Zippsafe Logo
Zippsafe Logo
Zippsafe Logo
Zippsafe Logo
PRODUKTE
Spindsysteme
Spindverwaltung
Gepäcktransport
Wertsachenprotokoll
CALCULATOR
INDUSTRIEN
Gesundheitswesen
Lebensmittel
Life
Science
Weitere
Industrien
ÜBER
UNS
Unternehmensprofil
Team
Karriere
Sales
Partner
Kontakt
MEDIEN
Blog
Ressourcen
Erfolgsgeschichten
de
KONTAKT

Diese Website verwendet Cookies, um die Benutzerfreundlichkeit zu verbessern und Ihnen den bestmöglichen Service zu bieten.

Vereinbarung
über
die
Auftragsdatenverarbeitung

1. Geltungsbereich

1.1 Anwendungsbereich: Diese Vereinbarung über die Auftragsdatenbearbeitung gilt für das rechtliche Verhältnis zwischen der Zippsafe AG einschliesslich sämtlicher in- und ausländischer Tochtergesellschaften und ihren Kunden (gemeinsam nachfolgend: «Parteien»).

1.2 Gegenstand: Gegenstand dieser Vereinbarung ist die Bearbeitung von Personendaten im Rahmen der Erfüllung der Verpflichtungen aus der Offerte durch die Zippsafe AG. Gegenstand der Datenbearbeitung sind die in der Offerte aufgeführten Daten- und Personenkategorien.

1.3 Geltungsdauer: Die Vereinbarung bleibt gültig, solange die Zippsafe AG Personendaten im Auftrag des Kunden bearbeitet, möglicherweise auch über das Ende des Vertrags hinaus, falls Personendaten nach Ende des Vertragsverhältnisses bei der Zippsafe AG bearbeitet werden. Nach Beendigung des Vertrags beschränkt sich das Kontrollrecht auf schriftliche Anfragen.

2. Datenbearbeitung

2.1 Datenbearbeitungsorte: Die Datenbearbeitung erfolgt innerhalb der Europäischen Union und der Schweiz.

2.2 Einsatz von Unterauftragsbearbeitern: Die Zippsafe AG ist berechtigt, Unterauftragsbearbeiter zur Leistungserfüllung einzusetzen. Vor der Beauftragung neuer Unterauftragsbearbeiter informiert die Zippsafe AG den Kunden mindestens vier Wochen im Voraus schriftlich. Der Kunde kann in begründeten Fällen Einspruch erheben. Erhebt der Kunde innerhalb von vier Wochen nach Information keinen Einspruch, gilt der Unterauftragsbearbeiter als genehmigt. Bei Uneinigkeiten haben beide Parteien die Möglichkeit, den Vertrag mit einer Kündigungsfrist von 30 Tagen zu beenden.

2.3 Geheimhaltung und Schulung: Die Zippsafe AG setzt nur Personen oder Unterauftragsbearbeiter ein, die vertraglich oder gesetzlich zur Geheimhaltung verpflichtet sind und mit den relevanten Datenschutzbestimmungen vertraut sind.

2.4 Die Bearbeitung der Personendaten erfolgt nur nach dokumentierten Weisungen des Kunden. Mündliche Weisungen müssen umgehend in Textform bestätigt werden. Falls die Zippsafe AG der Auffassung ist, dass eine Weisung gegen das Datenschutzrecht verstösst, weist sie den Kunden darauf hin und setzt die Bearbeitung aus, bis der Kunde die Weisung schriftlich bestätigt.

2.5 Verwendungszweck der Daten: Die Zippsafe AG verpflichtet sich, die bearbeiteten Personendaten ausschliesslich für die in der Offerte festgelegten Zwecke zu verwenden. Eine Ausnahme bildet die Bekanntgabe der Daten im Rahmen behördlicher Anfragen oder zu Rechtsverfolgungszwecken, über die die Zippsafe AG den Kunden, sofern zulässig, schnellstmöglich informiert.

