Meine Datenschutzerklärung

Zusatzvereinbarung zur Auftragsdatenverarbeitung gemäss Art. 28 DSGVO Zum Vertrag unter der
Kundennummer: 120033 Auftragsnummer: 9900311604
Zwischen
Frau Caroline Rüesch, Dennigkofenweg 77a, 3073 Gümligen, Schweiz
- Nachstehend Auftraggeber genannt -
Und der
Multimedia Networks AG, Kirchgasse 30, 3312 Fraubrunnen, Schweiz
- Nachstehend Auftragnehmer genannt -

Die Auftragsverarbeitungsdienste werden im Zusammenhang mit dem Hauptvertrag, welcher Hoststar – Multimedia Networks AG („Auftragnehmer“) und die andere Vertragspartei, der Kunde („Auftraggeber“) geschlossen haben, erbracht. Diese Vereinbarung wird zwischen Auftragnehmer und Auftraggeber im Rahmen eines „Click-to-Accept“ Verfahrens geschlossen und ergänzt den Hauptvertrag (Angebot / Leistungsbeschreibung, AGB).
Wenn Sie diese Vereinbarung stellvertretend für den Auftraggeber abschliessen, versichern Sie sich, dass Sie (a) rechtlich vollumfänglich dazu befugt sind, (b) diese Zusatzvereinbarung gelesen und verstanden haben und (c) für den von Ihnen vertretenen Auftraggeber die Annahmeerklärung zum Abschluss dieser Zusatzvereinbarung abgeben.
1. Gegenstand der Vereinbarung
Diese Vereinbarung enthält die Einigung der Vertragsparteien (Auftraggeber und Auftragnehmer) über die Regelungen für die Datenverarbeitung und den Weisun-gen im Zusammenhang mit den geltenden Datenschutzvorschriften. Diese werden soweit anwendbar in der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („DSGVO“) und das Bundesgesetz über den Datenschutz der Schweiz von 1992 („DSG“) geregelt.
Die Begriffe „personenbezogene Daten“, „betroffene Person“, „Verantwortlicher“, „Auftragsverarbeiter“ und „Verarbeitung“ haben in dieser Vereinbarung dieselbe Bedeutung, die ihnen in der DSGVO zugewiesen wird.
(1) Die Datenverarbeitung beinhaltet die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers. Die Art der Daten und der Kreis der Betroffenen werden dem Auftragnehmer durch den Auftraggeber gemäss der vom Auftraggeber ausgefüllten Anlage 1 beschrieben, soweit sich diese nicht aus dem Hauptvertrag ergeben.
(2) Eine Weisung ist die schriftliche Anordnung des Auftraggebers auf einen bestimmten Umgang mit personenbezogenen Daten (z. B. Anonymisierung, Sperrung, Löschung, Herausgabe) durch den Auftragnehmer. Die Weisungen werden anfänglich durch den Hauptvertrag begründet und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen ergänzt, ersetzt oder geändert werden.
2. Dauer der VereinbarungDiese Vereinbarung ist abhängig vom Bestand eines Hauptvertragsverhältnisses. Die Kündigung oder anderweitige Beendigung des Hauptvertrages beendet gleichzeitig diese Vereinbarung.
Das Recht zur isolierten, ausserordentlichen Kündigung dieser Vereinbarung sowie die Ausübung gesetzlicher Rücktrittsrechte konkret für die Vereinbarung bleiben hierdurch unberührt.
3. Pflichten des Auftragnehmers
(1) Der Auftragnehmer verpflichtet sich, Daten des Auftraggebers ausschliesslich im Rahmen des Auftrages und der Weisungen des Auftraggebers zu erheben, verarbeiten oder nutzen. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
(2) Der Auftragnehmer stellt sicher, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese angemessenen gesetzlichen Verschwiegenheitsverpflichtungen unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
(3) Der Auftragnehmer stellt sicher, dass er alle erforderlichen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage 2 zu entnehmen).
(4) Der Auftragnehmer ergreift die technischen und organisatorischen Massnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
(5) Der Auftragnehmer hat bei Verdacht auf Datenschutzverletzungen oder andere Unregelmässigkeiten, soweit die Daten des Auftraggebers betroffen sind, diesen unverzüglich zu unterrichten.
4. Pflichten des Auftraggebers
(1) Der Auftraggeber und der Auftragnehmer sind für die Einhaltung der jeweils für Sie einschlägigen Datenschutzgesetze in Bezug auf die zu verarbeitendenDaten verantwortlich.
(2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmässigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.
(3) Die Daten werden nach dem Ende des jeweiligen Vertrages gelöscht. Es obliegt dem Auftraggeber, Sicherungskopien von seinen Daten anzufertigen und die Daten vor Vertragsende umzuziehen. Eine Pflicht des Auftragnehmers zur Herausgabe besteht nicht, da der Auftraggeber selbst Zugriff auf seine Daten hat.
