Openstream Internet Solutions (nachfolgend «Openstream») erbringt gegenüber ihrer Kundschaft Web-Dienstleistungen in Bezug auf eine oder mehrere Websites der Kundschaft. Bei der Erbringung der Web-Dienstleistungen bearbeitet beziehungsweise verarbeitet Openstream Personendaten beziehungsweise personenbezogene Daten (nachfolgend «Verarbeitung») im Auftrag der Kundschaft (nachfolgend «Auftragsverarbeitung»).
1. Präambel
Dieser Vertrag regelt die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters im Rahmen der Verarbeitung von Personendaten gemäss dem revidierten Schweizer Datenschutzgesetz (DSG).
2. Definitionen
- Personendaten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Verarbeitung: Jeder Vorgang im Zusammenhang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren.
- Verantwortlicher: Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von Personendaten entscheidet.
- Auftragsverarbeiter: Die natürliche oder juristische Person, die Personendaten im Auftrag des Verantwortlichen verarbeitet.
3. Gegenstand und Dauer der Verarbeitung
- Gegenstand: Verarbeitung von Personendaten im Rahmen von Webentwicklungsdienstleistungen, einschliesslich, aber nicht beschränkt auf Kunden- und Kontaktdaten, Projektdaten, Nutzerdaten, Marketingdaten und Mitarbeiterdaten.
- Dauer: Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses und endet mit der Löschung oder Rückgabe der Daten gemäss den Anweisungen des Verantwortlichen.
4. Pflichten des Verantwortlichen
- Sicherstellung der Rechtmässigkeit der Verarbeitung.
- Bereitstellung der notwendigen Informationen an den Auftragsverarbeiter.
- Durchführung von Audits und Inspektionen.
5. Pflichten des Auftragsverarbeiters
- Verarbeitung der Daten nur auf dokumentierte Weisung des Verantwortlichen.
- Gewährleistung geeigneter technischer und organisatorischer Massnahmen zum Schutz der Personendaten.
- Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten.
- Meldung von Datenschutzverletzungen an den Verantwortlichen.
- Löschung oder Rückgabe der Personendaten nach Abschluss der Verarbeitung.
6. Subunternehmer
- Einbindung von Subunternehmern nur mit schriftlicher Genehmigung des Verantwortlichen.
- Verpflichtung der Subunternehmer zur Einhaltung der gleichen Datenschutzverpflichtungen.
7. Rechte der betroffenen Personen
- Unterstützung bei der Beantwortung von Anfragen und der Ausübung von Rechten durch die betroffenen Personen.
8. Technische und organisatorische Massnahmen
8.1 Verschlüsselung
- Datenverschlüsselung bei der Übertragung: Einsatz von SSL/TLS-Verschlüsselung für alle Datenübertragungen zwischen den Webservern und den Endbenutzern, um sicherzustellen, dass Daten während der Übertragung nicht abgefangen oder manipuliert werden können.
8.2 Zugangskontrollen
- Logische Zugangskontrollen: Implementierung von Authentifizierungsmechanismen wie Zwei-Faktor-Authentifizierung (2FA) und starke Passwortrichtlinien, um sicherzustellen, dass nur autorisierte Personen auf die Systeme zugreifen können.
- Rollenbasierte Zugriffssteuerung (RBAC): Zuweisung von Zugriffsrechten basierend auf den spezifischen Rollen und Verantwortlichkeiten der Mitarbeiter, um den Zugriff auf personenbezogene Daten auf das notwendige Minimum zu beschränken.
8.3 Regelmässige Sicherheitsüberprüfungen
- Sicherheitsüberprüfungen: Regelmässige interne und externe Überprüfung der IT-Systeme und Prozesse, um Schwachstellen zu identifizieren und zu beheben.
- Sicherheitsupdates und Patch-Management: Regelmässige Aktualisierung und Patchen von Software und Systemen, um sicherzustellen, dass bekannte Sicherheitslücken geschlossen werden.
