Vereinbarung zur Datenverarbeitung
Zuletzt geändert: 23. September 2024
Diese Vereinbarung zur Datenverarbeitung („Vereinbarung“) ist Teil des Vertrages über Dienstleistungen gemäß den Allgemeinen Geschäftsbedingungen von Proton AG (das „Hauptabkommen“) zwischen Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz, Firmenidentifikationsnummer CHE-354.686.492 (im Folgenden als der „Auftragsverarbeiter“ bezeichnet) und dem Unternehmen, das die Dienste von Proton in Anspruch nimmt (im Folgenden als das „Unternehmen“).
Diese Vereinbarung regelt die spezifischen Anforderungen der Datenschutzgesetze, soweit die Nutzung der Proton-Dienste des Unternehmens eine Verarbeitung personenbezogener Daten gemäß den Datenschutzgesetzen impliziert.
Diese Vereinbarung ergänzt unsere Datenschutzerklärung, die als primäre Referenz für unsere Datenschutzpraktiken und -maßnahmen dient.
Die Laufzeit dieser Vereinbarung folgt der Laufzeit der Hauptvereinbarung. Begriffe, die hierin nicht definiert sind, haben die in der Hauptvereinbarung festgelegte Bedeutung.
PRÄAMBEL
A) Das Unternehmen agiert als Datenverantwortlicher (der „Verantwortliche“).
B) Das Unternehmen möchte bestimmte Dienstleistungen (wie nachstehend definiert) an Proton AG, der als Datenverarbeiter (der „Auftragsverarbeiter“) fungiert, vergeben, die die Verarbeitung personenbezogener Daten implizieren.
C) Die Parteien beabsichtigen, eine Datenverarbeitungsvereinbarung zu implementieren, die den Anforderungen des aktuellen rechtlichen Rahmens in Bezug auf die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) und anderen anwendbaren Datenschutzgesetzen entspricht.
D) Die Parteien möchten ihre Rechte und Pflichten festlegen.
ES WIRD WIE FOLGT VEREINBART:
1. Definitionen und Auslegung
Sofern hier nicht anders definiert, haben großgeschriebene Begriffe und Ausdrücke in dieser Datenverarbeitungsvereinbarung die folgende Bedeutung:
1.1) „Vereinbarung“ bedeutet diese Datenverarbeitungsvereinbarung und alle Anhänge;
1.2) „Unternehmenspersonenbezogene Daten“ bezeichnet alle personenbezogenen Daten, die sich auf das Unternehmen oder die Kunden oder Mitarbeiter des Unternehmens beziehen und in Verbindung mit der Hauptvereinbarung verarbeitet werden;
1.3) „Vertraglicher Auftragsverarbeiter“ bezeichnet einen Unterauftragsverarbeiter;
1.4) „Datenschutzgesetze“ bezeichnet die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutz- oder Privatsphäregesetze eines anderen Landes;
1.5) „EWR“ bezeichnet den Europäischen Wirtschaftsraum;
1.6) „EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, wie sie in das nationale Recht jedes Mitgliedstaates umgesetzt und von Zeit zu Zeit geändert, ersetzt oder überarbeitet wurde, einschließlich der DSGVO und den Gesetzen, die die DSGVO umsetzen oder ergänzen;
1.7) „DSGVO“ bedeutet die EU-Allgemeine Datenschutzverordnung 2016/679;
1.8) „Datenübertragung“ bedeutet:
- 1.8.1) eine Übertragung der unternehmenspersonenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter oder einen vertraglichen Auftragsverarbeiter; oder
- 1.8.2) eine weitere Übertragung der unternehmenspersonenbezogenen Daten vom Auftragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Unterauftragsverarbeiters;
1.9) "Dienste" bezeichnet die von dem Auftragsverarbeiter bereitgestellten sicheren Onlinedienste, wie E-Mail, Kalender, Drive und andere Dienste, die vom Auftragsverarbeiter entwickelt wurden. Die Einzelheiten und Preise der Dienste finden Sie auf der Website des Auftragsverarbeiters.
1.10) „Unterauftragsverarbeiter“ bezeichnet jede Person, die vom Auftragsverarbeiter oder in dessen Auftrag ernannt wurde, um personenbezogene Daten im Namen des Verantwortlichen im Zusammenhang mit der Vereinbarung zu verarbeiten.
Die Begriffe „Kommission“, „Verantwortlicher“, „Betroffener“, „Mitgliedstaat“, „personenbezogene Daten“, „Datenleck“, „Verarbeitung" und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der DSGVO oder anderen anwendbaren Datenschutzgesetzen und ihre verwandten Begriffe sind entsprechend auszulegen.
