Calenso Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU Daten sch utz-G ru ndverord nu ng (AV-Vertrag)
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
~ BRAINCEPT
Calenso
Vertrag über die Auftragsverarbeitung
personenbezogener Daten nach EU
Daten sch utz-G ru ndverord nu ng
(AV-Vertrag)
Letzte Aktualisierung: 18.01.2019
Braincept AG Calenso - DSGVO Seite 1 von 23~ BRAINCEPT Vertrag über die Auftragsverarbeitung personen-bezogener Daten Vertrag zwischen dem Kunden: Firma Vorname/ Name: Strasse Nr.: PLZ, Ort, Land: Handelsregister/Nr.: - nachstehend bezeichnet als Auftraggeber - und Vorname/ Name: Patrick Breiter Strasse Nr.: Neuenkirchstrasse 19 PLZ, Ort, Land: 6203 Sempach-Station, Schweiz Handelsregister/Nr.: CHE-449.310.225 Unternehmung Bra incept AG Funktion: Chief Technology Officer - nachstehend bezeichnet als Provider - über Auftragsverarbeitung im Sinne des Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO). Bra incept AG Calenso - DSGVO Seite 2 von 23
~BRAINCEPT Informationen über den Provider Kontaktdaten Firma/Name: Bra incept AG Strasse, Nr., PLZ, Ort: Neuenkirchstrasse 19, 6203 Sempach-Station Register-Gericht/Nr.: CHE-449.310.225 Telefon: +4141508 28 17 E-Mail: info@braincept.com Website: www.braincept.com Leitung der Datenverarbeitung beauftragter Verantwortlicher Vorname Name: Patrick Breiter Funktion: Chief Technology Officer Tel: +4141508 28 17 E-Mail: patrick.breiter@braincept.com Beschreibung der Unternehmenstätigkeit Strategische Planung und operative Umsetzung von innovativen Geschäftsideen; Erbringung von Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie, insbesondere durch Entwicklung, Beratung, Vertrieb, Einführung und Betrieb von Softwaresystemen sowie Handel mit Produkten aus diesem Bereich; Beteiligungen; Erwerb und Veräusserung von Immobilien; Vornahme von Finanzierungen sowie Eingehung von Garantien und Bürgschaften für Tochtergesellschaften und Dritte. Braincept AG Calenso - DSGVO Seite 3 von 23
~ BRAINCEPT 1. Präambel Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem zwischen den Parteien geschlossenen Vertrag (Allgemeinen Geschäftsbedingungen des Providers) ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Providers oder durch den Provider Beauftragte personenbezogene Daten (nachfolgend ,,Daten") des Auftraggebers verarbeiten. Braincept AG Calenso - DSGVO Seite 4 von 23
~ BRAINCEPT
2. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
1) Einzelheiten in Bezug auf die Dienstleistung des Providers sind in dem jeweiligen Vertrag
zwischen Provider und Auftraggeber (nachfolgend ,,Vertrag") geregelt, dieser Vertrag besteht
aus den Allgemeinen Geschäftsbedingungen des Providers.
2) Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der
Verarbeitung, sofern in Anhang A nichts Abweichendes aufgeführt ist.
3) Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den
Bestimmungen dieser Anlage nicht darüberhinausgehende Verpflichtungen ergeben.
3. Anwendungsbereich und Verantwortlichkeit
1) Der Provider verarbeitet die in Anhang A genannten Daten im Auftrag des Auftraggebers zu
dem dort genannten Zweck in dem genannten Umfang. Dies umfasst Tätigkeiten, die im
Vertrag konkretisiert sind.
2) Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen
Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der
Datenweitergabe an den Provider sowie für die Rechtmässigkeit der Datenverarbeitung
allein verantwortlich (,,Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO).
3) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom
Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform)
an die vom Provider bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder
ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden
als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich
schriftlich oder in Textform durch den Auftraggeber nachzuholen.
Braincept AG Calenso - DSGVO Seite 5 von 23~ BRAINCEPT
4. Pflichten des Providers
1) Der Provider darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der
Weisungen des Auftraggebers verarbeiten; ausser es liegt ein Ausnahmefall im Sinne des
Artikel 28 Abs. 3 a DSGVO vor. Der Provider informiert den Auftraggeber unverzüglich, wenn
er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstösst. Der Provider
darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder
abgeändert wurde.
