PRÄAMBEL

JOIN hat es sich zur Aufgabe gemacht, Arbeitskräfte und Unternehmen weltweit miteinander zu vernetzen. Unternehmen können über die JOIN-Plattform, die unter https://join.com zu erreichen ist (nachfolgend “Plattform“), vakante Stellen inserieren sowie Bewerber und Bewerbungen zentral verwalten. Das Angebot von JOIN ist darauf ausgerichtet, im Recruiting-Prozess eine Arbeitserleichterung für Unternehmen und Arbeitnehmer gleichermassen zu schaffen, insbesondere in der Allokation von geeigneten Kandidaten und in der Vereinfachung des Bewerbungsprozesses. Zudem wird Kandidaten über die Plattform die Möglichkeit geboten, nach interessanten Jobangeboten zu suchen und sich über offene Stellen zu informieren.

Das Unternehmen kann auf der Plattform konkrete Bewerbungsverfahren über ein webbasiertes Management-Tool verwalten (“Bewerber-Managementtool“). In diesem Rahmen werden die hierüber vom Unternehmen generierten personenbezogenen Daten für den jeweiligen Bewerbungsprozess durch JOIN als Auftragsverarbeiter für das Unternehmen als Verantwortlicher im Sinne der geltenden Datenschutzgesetze verarbeitet. Im Rahmen der anderen Angebote von JOIN, wie z.B. die Allokation von geeigneten Kandidaten oder die Angebote für Kandidaten, werden personenbezogene Daten durch JOIN als Verantwortlicher im Sinne der geltenden Datenschutzgesetze verarbeitet.

Dieser AVV dient der Absicherung der Parteien gegen die zweckfremde Verwendung der im Bewerber-Managementtool verarbeiteten personenbezogenen Daten, der Wahrung des Datenschutzes durch JOIN wegen der ihm durch das Unternehmen zur Kenntnis gelangten personenbezogenen Daten sowie der Beachtung der gesetzlichen Vorgaben für den Fall, dass die Geschäftsbeziehung vom Unternehmen und JOIN als eine Auftragsverarbeitung beurteilt werden sollte.

Diese AVV ist Bestandteil jedes Service-Agreements der Parteien, es sei denn, in einem zeitlich nach Zustandekommen dieser AVV abzuschliessenden Vertrag wird Abweichendes ausdrücklich vereinbart. Dieses Dokument einschliesslich aller Anlagen konkretisiert zudem die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zugrundeliegenden Service-Agreement wie folgt:

1. Anwendungsbereich und Begriffsbestimmungen

1.1 Die nachfolgenden Bestimmungen finden nur Anwendung auf Leistungen von JOIN, die im Rahmen des Service-Agreements, insbesondere des Bewerber-Managementtool, als Auftragsverarbeitung zu qualifizieren sind.

1.2 Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff hat überdies die Bedeutung, die ihm gem. Art. 4 Nr. 2 der Datenschutz-Grundverordnung (“DSGVO“) bzw. Art. 3 lit. a des Schweizer Datenschutzgesetzes (“DSG“) zuerkannt ist (DSGVO und DSG gemeinsam “geltende Datenschutzgesetze“).

1.3 Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO und Art. 3 DSG wird verwiesen.

2. Gegenstand und Dauer des Auftrags

2.1 Unter dieser AVV verarbeitet JOIN personenbezogene Daten ausschliesslich im Auftrag und nach Weisung des Unternehmens. Hierunter fallen insbesondere diejenigen Verarbeitungsprozesse, die JOIN für das Unternehmen über das Bewerber-Managementtool ausschliesslich zum Bewerbungs-Management nach Massgabe des Service-Agreements bereitstellt. In diesem Service-Agreement sowie in Ziff. 4 haben die Parteien die Angaben nach Art. 28 Abs. 3 DSGVO, insbesondere Gegenstand und Dauer der Auftragsverarbeitung, sowie Umgang, Art und Zweck der vorgesehenen Datenverarbeitung, Art der Daten und Kreis der Betroffenen, festgelegt.

2.2 Die Auftragsverarbeitung durch JOIN im Auftrag des Unternehmens erfolgt insbesondere gemäss Art. 28 DSGVO sowie Art. 10a DSG. Das Unternehmen bleibt stets die für die Datenverarbeitung verantwortliche Stelle.

