1.1. Diese Datenverarbeitungsvereinbarung (die“DPA“) regeln die Verarbeitung personenbezogener Daten im Rahmen der Erbringung der von Unplex oder seinen verbundenen Unternehmen für den Abonnenten bereitgestellten Dienste und sind Teil der Vereinbarung zwischen den Parteien.
1.2. Diese Datenschutzvereinbarung regelt die Rechte und Pflichten des Abonnenten in seiner Eigenschaft als Datenverantwortlicher sowie die Rechte und Pflichten von Unplex in seiner Eigenschaft als Datenverarbeiter, wenn Unplex personenbezogene Daten im Auftrag des Abonnenten gemäß der Vereinbarung verarbeitet.
1.3. Der Zweck dieser Datenschutzvereinbarung besteht darin, die Verarbeitung personenbezogener Daten gemäß den Anforderungen der geltenden Datenschutzgesetze zu regeln. Konzepte, Begriffe und Ausdrücke in diesem DPA sind gemäß den geltenden Datenschutzgesetzen (wie unten definiert) auszulegen.
1.4. Im Falle eines Widerspruchs zwischen dem Rest der Vereinbarung und dieser DPA (einschließlich ihrer Anlagen) hat der Wortlaut dieser DPA Vorrang.
1.5. Die folgenden Anlagen sind Teil des DPA:
(a) Anhang A — Spezifikation der Datenverarbeitung
(b) Anhang B — Vorab zugelassene Unterauftragsverarbeiter
(c) Anlage C — Sicherheitsmaßnahmen
1,6. Großgeschriebene Begriffe, die in diesem Dokument verwendet, aber nicht definiert werden, haben die im Auftragsformular für die Vereinbarung oder in den Allgemeinen Geschäftsbedingungen von Unplex AI angegebene Bedeutung.
Definierte Begriffe:
“Anwendbare Datenschutzgesetze“ bezeichnet alle national oder international verbindlichen Datenschutzgesetze, Rechtsprechung und Vorschriften, die in der Schweiz und der Europäischen Union gelten (die“EU„), einschließlich der Allgemeinen Datenschutzverordnung der EU („DSGVO“) und der geltenden untergeordneten Gesetze und Vorschriften zur Umsetzung dieser Gesetze in der jeweils gültigen und ergänzten Fassung.
“Personenbezogene Daten“ bezeichnet alle Informationen, die gemäß der DSGVO als personenbezogene Daten definiert sind und die Unplex im Auftrag des Abonnenten und/oder seiner verbundenen Unternehmen verarbeitet, um die Dienste im Rahmen der Vereinbarung bereitzustellen.
“Eingeschränkte Übertragung“ bedeutet wie in Klausel 5.2 definiert.
“Standardvertragsklauseln“ bedeutet wie in Klausel 5.3 definiert.
2.1. Unplex verpflichtet sich, personenbezogene Daten für die in diesem DPA (einschließlich Anhang A) festgelegten Zwecke und gemäß den schriftlichen Anweisungen des Abonnenten zu verarbeiten, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben. Die Anweisungen des Abonnenten an Unplex in Bezug auf den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sowie die Rechte und Pflichten beider Parteien sind in dieser DPA und in Anhang A dargelegt.
2.2. Als Datenverarbeiter und Dienstleister verpflichtet sich Unplex dazu:
(a) als Verarbeiter der personenbezogenen Daten alle geltenden Datenschutzgesetze einzuhalten, die für sie gelten;
(b) mit vom Abonnenten durchgeführten Audits zusammenarbeiten; und
(c) Informieren Sie den Abonnenten unverzüglich, wenn nach Ansicht von Unplex eine Anweisung des Abonnenten gegen geltende Datenschutzgesetze verstößt;
2.3. Jede Übertragung personenbezogener Daten an Unplex unter Verwendung der Dienste erfolgt unter Verwendung sicherer, angemessener und geeigneter Mechanismen für Datenübertragungen.
2.4. Unplex wird den Abonnenten unverzüglich über jede Kommunikation mit einer Datenschutzbehörde informieren, die sich auf die Verarbeitung personenbezogener Daten durch Unplex im Rahmen dieses DPA bezieht, und Unplex wird dem Abonnenten angemessene Unterstützung bieten, wenn der Abonnent eine Anfrage von dieser Behörde erhält oder einer behördlichen Untersuchung unterzogen wird. Wenn betroffene Personen, zuständige Behörden oder andere Dritte von Unplex Informationen über die Verarbeitung personenbezogener Daten, die unter diese Datenschutzvereinbarung fallen, anfordern, leitet Unplex diese Anfragen außerdem an den Abonnenten weiter, soweit dies nach schweizerischem Recht, EU-Recht oder dem Recht der EU-Mitgliedstaaten zulässig ist.
2,5. Unplex unterstützt den Abonnenten in angemessener Weise durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtungen zur Umsetzung angemessener Sicherheitsverfahren und -praktiken, die der Art der personenbezogenen Daten angemessen sind.
