DATA PROCESSING AGREEMENT

VEREINBARUNG ÜBER DIE AUFTRAGSDATENVERARBEITUNG/-BEARBEITUNG DER FIDECTUS AG FÜR FIDECTUS CLOUD SERVICES

(die "DPA" or “ADV“) vom 24. September 2024, Version 1.3


  1. 1.  HINTERGRUND

    1. 1.1.  Zweck und Anwendung. Dieses Dokument ("DPA") wird in die Vereinbarung einbezogen und ist Teil eines schriftlichen (auch in elektronischer Form geschlossenen) Vertrags zwischen Fidectus und dem Kunden. Dieses DPA gilt für Personenbezogene Daten, die von Fidectus und ihren Unterauftragsverarbeitern im Zusammenhang mit der Erbringung des Cloud Services verarbeitet werden. Dieses DPA gilt nicht für von Fidectus zur Verfügung gestellte Nicht-Produktionsumgebungen des Cloud Service, und der Auftraggeber wird keine Personenbezogenen Daten in solchen Umgebungen speichern.

    2. 1.2.  GDPR / DSGVO. Fidectus und der Auftraggeber sind sich darüber einig, dass es in der Verantwortung jeder Partei liegt, die Anforderungen zu überprüfen und zu übernehmen, die durch die Datenschutz Grundverordnung 2016/679 ("DSGVO") an die Verantwortlichen und Auftragsverarbeiter gestellt werden, insbesondere in Bezug auf die Artikel 28 und 32 bis 36 der DSGVO, wenn und soweit sie auf die Personenbezogenen Daten des Auftraggebers/der Verantwortlichen anwendbar sind, die im Rahmen der Leistungserbringung verarbeitet werden.

    3. 1.3.  Datenkategorien und Zweck der Verarbeitung. Fidectus erhebt und verarbeitet für die Dauer des Vertragsverhältnisses, oder länger, wenn dies gesetzlich oder durch geltende Bestimmungen erforderlich ist, Kontaktinformationen (Name, Titel, E-Mail-Adresse, Telefon, Postanschrift und andere relevante Kontaktinformationen), Zugangs-/Nutzungs-/Berechtigungsdaten (Login-Daten, Passwort), technische Informationen (IP-Adresse und Browser-Metadaten) und unternehmensspezifische Rechnungs- und Vertragsdaten (Unternehmensname, Kontodaten), um Cloud Services bereitzustellen (Art. 6 (1) lit. b GDPR). Soweit sich diese Informationen auf Mitarbeiter des Auftraggebers oder andere Individuen beziehen, beruht diese Verarbeitung auf Fidectus’ berechtigten Interesse, dem Auftraggeber Cloud-Dienste zur Verfügung zu stellen (Art. 6 (1) lit. f GDPR).

    4. 1.4.  Fidectus wird als Auftragsverarbeiter tätig und der Auftraggeber und die Rechtspersonen, denen er die Nutzung des Cloud Service gestattet, handeln als Verantwortliche im Rahmen des DPA. Der Auftraggeber ist einziger Kontaktpunkt und allein verantwortlich für die Einholung aller relevanten Genehmigungen, Zustimmungen und Einwilligungen für die Verarbeitung Personenbezogener Daten gemäss diesem DPA, sowie, soweit erforderlich, der Zustimmung der Verantwortlichen zum Einsatz von Fidectus als Auftragsverarbeiter. Soweit vom Auftraggeber Genehmigungen, Zustimmungen, Weisungen oder Einwilligungen erteilt werden, werden diese nicht nur im Namen des Auftraggebers, sondern auch im Namen anderer Verantwortlicher, die den Cloud-Service nutzen, erteilt. Wenn Fidectus den Auftraggeber informiert oder ihm Meldungen übermittelt, gelten diese Informationen oder Meldungen als von denjenigen Verantwortlichen erhalten, denen der Auftraggeber die Nutzung des Cloud-Service gestattet hat. Es liegt in der Verantwortung des Auftraggebers, diese Informationen und Meldungen an die entsprechenden Verantwortlichen weiterzuleiten.

  1. 2.  DEFINITIONEN

Hervorgehobene Begriffe, die hier nicht definiert werden, haben die ihnen in der Vereinbarung (gleichbedeutend zu Bestellvereinbarung) zugewiesene Bedeutung.

    1. 2.1.  “Verantwortlicher” bezeichnet die natürliche oder juristische Person, öffentliche Behörde oder Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung Personenbezogener Daten bestimmt; für die Zwecke dieses DPA gilt der Verantwortliche im Verhältnis zu Fidectus, wenn der Kunde als Auftragsverarbeiter für einen anderen Verantwortlichen handelt, als zusätzlicher und unabhängiger Verantwortlicher mit den entsprechenden Rechten und Pflichten eines Verantwortlichen gemäss diesem DPA.

    2. 2.2.  “Rechenzentrum” bezeichnet den Standort, an dem die Produktivinstanz des Cloud Service für den Auftraggeber in seiner Region gehostet wird bzw. den Standort, der dem Auftraggeber mitgeteilt wurde oder der in einer Bestellvereinbarung vereinbart wurde.

    3. 2.3.  “Datenschutzrecht” bezeichnet die geltenden Rechtsvorschriften zum Schutz der Grundrechte und Freiheiten von Personen und deren Persönlichkeitsrecht in Bezug auf die Verarbeitung von Personenbezogenen Daten im Rahmen der Vereinbarung (und beinhaltet in Bezug auf die Beziehung zwischen den Parteien bezüglich der Verarbeitung Personenbezogener Daten durch Fidectus im Auftrag des Auftraggebers, die DSGVO als Mindeststandard, unabhängig davon, ob die Personenbezogenen Daten der DSGVO unterliegen oder nicht).

    4. 2.4.  “Betroffene Person” bezeichnet eine identifizierte oder identifizierbare natürliche Person gemäss der Definition im Datenschutzrecht.

