Auftragsverarbeitungsbedingungen
1. Gegenstand
Die Exxas AG (nachfolgend „Exxas“) und die andere Vertragspartei (nachfolgend „Kunde“) haben einen Vertrag (in seiner jeweils gültigen Fassung) geschlossen, unterwelchem die Auftragsverarbeiterdienste erbracht werden (nachfolgend „Vertrag“). Diese Auftragsdatenverarbeitungsbedingungen (nachfolgend „Datenverarbeitungsbedingungen“ oder „Verarbeitungsbedingungen“) ergänzen den Vertrag und die Allgemeinen Geschäftsbedingungen (AGB) von Exxas und gelten als integrierender Vertragsbestandteil.
Diese Datenverarbeitungsbedingungen treten am Datum des Vertragsbeginns in Kraft. Wenn ein Stellvertreter des Kunden diese Datenverarbeitungsbedingungenstellvertretend für den Kunden abschliesst, versichert der Stellvertreter, dass er (a) rechtlich vollumfänglich dazu befugt ist für den Kunden diese Datenverarbeitungsbedingungen stellvertretend abzuschliessen, (b) diese Datenverarbeitungsbedingungen gelesen und verstanden hat und (c) für den vom Stellvertreter vertretenen Kunden die Annahmeerklärung zum Abschluss dieser Datenverarbeitungsbedingungen abgibt.
2. Einführung
Diese Datenverarbeitungsbedingungen enthalten die Vereinbarung der Vertragsparteien über die Regelungen, die für die Verarbeitung und Sicherheit von personenbezogenen Daten des Kunden im Zusammenhang mit den Datenschutzvorschriften gelten.
3. Begriffsbestimmungen und Auslegung
In diesen Datenverarbeitungsbedingungen gelten die folgenden Begriffsbestimmungen:
- Auftragsverarbeiterdienste bedeutet die nachfolgend einschlägigen Dienste von Exxas, welche unter den Anwendungsbereich der Datenverarbeitungsbedingungen fallen:
- Exxas
Exxas ist berechtigt, diese Liste gemäss den Bestimmungen der Datenverarbeitungsbedingungen zu aktualisieren.
- Datenschutzvorschriften bedeutet, soweit anwendbar: (a) die DSGVO und/oder (b) das Bundesgesetz über den Datenschutz (DSG, der Schweiz) von 2023.
- Datenvorfall bedeutet ein Sicherheitsvorkommnis bei Exxas, das zur/zum unabsichtlichen odergesetzwidrigen Vernichtung, Verlust, Änderung von personenbezogenen Daten des Kunden oder zur unautorisierten Offenlegung oder zum unautorisierten Zugriff auf diese führt, wobei dabei Systeme betroffen sind, die von Exxas verwaltet oder anderweitig von Exxas kontrolliert werden. Nicht unter den Begriff „Datenvorfall“ fallen erfolglose Zugriffsversuche oder ähnliche Ereignisse, die die Sicherheit der personenbezogenen Daten des Kunden nicht kompromittieren, wie etwa erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls odervernetzte Systeme.
- DSGVO bedeutet die Verordnung(EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zumSchutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
- DSG bedeutet Datenschutzgesetz der Schweiz (235.1), das per 01. September 2023 in Kraftgetreten ist. Es bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.
- E-Mailadresse für Benachrichtigungen bedeutet die E-Mail-Adresse (falls vorhanden), die vom Kunden über die Benutzeroberfläche des Auftragsverarbeiterdienstes oder über andere von Exxas bereitgestellte Möglichkeiten angegeben wurde, um bestimmte Benachrichtigungen von Exxas zu diesen Datenverarbeitungsbedingungen zu erhalten.
- EWR bedeutet der Europäische Wirtschaftsraum.
- Exxas bedeutet Exxas AG, welche die Vertragspartei des Vertrages ist.
- Exxas-Gruppenunternehmen hat die Bedeutung von zu Exxas verbundenen Unternehmen wie Mutter-, Tochter- und Schwestergesellschaften.
- Laufzeit bedeutet den Zeitraumzwischen dem Datum des Inkrafttretens des Vertrages und dem Ende der Erbringung der Auftragsverarbeiterdienste durch Exxas gemäss dem Vertrag.
- Personenbezogene Datendes Kunden bedeutet personenbezogene Daten, die im Auftrag des Kunden durch Exxas im Rahmen der Erbringung der Auftragsverarbeiterdienste verarbeitet werden.
- Unterauftragsverarbeiter bedeutet Dritte, die unter diesen Datenverarbeitungsbedingungen autorisiert sind, logisch auf personenbezogene Daten des Kunden zuzugreifen und diese zu verarbeiten, um Teile der Auftragsverarbeiterdienste bereitzustellen und dazugehörigen technischen Support zu erbringen.
- Verbundenes Unternehmen bedeutet jede juristische Person, die direkt oder indirekt kontrolliert, von einer der Vertragsparteienkontrolliert wird oder unter gemeinsamer Kontrolle mit einer der Vertragsparteien steht.
- Zusatzprodukt bedeutet ein Produkt, einen Dienst oder eine Anwendung von Exxas oder einem Dritten, das/der/die (a)nicht Bestandteil der Auftragsverarbeiterdienste ist und (b) zur Nutzung über die Benutzeroberfläche der Auftragsverarbeiterdienste erreichbar oderanderweitig in die Auftragsverarbeiterdienste integriert ist.
Die Begriffe Verantwortlicher, betroffene Person, personenbezogene Daten, Verarbeitung, Auftragsverarbeiter und Aufsichtsbehörde haben in diesen Datenverarbeitungsbedingungen jeweils dieselbe Bedeutung, die ihnen in der DSGVO zugewiesen wird.
Formulierungen, die mit Worten wie „einschliesslich“ oder mit einem ähnlichen Ausdruck beginnen, sind so auszulegen, dass diese Formulierungen nur illustrativ gemeint sind und sie die Bedeutung der davor stehenden Formulierungen nicht einschränken sollen. Etwaige in diesen Datenverarbeitungsbedingungen angeführte Beispiele dienen nur der Veranschaulichung und sind nicht als ausschliessliche Beispiele für ein bestimmtes Konzept gemeint.
Verweise auf Gesetze oder gesetzliche Regelungen beziehen sich jeweils auf deren aktuellen Stand und deren zum jeweiligen Zeitpunkt gültige und ggf. geänderte oder überarbeitete Fassung.