2. Verarbeitung der unternehmenspersonenbezogenen Daten
Der Auftragsverarbeiter soll:
2.1) alle anwendbaren Datenschutzgesetze bei der Verarbeitung der unternehmenspersonenbezogenen Daten einhalten;
2.2) und keine unternehmenspersonenbezogenen Daten anders verarbeiten als auf dokumentierte Anweisungen des Verantwortlichen in Abschnitt 2.
Der Verantwortliche weist den Auftragsverarbeiter an, die Unternehmenspersonenbezogenen Daten zu verarbeiten, um:
2.3) die Dienste und die entsprechenden technischen Supportleistungen bereitzustellen;
2.4) gesetzliche Verpflichtungen zu erfüllen oder Streitigkeiten zu lösen;
2.5) interne Aufgaben zur Optimierung der Sicherheit, Privatsphäre, Vertraulichkeit und Funktionalitäten der Dienste durchzuführen;
2.6) interne Berichterstattung, Finanzberichterstattung und andere ähnliche interne Aufgaben durchzuführen.
3. Personal des Auftragsverarbeiters
Der Auftragsverarbeiter wird angemessene Schritte unternehmen, um die Zuverlässigkeit von Mitarbeitern, Vertretern oder Auftragnehmern eines vertraglichen Auftragsverarbeiters, die Zugang zu den Unternehmenspersonenbezogenen Daten haben, sicherzustellen, und in jedem Fall sicherstellen, dass der Zugang streng auf die Personen beschränkt ist, die die relevanten unternehmenspersonenbezogenen Daten aus den zwingenden Gründen der Hauptvereinbarung kennen müssen und/oder zur Einhaltung der Datenschutzgesetze und anderer relevanter Gesetze im Rahmen der Pflichten dieser Personen gegenüber dem vertraglichen Auftragsverarbeiter, wobei sichergestellt wird, dass alle solchen Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verpflichtungen zur Vertraulichkeit unterliegen.
4. Sicherheit
Gemäß Artikel 32 (1) der DSGVO wird der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen umsetzen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist, unter Berücksichtigung des Stands der Technik, der Kosten der Umsetzung sowie der Natur, des Umfangs, des Kontexts und der Zwecke der Verarbeitung. Diese Maßnahmen sind darauf ausgelegt, die Rechte und Freiheiten natürlicher Personen zu schützen, wobei die Risiken unterschiedlicher Wahrscheinlichkeit und Schwere zu berücksichtigen sind, einschließlich des Risikos eines Datenlecks.
Der Auftragsverarbeiter wird außerdem die mit den Verarbeitungstätigkeiten verbundenen Risiken bewerten und Maßnahmen ergreifen, die den Anforderungen gemäß Artikel 32 (1) der DSGVO entsprechen, und sicherstellen, dass die unternehmenspersonenbezogenen Daten jederzeit gesichert sind.
5. Unterauftragsverarbeitung
Vorbehaltlich dieser Vereinbarung erteilt das Unternehmen dem Auftragsverarbeiter die allgemeine Erlaubnis, Unterauftragsverarbeiter einzusetzen und unternehmenspersonenbezogene Daten an sie offenzulegen oder zu übertragen. Das Unternehmen erkennt die Liste der Unterauftragsverarbeiter an und genehmigt diese, die in der Datenschutzerklärung des Auftragsverarbeiters aufgeführt sind, und versteht, dass diese Liste regelmäßig vom Auftragsverarbeiter aktualisiert werden kann. In diesem Fall wird das Unternehmen von dem Auftragsverarbeiter gemäß dem Verfahren zur Benachrichtigung in der Datenschutzerklärung informiert. Darüber hinaus autorisiert das Unternehmen den Auftragsverarbeiter, personenbezogene Daten an jedes Unternehmen innerhalb seiner Unternehmensgruppe weiterzugeben und zu übertragen.
Der Auftragsverarbeiter stellt sicher, dass die Unterauftragsverarbeiter einem Vertrag mit dem Auftragsverarbeiter unterliegen, der in Bezug auf den Schutz der unternehmenspersonenbezogenen Daten nicht weniger restriktiv und schützend ist als die vorliegende Vereinbarung, insbesondere im Hinblick auf die Natur der von dem Subverarbeiter erbrachten Dienstleistungen.
6. Rechte der Betroffenen
Unter Berücksichtigung der Art der Verarbeitung wird der Auftragsverarbeiter das Unternehmen angemessen dabei unterstützen, den Verpflichtungen des Unternehmens nachzukommen, um auf Anfragen zur Ausübung der Rechte von Betroffenen gemäß den Datenschutzgesetzen zu reagieren.