3. Rangverhältnis der vertraglichen Vereinbarungen

Die Bestimmungen dieser AVV sind integraler Bestandteil des Service-Agreements zwischen den Parteien und gehen den weiteren vertraglichen Vereinbarungen der Parteien vor, insbesondere Verträgen, sofern und soweit die Bestimmungen in diesen weiteren vertraglichen Vereinbarungen von denjenigen dieser AVV zum Nachteil des Unternehmens abweichen. Ziff. 1.1. bleibt hiervon unberührt. Die Bestimmungen dieser AVV finden keine Anwendung auf die Verarbeitung von personenbezogenen Daten, die JOIN als Verantwortlicher im Rahmen des Service-Agreement gegenüber dem Unternehmen erbringt.

4. Zweck, Umfang und Art der Datenverarbeitung

Als Zweck der Auftragsverarbeitung bestimmen die Parteien die Erfüllung der Vertragszwecke gemäss Service-Agreement, insbesondere die Durchführung und das Management von konkreten Bewerbungsverfahren, die dem Unternehmen über das Bewerbermanagement-Tool auf der Plattform von JOIN ermöglicht werden. Umfang und Art der Datenerhebung, -verarbeitung und/oder -nutzung personenbezogener Daten werden durch die Bestimmungen des Service-Agreements bestimmt und durch die tatsächlich von Unternehmen in Anspruch genommenen Leistungen konkretisiert.

5. Kreis der Betroffenen

Der Kreis der durch den Umgang mit den personenbezogenen Daten im Rahmen des Service-Agreements betroffenen Personen umfasst insbesondere

• Kandidaten für die jeweils durch das Unternehmen über die Plattform publizierten Stellen; und
• Mitarbeitende des Unternehmens.

6. Art der personenbezogenen Daten

Von der Auftragsverarbeitung sind insbesondere folgende Datenarten betroffen:

• Personenstammdaten der Kandidaten (z.B. Namen, Anrede, Titel/akademischer Grad, Geburtstag, Telefonnummer, E-Mail-Adresse),
• die von den Bewerbern übermittelten Daten, (Bewerberdaten; Lebenslauf, Referenzen, Zeugnisse, Zertifikate etc.),
• alle Informationen im Zusammenhang mit dem Bewerbungsprozess, die im Bewerber-Managementtool erfasst werden, wie z.B. Nachrichten, die über die Plattform geschickt werden, Informationen über den Bewerbungsprozess und den Fortschritt eines Kandidaten im Bewerbungsprozess, die auf unserer Plattform erfasst werden, oder Fragen, die im Rahmen des Bewerbungsprozesses gestellt werden und auf unserer Plattform erfasst werden,
• durch die Nutzung des Bewerber-Managementtool generierte Daten, wie z.B. Metadaten diese beinhalten u.a. Informationen darüber, wie lange ein Bewerbungsprozess dauert, wie viele Kandidaten sich beworben haben, wie weit ein Kandidat im Bewerbungsprozess gekommen ist,
• durch Interaktionen mit dem Bewerber-Managementtool generierte Daten, wie z.B. die Beantwortung von Fragen, die Kandidaten gestellt werden, vom Unternehmen selbst erfasste und nicht gelöschte Daten im Bewerber-Managementtool, Kontaktaufnahmen mit Kandidaten oder JOIN,
• Personenstammdaten (z.B. Name, Jobtitel, E-Mail-Adresse, Telefonnummer, Geschäftsadresse) sowie Zugangsdaten (z.B. Username und Passwort) von Mitarbeitenden des Unternehmens.

Werden diese Daten im Rahmen anderer Angebote von JOIN verarbeitet, wie z.B. die Allokation von geeigneten Kandidaten oder die Angebote für Kandidaten, geschieht dies nicht im Rahmen dieser AVV. JOIN verarbeitet diese Daten in einem solchen Fall als Verantwortlicher im Sinne der geltenden Datenschutzgesetze.

7. Rechte und Pflichten des Unternehmens

7.1 Für die Beurteilung der Zulässigkeit der von JOIN im Auftrag des Unternehmens erfolgenden Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein das Unternehmen Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO bzw. Art. 3 lit. i DSG. Das Unternehmen ist insbesondere aber nicht abschliessend dafür verantwortlich, (1) gegenüber den Kandidaten die datenschutzrechtlichen Informationspflichten zu erfüllen, (2) von den Kandidaten die notwendigen Einwilligungen in die Verarbeitung der Daten durch das Unternehmen oder JOIN einzuholen, sofern gemäss geltender Datenschutzgesetze zwingend notwendig, und (3) die für das jeweilige Bewerbungsverfahren geltenden Löschfristen einzuhalten.

