Zum Hauptinhalt springen

Auftragsverarbeitungsvertrag

Version 2.0Letzte Aktualisierung:

Dieser Auftragsverarbeitungsvertrag ("AVV" oder "Anhang"), einschliesslich der hierin beigefügten Standardvertragsklauseln (wie unten definiert) (zusammenfassend der "AVV"), wird ab dem Wirksamkeitsdatum ("Wirksamkeitsdatum") der Akzeptanz der Nutzungsbedingungen durch den jeweiligen Kunden ("Kunde") zwischen Zenovay ("Unternehmen" oder "Zenovay") und dem Kunden, an den dieser AVV angehängt und einbezogen ist (der "Vertrag"), geschlossen und tritt in Kraft. Alle grossgeschriebenen Begriffe, die in diesem AVV nicht anderweitig definiert sind, haben die im Vertrag festgelegte Bedeutung.

Dieser Anhang wird rechtsverbindlich, sobald der Kunde den Vertrag abschliesst oder diesen Anhang unterzeichnet.

1. Definitionen

Für die Zwecke dieses AVV haben die folgenden Begriffe die nachstehend aufgeführten Bedeutungen:

  • "Verbundenes Unternehmen" bezeichnet (i) ein Unternehmen, an dem eine Partei direkt oder indirekt fünfzig Prozent (50 %) oder mehr der Aktien oder sonstigen Eigenkapitalanteile hält, (ii) ein Unternehmen, das mindestens fünfzig Prozent (50 %) oder mehr der Aktien oder sonstigen Eigenkapitalanteile einer Partei hält, oder (iii) ein Unternehmen, das unter gemeinsamer Kontrolle mit einer Partei steht, indem mindestens fünfzig Prozent (50 %) oder mehr der Aktien oder sonstigen Eigenkapitalanteile dieses Unternehmens und einer Partei von derselben Person gehalten werden; ein solches Unternehmen gilt jedoch nur so lange als verbundenes Unternehmen, wie diese Beteiligung besteht.
  • "Betroffene Person" bezeichnet (i) eine identifizierte oder identifizierbare natürliche Person, die sich im EWR befindet oder deren Rechte durch EU-Datenschutzgesetze geschützt sind; oder (ii) einen "Konsumenten" im Sinne des CCPA.
  • "Kundendaten" bezeichnet alle Inhalte, Daten, Informationen oder sonstigen Materialien (einschliesslich personenbezogener Informationen), die der Kunde, Endnutzer oder verbundene Unternehmen des Kunden für die Verarbeitung durch Zenovay im Zusammenhang mit den Diensten einreichen oder die von den Diensten erhoben werden.
  • "EWR" bezeichnet den Europäischen Wirtschaftsraum.
  • "EU-Datenschutzgesetze" bezeichnet alle Datenschutzgesetze und -vorschriften, die auf die Verarbeitung personenbezogener Informationen im Rahmen des Vertrags anwendbar sind, einschliesslich, soweit anwendbar, der EU-Richtlinie 95/46/EG, der Verordnung (EU) 2016/679 (DSGVO), der EU-ePrivacy-Richtlinie (Richtlinie 2002/58/EG), des revidierten Schweizer Bundesgesetzes über den Datenschutz ("revDSG", in Kraft seit dem 1. September 2023) und aller nationalen Umsetzungsgesetze.
  • "Personenbezogene Informationen" oder "Personenbezogene Daten" bezeichnet Informationen, die eine bestimmte betroffene Person identifizieren, sich auf sie beziehen, sie beschreiben, vernünftigerweise mit ihr in Verbindung gebracht werden können oder direkt oder indirekt vernünftigerweise mit ihr verknüpft werden könnten. Personenbezogene Informationen umfassen Informationen, die nach geltendem Datenschutzrecht als "personenbezogene Daten", "personenbezogene Informationen" oder ähnliche Begriffe gelten.
  • "Verarbeitung" bezeichnet jeden Vorgang oder jede Vorgangsreihe, der/die mit oder ohne Hilfe automatisierter Verfahren an personenbezogenen Informationen vorgenommen wird, wie z. B. Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung, Abfrage, Konsultation, Verwendung, Offenlegung, Verbreitung, Einschränkung, Löschung oder Vernichtung.
  • "Standardvertragsklauseln" oder "SCC" bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die durch den Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden.
  • "Unterauftragsverarbeiter" bezeichnet jeden Drittauftragsverarbeiter, der von Zenovay oder seinen verbundenen Unternehmen engagiert wird, um personenbezogene Informationen im Auftrag des Kunden im Rahmen des Vertrags zu verarbeiten.