Der Auftragsverarbeiter soll:
6.1) das Unternehmen unverzüglich benachrichtigen, wenn es eine Anfrage eines Betroffenen unter einem Datenschutzgesetz bezüglich der unternehmenspersonenbezogenen Daten erhält; und
6.2) sicherstellen, dass es auf diese Anfrage nur auf dokumentierte Anweisungen des Verantwortlichen oder wie von den anwendbaren Gesetzen, denen der Auftragsverarbeiter unterliegt, erforderlich antwortet, in welchem Fall der Auftragsverarbeiter, soweit dies durch die anwendbaren Gesetze zulässig ist, den Verantwortlichen vor der Beantwortung der Anfrage über diese gesetzliche Anforderung informiert.
7. Datenleck
Der Auftragsverarbeiter wird jedes Datenleck in Übereinstimmung mit den geltenden Datenschutzgesetzen und seinen internen Verfahren für Datenpannen verwalten. Im Falle eines Datenlecks, das personenbezogene Daten des Unternehmens betrifft, wird der Auftragsverarbeiter das Unternehmen unverzüglich benachrichtigen und ausreichende Informationen bereitstellen, damit das Unternehmen seinen Verpflichtungen gemäß den Datenschutzgesetzen nachkommen kann, einschließlich der notwendigen Information der Betroffenen. In solchen Fällen wird der Auftragsverarbeiter dem Unternehmen ausreichende Informationen zur Verfügung stellen, damit das Unternehmen seinen Verpflichtungen zur Meldung oder Information der Betroffenen über das Datenleck gemäß den Datenschutzgesetzen nachkommen kann.
Der Auftragsverarbeiter wird mit dem Unternehmen kooperieren und angemessene wirtschaftliche Schritte unternehmen, die vom Unternehmen angeordnet werden, um bei der Untersuchung, Minderung und Behebung jedes solchen Datenlecks zu unterstützen.
Jede Partei trägt die Kosten für die Untersuchung, Behebung, Minderung und andere damit verbundene Kosten, soweit ein Datenleck von dieser Partei verursacht wurde.
Jede Partei trägt die Kosten für etwaige Geldbußen, Strafen, Schadensersatz oder andere damit verbundene Beträge, die von einer autorisierten Regulierungsbehörde, einer Regierungsbehörde oder einem zuständigen Gericht verhängt werden, soweit diese aus einem Verstoß dieser Partei gegen ihre Verpflichtungen gemäß dieser Vereinbarung resultieren.
8. Datenschutz-Folgenabschätzung und vorherige Konsultation
Der Auftragsverarbeiter wird dem Unternehmen angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden bieten, die der Verantwortliche vernünftigerweise als erforderlich erachtet, gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze, jeweils ausschließlich in Bezug auf die Verarbeitung von unternehmenspersonenbezogenen Daten und unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem vertraglichen Auftragsverarbeiter zur Verfügung stehen.
9. Löschung oder Rückgabe der unternehmenspersonenbezogenen Daten
Im Falle der Beendigung eines Dienstes, der die Verarbeitung von unternehmenspersonenbezogenen Daten beinhaltet, wird der Auftragsverarbeiter alle unternehmenspersonenbezogenen Daten löschen, soweit dies durch die geltenden Gesetze erlaubt ist und gemäß den Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung des Auftragsverarbeiters. Sollte das Unternehmen eine Kopie seiner Daten benötigen, muss es diese vor der Löschung seines Kontos anfordern; Anfragen, die nach der Löschung des Kontos gestellt werden, können nicht mehr berücksichtigt werden.
10. Prüfrechte
Vorbehaltlich dieses Abschnitts 10 wird der Auftragsverarbeiter dem Unternehmen auf Anfrage alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung dieser Vereinbarung nachzuweisen, und wird Audits, einschließlich Inspektionen, durch das Unternehmen oder einen vom Unternehmen beauftragten Prüfer in Bezug auf die Verarbeitung der unternehmenspersonenbezogenen Daten durch die vertraglichen Auftragsverarbeiter gestatten und unterstützen. Das Unternehmen wird seine Prüfungsrechte nicht mehr als einmal pro Kalenderjahr ausüben, es sei denn, dies folgt auf ein Datenleck oder eine Anweisung einer Aufsichtsbehörde. Das Unternehmen unterrichtet den Auftragsverarbeiter mindestens sechzig (60) Tage im Voraus schriftlich über seine Absicht, den Auftragsverarbeiter gemäß dieser Vereinbarung zu überprüfen. Die Prüfung wird während der Geschäftsstunden des Auftragsverarbeiters durchgeführt, darf den Betrieb des Auftragsverarbeiters nicht stören und muss den Schutz der personenbezogenen Daten des Unternehmens, des Auftragsverarbeiters und anderer Betroffener gewährleisten. Der Auftragsverarbeiter und das Unternehmen müssen sich im Voraus über Datum, Umfang, Dauer sowie Sicherheits- und Vertraulichkeitskontrollen, die für die Prüfung gelten, einig werden. Das Unternehmen erkennt an, dass die Unterzeichnung einer Vertraulichkeitsvereinbarung möglicherweise vom Verantwortlichen vor der Durchführung der Prüfung erforderlich ist.