7.2 Das Unternehmen ist als Verantwortlicher jederzeit dazu berechtigt, Weisungen über Art, Umfang und Verfahren der im Auftrag erfolgenden Datenverarbeitung zu erteilen. Mündliche Weisungen sind vom Unternehmen schriftlich oder in Textform (inkl. E-Mail) zu bestätigen.

7.3 Soweit es das Unternehmen für erforderlich hält, können weisungsberechtigte Personen benannt werden. Die Anfrage ist vom Unternehmen schriftlich zu stellen. Für den Fall, dass sich diese weisungsberechtigten Personen beim Unternehmen ändern, wird dies JOIN unter Benennung der jeweils neuen Person rechtzeitig mitgeteilt.

7.4 Das Unternehmen informiert JOIN, wenn Fehler oder Unregelmässigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch JOIN festgestellt werden.

7.5 Das Unternehmen ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmässig jedoch maximal einmal jährlich nach rechtzeitiger vorheriger Anmeldung von mindestens 30 Tagen zu den üblichen Geschäftszeiten und unter Berücksichtigung der Interessen von JOIN gemäss Ziff. 9 von der Einhaltung der bei JOIN getroffenen technischen und organisatorischen Massnahmen zur Datensicherheit zu überzeugen. Das Unternehmen kann diese Kontrolle auch durch einen Dritten durchführen lassen, sofern dieser vorgängig zur Geheimhaltung verpflichtet wurde. Für die Durchführung der Massnahmen hat das Unternehmen eine übliche Vergütung der hiermit betrauten Personen zu leisten.

7.6 Das Unternehmen ist verpflichtet, JOIN über Datenschutzvorfälle oder andere Verstösse gegen die geltenden Datenschutzgesetze zu informieren, die die Verarbeitungstätigkeiten von JOIN betreffen.

7.7 Über konkrete, das Unternehmen betreffende Massnahmen der Aufsichtsbehörden, insbesondere über Ermittlungsmassnahmen der Behörden, wird das Unternehmen JOIN zeitnah nach Kenntnisnahme in Kenntnis setzen, sofern hierdurch die Datenverarbeitung für das Unternehmen betroffen ist und das Unternehmen nicht zur Verschwiegenheit verpflichtet ist.

8. Pflichten von JOIN

8.1 Datenverarbeitung

JOIN ist verpflichtet, personenbezogene Daten unter dieser AVV ausschliesslich nach Massgabe dieser Vereinbarung und/oder des zugrundeliegenden Service-Agreements sowie nach den Weisungen des Unternehmens zu verarbeiten.

8.2 Betroffenenrechte

JOIN wird dem Unternehmen bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen.

JOIN hat auf Weisung des Unternehmens die personenbezogenen Daten, die im Auftrag des Unternehmens verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken. Diese Pflicht gilt nicht für personenbezogene Daten, die JOIN im Rahmen seines Angebots über die Plattform als Verantwortlicher verarbeitet.

Soweit sich ein Betroffener unmittelbar an JOIN zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner Daten wendet, wird JOIN dieses Ersuchen unverzüglich nach Erhalt an das Unternehmen weiterleiten. Für die Ausführungen der Anfragen bleibt das Unternehmen verantwortlich.

8.3 Interne Kontrollpflichten

JOIN stellt durch geeignete Kontrollen, bspw. interne Audits, Datenschutzkonzept, o.ä, sicher, dass die unter dieser AVV verarbeiteten personenbezogenen Daten nach Massgabe dieser Vereinbarung und den entsprechenden Weisungen verarbeitet werden.

8.4 Informationspflichten

JOIN macht das Unternehmen als Verantwortlichen darauf aufmerksam, wenn eine erteilte Weisung gemäss eigener Einschätzung gegen gesetzliche Vorschriften verstösst. JOIN ist dann dazu berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch das Unternehmen geändert wird. Eine Prüf- oder Hinweispflicht von JOIN wird hierdurch nicht begründet.

JOIN wird dem Unternehmen jeden Verstoss gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Regelungen im Service-Agreement und der Vereinbarung und/oder die erteilten Weisungen, der im Zuge der Verarbeitung von Daten durch ihn, bei ihm beschäftigte Personen oder andere mit der Verarbeitung betraute Dritte erfolgt ist, mitteilen, sofern hierdurch die jeweils geltenden datenschutzrechtlichen Meldepflichten ausgelöst werden.