2.6. Die Unterstützung des Abonnenten durch Unplex gemäß den Abschnitten 2.4 und 2.5 erfolgt auf angemessene Kosten des Abonnenten, es sei denn, der Grund für die Unterstützung ist eine direkte Folge einer Handlung oder Unterlassung von Unplex oder seinen verbundenen Unternehmen.
3.1. Der Abonnent stellt sicher, dass er über eine gültige Rechtsgrundlage und alle erforderlichen Rechte, Einwilligungen und Genehmigungen verfügt, um Unplex die personenbezogenen Daten zur Verfügung zu stellen und Unplex zu autorisieren, diese personenbezogenen Daten gemäß dieser DPA, der Vereinbarung und/oder anderen vom Abonnenten an Unplex bereitgestellten Verarbeitungsanweisungen zu verarbeiten.
3.2. Der Abonnent muss als Verantwortlicher für die personenbezogenen Daten alle geltenden Datenschutzgesetze einhalten, die für ihn gelten.
3.3. Der Abonnent darf Unplex keine personenbezogenen Daten zur Verfügung stellen, außer über vereinbarte Mechanismen. Beispielsweise darf der Abonnent keine personenbezogenen Daten, mit Ausnahme der technischen Kontaktinformationen, in Tickets für den technischen Support angeben.
4.1. Unplex ist, vorbehaltlich dieser Klausel 4.2 und Klausel 5, berechtigt, Subunternehmer als Unterauftragsverarbeiter zu beauftragen, und zwar unter der Bedingung, dass sie an eine schriftliche Vereinbarung gebunden sind, die ihnen im Wesentlichen dieselben Datenverarbeitungspflichten auferlegt wie die Verpflichtungen aus dieser DPA in Bezug auf den Datenschutz.
4.2. Unplex wird den Abonnenten über alle neuen Unterauftragsverarbeiter informieren und dem Abonnenten die Möglichkeit geben, solchen Änderungen zu widersprechen. Solche Einwände des Abonnenten müssen auf Gründen beruhen, die die Fähigkeit des neuen Unterauftragsverarbeiters betreffen, die geltenden Datenschutzgesetze einzuhalten, und müssen innerhalb von dreißig (30) Tagen nach Erhalt der Informationen schriftlich geltend gemacht werden. Unplex darf vor Ablauf der 30-Tage-Frist keinen neuen Unterauftragsverarbeiter beauftragen. Unplex stellt dem Abonnenten auf Anfrage solche Informationen zur Verfügung, die der Abonnent nach vernünftigem Ermessen anfordern kann, um zu beurteilen, ob der vorgeschlagene Unterauftragsverarbeiter in der Lage ist, die geltenden Datenschutzgesetze einzuhalten. Wenn Unplex trotz des Einspruchs des Abonnenten den vorgeschlagenen Unterauftragsverarbeiter beauftragen möchte, werden die Parteien nach Treu und Glauben eine alternative Lösung erörtern und versuchen, sie zu finden, die für beide Parteien vernünftigerweise akzeptabel ist. Wenn die Parteien keine alternative Lösung finden und der Abonnent immer noch Einwände gegen die Ernennung des Unterauftragsverarbeiters erhebt und wenn der Widerspruch des Abonnenten zu zusätzlichen Kosten oder Auslagen für Unplex führen würde, ist Unplex berechtigt, seine Gebühren gemäß der Vereinbarung so anzupassen, dass sicherstellen, dass Unplex für diese zusätzlichen Kosten entschädigt wird und/oder erhöhte Kosten oder Ausgaben. Ungeachtet des vorstehenden Satzes kann Unplex die Vereinbarung mit angemessener schriftlicher Mitteilung kündigen, wenn der Einspruch des Abonnenten zu Kosten oder betrieblichen Folgen führen würde, die nach Ansicht von Unplex wirtschaftlich nicht angemessen wären.
5.1. Unplex darf ohne die vorherige schriftliche Zustimmung des Abonnenten keine personenbezogenen Daten außerhalb der Schweiz oder der EU/des EWR verarbeiten oder Unterauftragsverarbeiter beauftragen, die personenbezogenen Daten außerhalb der Schweiz oder der EU/des EWR zu verarbeiten. Anhang B enthält eine vollständige Liste seiner Unterauftragsverarbeiter, die ab dem Datum des Inkrafttretens dieser DPA vom Abonnenten vorab genehmigt wurden.
5.2. Jede Übertragung personenbezogener Daten in ein Land außerhalb der Schweiz, das weder ein Mitgliedstaat der EU noch des EWR ist (einschließlich der Bereitstellung der personenbezogenen Daten in einem solchen Land, z. B. durch Fernzugriff) (a“Eingeschränkte Übertragung“) bedarf der vorherigen schriftlichen Zustimmung des Abonnenten. Unplex stellt alle vernünftigerweise relevanten Informationen bezüglich der eingeschränkten Übertragung zur Verfügung, damit der Abonnent eine fundierte Entscheidung treffen kann, einschließlich Angaben zu dem Land oder Gebiet, in das die personenbezogenen Daten übertragen werden.