2. Verhältnis der Parteien; Verarbeitung von Daten

2.1 Rollen und Umfang der Verarbeitung

Die Parteien erkennen an und stimmen zu, dass im Hinblick auf die Verarbeitung personenbezogener Informationen der Kunde der Verantwortliche (oder "Unternehmen" im Sinne des CCPA) und Zenovay der Auftragsverarbeiter (oder "Dienstleister" im Sinne des CCPA) ist. Der Kunde hat bei der Nutzung der Dienste personenbezogene Informationen gemäss den Anforderungen der geltenden Datenschutzgesetze zu verarbeiten. Die Weisungen des Kunden für die Verarbeitung personenbezogener Informationen müssen den geltenden Datenschutzgesetzen entsprechen. Der Kunde ist allein verantwortlich für die Richtigkeit, Qualität und Rechtmässigkeit der personenbezogenen Informationen und die Mittel, mit denen der Kunde die personenbezogenen Informationen erlangt hat.

2.2 Verarbeitungsweisungen des Kunden

Durch den Abschluss dieses AVV weist der Kunde Zenovay an, personenbezogene Informationen nur in Übereinstimmung mit geltendem Recht zu verarbeiten: (a) zur Erbringung der Dienste und damit verbundenen technischen Unterstützung; (b) wie durch die Nutzung der Dienste durch den Kunden weiter spezifiziert (einschliesslich über das Dashboard, die API oder andere Schnittstellen); (c) wie im Vertrag, einschliesslich dieses AVV, dokumentiert; und (d) wie in anderen schriftlichen Weisungen des Kunden weiter dokumentiert, die von Zenovay als Weisungen für die Zwecke dieses AVV anerkannt werden.

2.3 Einhaltung der Weisungen durch Zenovay

Zenovay verarbeitet personenbezogene Informationen nur gemäss den dokumentierten Weisungen des Kunden, es sei denn, die Verarbeitung ist nach anwendbarem Recht, dem Zenovay unterliegt, erforderlich; in diesem Fall informiert Zenovay den Kunden über diese gesetzliche Anforderung vor der Verarbeitung, es sei denn, das Gesetz verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.

2.4 Einzelheiten der Verarbeitung

Gegenstand, Art, Zweck, Dauer und Arten der personenbezogenen Informationen sowie Kategorien betroffener Personen, die im Rahmen dieses AVV verarbeitet werden, sind in Anlage A (Einzelheiten der Verarbeitung) beschrieben.

3. Vertraulichkeit

Zenovay stellt sicher, dass alle Personen, die zur Verarbeitung personenbezogener Informationen in seinem Auftrag befugt sind, einer Vertraulichkeitspflicht unterliegen, sei es aufgrund eines Vertrags oder einer gesetzlichen Verpflichtung.

4. Sicherheit

4.1 Sicherheitsmassnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen setzt und pflegt Zenovay geeignete technische und organisatorische Massnahmen zum Schutz personenbezogener Informationen vor Sicherheitsvorfällen (wie unten definiert) und zur Wahrung der Sicherheit und Vertraulichkeit personenbezogener Informationen, wie in Anlage B (Sicherheitsmassnahmen) beschrieben.

