The Data Processing Agreement specifies your and FortIT's rights and obligations with respect to the processing and security of Customer Data and Personal Data in connection with fortControl.
Available in German only.
Version: 1.0
Valid from: September 1, 2023
1.1.1. Dieser Zusatz zur Auftragsdatenbearbeitung («Zusatz») konkretisiert die Rechte und Pflichten der Parteien in Bezug auf die Auftragsbearbeitung, die sich für sie aus dem anwendbaren Datenschutzrecht ergeben. Sie ergänzt diesbezüglich den Nutzungsvertrag zwischen den Parteien in Bezug auf die Bereitstellung der Plattform fortControl (FORTCONTROL) für den Kunden («Vertrag»).
1.1.2. Dieser Zusatz gilt nur in Bezug auf Dienstleistungen, bei denen FortIT Personendaten im Auftrag und für Zwecke des Kunden bearbeitet («Auftragsbearbeitung»), wobei der Kunde entweder Verantwortlicher oder Auftragsbearbeiter und FortIT entweder Auftragsbearbeiter oder Unter-Auftragsbearbeiter ist.
1.1.3. Dieser Zusatz ist ein integraler Bestandteil des Vertrags. Die Bestimmungen dieses Zusatzes schränken die Rechte und Pflichten der Parteien in Bezug auf die Erbringung der Dienstleistungen unter dem Vertrag nicht ein. Ihren Regelungsgegenstand betreffend gehen die Bestimmungen dieses Zusatzes indes den Bestimmungen des Vertrags vor.
1.2.1. Die Laufzeit dieses Zusatzes entspricht der Dauer des Vertrags, sofern sich aus den Bestimmungen dieses Zusatzes keine zeitlich darüber hinausgehenden Verpflichtungen ergeben. Bei solchen überdauernden Verpflichtungen besteht dieser Zusatz solange fort, bis die entsprechenden Verpflichtungen erloschen sind.
1.2.2. Durch diese Regelung modifizieren die Parteien nicht die im Vertrag vereinbarten Kündigungsrechte.
1.3.1. Die in diesem Zusatz in Fettschrift hervorgehobenen und in Anführungs- und Schlusszeichen gesetzten Begriffe haben im gesamten Zusatz die ihnen darin zugeschriebene Bedeutung.
1.3.2. Die in diesem Zusatz verwendeten datenschutzbezogenen Begriffe wie «Personendaten» (personenbezogene Daten), «betroffene Person», «Verantwortlicher», «Auftragsbearbeiter», oder «Datenschutz- Folgenabschätzung» haben die ihnen im Schweizer DSG bzw. (wo anwendbar) in der EU-DSGVO zugeschriebene Bedeutung.
2.1.1. Gegenstand und Zweck der Auftragsbearbeitung ist die Bereitstellung von FORTCONTROL, in Form einer Software als Dienstleistung (SaaS) für den Kunden.
2.1.2. Die Auftragsbearbeitung betrifft die vom Kunden oder dessen Nutzer bei der Nutzung von FORTCONTROL hochgeladenen, eingegebenen, bereitgestellten, gespeicherten oder bearbeiteten Arten von Personendaten («vertragsgegenständliche Personendaten”). Details zu den vertragsgegenständlichen Personendaten und zum Kreis(Kategorien) betroffener Personen ergeben sich aus dem Vertrag und den Leistungsbeschreibungen in Verbindung mit allfälligen separaten Weisungen des Kunden.
2.1.3. Die Auftragsbearbeitung besteht in der Speicherung und Bereitstellung der vertragsgegenständlichen Personendaten bei der Erbringung der SaaS-Leistungen für den Kunden.
2.1.4. Soweit im Vertrag nicht abweichend geregelt, erfolgt die Auftragsbearbeitung in der Schweiz und in Staaten der EU/des EWR sowie weltweit, wobei die Anbieterin die datenschutzrechtliche Zulässigkeit der Weiterübermittlung an bestehende oder gemäss Ziff. 2.7.3 neu hinzutretende Unter-Auftragsbearbeiter in Staaten ohne angemessenes Datenschutzniveau durch Abschluss von EU-Standardvertragsklauseln (Modul 3) sicherstellt.
2.1.5. Die Dauer der Bearbeitung bestimmt sich nach Ziffer 1.2.
FortIT verpflichtet sich und sichert zu, dass FortIT alle vertragsgegenständlichen Personendaten (i) ausschliesslich zu den in Ziffer 2.1 beschriebenen Zwecken, (ii) in Übereinstimmung mit dem Vertrag und den Weisungen des Kunden sowie (iii) in Übereinstimmung mit diesem Zusatz bearbeitet; und (iv) darüber hinaus nicht für eigene Zwecke verwendet.
2.3.1. FortIT verpflichtet sich, im Interesse der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit der vertragsgegenständlichen Personendaten angemessene technische und organisatorische Schutzmassnahmen zu treffen.
