Zippsafe Logo
Zippsafe Logo
Zippsafe Logo
Zippsafe Logo
BRANCHEN
Gesundheitswesen
Chemie
&
Pharma
Lebensmittel
Retail
&
Hospitality
Industrie
Bürogebäude
PRODUKTE
&
SERVICES
Spindsysteme
ZippSpace
Pro
ZippSpace
Regular
Online
Verwaltung
Zippsafe
Management
System
Der
ZippManager
ZippBag
Services
Support
&
Wartung
Aufrüstungen
Monitoring
&
Datenanalyse
INNOVATION
Platzeffizienz
Calculator
Space-Saving
Success
Stories
Nutzerfreundlichkeit
Hygiene
Digitale
Transformation
ÜBER
UNS
Unternehmensprofil
Team
Karriere
Sales
Partner
Kontakt
MEDIEN
Referenzen
Medienmitteilungen
News
Downloads
Design
Studio
Videos
Media
&
Awards
de
KONTAKT

Vereinbarung
über
die
Auftragsdatenverarbeitung
nach
Art.
9
DSG
bzw.
Art.
28
DSGVO

A. Parteien

Verantwortlich: Kunde

Auftragsbearbeiter: Zippsafe AG, Europa-Strasse 17, 8152 Glattbrugg, nachfolgend «Zippsafe»

B. Hauptvertrag

1. Diese Vereinbarung erweitert den zwischen den Parteien geschlossenen Vertrag über das Zippsafe Management System (ZMS) («Hauptvertrag»). Sie geht dem Hauptvertrag, deren Bestandteilen und allfälligen AGB der Parteien bei Widersprüchen vor.

C. Gegenstand dieser Vereinbarung 

2. Gegenstand dieser Vereinbarung ist die Bearbeitung von Personendaten im Rahmen der Erfüllung der Verpflichtungen aus dem Hauptvertrag durch Zippsafe. Der Hauptvertrag gilt für das rechtliche Verhältnis zwischen der Zippsafe AG einschliesslich sämtlicher in- und ausländischer Tochtergesellschaften und ihren Kunden

3. Gegenstand der Datenbearbeitung sind die im Hauptvertrag aufgeführten Daten- und Personenkategorien. 

4. Die Datenbearbeitung findet an den folgenden Orten statt: Europäische Union und Schweiz.

5. Zippsafe ist berechtigt, zur Leistungserfüllung Unterauftragsbearbeiter einzusetzen. Zippsafe prüft die Unterauftragsbearbeiter sorgfältig und schließt mit ihnen einen Auftragsdatenverarbeitungsvertrag ab, der im Wesentlichen die Bestimmungen der vorliegenden Vereinbarung enthält. Zippsafe gibt dem Kunden den Wechsel oder den Beizug eines neuen Unterauftragsbearbeiters mind. 4 Wochen im Voraus in Textform (bspw. via E-Mail) bekannt. In begründeten Fällen kann der Kunde dagegen Einspruch erheben. Können sich die Parteien in der Folge nicht einigen, kann Zippsafe den Hauptvertrag mit einer Kündigungsfrist von 30 Tagen auf einen beliebigen Zeitpunkt kündigen. 

D. Rechte und Pflichten der Parteien

6. Zippsafe verpflichtet sich, die bearbeiteten Personendaten zu keinen anderen als den im Hauptvertrag vereinbarten Zwecken zu verwenden. Ausgenommen hiervon ist die Bekanntgabe von Personendaten im Rahmen von behördlichen Herausgabe- oder Durchsuchungsverfügungen über welche Zippsafe den Kunden, falls zulässig, schnellstmöglich in Kenntnis gesetzt werden. 

7. Zippsafe setzt bei der Durchführung der Arbeiten nur Personen oder Unterauftragsbearbeiter ein, die vertraglich oder gesetzlich zur Geheimhaltung verpflichtet und mit den relevanten Bestimmungen des Datenschutzes vertraut sind.

8. Zippsafe bearbeitet die Personendaten nur im Rahmen von dokumentierten Weisungen des Kunden. Mündliche Weisungen bestätigt der Kunde umgehend in Textform (bspw. via E-Mail). Zippsafe weist den Kunden darauf hin, falls eine Weisung gegen geltendes Datenschutzrecht verstößt und setzt eine Bearbeitung so lange aus, bis der Kunde die Weisung in Textform bestätigt. 

