Anlage 1
Vereinbarung über die Auftragsverarbeitung (“AVV” oder “Vereinbarung”) zwischen Unternehmen und JOIN
PRÄAMBEL
JOIN hat es sich zur Aufgabe gemacht, Arbeitskräfte und Unternehmen weltweit miteinander zu vernetzen. Unternehmen können über die JOIN-Plattform, die unter https://join.com zu erreichen ist (nachfolgend “Plattform“), vakante Stellen inserieren sowie Bewerber und Bewerbungen zentral verwalten. Das Angebot von JOIN ist darauf ausgerichtet, im Recruiting-Prozess eine Arbeitserleichterung für Unternehmen und Arbeitnehmer gleichermassen zu schaffen, insbesondere in der Allokation von geeigneten Kandidaten und in der Vereinfachung des Bewerbungsprozesses. Zudem wird Kandidaten über die Plattform die Möglichkeit geboten, nach interessanten Jobangeboten zu suchen und sich über offene Stellen zu informieren.
Das Unternehmen kann auf der Plattform konkrete Bewerbungsverfahren über ein webbasiertes Management-Tool verwalten (“Bewerber-Managementtool“). In diesem Rahmen werden die hierüber vom Unternehmen generierten personenbezogenen Daten für den jeweiligen Bewerbungsprozess durch JOIN als Auftragsverarbeiter für das Unternehmen als Verantwortlicher im Sinne der geltenden Datenschutzgesetze verarbeitet. Im Rahmen der anderen Angebote von JOIN, wie z.B. die Allokation von geeigneten Kandidaten oder die Angebote für Kandidaten, werden personenbezogene Daten durch JOIN als Verantwortlicher im Sinne der geltenden Datenschutzgesetze verarbeitet.
Dieser AVV dient der Absicherung der Parteien gegen die zweckfremde Verwendung der im Bewerber-Managementtool verarbeiteten personenbezogenen Daten, der Wahrung des Datenschutzes durch JOIN wegen der ihm durch das Unternehmen zur Kenntnis gelangten personenbezogenen Daten sowie der Beachtung der gesetzlichen Vorgaben für den Fall, dass die Geschäftsbeziehung vom Unternehmen und JOIN als eine Auftragsverarbeitung beurteilt werden sollte.
Diese AVV ist Bestandteil jedes Service-Agreements der Parteien, es sei denn, in einem zeitlich nach Zustandekommen dieser AVV abzuschliessenden Vertrag wird Abweichendes ausdrücklich vereinbart. Dieses Dokument einschliesslich aller Anlagen konkretisiert zudem die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zugrundeliegenden Service-Agreement wie folgt:
Content
1.1 Die nachfolgenden Bestimmungen finden nur Anwendung auf Leistungen von JOIN, die im Rahmen des Service-Agreements, insbesondere des Bewerber-Managementtool, als Auftragsverarbeitung zu qualifizieren sind.
1.2 Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff hat überdies die Bedeutung, die ihm gem. Art. 4 Nr. 2 der Datenschutz-Grundverordnung (“DSGVO“) bzw. Art. 3 lit. a des Schweizer Datenschutzgesetzes (“DSG“) zuerkannt ist (DSGVO und DSG gemeinsam “geltende Datenschutzgesetze“).
1.3 Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO und Art. 3 DSG wird verwiesen.
2.1 Unter dieser AVV verarbeitet JOIN personenbezogene Daten ausschliesslich im Auftrag und nach Weisung des Unternehmens. Hierunter fallen insbesondere diejenigen Verarbeitungsprozesse, die JOIN für das Unternehmen über das Bewerber-Managementtool ausschliesslich zum Bewerbungs-Management nach Massgabe des Service-Agreements bereitstellt. In diesem Service-Agreement sowie in Ziff. 4 haben die Parteien die Angaben nach Art. 28 Abs. 3 DSGVO, insbesondere Gegenstand und Dauer der Auftragsverarbeitung, sowie Umgang, Art und Zweck der vorgesehenen Datenverarbeitung, Art der Daten und Kreis der Betroffenen, festgelegt.
2.2 Die Auftragsverarbeitung durch JOIN im Auftrag des Unternehmens erfolgt insbesondere gemäss Art. 28 DSGVO sowie Art. 10a DSG. Das Unternehmen bleibt stets die für die Datenverarbeitung verantwortliche Stelle.
