X
Kontakt
Liste der Unterauftragsverarbeiter

Auftragsdatenverarbeitungsbedingungen für Promail Dienste

Promail und die andere Vertragspartei, die diesen Bedingungen zustimmt („Kunde“), haben einen Vertrag (in seiner jeweils gültigen Fassung) geschlossen, unter welchem die Auftragsverarbeiterdienste erbracht werden (die „Vereinbarung”).

Diese Auftragsdatenverarbeitungsbedingungen für Promail Webdienste (einschließlich mit den Anhängen nachfolgend als die „Datenverarbeitungsbedingungen“ bezeichnet) werden zwischen Promail und dem Kunden abgeschlossen und ergänzen die Vereinbarung. Diese Datenverarbeitungsbedingungen treten am Wirksamkeitsdatum in Kraft und ersetzen alle vorherigen Vereinbarungen zu dem gleichen Regelungsgegenstand (z.B. alle Änderungs- und Zusatzvereinbarungen zur Datenverarbeitung oder Regelungen zur Auftragsdatenverarbeitung).

Wenn Sie diese Datenverarbeitungsbedingungen stellvertretend für den Kunden abschließen, versichern Sie, dass Sie (a) rechtlich vollumfänglich dazu befugt sind, für den Kunden diese Datenverarbeitungsbedingungen stellvertretend abzuschließen, (b) diese Datenverarbeitungsbedingungen gelesen und verstanden haben und (c) für den von Ihnen vertretenen Kunden die Annahmeerklärung zum Abschluss dieser Datenverarbeitungsbedingungen abgeben. Wenn Sie rechtlich nicht dazu befugt sind, für den Kunden rechtsverbindliche Erklärungen abzugeben, schließen Sie diese Datenverarbeitungsbedingungen bitte nicht ab.

1. Einführung
Diese Datenverarbeitungsbedingungen enthalten die Vereinbarung der Vertragsparteien über die Regelungen, die für die Verarbeitung und Sicherheit von personenbezogenen Daten des Kunden im Zusammenhang mit den Datenschutzvorschriften gelten.

2. Begriffsbestimmungen und Auslegung
„Auftragsverarbeiterdienste” bedeutet die jeweils Promail Dienste.
„Datenschutzvorschriften“ bedeutet, soweit anwendbar: (a) die DSGVO und/oder (b) das Bundesgesetz über den Datenschutz (der Schweiz) von 1992.
„Datenvorfall“ bedeutet ein Sicherheitsvorkommnis bei Promail, das zur/zum unabsichtlichen oder gesetzwidrigen Vernichtung, Verlust, Änderung von personenbezogenen Daten des Kunden oder zur unautorisierten Offenlegung oder zum unautorisierten Zugriff auf diese führt, wobei dabei Systeme betroffen sind, die von Promail verwaltet oder anderweitig von Promail kontrolliert werden. Nicht unter den Begriff „Datenvorfall“ fallen erfolglose Zugriffsversuche oder ähnliche Ereignisse, die die Sicherheit der personenbezogenen Daten des Kunden nicht kompromittieren, wie etwa erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
„Drittanbieter-Unterauftragsverarbeiter“ hat die in Ziffer 11.1 (Zustimmung zur Verpflichtung von Unterauftragsverarbeitern) enthaltene Bedeutung.
„DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
„E-Mail-Adresse für Benachrichtigungen“ bedeutet die E-Mail-Adresse (falls vorhanden), die vom Kunden über die Benutzeroberfläche des Auftragsverarbeiterdienstes oder über andere von Promail bereitgestellte Möglichkeiten angegeben wurde, um bestimmte Benachrichtigungen von Promail zu diesen Datenverarbeitungsbedingungen zu erhalten.
„EWR“ bedeutet der Europäische Wirtschaftsraum.
„Laufzeit“ bedeutet den Zeitraum zwischen dem Wirksamkeitsdatum und dem Ende der Erbringung der Auftragsverarbeiterdienste durch Promail gemäß der Vereinbarung.
„Personenbezogene Daten des Kunden“ bedeutet personenbezogene Daten, die im Auftrag des Kunden durch Promail im Rahmen der Erbringung der Auftragsverarbeiterdienste verarbeitet werden.
„Sicherheitsmaßnahmen“ hat die in Ziffer 7.1.1 (Promail Sicherheitsmaßnahmen) festgelegte Bedeutung.
„Unterauftragsverarbeiter“ bedeutet Dritte, die unter diesen Datenverarbeitungsbedingungen autorisiert sind, logisch auf personenbezogene Daten des Kunden zuzugreifen und diese zu verarbeiten, um Teile der Auftragsverarbeiterdienste bereitzustellen und dazugehörigen technischen Support zu erbringen.