9. Zippsafe ermöglicht es dem Kunden oder einem von ihm beauftragten Prüfer, Kontrollen betr. die Einhaltung dieser Vereinbarung auszuführen. Solche Kontrollen sind mind. 4 Wochen im Voraus anzukündigen. Der Kunde hat pro Jahr einen Anspruch auf einen kostenlosen Kontrolltag. Zusätzlicher Aufwand seitens Zippsafe hat der Kunde zu marktüblichen Ansätzen zu vergüten.

Anstelle einer Kontrolle vor Ort erbringt Zippsafe den Nachweis auf Verlangen schriftlich (bspw. mittels Offenlegung von Audit-, Zertifizierungs- oder sonstigen Prüfergebnissen wie Penetration Tests). Verfügt Zippsafe über eine ISO-27001 oder eine gleichwertige Zertifizierung, welche im Anwendungsbereich das ZMS mitumfasst, gilt der Nachweis über die Angemessenheit der technischen und organisatorischen Maßnahmen als erbracht und es besteht nur in begründeten Verdachtsfällen ein Anspruch auf eine Kontrolle vor Ort.

10. Zippsafe stellt die Datensicherheit durch geeignete technische und organisatorische Maßnahmen nach Anhang I sicher. Diese Maßnahmen unterliegen dem technischen Fortschritt. Zippsafe kann alternative adäquate Maßnahmen umsetzen. Dabei darf das bisherige Sicherheitsniveau nicht unterschritten werden. Wesentliche Änderungen werden dokumentiert.

11. Zippsafe verpflichtet sich ausserdem, den Kunden innert 48 Stunden seit Feststellung über einen Vorfall zu Datensicherheit zu informieren.

12. Zippsafe unterstützt den Kunden in zumutbarem Umfang bei der Erstellung von Datenschutz-Folgenabschätzungen für das ZMS sowie zwecks Beantwortung von Gesuchen von Betroffenen und im Rahmen von Behördenanfragen oder -Kontrollen, welche die im ZMS gespeicherten Personendaten betreffen.

13. Kopien oder Duplikate der Daten werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien und andere technisch notwendige Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind.

14. Auf Verlangen des Kunden, spätestens aber mit Beendigung des Hauptvertrags, löscht Zippsafe sämtliche Personendaten des Kunden, vorbehaltlich anderweitiger Vereinbarungen (bspw. Backup-Aufbewahrung) oder gesetzlicher Aufbewahrungspflichten. 

E. Dauer der Auftragsbearbeitung

15. Diese Vereinbarung bleibt so lange in Kraft, wie Zippsafe Personendaten des Kunden bearbeitet, d.h. ggf. über das Ende des Hauptvertrags hinaus, falls Zippsafe resp. deren Unterauftragsbearbeiter noch Backups mit Personendaten des Kunden aufbewahrt. In einem solchen Fall und nach Beendigung des Hauptvertrags beschränkt sich das Kontrollrecht nach Ziff. 9 auf schriftliche Anfragen.

16. Diese Vereinbarung, insbesondere Anhang I, kann von Zippsafe jederzeit mit einer angemessenen Vorankündigungsfrist angepasst werden. Der Kunde wird in Textform darüber informiert. In begründeten Fällen kann der Kunde dagegen Einspruch erheben. Können sich die Parteien in der Folge nicht einigen, kann Zippsafe den Hauptvertrag mit einer Kündigungsfrist von 30 Tagen auf einen beliebigen Zeitpunkt kündigen. 

Anhang 1 – Technische und organisatorische Maßnahmen 

Es handelt sich nachfolgend um Maßnahmen der Datensicherheit und zur Gewährleistung eines angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei berücksichtigt Zippsafe den Stand der Technik, die Kosten und die Art, den Umfang und die Zwecke der Bearbeitung.

Spezifische Maßnahmen für das ZMS sind im Dokument “Zippsafe Management System (ZMS) Documentation” dokumentiert. Zippsafe ergreift auf ihrer Infrastruktur und in ihrer Organisation außerdem die folgenden technischen und organisatorischen Maßnahmen:

Zugangskontrollen

IAM

Datenzugriffe nur mit Authentifizierung

MFA für alle

PAM

Passwortregeln

Least-Privilege-Prinzip

Need-to-know-Prinzip

At-rest verschlüsselt

In-transit verschlüsselt

Backups 

BCM-Konzept

Firewalls

EDR/XDR

HW und SW alle inventarisiert

Malwareschutz

aktuelles Patchmanagement 

Trennung produktive/andere Systeme 

Weisung Informationssicherheit