    5. 2.5.  “EWR” bezeichnet den Europäischen Wirtschaftsraum, d. h. die Mitgliedsstaaten der EU sowie Island, Liechtenstein und Norwegen.

    6. 2.6.  “Europäischer Unterauftragsverarbeiter” bezeichnet einen Unterauftragsverarbeiter, der mit der physischen Verarbeitung Personenbezogener Daten im EWR oder in der Schweiz beauftragt ist und/oder durch Einsatz alternativer Verarbeitungs- und Transfermechanismen, ein der DSGVO entsprechendes Datenschutzniveau sichergestellt ist.

    7. 2.7. Technische und Organisatorische Massnahmen” bezeichnet die technischen und organisatorischen Massnahmen für den jeweiligen Fidectus Service, der im Supportcenter (das über den Fidectus Support bereitgestellt wird) oder auf der Website der Fidectus unter https://trust.fidectus.com/ veröffentlicht sind.

    1. 2.8.  “Personenbezogene Daten” bezeichnet alle Informationen in Bezug auf eine Betroffene Person, die dem Schutz des Datenschutzrechts unterliegen. In diesem DPA sind darunter nur diejenigen personenbezogenen Daten zu verstehen, die (i) vom Auftraggeber oder dessen Autorisierten Nutzern im Cloud Service oder durch dessen Nutzung erfasst werden oder (ii) von Fidectus oder ihren Unterauftragsverarbeitern bereitgestellt werden oder auf die Fidectus oder ihre Unterauftragsverarbeiter zugreifen, um den Support gemäss der Vereinbarung zu leisten. Personenbezogene Daten sind eine Teilmenge der Auftraggeberdaten (gemäss der Definition der Vereinbarung).

    2. 2.9.  “Verletzung des Schutzes Personenbezogener Daten” bezeichnet eine/n bestätigte/n

      1. 2.9.1.  versehentliche oder widerrechtliche Vernichtung, Verlust, Veränderung, eine unbefugte Offenlegung von bzw. einen unbefugten Zugang Dritter zu Personenbezogenen Daten oder

      2. 2.9.2.  einen vergleichbaren Vorfall mit Personenbezogenen Daten, bei denen der Verantwortliche in jedem Fall gemäss Datenschutzrecht zur Meldung an die zuständigen Datenschutzbehörden oder gegenüber den Betroffenen Personen verpflichtet ist.

    3. 2.10.  “Auftragsverarbeiter” bezeichnet eine natürliche oder juristische Person, öffentliche Behörde oder Agentur oder andere Stelle, die Personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, sei es direkt als Auftragsverarbeiter eines Verantwortlichen oder indirekt als Unterauftragsverarbeiter eines Auftragsverarbeiters, der Personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

    4. 2.11.  “Standardvertragsklauseln (2010)” (auch als „EU-Modellklauseln“ bezeichnet) bezeichnet die von der Europäischen Kommission veröffentlichten Standardvertragsklauseln (Auftragsverarbeiter), Referenz 2010/87/EU.

    5. 2.12.  “Unterauftragsverarbeiter” bezeichnet Verbundene Unternehmen von Fidectus sowie Dritte, die von Fidectus, oder den Verbundenen Unternehmen der Fidectus zur Erbringung des Cloud Service eingesetzt werden, und die Personenbezogene Daten gemäss diesem DPA verarbeiten.

    6. 2.13.  “Neue Standardvertragsklauseln“ bezeichnet die unveränderten von der Europäischen Kommission veröffentlichten Standardvertragsklauseln, Zeichen 2021/914, oder nachfolgende endgültige Fassungen dieser Klauseln, die automatisch gelten. Zur Klarstellung: Es gelten die Module 2 und 3 wie in Abschnitt 8 beschrieben.

    7. 2.14.  “Drittland“ bezeichnet jedes Land, jede Organisation oder jedes Gebiet, das von der Europäischen Union nicht gemäß Artikel 45 der DSGVO als sicheres Land mit einem angemessenen Datenschutzniveau anerkannt wird.

    8. 2.15.  “Relevante Übertragung nach Neuen Standardvertragsklauseln“ bezeichnet eine Übertragung (oder Weiterübertragung) Personenbezogener Daten in ein Drittland, die entweder der DSGVO oder dem geltenden Datenschutzrecht unterliegt und bei der alle Angemessenheitsmittel gemäss DSGVO oder geltendem Datenschutzrecht durch Vereinbarung der Neuen Standardvertragsklauseln erfüllt werden können.

  1. 3.  SICHERHEIT DER VERARBEITUNG

    1. 3.1.  Angemessene Technische und Organisatorische Massnahmen. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Massnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den gesetzlichen Forderungen der Datenschutz Grundverordnung 2016/679 (DSGVO). Diese berücksichtigen den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und den Zweck der Verarbeitung der Personenbezogener Daten. Dies beinhaltet insbesondere

      1. 3.1.1.  a) Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle),

      2. 3.1.2.  b) zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

      3. 3.1.3.  c) dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

      4. 3.1.4.  d) dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

      5. 3.1.5.  e) dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

      6. 3.1.6.  f) dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

      7. 3.1.7.  g) dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

      8. 3.1.8.  h) dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle).

      9. 3.1.9.  Eine Massnahme nach b bis d ist insbesondere (aber nicht beschränkt auf) die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

    1. 3.2.  Änderungen. Fidectus wendet diese technischen und organisatorischen Massnahmen auf alle Fidectus-Kunden gleichermassen an, die im selben Rechenzentrum gehostet werden und den gleichen Cloud-Service erhalten. Fidectus kann die Massnahmen jederzeit ohne Vorankündigung ändern, solange sie ein vergleichbares oder besseres Sicherheitsniveau aufrechterhält. Einzelne Massnahmen können durch neue Massnahmen ersetzt werden, die dem gleichen Zweck dienen, ohne das Sicherheitslevel zum Schutz Personenbezogener Daten zu beeinträchtigen.

    2. 3.3.  Der Auftragnehmer teilt dem Auftraggeber auf Anfrage die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit.