3. Laufzeit dieser Datenverarbeitungsbedingungen
Die vorliegenden Datenverarbeitungsbedingungen treten zum angegebenen Wirksamkeitsdatum in Kraft und bleiben – unabhängig davon, ob die Laufzeit abgelaufen sein sollte – solange in Kraft, bis Promail alle personenbezogenen Kundendaten gemäß den vorliegenden Datenverarbeitungsbedingungen gelöscht hat; zu diesem Zeitpunkt enden diese Datenverarbeitungsbedingungen automatisch.

4. Anwendbarkeit dieser Datenverarbeitungsbedingungen
4.1 Anwendbarkeit der Datenschutzvorschriften.
Diese Datenverarbeitungsbedingungen gelten nur in dem Umfang, in dem die Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten des Kunden Anwendung finden, einschließlich wenn:
(a) die Verarbeitung im Rahmen der Tätigkeiten einer Betriebsstätte des Kunden im EWR stattfindet und/oder
(b) personenbezogene Daten des Kunden personenbezogene Daten darstellen, die sich auf betroffene Personen beziehen, die sich im EWR befinden und sich die Verarbeitung auf das Angebot von Waren oder Dienstleistungen oder die Beobachtung des Verhaltens im EWR bezieht.
4.2 Anwendbarkeit auf Auftragsverarbeiterdienste.
Diese Datenverarbeitungsbedingungen gelten nur für solche Auftragsverarbeiterdienste, für welche die Vertragsparteien diese Datenverarbeitungsbedingungen abgeschlossen haben.

5. Verarbeitung von Daten
5.1 Rollenverteilung und Einhaltung gesetzlicher Vorgaben; Autorisierung.
5.1.1 Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Vertragsparteien bestätigen und vereinbaren, dass:
(a) Promail als ein Auftragsverarbeiter von personenbezogenen Daten des Kunden gemäß den Datenschutzvorschriften handelt,
(b) der Kunde, je nachdem was zutrifft, als ein Verantwortlicher oder ein Auftragsverarbeiter von personenbezogenen Daten des Kunden gemäß den Datenschutzvorschriften handelt, und
(c) jede Vertragspartei verpflichtet ist, den Verpflichtungen nachzukommen, die für die jeweilige Partei in Bezug auf die Verarbeitung von personenbezogenen Daten des Kunden gemäß den Datenschutzvorschriften gelten.
5.1.2 Autorisierung durch einen Dritten als Verantwortlichen. Ist der Kunde selbst ein Auftragsverarbeiter, so sichert er gegenüber Promail zu, dass seine Weisungen und Maßnahmen hinsichtlich personenbezogener Daten des Kunden, einschließlich der Einsetzung von Promail als weiteren Auftragsverarbeiter, durch den betreffenden Verantwortlichen autorisiert wurden.
5.2 Weisungen des Kunden. Durch Zustimmung zu diesen Datenverarbeitungsbedingungen weist der Kunde Promail an, personenbezogene Daten des Kunden in Übereinstimmung mit dem anwendbaren Recht zu verarbeiten, (a) um die Auftragsverarbeiterdienste und damit im Zusammenhang stehenden technischen Support zu erbringen, und (b) wie weiter durch die Nutzung des Kunden der Auftragsverarbeiterdienste festgelegt (einschließlich durch die Einstellungen und Funktionalitäten der Auftragsverarbeiterdienste) und damit im Zusammenhang stehenden technischen Support, (c) wie durch die Vereinbarung, einschließlich dieser Datenverarbeitungsbedingungen, dokumentiert wird und (d) wie zusätzlich in anderen schriftlichen Weisungen dokumentiert ist, die vom Kunden gegeben wurden und von Promail förmlich als Weisung im Sinne der vorliegenden Datenverarbeitungsbedingungen anerkannt wurden.
5.3 Befolgung der Weisungen durch Promail. Promail wird die Weisungen, die in Ziffer 5.2 (Weisungen des Kunden) festgelegt sind (auch im Hinblick auf die Übermittlung von Daten) befolgen, es sei denn, Gesetze der EU oder eines EU-Mitgliedstaats, die auf Promail Anwendung finden, erfordern eine anderweitige Verarbeitung der personenbezogenen Daten des Kunden durch Promail.