5. Kontrollrechte des Auftraggebers
(1) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten jederzeit das Recht auf Kontrolle auf seine eigenen Kosten der vom Auftragnehmer umgesetzten technischen und organisatorischen Massnahmen eingeräumt. Diese Kontrolle erfolgt in der Regel durch die Einholung von Selbstauskünften durch den Auftraggeber beim Auftragnehmer.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
6. Weisungsbefugnis des Auftraggebers
(1) Die Weisungen des Auftraggebers bedürfen der schriftlichen Form. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich in Textform.
(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Auffassung ist, eine Weisung verstosse gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
7. Ort der Durchführung der Datenverarbeitung
Datenverarbeitungstätigkeiten werden zumindest zum Teil auch ausserhalb der EU bzw. des EWR durchgeführt, und zwar in der Schweiz. Das angemessene Datenschutzniveau ergibt sich aus
einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO.
verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b DSGVO.
8. Sub-Auftragsverarbeiter
Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungspflichten verbundeneUnternehmen heranzieht beziehungsweise dritte Unternehmen mit Leistungen unterbeauftragt (Sub-Auftragsverarbeiter).
Der Auftragnehmer schliesst die erforderlichen Vereinbarungen im Sinne des Art 28 Abs. 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
9. Entgelte
Soweit der Auftraggeber Unterstützung nach Ziffer 3 Absatz 4 für die Beantwortung von Anfragen Betroffener benötigt, hat er die hierdurch entstehenden Kosten zu erstatten.
Soweit der Auftraggeber Kontrollrechte ausüben wird, die über den in Ziffer 5 festgelegten Selbstauskünfte hinausgehen, hat er die hierdurch entstehenden Kosten zu erstatten.
Erteilt der Auftraggeber dem Auftragnehmer Weisungen nach Ziffer 6, so hat er durch diese Weisungen entstehende Kosten zu erstatten.
Fraubrunnen am 06.07.2021
Rüesch Caroline
Anlagen
Anlage 1: Art der Daten und Kreis der Betroffenen
Anlage 2: Technische und organisatorische Massnahmen nach Art. 32 DSGVO und AnlageAnlage 1: Art der Daten und Kreis der Betroffenen 1. Art der Daten
Personenbezogenen Daten, die der Auftraggeber oder von ihm autorisierte Nutzer in den Webhosting- und Zusatzservices vom Auftragnehmer speichern.
Adressdaten Geburtsdatum Kontaktdaten Kundendaten
Es wird klargestellt, dass diese Angaben vom Auftraggeber gemacht wurden und der Auftragnehmer weder Kenntnis noch Einfluss darauf hat, welche Daten auf den Systemen des Auftraggebers tatsächlich gespeichert werden.
2. Kreis der Betroffenen
Von der Erhebung, Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung der personenbezogenen Daten betroffenen Personen.
Kunden
Es wird klargestellt, dass diese Angaben vom Auftraggeber gemacht wurden und der Auftragnehmer weder Kenntnis noch Einfluss darauf hat, wessen Daten auf den Systemen des Auftraggebers tatsächlich gespeichert werden.Anlage 2: Technische und organisatorische Massnahmen nach Art. 32 DSGVO und Anlage
1. Vertraulichkeit
1.1 Zutrittskontrolle
1.1.1 Rechenzentren elektronisches Zutrittskontrollsystem mit Protokollierung Hochsicherheitszaun um die Rechenzentren
dokumentierte Schlüsselvergabe an Mitarbeiter der Rechenzentren Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude 24/7 personelle Besetzung der Rechenzentren
Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen
Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen ist wie folgt beschränkt: nur in Begleitung eines Mitarbeiters der Rechenzentren
1.1.2 Verwaltung
elektronisches Zutrittskontrollsystem mit Protokollierung
Videoüberwachung an den Ein- und Ausgängen
1.2 Zugangskontrolle
1.2.1 bei Hauptauftrag „vServer“
Server-Passwörter, welche nur vom Auftraggeber nach erstmaliger Inbetriebnahme von ihm selbst geändert werden und dem Auftragnehmer nicht bekannt sind
Das Passwort zur Administrationsoberfläche wird vom Auftraggeber selbst vergeben - die Passwörter müssen vordefinierte Richtlinien erfüllen.
1.2.2 bei Hauptauftrag „Managed Reseller Server“, „Webhosting“
Zugang ist passwortgeschützt, Zugriff besteht nur für berechtigte Mitarbeiter vom Auftragnehmer; verwendete Passwörter müssen vordefinierte Richtlinien erfüllen.
