Rechtliches

Datenverarbeitungsvereinbarung

1. Definitionen und Geltungsbereich

Diese Datenverarbeitungsvereinbarung (DPA) ergänzt die Rahmendienstleistungsvereinbarung und gilt für die Verarbeitung personenbezogener Daten, wenn VNC AG als Auftragsverarbeiter im Namen des Kunden (Verantwortlicher) tätig ist. Diese DPA entspricht GDPR Artikel 28 und Anforderungen des Schweizer nFADP.

2. Rollen und Verantwortlichkeiten

Der Kunde handelt als Verantwortlicher und bestimmt die Zwecke und Mittel der Verarbeitung. VNC AG handelt als Auftragsverarbeiter und verarbeitet personenbezogene Daten nur auf dokumentierte Anweisung des Kunden. VNC AG muss:

  • Daten nur für die vereinbarten Zwecke verarbeiten
  • Daten nicht für unabhängige Zwecke verarbeiten
  • Rechte von Betroffenen respektieren
  • Vertraulichkeit wahren
  • Angemessene Sicherheitsmassnahmen implementieren

3. Verarbeitungsanweisungen

Der Kunde muss schriftliche Anweisungen bezüglich folgender Punkte erteilen:

  • Kategorien personenbezogener Daten
  • Kategorien von Betroffenen
  • Zwecke der Verarbeitung
  • Dauer der Verarbeitung
  • Art der Verarbeitungsvorgänge

VNC AG darf Daten nicht über diese Anweisungen hinaus ohne vorherige schriftliche Zustimmung des Kunden verarbeiten. Der Kunde ist verantwortlich für die Rechtmässigkeit der Anweisungen.

4. Unterauftragsverarbeiter

VNC AG kann Unterauftragsverarbeiter (Drittanbieter) beauftragen, um bei der Verarbeitung zu unterstützen. VNC AG muss:

  • Kunden über Änderungen an Unterauftragsverarbeitern informieren
  • Vorherige schriftliche Zustimmung für neue Unterauftragsverarbeiter erhalten
  • Gleichwertige Datenschutzpflichten durch schriftlichen Vertrag auferlegen
  • Verantwortlich für die Leistung von Unterauftragsverarbeitern bleiben

Der Kunde kann gegen die Beauftragung von Unterauftragsverarbeitern Einspruch erheben.

5. Datensicherheit und Vertraulichkeit

VNC AG implementiert technische und organisatorische Massnahmen, die der Risikostufe angemessen sind:

  • Verschlüsselung bei Übertragung und im ruhenden Zustand
  • Zugriffskontrolle und Authentifizierung
  • Regelmässige Sicherheitsprüfungen und Penetrationstests
  • Verfahren zur Reaktion auf Vorfälle und Benachrichtigung bei Verstössen
  • Mitarbeiterschulung zum Datenschutz
  • Sichere Löschung oder Rückgabe von Daten nach Beendigung

VNC AG stellt die Vertraulichkeit aller Mitarbeiter mit Zugriff auf personenbezogene Daten sicher.

6. Rechte von Betroffenen

VNC AG wird, in angemessener Zeit und ohne zusätzliche Kosten:

  • Personenbezogene Daten als Reaktion auf Anfragen von Betroffenen bereitstellen
  • Bei Anfragen zu Zugriff, Berichtigung, Löschung und Portabilität unterstützen
  • Einsprüche von Betroffenen gegen Verarbeitung unterstützen
  • Widerruf der Zustimmung erleichtern
  • Informationen bereitstellen, die für den Kunden notwendig sind, um Rechte von Betroffenen zu erfüllen

VNC AG wird den Kunden sofort informieren, wenn Anfragen von Betroffenen eingehen.

7. Benachrichtigung bei Datenverletzung

VNC AG wird den Kunden ohne unnötige Verzögerung (spätestens 24 Stunden) benachrichtigen, nachdem von einer Verletzung personenbezogener Daten Kenntnis erlangt wurde. Die Benachrichtigung muss Folgendes enthalten:

  • Fakten und Auswirkungen der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen
  • Wahrscheinliche Folgen
  • Massnahmen, die ergriffen oder vorgeschlagen wurden, um die Verletzung zu beheben

VNC AG haftet nicht für ein Versäumnis des Kunden, Betroffene zu benachrichtigen, wenn VNC AG rechtzeitig eine Benachrichtigung bereitgestellt hat.

8. Audit-Rechte und Compliance

Der Kunde hat das Recht, die Einhaltung dieser DPA durch VNC AG zu prüfen. VNC AG muss:

  • Aufzeichnungen der Verarbeitungstätigkeiten führen
  • Mit Aufsichtsbehörden zusammenarbeiten
  • Compliance-Nachweise auf Anfrage bereitstellen
  • Audits durch den Kunden oder unabhängige Prüfer zulassen
  • Inspektionen von Einrichtungen, die personenbezogene Daten bearbeiten, gestatten

Audits können nicht häufiger als einmal jährlich durchgeführt werden, sofern keine Verletzung oder vermutete Nichtkonformität gemeldet wird.

9. Datentransfer und Rückgabe

Bei Beendigung der Dienstleistungen wird VNC AG nach Wahl des Kunden:

  • Alle personenbezogenen Daten an den Kunden in maschinenlesbarem Format zurückgeben
  • Alle personenbezogenen Daten sicher löschen und eine schriftliche Bestätigung erbringen
  • Daten nur soweit bewahren, wie gesetzlich erforderlich

Der Kunde ist dafür verantwortlich, die Einhaltung von Datenschutzgesetzen bezüglich der Daten nach dem Transfer von VNC AG sicherzustellen.

10. Laufzeit und Änderungen

Diese DPA tritt am Datum der Rahmendienstleistungsvereinbarung in Kraft und läuft so lange, wie personenbezogene Daten verarbeitet werden. Diese DPA kann geändert werden, um Änderungen in der Gesetzgebung einzuhalten. Änderungen treten 30 Tage nach Benachrichtigung in Kraft, es sei denn, der Kunde lehnt ab. Bei Konflikt zwischen dieser DPA und der Rahmendienstleistungsvereinbarung hat diese DPA Vorrang bei Datenschutzangelegenheiten.

Zuletzt aktualisiert: 2026