6. Löschung von Daten
6.1 Löschung während der Laufzeit.
6.1.1 Auftragsverarbeiterdienste mit Löschfunktion. Falls während der Laufzeit:
(a) die Softwarefunktionalitäten der Auftragsverarbeiterdienste dem Kunden eine Möglichkeit zur Verfügung stellen, personenbezogene Daten des Kunden zu löschen,
(b) der Kunde die Auftragsverarbeiterdienste dazu nutzt, bestimmte personenbezogene Daten des Kunden zu löschen und
(c) die gelöschten personenbezogenen Daten des Kunden vom Kunden nicht wiederhergestellt werden können (z. B. aus dem ‚Papierkorb’),
dann wird Promail diese personenbezogenen Daten des Kunden von ihren Systemen so früh wie es angemessen und praktikabel ist und spätestens nach einer Dauer von 180 Tagen löschen, falls nicht ein EU-Gesetz oder das Gesetz eines EU-Mitgliedsstaats eine Aufbewahrung vorschreibt.
6.1.2 Auftragsverarbeiterdienste ohne Löschfunktion. Falls die Softwarefunktionalitäten der Auftragsverarbeiterdienste keine Möglichkeit vorsehen die den Kunden in die Lage versetzt, während der Laufzeit personenbezogene Daten des Kunden zu löschen, dann wird Promail:
(a) jeder angemessenen Anfrage des Kunden entsprechen, um eine solche Löschung zu erreichen, soweit dies unter Berücksichtigung der Art und Funktionsweise der Auftragsverarbeiterdienste möglich ist und falls nicht ein EU-Gesetz oder das Gesetz eines EU-Mitgliedsstaats eine Aufbewahrung vorschreibt, und
Promail ist berechtigt, einen Ersatz der Kosten (basierend aufs Promails angemessenen Aufwendungen) für die Löschung von Daten nach Ziffer 6.1.2(a) zu verlangen. Vor einer solchen Löschung wird Promail dem Kunden weitere Details zu den jeweils entstehenden Kosten und die Grundlage für die Berechnung dieser Kosten zur Verfügung stellen.
6.2 Löschung nach Ablauf der Laufzeit. Der Kunde weist Promail an, nach Ablauf der Laufzeit sämtliche personenbezogenen Daten des Kunden (einschließlich aller existierenden Kopien) gemäß den Vorgaben des anwendbaren Rechts von Promails Systemen zu löschen. Promail wird dieser Weisung so früh wie es angemessen und praktikabel ist und spätestens nach einer Dauer von 180 Tagen Folge leisten, falls nicht ein EU-Gesetz oder das Gesetz eines EU-Mitgliedsstaats eine Aufbewahrung vorschreibt.