  1. 4.  VERPFLICHTUNGEN

    1. 4.1.  Weisungen des Auftraggebers. Fidectus wird Personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Weisungen des Auftraggebers verarbeiten. Die Vereinbarung (einschliesslich dieses DPA) stellt eine solche dokumentierte Erst-Weisung dar, und jede Nutzung des Cloud-Service stellt dann eine weitere Weisung dar. Fidectus unternimmt alle zumutbaren Anstrengungen, um allen anderen Weisungen des Auftraggebers zu folgen, soweit sie nach Datenschutzrecht erforderlich, technisch durchführbar und ohne Änderungen am Cloud-Service möglich sind. Sollte eine der vorgenannten Ausnahmen zu treffen oder Fidectus anderweitig einer Weisung nicht nachkommen können oder der Meinung sein, dass eine Weisung gegen das Datenschutzrecht verstösst, wird Fidectus den Auftraggeber unverzüglich benachrichtigen (E-Mail erlaubt).

    2. 4.2.  Verarbeitung auf Basis rechtlicher Erfordernisse. Fidectus kann auch Personenbezogene Daten verarbeiten, sofern dies nach geltendem Recht erforderlich ist. In einem solchen Fall wird Fidectus den Auftraggeber vor der Verarbeitung über diese rechtlichen Anforderungen informieren, es sei denn, das betreffende Recht verbietet solche Informationen wegen eines wichtigen öffentlichen Interesses.

    3. 4.3.  Befugte Personen. Zur Verarbeitung Personenbezogener Daten gewähren Fidectus und seine Unterauftragsverarbeiter nur befugten Personen Zugang, die sich zur Vertraulichkeit verpflichtet haben. Fidectus und seine Unterauftragsverarbeiter werden die Personen, die Zugang zu Personenbezogenen Daten haben, regelmässig in Bezug auf die anwendbaren Datensicherheits- und Datenschutzmassnahmen schulen.

    4. 4.4.  Kooperation. Auf Wunsch des Auftraggebers wird Fidectus angemessen mit dem Auftraggeber und den Verantwortlichen zusammenarbeiten, um Anfragen von Betroffenen Personen oder Aufsichtsbehörden bezüglich der Verarbeitung Personenbezogener Daten durch Fidectus oder einer Verletzung Personenbezogener Daten zu bearbeiten. Fidectus wird den Auftraggeber so bald wie zumutbar möglich über jede Anfrage informieren, die Fidectus von einer Betroffenen Person im Zusammenhang mit der Verarbeitung Personenbezogener Daten erhalten hat, ohne selbst auf diese Anfrage ohne weitere Weisungen des Auftraggebers zu antworten. Fidectus stellt Funktionen zur Verfügung, die die Fähigkeit des Auftraggebers unterstützen, Personenbezogene Daten aus dem Cloud-Service zu berichtigen oder zu löschen oder die Verarbeitung gemäss dem Datenschutzgesetz einzuschränken. Wenn eine solche Funktionalität nicht zur Verfügung gestellt wird, wird Fidectus gemäss den Weisungen des Auftraggebers und dem Datenschutzrecht Personenbezogene Daten berichtigen oder löschen oder deren Verarbeitung einschränken.

    5. 4.5.  Meldung von Verletzungen des Schutzes Personenbezogener Daten. Fidectus wird dem Auftraggeber eine Verletzung des Schutzes Personenbezogener Daten unverzüglich nach Kenntniserlangung melden und ihm angemessene und Fidectus vorliegende Informationen zur Verfügung stellen, um ihn bei der Erfüllung seiner Verpflichtungen zur Meldung einer Verletzung des Schutzes Personenbezogener Daten gemäss den Anforderungen des Datenschutzrechts zu unterstützen. Fidectus kann diese Informationen in Abschnitten zur Verfügung stellen, je nachdem, zu welchem Zeitpunkt sie verfügbar werden. Eine solche Meldung ist kein Eingeständnis des Verschuldens oder der Haftung von Fidectus oder dahingehend auszulegen.

    6. 4.6.  Datenschutz-Folgenabschätzung. Wenn der Auftraggeber (oder seine für die Verarbeitung Verantwortlichen) gemäss Datenschutzrecht verpflichtet sind, eine Datenschutz-Folgenabschätzung oder eine vorherige Konsultation mit einer Aufsichtsbehörde durchzuführen, stellt Fidectus auf Wunsch des Auftraggebers diejenigen Dokumente zur Verfügung, die für den Cloud-Service allgemein verfügbar sind (z.B. dieses DPA, die Vereinbarung, Auditberichte oder Zertifizierungen). Jede zusätzliche Unterstützung wird zwischen den Vertragsparteien einvernehmlich vereinbart.

  1. 5.  ZERTIFIZIERUNGEN UND AUDITS

    1. 5.1.  Auftraggeberaudit. Der Auftraggeber oder ein von ihm beauftragter unabhängiger externer und für Fidectus zumutbarer Prüfer (unter Ausschluss von Prüfern, die entweder Wettbewerber der Fidectus sind, oder nicht angemessen qualifiziert oder unabhängig sind) können die Kontrollumgebung und die Sicherheitspraktiken von Fidectus im Hinblick auf die von Fidectus verarbeiteten Personenbezogenen Daten prüfen, wenn:

      1. 5.1.1.  (a) Fidectus keinen ausreichenden Nachweis über die Einhaltung der technischen und organisatorischen Massnahmen, die die Produktivsysteme des Cloud Service schützen, erbracht hat. Dieser Nachweis kann durch (i) eine geeignete Zertifizierung (z.B. über die Einhaltung von ISO 27001 oder andere Standards, Bericht nach ISAE 3402 und/oder ISAE 3000, SOC1-3 Auditbericht) erfolgen. Auf Anforderung des Auftraggebers ist der Nachweis über den externen Auditor oder Fidectus verfügbar;

      1. 5.1.2.  (b) Eine Verletzung des Schutzes Personenbezogener Daten vorliegt;

      2. 5.1.3.  (c) eine Prüfung offiziell durch eine Aufsichtsbehörde des Auftraggebers; oder

      3. 5.1.4.  (d) der Auftraggeber gemäss zwingendem Datenschutzrecht über ein direktes Auditrecht verfügt, und der Auftraggeber nur einmal binnen eines 12-Monatszeitraums auditiert, es sei den zwingendes Datenschutzrecht verlangt häufigere Audits.