Die Bestimmungen dieser AVV sind integraler Bestandteil des Service-Agreements zwischen den Parteien und gehen den weiteren vertraglichen Vereinbarungen der Parteien vor, insbesondere Verträgen, sofern und soweit die Bestimmungen in diesen weiteren vertraglichen Vereinbarungen von denjenigen dieser AVV zum Nachteil des Unternehmens abweichen. Ziff. 1.1. bleibt hiervon unberührt. Die Bestimmungen dieser AVV finden keine Anwendung auf die Verarbeitung von personenbezogenen Daten, die JOIN als Verantwortlicher im Rahmen des Service-Agreement gegenüber dem Unternehmen erbringt.
Als Zweck der Auftragsverarbeitung bestimmen die Parteien die Erfüllung der Vertragszwecke gemäss Service-Agreement, insbesondere die Durchführung und das Management von konkreten Bewerbungsverfahren, die dem Unternehmen über das Bewerbermanagement-Tool auf der Plattform von JOIN ermöglicht werden. Umfang und Art der Datenerhebung, -verarbeitung und/oder -nutzung personenbezogener Daten werden durch die Bestimmungen des Service-Agreements bestimmt und durch die tatsächlich von Unternehmen in Anspruch genommenen Leistungen konkretisiert.
Der Kreis der durch den Umgang mit den personenbezogenen Daten im Rahmen des Service-Agreements betroffenen Personen umfasst insbesondere
Von der Auftragsverarbeitung sind insbesondere folgende Datenarten betroffen:
Werden diese Daten im Rahmen anderer Angebote von JOIN verarbeitet, wie z.B. die Allokation von geeigneten Kandidaten oder die Angebote für Kandidaten, geschieht dies nicht im Rahmen dieser AVV. JOIN verarbeitet diese Daten in einem solchen Fall als Verantwortlicher im Sinne der geltenden Datenschutzgesetze.
7.1 Für die Beurteilung der Zulässigkeit der von JOIN im Auftrag des Unternehmens erfolgenden Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein das Unternehmen Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO bzw. Art. 3 lit. i DSG. Das Unternehmen ist insbesondere aber nicht abschliessend dafür verantwortlich, (1) gegenüber den Kandidaten die datenschutzrechtlichen Informationspflichten zu erfüllen, (2) von den Kandidaten die notwendigen Einwilligungen in die Verarbeitung der Daten durch das Unternehmen oder JOIN einzuholen, sofern gemäss geltender Datenschutzgesetze zwingend notwendig, und (3) die für das jeweilige Bewerbungsverfahren geltenden Löschfristen einzuhalten.
7.2 Das Unternehmen ist als Verantwortlicher jederzeit dazu berechtigt, Weisungen über Art, Umfang und Verfahren der im Auftrag erfolgenden Datenverarbeitung zu erteilen. Mündliche Weisungen sind vom Unternehmen schriftlich oder in Textform (inkl. E-Mail) zu bestätigen.
7.3 Soweit es das Unternehmen für erforderlich hält, können weisungsberechtigte Personen benannt werden. Die Anfrage ist vom Unternehmen schriftlich zu stellen. Für den Fall, dass sich diese weisungsberechtigten Personen beim Unternehmen ändern, wird dies JOIN unter Benennung der jeweils neuen Person rechtzeitig mitgeteilt.
7.4 Das Unternehmen informiert JOIN, wenn Fehler oder Unregelmässigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch JOIN festgestellt werden.
7.5 Das Unternehmen ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmässig jedoch maximal einmal jährlich nach rechtzeitiger vorheriger Anmeldung von mindestens 30 Tagen zu den üblichen Geschäftszeiten und unter Berücksichtigung der Interessen von JOIN gemäss Ziff. 9 von der Einhaltung der bei JOIN getroffenen technischen und organisatorischen Massnahmen zur Datensicherheit zu überzeugen. Das Unternehmen kann diese Kontrolle auch durch einen Dritten durchführen lassen, sofern dieser vorgängig zur Geheimhaltung verpflichtet wurde. Für die Durchführung der Massnahmen hat das Unternehmen eine übliche Vergütung der hiermit betrauten Personen zu leisten.
7.6 Das Unternehmen ist verpflichtet, JOIN über Datenschutzvorfälle oder andere Verstösse gegen die geltenden Datenschutzgesetze zu informieren, die die Verarbeitungstätigkeiten von JOIN betreffen.
7.7 Über konkrete, das Unternehmen betreffende Massnahmen der Aufsichtsbehörden, insbesondere über Ermittlungsmassnahmen der Behörden, wird das Unternehmen JOIN zeitnah nach Kenntnisnahme in Kenntnis setzen, sofern hierdurch die Datenverarbeitung für das Unternehmen betroffen ist und das Unternehmen nicht zur Verschwiegenheit verpflichtet ist.