7. Datensicherheit
7.1 Sicherheitsmaßnahmen und Hilfestellung durch Promail.
7.1.1 Promail Sicherheitsmaßnahmen. Promail implementiert technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des Kunden vor versehentlicher oder gesetzeswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff, wie in Anhang 2 beschrieben (die „Sicherheitsmaßnahmen“) und erhält diese aufrecht. Wie in Anhang 2 beschrieben, beinhalten die Sicherheitsmaßnahmen Maßnahmen: (a) zur Verschlüsselung personenbezogener Daten, (b) die helfen, die Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Promail Systemen und Diensten fortwährend zu wahren bzw. sicherzustellen, (c) die helfen, zeitgerecht den Zugang zu personenbezogenen Daten nach einem Vorfall wiederherzustellen und (d) um regelmäßig die Wirksamkeit zu testen. Promail kann gelegentlich die Sicherheitsmaßnahmen aktualisieren oder anpassen, sofern eine solche Aktualisierung und Anpassung nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste führt.
7.1.2 Einhaltung von Sicherheitsvorschriften durch Promail Personal. Promail ist verpflichtet, angemessene Maßnahmen zu ergreifen, um die Einhaltung der Sicherheitsmaßnahmen durch Promail-Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter in dem Umfang sicherzustellen, wie es für deren jeweiliges Aufgabengebiet angemessen ist, und um sicherzustellen, dass sich sämtliche Personen, die autorisiert sind, personenbezogene Daten des Kunden zu verarbeiten, zur Geheimhaltung verpflichtet haben oder entsprechenden gesetzlichen Geheimhaltungspflichten unterliegen.
7.1.3 Hilfestellung durch Promail. Der Kunde ist damit einverstanden, dass Promail (unter Berücksichtigung der Art der jeweiligen Verarbeitung personenbezogener Daten des Kunden und der Informationen, die Promail zur Verfügung stehen) den Kunden bei der die Einhaltung von sämtlichen Pflichten des Kunden in Bezug auf die Sicherheit von personenbezogenen Daten und bei Verletzung der Datensicherheit, einschließlich, soweit anwendbar, die Pflichten des Kunden gemäß den Artikeln 32 bis 34 DSGVO, unterstützt durch:
(a) Implementierung und Aufrechterhaltung von Sicherheitsmaßnahmen in Übereinstimmung mit Ziffer 7.1.1 (Promails Sicherheitsmaßnahmen),
(b) Einhaltung der Regelungen in Ziffer 7.2 (Datenvorfälle) und
(c) Bereitstellung von Sicherheitsdokumentationen an den Kunden gemäß Ziffer 7.5.1 (Überprüfungen der Sicherheitsdokumentation) und den Informationen, die in diesen Datenverarbeitungsbedingungen enthalten sind.
7.2 Datenvorfälle.
7.2.1 Meldung von Datenvorfällen. Falls Promail Kenntnis von einem Datenvorfall erlangen sollte, ist Promail verpflichtet: (a) den Kunden unverzüglich den Datenvorfall zu melden; und (b) prompt angemessene Maßnahmen zur Schadensminimierung und Sicherung der personenbezogenen Daten des Kunden zu ergreifen.
7.2.2 Detailinformationen zu Datenvorfällen. Meldungen gemäß 7.2.1 (Promails Sicherheitsmaßnahmen) enthalten, soweit wie möglich, Details über den Datenvorfall und Informationen darüber, welche Maßnahmen ergriffen wurden, um das potenzielle Risiko zu minimieren und welche Schritte Promail dem Kunden empfiehlt, um auf den Datenvorfall zu reagieren.
7.2.3 Übermittlung der Meldungen. Meldungen über Datenvorfälle wird Promail an die E-Mail-Adresse für Benachrichtigungen senden, oder nach Promail Ermessen (z.B. falls der Kunde keine E-Mail-Adresse für Meldungen angegeben hat) mittels eines anderen direkten Kommunikationsmittels (z.B. mittels Telefon oder in einem persönlichen Treffen) übermitteln. Der Kunde trägt die alleinige Verantwortung, die E-Mail-Adresse für Benachrichtigungen zu benennen, und hat sicherzustellen, dass die E-Mail-Adresse für Benachrichtigungen stets aktuell und gültig ist.
7.2.4 Meldungen an Dritte. Der Kunde trägt die alleinige Verantwortung, gesetzliche Vorgaben für Meldungen bei Vorfällen einzuhalten und entsprechenden Meldepflichten bei Datenvorfällen gegenüber Dritten nachzukommen.
7.2.5 Kein Anerkenntnis durch Promail. Die Meldung eines Datenvorfalls durch Promail bzw. die Reaktion auf einen Datenvorfall durch Promail gemäß dieser Ziffer 7.2 (Datenvorfälle) kann nicht dahingehend ausgelegt werden, dass Promail dadurch bereits ein Fehlverhalten einräumen oder die Haftung für den Datenvorfall anerkennen würde.
7.3 Verantwortlichkeit des Kunden für Sicherheit und Sicherheitsbewertung.
7.3.1 Verantwortlichkeit des Kunden für Sicherheit. Unbeschadet der Verpflichtungen für Promail gemäß Ziffern 7.1 (Sicherheitsmaßnahmen und Hilfestellung von Promail) und 7.2 (Datenvorfälle):
(a) trägt der Kunde die alleinige Verantwortung für die Nutzung der Auftragsverarbeiterdienste, einschließlich:
(i) die Auftragsverarbeiterdienste in angemessener Art und Weise zu nutzen, um ein Sicherheitsniveau sicherzustellen, das im Verhältnis zum Risiko im Hinblick auf die Verarbeitung personenbezogenen Daten des Kunden angemessen ist und
(ii) die Anmeldeinformationen für die Authentifizierung sowie der Systeme und Geräte, die der Kunde verwendet, um auf die Auftragsverarbeiterdienste zuzugreifen, zu schützen, und
(b) ist Promail nicht dafür verantwortlich, personenbezogene Daten des Kunden zu schützen, bei denen der Kunde entscheidet, diese außerhalb der Google-Systeme oder der Systeme der Promail-Unterauftragsverarbeiter zu speichern oder zu übermitteln.
7.3.2 Sicherheitsbeurteilung durch den Kunden. Der Kunde nimmt zur Kenntnis und stimmt zu, dass (unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung personenbezogener Daten des Kunden sowie der damit verbundenen Risiken für Einzelpersonen) die von Promail gemäß Ziffer 7.1.1 (Promails Sicherheitsmaßnahmen) umgesetzten und aufrechterhaltenen Sicherheitsmaßnahmen ein Sicherheitsniveau erreichen, das mit den Risiken in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden in einem angemessenen Verhältnis steht.
7.4 Prüfungen und Compliance-Audits.
7.4.1 Prüfung der Sicherheitsdokumentation. Um die Einhaltung von Promails Verpflichtungen unter diesen Datenverarbeitungsbedingungen nachzuweisen, ist Promail verpflichtet, die Sicherheitsdokumentation dem Kunden zur Prüfung zugänglich zu machen.
7.4.2 Prüfrechte des Kunden.
Promail wird dem Kunden oder einem unabhängigen, vom Kunden benannten Prüfer unter Maßgabe von Ziffer 7.5.3 (zusätzliche Bedingungen für Audits) ermöglichen, Audits (einschließlich Inspektionen) durchzuführen, um zu verifizieren, dass Promail seinen Pflichten unter den Datenverarbeitungsbedingungen nachkommt. Promail wird solche Audits, wie in Ziffer 7.5 (Prüfungen und Compliance-Audits) beschrieben, unterstützen.
7.4.3 Zusätzliche Bedingungen für Audits.
(a) Der Kunde ist verpflichtet, eine Anfrage für ein Audit nach Ziffer 7.4.2(a) in Übereinstimmung mit Ziffer 12.1 (Kontaktaufnahme mit Promail) zu stellen.
(b) Nach Erhalt einer Anfrage gemäß Ziffer 7.5.3(a) werden Promail und der Kunde im Voraus gemeinsam ein angemessenes Startdatum, den Umfang und die Dauer und Sicherheits- und Vertraulichkeitsmaßnahmen, die Gegenstand des jeweiligen Audits gemäß Ziffer 7.5.2(a) sind, besprechen und vereinbaren.
(c) Promail ist berechtigt, einen Ersatz der Kosten (basierend auf Promails angemessenen Aufwendungen) für jedes Audit nach Ziffer 7.5.2(a) zu verlangen. Vor jedem Audit wird Promail dem Kunden weitere Details zu den jeweils entstehenden Kosten und die Grundlage für die Berechnung dieser Kosten zur Verfügung stellen. Jegliche Kosten, die für die Beauftragung und Durchführung eines Audits durch einen unabhängigen Prüfer entstehen, den der Kunde beauftragt hat, sind allein vom Kunden zu tragen.
(d) Promail ist berechtigt, einen vom Kunden zur Durchführung eines Audits nach Ziffer 7.5.2(a) beauftragten unabhängigen Prüfer abzulehnen, wenn dieser Prüfer nach Promails angemessener Einschätzung nicht hinreichend qualifiziert oder unabhängig ist, es sich um einen Wettbewerber von Promail handelt oder dieser aus anderen Gründen offenkundig ungeeignet ist. Falls Promail einen solchen Einwand erhebt, ist der Kunde verpflichtet, einen anderen Prüfer zu bestellen oder das Audit selbst durchführen.
(e) Promail ist nach diesen Datenverarbeitungsbedingungen nicht verpflichtet, dem Kunden oder einem vom Kunden beauftragten unabhängigen Prüfergegenüber das Folgende offenzulegen bzw. dem Kunden oder einem unabhängigen Prüfer zu gestatten, auf Folgendes zuzugreifen:
(i) Daten von irgendeinem anderen Kunden;
(ii) interne Daten des Rechnungswesens oder Finanzinformationen von Promail;
(iii) Geschäftsgeheimnisse von Promail;
(iv) Informationen, die nach Promails angemessener Einschätzung (A) die Sicherheit von Systemen oder Betriebsstätten von Promail gefährden könnten oder (B) dazu führen könnten, dass Promail seine Pflichten unter den Datenschutzvorschriften verletzt oder gegen seine Sicherheits- bzw. Datenschutzverpflichtungen gegenüber dem Kunden oder Dritten verstößt; oder
(v) Informationen, auf die der Kunde oder sein unabhängiger Prüfer aus treuwidrigen Gründen, die nicht zur Erfüllung der Verpflichtungen des Kunden gemäß den Datenschutzvorschriften erforderlich sind, zugreifen möchten.

