Data Processing Agreement

Bestimmungen zur Auftragsverarbeitung personenbezogener Daten

Die folgenden Bestimmungen gelten für alle Fälle, in denen die Webrepublic AG im Zusammenhang mit vertraglichen Leistungen für den Kunden (i. f. «Vertrag») in dessen Auftrag personenbezogene Daten (i. f. «Daten») verarbeitet bzw. daran mitwirkt. Diese Auftragsverarbeitung untersteht dem Datenschutzrecht der Schweiz (Datenschutzgesetz nebst -Verordnung) und – wo anwendbar – der EU-Verordnung 2016/679 (Datenschutz-Grundverordnung, DSGVO) in der jeweils aktuellen Fassung (zusammen i.  f. «Datenschutzrecht»). Nicht Gegenstand dieses DPA sind Daten des Kunden, welche Webrepublic AG selber im Rahmen ihrer Vertrags- und Geschäftsbeziehung zum Kunden benötigt und verwendet.

 

  1. Die Aufgaben der Webrepublic AG, die Kategorien betroffener Personen und Daten und die Zwecke der Verarbeitung ergeben sich aus dem Vertrag mit dem Kunden, der die Leistungen der Webrepublic AG beschreibt. Insbesondere kann Webrepublic AG beim Management von Werbekampagnen des Kunden mittels Tools von Online-Werbedienstleistern (wie z.B. Google oder Facebook, i. f. «Dienstleister») Vorgaben und Einstellungen vornehmen, welche die Bearbeitung möglicherweise personenbezogener Daten durch diese Dienstleister betreffen. Das kann Daten wie E-Mail-Adressen, Google-/Facebook-IDs, andere Kontaktdaten, Angaben über Präferenzen, Kundenstatus, Nachfrage-/Kaufverhalten etc. von Endkunden des Kunden und Usern der Online-Dienste betreffen, welche durch diese Dienstleister zu Zwecken der gezielten Online-Werbung des Kunden verwendet werden. Spezielle Vereinbarung vorbehalten, erhält und verarbeitet Webrepublic AG selber keine personenbezogenen Daten von Endkunden oder Online-Usern.
  2. In diesem Rahmen bearbeitet die Webrepublic AG Daten bei ihren Vertragsleistungen stets im Auftrag des Kunden und nicht für eigene Zwecke (Auftragsverarbeitung); insbesondere, indem sie die Übermittlung von Daten, Instruktionen und Auswertungen zwischen den Kunden und den Dienstleistern vermittelt, welche diese bei Werbedienstleistungen für die Kunden verarbeiten. Webrepublic AG verarbeitet solche Daten und Auswertungen ausschliesslich gemäss den Vorgaben des Vertrags u.a. schriftlichen Instruktionen des Kunden. Falls Webrepublic AG zur Ansicht gelangt, dass eine Weisung des Kunden gegen das Datenschutzrecht verstösst, informiert Webrepublic den Kunden unverzüglich. Der Kunde bleibt Verantwortlicher der Datenverarbeitungen.
  3. Der Kunde weiss und willigt ein, dass solche Dienstleister Daten im Auftrag für den Kunden verarbeiten; und zwar in der Regel in einer direkten Vertragsbeziehung des Kunden mit dem Dienstleister (eigener Account des Kunden); bzw. im Sub-Auftrag durch Webrepublic AG, sofern im Einzelfall ein Account der Webrepublic AG beim Dienstleister zum Einsatz kommt. Welche Dienstleister das sind, ergibt sich jeweils aus dem Vertrag bzw. Auftrag für die Kampagne. Webrepublic AG schaltet keine Sub-Auftragsverarbeiter ein, ohne den Kunden vorab zu informieren und ihm die Möglichkeit zum Widerspruch zu geben. Mit Sub-Auftragsverarbeitern schliesst Webrepublic AG eine Vereinbarung gemäss den Vorgaben des Datenschutzrechts, in der Regel in der Form der vom Dienstleister angebotenen Datenverarbeitungs-Bestimmungen (Data Processing Terms o.ä.).
  4. Sollte Webrepublic AG durch Gerichte oder Behörden aufgefordert werden, Auftrags-Daten des Kunden herauszugeben, informiert sie darüber unverzüglich den Kunden und verweist die Behörden an diesen, sofern das gesetzlich zulässig ist.
  5. Webrepublic AG verpflichtet vorab alle mit der Datenverarbeitung betrauten Personen (sofern diese nicht ohnehin einer gesetzlichen Verschwiegenheitspflicht unterliegen) zur Vertraulichkeit; auch über das Ende ihrer Tätigkeit für Webrepublic AG hinaus.
  6. Soweit Webrepublic AG selbst Verarbeitungsschritte an Daten vornimmt oder Kenntnis von Daten erhält, ergreift sie alle gebotenen Massnahmen, um die Sicherheit der Datenverarbeitung gemäss den Vorschriften des Datenschutzrechts zu bieten; namentlich die im Annex aufgeführten.
  7. Webrepublic AG führt ein Verzeichnis ihrer Datenverarbeitungen als Auftrags-Datenverarbeiter, in dem die hier betroffenen Verarbeitungen aufgeführt sind.