5.3. In Ermangelung eines Angemessenheitsbeschlusses der EU-Kommission vereinbaren und erkennen die Parteien an, dass die am 4. Juni 2021 verabschiedeten Standardvertragsklauseln der Europäischen Kommission oder alle Klauseln, die danach diese Standardvertragsklauseln ersetzen (für die Zwecke dieses DPA die „Standardvertragsklauseln“), die jeweils angemessene Schutzmaßnahme darstellen und wie folgt umgesetzt werden:
5.4. Unplex stellt sicher, dass die eingeschränkte Übertragung angemessenen Schutzmaßnahmen gemäß Kapitel V der DSGVO unterliegt, und kann sich zu diesem Zweck auf die Standardvertragsklauseln stützen, sofern die Klauseln, einschließlich zusätzlicher Sicherheitsmaßnahmen, ein im Wesentlichen gleichwertiges Schutzniveau gewährleisten. Die Parteien erkennen an und vereinbaren, dass Unplex oder gegebenenfalls sein Unterauftragsverarbeiter Modul 3 der Standardvertragsklauseln anwenden werden.
5.5. Unplex versichert und gewährleistet, dass Unplex keinen Grund zu der Annahme hat, dass Gesetze oder Praktiken, die für das Unternehmen oder seine Unterauftragsverarbeiter gelten, auch in Ländern, in die personenbezogene Daten entweder selbst oder durch einen Unterauftragsverarbeiter übertragen werden, es daran hindern, seinen Verpflichtungen aus den geltenden Datenschutzgesetzen, dieser DPA oder seinen Verpflichtungen aus den Standardvertragsklauseln nachzukommen. Für den Fall, dass Unplex seinen Verpflichtungen aus dieser Klausel 5.5 nicht nachkommen kann, verpflichtet sich Unplex, den Abonnenten unverzüglich zu benachrichtigen.
6.1. Um ein angemessenes Sicherheitsniveau für den Schutz personenbezogener Daten aufrechtzuerhalten und unbeschadet der Verpflichtungen zur Informationssicherheit und Vertraulichkeit, die sich ansonsten aus der Vereinbarung ergeben, verpflichtet sich Unplex zu den folgenden geeigneten technischen und organisatorischen Maßnahmen:
(a) Datenverschlüsselung: Implementieren Sie eine starke Verschlüsselung für Daten im Ruhezustand und bei der Übertragung.
(b) Zugriffskontrolle: Setzen Sie strenge Zugriffskontrollen durch, einschließlich Mehrfaktorauthentifizierung und rollenbasiertem Zugriff, um sicherzustellen, dass nur autorisiertes Personal auf personenbezogene Daten zugreift.
(c) Datenminimierung: Verarbeiten und speichern Sie nur die notwendigen personenbezogenen Daten.
(d) Regelmäßige Sicherheitsbewertungen: Führen Sie regelmäßige Sicherheitsaudits und Schwachstellenbewertungen durch.
(e) Notfallplan: Erstellung und Pflege eines soliden Notfallplans für Datenschutzverletzungen oder Sicherheitsvorfälle.
(f) Mitarbeiterschulung: Bieten Sie allen Mitarbeitern regelmäßige Schulungen zum Datenschutz und zur Einhaltung der DSGVO an.
(g) Datensicherung und -wiederherstellung: Sorgen Sie für effektive Verfahren zur Datensicherung und -wiederherstellung.
(h) Regelmäßige Updates und Patch-Management: Sorgen Sie für zeitnahe Updates und Patches aller Systeme und Software.
(i) Datenintegrität und Vertraulichkeit: Umsetzung von Maßnahmen zur Wahrung der Datenintegrität und Vertraulichkeit.
(j) Datenschutz durch Technikgestaltung und Voreinstellung: Halten Sie sich bei allen Prozessen an die DSGVO-Prinzipien von Datenschutz durch Technik und Voreinstellungen.
6.2. Unplex schützt die personenbezogenen Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten. Die personenbezogenen Daten müssen auch vor anderen Formen der rechtswidrigen Verarbeitung geschützt werden.
6.3. Unplex stellt sicher, dass nur Mitarbeiter und andere Vertreter, die Zugriff auf personenbezogene Daten benötigen, um die Verpflichtungen von Unplex aus der Vereinbarung zu erfüllen, Zugriff auf diese Informationen haben. Unplex garantiert, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Darüber hinaus müssen alle zur Verarbeitung personenbezogener Daten befugten Personen eine ausreichende und notwendige Schulung erhalten, um sich mit der DSGVO und den Datenverarbeitungsvereinbarungen vertraut zu machen.
7.1. Unplex wird den Abonnenten unverzüglich und spätestens innerhalb von sechsunddreißig (36) Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informieren.
7.2. Unplex unterstützt den Abonnenten mit allen Informationen, die nach vernünftigem Ermessen erforderlich sind, um die Anforderungen des Abonnenten zur Meldung von Datenschutzverletzungen gemäß den geltenden Datenschutzgesetzen zu erfüllen.
Unplex wird auf angemessene Kosten des Abonnenten, unter Berücksichtigung der Art der Verarbeitung und der Unplex zur Verfügung stehenden Informationen, den Abonnenten dabei unterstützen, seiner Verpflichtung nachzukommen, gegebenenfalls Datenschutz-Folgenabschätzungen und vorherige Konsultationen mit der Datenschutzbehörde durchzuführen.