Sofern der Zugriff auf die personenbezogenen Daten, die das Unternehmen JOIN zur Datenverarbeitung übermittelt hat, durch Massnahmen Dritter (z.B. Massnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, hat JOIN das Unternehmen hierüber zu benachrichtigen.

Eine Weitergabe von Informationen durch JOIN an eine auskunftsersuchende Stelle erfolgt lediglich nach vorheriger Abstimmung mit dem Unternehmen, sofern JOIN zur Informationserteilung nicht durch behördliche Massnahmen oder gerichtliche Entscheidungen verpflichtet ist.

Über konkrete, JOIN betreffende Massnahmen der Aufsichtsbehörde, insbesondere über Ermittlungsmassnahmen der Behörde, wird JOIN das Unternehmen zeitnah nach Kenntnisnahme in Kenntnis setzen, sofern hierdurch die Datenverarbeitung für das Unternehmen betroffen ist und JOIN nicht zur Verschwiegenheit verpflichtet ist.

8.5 Erstellung eines Verarbeitungsverzeichnisses

JOIN wird das Unternehmen auf Verlangen bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten im Rahmen des AVV und der dadurch erfolgenden Datenverarbeitung unterstützen und die jeweils erforderlichen Angaben in geeigneter Weise zur Verfügung stellen.

JOIN führt zudem entsprechend den Vorgaben der geltenden Datenschutzgesetze ein eigenes Verzeichnis zu allen Kategorien von im Auftrag des Unternehmens durchgeführten Verarbeitungstätigkeiten.

8.6 Meldepflichten

JOIN wird das Unternehmen auf Verlangen bei der Erfüllung der Verpflichtungen nach Art. 33-36 DSGVO unterstützen.

8.7 Ort der Datenverarbeitung

Sofern zwischen den Parteien nichts Abweichendes vereinbart ist, findet die Verarbeitung und Nutzung der Daten durch JOIN ausschliesslich im Gebiet der Schweiz, der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Verlagerung der Datenverarbeitungstätigkeiten von JOIN in ein Drittland ist nur unter Einhaltung der besonderen Voraussetzungen der Art. 44 ff. DSGVO bzw. Art. 6 DSG zulässig.

8.8 Löschung der personenbezogenen Daten nach Auftragsbeendigung

Nach Beendigung des Service-Agreements ist JOIN auf Anfrage des Unternehmens verpflichtet sämtliche dieser AVV unterfallenden personenbezogenen Daten, Unterlagen und erstellte Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Unternehmen auszuhändigen sowie datenschutz- und datensicherheitskonform und gemäss den Weisungen des Unternehmens zu löschen, sofern und soweit JOIN nicht zur weiteren Verarbeitung vertraglich oder gesetzlich berechtigt oder verpflichtet ist. Diese Löschpflicht gilt nicht für personenbezogene Daten, die JOIN im Rahmen seines Angebots über die Plattform als Verantwortlicher verarbeitet.

9. Datenschutzkontrolle und Auditrechte

9.1 JOIN erklärt sich damit einverstanden, dass das Unternehmen nach vorheriger, gemeinsamer Absprache dazu berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte, die vorgängig zur Geheimhaltung verpflichtet wurden, zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Systeme sowie sonstige Kontrollen vor Ort. Zur Ausübung des Kontrollrechts, räumt JOIN dem Unternehmen zu diesem Zweck das Recht ein, sich nach rechtzeitiger Anmeldung von mindestens 30 Tagen im Voraus und unter Berücksichtigung der Interessen von JOIN zu Prüfzwecken in den Betriebsräumen von JOIN zu dessen üblichen Geschäftszeiten ohne Störung des Betriebsablaufes von der Angemessenheit der von JOIN getroffenen und vertraglich vereinbarten organisatorischen und technischen Massnahmen zur Einhaltung der Erfordernisse der für die Auftragsverarbeitung einschlägigen Bestimmungen zu überzeugen.

9.2 JOIN wird das Unternehmen bei der Durchführung von Kontrollen nach Kräften unterstützen und an der vollständigen und zügigen Abwicklung und erforderlichen Aufklärung mitwirken.

