Allgemeine Geschäftsbedingungen (AGB)
Allgemeine Geschäftsbedingungen (AGB)
Allgemeine Geschäftsbedingungen (AGB)
1. Geltungsbereich
Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Angebote, Lieferungen und Leistungen von datahub gmbh („Layer“) und sind Bestandteil sämtlicher Verträge, die Layer mit ihren Kunden abschliesst. Abweichende Geschäftsbedingungen des Kunden finden keine Anwendung, es sei denn, Layer hat deren Geltung ausdrücklich schriftlich zugestimmt.
2. Vertragsgegenstand
Diese AGB regeln die Bereitstellung von wiederkehrenden Dienstleistungen und Produkten durch Layer, insbesondere im Bereich von Lizenzkosten für Softwareprodukte (z.B. Matomo+, Superset+), Guided Analytics sowie Data Support.
3. Zahlungsmodalitäten
3.1. Vorausverrechnung
Lizenzkosten und wiederkehrende Dienstleistungen können von Layer bis zu drei Monate im Voraus, entsprechend einem Quartalsrhythmus, in Rechnung gestellt werden. Die Berechnungen basieren auf dem in der Offerte festgelegten Leistungsumfang.
3.2. Rechnungsstellung und Fälligkeit
Rechnungen zu wiederkehrenden Kosten (Guided Analytics, Data Support) und Lizenzkosten werden quartalsweise im Voraus ausgestellt und sind 30 Tage nach Erhalt fällig, sofern nicht anders vereinbart. Zahlungen sind fristgerecht und ohne Abzüge zu leisten.
3.3. Zusätzliche Kosten
Kosten für externe Leistungen, wie z.B. Hostinggebühren oder zusätzliche Lizenzkosten, die aufgrund einer überdurchschnittlichen Nutzung der Services anfallen, werden gesondert ausgewiesen und nachträglich in Rechnung gestellt. Layer wird den Kunden frühzeitig über solche zusätzlichen Kosten informieren.
4. Leistungsumfang und zusätzliche Stunden
4.1. Leistungsumfang
Der Umfang der zu erbringenden Dienstleistungen ergibt sich aus der jeweiligen Offerte. Änderungen oder Erweiterungen bedürfen der schriftlichen Zustimmung beider Parteien.
4.2. Zusätzliche Stunden
Sollte sich während der Vertragsausführung zeigen, dass der vereinbarte Stundenumfang überschritten wird, informiert Layer den Kunden unverzüglich. Weitere Stunden werden zum festgelegten Stundensatz der Offerte in der nächsten Abrechnungsperiode in Rechnung gestellt.
4.3. Externe Hosting Gebühren (Google Cloud)
Bei der Nutzung von Google Cloud für Dienstleistungen werden dem Kunden zusätzliche Kosten berechnet, wenn das von Google kostenlos zur Verfügung gestellte Kontingent überschritten wird. Diese Kosten werden in der folgenden Abrechnungsperiode weiterbelastet. Layer informiert den Kunden, sobald absehbar ist, dass das Limit überschritten wird, übernimmt jedoch keine Haftung für die Höhe der entstehenden Google-Kosten.
5. Vertragslaufzeit und Kündigung
5.1. Vertragsdauer
Der Vertrag beginnt mit Annahme der Offerte und läuft auf unbestimmte Zeit, sofern kein Enddatum vereinbart wurde.
5.2. Kündigung
Der Vertrag kann von beiden Parteien mit einer Frist von 30 Tagen zum Quartalsende schriftlich gekündigt werden.
5.3. Änderung der Dienstleistungen und Preise
Layer behält sich das Recht vor, Dienstleistungen und Preise anzupassen. Änderungen werden dem Kunden mindestens 60 Tage im Voraus mitgeteilt. Bei Preisanpassungen steht dem Kunden ein Sonderkündigungsrecht zu.
6. Gewährleistung und Haftung
Layer erbringt die vertraglich vereinbarten Dienstleistungen nach bestem Wissen und Gewissen. Layer haftet nicht für Störungen oder Ausfälle, die ausserhalb ihres Einflussbereichs liegen, insbesondere nicht für Ausfälle der Infrastruktur von Drittanbietern wie Google Cloud.