8. Folgenabschätzungen und Konsultationen
Der Kunde ist damit einverstanden, dass Promail (unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Promail zur Verfügung stehen) den Kunden bei der Erfüllung seiner Pflichten zu Datenschutz-Folgenabschätzungen und vorherigen Konsultationen, einschließlich, soweit anwendbar, den Pflichten gemäß Art. 35 und 36 DSGVO; durch Folgendes unterstützt:
(a) Bereitstellung der Sicherheitsdokumentation gemäß Ziffer 7.4.1 (Prüfung der Sicherheitsdokumentation); und
(b) Bereitstellung der Informationen, die bereits in diesen Datenverarbeitungsbedingungen enthalten sind.

9. Rechte betroffener Personen
9.1 Beantwortung von Anfragen betroffener Personen. Wenn Promail eine Anfrage von einer betroffenen Person hinsichtlich personenbezogener Daten des Kunden erhält, wird Promail:
die betroffene Person bitten, ihre Anfrage an den Kunden zu übermitteln; der Kunde trägt die alleinige Verantwortung für die Beantwortung einer solchen Anfrage.

10. Datenübermittlungen
10.1 Datenspeicherungs- und Datenverarbeitungseinrichtungen. Der Kunde stimmt zu, dass Promail personenbezogene Daten des Kunden in bei einem geprüften Internet-Provider in der Schweiz oder in jedem anderen Land, speichern und verarbeiten kann.
10.2 Informationen zu Rechenzentren. Informationen über die Namen und Standorte der Internet-Provider werden auf der Webseite www.promail-ag.ch veröffentlicht.