9.3 JOIN wird eventuelle Kontrollmassnahmen der Datenschutzaufsichtsbehörde dulden, sofern dazu eine gesetzliche oder Pflicht besteht. Er wird das Unternehmen nach Massgabe von Ziff. 8.4 nach Ankündigung oder Kenntniserlangung über die Durchführung der Kontrollmassnahme sowie bei anderweitigen Anfragen, Ermittlungen oder Erkundigungen der Datenschutzaufsichtsbehördeinformieren, soweit die Massnahmen oder Anfragen Datenverarbeitungen betreffen können, die JOIN für das Unternehmen erbringt und JOIN gesetzlich nicht zur Verschwiegenheit verpflichtet ist.

9.4 Auf Verlangen bestätigt JOIN schriftlich die Einhaltung der in Anhang 1 bestimmten technischen und organisatorischen Massnahmen.

10. Unterauftragsverhältnisse und Subunternehmer

10.1 JOIN ist nach Massgabe der nachfolgenden Bestimmungen dazu berechtigt, Subunternehmer mit der Auftragsverarbeitung zu beauftragen:

JOIN wählt Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit aus und stellt sicher, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet wird.

Bei Einschaltung weiterer Subunternehmer muss stets ein Schutzniveau gewährleistet werden, welches mit demjenigen dieser Vereinbarung vergleichbar ist.

JOIN ist dazu verpflichtet, die vertraglichen Vereinbarungen mit den Subunternehmern im Einklang mit den hiesigen Vereinbarungen im Verhältnis zwischen dem Unternehmen und JOIN auszugestalten, und sicherzustellen, dass ggf. ergänzende Weisungen des Unternehmens auch gegenüber dem weiteren Subunternehmer gelten.

JOIN informiert das Unternehmen rechtzeitig, d.h. spätestens zwei Wochen vor Beginn der geplanten Unterbeauftragung, über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter. Widerspricht das Unternehmen der Unterbeauftragung nicht innerhalb von zwei Wochen seit Zugang der Information, so gilt diese als genehmigt. Widerspricht das Unternehmen der Unterbeauftragung, so sind die Parteien berechtigt, das Service-Agreement sowie diese AVV ausserordentlich zu kündigen.

10.2 JOIN hat dem Unternehmen auf Anfrage eine Kopie des Unterauftragsverarbeitungsvertrages zur Verfügung stellen, sofern und soweit keine Interessen von JOIN entgegenstehen.

10.3 JOIN arbeitet zum Zeitpunkt des Vereinbarungsschlusses bei der Erfüllung des Auftrags mit den in Anhang 2 benannten Subunternehmern zusammen, mit deren Beauftragung sich das Unternehmen ausdrücklich einverstanden erklärt.

11. Datengeheimnis

11.1 JOIN ist bei der Verarbeitung von Daten für das Unternehmen zur Wahrung der Vertraulichkeit und des Datengeheimnisses verpflichtet.

11.2 JOIN wird bei der Erfüllung des Auftrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einsetzen, die hinreichend auf das Datengeheimnis bzw. auf die Vertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind.

12. Technische und organisatorische Massnahmen

12.1 Die in Anhang 1 beschriebenen technischen und organisatorischen Massnahmen werden als verbindlich festgelegt.

12.2 JOIN beachtet die Grundsätze ordnungsgemässer Datenverarbeitung gem. Art 32 i.V.m Art. 5 Abs. 1 DSGVO sowie Art. 7 i.V.m. Art. 4 DSG. Er gewährleistet die in Anhang 1 vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmassnahmen. JOIN wird für die Dauer des Vertragsverhältnisses alle erforderlichen Massnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Um stets ein angemessenes Sicherheitsniveau der Verarbeitung gewährleisten zu können, hat JOIN darauf hinzuwirken, dass die implementierten Massnahmen regelmässig evaluiert und ggf. angepasst werden. JOIN steht es frei, solche Änderungen der technischen und organisatorischen Massnahmen vorzunehmen, die das vereinbarte Sicherheitsniveau erhöhen. Andere Änderungen dieser Massnahmen wird JOIN dem Unternehmen rechtzeitig mitteilen.

13. Formklausel

13.1 Änderungen und Ergänzungen dieser AVV, der mit Bezug hierauf zwischen den Parteien getroffenen weiteren Vereinbarungen sowie alle unmittelbar den Inhalt oder den Umfang der von den Parteien unter dieser AVV geschuldeten Leistungen und sonstigen Handlungen ändernde Erklärungen bedürfen zu ihrer Wirksamkeit der Textform. Dies gilt auch für eine Änderung dieser Klausel.

