Datenverarbeitungsvereinbarung

Präambel

JOIN hat es sich zur Aufgabe gemacht, Arbeitssuchende und Unternehmen weltweit miteinander zu verbinden. Unternehmen können die JOIN-Plattform unter https://join.com (im Folgenden “Plattform” genannt) nutzen, um Stellenangebote zu veröffentlichen und eingegangene Bewerbungen an einem zentralen Ort zu verwalten. Unsere Dienste sind darauf ausgelegt, den Rekrutierungsprozess sowohl für Unternehmen als auch für Arbeitnehmer zu vereinfachen, insbesondere bei der Vermittlung geeigneter Kandidaten und der Vereinfachung des Bewerbungsverfahrens. 

Das Unternehmen kann Stellenanzeigen veröffentlichen und die damit verbundenen Bewerbungsverfahren auf der Plattform mithilfe eines webbasierten Verwaltungstools (“Bewerbermanagement-Tool”) verwalten. In diesem Zusammenhang werden personenbezogene Daten, die vom Unternehmen im Rahmen des jeweiligen Bewerbungsprozesses generiert werden, von JOIN verarbeitet, wobei JOIN als Auftragsverarbeiter für das Unternehmen als Verantwortlicher im Sinne der geltenden Datenschutzgesetze fungiert. Das Unternehmen beabsichtigt, Kandidaten für solche Stellenanzeigen zu rekrutieren, und nutzt dazu die Plattform von JOIN. 

Was die anderen Dienste von JOIN betrifft, wie beispielsweise die Vermittlung geeigneter Kandidaten oder Angebote an Kandidaten, werden personenbezogene Daten von JOIN als Verantwortlicher im Sinne der geltenden Datenschutzgesetze verarbeitet. Weitere Informationen finden Sie in der Datenschutzerklärung von JOIN. 

Diese AVV dient dem Schutz der Parteien vor der missbräuchlichen Verwendung der im Bewerbermanagement-Tool verarbeiteten personenbezogenen Daten, der Gewährleistung des Datenschutzes durch JOIN in Bezug auf personenbezogene Daten, die das Unternehmen JOIN bekannt gegeben hat, sowie der Einhaltung der gesetzlichen Anforderungen, sofern die Geschäftsbeziehung zwischen dem Unternehmen und JOIN als Datenverarbeitung anzusehen ist.

Diese AVV ist Bestandteil jedes Dienstleistungsvertrags zwischen den Parteien, sofern in einem nach Abschluss dieser AVV zu schliessenden Vertrag nichts anderes ausdrücklich vereinbart wird. Dieses Dokument, einschliesslich aller Anhänge, legt zudem die Datenschutzpflichten der Parteien aus dem zugrunde liegenden Dienstleistungsvertrag wie folgt fest:

1. Geltungsbereich und Begriffsbestimmungen

1.1 Die folgenden Bestimmungen gelten nur für JOIN-Dienste, die im Rahmen des Dienstleistungsvertrags als Datenverarbeitung gelten, insbesondere das Bewerbermanagement-Tool und alle damit verbundenen Dienste, die JOIN für das Unternehmen erbringt.

1.2 Wenn in dieser Vereinbarung der Begriff “Datenverarbeitung” oder “Verarbeitung” von Daten verwendet wird, bezieht sich dies im Allgemeinen auf die Verwendung personenbezogener Daten. Datenverarbeitung oder die Verarbeitung von Daten bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, mit oder ohne Hilfe automatisierter Verfahren.

2. Gegenstand und Dauer der Vereinbarung

2.1 Im Rahmen dieser AVV verarbeitet JOIN personenbezogene Daten ausschliesslich im Auftrag und gemäss den Weisungen des Unternehmens. Dies umfasst insbesondere jene Verarbeitungsdienstleistungen, die JOIN für das Unternehmen über das Bewerbermanagement-Tool gemäss dem Dienstleistungsvertrag erbringt. In diesem Dienstleistungsvertrag und in Abschnitt 4 haben die Parteien die Einzelheiten gemäss Artikel 28 Absätze 3 und 4 der EU-Datenschutz-Grundverordnung (“DSGVO”) sowie Artikel 9 des Schweizer Bundesgesetzes über den Datenschutz (“DSG”) festgelegt, insbesondere den Gegenstand und die Dauer der Datenverarbeitung sowie die Art, den Umfang und den Zweck der beabsichtigten Datenverarbeitung, die Art der Daten und die betroffenen Personen.

2.2 Die Datenbearbeitung durch JOIN im Auftrag des Unternehmens erfolgt gemäss Art. 28 DSGVO und Art. 9 DSG, wobei jedes Gesetz nur insoweit berücksichtigt wird, als es auf die jeweilige Bearbeitungsaktivität anwendbar ist. Das Unternehmen bleibt stets der für die Datenbearbeitung Verantwortliche.

3. Rangfolge der vertraglichen Vereinbarungen

Die Bestimmungen dieser AVV sind integraler Bestandteil des Dienstleistungsvertrags zwischen den Parteien und haben Vorrang vor den übrigen vertraglichen Vereinbarungen der Parteien zum Datenschutz, insbesondere vor anderen Verträgen, die Bestimmungen enthalten, die zum Nachteil des Unternehmens von den Bestimmungen dieser AVV abweichen. Ziffer 1.1 bleibt unberührt. Die Bestimmungen dieser AVV gelten nicht für die Verarbeitung personenbezogener Daten, die JOIN als Verantwortlicher dem Unternehmen oder einem anderen einzelnen Nutzer im Rahmen des Dienstleistungsvertrags zur Verfügung stellt.