7. Vertraulichkeit
Beide Parteien verpflichten sich, alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen streng vertraulich zu behandeln und ausschliesslich im Rahmen der vereinbarten Dienstleistungen zu verwenden.
8. Geheimhaltung
Layer und der Kunde verpflichten sich, alle Betriebs- und Geschäftsgeheimnisse der anderen Partei streng vertraulich zu behandeln, es sei denn, diese Informationen sind bereits öffentlich bekannt oder werden von Dritten rechtmässig ohne Vertraulichkeitsverpflichtung erhalten. Diese Verpflichtung gilt auch nach Beendigung des Vertrags.
9. Haftungsbeschränkung
Layer haftet nur bei Vorsatz oder grober Fahrlässigkeit für direkte Schäden. Eine Haftung für indirekte Schäden, Folgeschäden oder entgangenen Gewinn ist ausgeschlossen. Sollte eine gesetzliche Haftung nicht vollständig ausgeschlossen werden können, ist diese auf die Höhe des Auftragsvolumens begrenzt. Diese Beschränkung gilt auch für die Mitarbeiter von Layer.
10. Datenschutz
Layer verarbeitet die Daten des Kunden gemäss den geltenden datenschutzrechtlichen Bestimmungen. Nähere Informationen dazu sind in der Datenschutzerklärung auf der Website von Layer einsehbar.
11. Auftragsdatenverarbeitung (ADV)
11.1. Geltungsbereich
Dieser Abschnitt regelt die Auftragsdatenverarbeitung nach den Bestimmungen des anwendbaren Datenschutzgesetzes, insbesondere der DSGVO, wenn Layer als Auftragnehmer personenbezogene Daten im Auftrag der Auftraggeber verarbeitet.
11.2. Vertragsgegenstand
Die Auftragsdatenverarbeitung umfasst alle Tätigkeiten, bei denen Mitarbeiter oder durch Layer beauftragte Dritte mit personenbezogenen Daten der Auftraggeber in Berührung kommen. Dies gilt insbesondere für Daten, die zur Erfüllung der vertraglich vereinbarten Dienstleistungen verarbeitet werden. Die genauen Details des Verarbeitungszwecks sowie die Kategorien der betroffenen Daten und Personen sind in der beigefügten Anlage 1 geregelt.
11.3. Pflichten der Auftragnehmer
Layer verpflichtet sich, geeignete technische und organisatorische Massnahmen zu ergreifen, um den Schutz der verarbeiteten personenbezogenen Daten zu gewährleisten. Dies umfasst insbesondere Massnahmen zur Zutrittskontrolle, Zugriffskontrolle und Sicherstellung der Datenintegrität. Eine vollständige Übersicht der Massnahmen befindet sich in Anlage 2.
11.4. Pflichten der Auftraggeber
Die Auftraggeber bleiben im Sinne des Datenschutzrechts verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung. Sie sind verpflichtet, sicherzustellen, dass die Verarbeitung der Daten auf einer rechtlichen Grundlage beruht und die Rechte der betroffenen Personen gewahrt werden.
11.5. Vertragsdauer und Beendigung
Dieser Abschnitt gilt für die gesamte Dauer der vertraglichen Zusammenarbeit und endet mit der Beendigung des Hauptvertrages. Nach Vertragsbeendigung wird Layer sämtliche personenbezogenen Daten entsprechend den Weisungen der Auftraggeber löschen oder zurückgeben, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.
11.6. Beizug von Subunternehmern
Layer darf Subunternehmer beiziehen, wenn diese den datenschutzrechtlichen Verpflichtungen ebenfalls unterworfen werden. Eine Liste der zugelassenen Subunternehmer sowie deren Aufgabenbereiche befindet sich in Anlage 3.
11.7. Schlussbestimmungen
Änderungen dieser Vereinbarung bedürfen der Schriftform. Im Übrigen gelten die allgemeinen Bestimmungen dieser AGB.
- Anlage 1: Zweck und Art der Verarbeitung, Kategorien personenbezogener Daten und betroffener Personen
- Anlage 2: Technische und organisatorische Massnahmen (TOM)
- Anlage 3: Genehmigte Subunternehmer
12. Abtretung und Verrechnung
Die Abtretung von Rechten und Pflichten des Kunden aus diesem Vertrag bedarf der schriftlichen Zustimmung von Layer. Eine Aufrechnung durch den Kunden ist nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen zulässig.