8.1 Datenverarbeitung
JOIN ist verpflichtet, personenbezogene Daten unter dieser AVV ausschliesslich nach Massgabe dieser Vereinbarung und/oder des zugrundeliegenden Service-Agreements sowie nach den Weisungen des Unternehmens zu verarbeiten.
8.2 Betroffenenrechte
JOIN wird dem Unternehmen bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen.
JOIN hat auf Weisung des Unternehmens die personenbezogenen Daten, die im Auftrag des Unternehmens verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken. Diese Pflicht gilt nicht für personenbezogene Daten, die JOIN im Rahmen seines Angebots über die Plattform als Verantwortlicher verarbeitet.
Soweit sich ein Betroffener unmittelbar an JOIN zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner Daten wendet, wird JOIN dieses Ersuchen unverzüglich nach Erhalt an das Unternehmen weiterleiten. Für die Ausführungen der Anfragen bleibt das Unternehmen verantwortlich.
8.3 Interne Kontrollpflichten
JOIN stellt durch geeignete Kontrollen, bspw. interne Audits, Datenschutzkonzept, o.ä, sicher, dass die unter dieser AVV verarbeiteten personenbezogenen Daten nach Massgabe dieser Vereinbarung und den entsprechenden Weisungen verarbeitet werden.
8.4 Informationspflichten
JOIN macht das Unternehmen als Verantwortlichen darauf aufmerksam, wenn eine erteilte Weisung gemäss eigener Einschätzung gegen gesetzliche Vorschriften verstösst. JOIN ist dann dazu berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch das Unternehmen geändert wird. Eine Prüf- oder Hinweispflicht von JOIN wird hierdurch nicht begründet.
JOIN wird dem Unternehmen jeden Verstoss gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Regelungen im Service-Agreement und der Vereinbarung und/oder die erteilten Weisungen, der im Zuge der Verarbeitung von Daten durch ihn, bei ihm beschäftigte Personen oder andere mit der Verarbeitung betraute Dritte erfolgt ist, mitteilen, sofern hierdurch die jeweils geltenden datenschutzrechtlichen Meldepflichten ausgelöst werden.
Sofern der Zugriff auf die personenbezogenen Daten, die das Unternehmen JOIN zur Datenverarbeitung übermittelt hat, durch Massnahmen Dritter (z.B. Massnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, hat JOIN das Unternehmen hierüber zu benachrichtigen.
Eine Weitergabe von Informationen durch JOIN an eine auskunftsersuchende Stelle erfolgt lediglich nach vorheriger Abstimmung mit dem Unternehmen, sofern JOIN zur Informationserteilung nicht durch behördliche Massnahmen oder gerichtliche Entscheidungen verpflichtet ist.
Über konkrete, JOIN betreffende Massnahmen der Aufsichtsbehörde, insbesondere über Ermittlungsmassnahmen der Behörde, wird JOIN das Unternehmen zeitnah nach Kenntnisnahme in Kenntnis setzen, sofern hierdurch die Datenverarbeitung für das Unternehmen betroffen ist und JOIN nicht zur Verschwiegenheit verpflichtet ist.
8.5 Erstellung eines Verarbeitungsverzeichnisses
JOIN wird das Unternehmen auf Verlangen bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten im Rahmen des AVV und der dadurch erfolgenden Datenverarbeitung unterstützen und die jeweils erforderlichen Angaben in geeigneter Weise zur Verfügung stellen.
JOIN führt zudem entsprechend den Vorgaben der geltenden Datenschutzgesetze ein eigenes Verzeichnis zu allen Kategorien von im Auftrag des Unternehmens durchgeführten Verarbeitungstätigkeiten.
8.6 Meldepflichten
JOIN wird das Unternehmen auf Verlangen bei der Erfüllung der Verpflichtungen nach Art. 33-36 DSGVO unterstützen.
8.7 Ort der Datenverarbeitung
Sofern zwischen den Parteien nichts Abweichendes vereinbart ist, findet die Verarbeitung und Nutzung der Daten durch JOIN ausschliesslich im Gebiet der Schweiz, der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Verlagerung der Datenverarbeitungstätigkeiten von JOIN in ein Drittland ist nur unter Einhaltung der besonderen Voraussetzungen der Art. 44 ff. DSGVO bzw. Art. 6 DSG zulässig.