4. Zweck, Umfang und Art der Datenverarbeitung

Die Parteien vereinbaren hiermit, dass der Zweck der Datenverarbeitung in der Erfüllung der vertraglichen Zwecke gemäss dem Dienstleistungsvertrag besteht, insbesondere in der Durchführung und Verwaltung spezifischer Bewerbungsprozesse, auf die das Unternehmen über das Bewerbermanagement-Tool auf der JOIN-Plattform zugreifen kann. Der Umfang und die Art der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten richten sich nach den Bestimmungen des Dienstleistungsvertrags sowie nach den vom Unternehmen tatsächlich in Anspruch genommenen Dienstleistungen.

5. Betroffene Personen

Zu den von der Verarbeitung personenbezogener Daten im Rahmen des Dienstleistungsvertrags betroffenen Personen gehören:

• Bewerber für Stellen, die vom Unternehmen über die Plattform ausgeschrieben werden; und
• Mitarbeiter des Unternehmens, die die Plattform nutzen.

6. Art der personenbezogenen Daten

Die folgenden Arten von Daten sind von der Auftragsverarbeitung besonders betroffen:

• personenbezogene Daten der Bewerber (z. B. Name, Anrede, akademischer Grad, Geburtsdatum, Telefonnummer, E-Mail-Adresse),
• die von den Bewerbern übermittelten Daten (Bewerberdaten; Lebenslauf, Referenzen, Zeugnisse usw.),
• alle im Bewerbermanagement-Tool erfassten Informationen zum Bewerbungsprozess, wie z. B. über die Plattform versendete Nachrichten, Informationen zum Bewerbungsprozess und zum Fortschritt eines Bewerbers im Bewerbungsprozess, die auf unserer Plattform erfasst werden, oder Fragen, die im Rahmen des Bewerbungsprozesses gestellt und auf unserer Plattform erfasst werden,
• Daten, die durch die Nutzung des Bewerbermanagement-Tools generiert werden, wie z. B. Metadaten; dazu gehören Informationen darüber, wie lange ein Bewerbungsverfahren dauert, wie viele Bewerber sich beworben haben und wie weit ein Bewerber im Bewerbungsverfahren fortgeschritten ist,
• Daten, die durch Interaktionen mit dem Bewerbermanagement-Tool generiert werden, wie z. B. die Antworten auf Fragen, die von Bewerbern gestellt wurden, vom Unternehmen selbst erfasste Daten, die im Bewerbermanagement-Tool nicht gelöscht wurden, sowie Nachrichten zur Kontaktaufnahme mit den Bewerbern oder JOIN,
• personenbezogene Daten (z. B. Name, Berufsbezeichnung, E-Mail-Adresse, Telefonnummer, Geschäftsadresse) und Zugangsdaten (z. B. Benutzername und Passwort) von Mitarbeitern des Unternehmens.

Werden diese Daten im Rahmen anderer JOIN-Dienste verarbeitet, wie z. B. der Vermittlung geeigneter Kandidaten oder von Dienstleistungen für Kandidaten, erfolgt dies nicht im Rahmen dieser AVV. In solchen Fällen verarbeitet JOIN diese Daten als Verantwortlicher im Sinne der geltenden Datenschutzgesetze. Es wird auf die Datenschutzerklärung von JOIN verwiesen. 

7. Rechte und Pflichten des Unternehmens

7.1 Das Unternehmen ist allein dafür verantwortlich, die Zulässigkeit der von JOIN im Auftrag des Unternehmens durchgeführten Datenverarbeitung zu beurteilen und die Rechte der betroffenen Personen zu wahren. Das Unternehmen ist insbesondere, aber nicht ausschliesslich, verantwortlich für (1) die Erfüllung der datenschutzrechtlichen Informationspflichten gegenüber den Bewerbern, (2) die Einholung der erforderlichen Einwilligung der Bewerber zur Datenverarbeitung durch das Unternehmen oder JOIN, sofern dies nach den geltenden Datenschutzgesetzen zwingend erforderlich ist, und (3) die Einhaltung der für den jeweiligen Bewerbungsprozess geltenden Löschfristen.

7.2 Als Verantwortlicher ist das Unternehmen jederzeit berechtigt, Anweisungen zur Art, zum Umfang und zum Ablauf der im Auftrag des Kunden durchgeführten Datenverarbeitung zu erteilen. Mündliche Anweisungen müssen vom Unternehmen schriftlich (einschliesslich per E-Mail) bestätigt werden. JOIN bestätigt unverzüglich den Erhalt und die Ausführung solcher Anweisungen und informiert das Unternehmen, wenn eine Anweisung seiner Ansicht nach gegen geltendes Datenschutzrecht verstösst.

7.3 Falls das Unternehmen dies für erforderlich hält, können anweisungsberechtigte Personen benannt werden. Die Mitteilung muss schriftlich durch das Unternehmen erfolgen. Im Falle einer Änderung der anweisungsberechtigten Personen im Unternehmen hat das Unternehmen JOIN hierüber rechtzeitig zu informieren und jeweils die neue(n) Person(en) zu benennen.

7.4 Das Unternehmen hat JOIN zu informieren, wenn im Zusammenhang mit der Verarbeitung personenbezogener Daten durch JOIN Fehler oder Unregelmässigkeiten festgestellt werden.