4. Laufzeit dieser Datenverarbeitungsbedingungen
Die vorliegenden Datenverarbeitungsbedingungen treten zum angegebenen Datum des Vertrages in Kraft und bleiben – unabhängig davon, ob die Laufzeit abgelaufen sein sollte – solange in Kraft, bis Exxas alle personenbezogenen Kundendatengemäss den vorliegenden Datenverarbeitungsbedingungen gelöscht hat; zu diesem Zeitpunkt enden diese Datenverarbeitungsbedingungen automatisch.
5. Anwendbarkeit dieser Datenverarbeitungsbedingungen
Diese Datenverarbeitungsbedingungen gelten nur in dem Umfang, in dem die Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten des Kunden Anwendung finden, einschliesslich wenn:
- (a) Die Verarbeitung im Rahmen der Tätigkeiten einer Betriebsstätte des Kunden im EWR oder in der Schweiz stattfinden und/oder
- (b) Personenbezogene Daten des Kunden personenbezogene Daten darstellen, die sich auf betroffene Personen beziehen, die sich im EWR oder in der Schweiz befinden und sich die Verarbeitung auf das Angebot von Waren oder Dienstleistungen oder die Beobachtung des Verhaltens im EWR oder in der Schweiz bezieht.
6. Verarbeitung von Daten
6.1 Rollenverteilung und Einhaltung gesetzlicher Vorgaben; Autorisierung.
6.1.1 Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen.
Die Vertragsparteienbestätigen und vereinbaren, dass:
- (a) Anhang 1 den Gegenstand und die Details der Verarbeitung der personenbezogenen Daten des Kunden beschreibt,
- (b) Exxas als ein Auftragsverarbeiter von personenbezogenen Daten des Kunden gemäss den Datenschutzvorschriften handelt,
- (c) der Kunde, je nachdem was zutrifft, als ein Verantwortlicher oder ein Auftragsverarbeiter von personenbezogenen Daten des Kunden gemäss den Datenschutzvorschriften handelt, und
- (d) jede Vertragspartei verpflichtet ist, den Verpflichtungen nachzukommen, die für die jeweilige Partei in Bezug auf die Verarbeitung von personenbezogenen Datendes Kunden gemäss den Datenschutzvorschriften gelten.
6.1.2 Autorisierung durch einen Dritten als Verantwortlichen.
Ist der Kunde selbst ein Auftragsverarbeiter, so sichert er gegenüber Exxas zu, dass seine Weisungen und Massnahmen hinsichtlich personenbezogener Daten des Kunden, einschliesslich der Einsetzung von Exxas als weiteren Auftragsverarbeiter, durch den betreffenden Verantwortlichen autorisiert wurden.
6.2 Weisungen des Kunden.
Durch die Zustimmung zu diesen Datenverarbeitungsbedingungen weist der Kunde Exxas an, personenbezogene Daten des Kunden in Übereinstimmung mit dem anwendbaren Recht zu verarbeiten,(a) um die Auftragsverarbeiterdienste und damit im Zusammenhang stehen den technischen Support zu erbringen, und (b) um die weitere Nutzung des Kunden der Auftragsverarbeiterdienste festgelegt (einschliesslich durch die Einstellungen und Funktionalitäten der Auftragsverarbeiterdienste) und damit im Zusammenhangstehenden technischen Support, (c) wie durch die Vereinbarung, einschliesslich dieser Datenverarbeitungsbedingungen, dokumentiert wird und (d) wie zusätzlich in anderen schriftlichen Weisungen dokumentiert ist, die vom Kunden gegeben wurden und von Exxas förmlich als Weisung im Sinne der vorliegenden Datenverarbeitungsbedingungen anerkannt wurden.
6.3 Befolgung der Weisungen durch Exxas.
Exxas wird die Weisungen, die in Ziffer 6.2 (Weisungen des Kunden)festgelegt sind (auch im Hinblick auf die Übermittlung von Daten) befolgen, es sei denn, Gesetze der EU, Gesetze eines EU-Mitgliedstaats oder Gesetze der Schweiz, die auf Exxas Anwendung finden, erfordern eine anderweitige Verarbeitung der personenbezogenen Daten des Kunden durch Exxas; in einemsolchen Fall wird Exxas den Kunden entsprechend informieren (es sei denn, das jeweilige Gesetz verbietet Exxas dies aus wichtigen Gründen des öffentlichen Interesses zu tun).
6.4 Zusatzprodukte.
Wenn der Kunde Zusatzprodukte verwendet, können die Auftragsverarbeiterdienste diesen Zusatzprodukten den Zugriff auf personenbezogenen Daten des Kunden ermöglichen, sofern dies für die Interaktion zwischen diesen Zusatzprodukten und den Auftragsverarbeiterdiensten erforderlich ist. Zur Klarstellung, diese Datenverarbeitungsbedingungen gelten nicht für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Bereitstellung von Zusatzprodukten, die durch den Kunden genutzt werden, einschliesslich für personenbezogenen Daten, die von oder zu diesen Zusatzprodukten übermittelt werden.
7. Löschung von Daten
7.1 Löschung während der Laufzeit.
7.1.1 Auftragsverarbeiterdienste mit Löschfunktion.
Falls während der Laufzeit:
- (a) die Softwarefunktionalitäten der Auftragsverarbeiterdienste dem Kunden eine Möglichkeit zur Verfügung stellen, personenbezogene Daten des Kunden zu löschen oder anonymisieren,
- (b) der Kunde die Auftragsverarbeiterdienste dazu nutzt, bestimmte personenbezogene Daten des Kunden zu löschen und
- (c) die gelöschten personenbezogenen Daten des Kunden vom Kunden nicht wiederhergestellt werden können (z. B. aus dem ‘Papierkorb’),
dann wird Exxas diese personenbezogenen Daten des Kunden von ihren Systemen so früh wie es angemessen und praktikabel ist und spätestens nach einer Dauer von 180Tagen löschen, falls nicht ein EU-Gesetz, das Gesetz eines EU-Mitgliedsstaats oder das Gesetz der Schweiz eine Aufbewahrung vorschreibt.
7.1.2 Auftragsverarbeiterdienste ohne Löschfunktion.
Falls die Softwarefunktionalitäten der Auftragsverarbeiterdienste keine Möglichkeit vorsehen die den Kunden in die Lage versetzt, während der Laufzeitpersonenbezogene Daten des Kunden zu löschen, dann wird Exxas:
- (a) jeder angemessenen Anfrage des Kunden entsprechen, um eine solche Löschung zu erreichen, soweit dies unter Berücksichtigung der Art und Funktionsweise der Auftragsverarbeiterdienste möglich ist und falls nicht ein EU-Gesetz, das Gesetz eines EU-Mitgliedsstaats oder das Gesetz der Schweiz eine Aufbewahrung vorschreibt, und
- b) die Datenspeicherungsverfahren der Auftragsverarbeiterdienste einhalten.