4.2 Benachrichtigung bei Sicherheitsvorfällen

"Sicherheitsvorfall" bezeichnet jede versehentliche oder rechtswidrige Vernichtung, jeden Verlust, jede Veränderung, unbefugte Offenlegung von oder jeden unbefugten Zugriff auf personenbezogene Informationen. Zenovay benachrichtigt den Kunden unverzüglich (und in jedem Fall innerhalb von 72 Stunden), nachdem Zenovay von einem Sicherheitsvorfall Kenntnis erlangt hat. Diese Benachrichtigung enthält:

  • Eine Beschreibung der Art des Sicherheitsvorfalls, einschliesslich der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen Datensätze
  • Die Kontaktdaten der von Zenovay benannten Datenschutz-Kontaktstelle ([email protected]), bei der weitere Informationen eingeholt werden können
  • Eine Beschreibung der wahrscheinlichen Folgen des Sicherheitsvorfalls
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Massnahmen zur Behebung des Sicherheitsvorfalls und zur Minderung seiner möglichen nachteiligen Auswirkungen

5. Unterauftragsverarbeiter

5.1 Autorisierte Unterauftragsverarbeiter

Der Kunde erkennt an und stimmt zu, dass Zenovay Unterauftragsverarbeiter beauftragen kann, personenbezogene Informationen im Auftrag des Kunden zu verarbeiten. Die aktuelle Liste der Unterauftragsverarbeiter ist unter zenovay.com/legal/subprocessors verfügbar.

5.2 Pflichten der Unterauftragsverarbeiter

Zenovay verpflichtet sich:

  • Mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag abzuschliessen, der Datenschutzpflichten auferlegt, die im Wesentlichen denen entsprechen, die Zenovay in diesem AVV auferlegt werden
  • Dem Kunden gegenüber für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters vollständig haftbar zu bleiben
  • Vor der Beauftragung eine angemessene Sorgfaltsprüfung bei jedem Unterauftragsverarbeiter durchzuführen

5.3 Änderungen bei Unterauftragsverarbeitern

Zenovay informiert den Kunden mindestens 30 Tage im Voraus schriftlich über die Hinzufügung eines neuen Unterauftragsverarbeiters. Der Kunde kann der Nutzung eines neuen Unterauftragsverarbeiters widersprechen, indem er Zenovay innerhalb von 10 Tagen nach Erhalt der Mitteilung von Zenovay schriftlich benachrichtigt, sofern der Widerspruch auf vernünftigen Datenschutzgründen basiert. Wenn der Kunde einem neuen Unterauftragsverarbeiter vernünftigerweise widerspricht und Zenovay keine wirtschaftlich vertretbare Alternative bereitstellen kann, kann der Kunde die betroffenen Dienste durch schriftliche Mitteilung an Zenovay kündigen.

6. Rechte betroffener Personen

Zenovay benachrichtigt den Kunden, soweit gesetzlich zulässig und im Rahmen seiner Rolle als Auftragsverarbeiter, unverzüglich, wenn Zenovay von einer betroffenen Person eine Anfrage auf Zugang zu, Berichtigung, Änderung oder Löschung der personenbezogenen Informationen dieser Person erhält. Zenovay unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Massnahmen, soweit dies möglich ist, bei der Erfüllung der Pflichten des Kunden zur Beantwortung von Anfragen zur Ausübung von Betroffenenrechten nach Datenschutzgesetzen, einschliesslich des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.

7. Rückgabe und Löschung von Daten

7.1 Datenspeicherfristen

Personenbezogene Informationen werden entsprechend dem Abonnementplan des Kunden aufbewahrt:

  • Kostenloser Plan: 1 Jahr (365 Tage)
  • Pro-Plan: 2 Jahre (730 Tage)
  • Scale-Plan: 4 Jahre (1.460 Tage)
  • Enterprise-Plan: Individuelle Aufbewahrungsfrist gemäss Vereinbarung im jeweiligen Auftragsformular

7.2 Zweiphasiger Löschprozess

Wenn personenbezogene Informationen die für den Plan des Kunden geltende Aufbewahrungsfrist überschreiten, implementiert Zenovay einen zweiphasigen Löschprozess:

  • Phase 1 - Vorläufige Ausblendung: Personenbezogene Informationen, die älter als die Aufbewahrungsfrist sind, werden als ausgeblendet markiert und aus den Analyseabfragen des Kunden ausgeschlossen. Die Daten verbleiben in den Systemen von Zenovay, sind jedoch nicht über die Dienste zugänglich.
  • Phase 2 - Kulanzfrist: Der Kunde wird per E-Mail darüber informiert, dass Daten ausgeblendet wurden. Eine 30-tägige Kulanzfrist beginnt, während derer der Kunde auf einen höheren Plan upgraden kann, um die ausgeblendeten Daten wiederherzustellen.
  • Phase 3 - Endgültige Löschung: Nach Ablauf der 30-tägigen Kulanzfrist werden ausgeblendete personenbezogene Informationen mit sicheren Löschmethoden dauerhaft gelöscht.

7.3 Datenwiederherstellung

Wenn der Kunde während der Kulanzfrist auf einen Plan mit einer längeren Aufbewahrungsfrist upgradet, stellt Zenovay automatisch personenbezogene Informationen wieder her (hebt die Ausblendung auf), die in die neue Aufbewahrungsfrist fallen. Dauerhaft gelöschte Daten können nicht wiederhergestellt werden.

7.4 Löschung bei Vertragsbeendigung

Bei Kündigung oder Ablauf des Vertrags verpflichtet sich Zenovay (nach Wahl des Kunden): (a) alle personenbezogenen Informationen, die sich im Besitz oder unter der Kontrolle von Zenovay befinden, über einen Datenexport an den Kunden zurückzugeben; oder (b) alle personenbezogenen Informationen, die sich im Besitz oder unter der Kontrolle von Zenovay befinden, zu löschen. Diese Anforderung gilt nicht, soweit Zenovay nach geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Informationen aufzubewahren; in diesem Fall isoliert und schützt Zenovay die personenbezogenen Informationen vor einer weiteren Verarbeitung, ausser soweit dies gesetzlich vorgeschrieben ist.

8. Prüfungsrechte

Zenovay stellt dem Kunden auf angemessene Anfrage und vorbehaltlich von Vertraulichkeitspflichten alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung dieses AVV nachzuweisen, und ermöglicht und unterstützt Prüfungen, einschliesslich Inspektionen, die vom Kunden oder einem vom Kunden beauftragten Prüfer durchgeführt werden. Der Kunde kann seine Prüfungsrechte gemäss diesem Abschnitt ausüben durch:

  • Überprüfung der Sicherheitszertifizierungen, die von den Infrastrukturanbietern von Zenovay aufrechterhalten werden (Cloudflare: SOC 2 Typ II, ISO 27001, ISO 27018; Supabase: SOC 2 Typ II), bereitgestellt auf angemessene Anfrage. Zenovay selbst ist derzeit nicht SOC-2-zertifiziert; wir aktualisieren diese Offenlegung, sobald ein Audit abgeschlossen ist.
  • Übermittlung eines Fragebogens zu den Datenschutzpraktiken von Zenovay (auf einmal pro Jahr beschränkt, es sei denn, dies ist nach Datenschutzgesetzen erforderlich)
  • In Ausnahmefällen Durchführung einer Vor-Ort- oder Fernprüfung der Datenschutzpraktiken von Zenovay, vorbehaltlich einer angemessenen Ankündigung, Vertraulichkeitspflichten und der Erstattung der angemessenen Kosten von Zenovay

9. Internationale Übermittlungen

9.1 Datenübermittlungen

Zenovay kann personenbezogene Informationen weltweit übermitteln und verarbeiten, soweit dies zur Erbringung der Dienste erforderlich ist. Wenn Zenovay personenbezogene Informationen aus dem EWR oder der Schweiz in ein Land ausserhalb des EWR/der Schweiz übermittelt, das von der Europäischen Kommission oder dem Schweizer Bundesrat nicht als ein angemessenes Datenschutzniveau bietend anerkannt wurde, unterliegen solche Übermittlungen geeigneten Schutzmassnahmen gemäss den Datenschutzgesetzen, einschliesslich:

  • EU-US-Datenschutzrahmen (DPF) / Schweiz-US-DPF: Für Übermittlungen an US-amerikanische Unterauftragsverarbeiter, die unter dem DPF zertifiziert sind, Berufung auf den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 und die entsprechende Schweizer Anerkennung.
  • Standardvertragsklauseln (SCC): Wie in Abschnitt 9.2 unten beschrieben.
  • Ergänzende Massnahmen: Datentransfer-Folgenabschätzungen, Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen und andere vom EDPB und EDÖB im Lichte des Schrems-II-Urteils empfohlene Massnahmen.