1.2.3 bei Auftrag „Cloud“
Zugang ist passwortgeschützt, Zugriff besteht nur für berechtigte Mitarbeiter vom Auftragnehmer; verwendete Passwörter müssen vordefinierte Richtlinien erfüllen.
1.3 Zugriffskontrolle
1.3.1 bei internen Verwaltungssystemen des AuftragnehmersDurch regelmässige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
Verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers
1.3.2 bei Hauptauftrag „vServer“
Die Verantwortung der Zugriffskontrolle obliegt dem Auftraggeber.
1.3.3 bei Hauptauftrag „Managed Reseller Server“, „Webhosting“
Durch regelmässige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
Verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers
Für übertragene Daten/Software ist einzig der Auftraggeber in Bezug auf Sicherheit und Updates zuständig.
1.3.4 bei Auftrag „Cloud“
Durch regelmässige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
Verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers
1.4 Datenträgerkontrolle 1.4.1 Rechenzentren
Festplatten werden nach Kündigung mit einem definierten Verfahren mehrfach überschrieben (gelöscht). Nach Überprüfung werden die Festplatten wieder eingesetzt.
Defekte Festplatten, die nicht sicher gelöscht werden können, werden direkt im Rechenzentrum zerstört (geschreddert).
1.5 Trennungskontrolle
1.5.1 bei internen Verwaltungssystemen des Auftragnehmers
Personenbezogenen Daten werden physikalisch oder logisch von anderen Daten getrennt gespeichert.
Die Datensicherung erfolgt ebenfalls auf logisch und/oder physikalisch getrennten Systemen.
1.5.2 bei Hauptauftrag „vServer“
Die Trennungskontrolle obliegt dem Auftraggeber.
1.5.3 bei Hauptauftrag „Managed Reseller Server“, „Webhosting“
WWW.HOSTSTAR.CH
Personenbezogene Daten werden physikalisch oder logisch von anderen Daten getrennt gespeichert.
Die Datensicherung erfolgt ebenfalls auf logisch und/oder physikalischgetrennten Systemen.
1.6 Pseudonymisierung
Für die Pseudonymisierung ist der Auftraggeber verantwortlich
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) 2.1 Weitergabekontrolle
Alle Mitarbeiter sind i.S.d. Art. 32 Abs.4 DS-GVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.
Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.
Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des Hauptauftrages zur Verfügung gestellt.
2.2 Eingabekontrolle
2.2.1 bei internen Verwaltungssystemen des Auftragnehmers
Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
Änderungen der Daten werden protokolliert.
2.2.2 bei Hauptauftrag „vServer“
Die Verantwortung der Eingabekontrolle obliegt dem Auftraggeber.
2.2.3 bei Hauptauftrag „Managed Reseller Server“, „Webhosting“
Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
Änderungen der Daten werden protokolliert.
2.2.4 bei Auftrag „Cloud“
Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) 3.1 Verfügbarkeitskontrolle
3.1.1 bei internen Verwaltungssystemen des Auftragnehmers
Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten.
Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
Einsatz von Festplattenspiegelung bei allen relevanten Servern. Monitoring aller relevanten Server.
Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage. Dauerhaft aktiver DDoS-Schutz.
3.1.2 bei Hauptauftrag „vServer“Datensicherung obliegt dem Auftraggeber.
Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage. Dauerhaft aktiver DDoS-Schutz.
3.1.3 bei Hauptauftrag „Managed Reseller Server“, „Webhosting“
Backup- und Recovery-Konzept mit täglicher Sicherung der Daten je nach gebuchten Leistungen des Hauptauftrages.
Einsatz von Festplattenspiegelung.
Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage. Einsatz von Softwarefirewall und Portreglementierungen. Dauerhaft aktiver DDoS-Schutz.
3.1.4 bei Auftrag „Cloud“
Einsatz von Festplattenspiegelung.
Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage. Einsatz von Softwarefirewall und Portreglementierungen. Dauerhaft aktiver DDoS-Schutz.
3.2 Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.
4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Incident-Response-Management ist vorhanden.
Datenschutzfreundliche Voreinstellungen werden bei Softwareentwicklungen berücksichtigt (Art. 25 Abs. 2 DS-GVO).
4.1 Auftragskontrolle
WWW.HOSTSTAR.CH
Unsere Mitarbeiter werden in regelmässigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers. Die AGB enthalten detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers.
Die AGB enthalten detaillierte Angaben über die Zweckbindung der personenbezogenen Daten des Auftraggebers.
HOSTSTAR - MULTIMEDIA NETWORKS AG KIRCHGASSE 30 CH-3312 FRAUBRUNNEN T+41 84 800 80 80 F+41 31 760 10 44 ORDER@HOSTSTAR.CH