Exxas ist berechtigt, einen Ersatz der Kosten für die Löschung von Daten nach Ziffer7.1.2(a) zu verlangen. Vor einer solchen Löschung wird Exxas dem Kunden weitere Details zu den jeweils entstehenden Kosten und die Grundlage für die Berechnung dieser Kosten zur Verfügung stellen.
7.2 Löschung nach Ablauf der Laufzeit.
Der Kunde weist Exxas an, nach Ablauf der Laufzeit sämtliche personenbezogenen Daten des Kunden (einschliesslich aller existierenden Kopien)gemäss den Vorgaben des anwendbaren Rechts von Exxas Systemen zu löschen. Exxas wird dieser Weisung so früh wie es angemessen und praktikabel ist und spätestens nach einer Dauer von 180 Tagen Folge leisten, falls nicht ein EU-Gesetz, das Gesetz eines EU-Mitgliedsstaats oder das Gesetz der Schweiz eine Aufbewahrung vorschreibt.
8. Datensicherheit
8.1 Sicherheitsmassnahmen und Hilfestellung durch Exxas.
8.1.1 Exxas Sicherheitsmassnahmen.
Exxas implementiert technische und organisatorische Massnahmen zum Schutz der personenbezogenen Daten des Kunden vor versehentlicher odergesetzeswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oderunbefugtem Zugriff, wie in Anhang 2 beschrieben (Sicherheitsmassnahmen) und erhält diese aufrecht. Wie in Anhang 2beschrieben, beinhalten die Sicherheitsmassnahmen Massnahmen:
- (a) zur Verschlüsselung personenbezogener Daten,
- (b) die helfen, die Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Exxas Systemen und Diensten fortwährend zu wahren bzw. sicherzustellen,
- (c) die helfen, zeitgerecht den Zugang zu personenbezogenen Daten nach einem Vorfall wiederherzustellen und
- (d) um regelmässig die Wirksamkeit zu testen. Exxas kann gelegentlich die Sicherheitsmassnahmen aktualisieren oder anpassen, sofern eine solche Aktualisierung und Anpassung nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste führt.
8.1.2 Einhaltung von Sicherheitsvorschriften durch Exxas Personal.
Exxas ist verpflichtet, angemessene Massnahmen zu ergreifen, um die Einhaltung der Sicherheitsmassnahmen durch Exxas-Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter in dem Umfang sicherzustellen, wie es für deren jeweiliges Aufgabengebiet angemessen ist, und um sicherzustellen, dass sich sämtliche Personen, die autorisiert sind, personenbezogene Daten des Kunden zu verarbeiten, zur Geheimhaltung verpflichtet haben oder entsprechen den gesetzlichen Geheimhaltungspflichten unterliegen.
8.1.3 Hilfestellung durch Exxas.
Der Kunde ist damit einverstanden, dass Exxas (unter Berücksichtigung der Art der jeweiligen Verarbeitung personenbezogener Daten des Kunden und deren Informationen, die Exxas zur Verfügung stehen) den Kunden bei der Einhaltung von sämtlichen Pflichten des Kunden in Bezug auf die Sicherheit von personenbezogenen Daten und bei Verletzung der Datensicherheit, einschliesslich, soweit anwendbar, die Pflichten des Kunden gemäss den Artikel32 bis 34 DSGVO, bzw. Art. 8 und Art. 9 DSG, unterstützt durch:
- (a) Implementierung und Aufrechterhaltung von Sicherheitsmassnahmen in Übereinstimmung mit Ziffer 8.1.1 (Exxas Sicherheitsmassnahmen),
- (b) Einhaltung der Regelungen Ziffer 8.2 (Datenvorfälle) und
- (c) Bereitstellung von Sicherheitsdokumentationen an den Kunden gemäss Ziffer 8.5.1 (Überprüfungen der Sicherheitsdokumentation) und den Informationen, die in diesen Datenverarbeitungsbedingungen enthalten sind.
8.2 Datenvorfälle
8.2.1 Meldung von Datenvorfällen.
Falls Exxas Kenntnis von einem Datenvorfall erlangen sollte, ist Exxas verpflichtet:
- (a) den Kunden unverzüglich den Datenvorfall zu melden; und
- (b) prompt angemessene Massnahmen zur Schadensminimierung und Sicherung der personenbezogenen Daten des Kunden zu ergreifen.
8.2.2 Detailinformationen zu Datenvorfällen.
Meldungen gemäss 8.2.1 enthalten, soweit wie möglich, Details über den Datenvorfall und Informationen darüber, welche Massnahmen ergriffen wurden, um das potenzielle Risiko zu minimieren und welche Schritte Exxas dem Kundenempfiehlt, um auf den Datenvorfall zu reagieren.
8.2.3 Übermittlung der Meldungen.
Meldungen über Datenvorfälle wird Exxas an die E-Mailadresse für Benachrichtigungen senden, oder nach Ermessen von Exxas (z.B. falls der Kunde keine E-Mailadresse für Meldungen angegeben hat) mittels eines anderen direkten Kommunikationsmittels (z.B. mittels Telefon oder einem persönlichen Treffen)übermitteln. Der Kunde trägt die alleinige Verantwortung, die E-Mailadresse für Benachrichtigungen zu benennen, und hat sicherzustellen, dass die E-Mailadresse für Benachrichtigungen stets aktuell und gültig ist.
8.2.4 Meldungen an Dritte.
Der Kunde trägt die alleinige Verantwortung, gesetzliche Vorgaben für Meldungen bei Vorfällen einzuhalten und entsprechenden Meldepflichten bei Datenvorfällen gegenüber Dritten nachzukommen.
8.2.5 Kein Anerkenntnisdurch Exxas.
Die Meldung eines Datenvorfalls durch Exxas bzw. die Reaktion auf einen Datenvorfall durch Exxas gemäss dieser Ziffer 8.2 (Datenvorfälle) kann nicht dahingehend ausgelegt werden, dass Exxas dadurch bereits ein Fehlverhalten einräumen oder die Haftung für den Datenvorfall anerkenne würde.
8.3 Verantwortlichkeit des Kunden für Sicherheit und Sicherheitsbewertung.
8.3.1Verantwortlichkeiten des Kunden für Sicherheit.