9.2 Standardvertragsklauseln

Soweit Zenovay personenbezogene Informationen verarbeitet, die durch EU-Datenschutzgesetze (einschliesslich der DSGVO und des revDSG) geschützt sind, und solche personenbezogenen Informationen in ein Land überträgt, das von der Europäischen Kommission oder dem Schweizer Bundesrat nicht als ein angemessenes Schutzniveau bietend anerkannt wurde, gelten die Standardvertragsklauseln (Modul Zwei: Verantwortlicher zu Auftragsverarbeiter) und werden durch Verweis in diesen AVV einbezogen. Für die Zwecke der Standardvertragsklauseln gilt:

  • Der Kunde ist der "Datenexporteur" und Zenovay ist der "Datenimporteur"
  • Die Parteien stimmen den optionalen Klauseln in Klausel 7, Klausel 11 und Klausel 9(a) zu
  • Das anwendbare Recht des Mitgliedstaats ist das Recht des Mitgliedstaats, in dem der Kunde niedergelassen ist, oder, wenn der Kunde nicht in einem Mitgliedstaat niedergelassen ist, das irische Recht
  • Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde des Mitgliedstaats, in dem der Kunde niedergelassen ist; für Schweizer Kunden der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter); für Kunden, die nicht in einem Mitgliedstaat oder der Schweiz niedergelassen sind, die irische Datenschutzbehörde
  • Für Übermittlungen, die dem revDSG unterliegen, werden Verweise auf DSGVO-Bestimmungen als Verweise auf die entsprechenden revDSG-Bestimmungen ausgelegt, und Verweise auf die EU/den EWR werden als Verweise auf die Schweiz ausgelegt
  • Die Beschreibung der Übermittlung ist in Anlage A (Einzelheiten der Verarbeitung) dargelegt
  • Die technischen und organisatorischen Massnahmen sind in Anlage B (Sicherheitsmassnahmen) dargelegt

10. Haftungsbeschränkung

Die Haftung jeder Partei im Rahmen dieses AVV unterliegt den im Vertrag festgelegten Haftungsausschlüssen und -beschränkungen.

11. Allgemeine Bestimmungen

11.1 Rangfolge

Im Falle eines Widerspruchs oder einer Unvereinbarkeit zwischen diesem AVV und dem Vertrag haben die Bestimmungen dieses AVV im Umfang des Widerspruchs oder der Unvereinbarkeit Vorrang.

11.2 Änderungen

Zenovay kann diesen AVV von Zeit zu Zeit aktualisieren, um Änderungen der Datenschutzgesetze, behördlicher Leitlinien oder branchenüblicher Praktiken widerzuspiegeln. Wesentliche Änderungen werden dem Kunden mindestens 30 Tage vor deren Inkrafttreten mitgeteilt.

11.3 Salvatorische Klausel

Sollte eine Bestimmung dieses AVV für ungültig oder nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen uneingeschränkt in Kraft.

11.5 Anwendbares Recht und Gerichtsbarkeit

Dieser AVV unterliegt den im Vertrag festgelegten Bestimmungen zum anwendbaren Recht und zur Gerichtsbarkeit und ist gemäss diesen auszulegen, sofern die Standardvertragsklauseln nichts anderes vorsehen.

Anlage A: Einzelheiten der Verarbeitung

Liste der Parteien

Datenexporteur: Kunde (wie im Vertrag definiert)

Datenimporteur: Zenovay, Schweiz

Beschreibung der Übermittlung

Gegenstand: Gegenstand der Datenverarbeitung ist die Bereitstellung von Website-Analysediensten.