13.2 Alle Erklärungen der Parteien, insbesondere Unterrichtungen, Anzeigen, Mitteilungen und sonstige der jeweils anderen Partei zu übermittelnden Informationen, bedürfen zu Ihrer Wirksamkeit der Textform. Auf Verlangen der empfangenden Partei, das zeitnah nach Zugang der Erklärung in Textform geltend zu machen ist, ist eine in Textform übermittelte Erklärung von der erklärenden Partei schriftlich zu bestätigen. Erfolgt die Bestätigung nicht, gilt die in Textform erteilte Erklärung als nicht abgegeben.

14. Gerichtsstand

14.1 Ausschliesslicher, auch internationaler Gerichtsstand für alle sich aus dieser AVV unmittelbar oder mittelbar ergebenden Streitigkeiten das sachlich zuständige Gericht am Sitz von JOIN. Die Gerichtsstandsvereinbarung findet keine Anwendung, wenn die Streitigkeit andere als vermögensrechtliche Ansprüche betrifft oder für die Streitigkeit bereits nach den gesetzlichen Bestimmungen ein ausschliesslicher Gerichtsstand begründet wird.

14.2 JOIN steht es frei, das Unternehmen an seinem allgemeinen Gerichtsstand in Anspruch zu nehmen.

15. Sonstiges

15.1 Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Service-Agreements gehen die Bestimmungen dieser Vereinbarung vor.

15.2 Diese Vereinbarung unterliegt Schweizer Recht unter Ausschluss des UN-Kaufrechts und des Kollisionsrechts. Für Kunden mit Sitz in der Europäischen Union gilt das Recht des Mitgliedstaates, indem das Unternehmen seinen Sitz hat.

ANHANG 1 zum AVV

Technische und organisatorische Massnahmen

JOIN sichert zu, folgende technische und organisatorische Massnahmen getroffen zu haben:

1. Massnahmen zur Sicherung der Vertraulichkeit

1.1 Zutrittskontrolle

Massnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren.

• Der zu schätzende Bereich ist durch eine geeignete Bauweise abgesichert
• Alle möglichen Zugänge wurden gegen unbefugten Zugang gesichert
• Es ist ein Zutrittskontrollsystem mit Chipkarten-Leser und Transponder-Schliesssystem eingerichtet
• Es gibt eine kontrollierte Schlüsselvergabe, Chipkarte, etc.
• Dokumentation der Schlüssel- und Chipkartenvergabe
• Türsicherung (elektronischer Türöffner, etc.)
• Verpflichtung der Mitarbeiter auf Datengeheimnis nach BDSG (insb. §5, §43)
• Passwortrichtlinien
• digitale Zertifikate
• Zwei-Faktor-Benutzeranmeldung, (bei kritischen Services)
• Verschlüsselung der Kommunikation/ der Datenverarbeitung
• Einsatz von Software-Firewalls (bei Windows Geräten)
• Automatische Bildschirmsperre/ Mitarbeiter Policy
• aktuelle Nutzerverwaltung.
• Verschlüsselung von Datenträgern in Laptops/ Notebooks
• Zuordnung von Benutzerrechten (wenn möglich, vor allem bei kritischen Services so eingerichtet

1.2 Zugangskontrolle

Massnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.

• Verpflichtung der Mitarbeiter auf Datengeheimnis nach BDSG (insb. §5, §43)
• Berechtigungskonzepte (Profile, Rollen, etc.)
• Keine Serverspeicherung vor Ort (nur Cloud)
• Kennwortverfahren, d.h. persönlicher und individueller User Log-In bei Anmeldung am System (u.a. Sonderzeichen, Mindestlänge, regelmässiger Wechsel des Kennwortes)
• Es wird ein Passwort-Generator für Zufalls-Passwörter genutzt
• Die Übertragung der Authentisierungs-Geheimnisse über das Netz erfolgt verschlüsselt
• Zugriffspasswörter und/ oder Formulareingaben werden nicht auf dem Client oder in seiner Umgebung abgelegt (z.B. Speicherung im Browser oder Post-Its)
• Zugangsberechtigungen werden immer individuell (personenbezogen) vergeben
• Der Kreis der befugten Personen ist auf das betriebsnötig „Notwendigste“ reduziert
• Für die Vergabe von Zugangsberechtigungen ist eine verantwortliche Person benannt
• Verwaltung der Rechte durch Systemadministrator
• Ausweisleser, kontrollierte Schlüsselvergabe, Chipkarte, etc.
• Türsicherung (elektronischer Türöffner, etc.)
• Manuelles Schliesssystem
• Sicherheitsschlösser
• Zutrittskontroll-Systeme mit Chipkarten-Leser und Transponder-Schliesssystem
• Es existiert ein sicheres Verfahren zur Rücksetzung nach Zugangssperren, z.B. Neuvergabe einer Nutzerkennung
• Begrenzung der Zahl der berechtigten Mitarbeiter
• Access-Listen
• Abkapselung von sensiblen Systemen durch getrennte Netzbereiche (da keine sensiblen Systeme vor Ort gehostet werden)
• Authentifizierungsverfahren
• Einrichten von regelmässigen aktualisierten Antiviren- und Spywarefiltern
• Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN – bei sensiblen Daten ist dies Teils der Fall)
• Passwortrichtlinien,
• Einsatz von Software-Firewalls
• Einrichten von regelmässigen aktualisierten Antiviren- und Spywarefiltern (bei verwendeten Geräten und Services geschieht dies teils Serviceseitig, sonst Gerätseitig automatisch)