11. Unterauftragsverarbeiter
11.1 Genehmigung der Beauftragung von Unterauftragsverarbeitern. Der Kunde genehmigt ausdrücklich die Beauftragung von verbundenen Unternehmen von Promail als Unterauftragsverarbeiter. Zudem genehmigt der Kunde generell, dass Promail auch Dritte als Unterauftragsverarbeiter beauftragen darf („Dritt-Unterauftragsverarbeiter“).
11.2 Informationen zu Unterauftragsverarbeitern. Informationen über Unterauftragsverarbeiter können unter www.promail-ag.ch abgerufen werden.
11.3 Anforderungen für die Beauftragung von Unterauftragsverarbeitern. Wenn Promail Unterauftragsverarbeiter beauftragt, wird Promail:
(a) durch schriftlichen Vertrag sicherstellen, dass:
(i) der Unterauftragsverarbeiter nur auf personenbezogene Daten des Kunden in dem Umfang zugreift und diese nutzt, wie dies erforderlich ist, um seine Obliegenheiten, zu denen er im Wege der Unterauftragsvergabe verpflichtet ist, zu erfüllen und dies jeweils unter Einhaltung der Vereinbarung (einschließlich dieser Datenverarbeitungsbedingungen), und
(ii) die in Art. 28 Abs. 3 DSGVO festgelegten Datenschutzpflichten dem Unterauftragsverarbeiter auferlegt werden, falls die DSGVO auf die Verarbeitung der personenbezogenen Daten des Kunden Anwendung findet, und
(b) für sämtliche Obliegenheiten, die den Unterauftragsverarbeitern übertragenwurden, und für sämtliches Tun und Unterlassen ihrer Unterauftragsverarbeiter vollumfänglich haften.
11.4 Möglichkeit des Widerspruch gegen Änderungen bei der Unterauftragsvergabe.
(a) Wenn während der Laufzeit ein neuer Dritt-Unterauftragsverarbeiter beauftragt wird, wird Promail den Kunden mindestens 30 Tage bevor dieser neue Dritt-Unterauftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten des Kunden betraut wird durch Zusendung einer E-Mail an die E-Mail-Adresse für Benachrichtigungen über die Beauftragung informieren (einschließlich des Namens und Standorts des jeweiligen Unterauftragsverarbeiters und der Tätigkeiten, die dieser ausführen wird).
(b) Der Kunde kann dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters widersprechen, indem er die Vereinbarung sofort schriftlich kündigt; dies hat innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Beauftragung des jeweiligen Unterauftragsverarbeiters, wie in Ziffer 11.4(a) beschrieben, zu erfolgen. Dieses Kündigungsrecht ist der einzige und ausschließliche Rechtsbehelf des Kunden, wenn er mit dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters nicht einverstanden ist.

12. Kontaktaufnahme mit Promail; Aufzeichnungen über die Verarbeitung
12.1 Kontaktaufnahme mit Promail. Der Kunde kann Promail kontaktieren, um seine Rechte unter diesen Datenverarbeitungsbedingungen auszuüben.
12.2 Promails Aufzeichnungen über die Datenverarbeitung. Der Kunde nimmt zur Kenntnis, dass Promail unter der DSGVO verpflichtet ist: (a) Aufzeichnungen über bestimmte Informationen anzufertigen und vorzuhalten, darunter den Namen und Kontaktdaten von jedem Verarbeiter und/oder Verantwortlichen in deren Auftrag Promail handelt und (falls zutreffend) Informationen über den Vertretungsberechtigten vor Ort und den Datenschutzbeauftragten; und (b) diese Informationen den Aufsichtsbehörden zugänglich zu machen. Dementsprechend ist der Kunde verpflichtet, diese Informationen auf Aufforderung zu übermitteln.

13. Haftung
Gesetze am Sitz der Promail AG

14. Geltung dieser Datenverarbeitungsbedingungen
Im Fall eines Widerspruchs oder einer Abweichung zwischen diesen Datenverarbeitungsbedingungen und der übrigen Vereinbarung haben die Regelungen dieser Datenverarbeitungsbedingungen Vorrang. Mit Ausnahme der Änderungen durch diese Datenverarbeitungsbedingungen bleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.

15. Geltung dieser Datenverarbeitungsbedingungen
15.1 Änderungen der URLs. Promail kann gelegentlich URLs, auf die in diesen Datenverarbeitungsbedingungen Bezug genommen wird, und die Inhalte auf solchen URLs ändern. Promail ist aber nur berechtigt zu ändern:
(a) um einer Umbenennung eines Dienstes Rechnung zu tragen;
(b) um einen neuen Dienst hinzuzufügen; oder
(c) um einen Dienst zu entfernen.
15.2 Änderungen der Datenverarbeitungsbedingungen. Promail kann diese Datenverarbeitungsbedingungen ändern, wenn eine solche Änderung:
(a) ausdrücklich durch die vorliegenden Datenverarbeitungsbedingungen erlaubt ist, einschließlich gemäß Ziffer 15.1 (Änderungen der URLs);
(b) einer Änderung des Unternehmensnamens oder eine Änderung der Rechtsform Rechnung trägt;
(c) erforderlich ist, um anwendbarem Recht, anwendbaren Vorschriften, einer Gerichtsentscheidung oder einer Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde zu entsprechen; oder
(d) (i) nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste führt, (ii) den Anwendungsbereich dieser Datenverarbeitungsbedingungen nicht ausweitet oder Beschränkungen wie Ziffer 5.3 (Befolgung der Weisungen durch Promail) beschrieben hinsichtlich der Verarbeitung personenbezogener Daten des Kunden durch Promail nicht aufhebt, und (iii) auch sonst zu keinen erheblichen nachteiligen Auswirkungen auf die Rechte des Kunden unter diesen Datenverarbeitungsbedingungen führt (dies wird auf angemessene Weise durch Promail bestimmt).
15.3 Benachrichtigung über Änderungen. Wenn Promail beabsichtigt, diese Datenverarbeitungsbedingungen gemäß Ziffer 15.2(c) oder (d) zu ändern, wird Promail dies dem Kunden mindestens 30 Tage vor Wirksamwerden der Änderung im Voraus (oder innerhalb einer kürzeren Frist, falls dies nach anwendbarem Recht, anwendbaren Vorschriften, aufgrund einer Gerichtsentscheidung oder eine Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde erforderlich ist) mitteilen durch: (a) die Übermittlung einer E-Mail an die E-Mail-Adresse für Benachrichtigungen oder (b) durch Benachrichtigung über die Benutzeroberfläche des Auftragsverarbeiterdienstes. Wenn der Kunde einer Änderung widersprechen möchte, kann der Kunde die Vereinbarung durch schriftliche Mitteilung gegenüber Promail innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Änderung durch Promail kündigen.

