1. Definitionen und Geltungsbereich
Diese Datenverarbeitungsvereinbarung (DPA) ergänzt die Rahmendienstleistungsvereinbarung und gilt für die Verarbeitung personenbezogener Daten, wenn VNC AG als Auftragsverarbeiter im Namen des Kunden (Verantwortlicher) tätig ist. Diese DPA entspricht GDPR Artikel 28 und Anforderungen des Schweizer nFADP.
2. Rollen und Verantwortlichkeiten
Der Kunde handelt als Verantwortlicher und bestimmt die Zwecke und Mittel der Verarbeitung. VNC AG handelt als Auftragsverarbeiter und verarbeitet personenbezogene Daten nur auf dokumentierte Anweisung des Kunden. VNC AG muss:
- Daten nur für die vereinbarten Zwecke verarbeiten
- Daten nicht für unabhängige Zwecke verarbeiten
- Rechte von Betroffenen respektieren
- Vertraulichkeit wahren
- Angemessene Sicherheitsmassnahmen implementieren
3. Verarbeitungsanweisungen
Der Kunde muss schriftliche Anweisungen bezüglich folgender Punkte erteilen:
- Kategorien personenbezogener Daten
- Kategorien von Betroffenen
- Zwecke der Verarbeitung
- Dauer der Verarbeitung
- Art der Verarbeitungsvorgänge
VNC AG darf Daten nicht über diese Anweisungen hinaus ohne vorherige schriftliche Zustimmung des Kunden verarbeiten. Der Kunde ist verantwortlich für die Rechtmässigkeit der Anweisungen.
4. Unterauftragsverarbeiter
VNC AG kann Unterauftragsverarbeiter (Drittanbieter) beauftragen, um bei der Verarbeitung zu unterstützen. VNC AG muss:
- Kunden über Änderungen an Unterauftragsverarbeitern informieren
- Vorherige schriftliche Zustimmung für neue Unterauftragsverarbeiter erhalten
- Gleichwertige Datenschutzpflichten durch schriftlichen Vertrag auferlegen
- Verantwortlich für die Leistung von Unterauftragsverarbeitern bleiben
Der Kunde kann gegen die Beauftragung von Unterauftragsverarbeitern Einspruch erheben.
5. Datensicherheit und Vertraulichkeit
VNC AG implementiert technische und organisatorische Massnahmen, die der Risikostufe angemessen sind:
- Verschlüsselung bei Übertragung und im ruhenden Zustand
- Zugriffskontrolle und Authentifizierung
- Regelmässige Sicherheitsprüfungen und Penetrationstests
- Verfahren zur Reaktion auf Vorfälle und Benachrichtigung bei Verstössen
- Mitarbeiterschulung zum Datenschutz
- Sichere Löschung oder Rückgabe von Daten nach Beendigung
VNC AG stellt die Vertraulichkeit aller Mitarbeiter mit Zugriff auf personenbezogene Daten sicher.
6. Rechte von Betroffenen
VNC AG wird, in angemessener Zeit und ohne zusätzliche Kosten:
- Personenbezogene Daten als Reaktion auf Anfragen von Betroffenen bereitstellen
- Bei Anfragen zu Zugriff, Berichtigung, Löschung und Portabilität unterstützen
- Einsprüche von Betroffenen gegen Verarbeitung unterstützen
- Widerruf der Zustimmung erleichtern
- Informationen bereitstellen, die für den Kunden notwendig sind, um Rechte von Betroffenen zu erfüllen
VNC AG wird den Kunden sofort informieren, wenn Anfragen von Betroffenen eingehen.
7. Benachrichtigung bei Datenverletzung
VNC AG wird den Kunden ohne unnötige Verzögerung (spätestens 24 Stunden) benachrichtigen, nachdem von einer Verletzung personenbezogener Daten Kenntnis erlangt wurde. Die Benachrichtigung muss Folgendes enthalten:
- Fakten und Auswirkungen der Verletzung
- Kategorien und ungefähre Zahl der betroffenen Personen
- Wahrscheinliche Folgen
- Massnahmen, die ergriffen oder vorgeschlagen wurden, um die Verletzung zu beheben
VNC AG haftet nicht für ein Versäumnis des Kunden, Betroffene zu benachrichtigen, wenn VNC AG rechtzeitig eine Benachrichtigung bereitgestellt hat.
8. Audit-Rechte und Compliance
Der Kunde hat das Recht, die Einhaltung dieser DPA durch VNC AG zu prüfen. VNC AG muss:
- Aufzeichnungen der Verarbeitungstätigkeiten führen
- Mit Aufsichtsbehörden zusammenarbeiten
- Compliance-Nachweise auf Anfrage bereitstellen
- Audits durch den Kunden oder unabhängige Prüfer zulassen
- Inspektionen von Einrichtungen, die personenbezogene Daten bearbeiten, gestatten
Audits können nicht häufiger als einmal jährlich durchgeführt werden, sofern keine Verletzung oder vermutete Nichtkonformität gemeldet wird.
9. Datentransfer und Rückgabe
Bei Beendigung der Dienstleistungen wird VNC AG nach Wahl des Kunden:
- Alle personenbezogenen Daten an den Kunden in maschinenlesbarem Format zurückgeben
- Alle personenbezogenen Daten sicher löschen und eine schriftliche Bestätigung erbringen
- Daten nur soweit bewahren, wie gesetzlich erforderlich
Der Kunde ist dafür verantwortlich, die Einhaltung von Datenschutzgesetzen bezüglich der Daten nach dem Transfer von VNC AG sicherzustellen.
10. Laufzeit und Änderungen
Diese DPA tritt am Datum der Rahmendienstleistungsvereinbarung in Kraft und läuft so lange, wie personenbezogene Daten verarbeitet werden. Diese DPA kann geändert werden, um Änderungen in der Gesetzgebung einzuhalten. Änderungen treten 30 Tage nach Benachrichtigung in Kraft, es sei denn, der Kunde lehnt ab. Bei Konflikt zwischen dieser DPA und der Rahmendienstleistungsvereinbarung hat diese DPA Vorrang bei Datenschutzangelegenheiten.
Zuletzt aktualisiert: 2026