13. Kommunikation
Layer kommuniziert in der Regel per E-Mail mit den Kunden. Der Kunde hat sicherzustellen, dass die angegebene E-Mail-Adresse erreichbar ist und die Nachrichten zur Kenntnis genommen werden. Layer behält sich vor, bei Bedarf andere geeignete Kommunikationswege zu wählen.
14. Änderungen der AGB
Layer behält sich das Recht vor, diese AGB mit Wirkung für die Zukunft zu ändern. Änderungen werden dem Kunden mindestens 60 Tage im Voraus mitgeteilt. Widerspricht der Kunde nicht innerhalb von zwei Wochen nach Mitteilung, gelten die Änderungen als akzeptiert.
15. Gerichtsstand und anwendbares Recht
Es gilt ausschliesslich schweizerisches Recht unter Ausschluss internationaler Abkommen. Gerichtsstand ist Luzern.
Stand: 10.10.2024, datahub gmbh, data@layer.swiss
1. Geltungsbereich
Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Angebote, Lieferungen und Leistungen von datahub gmbh („Layer“) und sind Bestandteil sämtlicher Verträge, die Layer mit ihren Kunden abschliesst. Abweichende Geschäftsbedingungen des Kunden finden keine Anwendung, es sei denn, Layer hat deren Geltung ausdrücklich schriftlich zugestimmt.
2. Vertragsgegenstand
Diese AGB regeln die Bereitstellung von wiederkehrenden Dienstleistungen und Produkten durch Layer, insbesondere im Bereich von Lizenzkosten für Softwareprodukte (z.B. Matomo+, Superset+), Guided Analytics sowie Data Support.
3. Zahlungsmodalitäten
3.1. Vorausverrechnung
Lizenzkosten und wiederkehrende Dienstleistungen können von Layer bis zu drei Monate im Voraus, entsprechend einem Quartalsrhythmus, in Rechnung gestellt werden. Die Berechnungen basieren auf dem in der Offerte festgelegten Leistungsumfang.
3.2. Rechnungsstellung und Fälligkeit
Rechnungen zu wiederkehrenden Kosten (Guided Analytics, Data Support) und Lizenzkosten werden quartalsweise im Voraus ausgestellt und sind 30 Tage nach Erhalt fällig, sofern nicht anders vereinbart. Zahlungen sind fristgerecht und ohne Abzüge zu leisten.
3.3. Zusätzliche Kosten
Kosten für externe Leistungen, wie z.B. Hostinggebühren oder zusätzliche Lizenzkosten, die aufgrund einer überdurchschnittlichen Nutzung der Services anfallen, werden gesondert ausgewiesen und nachträglich in Rechnung gestellt. Layer wird den Kunden frühzeitig über solche zusätzlichen Kosten informieren.
4. Leistungsumfang und zusätzliche Stunden
4.1. Leistungsumfang
Der Umfang der zu erbringenden Dienstleistungen ergibt sich aus der jeweiligen Offerte. Änderungen oder Erweiterungen bedürfen der schriftlichen Zustimmung beider Parteien.
4.2. Zusätzliche Stunden
Sollte sich während der Vertragsausführung zeigen, dass der vereinbarte Stundenumfang überschritten wird, informiert Layer den Kunden unverzüglich. Weitere Stunden werden zum festgelegten Stundensatz der Offerte in der nächsten Abrechnungsperiode in Rechnung gestellt.
4.3. Externe Hosting Gebühren (Google Cloud)
Bei der Nutzung von Google Cloud für Dienstleistungen werden dem Kunden zusätzliche Kosten berechnet, wenn das von Google kostenlos zur Verfügung gestellte Kontingent überschritten wird. Diese Kosten werden in der folgenden Abrechnungsperiode weiterbelastet. Layer informiert den Kunden, sobald absehbar ist, dass das Limit überschritten wird, übernimmt jedoch keine Haftung für die Höhe der entstehenden Google-Kosten.
5. Vertragslaufzeit und Kündigung
5.1. Vertragsdauer
Der Vertrag beginnt mit Annahme der Offerte und läuft auf unbestimmte Zeit, sofern kein Enddatum vereinbart wurde.