Die Informationen und Prüfungsrechte des Unternehmens ergeben sich nur im Rahmen dieses Abschnitts 10, soweit die Vereinbarung dem Unternehmen nicht anderweitig Informationen und Prüfungsrechte gewährt, die den Anforderungen des Datenschutzrechts entsprechen.
11. Datenübertragung
Soweit möglich, wird der Auftragsverarbeiter personenbezogene Daten nur in Länder innerhalb der Schweiz, der EU und/oder Länder mit einer Angemessenheitsentscheidung übertragen oder diese übertragen lassen, wie in Art. 45 DSGVO und Art. 16 Schweiz. FADP vorgesehen. 45 DSGVO und Art. 16 Schweiz. FADP. Wenn personenbezogene Daten, die gemäß dieser Vereinbarung verarbeitet werden, aus der Schweiz oder einem EU-Land oder einem Land mit einer Angemessenheitsentscheidung in ein Land außerhalb dieses Rahmens übertragen werden, stellen die Parteien sicher, dass die personenbezogenen Daten angemessen geschützt sind. Dazu verlassen sich die Parteien, sofern nicht anders vereinbart, auf die in der Schweiz und/oder der EU und/oder dem Vereinigten Königreich genehmigten und dann aktuellen Standardvertragsklauseln für die Übertragung personenbezogener Daten oder andere Übertragungsmechanismen gemäß den Datenschutzgesetzen. Der Auftragsverarbeiter ist befugt, solche Übertragungen an Unterauftragsverarbeiter durchzuführen, sofern angemessene Schutzmaßnahmen in Bezug auf die Art der Übertragung implementiert sind.
12. Allgemeine Bedingungen
Einhaltung geltender Gesetze. Der Auftragsverarbeiter wird die unternehmenspersonenbezogenen Daten gemäß dieser Vereinbarung und den Datenschutzgesetzen, die für seine Rolle gemäß dieser Vereinbarung anwendbar sind, verarbeiten. Der Auftragsverarbeiter ist weder verantwortlich noch haftbar für die Einhaltung von Datenschutzgesetzen, die ausschließlich aufgrund der Geschäftstätigkeit oder der Branche des Unternehmens auf das Unternehmen anwendbar sind.
Vertraulichkeit. Jede Partei muss alle Informationen, die sie über die andere Partei und deren Geschäfte im Zusammenhang mit dieser Vereinbarung erhält („Vertrauliche Informationen“) vertraulich behandeln und darf diese Vertraulichen Informationen nicht ohne vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, es sei denn:
(a) die Offenlegung ist gesetzlich vorgeschrieben;
(b) die betreffenden Informationen sind bereits ohne Verschulden der Parteien öffentlich bekannt.
Mitteilungen. Alle Mitteilungen und Kommunikationen, die im Rahmen dieser Vereinbarung erfolgen, müssen schriftlich erfolgen und werden per E-Mail versendet. Der Controller wird per E-Mail benachrichtigt, die an die Adresse gesendet wird, die mit seiner Nutzung der Dienste unter dem Hauptvertrag verbunden ist. Der Prozessor wird per E-Mail benachrichtigt, die an die Adresse: [email protected] gesendet wird.
Anwendbares Recht und Gerichtsstand. Diese Vereinbarung unterliegt dem Schweizer Recht, ohne Rücksicht auf die Wahl- oder Konfliktrechtsbestimmungen einer entgegenstehenden Gerichtsbarkeit, und strittige, Klagen, Ansprüche oder Klagegründe, die aus dieser Vereinbarung, einem Bestellformular, einem in Bezug genommenen Dokument, der Proton-Technologie oder den Diensten ergeben, unterliegen der ausschließlichen Gerichtsbarkeit von Genf, Schweiz.