Unbeschadet der Verpflichtung für Exxas gemäss Ziffern 8.1 (Sicherheitsmassnahmen und Hilfestellung durch Exxas) und 8.2 (Datenvorfälle):
- (a) trägt der Kunde die alleinige Verantwortung für die Nutzung der Auftragsverarbeiterdienste, einschliesslich:
- die Auftragsverarbeiterdienste in angemessener Art und Weise zu nutzen, um ein Sicherheitsniveau sicherzustellen, das im Verhältnis zum Risiko im Hinblick auf die Verarbeitung personenbezogenen Daten des Kunden angemessen ist und
- die Anmeldeinformationen für die Authentifizierung sowie der Systeme und Geräte, die der Kunde verwendet, um auf die Auftragsverarbeiterdienste zuzugreifen, zu schützen, und
- (b) ist Exxas nicht dafür verantwortlich, personenbezogene Daten des Kunden zu schützen, bei denen der Kunde entscheidet, diese ausserhalb der Exxas-Systeme oder der Systeme der Exxas-Unterauftragsverarbeiter zu speichern oder zu übermitteln.
8.3.2 Sicherheitsbeurteilung durch den Kunden.
Der Kunde nimmt zur Kenntnis und stimmt zu, dass(unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung personenbezogener Daten des Kunden sowie der damit verbunden Risiken für Einzelpersonen) die von Exxas gemäss Ziffer 8.1.1 (Exxas Sicherheitsmassnahmen)umgesetzten und aufrechterhaltenen Sicherheitsmassnahmen ein Sicherheitsniveau erreichen, das mit den Risiken in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden in einem angemessenen Verhältnis steht.
8.4 Prüfungen und Compliance-Audits
8.4.1 Prüfung der Sicherheitsdokumentation.
Um die Einhaltung von Verpflichtungen von Exxas unterdiesen Datenverarbeitungsbedingungen nachzuweisen, ist Exxas verpflichtet, die Sicherheitsdokumentation dem Kunden zur Prüfung zugänglich zu machen.
8.4.2 Prüfrechte des Kunden.
Exxas wird dem Kunden oder einem unabhängigen, vom Kunden benannten Prüfer unter Massgabe von Ziffer 8.4.3 (Zusätzliche Bedingungen für Audits) ermöglichen, Audits(einschliesslich Inspektionen) durchzuführen, um zu verifizieren, dass Exxas seinen Pflichten unter den Datenverarbeitungsbedingungen nachkommt. Exxas wird solche Audits, wie in dieser Ziffer 8.4 (Prüfung und Compliance-Audits)beschrieben, unterstützen.
8.4.3 Zusätzliche Bedingungen für Audits.
- (a) Der Kunde ist verpflichtet, eine Anfrage für ein Audit nach Ziffer 8.4.2 in Übereinstimmung mit Ziffer 13.1 (Kontaktaufnahme mit Exxas) zu stellen.
- (b) Nach Erhalt einer Anfrage gemäss Ziffer 8.4.3(a) werden Exxas und der Kunde im Voraus gemeinsam ein angemessenes Startdatum, den Umfang und die Dauer und Sicherheits- und Vertraulichkeitsmassnahmen, die Gegenstand des jeweiligen Audits gemäss Ziffer 8.4.2 sind, besprechen und vereinbaren.
- (c) Exxas ist berechtigt, einen Ersatz der Kosten für jedes Audit nach Ziffer 8.4.2zu verlangen. Vor jedem Audit wird Exxas dem Kunden weitere Details zu den jeweils entstehenden Kosten und die Grundlage für die Berechnung dieser Kosten zur Verfügung stellen. Jegliche Kosten, die für die Beauftragung und Durchführung eines Audits durch einen unabhängigen Prüfer entstehen, den der Kunde beauftragt hat, sind allein vom Kunden zu tragen.
- (d) Exxas ist nach diesen Datenverarbeitungsbedingungen nicht verpflichtet, dem Kunden oder einem vom Kunden beauftragten unabhängigen Prüfer gegenüber das Folgende offenzulegen bzw. dem Kunden oder einem unabhängigen Prüfer zu gestatten, auf Folgendes zuzugreifen:
- i. Daten von irgendeinem anderen Kunden eines Exxas-Gruppenunternehmens;
- ii. interne Daten des Rechnungswesens oder Finanzinformationen eines Exxas-Gruppenunternehmens;
- iii. Geschäftsgeheimnisse eines Exxas-Gruppenunternehmens;
- iv. Informationen, die nach angemessener Einschätzung von Exxas (A) dieSicherheit von Systemen oder Betriebsstätten eines Exxas-Gruppenunternehmensgefährden könnten oder (B) dazu führen könnten, dass ein Exxas-Gruppenunternehmenseine Pflichten unter den Datenschutzvorschriften verletzt oder gegen seineSicherheits- bzw. Datenschutzverpflichtungen gegenüber dem Kunden oder Drittenverstösst; oder
- v. Informationen, auf die der Kunde oder sein unabhängiger Prüfer aus treuwidrigen Gründen, die nicht zur Erfüllung der Verpflichtungen des Kundengemäss den Datenschutzvorschriften erforderlich sind, zugreifen möchten.
9. Folgenabschätzungen und Konsultationen
Der Kunde ist damit einverstanden, dass Exxas (unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Exxas zur Verfügung stehen) den Kundenbei der Erfüllung seiner Pflichten zu Datenschutz-Folgenabschätzungen und vorherigen Konsultationen, einschliesslich, soweit anwendbar, den Pflichtengemäss Art. 35 und 36 DSGVO, bzw. Art. 22 und Art. 23 DSG; durch Folgendesunterstützt:
- (a) Bereitstellung der Sicherheitsdokumentation gemäss Ziffer 8.4.1 (Prüfung der Sicherheitsdokumentation);
- (b) Bereitstellung der Informationen, die bereits in diesen Datenverarbeitungsbedingungen enthalten sind; und
- (c) Bereitstellung oder anderweitige Zugänglichmachung in Übereinstimmung mit Exxas’ Standardverfahren von anderen Materialien (zum Beispiel Hilfeartikel und Beiträge im Kundencenter) zur Art der Auftragsverarbeiterdienste oder der Verarbeitung von personenbezogenen Daten des Kunden.