5.2. Kündigung
Der Vertrag kann von beiden Parteien mit einer Frist von 30 Tagen zum Quartalsende schriftlich gekündigt werden.
5.3. Änderung der Dienstleistungen und Preise
Layer behält sich das Recht vor, Dienstleistungen und Preise anzupassen. Änderungen werden dem Kunden mindestens 60 Tage im Voraus mitgeteilt. Bei Preisanpassungen steht dem Kunden ein Sonderkündigungsrecht zu.
6. Gewährleistung und Haftung
Layer erbringt die vertraglich vereinbarten Dienstleistungen nach bestem Wissen und Gewissen. Layer haftet nicht für Störungen oder Ausfälle, die ausserhalb ihres Einflussbereichs liegen, insbesondere nicht für Ausfälle der Infrastruktur von Drittanbietern wie Google Cloud.
7. Vertraulichkeit
Beide Parteien verpflichten sich, alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen streng vertraulich zu behandeln und ausschliesslich im Rahmen der vereinbarten Dienstleistungen zu verwenden.
8. Geheimhaltung
Layer und der Kunde verpflichten sich, alle Betriebs- und Geschäftsgeheimnisse der anderen Partei streng vertraulich zu behandeln, es sei denn, diese Informationen sind bereits öffentlich bekannt oder werden von Dritten rechtmässig ohne Vertraulichkeitsverpflichtung erhalten. Diese Verpflichtung gilt auch nach Beendigung des Vertrags.
9. Haftungsbeschränkung
Layer haftet nur bei Vorsatz oder grober Fahrlässigkeit für direkte Schäden. Eine Haftung für indirekte Schäden, Folgeschäden oder entgangenen Gewinn ist ausgeschlossen. Sollte eine gesetzliche Haftung nicht vollständig ausgeschlossen werden können, ist diese auf die Höhe des Auftragsvolumens begrenzt. Diese Beschränkung gilt auch für die Mitarbeiter von Layer.
10. Datenschutz
Layer verarbeitet die Daten des Kunden gemäss den geltenden datenschutzrechtlichen Bestimmungen. Nähere Informationen dazu sind in der Datenschutzerklärung auf der Website von Layer einsehbar.
11. Auftragsdatenverarbeitung (ADV)
11.1. Geltungsbereich
Dieser Abschnitt regelt die Auftragsdatenverarbeitung nach den Bestimmungen des anwendbaren Datenschutzgesetzes, insbesondere der DSGVO, wenn Layer als Auftragnehmer personenbezogene Daten im Auftrag der Auftraggeber verarbeitet.
11.2. Vertragsgegenstand
Die Auftragsdatenverarbeitung umfasst alle Tätigkeiten, bei denen Mitarbeiter oder durch Layer beauftragte Dritte mit personenbezogenen Daten der Auftraggeber in Berührung kommen. Dies gilt insbesondere für Daten, die zur Erfüllung der vertraglich vereinbarten Dienstleistungen verarbeitet werden. Die genauen Details des Verarbeitungszwecks sowie die Kategorien der betroffenen Daten und Personen sind in der beigefügten Anlage 1 geregelt.
11.3. Pflichten der Auftragnehmer
Layer verpflichtet sich, geeignete technische und organisatorische Massnahmen zu ergreifen, um den Schutz der verarbeiteten personenbezogenen Daten zu gewährleisten. Dies umfasst insbesondere Massnahmen zur Zutrittskontrolle, Zugriffskontrolle und Sicherstellung der Datenintegrität. Eine vollständige Übersicht der Massnahmen befindet sich in Anlage 2.
11.4. Pflichten der Auftraggeber
Die Auftraggeber bleiben im Sinne des Datenschutzrechts verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung. Sie sind verpflichtet, sicherzustellen, dass die Verarbeitung der Daten auf einer rechtlichen Grundlage beruht und die Rechte der betroffenen Personen gewahrt werden.
11.5. Vertragsdauer und Beendigung
Dieser Abschnitt gilt für die gesamte Dauer der vertraglichen Zusammenarbeit und endet mit der Beendigung des Hauptvertrages. Nach Vertragsbeendigung wird Layer sämtliche personenbezogenen Daten entsprechend den Weisungen der Auftraggeber löschen oder zurückgeben, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.