7.5 Die Gesellschaft ist berechtigt, die Einhaltung der von JOIN gemäss § 9 getroffenen technischen und organisatorischen Datensicherheitsmassnahmen vor Beginn der Datenverarbeitung und danach in regelmässigen Abständen, jedoch höchstens einmal jährlich, nach rechtzeitiger Vorankündigung von mindestens 30 Tagen während der üblichen Geschäftszeiten und unter Berücksichtigung der Interessen von JOIN zu überprüfen. Die Gesellschaft kann diese Überprüfung auch durch einen Dritten durchführen lassen, sofern zuvor eine Vertraulichkeitsvereinbarung geschlossen wurde. Das Unternehmen ist verpflichtet, die Vergütung an die mit der Durchführung dieser Massnahmen betrauten Personen zu zahlen.

7.6 Das Unternehmen ist verpflichtet, JOIN über Datenschutzvorfälle oder andere Verstösse gegen die geltenden Datenschutzgesetze zu informieren, die die Verarbeitungsaktivitäten von JOIN betreffen.

7.7 Das Unternehmen hat JOIN unverzüglich zu informieren, wenn es Kenntnis von konkreten Massnahmen der Aufsichtsbehörden erhält, die das Unternehmen betreffen, insbesondere von Ermittlungsmassnahmen der Behörden, sofern dies die Datenverarbeitung für das Unternehmen betrifft und das Unternehmen nicht zur Geheimhaltung verpflichtet ist.

8. Pflichten von JOIN

8.1 Datenverarbeitung

JOIN ist verpflichtet, personenbezogene Daten im Rahmen dieser AVV ausschliesslich in Übereinstimmung mit dieser Vereinbarung und/oder dem zugrunde liegenden Dienstleistungsvertrag sowie den Anweisungen des Unternehmens zu verarbeiten. 

8.2 Rechte der betroffenen Person

JOIN unterstützt das Unternehmen so weit wie möglich bei der Erfüllung der Rechte der betroffenen Personen, insbesondere in Bezug auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung. 

JOIN wird auf Anweisung des Unternehmens die im Auftrag des Unternehmens verarbeiteten personenbezogenen Daten berichtigen, löschen oder deren Verarbeitung einschränken. Diese Verpflichtung gilt nicht für personenbezogene Daten, die JOIN als Verantwortlicher im Rahmen der über die Plattform angebotenen Dienste verarbeitet.

Wendet sich eine betroffene Person direkt an JOIN, um die Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu beantragen, leitet JOIN diesen Antrag unverzüglich nach Erhalt an das Unternehmen weiter. Das Unternehmen bleibt für die Bearbeitung der Anträge verantwortlich.

8.3 Interne Kontrollpflichten

JOIN hat geeignete Kontrollmassnahmen, z. B. interne Audits, Datenschutzkonzepte usw. zu implementieren, um sicherzustellen, dass die im Rahmen dieser AVV verarbeiteten personenbezogenen Daten in Übereinstimmung mit dieser Vereinbarung sowie den entsprechenden Anweisungen verarbeitet werden.

8.4 Informationspflicht

JOIN hat als Auftragsverarbeiter das Unternehmen zu informieren, wenn nach seiner Einschätzung eine Anweisung gegen gesetzliche Vorschriften verstößt. JOIN ist in diesem Fall berechtigt, die Ausführung der entsprechenden Anweisung auszusetzen, bis diese vom Unternehmen geändert wird. Dies begründet jedoch keine Überprüfungs- oder Benachrichtigungspflicht seitens JOIN.

JOIN hat das Unternehmen spätestens 48 Stunden nach Bekanntwerden über jeden Verstoss gegen Datenschutzbestimmungen, gegen die im Dienstleistungsvertrag und in der Vereinbarung festgelegten Regelungen und/oder gegen erteilte Anweisungen zu informieren, der im Rahmen der Datenverarbeitung durch JOIN, von JOIN beschäftigte Personen oder andere mit der Verarbeitung beauftragte Dritte auftritt, sofern dies die geltenden Datenschutz-Meldepflichten auslöst. Eine solche Mitteilung muss mindestens Folgendes enthalten:

1. eine Beschreibung der Art des Verstosses (einschliesslich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze);
2. die wahrscheinlichen Folgen der Verletzung; und
3. die getroffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung und zur Minderung möglicher nachteiliger Auswirkungen. 

Ist der Zugriff auf die personenbezogenen Daten, die das Unternehmen zur Datenverarbeitung an JOIN übermittelt hat, durch Massnahmen Dritter gefährdet (z. B. Massnahmen eines Insolvenzverwalters, Beschlagnahme durch Steuerbehörden usw.), ist JOIN verpflichtet, das Unternehmen darüber zu informieren.

JOIN gibt Informationen an eine anfragende Partei nur nach vorheriger Zustimmung des Unternehmens weiter, es sei denn, JOIN ist aufgrund behördlicher Massnahmen oder gerichtlicher Entscheidungen zur Auskunftserteilung verpflichtet.

8.5 Erstellung eines Verarbeitungsprotokolls

Auf Anfrage unterstützt JOIN das Unternehmen bei der Erstellung einer Aufstellung der Verarbeitungsvorgänge im Rahmen des AVV und der stattfindenden Datenverarbeitung und stellt die erforderlichen Informationen in geeigneter Form zur Verfügung.

JOIN führt zudem ein eigenes Verzeichnis aller Kategorien von Verarbeitungsvorgängen, die im Auftrag des Unternehmens durchgeführt werden, gemäss den Bestimmungen der geltenden Datenschutzgesetze.