2) Der Provider wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so
gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird
technische und organisatorische Massnahmen zum angemessenen Schutz der Daten des
Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32
DSGVO) genügen. Der Provider hat technische und organisatorische Massnahmen zu treffen,
die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind
diese technischen und organisatorischen Massnahmen bekannt und er trägt die
Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein
angemessenes Schutzniveau bieten.
3) Die vom Provider getroffenen Massnahmen werden in Anhang Bund C näher beschrieben.
Die technischen und organisatorischen Massnahmen unterliegen dem technischen
Fortschritt und der Weiterentwicklung. Insoweit ist es dem Provider gestattet, alternative
adäquate Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten
Massnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4) Der Provider unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner
Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem.
Kapitel lii der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten
Pflichten.
5) Der Provider gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers
befassten Mitarbeiter und andere für den Provider tätigen Personen untersagt ist, die Daten
ausserhalb der Weisung zu verarbeiten. Ferner gewährleistet der Provider, dass sich die zur
Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit
verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht
unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung
des Auftrages fort.
Braincept AG Calenso - DSGVO Seite 6 von 23~ BRAINCEPT
6) Der Provider unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des
Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Provider trifft
die erforderlichen Massnahmen zur Sicherung der Daten und zur Minderung möglicher
nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem
Auftraggeber ab.
7) Der Provider nennt dem Auftraggeber den folgenden Ansprechpartner für im Rahmen des
Vertrages anfallende Datenschutzfragen: Der Datenschutzbeauftragte der Bra incept AG für
das Produkt Calenso, datenschutz@calenso.com.
8) Der Provider gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d DSGVO nachzukommen,
ein Verfahren zur regelmässigen Überprüfung der Wirksamkeit der technischen und
organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung
einzusetzen. Der Provider berichtigt oder löscht die vertragsgegenständlichen Daten, wenn
der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine
datenschutzkonforme Löschung oder eine entsprechende Einschränkung der
Datenverarbeitung nicht möglich, übernimmt der Provider die datenschutzkonforme
Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer
Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber
zurück, sofern nicht im Vertrag bereits vereinbart. ln besonderen, vom Auftraggeber zu
bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und
Schutzmassnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits
vereinbart.
9) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf
Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Entstehen
zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der
Daten, so trägt diese der Auftraggeber.
10) lm Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Provider den Auftraggeber bei
der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
11) Leistungen nach Ziffer 3, 4(2), 5, 6(2) und 6(3) (z.B. Herausgabe von Datenträgern, Ansprache
von Betroffenen, Prüfungen) sind dem Provider gemäss seiner aktuellen Stundensätze bzw.
externer Aufwände zu vergüten.
Braincept AG Calenso - DSGVO Seite 7 von 23~ BRAINCEPT
5. Pflichten des Auftraggebers
1) Der Auftraggeber hat den Provider unverzüglich und vollständig zu informieren, wenn er in
den Auftragsergebnissen Fehler oder Unregelmässigkeiten bzgl. Datenschutzrechtlicher
Bestimmungen feststellt.
2) lm Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, gilt Ziffer 3(10) entsprechend.
3) Der Auftraggeber nennt dem Provider den Ansprechpartner für im Rahmen des Vertrages
anfallende Datenschutzfragen, sofern dieser von den durch den Auftraggeber bereits
benannten Ansprechpartnern abweicht.
6. Anfragen betroffener Personen
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an
den Provider wird der Provider die betroffene Person an den Auftraggeber verweisen, sofern eine
Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Provider
leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Provider
unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der
Provider haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht
richtig oder nicht fristgerecht beantwortet wird.
Braincept AG Calenso - DSGVO Seite 8 von 23~ BRAINCEPT
7. Nachweismöglichkeiten
1) Der Provider weist dem Auftraggeber die Einhaltung der in dieser Anlage niedergelegten
Pflichten mit geeigneten Mitteln nach. Dies erfolgt durch einen Selbstaudit.
2) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem
beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne
Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen
Vorlaufzeit durchgeführt. Der Provider darf diese von der vorherigen Anmeldung mit
angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung
hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und
organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber
beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Provider stehen, hat der
Provider gegen diesen ein Einspruchsrecht.
3) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde
des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine
Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese
Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei
der ein Verstoss nach dem Strafgesetzbuch strafbewehrt ist.
8. Subunternehmer (weitere Auftragsverarbeiter)
1) Die Beauftragung von Subunternehmern durch den Provider ist zulässig, soweit diese im
Umfang des Unterauftrags ihrerseits die Anforderungen der vorliegenden Anlage erfüllen.
Eine Liste der aktuellen Subunternehmer ist hier abrufbar
https://www.calenso.com/datenschutz (Punkt 2: Subunternehmen).
Braincept AG Calenso - OSGVO Seite 9 von 23~BRAINCEPT
2) Der Auftraggeber stimmt zu, dass der Provider Subunternehmer hinzuzieht. Vor
Hinzuziehung oder Ersetzung der Subunternehmer informiert der Provider den Auftraggeber.
Der Provider ist verpflichtet den Auftraggeber über die Beauftragung eines Subunternehmers
durch Aktualisierung der eben genannten Übersicht zu informieren. Die ü bersicht ist jeweils
mindestens 14 Tage vorab zu aktualisieren. Der Auftraggeber wird regelmässig die Übersicht
einsehen. Der Auftraggeber kann der Änderung - innerhalb dieser 14 Tage - aus wichtigem
Grund - gegenüber dem Provider widersprechen. Erfolgt kein Widerspruch innerhalb der
Frist gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger
datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung
zwischen den Parteien nicht möglich ist, wird dem Provider ein Sonderkündigungsrecht
eingeräumt.
3) Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Provider weitere
Provider mit der ganzen oder einer Teilleistung der in dieser Anlage vereinbarten Leistung
beauftragt. Der Provider wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen
treffen, um angemessene Datenschutz- und lnformationssicherheitsmassnahmen zu
gewährleisten. Subunternehmer, welche keinen Zugriff auf Kundendaten haben bzw. keine
Bearbeitung von Kundendaten vornehmen, sind von diesem Kapitel ausgenommen und
werden entsprechend nicht in der genannten Liste erscheinen.
4) Erteilt der Provider Aufträge an Subunternehmer, so obliegt es dem Provider, seine
datenschutzrechtlichen Pflichten aus dieser Anlage dem Subunternehmer zu übertragen.
9. Informationspflichten
Sollten die Daten des Auftraggebers beim Provider durch Pfändung oder Beschlagnahme, durch ein
Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Massnahmen Dritter
gefährdet werden, so hat der Provider den Auftraggeber unverzüglich darüber zu informieren. Der
Provider wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren,
dass die Hoheit und das Eigentum an den Daten ausschliesslich beim Auftraggeber als
,,Verantwortlicher" im Sinne der Datenschutz-Grundverordnung liegen.
10. Haftung
Die Haftung und Recht auf Schadenersatz richten sich nach Art. 82 DS-GVO.
Braincept AG Calenso - DSGVO Seite 10 von 23~ BRAINCEPT
11. Sonstiges
1) lm Übrigen gelten die Regelungen des Vertrags. Bei etwaigen Widersprüchen zwischen
Regelungen dieser Anlage und den Regelungen des Vertrages geht diese Anlage vor. Sollten
einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit des Vertrags
und der Anlage im Übrigen nicht.
2) Anhang A, B und C sind wesentlicher Bestandteil dieser Anlage.
Braincept AG Calenso - DSGVO Seite 11 von 23~ BRAINCEPT
Anhang A
Einzelne Verarbeitungstätigkeiten
Werden personenbezogene Daten der betroffenen Person verarbeitet?
~ Ja D Nein
Bezeichnung ~ Website
Verarbeitungstätigkeit ~ Marketingmassnahmen
~ Finanzbuchhaltung
~ Kommunikation (E-Mail, Messenger, etc.)
~ Kundenverwaltung
~ Verarbeitung von Daten im Auftrag Dritter
Beschreibung der Wichtige Information
Verarbeitungstätigkeit Keine Daten werden ohne Einwilligung an Drittpersonen oder Firmen
weitergegeben oder verkauft.