10. Rechte betroffener Personen
10.1 Beantwortung von Anfragen betroffener Personen.
Wenn Exxas eine Anfrage von einer betroffenen Person hinsichtlich personenbezogener Daten des Kunden erhält, wird Exxas die betroffene Person bitten, ihre Anfrage an den Kunden zu übermitteln; der Kundeträgt die alleinige Verantwortung für die Beantwortung einer solchen Anfrage.
10.2 Unterstützung durch Exxas bei Anfragen betroffener Personen.
Der Kunde ist damit einverstanden, dass Exxas (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Kunden und, falls anwendbar, von Artikel 11 DSGVO; bzw. gemäss der Artikel 25-29 DSG)den Kunden bei der Erfüllung seiner Verpflichtungen unterstützen wird, auf Anfragen von betroffenen Personen zu antworten, einschliesslich, falls anwendbar, auf Anfragen, die die Rechte der betroffenen Personen nach dem dritten Kapitel der DSGVO betreffend, indem Exxas:
- (a) die Funktionalitäten der Auftragsverarbeiterdienste bereitstellt, und
- (b) die in Ziffer 10.1 (Beantwortung von Anfragen betroffener Personen) festgelegten Verpflichtungen erfüllt sind
11. Datenübermittlungen
Der Kunde stimmt zu, dass Exxas personenbezogene Daten des Kunden in der Schweiz speichern und verarbeiten kann.
12. Unterauftragsverarbeiter
12.1 Genehmigung der Beauftragung von Unterauftragsverarbeitern.
Der Kunde genehmigt ausdrücklich die Beauftragung von verbunden Unternehmen von Exxas als Unterauftragsverarbeiter. Zudem genehmigt der Kunde generell, dass Exxas auch Dritte als Unterauftragsverarbeiterbeauftragen darf.
12.2 Anforderungen für die Beauftragung von Unterauftragsverarbeitern.
Wenn Exxas Unterauftragsverarbeiter beauftragt, wird Exxas:
- (a) durch schriftlichen Vertrag sicherstellen, dass:
- (i) der Unterauftragsverarbeiter nur auf personenbezogene Daten des Kunden indem Umfang zugreift und diese nutzt, wie dies erforderlich ist, um seine Obliegenheiten, zu denen er im Wege der Unterauftragsvergabe verpflichtet ist,zu erfüllen und dies jeweils unter Einhaltung der Vereinbarung (einschliesslich dieser Datenverarbeitungsbedingungen) erfolgt, und
- (ii) die in Art. 28 Abs. 3 DSGVO festgelegten Datenschutzpflichten dem Unterauftragsverarbeiter auferlegt werden, falls die DSGVO auf die Verarbeitung der personenbezogenen Daten des Kunden Anwendung findet, und
- (iii) Die in Art. 9 DSG geltenden Vorgaben vollumfänglich berücksichtigt und umgesetzt werden, und
- (b) für sämtliche Obliegenheiten, die den Unterauftragsverarbeitern übertragenwurden, und für sämtliches Tun und Unterlassen ihrer Unterauftragsverarbeiter vollumfänglich haften.
12.3 Möglichkeiten des Widerspruchs gegen Änderungen bei der Unterauftragsvergabe.
- (a) Wenn während der Laufzeit ein neuer Dritt-Unterauftragsverarbeiter beauftragt wird, wird Exxas den Kunden mindestens 30 Tage bevor dieser neue Dritt-Unterauftragsverarbeiter mit der Verarbeitung von personenbezogenen Datendes Kunden betraut wird durch Zusendung einer E-Mail an die E-Mailadresse für Benachrichtigungen über die Beauftragung informieren (einschliesslich des Namens und Standorts des jeweiligen Unterauftragsverarbeiters und der Tätigkeiten, die dieser ausführen wird).
- (b) Der Kunde kann dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters widersprechen, indem er den Vertrag sofort schriftlich kündigt; dies hat innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Beauftragung des jeweiligen Unterauftragsverarbeiters, wie in Ziffer 12.3(a) beschrieben, zu erfolgen. Dieses Kündigungsrecht ist der einzige und ausschliessliche Rechtsbehelf des Kunden, wenn er mit dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters nicht einverstanden ist.
13. Kontaktaufnahme mit Exxas; Aufzeichnungen über die Verarbeitung
13.1 Kontaktaufnahme mit Exxas.
Der Kunde kann Exxas per E-Mail (info@exxas.net oder datenschutz@exxas.net) kontaktieren, um seine Rechte unter diesen Datenverarbeitungsbedingungenauszuüben.
13.2 Exxas’ Aufzeichnungen über die Datenverarbeitung.
Der Kunde nimmt zur Kenntnis, dass Exxas unter der DSGVO verpflichtet ist: (a) Aufzeichnungen über bestimmte Informationen anzufertigen und vorzuhalten, darunter den Namen und Kontaktdaten von jedem Verarbeiter und/oder Verantwortlichen in deren Auftrag Exxas handelt und (falls zutreffend)Informationen über den Vertretungsberechtigen vor Ort und den Datenschutzbeauftragten; und (b) diese Informationen den Aufsichtsbehördenzugänglich zu machen. Dementsprechend ist der Kunde verpflichtet, diese Informationen auf Aufforderung und soweit für den Kunden anwendbar, Exxas über die Benutzeroberfläche der Auftragsverarbeiterdienste oder über andere von Exxas ggf. dafür bereitgestellte Möglichkeiten zu übermitteln und die Benutzeroberfläche oder ggf. eine andere dafür bereitgestellte Möglichkeit zu nutzen, um sicherzustellen, dass diese Angaben stets korrekt und aktuell sind.
14. Haftung
Die Haftung unter oder gemäss diesen Datenverarbeitungsbedingungen richtet sich nach den Haftungsbeschränkungen und -ausschlüssen des Vertrages.
15. Geltung dieser Datenverarbeitungsbedingungen
Im Fall eines Widerspruchs oder einer Abweichung zwischen diesen Datenverarbeitungsbedingungen und des Vertrages haben die Regelungen dieser Datenverarbeitungsbedingungen Vorrang. Mit Ausnahme der Änderungen durch diese Datenverarbeitungsbedingungenbleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.
16. Änderungen dieser Datenverarbeitungsbedingungen
16.1 Änderungen der Datenverarbeitungsbedingungen.