11.6. Beizug von Subunternehmern
Layer darf Subunternehmer beiziehen, wenn diese den datenschutzrechtlichen Verpflichtungen ebenfalls unterworfen werden. Eine Liste der zugelassenen Subunternehmer sowie deren Aufgabenbereiche befindet sich in Anlage 3.
11.7. Schlussbestimmungen
Änderungen dieser Vereinbarung bedürfen der Schriftform. Im Übrigen gelten die allgemeinen Bestimmungen dieser AGB.
- Anlage 1: Zweck und Art der Verarbeitung, Kategorien personenbezogener Daten und betroffener Personen
- Anlage 2: Technische und organisatorische Massnahmen (TOM)
- Anlage 3: Genehmigte Subunternehmer
12. Abtretung und Verrechnung
Die Abtretung von Rechten und Pflichten des Kunden aus diesem Vertrag bedarf der schriftlichen Zustimmung von Layer. Eine Aufrechnung durch den Kunden ist nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen zulässig.
13. Kommunikation
Layer kommuniziert in der Regel per E-Mail mit den Kunden. Der Kunde hat sicherzustellen, dass die angegebene E-Mail-Adresse erreichbar ist und die Nachrichten zur Kenntnis genommen werden. Layer behält sich vor, bei Bedarf andere geeignete Kommunikationswege zu wählen.
14. Änderungen der AGB
Layer behält sich das Recht vor, diese AGB mit Wirkung für die Zukunft zu ändern. Änderungen werden dem Kunden mindestens 60 Tage im Voraus mitgeteilt. Widerspricht der Kunde nicht innerhalb von zwei Wochen nach Mitteilung, gelten die Änderungen als akzeptiert.
15. Gerichtsstand und anwendbares Recht
Es gilt ausschliesslich schweizerisches Recht unter Ausschluss internationaler Abkommen. Gerichtsstand ist Luzern.
Stand: 10.10.2024, datahub gmbh, data@layer.swiss
Anhang
Anlage 1:
Zweck und Art des Verarbeitungsvorgangs, Kategorien personenbezogener Daten und betroffener Personen.
1. Zweck des Verarbeitungsvorgangs
Zweckbestimmung:
-> Erfassung von Kontakt- und Kundendaten
-> Speicherung von Kontakt- und Kundendaten
-> Segmentierung von Kontakt- und Kundendaten
-> Korrektur und Formatierung von Kontaktdaten
-> Nutzung und Verarbeitung von Kontaktdaten
2. Art des Verarbeitungsvorgangs
Gegenstand des Auftrages bzw. der Auftragsverarbeitung:
-> Analyse
-> Erfassung
-> Mustererkennung
-> Segmentierung
-> Auswertung
3. Kategorien personenbezogener Daten
-> Adressdaten
-> Bestandsdaten
-> Bestelldaten
-> Kaufdaten
-> Personalien
-> Rechnungsdaten
-> Vertragsdaten
-> Kundenhistorie
4. Kategorien betroffener Personen
-> Abonnenten
-> Lieferanten
-> Kunden
-> Mitarbeitende
-> Interessenten
-> Subunternehmer
5. Kontaktdaten des Datenschutzverantwortlichen der Auftragnehmer:in
Datenschutzverantwortliche der Auftragnehmer:in:
Severin Lindenmann, severin@layer.swiss
6. Genehmigte Subunternehmen
Die Auftraggeber:in stimmt der Beauftragung der nachfolgenden Subunternehmen zu, unter der Bedingung der vertraglichen notwendigen Vereinbarung gemäss DSGVO:
-> Ops One AG
Die Auftragnehmer:in sichert zu, dass für alle diese Partner eine gültige Geheimhaltungs- und Datenschutzerklärung unterzeichnet worden ist, sodass Anweisungsregelungen existieren. Im Anhang "Anlage 3" sind die Subunternehmer und deren Leistungen aufgelistet.
Anlage 2:
Übersicht zur Gewährleistung der Schutzziele durch technisch-organisatorische Massnahmen
Die Auftragnehmer:in gewährleistet im Bereich der vertragsgemässen Verarbeitung von personenbezogenen Daten die nach Art. 28 DSGVO gesetzlich geforderten Sicherheitsmassnahmen und wird sie auf Verlangen der Auftraggeber:in nachweisen. Die Auftragnehmer:in sichert zu, dass sie alle nach Art. 32 Abs. 1 lit. b DSGVO erforderlichen Massnahmen zur angemessenen Erfüllung der gesteckten Schutzziele ergreift.