  8. Der Kunde informiert sich selbst über Nutzungsbedingungen und Datenschutz-Erklärungen, mit denen die Drittanbieter betroffene Personen über Datenverarbeitungen in ihrem Bereich informieren; über die Massnahmen, die sie zur Sicherheit solcher Verarbeitung zusichern, und über die Mittel, die dort zur Verfügung stehen, damit der Kunde den gesetzlichen Rechten betroffener Personen (z.B. auf Auskunft, Berichtigung, Löschung und Widerspruch) nachkommen kann. Sollte ein Betroffener solche Anträge an Webrepublic AG richten und diese erkennbar irrtümlich für den Auftraggeber der Verarbeitung halten, leitet Webrepublic AG dies unverzüglich an den Kunden weiter und teilt das dem Antragsteller mit; Kosten, welche bei Webrepublic AG aufgrund solcher Anträge anfallen, trägt der Kunde. Webrepublic AG unterstützt den Kunden bei der Einhaltung der datenschutzrechtlichen Pflichten betreffend Datensicherheit, Meldungen von Datenschutz-Verletzungen (Data Breaches) an die Aufsichtsbehörde und Benachrichtigung davon betroffener Personen). Für Verstösse und Verfehlungen der Dienstleister übernimmt Webrepublic AG hiermit keine Verantwortung.
  9. Der Kunde kann jederzeit – nach ausreichender Voranmeldung, ohne Beeinträchtigung der Geschäftsabläufe der Webrepublic AG und unter Wahrung von Geschäftsgeheimnissen und auf eigene Kosten – in die Verarbeitung seiner Daten Einsicht nehmen und Einrichtungen, mit denen Webrepublic AG seine Daten verarbeitet, kontrollieren; auch durch Dritte in seinem Auftrag. Webrepublic AG macht dem Kunden die dafür nötigen Angaben, kann aber zur Wahrung von Geheimnissen verlangen, dass die Einsicht und Kontrolle durch einen Prüfer ausgeführt wird, der über ausreichende Expertise verfügt und zur Verschwiegenheit verpflichtet ist. Soweit Daten des Kunden bei Dritten verarbeitet werden, richten sich seine Rechte gegen diese gemäss deren Zusicherungen.
  10. Webrepublic AG wird nach Beendigung der Vertragsleistungen alle bei ihr befindlichen personenbezogenen Daten des Kunden, einschliesslich Auswertungen und Unterlagen, die solche enthalten, aushändigen, vernichten oder löschen, soweit diese nicht noch aus legitimen Gründen benötigt werden (z.B. um Rechtsansprüche geltend zu machen oder abzuwehren oder Rechtspflichten nachzukommen).
  11. Soweit Webrepublic AG selber Daten verarbeitet, kann sie dafür nach ihrer Wahl Infrastrukturen in der Schweiz und/oder innerhalb der EU und des EWR, welche wechselseitig die Angemessenheit ihres Datenschutzes anerkennen, oder Cloud-Anbieter wie z.B. Google Drive, Amazon Cloud etc.) verwenden, die durch EU/Schweiz-US-«Data Privacy Framework»-Zertifizierung, Garantieklauseln oder anderweitig ausreichende Massnahmen für den Schutz personenbezogener bieten. Für Datenverarbeitungen durch die bei Kampagnen genutzten Online-Werbedienstleister sind deren Erklärungen und deren Zusicherungen allfälliger Garantien für Verarbeitungen in Drittstaaten oder allenfalls die Einwilligung der von der Datenverarbeitung betroffenen Personen massgeblich.
  12. Diese Bestimmungen gelten, solange Webrepublic AG Vertragsleistungen für den Kunden erbringt und dabei Daten verarbeitet. Unberührt bleibt das Recht des Kunden, die Einschränkung oder Einstellung der Verarbeitung, ganz oder teilweise, zu verlangen. Macht der Kunde davon Gebrauch, ist die Webrepublic AG zu den Vertragsleistungen, welche die Datenverarbeitung erfordern, nicht weiter verpflichtet. Vergütungsansprüche der Webrepublic AG bleiben unberührt; für Haftung und Entschädigung gelten Vertrag, AGB und gesetzliche Bestimmungen.

 

Technisch-organisatorische Massnahmen 

Vertraulichkeit 

  • Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen (Schlüssel, Chipkarten, Alarmanlagen, Videoanlagen);
  • Zugangskontrolle: Schutz vor unbefugter Systembenutzung (Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern, VPN für mobilen Zugriff);
  • Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems (Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb. von administrativen Benutzerkonten);

Integrität

  • Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Protokollierung, Dokumentenmanagement);

Verfügbarkeit und Belastbarkeit 

  • Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern;
  • Rasche Wiederherstellbarkeit (regelmässige Backups)

Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung 

  • Datenschutz- und Security-Management, einschliesslich regelmässiger Mitarbeiter-Schulungen;
  • Incident-Response-Management;
  • Datenschutzfreundliche Voreinstellungen.