8.6 Melde- und Kooperationspflichten

JOIN unterstützt das Unternehmen auf Anfrage bei der

1. Erfüllung seiner Berichtspflichten;
2. der Verpflichtung zur Durchführung von Datenschutz-Folgenabschätzungen;
3. der Verpflichtung zur Meldung und Mitteilung von Verletzungen des Schutzes personenbezogener Daten;
4. bei etwaigen vorherigen Konsultationen mit Aufsichtsbehörden.

8.7 Ort der Datenverarbeitung

Sofern zwischen den Parteien nichts anderes vereinbart wurde, erfolgt die Verarbeitung und Nutzung der Daten durch JOIN in der Schweiz, in der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Eine Verlagerung der Datenverarbeitungstätigkeiten von JOIN in ein Drittland ist nur zulässig, wenn die besonderen Anforderungen von Kapitel V der DSGVO oder Abschnitt 2 des DSG eingehalten werden. Das Unternehmen erklärt sich damit einverstanden, dass JOIN, sofern JOIN gemäss dieser Vereinbarung einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungsvorgänge (im Auftrag des Unternehmens) in einem Drittland beauftragt und diese Verarbeitungsvorgänge eine Übermittlung personenbezogener Daten im Sinne der DSGVO bzw. des DSG beinhalten, JOIN und der Unterauftragsverarbeiter Standardvertragsklauseln verwenden dürfen, die von der Kommission auf der Grundlage von Artikel 46(2) DSGVO verwendet werden, um die Anforderungen von Kapitel V der DSGVO zu erfüllen, sofern die Voraussetzungen für die Verwendung dieser Klauseln erfüllt sind und eine interne Bewertung zu dem Ergebnis gelangt ist, dass eine solche Übermittlung dem Datenschutzniveau der DSGVO und des DSG entspricht.

8.8 Löschung personenbezogener Daten nach Beendigung des Vertrags

Nach Beendigung des Dienstleistungsvertrags ist JOIN verpflichtet, auf Verlangen des Unternehmens alle personenbezogenen Daten, Unterlagen sowie Verarbeitungs- und Nutzungsergebnisse, die dieser AVV unterliegen und mit dem Vertragsverhältnis in Zusammenhang stehen, an das Unternehmen zu übergeben sowie unter Einhaltung der Datenschutz- und Datensicherheitsrichtlinien und gemäss den Anweisungen des Unternehmens diejenigen Daten zu löschen, zu deren weiterer Verarbeitung JOIN weder vertraglich noch gesetzlich berechtigt oder verpflichtet ist. Diese Löschpflicht gilt nicht für personenbezogene Daten, die JOIN als Verantwortlicher im Rahmen der über die Plattform angebotenen Dienste verarbeitet.

9. Datenschutzkontrollen und Prüfungsrechte

9.1 JOIN erklärt sich hiermit einverstanden, dass das Unternehmen nach vorheriger gegenseitiger Vereinbarung berechtigt ist, im erforderlichen Umfang Kontrollen zur Einhaltung der Datenschutzvorschriften und vertraglichen Vereinbarungen durchzuführen, entweder selbst oder durch Dritte, die zuvor eine Vertraulichkeitsvereinbarung abgeschlossen haben, insbesondere durch die Einholung von Informationen und die Einsichtnahme in die gespeicherten Daten und Systeme. Die Prüfungs-, Zugangs- und Einsichtsrechte des Unternehmens gemäss dieser Klausel beschränken sich ausschliesslich auf die Aufzeichnungen von JOIN (einschliesslich der Verzeichnisse der Verarbeitungsvorgänge personenbezogener Daten und der Verzeichnisse der Empfänger personenbezogener Daten) und gelten nicht für die physischen Räumlichkeiten von JOIN. Jede Prüfung und jede Auskunftsanfrage beschränkt sich auf die für die Zwecke dieser DPA erforderlichen Informationen und berücksichtigt gebührend die Vertraulichkeitsverpflichtungen von JOIN sowie dessen berechtigtes Interesse am Schutz von Geschäftsgeheimnissen.

9.2 JOIN unterstützt das Unternehmen nach besten Kräften bei der Durchführung von Überprüfungen und leistet bei Bedarf umgehend und umfassend Auskunft.

9.3 JOIN akzeptiert alle Kontrollmassnahmen der Datenschutzaufsichtsbehörde, sofern eine gesetzliche Verpflichtung dazu besteht. JOIN informiert das Unternehmen gemäss Abschnitt 8.4 nach Benachrichtigung oder Kenntnisnahme von der Durchführung der Kontrollmassnahme sowie von sonstigen Anfragen oder Untersuchungen durch die Datenschutzaufsichtsbehörde, soweit die Massnahmen oder Anfragen die Datenverarbeitung betreffen, die JOIN für das Unternehmen erbringt, und JOIN nicht gesetzlich zur Geheimhaltung verpflichtet ist.

9.4 Auf Anfrage bestätigt JOIN schriftlich die Einhaltung der in Anhang 1 genannten technischen und organisatorischen Massnahmen.

10. Auftragsvergabe und Auftragsverarbeiter

10.1 JOIN ist berechtigt, Subunternehmer mit der Datenverarbeitung gemäss den folgenden Bestimmungen zu beauftragen:

• JOIN wählt Subunternehmer sorgfältig nach ihrer Eignung und Zuverlässigkeit aus und stellt sicher, dass der jeweilige Subunternehmer ein angemessenes Datenschutzniveau gewährleistet. Bei der Beauftragung von Subunternehmern muss stets ein Schutzniveau gewährleistet sein, das mit dem dieser Vereinbarung vergleichbar ist. 
• JOIN ist verpflichtet, die vertraglichen Vereinbarungen mit den Unterauftragnehmern in Übereinstimmung mit den geltenden Vereinbarungen im Verhältnis zwischen dem Unternehmen und JOIN zu gestalten und sicherzustellen, dass etwaige ergänzende Anweisungen des Unternehmens auch für die Unterauftragnehmer gelten.
• JOIN hat das Unternehmen rechtzeitig, d. h. spätestens 30 Tage vor Beginn der geplanten Unterauftragsvergabe, über jede beabsichtigte Änderung hinsichtlich der Einbeziehung oder des Austauschs anderer Auftragsverarbeiter zu informieren. Erhebt das Unternehmen innerhalb von zwei Wochen nach Erhalt der Information keinen Widerspruch gegen die Unterauftragsvergabe, gilt diese als genehmigt. 