1.3 Zugriffskontrolle

Massnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zu- greifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Berechtigungskonzepte (Profile, Rollen, etc.)
• Zugangsberechtigungen werden immer individuell (personenbezogen) vergeben
• Verwaltung der Rechte durch Systemadministrator
• Der Kreis der befugten Personen ist auf das betriebsnötig „Notwendigste“ reduziert
• Anzahl der Administratoren auf das „Notwendigste“ beschränkt
• Für die Vergabe von Zugangsberechtigungen ist eine verantwortliche Person benannt
• Jeder Zugangsberechtigte kann nur auf die Daten zugreifen, die er zur auftragsgemässen Bearbeitung des jeweils aktuellen Vorgangs konkret benötigt und die in dem individuellen Berechtigungsprofil eingerichtet sind.
• Berechtigungen sind an eine persönliche Benutzerkennung und an einen Account geknüpft.
• Automatische Bildschirmsperre / Mitarbeiter Policy
• Passwortrichtlinien
• Zuordnung von Benutzerrechten
• Protokollierung der Anmeldeversuche und Abbruch des Anmeldevorgangs nach festgelegter Zahl von erfolglosen Zahl von Versuchen (teils, soweit serviceseitig angeboten)
• Protokollierung von Zugriffen und Missbrauchsversuchen (teils, soweit serviceseitig angeboten)
• Physische Löschung von Datenträgern vor Wiederverwendung
• Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Siegel und/oder Zertifizierung)

1.4 Trennungsgebot

Massnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.

• Softwareseitige Kundentrennung
• Trennung von Test- und Produktivsystemen:

Trennung in Development Server, Staging-Server, Production Server

• Getrennte Datenbanken und Services (teils. Bsp.: In der Sales Datenbank wir nur die Unternehmens-ID, nicht aber weitere hinterlegte (in einer anderen Datenbank) Informationen zum Unternehmen gespeichert), Performance-Daten eines spezifischen Produkts pro Kunde sind wiederum getrennt von beiden eben genannten Datenbanken.

1.5 Pseudonymisierung

Massnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Massnahmen von dem Pseudonym getrennt aufzubewahren.

• Generalisierung
• Verschlüsselung sensibler Daten, wenn in Datenbank gespeichert (z. B. Blowfish Encryption für gespeicherte Passwörter)
• Verwendung von HTTPS über die gesamte Seite und insbesondere sensitive Informationsübertragungen
• Tokens zur Übermittlung der Zahlungsdaten
• Kommunikation von App und Datenbank über OAuth
• Getrennte Datenbanken und Services (teils. Bsp.: In der Sales Datenbank wir nur die Unternehmens-ID, nicht aber weitere hinterlegte (in einer anderen Datenbank) Informationen zum Unternehmen gespeichert), Performance-Daten eines spezifischen Produkts pro Kunde sind wiederum getrennt von beiden eben genannten Datenbanken.

2. Massnahmen zur Sicherung der Integrität

2.1 Weitergabekontrolle

Massnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Massnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.