9.1. Der Abonnent hat das Recht, die Verarbeitung der personenbezogenen Daten des Abonnenten durch Unplex zu überprüfen, um zu überprüfen, ob Unplex diese DPA und die geltenden Datenschutzgesetze einhält. Dieses Prüfungsrecht ist auf einmal pro (12) Zeitraum von zwölf Monaten begrenzt, es sei denn, der Abonnent hat triftige Gründe zu der Annahme, dass Unplex seine Verpflichtungen aus diesem DPA erheblich verletzt hat.
9.2. Unplex verpflichtet sich, dem Abonnenten alle Informationen und andere Unterstützung zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der in diesem DPA festgelegten Verpflichtungen nachzuweisen, und Audits, einschließlich Inspektionen vor Ort, zu ermöglichen und dazu beizutragen, die von einem autorisierten und seriösen Prüfer durchgeführt werden, der vom Abonnenten beauftragt wird, sofern die Personen, die die Prüfungen durchführen, Vertraulichkeitsvereinbarungen abschließen oder an gesetzliche Vertraulichkeitsverpflichtungen gebunden sind.
9.3. In diesem Zusammenhang wird darauf hingewiesen, dass es unter den Kunden von Unplex Unternehmen geben kann, die den gesetzlichen und/oder Anwaltskammern zur Vertraulichkeit in Bezug auf Kunden-/Kundenangelegenheiten unterliegen (z. B. Banken, Finanzinstitute, Anwaltskanzleien usw.). Daher erkennt der Abonnent an, dass Prüfungen im Rahmen dieses DPA nicht den Zugang zu Informationen beinhalten, die sich auf andere Kunden von Unplex beziehen oder diesen gehören.
9.4. Der Abonnent ist für alle mit Audits verbundenen Kosten verantwortlich, einschließlich der Kosten, die bei Unplex anfallen.
Die Bestimmungen dieser DPA gelten, solange Unplex personenbezogene Daten verarbeitet, für die der Abonnent die Datenverantwortliche ist, oder bis diese DPA durch eine andere Datenverarbeitungsvereinbarung ersetzt wird.
11,1. Vor Ablauf dieses DPA löscht Unplex nach Wahl und Anweisung des Abonnenten alle personenbezogenen Daten sicher oder gibt sie an den Abonnenten zurück, es sei denn, die geltenden Datenschutzgesetze schreiben vor, dass Unplex die personenbezogenen Daten speichert. In diesem Fall gelten die in Klausel 11.4 (i) — (ii) festgelegten Verpflichtungen.
11.2. Wenn die Rückgabe oder Zerstörung nicht praktikabel oder zufällig durch eine gültige gesetzliche Anforderung nach schwedischem oder EU-Recht verboten ist, ergreift Unplex Maßnahmen, um den Abonnenten zu informieren und diese personenbezogenen Daten für jegliche weitere Verarbeitung zu sperren (außer in dem Umfang, der für das weitere Hosting oder die Verarbeitung nach schweizerischem oder EU-Recht erforderlich ist) und die in seinem Besitz, in seiner Obhut oder Kontrolle verbleibenden personenbezogenen Daten weiterhin angemessen zu schützen und, falls ein autorisierter Unterauftragsverarbeiter weiterhin personenbezogene Daten besitzt, von den autorisierten Unterauftragsverarbeitern zu verlangen Prozessor zur Aufnahme des dieselben Maßnahmen, die von Unplex verlangt würden.
11,3. Auf Anfrage des Abonnenten informiert Unplex schriftlich über die Maßnahmen, die nach Abschluss der in Klausel 11.1 beschriebenen Verarbeitung in Bezug auf die personenbezogenen Daten ergriffen wurden.
11,4. Wenn Unplex nach schweizerischem, EU-Recht oder dem Recht der Mitgliedstaaten gesetzlich verpflichtet ist, Archivkopien bestimmter Daten, die dem Abonnenten gehören, aus steuerlichen oder ähnlichen regulatorischen Gründen aufzubewahren, wird Unplex den Abonnenten schriftlich darüber informieren und dabei die rechtlichen Verpflichtungen und die betroffenen Abonnentendaten angeben, (ii) die archivierten Informationen nicht für andere Zwecke verwenden, als den geltenden rechtlichen Verpflichtungen strikt nachzukommen; und (iii) an seine Verpflichtungen aus der Vereinbarung gebunden, einschließlich dieser DPA, einschließlich ihrer Vertraulichkeits- und Sicherheitsverpflichtungen gemäß der Vereinbarung und den Verpflichtungen aus diesem DPA, die Informationen durch angemessene Sicherheitsvorkehrungen zu schützen und den Abonnenten über alle Sicherheitsvorfälle zu informieren, die die Informationen betreffen.
12,1. Änderungen dieser DPA bedürfen zu ihrer Gültigkeit der schriftlichen Vereinbarung und der ordnungsgemäßen Unterzeichnung durch bevollmächtigte Vertreter beider Parteien.