    1. 5.2.  Audits anderer Verantwortlicher. Jeder andere Verantwortliche darf die Kontrollumgebung und die Sicherheitspraktiken von Fidectus, die für die von Fidectus verarbeiteten Personenbezogenen Daten relevant sind, nur dann gemäß Abschnitt 5.1 überprüfen, wenn einer der in Abschnitt 5.1 genannten Fälle auf den anderen Verantwortlichen zutrifft. Eine solche Prüfung muss durch den Auftraggeber gemäss Abschnitt 5.1 durchgeführt werden, es sei denn, die Prüfung muss von dem anderen Verantwortlichen selbst nach dem Datenschutzrecht durchgeführt werden. Wenn mehrere Verantwortliche, deren Personenbezogene Daten von Fidectus verarbeitet werden, ein Audit erfordern, wird der Auftraggeber alle angemessenen Mittel einsetzen, um die Audits zu kombinieren und Mehrfach-Audits zu vermeiden.

    2. 5.3.  Umfang des Audits. Der Auftraggeber ist verpflichtet, Audits mindestens sechzig Tage im Voraus anzukündigen, es sei denn, dass zwingendes Datenschutzrecht oder eine zuständige Datenschutzbehörde eine kürzere Frist vorschreiben. Häufigkeit und Umfang der Audits sind zwischen den Parteien vernünftig und nach Treu und Glauben einvernehmlich zu vereinbaren. Auftraggeberaudits sind auf maximal drei Werktage beschränkt. Über solche Einschränkungen hinaus werden die Parteien aktuelle Zertifizierungen oder andere Auditberichte verwenden, um wiederholte Audits zu vermeiden oder zu minimieren. Der Auftraggeber hat Fidectus die Ergebnisse eines jeden Audits zur Verfügung zu stellen.

    3. 5.4.  Auditkosten. Der Auftraggeber trägt die Kosten von Audits, es sei denn, ein solches Audit deckt einen wesentlichen Verstoss von Fidectus gegen dieses DPA auf, in diesem Fall trägt Fidectus die eigenen Kosten des Audits. Falls sich aus einem Audit ergibt, dass Fidectus ihren Verpflichtungen aus diesem DPA nicht nachgekommen ist, heilt Fidectus diesen Verstoss umgehend auf eigene Kosten.

  1. 6.  DATEN-EXPORT UND LÖSCHUNG

    1. 6.1.  Export und Entnahme durch den Auftraggeber. Während der Laufzeit und gemäss den Regelungen der Vereinbarung kann der Auftraggeber jederzeit auf seine Personenbezogenen Daten zugreifen. Der Auftraggeber kann seine Personenbezogenen Daten entnehmen und in einem Standardformat exportieren. Abruf und Export können technischen Beschränkungen und Voraussetzungen unterliegen. In diesem Fall werden sich Fidectus und Auftraggeber auf eine angemessene Methode zur Ermöglichung des Zugriffs des Auftraggebers auf die Personenbezogenen Daten verständigen.

    2. 6.2.  Löschung. Vor Vertragsende kann der Auftraggeber die jeweils verfügbaren Tools von Fidectus verwenden, um einen abschliessenden Export der Personenbezogenen Daten aus dem Cloud Service durchzuführen (was einer Rückgabe der Personenbezogenen Daten entspricht). Der Auftraggeber erteilt Fidectus hiermit die Weisung, nach Vertragsende die auf den zum Hosting des Cloud Service eingesetzten Servern verbliebenen Personenbezogenen Daten innerhalb einer angemessenen Zeit gemäss dem Datenschutzrecht zu löschen (spätestens innerhalb von 6 Monaten), es sei denn, deren Aufbewahrung ist nach anwendbarem Recht erforderlich.

    3. 6.3.  Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

    4. 6.4.  Erteilt der Auftraggeber Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

  1. 7.  UNTERAUFTRAGSVERARBEITER

    1. 7.1.  Zulässiger Einsatz. Fidectus erhält hiermit eine vorherige allgemeine schriftliche Genehmigung, die Verarbeitung von Personenbezogenen Daten unter den nachfolgenden Voraussetzungen auf Unterauftragsverarbeiter zu übertragen:

      1. 7.1.1.  Fidectus beauftragt Unterauftragsverarbeiter im Rahmen schriftlicher Verträge (einschliesslich elektronischer Form), die mit diesem DPA in Bezug auf die Verarbeitung Personenbezogener Daten durch den Unterauftragnehmer inhaltlich übereinstimmt. Fidectus haftet für etwaige Verstösse durch den Unterauftragsverarbeiter;

      2. 7.1.2.  Fidectus wird die Sicherheits-, Datenschutz- und Vertraulichkeitspraktiken eines Unterauftragsverarbeiters vor dessen Auswahl analysieren, um festzustellen, dass er in der Lage ist, das in diesem DPA geforderte Schutzniveau für Personenbezogene Daten gewährleisten kann; und

      3. 7.1.3.  Die bei Vertragsschluss als genehmigt geltenden Unterauftragsverarbeiter sind als Anlage in der Bestellvereinbarung gelistet.