Kundenstammdaten
Calenso speichert bei einer Partner-Registration (my.calenso.com/go) alle
erforderlichen Kundenstammdaten (Vorname, Nachname, Firmenname,
Adresse, PLZ, Ort, E-Mail, Land, Telefon), welche für eine rechtsgültige
Rechnungsstellung notwendig sind. Diese Daten werden freiwillig vom
Partner bei einer Registration eingegeben. Bei der Registrierung stimmt
der Kunde den AGB sowie den DSGVO-Richtlinien zu.
Bei einem Kauf eines kostenpflichtigen Calenso-Abonnements werden
Vorname, Nachname, E-Mail-Adresse und Rechnungsadresse an den
Payment-Prozessor «Stripe» übermittelt. Bei einer Calenso Account-
Löschung dürfen diese Daten aufgrund der Rechnungs-
Aufbewahrungspflicht des Schweizerischen Obligationenrecht Artikel
957ft. für eine Dauer von zehn Jahren nicht gelöscht werden.
Jede Aktion, welche auf der Calenso-Plattform geschieht, wird geloggt
(Zeitstempel, Mitarbeiter, Partner, IP-Adresse, Art der Aktion (z.B. durch
Benutzer oder API), Quelle). Diese Daten werden aggregiert, ausgewertet
und dem Kunden selbst in einem Dashboard dargestellt.
Braincept AG Calenso - DSGVO Seite 12 von 23~ BRAINCEPT
Calenso Webseite
Auf der Calenso-Webseite wird Google-Analystics verwendet
(anonymisiert).
Zendesk
Support-Tickets werden über Zendesk abgewickelt. Bei einer
Ticketerstellung werden Daten wie E-Mail-Adresse, Vorname, Nachname
erfasst. Diese Support-Informationen werden bei Zendesk gespeichert.
Calenso speichert keine Support-bezogenen Informationen.
Chatra
Live-Chat-Anfragen auf der Webseite sowie auf der Calenso-Cloud-
Plattform werden über Chatra abgewickelt. Der Chatverlauf wird bei
Chatra gespeichert. Personenbezogenen Daten können freiwillig und mit
Zustimmung eingegeben werden (E-Mail-Adresse, Vorname, Nachname).
Dies ermöglicht Calenso den Kunden auch wieder zu erreichen, falls der
Kunde nicht mehr via Chat verfügbar ist.
Autopilot HQ
Die Daten (E-Mail, Vorname, Nachname) werden nach Einwilligung der
Partner für Newsletter-Zwecke an das E-Mail-System Autopilot HQ
weitergegeben. Der E-Mail-Versand der Newsletter erfolgt via Autopilot
HQ. Sobald der Calenso-Partner keine Newsletter-Mailings mehr erhalten
möchte, kann er sich vom Newsletter abmelden. Nach der Abmeldung
werden die personenbezogenen Daten, welche für den Newsletter-
Versand benötigt werden, gelöscht.
Nine Internet Solutions AG
Nine ist ein Webhoster aus Zürich (Schweiz). Nine stellt die grundlegende
Infrastruktur für Calenso Bereit (Applikationsserver, Datenbank, etc.).
Jedes Calenso Backup wird bei diesem Hoster sicherheitshalber für 30
Tage redundant abgespeichert. Anschliessend wird es durch neue
Backups überspielt.
Hostpoint
Hostpoint ist ein Webhoster mit Sitz in Rapperswil (Schweiz). Jedes
Calenso Backup wird bei diesem Hoster sicherheitshalber für 30 Tage
Braincept AG Calenso - DSGVO Seite 13 von 23~ BRAINCEPT
redundant abgespeichert. Anschliessend wird es durch neue Backups
überspielt.
Cyon
Cyon ist ein Webhoster mit Sitz in Basel (Schweiz). Jedes Calenso Backup
wird bei diesem Hoster sicherheitshalber für 30 Tage redundant
abgespeichert. Anschliessend wird es durch neue Backups überspielt.
Stripe
Stripe ist eine Zahlungslösung eines Drittanbieters, die es möglich macht,
Kredit- und Debitkartenzahlungen für die kostenpflichten Abonnemente
einzutreiben. Für die Rechnungsstellung werden folgende Informationen
an Stripe weitergegeben: Vorname, Nachname, E-Mail-Adresse,
Rechnungsadresse und Abonnementstyp (inkl. Jeweiliger
Gutscheincodes).