12,2. Ungeachtet der Klausel 12.1 ist der Abonnent berechtigt, seine schriftlichen Anweisungen zur Verarbeitung gemäß Anlage A zu aktualisieren. Unplex hat Anspruch auf eine Vergütung für alle angemessenen und verifizierten zusätzlichen Kosten, die Unplex entstehen, weil der Abonnent seine schriftlichen Anweisungen zur Verarbeitung geändert hat. Ungeachtet des Vorstehenden ist aufgrund von Änderungen der schriftlichen Anweisungen, die unmittelbar auf behördliche Anforderungen zurückzuführen sind oder direkt auf diesen beruhen, keine Vergütung zu zahlen.
13,1. Verwaltungsstrafen: Bußgelder gemäß Artikel 83 der DSGVO sind von der Vertragspartei zu tragen, die als Empfänger solcher Sanktionen benannt ist.
13,2. Schäden an betroffene Personen: Im Falle eines Schadens im Zusammenhang mit der Verarbeitung personenbezogener Daten, der einer betroffenen Person aufgrund eines Verstoßes gegen eine Bestimmung in diesem DPA, Anweisungen und/oder einer anwendbaren Bestimmung der geltenden Datenschutzgesetze zu zahlen ist, gilt Artikel 82 der DSGVO.
13,3. Sonstige Schäden: In Bezug auf alle anderen Ansprüche, die sich aus einem Verstoß gegen diese DPA ergeben, gelten die Haftungsbestimmungen und deren Beschränkungen, die in den Allgemeinen Geschäftsbedingungen von Unplex AI festgelegt sind, für diese DPA.
Dieses DPA wurden aus der englischen Originalfassung ins Deutsche übersetzt. Die Übersetzung dient lediglich der leichteren Verständlichkeit. Im Falle von Widersprüchen oder Auslegungsunterschieden zwischen dieser deutschen Übersetzung und der englischen Originalfassung ist ausschließlich die englische Originalfassung maßgeblich und verbindlich.
14,1. Dieses DPA unterliegt schweizerischem Recht und wird entsprechend ausgelegt.
14,2. Alle Streitigkeiten, Kontroversen oder Ansprüche, die sich aus oder im Zusammenhang mit dieser DPA oder deren Verletzung, Kündigung oder Ungültigkeit ergeben, werden gemäß der in den Nutzungsbedingungen von Unplex festgelegten Bestimmung zur Streitbeilegung endgültig beigelegt.
1.1. Kurzbeschreibung des Dienstes und der Zwecke der Verarbeitung
Unplex bietet Teams über eine SaaS-Lösung eine zentrale Automatisierung der rechtlichen Arbeitsabläufe. Die Dienste sind in der Vereinbarung definiert und beinhalten unter anderem eine KI-Chat-Schnittstelle für die Interaktion mit öffentlichen Rechtsquellen sowie die Organisations- und Abonnentendaten. Unplex verarbeitet personenbezogene Daten im Auftrag des Abonnenten zum Zwecke der Bereitstellung rechtlicher Anwendungen auf der Grundlage künstlicher Intelligenz.
1.2. Kategorien personenbezogener Daten
(a) Benutzerdaten
(b) Betroffene Personen in Kundeneingabedaten
(c) Inhaltsdaten
(d) Leistungsdaten
(e) Gerätedaten
(f) Aktivitätsdaten
(g) Unterstützungsdaten
1.3. Kategorien von betroffenen Personen
Unplex verarbeitet personenbezogene Daten in Bezug auf
(a) alle betroffenen Personen in den Eingabedaten des Abonnenten, die in die Unplex-Plattform eingegeben wurden, und
(b) die Endnutzer der Dienste durch den Abonnenten, zu denen die folgenden Kategorien von betroffenen Personen gehören können:
(i) Natürliche Personen, die vom Abonnenten zur Verwaltung und Nutzung der Dienste ermächtigt wurden, wie z. B.:
(ii) Mitarbeiter und Partner des Abonnenten
(iii) Dritte des Abonnenten, wie Auftragnehmer, Berater, Berater
(iv) Die Kunden des Abonnenten
(v) Kontaktpersonen bei Dritten des Abonnenten, wie Auftragnehmer, Berater, Berater
(vi) Ansprechpartner bei den Kunden des Abonnenten
1.4. Verarbeitungsvorgänge
Unplex erhebt, speichert, organisiert und analysiert die personenbezogenen Daten für den oben angegebenen Zweck, wie in der Vereinbarung enthalten und gemäß den Anweisungen des Abonnenten.
1.5. Ort der Verarbeitungsvorgänge
Schweiz und wie in Anlage B angegeben.
Für jeden Subprozessor, den wir verwenden, wenden wir die Prinzipien der geringsten Privilegien an. Das bedeutet, dass jedes Drittsystem nur Zugriff auf die Mindestdaten hat, die zur Erfüllung seines Zwecks erforderlich sind
Unsere Verpflichtungen gegenüber dem Abonnenten bestehen darin, eine kontinuierliche, qualitativ hochwertige Erbringung unserer Dienstleistungen sicherzustellen, die auf einem Höchstmaß an Sicherheit und Belastbarkeit basiert. Wir verwenden die neueste Technologie, um sicherzustellen, dass unsere Infrastruktur zuverlässig ist und die Abonnentendaten geschützt sind. So wie wir harte Arbeit in unser Produkt stecken, stecken wir auch die gleiche Energie und Begeisterung in unsere Sicherheitspraktiken.