    1. 7.2.  Neue Unterauftragsverarbeiter. Der Einsatz neuer Unterauftragsverarbeiter erfolgt nach Ermessen von Fidectus unter der Voraussetzung, dass folgende Regelungen eingehalten werden:

      1. 7.2.1.  Fidectus informiert den Auftraggeber im Voraus (per E-Mail oder durch ein Posting auf dem Supportportal, das über den Fidectus Support bereitgestellt wird) über geplante neue oder auszutauschende Unterauftragsverarbeiter. Diese Vorabbenachrichtigung erfolgt mindestes dreissig (30) Kalendertage im Voraus («Ankündigungsfrist»), einschliesslich des Namens, der Anschrift und der Rolle des neuen Unterauftragsverarbeiters; und

      2. 7.2.2.  Der Auftraggeber kann gegen die Beauftragung eines neuen Unterauftragsverarbeiters Einspruch einlegen, indem er dies der Fidectus innerhalb der Ankündigungsfrist unter Angabe von berechtigten Gründen für den Einspruch schriftlich mitteilt. Fidectus darf vor Ablauf der Ankündigungsfrist keinen neuen Unterauftragsverarbeiter einsetzen. Erhebt der Auftraggeber während der Ankündigungsfrist keinen Einspruch, gilt der neue Unterauftragsverarbeiter als vom Auftraggeber akzeptiert.

      3. 7.2.3.  Wenn der Auftraggeber Einspruch erhebt, kann Fidectus: (i) den Unterauftragsverarbeiter nicht einsetzen oder (ii) angemessene Massnahmen ergreifen, um die Gründe des Auftraggebers für den Einspruch auszuräumen und den Unterauftragsverarbeiter einsetzen oder (iii), sofern die vorherigen Optionen nicht möglich sind, den Unterauftragsverarbeiter einsetzen. Hat der Auftraggeber weiterhin einen berechtigten Grund, darf er den betroffenen Fidectus Cloud Service, für den der neue Unterauftragsverarbeiter vorgesehen ist, kündigen. Die Kündigung kann zu jedem Zeitpunkt während der Laufzeit der Vereinbarung in Kraft treten, den der Auftraggeber in seiner schriftlichen Kündigungsmitteilung festgelegt hat, vorausgesetzt, der Auftraggeber akzeptiert die Nutzung des vorgeschlagenen Unterauftragsverarbeiters bis zum Wirksamkeitsdatum der Kündigung. Kündigt der Auftraggeber gelten die Regelungen des Abschnitts 6.2 (beschränkt auf Auftraggeberdaten, die in dem Cloud-Service, für den der neue Unterauftragsverarbeiter eingesetzt werden soll, verarbeitet werden) entsprechend.

      4. 7.2.4.  Wenn der Auftraggeber Einspruch erhoben hat, und Fidectus nicht gemäss der Optionen unter 7.2.3 (i) oder (ii) vorgegangen ist und Fidectus keine Kündigungsmitteilung erhalten hat, gilt der Unterauftragsverarbeiter als vom Auftraggeber akzeptiert.

      5. 7.2.5.  Eine Kündigung unter Bezugnahme auf diesen Abschnitt gilt für keine der Parteien als Schuldanerkennung und unterliegt den Bedingungen der Vereinbarung.

    2. 7.3.  Notfallaustausch. Fidectus kann einen Unterauftragsverarbeiter ohne vorherige Mitteilung austauschen, wenn sich der Grund für den Austausch der zumutbaren Kontrolle von Fidectus entzieht und der umgehende Austausch aus Sicherheits- oder anderen dringenden Gründen erforderlich ist. In diesem Fall informiert Fidectus den Auftraggeber über den neuen Unterauftragsverarbeiter unverzüglich nach seiner Ernennung unter Angabe des Namens, der Anschrift und der Rolle des neuen Unterauftragsverarbeiters. Abschnitt 7.2 gilt entsprechend.

  1. 8.  INTERNATIONALE VERARBEITUNG

    1. 8.1.  Regeln für Internationale Verarbeitung. Fidectus ist berechtigt, die Verarbeitung von Personenbezogene Daten unter Einbeziehung von Unterauftragsverarbeitern im Sinne dieses DPA ausserhalb des Landes, in dem sich der Auftraggeber befindet unter Einhaltung des Datenschutzrechts durchzuführen.

    2. 8.2.  Anwendbarkeit der Standardvertragsklauseln (2010) Standardvertragsklauseln (Standarddatenschutz­klauseln). Sofern für den Zeitraum bis einschliesslich 26. September 2021 (i) Personenbezogene Daten eines EWR- oder schweizerischen Verantwortlichen in einem Land ausserhalb des EWR, der Schweiz bzw. ausserhalb eines Landes, einer Organisation oder eines Gebiets erfolgt, das von der Europäischen Union als sicheres Land mit einem angemessenen Datenschutzniveau gemäss Art. 45 GDPR anerkannt ist, verarbeitet werden, oder (ii) Personenbezogene Daten eines anderen Verantwortlichen international verarbeitet werden und eine solche internationale Verarbeitung ein angemessenes Mittel nach dem anwendbaren Recht des Verantwortlichen erfordert, und das angemessene Mittel durch den Abschluss von Standardvertragsklauseln erfüllt werden kann, gilt:

      1. 8.2.1.  Fidectus und der Auftraggeber vereinbaren die Geltung der Standardvertragsklauseln;

      2. 8.2.2.  Der Auftraggeber vereinbart die Standardvertragsklauseln mit jedem relevanten Unterauftragsverarbeiter wie folgt: (i) Der Auftraggeber tritt als unabhängiger Inhaber von Rechten und Pflichten den Standardvertragsklauseln bei, die zwischen Fidectus und dem Unterauftragsverarbeiter vereinbart wurden („Beitrittsmodell“) oder (ii) der Unterauftragsverarbeiter (vertreten durch Fidectus) vereinbart die Standardvertragsklauseln mit dem Auftraggeber ("Vollmachtsmodell"). Das Vollmachtsmodell gilt, wenn und soweit Fidectus ausdrücklich über die Liste der Unterauftragsverarbeiter gemäss Abschnitt 7.1.3 oder über eine Mitteilung an den Auftraggeber erklärt hat, dass dieses Modell für einen Unterauftragsverarbeiter verfügbar ist; und/oder

      3. 8.2.3.  Andere Verantwortliche, denen der Auftraggeber die Nutzung des Cloud Service gemäss der Vereinbarung gestattet, können ebenfalls die Standardvertragsklauseln mit Fidectus und/oder den relevanten Unterauftragsverarbeitern in gleicher Weise wie der Auftraggeber gemäss den obigen Abschnitten 7.2.1 und 7.2.2 vereinbaren. In diesen Fällen vereinbart der Auftraggeber die Standardvertragsklauseln im Namen der anderen Verantwortlichen.