8.8 Löschung der personenbezogenen Daten nach Auftragsbeendigung
Nach Beendigung des Service-Agreements ist JOIN auf Anfrage des Unternehmens verpflichtet sämtliche dieser AVV unterfallenden personenbezogenen Daten, Unterlagen und erstellte Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Unternehmen auszuhändigen sowie datenschutz- und datensicherheitskonform und gemäss den Weisungen des Unternehmens zu löschen, sofern und soweit JOIN nicht zur weiteren Verarbeitung vertraglich oder gesetzlich berechtigt oder verpflichtet ist. Diese Löschpflicht gilt nicht für personenbezogene Daten, die JOIN im Rahmen seines Angebots über die Plattform als Verantwortlicher verarbeitet.
9.1 JOIN erklärt sich damit einverstanden, dass das Unternehmen nach vorheriger, gemeinsamer Absprache dazu berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte, die vorgängig zur Geheimhaltung verpflichtet wurden, zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Systeme sowie sonstige Kontrollen vor Ort. Zur Ausübung des Kontrollrechts, räumt JOIN dem Unternehmen zu diesem Zweck das Recht ein, sich nach rechtzeitiger Anmeldung von mindestens 30 Tagen im Voraus und unter Berücksichtigung der Interessen von JOIN zu Prüfzwecken in den Betriebsräumen von JOIN zu dessen üblichen Geschäftszeiten ohne Störung des Betriebsablaufes von der Angemessenheit der von JOIN getroffenen und vertraglich vereinbarten organisatorischen und technischen Massnahmen zur Einhaltung der Erfordernisse der für die Auftragsverarbeitung einschlägigen Bestimmungen zu überzeugen.
9.2 JOIN wird das Unternehmen bei der Durchführung von Kontrollen nach Kräften unterstützen und an der vollständigen und zügigen Abwicklung und erforderlichen Aufklärung mitwirken.
9.3 JOIN wird eventuelle Kontrollmassnahmen der Datenschutzaufsichtsbehörde dulden, sofern dazu eine gesetzliche oder Pflicht besteht. Er wird das Unternehmen nach Massgabe von Ziff. 8.4 nach Ankündigung oder Kenntniserlangung über die Durchführung der Kontrollmassnahme sowie bei anderweitigen Anfragen, Ermittlungen oder Erkundigungen der Datenschutzaufsichtsbehördeinformieren, soweit die Massnahmen oder Anfragen Datenverarbeitungen betreffen können, die JOIN für das Unternehmen erbringt und JOIN gesetzlich nicht zur Verschwiegenheit verpflichtet ist.
9.4 Auf Verlangen bestätigt JOIN schriftlich die Einhaltung der in Anhang 1 bestimmten technischen und organisatorischen Massnahmen.
10.1 JOIN ist nach Massgabe der nachfolgenden Bestimmungen dazu berechtigt, Subunternehmer mit der Auftragsverarbeitung zu beauftragen:
JOIN wählt Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit aus und stellt sicher, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet wird.
Bei Einschaltung weiterer Subunternehmer muss stets ein Schutzniveau gewährleistet werden, welches mit demjenigen dieser Vereinbarung vergleichbar ist.
JOIN ist dazu verpflichtet, die vertraglichen Vereinbarungen mit den Subunternehmern im Einklang mit den hiesigen Vereinbarungen im Verhältnis zwischen dem Unternehmen und JOIN auszugestalten, und sicherzustellen, dass ggf. ergänzende Weisungen des Unternehmens auch gegenüber dem weiteren Subunternehmer gelten.
JOIN informiert das Unternehmen rechtzeitig, d.h. spätestens zwei Wochen vor Beginn der geplanten Unterbeauftragung, über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter. Widerspricht das Unternehmen der Unterbeauftragung nicht innerhalb von zwei Wochen seit Zugang der Information, so gilt diese als genehmigt. Widerspricht das Unternehmen der Unterbeauftragung, so sind die Parteien berechtigt, das Service-Agreement sowie diese AVV ausserordentlich zu kündigen.
10.2 JOIN hat dem Unternehmen auf Anfrage eine Kopie des Unterauftragsverarbeitungsvertrages zur Verfügung stellen, sofern und soweit keine Interessen von JOIN entgegenstehen.
10.3 JOIN arbeitet zum Zeitpunkt des Vereinbarungsschlusses bei der Erfüllung des Auftrags mit den in Anhang 2 benannten Subunternehmern zusammen, mit deren Beauftragung sich das Unternehmen ausdrücklich einverstanden erklärt.
11.1 JOIN ist bei der Verarbeitung von Daten für das Unternehmen zur Wahrung der Vertraulichkeit und des Datengeheimnisses verpflichtet.