Dieses Dokument beschreibt die technischen und organisatorischen Sicherheitsmaßnahmen und -kontrollen, die von Unplex zum Schutz personenbezogener Daten und zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität und Verfügbarkeit der Produkte und Dienstleistungen von Unplex implementiert wurden. Weitere Informationen zu den von uns ergriffenen Maßnahmen sind auf Anfrage erhältlich. Unplex behält sich das Recht vor, diese technischen und organisatorischen Maßnahmen jederzeit ohne vorherige Ankündigung zu ändern, sofern durch solche Änderungen der Schutz personenbezogener Daten, die Unplex bei der Bereitstellung seiner Produkte und Dienstleistungen verarbeitet, nicht wesentlich eingeschränkt oder geschwächt wird.
Unplex ist eine web- und desktopbasierte zentrale juristische Workflow-Automatisierung für den Zugriff auf öffentliche Rechtsinformationen und Ihre eigenen Dokumente. Die Plattform ist eine Komplettlösung, an der Teams rechtliche Anfragen bearbeiten können, und vereinfacht die rechtlichen Arbeitsabläufe.
Unplex beauftragt für bestimmte Zwecke sorgfältig geprüfte Subprozessoren, um Unplex für unsere Abonnenten zu verbessern. Eine Liste der Unterauftragsverarbeiter finden Sie in Anhang B Vorab zugelassener Unterauftragsverarbeiter.
Datensicherung ist eine der Säulen des IT-Kontinuitätsplans von Unplex. Geschultes Personal verwaltet und überwacht die Ausführung der Backups, um die Integrität, Vertraulichkeit und Genauigkeit der Backup-Daten sicherzustellen.
Eine weitere Säule sind die IT- und Managementprozesse und -routinen, die bei einem schwerwiegenden Vorfall durchgeführt werden. Unplex arbeitet kontinuierlich daran, Prozesse und Routinen auf dem neuesten Stand zu halten. Der Kontinuitätsplan wird in regelmäßigen Abständen auf der Grundlage regelmäßiger Risikobewertungen getestet.
Unplex hat einen hohen Digitalisierungsgrad und alle Dienste und Tools sind über Microsoft-SSO-Konten digital zugänglich. Infolgedessen können die meisten Mitarbeiter weiterhin von anderen Standorten aus arbeiten, auch wenn die Büros von Unplex geschlossen oder aufgrund eines extremen Ereignisses nicht zugänglich sind.
Unplex stellt sicher, dass die identifizierten Sicherheitsanforderungen von externen Lieferanten während des Beschaffungsprozesses erfüllt werden. Ein Vertrag mit einem ausgewählten Lieferanten erfüllt die Anforderungen an die IT-Umgebung und die Informationssicherheitsmaßnahmen des Lieferanten. Der Lieferant muss seine Technologien, Routinen und Prozesse sowie seine IT- und Informationssicherheitsrichtlinien vorlegen und darüber Rechenschaft ablegen. Unplex kontrolliert regelmäßig die Zugriffsrechte der Lieferanten und andere Aspekte der Vereinbarung mit dem Lieferanten. Die Lieferanten verpflichten sich, Aufträge gemäß den Bestimmungen der geltenden Gesetze und Vorschriften des Landes auszuführen, in dem die Aufträge ausgeführt werden.
Unplex führt derzeit die Zertifizierung und das interne Audit durch, um das Zertifikat zu erhalten. Der ISO/IEC 27001-Standard enthält Richtlinien und allgemeine Grundsätze für die Planung, Implementierung, Aufrechterhaltung und Verbesserung der Informationssicherheit in einer Organisation.
Maßnahmen, die verhindern, dass Unbefugte IT-Systeme und -Prozesse nutzen:
(a) Bei der Gewährung des Zugriffs hält sich Unplex an das Prinzip der geringsten Rechte und der rollenbasierten Berechtigungen — was bedeutet, dass unsere Mitarbeiter nur berechtigt sind, auf Daten zuzugreifen, mit denen sie vernünftigerweise umgehen müssen, um ihren beruflichen Verpflichtungen nachzukommen.
(b) Unplex verwendet eine mehrstufige Authentifizierung für den Zugriff auf Systeme mit streng vertraulichen Daten, einschließlich unserer Produktionsumgebung, in der personenbezogene Daten gespeichert sind.
Maßnahmen zur Verhinderung des physischen Zugriffs Unbefugter auf IT-Systeme, die personenbezogene Daten verarbeiten:
(a) Unplex arbeitet mit branchenführenden Anbietern von Rechenzentren und Cloud-Infrastrukturen zusammen. Der Zugang zu allen Rechenzentren wird streng kontrolliert. Alle Rechenzentren sind mit Überwachungs- und biometrischen Zutrittskontrollsystemen rund um die Uhr ausgestattet.