8.4. Datensicherungsmassnahmen
- Regelmässige Backups: Durchführung regelmässiger Backups aller wichtigen Daten und Systeme, um im Falle eines Datenverlusts eine Wiederherstellung zu ermöglichen.
- Sicherer Aufbewahrungsort für Backups: Speicherung der Backups an sicheren, physisch getrennten Orten, um Schutz vor physischen und logischen Bedrohungen zu gewährleisten.
8.5 Netzwerksicherheit
- Firewall und Intrusion Detection Systems (IDS): Einsatz von Firewalls und IDS/IPS (Intrusion Prevention Systems), um unbefugten Zugriff und schädliche Aktivitäten zu erkennen und zu verhindern.
- VPN (Virtual Private Network): Nutzung von VPNs für den sicheren Remote-Zugriff auf interne Systeme, insbesondere bei der Arbeit aus der Ferne.
8.6 Schulung und Sensibilisierung
- Mitarbeiterhinweise: Regelmässige Hinweise für alle Mitarbeiter zu den Themen Datenschutz und IT-Sicherheit, um das Bewusstsein für Sicherheitsrisiken und den richtigen Umgang mit personenbezogenen Daten zu fördern.
9. Schlussbestimmungen
- Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder nichtig sein oder werden, berührt dieser Umstand die Wirksamkeit oder Gültigkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder nichtigen Bestimmungen treten diejenigen Bestimmungen, welche die Parteien bei Kenntnis des Mangels beim Vertragsschluss nach Treu und Glauben sowie nach wirtschaftlicher Betrachtungsweise getroffen hätten. Entsprechendes gilt im Fall etwaiger Lücken in diesem Vertrag.
- Auf allfällige aus oder im Zusammenhang mit diesem Vertrag entstehende Streitigkeiten ist ausschliesslich schweizerisches Recht anwendbar, unter Ausschluss der kollisionsrechtlichen Bestimmungen.
Ergänzung 1: Beschreibung der Datenverarbeitung
Kategorien betroffener Personen
- Kunden und potenzielle Kunden des Verantwortlichen
- Nutzer von Websites und Anwendungen, die im Rahmen der Dienstleistungen der Webagentur entwickelt werden
- Mitarbeiter des Verantwortlichen (falls zutreffend)
- Newsletter-Abonnenten und andere Marketingkontakte
Kategorien personenbezogener Daten
- Kunden- und Kontaktdaten: Name, Adresse, E-Mail-Adresse, Telefonnummer, Firmendaten
- Projektdaten: Projektanforderungen, Spezifikationen, Vertragsdetails, Kommunikationsprotokolle
- Nutzerdaten: IP-Adressen, Login-Daten, Server-Logs, Nutzungsverhalten, Geräteinformationen
- Marketingdaten: Newsletter-Abonnements, Marketingpräferenzen, Feedback und Umfragen
- Mitarbeiterdaten: Mitarbeiterprofile, interne Kommunikationsdaten
Zwecke der Verarbeitung
- Erbringung von Webentwicklungsdienstleistungen
- Webhosting und technische Unterstützung
- Durchführung von Webanalysen und Optimierung der Nutzererfahrung
- Benutzerverwaltung und Zugangskontrollen
- Marketing und Kommunikation
Ergänzung 2: Liste der Unterauftragsverarbeitenden
| 1Password, CA | Passwortverwaltung |
| Atlassian PTY, AU | Aufgaben- und Projektverwaltung, Versionskontrolle |
| Capsule, Zestia Ltd, GB | Kundenbeziehungsverwaltung |
| Google Inc, USA | E-Mail, Videokonferenzen |
| Let’s Encrypt, Internet Security Research Group, US | SSL-/TLS-Zertifikate |
| Mailchimp, The Rocket Science Group LLC, US | Newsletterversand |
| make.com, Celonis Inc, CZ | Workflow-Automatisierung |
| Slack von Salesforce, US | Kurznachrichten, Projektverwaltung |