11.2 JOIN wird bei der Erfüllung des Auftrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einsetzen, die hinreichend auf das Datengeheimnis bzw. auf die Vertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind.
12.1 Die in Anhang 1 beschriebenen technischen und organisatorischen Massnahmen werden als verbindlich festgelegt.
12.2 JOIN beachtet die Grundsätze ordnungsgemässer Datenverarbeitung gem. Art 32 i.V.m Art. 5 Abs. 1 DSGVO sowie Art. 7 i.V.m. Art. 4 DSG. Er gewährleistet die in Anhang 1 vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmassnahmen. JOIN wird für die Dauer des Vertragsverhältnisses alle erforderlichen Massnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Um stets ein angemessenes Sicherheitsniveau der Verarbeitung gewährleisten zu können, hat JOIN darauf hinzuwirken, dass die implementierten Massnahmen regelmässig evaluiert und ggf. angepasst werden. JOIN steht es frei, solche Änderungen der technischen und organisatorischen Massnahmen vorzunehmen, die das vereinbarte Sicherheitsniveau erhöhen. Andere Änderungen dieser Massnahmen wird JOIN dem Unternehmen rechtzeitig mitteilen.
13.1 Änderungen und Ergänzungen dieser AVV, der mit Bezug hierauf zwischen den Parteien getroffenen weiteren Vereinbarungen sowie alle unmittelbar den Inhalt oder den Umfang der von den Parteien unter dieser AVV geschuldeten Leistungen und sonstigen Handlungen ändernde Erklärungen bedürfen zu ihrer Wirksamkeit der Textform. Dies gilt auch für eine Änderung dieser Klausel.
13.2 Alle Erklärungen der Parteien, insbesondere Unterrichtungen, Anzeigen, Mitteilungen und sonstige der jeweils anderen Partei zu übermittelnden Informationen, bedürfen zu Ihrer Wirksamkeit der Textform. Auf Verlangen der empfangenden Partei, das zeitnah nach Zugang der Erklärung in Textform geltend zu machen ist, ist eine in Textform übermittelte Erklärung von der erklärenden Partei schriftlich zu bestätigen. Erfolgt die Bestätigung nicht, gilt die in Textform erteilte Erklärung als nicht abgegeben.
14.1 Ausschliesslicher, auch internationaler Gerichtsstand für alle sich aus dieser AVV unmittelbar oder mittelbar ergebenden Streitigkeiten das sachlich zuständige Gericht am Sitz von JOIN. Die Gerichtsstandsvereinbarung findet keine Anwendung, wenn die Streitigkeit andere als vermögensrechtliche Ansprüche betrifft oder für die Streitigkeit bereits nach den gesetzlichen Bestimmungen ein ausschliesslicher Gerichtsstand begründet wird.
14.2 JOIN steht es frei, das Unternehmen an seinem allgemeinen Gerichtsstand in Anspruch zu nehmen.
15.1 Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Service-Agreements gehen die Bestimmungen dieser Vereinbarung vor.
15.2 Diese Vereinbarung unterliegt Schweizer Recht unter Ausschluss des UN-Kaufrechts und des Kollisionsrechts. Für Kunden mit Sitz in der Europäischen Union gilt das Recht des Mitgliedstaates, indem das Unternehmen seinen Sitz hat.
ANHANG 1 zum AVV
Technische und organisatorische Massnahmen
JOIN sichert zu, folgende technische und organisatorische Massnahmen getroffen zu haben:
1.1 Zutrittskontrolle
Massnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren.
1.2 Zugangskontrolle
Massnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.
1.3 Zugriffskontrolle
Massnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zu- greifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
1.4 Trennungsgebot
Massnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.
Trennung in Development Server, Staging-Server, Production Server
1.5 Pseudonymisierung
Massnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Massnahmen von dem Pseudonym getrennt aufzubewahren.
2.1 Weitergabekontrolle
Massnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Massnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.
2.2 Eingabekontrolle
Massnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.
3.1 Verfügbarkeitskontrolle
Massnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
3.2 Rasche Widerherstellbarkeit
Massnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Massnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.
Massnahmen, die gewährleisten, dass alle Funktionen des/ der Systeme zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden?
Massnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können?
ANHANG 2 zum AVV
Liste der Unterauftragsverarbeiter von JOIN
Amazon Web Services Europe
Cloud-Service-Anbieter
Luxemburg
Google Europe
Cloud-Service-Anbieter
Irland
Mailchimp
Marketing- und Mailingplattform
USA
Stripe Payments Europe Ltd.
Paymentdienstleister
Irland