2.6 Kopien: Kopien oder Duplikate der Daten werden nicht ohne Wissen des Kunden erstellt. Hiervon ausgenommen sind Sicherheitskopien und andere technisch notwendige Kopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenbearbeitung erforderlich sind.

2.7 Datenlöschung: Auf Verlangen des Kunden, spätestens aber mit Beendigung des Vertrags, löscht die Zippsafe AG sämtliche Personendaten des Kunden, vorbehaltlich anderweitiger Vereinbarungen (bspw. Backup-Aufbewahrung), zu Rechtsverfolgungszwecken oder aufgrund gesetzlicher Aufbewahrungspflichten.

3. Kontrollen und Nachweise

3.1 Kontrollrechte des Kunden: Die Zippsafe AG ermöglicht es dem Kunden oder einem von ihm beauftragten Prüfer, Kontrollen betreffend der Einhaltung dieser Vereinbarung auszuführen, wobei der Prüfer nicht im direkten oder indirekten Konkurrenzverhältnis zur Zippsafe AG stehen darf. Solche Kontrollen sind mindestens 4 Wochen im Voraus anzukündigen. Der Kunde hat pro Jahr einen Anspruch auf einen kostenlosen Kontrolltag. Zusätzlicher Aufwand seitens der Zippsafe AG hat der Kunde zu marktüblichen Ansätzen zu vergüten. Die Kosten für einen vom Kunden beauftragten Prüfer trägt der Kunde.

3.2 Nachweis: Anstelle einer Kontrolle vor Ort erbringt die Zippsafe AG den Nachweis auf Verlangen schriftlich (bspw. mittels Offenlegung von Audit-, Zertifizierungs- oder sonstigen Prüfergebnissen wie Penetration Tests). Verfügt die Zippsafe AG über eine ISO-27001 oder eine gleichwertige Zertifizierung, welche den Anwendungsbereich mitumfasst, gilt der Nachweis über die Angemessenheit der technischen und organisatorischen Massnahmen als erbracht und es besteht nur in begründeten Verdachtsfällen ein Anspruch auf eine Kontrolle vor Ort.

4. Sicherheitsmassnahmen

4.1 Technische und organisatorische Massnahmen: Die Zippsafe AG stellt die Datensicherheit durch geeignete technische und organisatorische Massnahmen sicher. Diese Massnahmen unterliegen dem technischen Fortschritt, und die Zippsafe AG kann alternative adäquate Massnahmen implementieren, solange das Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert. Die Zippsafe AG ergreift auf ihrer Infrastruktur und in ihrer Organisation die folgenden technischen und organisatorischen Massnahmen.

  • Zugangskontrollen (Identity and Access Management (IAM), Datenzugriffe nur mit Authentifizierung, Multi-Factor Authentication (MFA) für alle Zugriffe, Privileged Access Management (PAM), Passwortregeln, Least-Privilege-Prinzip, Need-to-know-Prinzip).

  • Verschlüsselung und Backup (Daten at-rest und in-transit verschlüsselt, Backups und Business Continuity Management (BCM)-Konzept).

  • Sicherheitsmassnahmen (Firewalls, Endpoint Detection and Response (EDR)/Extended Detection and Response (XDR), Hardware und Software inventarisiert, Malwareschutz, Aktuelles Patchmanagement, Trennung produktiver und anderer Systeme, Weisung Informationssicherheit).

4.2 Information bei Sicherheitsvorfällen: Die Zippsafe AG informiert den Kunden innerhalb von 48 Stunden nach Feststellung eines Sicherheitsvorfalls.

4.3 Unterstützungsleistungen: Die Zippsafe AG unterstützt den Kunden bei der Erstellung von Datenschutz-Folgenabschätzungen, der Beantwortung von Betroffenenanfragen und bei Behördenanfragen oder -kontrollen bezüglich der Personendaten. Die Zippsafe AG kann dabei entstehende Kosten dem Kunden in Rechnung stellen.