Art und Zweck der Verarbeitung: Zenovay verarbeitet personenbezogene Informationen, um Website- und Anwendungsanalysedienste bereitzustellen, einschliesslich:

  • Erhebung und Analyse von Website-Besucherdaten
  • Erstellung von Analyseberichten und Erkenntnissen
  • Bereitstellung von Dashboard- und Datenvisualisierungsdiensten
  • Speicherung und Pflege von Analysedaten
  • Automatisierte Besucherwert-Bewertung (Skala 0-100 basierend auf Verhaltenssignalen, Geografie und Gerätedaten)
  • KI-gestützte Analyseerkenntnisse (über Cloudflare AI Gateway und OpenAI, wenn vom Kunden aktiviert)
  • Bereitstellung von Kundensupport und Kontoverwaltung

Dauer der Verarbeitung: Die Dauer der Verarbeitung entspricht der Laufzeit des Vertrags zuzüglich der für den Abonnementplan des Kunden geltenden Datenspeicherfrist (1 Jahr für den kostenlosen Plan, 2 Jahre für Pro, 4 Jahre für Scale oder individuell für Enterprise). Daten, die die Aufbewahrungsfrist überschreiten, unterliegen dem in Abschnitt 7 beschriebenen zweiphasigen Löschprozess.

Kategorien personenbezogener Informationen: Die übermittelten Kategorien personenbezogener Informationen können umfassen:

  • Netzwerkdaten: IP-Adressen (gespeichert für geografische Analysen und Sicherheit), ungefähre Geolokalisierung (Land, Region, Stadt)
  • Gerätedaten: User-Agent-Strings, Gerätetyp, Browser, Betriebssystem, Bildschirmauflösung
  • Browsing-Daten: Besuchte Seiten-URLs, Seitentitel, Referrer-URLs, Zeitstempel, auf Seiten verbrachte Zeit
  • Verhaltensdaten: Scrolltiefe, Klickanzahl, Formularinteraktionen (ohne sensible Felder), Engagement-Metriken
  • Kampagnendaten: UTM-Parameter, Klick-Identifikatoren von Werbeplattformen (z. B. Google, Facebook, TikTok)
  • Konversionsdaten: Benutzerdefinierte Ereignisse, Zielabschlüsse und zugehörige Werte gemäss Konfiguration durch den Kunden
  • Sitzungsdaten: Sitzungsidentifikatoren, Dauer, Seiten pro Sitzung, Status als wiederkehrender Besucher

Optionale Daten (wenn Funktionen vom Kunden aktiviert):

  • Session-Replay: DOM-Snapshots, Mausbewegungen, Klicks und Scroll-Verhalten (sensible Felder werden automatisch maskiert)
  • Heatmaps: Aggregierte Klick- und Scroll-Positionsdaten
  • Nutzeridentifikation: Name, E-Mail, Telefon, Unternehmen und benutzerdefinierte Identifikatoren, sofern durch die Implementierung des Kunden bereitgestellt
  • B2B-Anreicherung: Unternehmensname, Domain, Branche, Grösse und andere Geschäftsattribute aus Drittanbieter-Anreicherungsdiensten

Der Kunde ist dafür verantwortlich festzulegen, welche personenbezogenen Informationen erhoben werden, und die Einhaltung der geltenden Datenschutzgesetze sicherzustellen.

Kategorien betroffener Personen: Zu den betroffenen Personen, deren personenbezogene Informationen verarbeitet werden, gehören:

  • Besucher der Websites und Anwendungen des Kunden
  • Nutzer der Online-Dienste des Kunden
  • Kunden der Produkte oder Dienstleistungen des Kunden
  • Mitarbeiter oder Vertreter des Kunden (für Kontoverwaltungszwecke)

Sensible Daten: Zenovay beabsichtigt nicht, sensible personenbezogene Daten (z. B. Gesundheitsinformationen, biometrische Daten, Finanzkontodaten) zu verarbeiten. Der Kunde ist verpflichtet, keine sensiblen personenbezogenen Daten ohne vorherige schriftliche Vereinbarung und geeignete Schutzmassnahmen an Zenovay zu übermitteln.