(b) Rechenzentren sind mit mindestens N+1-Redundanz für die Strom-, Netzwerk- und Kühlinfrastruktur ausgestattet.
(c) Unplex repliziert Daten an separaten, physisch unabhängigen und hochsicheren Standorten und gewährleistet so eine hohe Verfügbarkeit und den Schutz vor lokalen Ausfällen wie Stromausfällen und Bränden. Maßnahmen zur Verhinderung des physischen Zugriffs Unbefugter auf physische Bürostandorte:
(a) Unplex stellt durch ein umfassendes physisches und identitätsspezifisches Zugangsmanagement sicher, dass nur autorisierte Personen auf physische Bürostandorte zugreifen können. Dies erfolgt durch den Drittanbieter des Büros.
(b) Unplex gewährleistet ein effektives und sofortiges Onboarding und Offboarding von Mitarbeitern, Auftragnehmern und Dritten, einschließlich der Sicherheitsschulung des besagten Personals und der sofortigen Rückgabe und/oder Zerstörung sensibler Dokumente bei Kündigung.
Maßnahmen, um sicherzustellen, dass Personen, die zur Nutzung von Unplex berechtigt sind, nur gemäß ihren Zugriffsrechten Zugriff auf die personenbezogenen Daten haben:
(a) Unplex erzwungene Komplexität, um den OWASP-Passwortempfehlungen zu entsprechen, um sicherzustellen, dass Benutzer sichere Passwörter verwenden.
(b) Die Wiederherstellung verlorener Passwörter erfolgt, indem ein signierter Link zum E-Mail-Konto des Benutzers angefordert wird. Passwörter werden nicht im Klartext per E-Mail, Chat, Telefon oder einer anderen Kommunikationsmethode gesendet.
(c) Unplex stellt sicher, dass Passwörter mithilfe von bcrypt sicher gehasht (und gesalzen) werden, und erfordert auf Anfrage des Abonnenten Single Sign-On (SSO), unterstützt von SAML 2.0, für eine sichere Benutzerauthentifizierung.
(d) Unplex verwendet bewährte Tools für das Scannen von Sicherheitslücken und die Erkennung bösartiger Aktivitäten und blockiert verdächtiges Verhalten automatisch.
(e) Unplex verwendet Firewalls, um unerwünschten Datenverkehr vom Eintritt in das Netzwerk zu trennen. Eine DMZ wird mithilfe von Firewalls verwendet, um interne Systeme, die sensible Daten schützen, weiter zu schützen.
Maßnahmen, um sicherzustellen, dass personenbezogene Daten während der elektronischen Übertragung oder während des Transports oder der Speicherung auf Datenträgern nicht von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können und dass die Bereiche kontrolliert und identifiziert werden können, in denen die Übertragung personenbezogener Daten über Datenübertragungssysteme erfolgen soll:
(a) Die ruhenden Abonnentendaten werden mit AES-128 und AES-256 verschlüsselt, und die übertragenen Daten werden mit TLS 1.2 verschlüsselt.
(b) Unplex wird durch regelmäßige Bewertungen auf Verschlüsselungsprobleme aufmerksam gemacht und
(c) Penetrationstests von Drittanbietern. Unplex führt jährlich Penetrationstests von Drittanbietern durch, oder wenn dies aufgrund von Änderungen im Geschäft erforderlich ist.
(d) Wir signieren die Daten auch, um ihre Integrität sicherzustellen.
Maßnahmen, um sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in das IT-System eingegeben, geändert oder gelöscht wurden:
(a) Die Systeme werden auf Sicherheitsereignisse überwacht, um eine schnelle Lösung zu gewährleisten.
(b) Protokolle werden zentral gespeichert und indexiert. Kritische Protokolle, wie z. B. Sicherheitsprotokolle, werden mindestens 2 Monate lang aufbewahrt. Protokolle können auf einzelne eindeutige Benutzernamen mit Zeitstempeln zurückgeführt werden, um Abweichungen oder Sicherheitsereignisse zu untersuchen.
Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind:
(a) Unplex speichert eine vollständige Sicherungskopie der Produktionsdaten, um eine schnelle Wiederherstellung im Falle einer großen Katastrophe zu gewährleisten. Inkrementelle Wiederherstellungs-/Point-in-Time-Wiederherstellung ist für alle Primärdatenbanken verfügbar. Backups werden bei der Übertragung und im Ruhezustand mit starker Verschlüsselung verschlüsselt.
(b) Der Patch-Management-Prozess von Unplex stellt sicher, dass Systeme mindestens einmal im Monat gepatcht werden. Durch Überwachung, Warnmeldungen und routinemäßige Schwachstellenscans wird sichergestellt, dass die gesamte Produktinfrastruktur konsistent gepatcht wird.
(c) Bei Bedarf patcht Unplex die Infrastruktur schnell, um auf die Offenlegung kritischer Sicherheitslücken zu reagieren, um sicherzustellen, dass die Systemverfügbarkeit erhalten bleibt.