SendGrid
SendGrid ist eine Plattform für das Verschicken von E-Mails, die
garantiert, dass jede E-Mail beim Empfänger ankommt. Damit E-Mails
erfolgreich verschickt werden können, werden folgende Informationen an
SendGrid weitergegeben: E-Mail-Adresse und E-Mail Inhalt.
Subunternehmen Die Beauftragung von Subunternehmern durch den Provider ist zulässig,
soweit diese im Umfang des Unterauftrags ihrerseits die Anforderungen
der vorliegenden Anlage erfüllen. Eine Liste der aktuellen
Subunternehmer ist unter https://www.calenso.com/datenschutz (Punkt
2: Subunternehmen) aufrufbar.
Art der Daten / ~ Bestandsdaten (Namen, Adressen)
Datenkategorien ~ Kontaktdaten (E-Mail, Telefonnummern)
~ Vertragsdaten (Zeitpunkt, Inhalt, Zahlungsinformationen,
Kundenkategorie)
~ Meta-/Kommunikationsdaten (IP-Adressen)
Besondere Datenkategorien Keine
Kreis/Kategorie betroffener ~ Kunden
Personengruppen
Braincept AG Calenso - DSGVO Seite 14 von 23~ BRAINCEPT
Quellen der Daten und 0 Onlineformular
Beschreibung der Erhebung, 0 Freiwillige Selbstangaben
Übermittlung, etc. 0 Mittels von Onlinetools/Verfahren ermittelte Daten
Art der Verarbeitung 0 Elektronische Verarbeitung
Zwecke der Datenverarbeitung 0 Begründung, Durchführung und Beendigung von Kauf oder
Dienstleistungsverträgen.
I•
0 Marketing und Werbezwecke (Newsletter)
Rechtsgrundlagen der 0 Art 6 Abs. 1 a), Art. 7 DSVO (Einwilligung)
Verarbeitung 0 Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Empfänger intern 0 Braincept/Calenso Mitarbeitende (interner Vertraulichkeitsvertrag
vorhanden und wird von allen Mitarbeitenden beim Eintritt
unterschrieben).
Übermittlung / Offenlegung 0 Banken zwecks Begleichung/Einziehung Zahlungsforderungen.
gegenüber Dritten & Zweck. 0 Trackinganbieter zwecks Reichweitenanalyse und Onlinemarketing:
• Google Analytics
0 ERP System (Rechnungserstellung):
• Bexio AG
• Stripe
0 Webhosting / Backup:
• Hostpoint AG
• Cyon
• Nine Internet Solutions AG
0 Support
• Chatra
• Zendesk
0 E-Mail Automation:
• Autopilot HQ
• Mailchimp
• Sendgrid
0 Payment Provider:
• Stripe
Bra incept AG Calenso - DSGVO Seite 15 von 23~ BRAINCEPT
Weitergabe ins Drittland Autopilot AUS (E-Mail Automation):
(ausserhalb EU/EWR) 28 O'Connell, 4th Floor, Sydney, NSW, 2000
• https://autopilothg.com/privacypolicy.html
• https://autopilothg .com/securitypolicy. htm I
Mailchimp (Newsletter-System):
The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Atlanta, GA
30308 USA
• https://mailchimp.com/legal/privacy/
Chatra (Live Chat System):
Roger Wilco LLC, 2200 Clarendon Blvd., Suite 1400A, Arlington, VA 22201,
USA
• https://chatra.io/privacy-policy/
Stripe:
Stripe, 510 Townsend Street, San Francisco, CA 94103, USA
• https://stripe.com/ch/privacy
Löschfristen 181 Löschung mit Vertragsbeendigung/ Kündigung
181 10 J, gem. § 147 Abs. 1 AO (Bücher, Aufzeichnungen, Lageberichte,
Buchungsbelege, Handels- und Geschäftsbriefe, Für Besteuerung
relevante Unterlagen, etc.).
Spezielle Ein detailliertes technisches Sicherheitskonzept ist unter
Sicherheitsmaßnahmen (wenn https://www.calenso.com/sicherheitskonzept/ dokumentiert.
nicht bereits im Allg.