    1. 8.3.  Bezug zwischen Standardvertragsklauseln und Vereinbarung. Keine der Bestimmungen in der Vereinbarung darf bei widersprüchlichen Regelungen dahingehend ausgelegt werden, dass sie Vorrang vor einer Bestimmung der Standardvertragsklauseln hat. Zur Klarstellung: Wo dieses DPA Regelungen für Audit und Unterauftragsverarbeiter in den Abschnitten 5 und 6 näher beschreibt, gelten diese Regelungen auch in Bezug auf die Standardvertragsklauseln.

    2. 8.4.  Für die Standardvertragsklauseln geltendes Recht. Die Standardvertragsklauseln unterliegen dem Recht des Landes, in dem der Verantwortliche seinen Sitz hat

    3. 8.5.  Anwendbarkeit der Neuen Standardvertragsklauseln: Folgendes gilt mit Wirkung vom 27. September 2021 und ausschliesslich bei Relevanten Übertragungen nach Neuen Standardvertragsklauseln:

      1. 8.5.1.  Wenn Fidectus nicht in einem Drittland ansässig ist und als Datenexporteur fungiert, hat Fidectus mit jedem Unterauftragsverarbeiter als Datenimporteur die Neuen Standardvertragsklauseln vereinbart. Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) der Neuen Standardvertragsklauseln gilt bei der Relevanten Übertragung nach Neuen Standardvertragsklauseln.

      2. 8.5.2.  Wenn Fidectus in einem Drittland ansässig ist: Fidectus und der Auftraggeber vereinbaren hiermit die Neuen Standardvertragsklauseln, wobei der Auftraggeber als Datenexporteur und Fidectus als Datenimporteur fungiert und Folgendes gilt:

        1. 8.5.2.1.  (i) Modul 2 (Verantwortlicher zu Auftragsverarbeiter) gilt, wenn der Auftraggeber ein Verantwortlicher ist; und

        2. 8.5.2.2.  (ii) Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) gilt, wenn der Auftraggeber ein Auftragsverarbeiter ist. Wenn der Auftraggeber im Rahmen von Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) der Neuen Standardvertragsklauseln als Auftragsverarbeiter fungiert, erkennt Fidectus an, dass der Auftraggeber gemäss den Anweisungen seines/seiner Verantwortlichen als Auftragsverarbeiter fungiert.

      3. 8.5.3.  Andere Verantwortliche oder Auftragsverarbeiter, die vom Auftraggeber gemäss dieser Vereinbarung zur Nutzung der Cloud Services autorisiert wurden, können ebenfalls mit Fidectus die Neuen Standardvertragsklauseln zu denselben Bedingungen wie der Auftraggeber gemäss Abschnitt 8.4.2 vereinbaren. In einem solchen Fall vereinbart der Auftraggeber die Neuen Standardvertragsklauseln im Namen der anderen Verantwortlichen oder Auftragsverarbeiter.

      4. 8.5.4.  In Bezug auf eine Relevante Übertragung nach Neuen Standardvertragsklauseln kann der Auftraggeber auf Anfrage einer betroffenen Person eine Kopie von Modul 2 oder 3 der Neuen Standardvertragsklauseln, die zwischen dem Auftraggeber und Fidectus vereinbart wurden (einschliesslich der relevanten Anlagen), erstellen und den Betroffenen zugänglich machen.

      5. 8.5.5.  Für die Neuen Standardvertragsklauseln geltendes Recht. Die Neuen Standardvertragsklauseln unterliegen dem Recht des Landes, in dem der Verantwortliche seinen Sitz hat.

      6. 8.5.6.  Beziehung der Standardvertragsklauseln zu den Bestimmungen der Vereinbarung. Keine der Bestimmungen in der Vereinbarung darf im Konfliktfall dahingehend ausgelegt werden, dass sie Vorrang vor einer Bestimmung der Standardvertragsklauseln (2010) oder der Neuen Standardvertragsklauseln hat. Klarstellend wird darauf hingewiesen, dass, wenn diese DPA weitere Bestimmungen für Audit und Unterauftragsverarbeiter vorgibt, diese Vorgaben auch in Bezug auf die Standardvertragsklauseln (2010) und die Neuen Standardvertragsklauseln gelten.

      7. 8.5.7.  Rechte Drittbegünstigter nach den Neuen Standardvertragsklauseln:

        1. 8.5.7.1.  Wenn sich der Auftraggeber in einem Drittland befindet und als Datenimporteur gemäss Modul 2 oder Modul 3 der Neuen Standardvertragsklauseln fungiert und Fidectus im Rahmen des entsprechenden Moduls als Unterauftragsverarbeiter des Auftraggebers agiert, hat der jeweilige Datenexporteur folgende Rechte als Drittbegünstigter:

        2. 8.5.7.2.  Für den Fall, dass der Auftraggeber faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist (in allen Fällen ohne Nachfolgeunternehmen, das die rechtlichen Verpflichtungen des Auftraggebers vertraglich oder per Gesetz übernommen hat), hat der jeweilige Datenexporteur das Recht, den betroffenen Cloud Service ausschliesslich in dem Umfang zu kündigen, in dem die Personenbezogenen Daten des Datenexporteurs verarbeitet werden. In diesem Fall weist der jeweilige Datenexporteur Fidectus auch an, die Personenbezogenen Daten zu löschen oder zurückzugeben.