(d) Die Abonnentenumgebungen sind jederzeit logisch getrennt. Der Abonnent ist nicht in der Lage, auf andere Konten als die angegebenen Autorisierungsdaten zuzugreifen.
Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
(a) Unplex verwendet verschiedene Datenverarbeitungssysteme für unterschiedliche Zwecke. Diese Systeme sind architektonisch (logisch und physisch) getrennt. Für den Zugriff auf alle Systeme ist eine gültige Autorisierung erforderlich.
(b) Um die unbeabsichtigte Verschmelzung von Daten zu verhindern, trennt Unplex Entwicklungs-, Test-, Staging- und Produktionsumgebungen.
Zu den Maßnahmen, die sicherstellen, dass ein angemessenes Risikomanagement und ein angemessenes Sicherheitsrisikomanagement vorhanden sind, gehören unter anderem:
(a) Unplex führt regelmäßige Überprüfungen und Bewertungen der Risiken durch und überwacht und gewährleistet die Einhaltung der Richtlinien und Verfahren von Unplex.
(b) Unplex gewährleistet die regelmäßige, effektive Berichterstattung über die Informationssicherheitsbedingungen und die Einhaltung der Vorschriften an die Geschäftsleitung.
(c) Unplex veranstaltet regelmäßig Schulungen zum Sicherheitsrisikomanagement, einschließlich, aber nicht beschränkt auf den Datenschutz für alle Mitarbeiter, einschließlich einer ersten Einführungsschulung für neue Mitarbeiter, um die Einhaltung der aktuellen Verfahren und Richtlinien für das Sicherheitsrisikomanagement zu überprüfen und sicherzustellen.
(d) Unplex unterhält eine zentrale IT-Richtlinie, die Richtlinien für die Internetnutzung enthält.
Zu den Maßnahmen, die sicherstellen, dass angemessene Betriebssicherheitsmaßnahmen vor bösartigem Code vorhanden sind, gehören unter anderem:
(a) Unplex verfügt über verschiedene Systeme und Methoden zum Schutz der IT-Infrastruktur vor bösartigem Code, darunter verschiedene Antivirenscanner, Spamfilter, Sicherheitsupdates und Schulungen.
(b) Unplex verwendet aktives Monitoring, um sicherzustellen, dass Antivirenscanner und Spamfilter aktiv und aktuell sind.
(c) Unplex installiert aktiv die neuesten Sicherheitsupdates auf Systemen und Anwendungen, um das Risiko der Ausnutzung von Sicherheitslücken zu minimieren.
(d) Unplex stellt im Rahmen der Grundausbildung sicher, dass alle Mitarbeiter regelmäßig an Schulungen zur Identifizierung von bösartigem Code teilnehmen. Zu den Maßnahmen, mit denen sichergestellt wird, dass angemessene E-Mails zum Schutz der Betriebssicherheit vorhanden sind, gehören unter anderem:
(a) Unplex nutzt die erstklassige E-Mail-Sicherheit von Google, um alle eingehenden und ausgehenden E-Mails vor Malware zu schützen.
(b) Unplex nutzt die E-Mail-Spam-Filterdienste von Google, um sich vor Spam-, Viren- und Phishing-Angriffen zu schützen.
(c) Mitarbeiter von Unplex benachrichtigen die Mitarbeiter unverzüglich über E-Mails, die als infiziert oder schädlich identifiziert wurden, und stellen sicher, dass der E-Mail-Absender blockiert und unter Quarantäne gestellt wird. Die Überprüfung und Bewertung, ob eine E-Mail bösartig ist oder nicht, erfolgt automatisiert und basiert auf den Regeln, sondern auf der Grundlage der Kompetenz jedes einzelnen Unplex-Mitarbeiters, der regelmäßig geschult wird, um schädliche E-Mails zu identifizieren.
Maßnahmen, um sicherzustellen, dass das Personal von Unplex die Gesetze und Vorschriften des Landes einhält, und um sicherzustellen, dass das Personal die entsprechenden Bedingungen der Lieferanten- und Kundenvereinbarungen einhält:
(a) Die Mitarbeiter von Unplex sind verpflichtet, sich in einer Weise zu verhalten, die den Unternehmensrichtlinien in Bezug auf Vertraulichkeit, Geschäftsethik, angemessene Nutzung und professionelle Standards entspricht. Unplex führt im gesetzlich zulässigen Umfang und in Übereinstimmung mit den geltenden lokalen Arbeitsgesetzen und gesetzlichen Vorschriften angemessene Zuverlässigkeitsüberprüfungen durch.
(b) Das Personal muss eine Vertraulichkeitsvereinbarung abschließen und den Erhalt und die Einhaltung der Vertraulichkeits- und Datenschutzrichtlinien von Unplex bestätigen. Das Personal wird im Sicherheitsbereich geschult. Das Personal von Unplex verarbeitet Kundendaten nicht ohne Genehmigung.
Während der Laufzeit des DPA unterliegen die von Unplex verarbeiteten personenbezogenen Daten den von Zeit zu Zeit vom Abonnenten festgelegten Aufbewahrungspflichten. Nach der Kündigung oder dem Ablauf des DPA gilt Klausel 11 des DPA.