10.2 JOIN stellt dem Unternehmen auf Anfrage eine Kopie der Vereinbarung über die Auftragsverarbeitung zur Verfügung, sofern und soweit dies nicht den Interessen von JOIN zuwiderläuft.

10.3 JOIN wird bei Vertragsabschluss mit den in Anhang 2 genannten Unterauftragnehmern bei der Erfüllung des Vertrags zusammenarbeiten, womit das Unternehmen ausdrücklich einverstanden ist.

11. Geheimhaltung

11.1 JOIN ist bei der Verarbeitung von Daten für das Unternehmen verpflichtet, die Vertraulichkeit und den Datenschutz zu wahren.

11.2 JOIN setzt zur Vertragserfüllung nur Mitarbeiter oder sonstige Erfüllungsgehilfen ein, die im Umgang mit den übermittelten personenbezogenen Daten in ausreichendem Masse zur Geheimhaltung oder Vertraulichkeit verpflichtet sind und die ordnungsgemäss über die datenschutzrechtlichen Anforderungen unterrichtet wurden.

12. Technische und organisatorische Massnahmen

12.1 JOIN setzt die in Anhang 1 aufgeführten technischen und organisatorischen Massnahmen um.

12.2 JOIN gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmassnahmen, die in Anhang 1 aufgeführt sind. Für die Dauer des Vertragsverhältnisses trifft JOIN alle erforderlichen Massnahmen, um die Daten und die Sicherheit der Verarbeitung zu gewährleisten, insbesondere unter Berücksichtigung des aktuellen Stands der Technik, sowie um mögliche nachteilige Folgen für die betroffenen Personen zu minimieren. Um stets ein angemessenes Sicherheitsniveau für die Datenverarbeitung gewährleisten zu können, stellt JOIN sicher, dass die getroffenen Massnahmen regelmässig überprüft und gegebenenfalls aktualisiert werden. JOIN steht es frei, solche Änderungen an den technischen und organisatorischen Massnahmen vorzunehmen, die das vereinbarte Sicherheitsniveau erhöhen. JOIN informiert das Unternehmen rechtzeitig über Änderungen an diesen Massnahmen.

13. Formklausel

13.1 JOIN ist berechtigt, diese AVV zu ändern. JOIN hat das Unternehmen mindestens 30 Tage vor Inkrafttreten einer solchen Änderung zu benachrichtigen.

13.2 Alle Erklärungen der Parteien, insbesondere Mitteilungen, Ankündigungen, Erklärungen und sonstige Informationen, die der anderen Partei zu übermitteln sind, müssen zu ihrer Wirksamkeit schriftlich erfolgen. Zur Klarstellung: Der Begriff “schriftlich“ umfasst auch elektronische Signaturen und sonstige Mitteilungen in Textform.

14. Gerichtsstand

14.1 Ausschliesslicher Gerichtsstand, auch international, für alle Streitigkeiten, die sich unmittelbar oder mittelbar aus diesen AVV ergeben, ist das für den Sitz von JOIN zuständige Gericht. Die Gerichtsstandsvereinbarung gilt nicht, wenn die Streitigkeit Ansprüche betrifft, die keine Geldansprüche sind, oder wenn für die Streitigkeit bereits ein ausschliesslicher Gerichtsstand nach den gesetzlichen Bestimmungen festgelegt wurde.

14.2 JOIN ist berechtigt, das Unternehmen an dessen allgemeinem Gerichtsstand zu verklagen.

15. Sonstiges

15.1 Im Falle von Widersprüchen zwischen den Bestimmungen dieser Vereinbarung und den Bestimmungen des Dienstleistungsvertrags haben die Bestimmungen dieser Vereinbarung Vorrang.

15.2 Diese Vereinbarung unterliegt schweizerischem Recht unter Ausschluss des UN-Kaufrechts und der Kollisionsnormen. Für Kunden mit Sitz in der Europäischen Union gilt das Recht des Mitgliedstaats, in dem das Unternehmen seinen Sitz hat.

ANHANG 1 zum AVV

Technische und organisatorische Massnahmen

JOIN versichert, dass es die folgenden technischen und organisatorischen Massnahmen getroffen hat:

1. Massnahmen zur Sicherung der Vertraulichkeit

1.1. Zugangskontrolle

Massnahmen, die unbefugten Personen den physischen Zugang zu IT-Systemen und Datenverarbeitungssystemen, die personenbezogene Daten verarbeiten, sowie zu vertraulichen Akten und Datenträgern physisch verwehren.