  1. 9.  DOKUMENTATION; VERARBEITUNGSVERZEICHNIS

Jede Partei ist für die Einhaltung ihrer Dokumentationspflichten verantwortlich, insbesondere für die Führung von Verarbeitungsverzeichnissen, soweit dies nach dem Datenschutzrecht erforderlich ist. Jede Partei unterstützt die andere Partei in angemessener Weise bei der Erfüllung von deren Dokumentationspflichten, einschliesslich der Bereitstellung der Informationen, die die andere Partei von ihr benötigt, in einer von der anderen Partei in angemessener Weise angeforderten Form (z. B. durch die Verwendung eines elektronischen Systems), damit die andere Partei den Verpflichtungen im Zusammenhang mit der Führung von Verarbeitungsverzeichnissen nachkommen kann.

SCHEDULE 1 BESCHREIBUNG DER VERARBEITUNG

Dieses Schedule 1 gilt für die Verarbeitung Personenbezogener Daten im Rahmen der Vereinbarung und für die Zwecke der EU-Standardvertragsklauseln und des Datenschutzrechtes.

[HINWEIS: DIE FOLGENDEN REGELUNGEN IN KURSIVER SCHRIFT FINDEN NUR ANWENDUNG, WENN FIDECTUS IHREN SITZ IN EINEM DRITTLAND HAT.]

Wenn der Auftraggeber und Fidectus die EU-Standardvertragsklauseln vereinbaren, wird Schedule 1 als Anhang I der EU-Standardvertragsklauseln aufgenommen.

  1. 10.  OPTIONALE KLAUSELN DER EU-STANDARDVERTRAGSKLAUSELN

    1. 10.1.  Das für die EU-Standardvertragsklauseln geltende Recht ist das deutsche Recht, und der Gerichtsstand für alle Streitigkeiten aus oder in Verbindung mit den EU-Standardvertragsklauseln ist Deutschland.

    2. 10.2.  Die optionale Klausel 7 und die Option in Klausel 11a der EU-Standardvertragsklauseln gelten nicht.

    3. 10.3.  Option 2, Allgemeine schriftliche Genehmigung von Klausel 9 der EU-Standardvertragsklauseln gilt gemäss den in Abschnitt 7 dieses DPA festgelegten Benachrichtigungszeiträumen.

  1. 11.  A. LISTE DER BETEILIGTEN

    1. 11.1.  Gemäss den EU-Standardvertragsklauseln (Abschnitt 8.4 des DPA)

      1. 11.1.1.  Modul 2: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter: Wenn der Auftraggeber der Verantwortliche und Fidectus der Auftragsverarbeiter ist, ist der Auftraggeber der Datenexporteur und Fidectus der Datenimporteur.

      2. 11.1.2.  Modul 3: Übermittlung von Auftragsverarbeiter an Auftragsverarbeiter: Wenn der Auftraggeber ein Auftragsverarbeiter und Fidectus ebenfalls ein Auftragsverarbeiter ist, ist der Auftraggeber der Datenexporteur und Fidectus der Datenimporteur.

  2. 12.  B. BESCHREIBUNG DER ÜBERMITTLUNG UND VERARBEITUNG

    1. 12.1.  Kategorien von Betroffenen, deren Personenbezogene Daten übermittelt oder verarbeitet werden: Sofern nicht anderweitig durch den Datenexporteur angegeben, lassen sich die Personenbezogenen Daten in der Regel einer der folgenden Betroffenenkategorien zuordnen: Mitarbeiter, Auftragnehmer, Geschäftspartner oder sonstige Personen, von denen Personenbezogene Daten durch den Datenimporteur gespeichert, an diesen übermittelt oder diesem zur Verfügung gestellt wurden bzw. auf die der Datenimporteur Zugriff hatte oder die anderweitig vom Datenimporteur verarbeitet wurden.

    2. 12.2.  Kategorien von Personenbezogenen Daten, die übermittelt oder verarbeitet werden: Der Auftraggeber bestimmt die Datenkategorien und/oder Datenfelder, die wie in der Bestellvereinbarung angegeben im Rahmen des Fidectus Service übermittelt oder verarbeitet werden. Für Cloud Services kann der Auftraggeber die Datenfelder während der Implementierung des Cloud Service oder wie anderweitig im Cloud Service zulässig konfigurieren. Die Personenbezogenen Daten lassen sich in der Regel einer der folgenden Datenkategorien zuordnen: Name, Telefonnummer, E-Mail-Adresse, Anschrift, Systemzugriff/-nutzung/-Berechtigungsdaten, Name des Unternehmens, Vertragsdaten, Rechnungsdaten und anwendungsspezifische Daten, die von den Autorisierten Nutzern übermittelt oder in den Fidectus Service eingegeben werden, z. B. Finanzdaten wie Bankkontendaten und Kredit- oder Debitkartendaten.

    1. 12.3.  Zwecke der Datenübermittelung und Weiterverarbeitung; Art der Verarbeitung

      1. 12.3.1.  Für Cloud Services: Die Personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmassnahmen unterzogen:

        1. 12.3.1.1.  Verwendung von Personenbezogenen Daten, um den Cloud Service einzurichten, zu betreiben, zu überwachen, bereitzustellen und zu unterstützen (einschliesslich operativen und technischen Supports);

        2. 12.3.1.2.  kontinuierliche Verbesserung der Funktionalität, die im Rahmen des Cloud Service bereitgestellt wird, einschliesslich Automatisierung, Transaktionsverarbeitung und maschinellen Lernens;

        3. 12.3.1.3.  Erbringung von Professional Services oder Consulting Services;

        4. 12.3.1.4.  Kommunikation mit Autorisierten Nutzern;

        5. 12.3.1.5.  Speicherung von Personenbezogenen Daten in Rechenzentren;

        6. 12.3.1.6.  Release, Entwicklung und Upload von Korrekturen oder Upgrades des Cloud Service;

        7. 12.3.1.7.  Sicherung und Wiederherstellung von im Cloud Service gespeicherten Personenbezogenen Daten;

        8. 12.3.1.8.  rechnergestützte Verarbeitung von Personenbezogenen Daten, einschliesslich Datenübermittlung, Abruf von Daten, Zugang zu Daten;

        9. 12.3.1.9.  Netzwerkzugang, um die Übermittlung von Personenbezogenen Daten zu ermöglichen;

        1. 12.3.1.10.  Überwachung, Fehlerbehebung und Verwaltung der dem Cloud Service zugrunde liegenden Infrastruktur und Datenbank;

        2. 12.3.1.11.  Sicherheitsüberwachung, netzwerkbasierter Intrusion Detection Support, Penetrationstests; und

        3. 12.3.1.12.  Ausführung von Weisungen des Auftraggebers gemäss der Bestellvereinbarung.