2.3.2. FortIT implementiert hierzu Zugangskontrollen, Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt FortIT den Stand der Technik, die Implementierungskosten sowie die Art, den Umfang, die Umstände und die Zwecke der Bearbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen.
2.4.1. Wenn FortIT eine Verletzung der Sicherheit bemerkt, die darin besteht, dass vertragsgegenständliche Personendatenunbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oderzugänglich gemacht werden («Verletzung der Datensicherheit»), wird FortIT die Verletzung der Datensicherheit so rasch als möglich und ohne schuldhaftes Zögern dem Kunden melden. FortIT wird die Verletzung der Datensicherheit sodann (ii) untersuchen und die Auswirkungen ermitteln, (iii) den Kunden detailliert über die Verletzung der Datensicherheit informieren und (iv) angemessene Massnahmen ergreifen, um die Auswirkungen zu mildern und das Risiko, das sich aus der Verletzung der Datensicherheit für betroffene Personen möglicherweise ergibt, so gering wie möglich zu halten.
2.4.2. FortIT wird den Kunden in angemessener Weise unterstützen, um den Kunden bei der Erfüllung seiner Verpflichtungen zu unterstützen, Verletzungen der Datensicherheit an zuständige Aufsichtsbehörden oder an betroffene Personen zu melden.
2.5.1. FortIT verpflichtet sich, den Kunden so rasch als möglich und von sich aus zu informieren, (i) wenn FortIT der Ansicht ist, dass FortIT in absehbarer Zeit nicht mehr in der Lage ist, den Pflichten gemäss diesem Zusatz nachzukommen; sowie (ii)über jede Anfrage zur Ausübung von Betroffenenrechten, welche FortIT direkt von betroffenen Personen in Bezug auf vertragsgegenständliche Personendaten erhalten hat (vorausgesetzt, FortIT kann eine Zuordnung an den Kunden gestützt auf die Angaben der betroffenen Person vornehmen; andernfalls wird FortIT die betroffene Person bitten, sich an den für die Datenbearbeitung Verantwortlichen zu wenden).
2.5.2. FortIT wird den Kunden auf Anfrage und gegen separate Vergütung bei der Beantwortung von Anfragen betroffener Personen zur Ausübung datenschutzrechtlicher Betroffenenrechte unterstützen.
2.5.3. Zudem wird FortIT den Kunden auf Anfrage und gegen separate Vergütung bei Datenschutz- Folgenabschätzungen und vorherigen Konsultationen von Datenschutzaufsichtsbehörden unterstützen.
2.5.4. FortIT stellt dem Kunden alle Informationen zur Verfügung, welche dieser vernünftigerweise für den Nachweis der Einhaltung seiner Verpflichtungen aus dem anwendbaren Datenschutzrecht in Bezug auf die Auftragsbearbeitung benötigt.
2.6.1. FortIT verpflichtet sich zur Geheimhaltung der vertragsgegenständlichen Personendaten und hat die mit der Auftragsbearbeitung betrauten Personen zur Wahrung der Vertraulichkeit zu verpflichten.
2.6.2. Diese Geheimhaltungsverpflichtungen gelten nach Beendigung des Vertrags für unbeschränkte Dauer weiter.
2.7.1. Unter-Auftragsbearbeiter sind natürliche oder juristische Personen, welche FortIT für die Auftragsbearbeitung beizieht. FortIT ist berechtigt, Unter-Auftragsbearbeiter beizuziehen. FortIT ist in solchen Fällen verpflichtet, mit Unter-Auftragsbearbeitern im erforderlichen Umfang eine Vereinbarung über die (Unter-)Auftragsbearbeitung zu treffen, die FortIT die Einhaltung der Bestimmungen des vorliegenden Zusatzes ermöglicht. Dies beinhaltet auch die Überbindung der Geheimhaltungspflichten von FortIT auf den Unter- Auftragsbearbeiter.
2.7.2. FortIT setzt die folgenden Unter-Auftragsbearbeiter ein:
2.7.3. FortIT wird den Kunden frühzeitig vorab in geeigneter Weise schriftlich informieren, wenn FortIT nach Inkrafttreten des Vertrags beabsichtigt, neue Unter-Auftragsbearbeiter beizuziehen oder bestehende auszutauschen. Wenn der Kunde dem Beizug bzw. Austausch des Unter-Auftragsbearbeiters nicht innerhalb von dreissig (30) Tagen nach dem Datum der Mitteilung schriftlich widerspricht, gilt der neue oder ausgetauschte Unter- Auftragsbearbeiter als genehmigt.
FortIT wird die vertragsgegenständlichen Personendaten nach Beendigung des Vertrags nach Massgabe der diesbezüglichen Bestimmungen im Vertrag löschen oder, wenn dieser dies wünscht, in einem geeigneten Format an den Kunden zurückgeben.