• Der Bereich für die Datenverarbeitung ist durch eine geeignete bauliche Gestaltung angemessen gesichert
• Alle möglichen Zugänge wurden gegen unbefugten Zutritt gesichert
• Es ist ein Zugangskontrollsystem mit Chipkartenleser und Transponderschloss eingerichtet
• Es gibt eine kontrollierte Vergabe von Schlüsseln, Chipkarten usw.
• Dokumentation der Vergabe von Schlüsseln und Chipkarten
• Türsicherung (elektronischer Türöffner usw.)
• Verpflichtung der Mitarbeiter zur Geheimhaltung gemäss deutschem Bundesdatenschutzgesetz, insbesondere § 5, § 43
• Passwortrichtlinie
• Digitale Zertifikate
• Zwei-Faktor-Benutzeranmeldung (für kritische Dienste)
• Verschlüsselung der Kommunikation/Datenverarbeitung
• Einsatz von Software-Firewalls (für Windows-Geräte)
• Automatische Bildschirmsperre/Mitarbeiterrichtlinie
• Aktuelle Benutzerverwaltung
• Verschlüsselung von Datenträgern in Laptops/Notebooks
• Zuweisung von Benutzerrechten (soweit möglich, speziell für kritische Dienste eingerichtet)

1.2 Zugriffskontrolle Unbefugte

Massnahmen, um zu verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen.

• Geheimhaltungspflicht der Mitarbeiter gemäss deutschem Bundesdatenschutzgesetz, insbesondere § 5, § 43
• Berechtigungskonzepte (Profile, Rollen usw.)
• Keine Speicherung auf lokalen Servern (nur Cloud)
• Passwortverfahren, d. h. persönlicher und individueller Benutzer-Login bei der Registrierung im System (einschliesslich Sonderzeichen, Mindestlänge, regelmässige Passwortänderung)
• Es wird ein Passwortgenerator für zufällige Passwörter verwendet
• Die Übertragung der vertraulichen Anmeldedaten über das Netzwerk erfolgt verschlüsselt
• Zugangspasswörter und/oder Formulareingaben werden nicht auf dem Client oder in dessen Umgebung gespeichert (z. B. Speicherung im Browser oder auf Notizzetteln)
• Zugriffsberechtigungen werden stets individuell (persönlich) vergeben
• Der Kreis der berechtigten Personen wird auf die Anzahl reduziert, die als betrieblich notwendig erachtet wird
• Es wurde eine für die Erteilung von Zugangsberechtigungen zuständige Person benannt
• Verwaltung der Rechte durch den Systemadministrator
• Ausweisleser, kontrollierte Schlüsselvergabe, Chipkarte usw.
• Türsicherheit (elektronischer Türöffner usw.)
• Manuelles Schliesssystem
• Sicherheitsschlösser
• Zutrittskontrollsysteme mit Chipkartenlesern und Transponderschliesssystemen
• Es gibt ein sicheres Verfahren zum Zurücksetzen von Zugriffssperren, z. B. zur Neuzuweisung einer Benutzer-ID
• Begrenzung der Anzahl autorisierter Mitarbeiter
• Zugriffslisten
• Kapselung sensibler Systeme durch separate Netzwerkbereiche (da keine sensiblen Systeme vor Ort gehostet werden)
• Authentifizierungsverfahren
• Installation von Antiviren- und Spyware-Filtern, die regelmässig aktualisiert werden
• Übertragung von Daten über verschlüsselte Datennetzwerke oder Tunnelverbindungen (VPN – dies ist teilweise bei sensiblen Daten der Fall)
• Passwortrichtlinie
• Einsatz von Software-Firewalls
• Installation von Antiviren- und Spyware-Filtern, die regelmässig aktualisiert werden (für die verwendeten Geräte und Dienste erfolgt dies teilweise auf der Serverseite, ansonsten automatisch auf der Geräteseite)

1.3 Zugriffskontrolle Berechtigter

Massnahmen, die sicherstellen, dass die zur Nutzung der Datenverarbeitungsverfahren Berechtigten nur auf die personenbezogenen Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen, sodass Daten während der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, geändert oder entfernt werden können.

• Berechtigungskonzepte (Profile, Rollen usw.)
• Zugriffsberechtigungen werden stets individuell (persönlich) vergeben
• Verwaltung der Rechte durch den Systemadministrator
• Der Kreis der berechtigten Personen wird auf die Anzahl beschränkt, die als betrieblich notwendig erachtet wird
• Die Anzahl der Administratoren ist auf die als unverzichtbar erachtete Anzahl beschränkt.
• Es wurde eine für die Erteilung von Zugriffsberechtigungen zuständige Person benannt
• Jede Person mit Zugangsberechtigung kann nur auf die Daten zugreifen, die sie gemäss ihrer Zuweisung zur Bearbeitung des aktuellen Prozesses konkret benötigt und in ihrem individuellen Berechtigungsprofil eingerichtet sind.
• Berechtigungen sind an eine persönliche Benutzer-ID und ein Konto gebunden.
• Automatische Bildschirmsperre/Mitarbeiterrichtlinie
• Passwortrichtlinie
• Zuweisung von Benutzerrechten
• Protokollierung von Anmeldeversuchen und Beendigung des Anmeldevorgangs nach einer festgelegten Anzahl erfolgloser Versuche (abhängig davon, ob dies im Leistungsumfang enthalten ist)
• Protokollierung von Zugriffen und versuchten Missbräuchen (abhängig davon, ob dies im Service enthalten ist)
• Physische Löschung von Datenträgern vor der Wiederverwendung
• Einsatz von Aktenvernichtern oder Dienstleistern (wenn möglich mit Datenschutzsiegel und/oder Zertifizierung)

1.4 Trennungsgebot

Massnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet und von anderen Daten und Systemen so getrennt werden, dass diese Daten nicht versehentlich für andere Zwecke verwendet werden können.