Datenschutzverantwortliche der Auftragnehmer:in:
Severin Lindenmann, severin@layer.swiss
1. Vertraulichkeit
1.1 Zutrittskontrolle: Verhinderung von unbefugtem räumlichem Zugang zu Datenverarbeitungsanlagen.
Umsetzung bei der Auftragnehmer:in:
-> Schlüssel
-> Elektronische Türsicherung
1.2 Zugangskontrolle (System): Verhindern von unbefugtem Systemzugang zu Datenverarbeitungssystemen.
Umsetzung bei der Auftragnehmer:in:
-> Sichere Authentifizierung
-> Kennwortregeln
-> Benutzererkennungen
1.3 Zugriffskontrolle (Daten): Verhindern von unbefugtem Datenzugang, damit kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Informationen innerhalb eines Datenverarbeitungssystems möglich ist.
Umsetzung bei der Auftragnehmer:in:
-> Differenziertes Berechtigungskonzept
-> Nachvollziehbare Rechtevergabe durch Berechtigungsgruppen
-> Sichere Netzübergänge mit https oder SSL
1.4 Trennungskontrolle: Sicherstellung, dass für unterschiedliche Zwecke erhobene personenbezogene Daten getrennt verarbeitet werden können.
Umsetzung bei der Auftragnehmer:in:
-> Datensparsamkeit / Löschen nicht benötigter Daten
-> Kundengetrennte Systeme (Mandantenfähigkeit)
-> Keine Tests mit Originaldaten
1.5 Pseudonymisierung: Verarbeitete personenbezogene Daten können ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden. Die dafür erforderlichen zusätzlichen Informationen sind gesondert in sicherer Weise aufbewahrt.
Umsetzung bei der Auftragnehmer:in:
-> Einblick nur für berechtigte Personen
2. Integrität
2.1 Weitergabekontrolle: Verhindern von unbefugtem Lesen, Kopieren, Verändern oder Entfernen von Informationen bei elektronischer Übertragung oder manuellem Transport.
Umsetzung bei der Auftragnehmer:in:
-> Absicherung der Übermittlung durch Verschlüsselungsverfahren (VPN, SSL)
-> Protokollierung der Weitergabe (Server Logdateien)
2.2 Eingabekontrolle: Es kann jederzeit festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Umsetzung bei der Auftragnehmer:in:
-> «Zuletzt geändert»-Datum
-> Individuelle Zugriff auf Tools mit Daten
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle: Sicherung personenbezogener Daten gegen zufällige Zerstörung oder Verlust.
Umsetzung bei der Auftragnehmer:in:
-> Backup-Verfahren / Datensicherung (Google Workspace/ Google Cloud)
-> Redundante Systeme (Google Workspace/ Google Cloud)
3.2 Belastbarkeit (Systeme und Dienste): Die Widerstandsfähigkeit personenbezogener Daten ist bei hoher Beanspruchung der Systeme im Fehler oder Störungsfall insofern gewährleistet, dass diese dennoch verfügbar bleiben.
Umsetzung bei der Auftragnehmer:in:
-> Skalierbare Google Workspace/ Google Cloud-Infrastruktur
4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung
4.1 Datenschutz-Management: Die Nachweispflicht zur Einhaltung der Datenschutzprozesse muss durch etablierte Verfahren aus der IT-Sicherheit für die Umsetzungsqualität der Datenverarbeitung in geeigneter Form und zu jeder Zeit nachgewiesen werden.
4.2 Datenschutzfreundliche Voreinstellungen: Es muss sichergestellt werden, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen des Betroffenen, personenbezogene Daten unkontrolliert an Dritte zugänglich gemacht werden.
Umsetzung bei der Auftragnehmer:in:
-> Eindeutige Vertragsgestaltung
-> Weisungsgemäß Auftragsdatenverarbeitung
Anlage 3: Vereinbarung mit Subunternehmer (Ops One AG)
Die Ops One AG verwaltet für uns Hosting-Services (Matomo+). Dabei erfolgt das Hosting unserer Lösung in der Schweiz durch Ops One. Wir haben eine umfassende Auftragsdatenverarbeitungs- vereinbarung mit Ops One unterzeichnet, um diesen Prozess zu regeln. Anbei eine Übersicht der Infrastruktur.