        4. 12.3.1.13.  Ziel der Übermittlung und Verarbeitung ist es, den Cloud Service bereitzustellen und Support zu leisten. Fidectus und ihre Unterauftragsverarbeiter können für den Cloud Service Remote-Support leisten. Fidectus und ihre Unterauftragsverarbeiter leisten Support, wenn ein Auftraggeber eine Supportmeldung gemäss der Bestellvereinbarung aufgibt.

      1. 12.3.2.  Für Fidectus Support und Professional Services: Die Personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmassnahmen unterzogen:

        1. 12.3.2.1.  Zugriff auf Systeme, die Personenbezogene Daten enthalten, um Fidectus Support und Professional Services bereitzustellen;

        2. 12.3.2.2.  Verwendung von Personenbezogenen Daten zur Bereitstellung und Unterstützung des Fidectus Service;

        3. 12.3.2.3.  kontinuierliche Verbesserung der Servicefunktionalitäten, die im Rahmen des Fidectus Service bereitgestellt werden, einschliesslich Automatisierung, Transaktionsverarbeitung und maschinellen Lernens;

        4. 12.3.2.4.  Speicherung von Personenbezogenen Daten;

        5. 12.3.2.5.  Rechnergestützte Verarbeitung von Personenbezogenen Daten zur Datenübermittlung; und

        6. 12.3.2.6.  Ausführung von Weisungen des Auftraggebers gemäss der Bestellvereinbarung.

      2. 12.3.3.  Für Fidectus Support: Fidectus oder ihre Unterauftragsverarbeiter leisten Support, wenn der Auftraggeber eine Supportmeldung aufgibt, weil die Software nicht verfügbar ist oder nicht wie erwartet funktioniert. Fidectus oder ihre Unterauftragsverarbeiter nehmen Telefonate entgegen, führen grundlegende Fehlerbehebungen durch und bearbeiten Supportmeldungen in einem Tracking-System.

      3. 12.3.4.  Für Professional Services: Fidectus oder ihre Unterauftragsverarbeiter erbringen Professional Services gemäss der Bestellvereinbarung für Professional Services und dem entsprechenden Scope-Dokument.

        1. 12.3.4.1.  Ziel der Übermittelung ist es, den entsprechenden Fidectus Service bereitzustellen und Support zu leisten. Fidectus und ihre Unterauftragsverarbeiter können den Fidectus Service remote bereitstellen oder unterstützen.

        2. 12.3.4.2.  Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder fortlaufend übermitelt werden): Personenbezogene Daten werden für die Dauer der Bestellvereinbarung fortlaufend übermittelt.

        3. 12.3.4.3.  Der Zeitraum, für den die Personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, anhand derer dieser Zeitraum bestimmt wird: Personenbezogene Daten werden von Fidectus wie in Abschnitt 6 des DPA beschrieben aufbewahrt.

        4. 12.3.4.4.  Bei Übermittlungen an (Unter-)Auftragsverarbeiter geben Sie auch den Gegenstand, die Art und die Dauer der Bearbeitung an.

        5. 12.3.4.5.  Fidectus übermittelt Personenbezogene Daten für die Dauer der Bestellvereinbarung an Unterauftragsverarbeiter, wie in der entsprechenden Liste der Unterauftragsverarbeiter angegeben.

[HINWEIS: DIE FOLGENDEN REGELUNGEN IN KURSIVER SCHRIFT FINDEN NUR ANWENDUNG, WENN FIDECTUS IHREN SITZ IN EINEM DRITTLAND HAT.]

  1. 13.  C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

    1. 13.1.  In Bezug auf die EU-Standardvertragsklauseln:

Wenn der Auftraggeber gemäss Modul 2 oder Modul 3 der Datenexporteur ist, ist die Aufsichtsbehörde die zuständige Aufsichtsbehörde, die gemäß Klausel 13 der EU-Standardvertragsklauseln die Aufsicht über den Auftraggeber innehat.

SCHEDULE 2 – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Die Technischen und Organisatorischen Massnahmen (wie in Abschnitt 2.7. dieses DPA definiert) gelten hiermit durch Bezugnahme als Bestandteil dieses Dokuments.

Diese Technischen und Organisatorischen Massnahmen beschreiben auch die anwendbaren technischen und organisatorischen Massnahmen im Sinne der EU-Standardvertragsklauseln und des Datenschutzrechtes.

[HINWEIS: DIE FOLGENDEN REGELUNGEN IN KURSIVER SCHRIFT FINDEN NUR ANWENDUNG, WENN FIDECTUS IHREN SITZ IN EINEM DRITTLAND HAT.]

Wenn der Auftraggeber und Fidectus die EU-Standardvertragsklauseln vereinbaren, wird Schedule 2 als Anhang II der EU-Standardvertragsklauseln aufgenommen.

Soweit die Bereitstellung von Fidectus Service(s) eine internationale Datenübermittlung beinhaltet, für die die EU-Standardvertragsklauseln gelten, beschreiben die Technischen und Organisatorischen Massnahmen die Massnahmen und Schutzvorkehrungen, die die Art der Personenbezogenen Daten und die damit verbundenen Risiken berücksichtigen. Wenn lokale Gesetze die Einhaltung der EU-Standardvertragsklauseln beeinträchtigen, können während der Übermittlung und Verarbeitung Personenbezogener Daten im Zielland zusätzliche Schutzvorkehrungen veranlasst werden (sofern zutreffend: Verschlüsselung der Daten bei der Übermittlung, Verschlüsselung ruhender Daten, Anonymisierung, Pseudonymisierung.