• Kundentrennung, softwareseitig
• Trennung von Test- und Produktionssystemen: Aufteilung in Entwicklungsserver, Staging-Server und Produktionsserver
• Getrennte Datenbanken und Dienste (beispielsweise wird in der Vertriebsdatenbank nur die Firmen-ID gespeichert, nicht jedoch weitere Informationen über das Unternehmen (diese sind in einer anderen Datenbank gespeichert). Ebenso werden Leistungsdaten für ein bestimmtes Produkt pro Kunde von beiden vorgenannten Datenbanken getrennt.

1.5 Pseudonymisierung

Massnahmen, die die direkte Zuordnung personenbezogener Daten zu einer bestimmten betroffenen Person während der Verarbeitung so einschränken, dass die Identifizierung einer bestimmten betroffenen Person nur unter Einbeziehung zusätzlicher Informationen möglich ist. Diese zusätzlichen Informationen müssen unter Anwendung geeigneter technischer und organisatorischer Massnahmen getrennt vom Pseudonym gespeichert werden.

• Generalisierung
• Verschlüsselung sensibler Daten bei der Speicherung in der Datenbank (z. B. Blowfish-Verschlüsselung für gespeicherte Passwörter)
• Verwendung von HTTPS auf der gesamten Website und bei der Übertragung besonders sensibler Informationen
• Token für die Übertragung der Zahlungsdaten
• App- und Datenbankkommunikation über OAuth
• Getrennte Datenbanken und Dienste (beispielsweise wird in der Verkaufsdatenbank nur die Firmen-ID gespeichert, nicht jedoch weitere Informationen über das Unternehmen (diese werden in einer anderen Datenbank gespeichert). Ebenso werden Leistungsdaten für ein bestimmtes Produkt pro Kunde von beiden vorgenannten Datenbanken getrennt.

2. Massnahmen zur Sicherung der Integrität

2.1 Übertragungskontrolle

Massnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, sowie Massnahmen, mit denen überprüft und festgestellt werden kann, wohin personenbezogene Daten übertragen werden sollen.

• Angemessene Aufgabentrennung
• Zuweisung persönlicher Benutzerkonten
• Passwortrichtlinie
• Begrenzte Vergabe von Administratorrechten
• Begrenzte Vergabe von Zugriffsrechten auf Daten
• Deaktivierung nicht genutzter Benutzerkonten
• Unbefugten wird der Zugang zu den Verarbeitungsanlagen verwehrt 
• Unbefugter Zugriff auf personenbezogene Daten wird verhindert
• Eine unbefugte Änderung oder Löschung personenbezogener Daten wird verhindert
• Personenbezogene Daten werden nur auf Anweisung des Unternehmens verarbeitet
• Übertragung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN)
• Die Datenübertragung zwischen Clients und Servern ist verschlüsselt (SSL, SSH oder SFTP)
• Die Verbindung zu den Backend-Systemen ist geschützt.
• Daten mit hohen Schutzanforderungen werden verschlüsselt.
• Abwicklung von Prozessen unter individueller Verantwortung
• Verwaltung der Rechte durch den Systemadministrator
• Speicherung von Zugriffs- und/oder Protokolldateien
• Hardwarekomponenten oder Dokumente werden so vernichtet, dass eine Wiederherstellung gänzlich oder nur mit unverhältnismässigem Aufwand möglich ist (Anmerkung: abhängig vom Dokument)
• Einsatz von Software-Firewalls
• Die Firewalls sind stets aktiviert
• Gegenseitige Authentifizierung unter Verwendung kryptografischer Verfahren (Mensch-Maschine-Authentifizierung) – 2-Faktor-Authentifizierung über zusätzliche App, unabhängig von der Position für alle kritischen Systeme

2.2 Kontrolle der Dateneingabe

Massnahmen, die sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in den IT-Systemen abgerufen, geändert oder gelöscht wurden.

• Rückverfolgbarkeit der Personen, die auf Daten zugegriffen, diese geändert oder gelöscht haben, durch die Verwendung individueller Benutzernamen (keine Benutzergruppen)
• Vergabe von Rechten zum Zugriff, zur Änderung und zum Löschen von Daten auf der Grundlage eines Berechtigungskonzepts
• Protokollierung aller Systemaktivitäten und Aufbewahrung dieser Protokolle für mindestens drei Jahre

3. Massnahmen zur Gewährleistung der Verfügbarkeit und Zuverlässigkeit

3.1 Verfügbarkeitskontrolle

Massnahmen zur Gewährleistung, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind.

• Wiederherstellungs- und Sicherungskonzepte (RAID, Festplattenspiegelung usw.)
• Regelmässige Durchführung von Backups
• Es werden regelmässig Überprüfungen durchgeführt, um festzustellen, ob eine Wiederherstellung aus einem Backup möglich ist (Datenwiederherstellung)
• Brand- und Rauchmeldeanlagen
• Feuerlöschanlage/Feuerlöscher in oder vor den Elektronikräumen
• Klimatisierung in Elektronikräumen
• Elektronikräume befinden sich nicht unter Sanitär- oder Wasserleitungen
• Keine Serverräume im Gebäude, alle Daten und Tools laufen über die Cloud

3.2 Schnelle Wiederherstellbarkeit

Massnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit von und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen.

• Regelmässige Tests der Datenwiederherstellung
• Wiederherstellungs- und Backup-Konzepte (RAID, Festplattenspiegelung usw.)
• Regelmässige Durchführung von Backups
• Es werden regelmässig Überprüfungen durchgeführt, um festzustellen, ob eine Wiederherstellung aus einem Backup möglich ist (Datenwiederherstellung)
• Backups werden an einem sicheren, externen Standort aufbewahrt

4. Massnahmen zur regelmässigen Bewertung der Sicherheit der Datenverarbeitung

Massnahmen zur Gewährleistung einer datenschutzkonformen und sicheren Verarbeitung. 