Exxas kann diese Datenverarbeitungsbedingungenändern, wenn eine solche Änderung:
- (a) ausdrücklich durch die vorliegenden Datenverarbeitungsbedingungen erlaubt ist,
- (b) einer Änderung des Unternehmensnamens oder eine Änderung der Rechtsform Rechnung trägt;
- (c) erforderlich ist, um anwendbarem Recht, anwendbaren Vorschriften, einer Gerichtsentscheidung oder einer Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde zu entsprechen; oder
- (d)
- (i)nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste führt,
- (ii) den Anwendungsbereich dieser Datenverarbeitungsbedingungen nicht ausweitet oder Beschränkungen wie Ziffer6.3 (Befolgung der Weisungen durch Exxas) beschrieben hinsichtlich der Verarbeitung personenbezogener Daten des Kunden durch Exxas nicht aufhebt, und
- (iii) auch sonst zu keinen erheblichen nachteiligen Auswirkungen auf die Rechte des Kunden unter diesen Datenverarbeitungsbedingungen führt (dies wird auf angemessene Weise durch Exxas bestimmt).
16.2 Benachrichtigung über Änderungen.
Wenn Exxas beabsichtigt, diese Datenverarbeitungsbedingungen gemäss Ziffer 16.1(c) oder (d) zu ändern, wird Exxas dies dem Kunden mindestens 30Tage vor Wirksamwerden der Änderung im Voraus (oder innerhalb einer kürzeren Frist, falls dies nach anwendbarem Recht, anwendbaren Vorschriften, aufgrund einer Gerichtsentscheidung oder eine Vorgabe einer staatlichen Regulierungs-oder Aufsichtsbehörde erforderlich ist) mitteilen durch: (a) die Übermittlung einer E-Mail an die E-Mailadresse für Benachrichtigungen oder (b) durch Benachrichtigung über die Benutzeroberfläche des Auftragsverarbeiterdienstes. Wenn der Kunde einer Änderung widersprechen möchte, kann der Kunde den Vertrag durch schriftliche Mitteilung gegenüber Exxas innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Änderung durch Exxas kündigen.
Anhang 1: Gegenstand und Details zur Datenverarbeitung
Gegenstand
Bereitstellung von Auftragsverarbeiterdienste und damit in Zusammenhang stehenden technischen Supportleistungen für den Kunden durch Exxas.
Dauer der Datenverarbeitung
Während der Vertragslaufzeit und zusätzlich während eines Zeitraums zwischen dem Ende der Vertragslaufzeit und bis zur Löschung aller personenbezogenen Daten des Kunden durch Exxas in Übereinstimmung mit den vorliegenden Datenverarbeitungsbedingungen.
Art und Zweck der Datenverarbeitung
Exxas verarbeitet personenbezogene Daten des Kunden zum Zweck, dem Kunden die Auftragsverarbeiterdienste bereitzustellen und den damit im Zusammenhangstehenden technischen Support in Übereinstimmung mit diesen Datenverarbeitungsbedingungen zu erbringen. Die Datenverarbeitung durch Exxas schliesst, in Abhängigkeit davon, ob es auf den jeweiligen Auftragsverarbeiterdienst und die in Ziffer 6.2 (Weisungen des Kunden)beschriebenen Weisungen zutrifft, das Erheben, Erfassungen, Organisieren, Ordnen, Verändern, Auslesen, Verwenden, Offenlegen, Verknüpfen, Löschen oder Vernichten mit ein.
Arten personenbezogener Daten
Personenbezogene Daten des Kunden können nachfolgende Arten personenbezogener Daten umfassen:
- Online-Kennzeichnungen (einschliesslich Cookie-Kennungen)
- Namen, E-Mailadressen, Adressen, Geburtsdaten, Telefonnummern und weitere Personendaten
- Kennnummern und bereitgestellte IDs
- Bankdaten wie Kontonummern
- Fotos und Bilder, Audio- und Videoaufzeichnungen,
- Internet-Protokoll-Adressen und Gerätekennungen
Kategorien betroffener Personen
Personenbezogene Daten des Kunden betreffen die folgenden Kategorien von betroffenen Personen:
- Betroffene Personen, über die Exxas im Rahmen der Erbringung der Auftragsverarbeiterdienste personenbezogene Daten erhebt; und/oder
- Betroffene Personen, von denen personenbezogene Daten auf Veranlassung oder im Auftrag des Kunden im Zusammenhang mit den Auftragsverarbeiterdiensten an Exxas übermittelt werden.
Je nach Art des jeweiligen Auftragsverarbeiterdienstes können betroffene Personen folgende Einzelpersonen umfassen:
- (a) für die Supportanfragen gestellt wurden,
- (b)für die Dienstleistungen erbracht wurden,
- (c) für die im Auftrag des Kunden Dienstleistungen erbracht wurden,
- (d) bestimmte Webseiten oder Applikationen aufgerufen haben, für die Exxas die Auftragsverarbeiterdienste bereitgestellt und/oder
- (e) die Kunden oder Nutzer von Produkten oder Diensten des Kundensind.
Anhang 2: Sicherheitsmassnahmen
Exxas verpflichtet sich, ab dem angegebenen Datum des Vertrags die Sicherheitsmassnahmen, die in diesem Anhang 2 enthalten sind, zu implementieren und aufrechtzuerhalten. Exxas kann diese Sicherheitsmassnahmen gelegentlich aktualisieren oder ändern, vorausgesetzt dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Auftragsverarbeiterdienste führen.
1. Sicherheit der Rechenzentren und des Netzwerks
(a) Infrastruktur. Exxas betreibt geographisch verteilte Rechenzentren. Exxas speichert alle Produktionsdaten in physisch gesicherten Rechenzentren.
Redundanz. Die Infrastruktur wurden entwickelt, um Single Points of Failure (zentrale Schwachpunkte) zu beseitigen und um die Auswirkungen der zu erwartenden Umgebungsrisiken zu minimieren. Duale Stromkreise, Switches, Netzwerke oder andere erforderliche Geräte helfen, diese Redundanz zu erreichen. Die Auftragsverarbeiterdienste sind so konzipiert, dass Exxas bestimmte vorbeugende und fehlerbehebende Instandhaltungsmassnahmen ohne Unterbrechung durchführen kann. Es gibt für sämtliche Anlagen und Einrichtungen dokumentierte, vorbeugende Instandhaltungsverfahren, die ausführlich den Prozess und die Häufigkeit der Durchführung in Übereinstimmung mit den Herstellervorgaben oder internen Vorgaben beschreiben. Vorbeugende und fehlerbehebende Instandhaltungsmassnahmen der Anlagen im Rechenzentrum werden über einen Standardprozess gemäss dokumentierten Verfahren geplant.