Anhang 1: Gegenstand und Details zur Datenverarbeitung

Gegenstand
Bereitstellung von Auftragsverarbeiterdiensten und damit in Zusammenhang stehendem technischen Supportleistungen für den Kunden durch Promail.

Dauer der Datenverarbeitung
Während der Vertragslaufzeit und zusätzlich während eines Zeitraums zwischen dem Ende der Vertragslaufzeit und bis zur Löschung aller personenbezogenen Daten des Kunden durch Promail in Übereinstimmung mit den vorliegenden Datenverarbeitungsbedingungen.

Art und Zweck der Datenverarbeitung
Promail verarbeitet personenbezogene Daten des Kunden zum Zweck, dem Kunden die Auftragsverarbeiterdienste bereitzustellen und den damit im Zusammenhang stehenden technischen Support in Übereinstimmung mit diesen Datenverarbeitungsbedingungen zu erbringen. Die Datenverarbeitung durch Promail schließt, in Abhängigkeit davon, ob es auf den jeweiligen Auftragsverarbeiterdienst und die in Ziffer 5.2 (Weisungen des Kunden) beschriebenen Weisungen zutrifft, das Erheben, Erfassen, Organisieren, Ordnen, Verändern, Auslesen, Verwenden, Offenlegen, Verknüpfen, Löschen oder Vernichten mit ein.

Arten personenbezogener Daten
Personenbezogene Daten des Kunden können solche Arten personenbezogener Daten umfassen, welche für die Arbeit und Aufgaben von Promail notwendig sind.

Anhang 2: Sicherheitsmaßnahmen

Promail verpflichtet sich, ab dem Wirksamkeitsdatum die Sicherheitsmaßnahmen, die in diesem Anhang 2 enthalten sind, zu implementieren und aufrechtzuerhalten. Promail kann diese Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, vorausgesetzt dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Auftragsverarbeiterdienste führen.

1. Sicherheit der Rechenzentren und des Netzwerks
(a) Rechenzentren.
Infrastruktur. Promail arbeitet mit externen Internet-Providern. Promail speichert alle Produktionsdaten in physisch gesicherten Rechenzentren der Provider.
Redundanz. Die Infrastruktursysteme wurden entwickelt, um Single Points of Failure (zentrale Schwachpunkte) zu beseitigen und um die Auswirkungen der zu erwartenden Umgebungsrisiken zu minimieren. Die Auftragsverarbeiterdienste sind so konzipiert, dass Promail bestimmte vorbeugende und fehlerbehebende Instandhaltungsmaßnahmen ohne Unterbrechung durchführen kann.
Energie. Die Energiesysteme der Rechenzentren sind so entworfen, dass sie dem normalen Betrieb gewährleisten können.
Aufrechterhaltung des Betriebs. Promail repliziert Daten über mehrere Systeme, um dazu beizutragen, die Daten vor zufälliger Zerstörung oder Verlust zu schützen. Promail hat Pläne, um den Betrieb aufrecht zu erhalten, und Notfallwiederherstellungsprogramme entworfen. Promail entwickelt diese weiter und testet sie.
(b) Netzwerke und Übertragung.
Datenübertragung. Google überträgt Daten mittels Internet-Standard-Protokollen (https).
Externe Angriffsfläche. Promail zieht potenzielle Angriffsvektoren in Betracht und integriert angemessene, speziell entwickelte Technologien in von außen erreichbare Systeme.
Einbruchserkennung. Die Maßnahmen zur Einbruchserkennung zielen darauf ab, Einblicke in laufende Angriffsaktivitäten zu ermöglichen und angemessene Informationen zu liefern, um auf Vorfälle zu reagieren.
Reaktion auf Zwischenfälle. Promail überwacht eine Vielzahl von Kommunikationskanälen auf Sicherheitsvorfälle.
Verschlüsselungstechnologien. Promail stellt HTTPS-Verschlüsselung (auch SSL- oder TLS-Verbindung genannt) zur Verfügung.