Sicherheitskonzept)
Wurden die Betroffenen in 181 Datenschutzerklärung
einer Datenschutzerklärung
181 Individuell (per E-Mail, Newsletter)
oder vergleichbar informiert
(wie)?
Wurden Grundsätze Privacy by Ja, Calenso basiert auf Privacy by Design.
Design/ by Default beachtet?
Braincept AG Calenso - DSGVO Seite 16 von 23~ BRAINCEPT
Liegt ein Fall des Art. 22 Nein
DSGVO Automatisierte
Entscheidungen im Einzelfall
einschließlich Profiling vor?
./
OS-Folgenabschätzung Nein, weil kein erhöhtes Risiko vorhanden ist.
erforderlich?
Auftragsverarbeitungsverträge mit Drittunternehmen
Vertragspartner/ Datum des AV- Zweck/ DSGVO-ready? Anmerkungen
Adresse Vertrages Hauptvertrag
Bexio AG 18.05.2018 ERP-Dienstleister Ja
Nine Internet 18.05.2018 Schweizer Ja
Solutions AG Webhoster
SMSAPI 18.05.2018 SMS-Provider Ja
Chatra Nicht benötigt Live-Chat-Support Ja htt¡;¡s:Uchatra .ioL d¡;¡a¿
Zendesk 24.05.2018 Ticketing-Support Ja
Mailchimp 18.05.2018 Newsletter Ja
Autopilot HQ ln Abklärung E-Mail Automation Ja
Stripe ln Abklärung
Sendgrid ln Abklärung
Cyon 18.01.2018 Schweizer Ja
Webhoster
Hostpoint 18.01.2019 Schweizer Ja
Webhoster
Braincept AG Calenso - DSGVO Seite 17 von 23~ BRAINCEPT
Anhang B
Sicherheitskonzept
Datenschutz auf 181 Vertrauens-/Verschwiegenheitsverpflichtung (auch nach Beendigung
Mitarbeiterebene des Arbeitsverhältnisses)
Archivierung, Löschung, Es liegt ein Archivierungs-, Lösch- und Entsorgungskonzept mit
Entsorgung und Einschränkung festgelegten Zuständigkeiten vor.
Verarbeitung Mitarbeiter wurden über gesetzliche Voraussetzungen, Löschfristen und
Vorgaben für Geräteentsorgung und Entsorgungsdienstleister
unterrichtet.
Wahrung der Es liegt ein Konzept, das die Wahrung der Rechte der Betroffenen
Betroffenen rechte (Auskunft, Korrektur, Datentransfer, Widerrufe & Widersprüche)
innerhalb der gesetzlichen Fristen gewährleistet.
Notfallkonzept Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen
Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes
personenbezogener Daten (Prüfung, Dokumentation, Meldung)
gewährleistet.
Ein detailliertes technisches Sicherheitskonzept ist unter https://www.calenso.com/sicherheitskonzept/
dokumentiert.
Braincept AG Calenso - DSGVO Seite 18 von 23~ BRAINCEPT
Anhang e
Technische und organisatorische Massnahmen {TOM) i.S.d. Art. 32 DSGVO
Es werden keine Daten in den Büros von Bra incept AG aufbewahrt. Alle wichtigen Daten befinden
sich in sicheren Datenzentren in der Schweiz.
l. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO
Zutrittskontrolle
Technische Massnahmen Organisatorische Massnahmen
Keine Besucher in Begleitung durch Mitarbeiter
Zugangskontrolle
Technische Massnahmen Organisatorische Massnahmen
- Login mit Benutzername und Passwort - Verwalten von Benutzerberechtigungen
- Anti-Viren Software Server - Erstellen von Benutzerprofilen
- Anti-Viren Software Clients - Richtlinie «Sicheres Passwort»
- Verschlüsselung von Notebooks/ Tablets - Allgemeine Richtlinie Datenschutz und/ oder
Sicherheit
Zugriffskontrolle
Technische Massnahmen Organisatorische Massnahmen
- Keine - Verwalten von Benutzerrechte durch Administratoren
- Einsatz Berechtigungskonzept
- Minimale Anzahl an Administratoren
Zugriffskontrolle
Technische Massnahmen Organisatorische Massnahmen
- Trennung von Produktiv- und Testumgebung - Steuerung über Berechtigungskonzept
- Physikalische Trennung (Systeme/ Datenbanken/ - Festlegung von Datenbankrechten
Datenträger) - Datensätze sind mit Zweckattributen versehen
- Mandantenfähigkeit relevanter Anwendungen
Braincept AG Calenso - DSGVO Seite 19 von 23~ BRAINCEPT
Pseudonymisierung (Art. 32 Abs. 1 lit. A DSGVO, Art. 25 Abs. 1 DSGVO)
Technische Massnahmen Organisatorische Massnahmen
Keine - Interne Anweisung, personenbezogene Daten im
Falle einer Weitergabe oder auch nach Ablauf der
gesetzlichen Löschfrist möglichst zu anonymisieren/
pseudonymisieren.