Energie. Die Energiesysteme der Rechenzentren sind so entworfen, dass sie redundant sein sollen und gewartet werden können, ohne dass dies einen Einfluss auf den Dauerbetrieb (24 Stunden am Tag und 7 Tage die Woche) hat. In den meisten Fällen steht sowohl eine primäre als auch eine alternative Energiequelle, jeweils mit gleicher Kapazität, für kritische Infrastruktur-Komponenten in den Rechenzentren zur Verfügung. Reserveleistung wird durch verschiedene Mechanismen wie etwa unterbrechungsfreie Stromversorgungs-Batterien (USV), die beständig zuverlässigen Leistungsschutz bei Spannungsabfällen, Stromausfällen, Überspannung, Unterspannung und ausserhalb der Toleranzwerte liegende Frequenzbedingungen durch den Energieversorger bieten.
Server-Betriebssysteme. Exxas-Server verwenden gehärtete Betriebssysteme, die für die spezifischen Anforderungen des Betriebsangepasst sind. Daten werden unter Verwendung von proprietären Algorithmen gespeichert, um die Datensicherheit und Redundanz zu steigern. Exxas setzt einen Code-Überprüfungsprozess ein, um die Sicherheit des Programmiercodes, der für die Bereitstellung der Auftragsverarbeiterdienste verwendet wird, zu erhöhen und die Sicherheits-Produkte in Produktionsumgebungen zu verbessern.
Aufrechterhaltung des Betriebs. Exxas repliziert Daten über mehrere Systeme, um dazu beizutragen, die Daten vor zufälliger Zerstörung oder Verlust zu schützen. Exxas hat Pläne, um den Betrieb aufrecht zu erhalten, und Notfallwiederherstellungsprogramme entworfen. Exxas entwickelt diese weiter und testet sie.
(b) Netzwerke und Übertragung.
Datenübertragung. Rechenzentren sind in der Regel über Hochgeschwindigkeitsdirektverbindungen (High-Speed-Private-Links) verbunden, um eine sichere und schnelle Datenübertragung zwischen den Rechenzentren bereit zu stellen. Dieses Verfahren ist so entwickelt worden, dass ein unberechtigtes Auslesen, Kopieren, Verändern oder Entfernen von Daten während der elektronischen Übertragung oder des Transports oder bei der Speicherung auf Datenträgern verhindert werden soll. Exxas überträgt Daten mittels Internet-Standard-Protokollen.
Externe Angriffsfläche. Exxas unterhält mehrere Schichten von Netzwerkgeräten und Einbruchserkennungssystemen, um die externe Angriffsfläche zu sichern. Exxas zieht potenzielle Angriffsvektoren in Betracht und integriert angemessene, speziell entwickelte Technologien in von aussenerreichbare Systeme.
Einbruchserkennung. Die Massnahmen zur Einbruchserkennung zielen darauf ab, Einblicke in laufende Angriffsaktivitäten zu ermöglichen und angemessene Informationen zu liefern, um auf Vorfälle zu reagieren. Exxas’ Massnahmen zur Erkennung von Einbrüchen beinhalten:
- die strenge Überwachung der Grösse und des Aufbaus von Exxas’ Angriffsfläche durch vorbeugende Massnahmen,
- den Einsatz von intelligenten Entdeckungskontrollmassnahmen an Datenerfassungspunkten und
- den Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch abstellen.
Reaktion auf Zwischenfälle.
Exxas überwacht eine Vielzahl von Kommunikationskanälen auf Sicherheitsvorfälle. Exxas Personal wird umgehend auf bekannt gewordene Vorfälle reagieren.
Verschlüsselungstechnologien.
Exxas stellt HTTPS-Verschlüsselung (auch SSL- oder TLS-Verbindung genannt) zur Verfügung. Exxas-Server unterstützen einen auf Basis elliptischer Kurven stattfindenden Ephemeral Diffie-Hellman Austausch von RSA und ECDSA signierten Schlüsseln. Die auf perfekt vorwärts gerichtete Geheimhaltungsmethoden (perfect forwardsecrecy (PFS)) helfen, den Datenverkehr zu schützen und den Einfluss eines kompromittierten Schlüssels oder einer Durchbrechung der Verschlüsselung (cryptographic breakthrough) zu minimieren.
2. Zugangs- und Zutrittskontrollen
(a) Zutrittskontrolle.
- Vor-Ort-Überwachung der Rechenzentren. Exxas’ Rechenzentren verfügen teilweise über einen Vor-Ort-Sicherheitsdienst, der für sämtliche physischen Sicherheitsmassnahmen des Rechenzentrums 24 Stunden am Tag, 7 Tage die Woche verantwortlich ist. Das Sicherheitspersonal vor Ort kontrolliert Überwachungskameras und sämtliche Alarmanlagen. Das Sicherheitspersonalübernimmt vor Ort regelmässige Kontrollgänge innerhalb und ausserhalb des Rechenzentrums. Bei passiv überwachten Rechenzentren findet während 24 Stunden am Tag an 7 Tagen die Woche eine umfassende Videoüberwachung statt. Passivüberwachte Rechenzentren sind alarmgesichert und lösen bei Alarm einen sofortigen Einsatz aus.
- Verfahren für den Zutritt zu Rechenzentren. Exxas unterhält verschiedene Zutrittskontrollverfahren für den physischen Zugang zu Rechenzentren. Die Rechenzentren sind in Einrichtungen untergebracht, die für den Zugang Schlüssel und/oder biometrische Zugangsverfahren erfordern. Nur berechtigten Angestellten, Auftragsnehmern und Besuchern wird Zugang zu den Rechenzentren gewährt. Nur berechtigten Mitarbeitern ist es erlaubt, Zutrittsrechte zu diesen Einrichtungen zu beantragen.
- Vor Ort-Sicherheitseinrichtungen der Rechenzentren. Exxas’ Rechenzentren verfügen über ein Schliesssystem und/oder biometrisches Zutrittskontrollsystem. Überwachungskameras sind sowohl innerhalb als auch ausserhalb der Rechenzentren in Betrieb. Die Positionierung der Kameras wurde so geplant, dass sie strategische Bereiche überwachen sollen. Gesicherte Leitungen verbinden die Überwachungskameratechnik im gesamten Rechenzentrum. Die Kameras zeichnen vor Ort 24 Stunden am Tag, 7 Tage die Woche auf. Die Aufnahmen werden mindestens für 7 Tage in Abhängigkeit von den jeweiligen Aktivitäten aufbewahrt.
(b) Zugriffskontrolle.
