Auftragsverarbeitungsvertrag
I. Geltungsbereich
Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV" genannt) konkretisiert die Verpflichtungen betreffend Datenschutz zwischen dem Unternehmen Surnet GmbH und dem Kunden, welcher die Online-Dienstleistungsangebote der Surnet GmbH in Anspruch nimmt. Als Kunde gilt jede natürliche oder juristische Person, welche sich für ein oder mehrere Angebot/e der Surnet GmbH registriert hat.
Die Grundlage dieses Vertrags sind die Allgemeinen Geschäftsbedingungen (nachfolgend "AGB" genannt) und die Datenschutzerklärung (nachfolgend "DSE" genannt) und diese sind somit integrierter Bestandteil des AVV. Die aktuellste Version der AGB und DSE befinden sich auf der Webseite.
II. Vertragsgegenstand
Die Inhalte des Auftrags, seine Laufzeit sowie die Art und Zielsetzung der Datenverarbeitung sind im Wesentlichen in den AGB und DSE festgelegt. Grundsätzlich geht es um die Verarbeitung von personenbezogenen Daten des Kunden im Rahmen seiner Nutzung der Angebote der Surnet GmbH als Software as a Service.
Art und Zweck der Verarbeitung
Die vom Kunden verarbeiteten personenbezogenen Daten werden an die Surnet GmbH im Rahmen der Software as a Service Leistungen übertragen. Die Surnet GmbH verarbeitet diese Daten ausschliesslich gemäss den AGB, DSE und dem entsprechenden Leistungsbeschrieb auf der Webseite.
Art der personenbezogenen Daten
Die Datenarten sind abhängig davon welche Daten vom Kunden übertragen werden. Diese sind insbesondere:
- Personenstammdaten (Name, Adresse, Kontaktinformationen, Geburtsdatum, Arbeitgeber)
- Vertragsdaten aus aktuellen Aufträgen
- Historie der Vertragsdaten aus vergangenen Aufträgen
Kategorien betroffener Personen
Die Kategorien der betroffenen Personen sind abhängig davon welche Daten vom Kunden übertragen werden. Diese sind insbesondere:
- Aktuelle und ehemalige Mitarbeiter
- Kunden und Interessenten
- Dienstleister
- Kontaktdaten zu Ansprechspartnern
III. Verantwortlichkeiten
Innerhalb des Vertragsverhältnisses liegt die alleinige Verantwortung für die Einhaltung der gesetzlichen Datenschutzbestimmungen, insbesondere bezüglich der Rechtmässigkeit der Datenübermittlung an die Surnet GmbH und der Datenverarbeitung, beim Kunden.
Dem Kunden sind die technischen und organisatorischen Massnahmen zum Schutz der Daten bei der Surnet GmbH bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Die Surnet GmbH ist durch den Kunden unverzüglich und vollständig schriftlich zu informieren, wenn er Fehler oder Unregelmässigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
IV. Pflichten
Die Surnet GmbH sorgt stets für eine angemessene Datensicherheit gemäss geltendem Datenschutzrecht.
Die der Surnet GmbH zur Verfügung gestellten Daten werden nur innerhalb des Vertragsverhältnisses verarbeitet.
Sämtliche Hilfspersonen und Mitarbeiter der Surnet GmbH weden zur Geheimhaltung verpflichtet sofern sie es nicht schon von Gesetzes wegen sind.
Für den Betrieb der Dienstleistungen werden Unterauftragsverarbeiter genutzt. Diese gelten nach Publizierung auf der Webseite ohne Widerspruch innert Monatsfrist als genehmigt. Der Kunde nimmt regelmässig Einsicht auf die Übersicht. Die aktuellen Unterauftragsverarbeiter finden Sie hier: https://www.noacore.ch/subcontractors
Die Surnet GmbH bietet in den Produkten die Möglichkeit zur Übertragung der Daten an andere Anbieter. Die Nutzung dieser Schnittstellen ist in der Nutzung der Applikation ersichtlich. Der Kunde ist dazu besorgt sicherzustellen, dass die Daten beim anderen Anbieter gemäss den Ansprüchen des Kunden gesichert sind. Sofern von den Schnittstellenanbietern eine Datenschutzerklärung oder sonstige Infos publiziert sind verlinken wir diese hier: https://www.noacore.ch/interfaces
Die Surnet GmbH exportiert keine Daten des Kunden und wenn, dann nur unter Befolgung des geltenden Datenschutzrechts.
Der Kunde wird durch die Surnet GmbH bei Bedarf bei der Einhaltung des Datenschutzrechts unterstützt. Insbesondere zur Erfüllung von Betroffenenrechten und bei Datenschutz-Folgenabschätzungen. Die Surnet GmbH ist berechtigt hierfür eine Aufwandsentschädigung zu verlangen.
Wenn die Surnet GmbH feststellt, dass der Schutz von persönlichen Daten verletzt wurde, wird er angemessene Schritte unternehmen, um die Daten zu sichern und die möglichen negativen Auswirkungen auf betroffene Personen zu minimieren.
Die Surnet GmbH wird auch die gesetzlichen Anforderungen zur Meldung von Datenschutzverletzungen vollständig einhalten.
Nach Ende des AVV gibt die Surnet GmbH alle Daten zurück und löscht sie soweit ihm erlaubt.
V. Datensicherheitsmassnahmen
Die Sicherheitsmassnahmen können sich verbessern, wenn neue Technologien verfügbar sind. Die Surnet GmbH kann daher jederzeit geeignete alternative Massnahmen ergreifen, solange das vereinbarte Sicherheitsniveau aus diesem Vertrag nicht unterschritten wird.
Wir treffen die folgenden technischen und organisatorischen Massnahmen für den Zugriff auf die Daten unserer Kunden:
- Zugangskontrollen
- Identitätsmanagement
- Datenzugriffe nur mit Authentifizierung
- Passwortregeln
- MFA für alle (wo möglich)
- Festlegung befugter Personen
- Endgeräte verschlüsselt
- Sichere Datenübertragung
- Backup
VI. AVV-Abänderung
Die Surnet GmbH behält sich vor, diese AVV jederzeit zu ändern. Die Änderungen werden den Nutzern schriftlich oder auf andere Weise bekannt gegeben. Sie gelten als genehmigt, sofern der Kunde nicht innert Monatsfrist schriftlich widerspricht.