• Angemessene Funktionstrennung
• Vergabe von persönlichen Benutzerkonten
• Passwortrichtlinien,
• Restriktive Vergabe von Administratorenrechten
• Restriktive Vergabe von Zugriffsrechten von Daten
• Deaktivierung von unbenutzten Benutzerkonten
• Zugang zu Verarbeitungsanlagen wird für Unbefugte verhindert
• Unbefugte Eingabe von personenbezogenen Daten werden verhindert
• Unbefugte Veränderung oder Löschung von personenbezogenen Daten werden verhindert
• Personenbezogene Daten werden nur nach Weisung des Unternehmens verarbeitet
• Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN)
• Die Datenübertragung zwischen Clients und Servern erfolgt verschlüsselt (SSL, SSH oder SFTP)
• Die Verbindung zu den Backendsystemen ist geschützt.
• Daten mit hohem Schutzbedarf werden verschlüsselt.
• Transportprozesse mit individueller Verantwortlichkeit
• Verwaltung der Rechte durch Systemadministrator
• Speicherung von Zugriffen und/oder Log-Files
• Hardwarekomponenten oder Dokumente werden so vernichtet, dass eine Wiederherstellung gar nicht oder nur mit unverhältnismässigem Aufwand möglich ist (teils, je nach Dokument)
• Einsatz von Software-Firewalls
• Die Firewalls sind ständig aktiviert.
• Gegenseitige Authentisierung mittels kryptographischen Verfahren (Mensch-Maschine-Authentisierung) – 2 Factor Auth über zusätzliche App, unabhängig von Rollen bei allen kritischen Systemen

2.2 Eingabekontrolle

Massnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

• Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
• Protokollierung sämtlicher Systemaktivitäten und Aufbewahrung dieser Protokolle von mindestens drei Jahren

3. Massnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Massnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• Recovery und BackUp-Konzepte (RAID, Festplattenspiegelung, etc.)
• BackUps finden regelmässig statt
• Es wird regelmässig überprüft, ob das Rückspielen eines Backups möglich ist (Datenwiederherstellung)
• Feuer- und Rauchmeldeanlagen
• Feuerlöschanlage/ Feuerlöschgeräte in bzw. vor in Elektronik-Räumen
• Klimaanlage in Elektronik-Räumen
• Elektronik-Räume nicht unter sanitären/ wasserführenden Anlagen
• Keine Serverräume im Gebäude, alle Daten und Tools laufen über die Cloud

3.2 Rasche Widerherstellbarkeit

Massnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

• Regelmässige Tests der Datenwiederherstellung
• Recovery und BackUp-Konzepte (RAID, Festplattenspiegelung, etc.)
• BackUps finden regelmässig/ turnusmässig statt
• Es wird regelmässig überprüft, ob das Rückspielen eines Backups möglich ist (Datenwiederherstellung)
• Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

4. Massnahmen zur regelmässigen Evaluation der Sicherheit der Datenverarbeitung

Massnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.

• Datenschutzmanagement
• Datenschutzkonzept allgemein
• Löschkonzept
• Weisungen des Unternehmens werden dokumentiert
• formalisiertes Auftragsmanagement

5. Massnahmen zur Gewährleistung der Zuverlässigkeit

Massnahmen, die gewährleisten, dass alle Funktionen des/ der Systeme zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden?

• Verfügbarkeitsüberwachung relevanter Dienste
• Redundanzen von Systemen
• Systemüberwachung
• Monitoring per automatisiertem Netzwerk Management System (NMS)
• Backup-Pläne
• Nutzung von Test/ PreStaging Systemen
• Nutzung eines Versionsmanagementsystems für Betriebssysteme
• Alerts

6. Massnahmen zur Gewährleistung der Zuverlässigkeit

Massnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können?

• Datenschutzkonzept
• Berechtigungskonzepte (Profile, Rollen, etc.) und deren Dokumentation
• Festlegung von Datenbankrechten
• Bildung von Datenkategorien mit verschiedenen Speicherplätzen
• Interne Mandantenfähigkeit
• Logische Mandantentrennung
• Internes Zweckbindungskonzept
• Die Daten unterschiedlicher Kunden von JOIN werden je nach Inhalt in getrennten Dateien und in getrennten Verzeichnissen gespeichert und nicht zusammengeführt
• Zugriffskonzepte
• Isolierung von Datenbeständen, Systemen (bspw. UAT, Staging und Produktion) und Prozessen
• Physikalische Trennung von Datenkategorien
• Trennung besonders sensibler Daten

ANHANG 2 zum AVV

Liste der Unterauftragsverarbeiter von JOIN

Amazon Web Services Europe
Cloud-Service-Anbieter
Luxemburg

Google Europe
Cloud-Service-Anbieter
Irland

Mailchimp
Marketing- und Mailingplattform
USA

Stripe Payments Europe Ltd.
Paymentdienstleister
Irland