Zugriffskontrolle und Rechteverwaltung. Administratoren und Endnutzer müssen sich über ein zentrales Authentifizierungssystem oder über ein Single Sign-On-System authentifizieren, um die Auftragsverarbeiterdienste zu nutzen.
Interne Datenzugriffsprozesse und Richtlinien –Zugriffsrichtlinien. Exxas’ interne Datenzugriffsprozesse und Richtlinien sind so gestaltet, dass Zugriffe auf Systeme, die genutzt werden, um personenbezogene Daten zu verarbeiten, durch unberechtigte Personen und/oder Systeme verhindert werden soll. Exxas ist bestrebt, die System so zu gestalten, dass: (i) nur berechtigten Personen Zugang zu den Daten gewährt wird, für die sie zugriffsberechtigt sind; und (ii) sichergestellt ist, dass personenbezogene Daten ohne entsprechende Berechtigung während ihrer Verarbeitung, Nutzung und nach ihrer Speicherung nicht gelesen, kopiert, verändert oder gelöscht werden können. Die Systeme sind darauf ausgelegt, dass sie möglichst jeden unberechtigten Zugriff erkennen sollen. Exxas setzt ein zentralisiertes Zugriffsverwaltungssystem zur Kontrolle von Mitarbeiterzugriffen auf Produktionsserver ein und gewährt nur einem beschränkten Kreis von berechtigten Mitarbeiter Zugriff. LDAP, Kerberos und ein proprietäres System, das SSH-Zertifikate einsetzt, sind so angelegt, dass Exxas über sichere und flexible Zugriffsmechanismen verfügen soll. Diese Mechanismen sind so konzipiert, dass nur mit entsprechender Berechtigung Zugriffe auf Site-Hosts, Log-Dateien, Daten und Konfigurationsinformationen gewährt werden sollen. Exxas verlangt die Benutzung singulärer Benutzer-IDs und sicherer Passwörter; die Bestätigung in zwei Schritten (two factor authentication) und sorgfältig überwachte Zugriffslisten, um die Möglichkeiten einer unberechtigten Nutzung des Accounts zu minimieren. Die Gewährung oder die Änderung von Zugriffsrechten für berechtigtes Personal basiert auf folgenden Faktoren: dem beruflichen Aufgabenbereich der jeweiligen Person, den notwendigen Anforderungen der jeweiligen Stelle, um berechtigte Aufgaben auszuführen und einer Need-to-Know-Basis. Die Gewährung oder Änderung von Zugriffsrechten mussausserdem auch in Übereinstimmung mit den Exxas’ internen Datenzugriffsrichtlinien stehen. Wo Passwörter zur Authentifizierung eingesetzt werden (z.B. zum Login an Arbeitsplatzrechnern), sind Passwortrichtlinieneingerichtet worden, die mindestens dem Industriestandard entsprechen. Diese Vorgaben umfassen Einschränkungen zur Wiederverwendung von Passwörtern und eine hinreichende Passwortstärke.
3. Daten
(a) Datenspeicherung, Isolation und Authentifizierung.
Exxas speichert die Daten in einer mandantenfähigen Umgebung (Multi-Tenant Umgebung) auf Servern, die im Eigentum von Exxas stehen. Die Daten, die Datenbanken der Auftragsverarbeiterdienste und die Architektur des Dateiverwaltungssystems werden in mehreren geographisch verteilten Rechenzentren repliziert. Exxas isoliert die individuellen Daten jedes einzelnen Kunden logisch voneinander. Für alle Auftragsverarbeiterdienste wird übergreifend ein zentrales Authentifizierungssystem genutzt, um die allgemeine Datensicherheit zu erhöhen.
(b) Stilllegung und Richtlinien zur Zerstörung von Festplatten.
Falls bei bestimmten Festplatten, die Daten enthalten, eine verminderte Leistungsfähigkeit, Fehler oder Hardwareausfälle festgestellt werden, werden die betroffenen Festplattenstillgelegt („stillgelegte Festplatte“).Jede stillgelegte Festplatte durchläuft eine Serie von Zerstörungsprozessen („Richtlinien zur Zerstörung von Daten“)bevor sie das Exxas’ Betriebsgelände entweder zur Wiederverwendung oder zur Zerstörung verlässt. Stillgelegte Festplatten werden in einem mehrstufigen Prozess gelöscht.
(c) Eingabekontrolle
Durch die restriktive Vergabe von Rechten an Mitarbeiter von Exxas wird die Eingabe, Änderung oder Entfernung von Daten in Systemen und Anwendungen zum Betrieb der Cloud Services eingeschränkt. Die Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten erfolgt auf Basis eines Berechtigungskonzepts. Exxas führt Eingaben auf Systemen der Kunden nur nach Auftrag (z.B.: auf Anweisung, im Mandat, durch Vertrag oder durch eine SLA) durch.
4. Personalsicherheit
Das Personal von Exxas ist verpflichtet, sich gemäss den Unternehmensrichtlinien über Vertraulichkeit, Unternehmensethik und sachgemässen Gebrauch sowie gemäss beruflichen Standards zu verhalten. Exxas führt im angemessenen Umfang Hintergrundüberprüfungen durch, soweit dies im Einklang mit geltendem Recht und verpflichtend geltenden anderen Gesetz entsteht.
Das Personal ist verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen und deren Erhalt und die Einhaltung von Exxas’ Vertraulichkeits- und Datenschutzbestimmungen zu bestätigen. Das Personal erhält Sicherheitsschulungen. Das Personal, das Kundendaten handhabt, muss in Abhängigkeit vom jeweiligen Aufgabenbereich zusätzliche Voraussetzungen erfüllen. Exxas’ Personal wird keine personenbezogenen Daten des Kundenverarbeiten, ohne dazu berechtigt zu sein.
5. Sicherheit bei Unterauftragsverarbeitern
Bevor Unterauftragsverarbeiter eingesetzt werden, führt Exxas zunächst eine Überprüfung der Sicherheits- und Datenschutzpraxis des Unterauftragsverarbeiters durch, um sicherzustellen, dass ein Sicherheits- und Datenschutzniveau besteht, das im angemessenen Verhältnis zum Datenzugriff und dem Umfang der beauftragten Dienstleistungen steht. Sobald Exxas die vom Unterauftragsverarbeiter dargelegten Risiken einschätzen kann, ist der Unterauftragsverarbeiter stets vorbehaltlich der in Ziffer 12.2 (Anforderungen für die Beauftragung von Unterauftragsverarbeitern) dieser Datenverarbeitungsbedingungen festgelegten Anforderungen verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzvereinbarungen abzuschliessen.