2. Zugangs- und Zutrittskontrollen
(a) Zutrittskontrolle.
Verfahren für den Zutritt zu Rechenzentren. Promail unterhält Zutrittskontrollverfahren für den physischen Zugang zu Promail-Arbeitsplätzen.
Zugriffskontrolle und Rechteverwaltung. Administratoren und Endnutzer müssen sich über ein zentrales Authentifizierungssystem oder über ein Single Sign-On-System authentifizieren, um die Auftragsverarbeiterdienste zu nutzen.
Interne Datenzugriffsprozesse und Richtlinien – Zugriffsrichtlinien. Promails interne Datenzugriffsprozesse und Richtlinien sind so gestaltet, dass Zugriffe auf Systeme, die genutzt werden, um personenbezogene Daten zu verarbeiten, durch unberechtigte Personen und/oder Systeme verhindert werden soll. Promail ist bestrebt, die Systeme so zu gestalten, dass: (i) nur berechtigten Personen Zugang zu den Daten gewährt wird, für die sie zugriffsberechtigt sind; und (ii) sichergestellt ist, dass personenbezogene Daten ohne entsprechende Berechtigung während ihrer Verarbeitung, Nutzung und nach ihrer Speicherung nicht gelesen, kopiert, verändert oder gelöscht werden können. Die Systeme sind darauf ausgelegt, dass sie möglichst jeden unberechtigten Zugriff erkennen sollen. Promail setzt ein zentralisiertes Zugriffsverwaltungssystem zur Kontrolle von Mitarbeiterzugriffen auf Produktionsserver ein und gewährt nur einem beschränkten Kreis von berechtigten Mitarbeiter Zugriff. Diese Mechanismen sind so konzipiert, dass nur mit entsprechender Berechtigung Zugriffe auf Site-Hosts, Log-Dateien, Daten und Konfigurationsinformationen gewährt werden sollen. Promail verlangt die Benutzung singulärer Benutzer-IDs und sicherer Passwörter. Die Gewährung oder die Änderung von Zugriffsrechten für berechtigtes Personal basiert auf folgenden Faktoren: dem beruflichen Aufgabenbereich der jeweiligen Person, den notwendigen Anforderungen der jeweiligen Stelle, um berechtigte Aufgaben auszuführen und einer Need-to-Know-Basis.

3. Daten
(a) Datenspeicherung, Isolation und Authentifizierung.
Promail speichert die Daten in einer mandantenfähigen Umgebung (Multi-Tenant Umgebung) in Datenbanken. Promail isoliert die individuellen Daten jedes einzelnen Kunden logisch voneinander. Für alle Auftragsverarbeiterdienste wird übergreifend ein zentrales Authentifizierungssystem genutzt, um die allgemeine Datensicherheit zu erhöhen.
(b) Stilllegung und Richtlinien zur Zerstörung von Festplatten.
Falls bei bestimmten Festplatten, die Daten enthalten, eine verminderte Leistungsfähigkeit, Fehler oder Hardwareausfällen festgestellt wird, werden die betroffenen Festplatten gelöscht, stillgelegt und entsorgt. 4. Personalsicherheit
Das Personal von Promail ist verpflichtet, sich gemäß den Unternehmensrichtlinien über Vertraulichkeit, Unternehmensethik und sachgemäßen Gebrauch sowie gemäß beruflichen Standards zu verhalten. Promail führt im angemessenen Umfang Hintergrundsüberprüfungen durch, soweit dies im Einklang mit geltendem Recht, insbesondere mit anwendbarem nationalen Arbeitsrecht und verpflichtend geltenden anderen Gesetzen steht.
Das Personal ist verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen und deren Erhalt und die Einhaltung von Promails Vertraulichkeits- und Datenschutzbestimmungen zu bestätigen. Das Personal, das Kundendaten handhabt, muss in Abhängigkeit vom jeweiligen Aufgabenbereich zusätzliche Voraussetzungen erfüllen.

5. Sicherheit bei Unterauftragsverarbeitern
Bevor Unterauftragsverarbeiter eingesetzt werden, führt Promail zunächst eine Auditierung der Sicherheits- und Datenschutzpraxis des Unterauftragsverarbeiters durch, um sicherzustellen, dass ein Sicherheits- und Datenschutzniveau besteht, das im angemessenen Verhältnis zum Datenzugriff und dem Umfang der beauftragten Dienstleistungen steht. Sobald Promail die vom Unterauftragsverarbeiter dargelegten Risiken einschätzen kann, ist der Unterauftragsverarbeiter stets vorbehaltlich der in Ziffer 11.3 (Anforderungen für die Beauftragung von Unterauftragsverarbeitern) dieser Datenverarbeitungsbedingungen festgelegten Anforderungen verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzvereinbarungen abzuschließen.
Auftragsdatenverarbeitungsbedingungen für Promail Dienste, Version 1.0 / 21. Januar 2019