Anhang
Anlage 1:
Zweck und Art des Verarbeitungsvorgangs, Kategorien personenbezogener Daten und betroffener Personen.
1. Zweck des Verarbeitungsvorgangs
Zweckbestimmung:
-> Erfassung von Kontakt- und Kundendaten
-> Speicherung von Kontakt- und Kundendaten
-> Segmentierung von Kontakt- und Kundendaten
-> Korrektur und Formatierung von Kontaktdaten
-> Nutzung und Verarbeitung von Kontaktdaten
2. Art des Verarbeitungsvorgangs
Gegenstand des Auftrages bzw. der Auftragsverarbeitung:
-> Analyse
-> Erfassung
-> Mustererkennung
-> Segmentierung
-> Auswertung
3. Kategorien personenbezogener Daten
-> Adressdaten
-> Bestandsdaten
-> Bestelldaten
-> Kaufdaten
-> Personalien
-> Rechnungsdaten
-> Vertragsdaten
-> Kundenhistorie
4. Kategorien betroffener Personen
-> Abonnenten
-> Lieferanten
-> Kunden
-> Mitarbeitende
-> Interessenten
-> Subunternehmer
5. Kontaktdaten des Datenschutzverantwortlichen der Auftragnehmer:in
Datenschutzverantwortliche der Auftragnehmer:in:
Severin Lindenmann, severin@layer.swiss
6. Genehmigte Subunternehmen
Die Auftraggeber:in stimmt der Beauftragung der nachfolgenden Subunternehmen zu, unter der Bedingung der vertraglichen notwendigen Vereinbarung gemäss DSGVO:
-> Ops One AG
Die Auftragnehmer:in sichert zu, dass für alle diese Partner eine gültige Geheimhaltungs- und Datenschutzerklärung unterzeichnet worden ist, sodass Anweisungsregelungen existieren. Im Anhang "Anlage 3" sind die Subunternehmer und deren Leistungen aufgelistet.
Anlage 2:
Übersicht zur Gewährleistung der Schutzziele durch technisch-organisatorische Massnahmen
Die Auftragnehmer:in gewährleistet im Bereich der vertragsgemässen Verarbeitung von personenbezogenen Daten die nach Art. 28 DSGVO gesetzlich geforderten Sicherheitsmassnahmen und wird sie auf Verlangen der Auftraggeber:in nachweisen. Die Auftragnehmer:in sichert zu, dass sie alle nach Art. 32 Abs. 1 lit. b DSGVO erforderlichen Massnahmen zur angemessenen Erfüllung der gesteckten Schutzziele ergreift.
Datenschutzverantwortliche der Auftragnehmer:in:
Severin Lindenmann, severin@layer.swiss
1. Vertraulichkeit
1.1 Zutrittskontrolle: Verhinderung von unbefugtem räumlichem Zugang zu Datenverarbeitungsanlagen.
Umsetzung bei der Auftragnehmer:in:
-> Schlüssel
-> Elektronische Türsicherung
1.2 Zugangskontrolle (System): Verhindern von unbefugtem Systemzugang zu Datenverarbeitungssystemen.
Umsetzung bei der Auftragnehmer:in:
-> Sichere Authentifizierung
-> Kennwortregeln
-> Benutzererkennungen
1.3 Zugriffskontrolle (Daten): Verhindern von unbefugtem Datenzugang, damit kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Informationen innerhalb eines Datenverarbeitungssystems möglich ist.
Umsetzung bei der Auftragnehmer:in:
-> Differenziertes Berechtigungskonzept
-> Nachvollziehbare Rechtevergabe durch Berechtigungsgruppen
-> Sichere Netzübergänge mit https oder SSL
1.4 Trennungskontrolle: Sicherstellung, dass für unterschiedliche Zwecke erhobene personenbezogene Daten getrennt verarbeitet werden können.