• Datenschutzmanagement
• Allgemeines Datenschutzkonzept
• Löschkonzept
• Betriebsanweisungen sind dokumentiert
• Formalisiertes Vertragsmanagement

5. Massnahmen zur Gewährleistung der Zuverlässigkeit

Massnahmen zur Sicherstellung, dass alle Funktionen des Systems bzw. der Systeme verfügbar sind und auftretende Störungen gemeldet werden.

• Verfügbarkeitsüberwachung der relevanten Dienste
• Systemredundanzen
• Systemüberwachung
• Überwachung über ein automatisiertes Netzwerkmanagementsystem (NMS)
• Notfallpläne
• Einsatz von Test-/Pre-Staging-Systemen
• Einsatz eines Versionsverwaltungssystems für Betriebssysteme
• Warnmeldungen

6. Massnahmen zur Gewährleistung der Zuverlässigkeit

Massnahmen zur Gewährleistung, dass für unterschiedliche Zwecke erhobene personenbezogene Daten getrennt verarbeitet werden können.

• Datenschutzkonzept
• Berechtigungskonzepte (Profile, Rollen usw.) und deren Dokumentation
• Festlegung von Datenbankrechten
• Einrichtung von Datenkategorien mit unterschiedlichen Speicherorten
• Interne Mandantenfähigkeit
• Logische Mandantentrennung
• Internes Kennzeichnungskonzept
• Die Daten verschiedener JOIN-Kunden werden je nach Inhalt in separaten Dateien und in separaten Verzeichnissen gespeichert und nicht zusammengeführt
• Zugriffskonzepte
• Isolierung von Datensätzen, Systemen (z. B. UAT, Staging und Produktion) und Prozessen
• Physische Trennung von Datenkategorien
• Trennung besonders sensibler Daten

ANHANG 2 zum AVV

Liste der von JOIN beauftragten Auftragsverarbeiter

Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg

Zweck: E-Mail-Versand

Ort der Verarbeitung: Deutschland (Frankfurt – Region „eu-central-1“)

Details: E-Mail-Versanddienst (Amazon SES) zum Versenden von Produkt- und Transaktions-E-Mails, auch im Auftrag des Verantwortlichen im Rahmen der Dienstleistungen.

Cloudflare Inc.,  101 Townsend St, San Francisco, CA 94107, USA

Zweck: Sicherheit und Leistung

Ort der Verarbeitung: Vereinigte Staaten von Amerika

Details: Web Application Firewall (WAF), CDN und DDoS-Schutz für JOIN-Dienste.

FrontApp Inc., 525 Brannan St, San Francisco, CA 94107, USA

Zweck: Kundenkommunikation und Support

Ort der Verarbeitung: Vereinigte Staaten von Amerika

Details: Plattform für die Kundenkommunikation zur Verwaltung gemeinsamer Posteingänge, Interaktionen im Kundensupport und E-Mail-Workflows.

Functional Software Inc. (Sentry), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA

Zweck: Anwendungsüberwachung

Ort der Verarbeitung: Vereinigte Staaten von Amerika

Details: Fehlerüberwachung und Leistungserfassung für die JOIN-Anwendung. Kann technische Daten in Protokollen verarbeiten.

Google Cloud EMEA Limited, Gordon House, Barrow Street, Dublin 4, Ireland

Zweck: Cloud-Infrastruktur

Verarbeitungsort: Belgien (Region „europe-west1“)

Details: Hosting und Speicherung für die JOIN-Plattform, einschließlich virtueller Maschinen (Compute Engine), verwalteter Datenbanken (Cloud SQL / Firestore), Objektspeicher (Cloud Storage), Netzwerkdienste und Backups.

Google Ireland Limited (Workspace), Gordon House, Barrow Street, Dublin 4, Ireland

Zweck: Produktivität und Kommunikation

Ort der Verarbeitung: Irland (EU-Datenregionen, sofern zutreffend)

Details: E-Mail- und Produktivitätssuite (Gmail, Drive, Docs, Sheets, Meet, Calendar) für interne Abläufe und die Kommunikation mit Kunden.

Intuit Inc. (Mailchimp), 2700 Coast Avenue, Mountain View, CA 94043, USA

Zweck: E-Mail-Versand

Ort der Verarbeitung: Vereinigte Staaten von Amerika

Details: E-Mail-Plattform, die zum Versenden von Marketing-, Produkt- und Transaktions-E-Mails an Nutzer und im Auftrag des Verantwortlichen verwendet wird.

Linear Orbit, Inc., 2261 Market Street #4455, San Francisco, CA 94114, USA

Zweck: Problemverfolgung und Produktmanagement

Ort der Verarbeitung: Vereinigte Staaten von Amerika

Details: Tool zur Problemverfolgung und zum Produktmanagement, das zur Verwaltung der Produktentwicklung, zur Fehlerverfolgung und für interne Arbeitsabläufe verwendet wird.

Testlify Inc., 2823 Oakley Ave, Bensalem PA 19020, USA

Zweck: Bewertung und Prüfung von Bewerbern

Ort der Verarbeitung: Vereinigte Staaten von Amerika

Details: Plattform für Einstellungsprüfungen, die dazu dient, die Fähigkeiten von Bewerbern im Rahmen des Einstellungsprozesses mittels Online-Tests und -Bewertungen zu beurteilen.