Häufigkeit der Übermittlung: Die Häufigkeit der Übermittlung personenbezogener Daten ist kontinuierlich, bis der Vertrag endet.

Anlage B: Sicherheitsmassnahmen

Zenovay hat folgende technische und organisatorische Sicherheitsmassnahmen implementiert und pflegt diese:

1. Physische Zugangskontrollen

  • Cloud-Infrastruktur auf dem globalen Edge-Netzwerk von Cloudflare gehostet, nach Branchenstandards zertifiziert (SOC 2, ISO 27001)
  • Datenbankdienste bereitgestellt von Supabase, gehostet auf zertifizierter Cloud-Infrastruktur
  • Physische Zugangskontrollen durch Infrastrukturanbieter verwaltet (Cloudflare, Supabase)
  • 24/7-Sicherheitsüberwachung und -bewachung der Rechenzentren

2. Systemzugangskontrollen

  • Mehrfaktor-Authentifizierung (MFA) für den administrativen Zugang erforderlich
  • Rollenbasierte Zugriffskontrollen (RBAC) zur Einschränkung des Zugangs basierend auf Aufgabenbereichen
  • Eindeutige Benutzeranmeldedaten für alle Systemzugänge
  • Regelmässige Zugriffsüberprüfungen und Widerruf unnötiger Berechtigungen
  • Protokollierung und Überwachung aller Systemzugänge und Aktivitäten

3. Datenzugriffskontrollen

  • Verschlüsselung der Daten während der Übertragung mit TLS 1.2 oder höher
  • Verschlüsselung sensibler ruhender Daten mit AES-256-Verschlüsselung
  • Zugang zu personenbezogenen Informationen nur für autorisiertes Personal
  • Datentrennung zur Verhinderung unbefugter kundenseitenübergreifender Datenzugriffe

4. Übertragungskontrollen

  • Verschlüsselung der Datenübertragung mit TLS/SSL-Protokollen
  • Sichere APIs mit Authentifizierungs- und Autorisierungskontrollen
  • Protokollierung und Überwachung von Datenübertragungen

5. Eingabekontrollen

  • Prüfprotokollierung von Datenerstellung, -änderung und -löschung
  • Versionskontroll- und Änderungsmanagementverfahren
  • Automatisierte Sicherungen mit Point-in-Time-Wiederherstellungsmöglichkeit

6. Verfügbarkeitskontrollen

  • Globales Edge-Netzwerk von Cloudflare mit automatischem Failover auf über 300 Rechenzentren
  • Verwaltete Datenbank von Supabase mit Point-in-Time-Wiederherstellung
  • Regelmässige Sicherungen an geografisch verteilten Standorten
  • Notfallwiederherstellungs- und Geschäftskontinuitätsverfahren
  • Systemüberwachung und Incident-Response-Verfahren
  • Hinweis: Es wird keine spezifische Betriebszeit-SLA gewährt, sofern nicht separat in einem Enterprise-Vertrag vereinbart

7. Organisatorische Massnahmen

  • Regelmässige Sicherheitsschulungen für Mitarbeiter
  • Vertraulichkeitsvereinbarungen für alle Mitarbeiter
  • Incident-Response- und Datenpannen-Benachrichtigungsverfahren
  • Regelmässige Sicherheitsüberprüfungen und -bewertungen
  • Lieferantenrisikomanagementprogramm für Unterauftragsverarbeiter

Kontaktinformationen

Bei Fragen zu diesem AVV oder den Datenverarbeitungspraktiken wenden Sie sich bitte an:

Email: [email protected]

Support: [email protected]

Address: Zenovay, Schweiz

Verwandte Richtlinien:DatenschutzrichtlinieNutzungsbedingungenCookie-RichtlinieAuftragsverarbeitungNutzungsrichtlinienUnterauftragsverarbeiterSicherheit & DatenschutzImpressum