Umsetzung bei der Auftragnehmer:in:
-> Datensparsamkeit / Löschen nicht benötigter Daten
-> Kundengetrennte Systeme (Mandantenfähigkeit)
-> Keine Tests mit Originaldaten
1.5 Pseudonymisierung: Verarbeitete personenbezogene Daten können ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden. Die dafür erforderlichen zusätzlichen Informationen sind gesondert in sicherer Weise aufbewahrt.
Umsetzung bei der Auftragnehmer:in:
-> Einblick nur für berechtigte Personen
2. Integrität
2.1 Weitergabekontrolle: Verhindern von unbefugtem Lesen, Kopieren, Verändern oder Entfernen von Informationen bei elektronischer Übertragung oder manuellem Transport.
Umsetzung bei der Auftragnehmer:in:
-> Absicherung der Übermittlung durch Verschlüsselungsverfahren (VPN, SSL)
-> Protokollierung der Weitergabe (Server Logdateien)
2.2 Eingabekontrolle: Es kann jederzeit festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Umsetzung bei der Auftragnehmer:in:
-> «Zuletzt geändert»-Datum
-> Individuelle Zugriff auf Tools mit Daten
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle: Sicherung personenbezogener Daten gegen zufällige Zerstörung oder Verlust.
Umsetzung bei der Auftragnehmer:in:
-> Backup-Verfahren / Datensicherung (Google Workspace/ Google Cloud)
-> Redundante Systeme (Google Workspace/ Google Cloud)
3.2 Belastbarkeit (Systeme und Dienste): Die Widerstandsfähigkeit personenbezogener Daten ist bei hoher Beanspruchung der Systeme im Fehler oder Störungsfall insofern gewährleistet, dass diese dennoch verfügbar bleiben.
Umsetzung bei der Auftragnehmer:in:
-> Skalierbare Google Workspace/ Google Cloud-Infrastruktur
4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung
4.1 Datenschutz-Management: Die Nachweispflicht zur Einhaltung der Datenschutzprozesse muss durch etablierte Verfahren aus der IT-Sicherheit für die Umsetzungsqualität der Datenverarbeitung in geeigneter Form und zu jeder Zeit nachgewiesen werden.
4.2 Datenschutzfreundliche Voreinstellungen: Es muss sichergestellt werden, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen des Betroffenen, personenbezogene Daten unkontrolliert an Dritte zugänglich gemacht werden.
Umsetzung bei der Auftragnehmer:in:
-> Eindeutige Vertragsgestaltung
-> Weisungsgemäß Auftragsdatenverarbeitung
Anlage 3: Vereinbarung mit Subunternehmer (Ops One AG)
Die Ops One AG verwaltet für uns Hosting-Services (Matomo+). Dabei erfolgt das Hosting unserer Lösung in der Schweiz durch Ops One. Wir haben eine umfassende Auftragsdatenverarbeitungs- vereinbarung mit Ops One unterzeichnet, um diesen Prozess zu regeln. Anbei eine Übersicht der Infrastruktur.
1) Datenverarbeitung auf der Backup-Infrastruktur Die Übertragung der Daten auf die Backup-Infrastruktur erfolgt über direkte Peerings zwischen den verschiedenen Rechenzentren. Sowohl der Transport als auch die Speicherung der Sicherungen erfolgt jederzeit verschlüsselt. Eine Datenverarbeitung im eigentlichen Sinn findet daher auf der Backup Infrastruktur nicht statt.
Layer führt Sie zielorientiert durch die Vielschichtigkeit Ihrer Nutzer- und Kundendaten, um eine datengetriebene Arbeitsweise und Strategie zu ermöglichen.
datahub gmbh
Sentimattstrasse 6
6003 Luzern
©2023 datahub gmbh. All rights reserved.
Layer führt Sie zielorientiert durch die Vielschichtigkeit Ihrer Nutzer- und Kundendaten, um eine datengetriebene Arbeitsweise und Strategie zu ermöglichen.
datahub gmbh
Sentimattstrasse 6
6003 Luzern
©2023 datahub gmbh. All rights reserved.
Layer führt Sie zielorientiert durch die Vielschichtigkeit Ihrer Nutzer- und Kundendaten, um eine datengetriebene Arbeitsweise und Strategie zu ermöglichen.
datahub gmbh
Sentimattstrasse 6
6003 Luzern
©2023 datahub gmbh. All rights reserved.