschung personenbezogener Daten gemäß Abschnitt Rückgabe und Löschung erforderlich ist.

Je nach Nutzung des Dienstes können personenbezogene Daten insbesondere folgende Kategorien umfassen:

• Identifikations- & Kontodaten: Vorname, Nachname, geschäftliche E-Mail-Adresse, Rolle, interne Kennung.
• Authentifizierungs- & Sicherheitsdaten: IP-Adresse, Browser-Fingerabdruck, Authentifizierungs-Tokens, MFA-Logs.
• Geschäftliche Kontaktdaten: geschäftliche Telefonnummer, Rechnungsadresse.
• Importierte/erzeugte Geschäftsdaten: Daten in Rechnungen, Buchungssätzen, Mitarbeiterakten, Verträgen usw.
• Nutzungs- & Telemetriemetadaten: Zeitstempel, Aktionen, App-Fehler.

Die genauen Kategorien hängen von aktivierten Modulen und den betrieblichen Entscheidungen des Kunden ab.

Betroffene Personen können insbesondere umfassen:

• autorisierte Nutzer des Kunden;
• Mitarbeitende, Auftragnehmende, Kunden, Lieferanten und Partner des Kunden; sowie
• weitere Personen, deren Daten der Kunde über den Dienst verarbeitet.

Numezis verarbeitet personenbezogene Daten ausschließlich für folgende Zwecke und nur im erforderlichen Umfang:

• Bereitstellung, Konfiguration und Wartung des Dienstes;
• Authentifizierung und Zugriffsverwaltung;
• Abrechnung und Zahlungsabwicklung (über Stripe);
• technischer Support und Incident-Resolution;
• Sicherheit, Missbrauchserkennung und Betrugsprävention;
• Backups, Wiederherstellung und Disaster Recovery;
• kontinuierliche Verbesserung des Dienstes (mit Anonymisierung/Aggregation, soweit anwendbar); sowie
• Einhaltung gesetzlicher Pflichten.

Numezis verpflichtet sich:

• personenbezogene Daten ausschließlich nach dokumentierten Weisungen des Kunden zu verarbeiten;
• sicherzustellen, dass befugte Personen einer Vertraulichkeitspflicht unterliegen;
• relevantes Personal regelmäßig zu Datenschutz und Cybersicherheit zu schulen; sowie
• Zugriffe nach dem Need-to-know-Prinzip (least privilege) zu beschränken, mit Zugriffskontrollen, MFA soweit anwendbar, Protokollierung und regelmäßigen Reviews.

Liste. Autorisierte Unterauftragsverarbeiter sind in Anhang 1 aufgeführt.

Änderungen. Numezis kann Unterauftragsverarbeiter hinzufügen oder ersetzen, sofern:

• eine Benachrichtigung per E-Mail oder über das Notification Center mindestens 30 Kalendertage im Voraus erfolgt; und
• der Kunde innerhalb von 15 Tagen aus berechtigten Gründen widersprechen kann.

Verantwortung. Numezis bleibt im vertraglich vorgesehenen Umfang für Handlungen und Unterlassungen seiner Unterauftragsverarbeiter verantwortlich.

Numezis setzt risikoadäquate technische und organisatorische Maßnahmen um, darunter:

• Verschlüsselung bei Übertragung (TLS) und, soweit anwendbar, im Ruhezustand;
• Zugriffsmanagement (least privilege), MFA soweit anwendbar;
• logische Trennung der Umgebungen (prod / staging / dev);
• Protokollierung, Monitoring und Alerting;
• Backup- und Wiederherstellungsverfahren;
• Vulnerability Management und Security Patching; sowie
• Incident-Response-Prozess.

Primärer Standort. Die Anwendungsdienste werden hauptsächlich in der Schweiz betrieben (insbesondere auf Cloud-Infrastruktur in der Region Zürich).

Übermittlungen. Soweit Übermittlungen außerhalb Schweiz/EWR erforderlich sind, setzt Numezis geeignete Garantien nach anwendbarem Recht um (z. B. Standardvertragsklauseln 2021) sowie – sofern erforderlich – eine Transfer Impact Assessment (TIA) und angemessene ergänzende Maßnahmen.

Frist. Numezis informiert den Kunden ohne unangemessene Verzögerung und – soweit anwendbar – spätestens innerhalb von 48 Stunden nach Kenntniserlangung von einer Datenschutzverletzung, die voraussichtlich die Rechte und Freiheiten betroffener Personen beeinträchtigt.

Inhalt. Soweit verfügbar: Art der Verletzung, Kategorien und ungefähres Volumen personenbezogener Daten, Kategorien und ungefähre Anzahl betroffener Personen, voraussichtliche Folgen sowie getroffene oder geplante Maßnahmen.

Mitwirkung. Numezis unterstützt den Kunden zur Erfüllung gesetzlicher Meldepflichten gegenüber Behörden und betroffenen Personen.

Numezis unterstützt den Kunden im zumutbaren Umfang und unter Berücksichtigung der Art der Verarbeitung bei der Beantwortung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit).

Nach Vertragsende. Auf schriftliche Weisung des Kunden und innerhalb der technischen Grenzen des Dienstes wird Numezis:

• personenbezogene Daten in einem gängigen strukturierten Format zurückgeben (z. B. JSON, CSV); und
• verbleibende Kopien dauerhaft löschen.

Frist. Rückgabe oder Löschung erfolgt innerhalb von 30 Tagen nach wirksamer Beendigung, außer soweit eine gesetzliche Aufbewahrungspflicht besteht oder eine Aufbewahrung zu Beweiszwecken im Streitfall erforderlich ist.

Auditrecht. Der Kunde kann einmal pro Vertragsjahr und mit 30 Tagen Vorankündigung ein Audit zur Einhaltung dieses DPA durchführen (oder durch einen unabhängigen Auditor durchführen lassen).

Bedingungen. Audits erfolgen während Geschäftszeiten, ohne wesentliche Beeinträchtigung des Dienstes und unter Wahrung der Vertraulichkeit anderer Kunden. Die Kosten trägt der Kunde, es sei denn, es werden wesentliche Verstöße festgestellt.

Schweizer Recht.

Ausschließlicher Gerichtsstand: ordentliche Gerichte am Sitz der Numezis SA (Lausanne).

Für Anfragen zu diesem DPA, Datenschutz oder Compliance kontaktieren Sie privacy@numezis.com (oder contact@numezis.com mit Betreff „DSGVO / DSG Anfrage“).