2. Integrität (Art. 32 Abs. 1 lit. B DSGVO}
Weitergabe Kontrolle
Technische Massnahmen Organisatorische Massnahmen
- Protokollierung der Zugriffe und Abrufe Keine
- Bereitstellung über verschlüsselte Verbindungen wie
sftp, https
Eingabekontrolle
Technische Massnahmen Organisatorische Massnahmen
- Technische Protokollierung der Eingabe, Änderung - Übersicht, mit welchen Programmen welche Daten
und Löschung von Daten. eingegeben, geändert oder gelöscht werden können.
- Nachvollziehbarkeit von Eingabe, Änderung und
Löschung von Daten durch individuelle
Benutzernamen (nicht Benutzergruppen).
- Vergabe von Rechten zur Eingabe, Änderung und
Löschung von Daten auf Basis eines
Berechtigungskonzepts.
- Klare Zuständigkeiten für Löschungen.
Braincept AG Calenso - DSGVO Seite 20 von 23~ BRAINCEPT
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO}
Technische Massnahmen Organisatorische Massnahmen
- Keine (trifft Webhoster) - Backup und Recovery-Konzept
- Kontrolle des Sicherungsvorgangs
- Regelmässige Tests zur Datenwiederherstellung
- Aufbewahrung der Sicherungsmedien an einem
sicheren Ort ausserhalb des Serverraums
4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung (Art.
32. 1 lit. d DSGVO, Art. 25. Abs. 1 DSGVO)
Datenschutz-Management
Technische Massnahmen Organisatorische Massnahmen
- Anderweitig dokumentiertes Sicherheitskonzept - Interner und externer Datenschutzbeauftragter
- Eine Überprüfung der Wirksamkeit der technischen (Name, Firma, Kontaktdaten)
Schutzmassnahmen wird mindestens jährlich - Mitarbeiter geschult und auf Vertraulichkeit/
durchgeführt Datengeheimnis verpflichtet
- Regelmässige Sensibilisierung der Mitarbeiter
(mindestens jährlich)
- Die Organisation kommt den Informationspflichten
nach Art. 13 und 14 DSGVO nach
Incident-Response-Management
Technische Massnahmen Organisatorische Massnahmen
- Einsatz von Spamfilter und regelmässige Keine
Aktualisierung
- Einsatz von Virenscanner und regelmässige
Aktualisierung
Braincept AG Calenso - DSGVO Seite 21 von 23~ BRAINCEPT
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Technische Massnahmen Organisatorische Massnahmen
- Es werden nicht mehr personenbezogene Daten Keine
erhoben, als für den jeweiligen Zweck erforderlich
sind.
Geprüft am 18.01.2018 durch Patrick Breiter (Datenschutzbeauftragter Bra incept AG).
Ergebnisse:
f8I TOM sind für den angestrebten Schutzzweck ausreichend
f8I Vereinbarung Auftragsverarbeitung kann geschlossen werden
Braincept AG Calenso - DSGVO Seite 22 von 23~ BRAINCEPT
Unterschriften
Verantwortlicher der Braincept AG, Patrick Breiter (Datenschutzbeauftragter):
Datum: _i
-=-1
=-·. . .:º:;__;1_
Auftraggeber:
- _,,_Z_o....;_
,19 ,.,___ __ Unterschrift:
r
Datum: _ Unterschrift:
Bra incept AG Calenso - DSGVO Seite 23 von 23Sie können auch lesen
