Skip to main content

webinar

How Burger King beats today’s loyalty challenges with Gamification
Jetzt anmelden!

Data Processing Addendum

Brame AG ("Brame" or "Service Provider"), Sonnenrainweg 8, 8834 Schindellegi

Download

datiert vom Januar 2024

1 Grundsatz

1.1 Der Auftragsverarbeiter verarbeitet im Rahmen der Erfüllung der Vereinbarung mit dem Kunden («Verantwortlicher») über die Nutzung der Services («Hauptvertrag») personenbezogene Daten in dessen Auftrag.

1.2 Dieser Auftragsverarbeitungsvertrag («AVV») ist integrierender Bestandteil des Hauptvertrags. Die Bestimmungen der Nutzungsbedingungen des Auftragsverarbeiters sind auch im Zusammenhang mit diesem AVV anwendbar und ergänzen diesen, soweit dieser AVV keine abweichende Regelung vorsieht.

2 Definitionen

2.1 Die in den Nutzungsbedingungen definierten und hier verwendeten Begriffe haben die gleiche Bedeutung.

2.2 Zusätzlich zu diesen sowie zu den im Verlauf dieses AVV definierten Begriffen haben die folgenden Begriffe die nachstehend angegebene Bedeutung:

    • «DGSVO» bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
    • «UK GDPR» bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, so wie sie aufgrund von Abschnitt 3 des European Union (Withdrawal) Acts 2018 Teil des Rechts von England und Wales, Schottland und Nordirland wurde.
    • «DSG» bezeichnet das Bundesgesetz vom 25. September 2020 über den Datenschutz (DSG).
    • «Standardvertragsklauseln» oder «SCCs» sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittstaaten gemäss der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, gemäss dem Kommission Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021.

3 Anwendbare Datenschutzgesetze

Als «anwendbare Datenschutzgesetze» gelten:

    • für Verarbeitungen von personenbezogenen Daten, die unter das DSG fallen: das DSG;
    • für Verarbeitungen von personenbezogenen Daten, die unter die DSGVO fallen: die DSGVO;
    • für Verarbeitungen von personenbezogenen Daten, die unter das UK GDPR fallen: das UK GDPR.

4 Konkretisierung der Auftragsverarbeitung

4.1 Gegenstand der Verarbeitung und damit dieses AVV sind die personenbezogenen Daten von Drittpersonen, die der Auftragsverarbeiter zur Erfüllung des Hauptvertrags in seiner Software verarbeitet («personenbezogene Daten»).

4.2 Darunter fallen folgende Datenkategorien:

    • Identifikations- und Kontaktdaten (Name, Vorname, E-Mail, Login, etc.);
    • Kommunikationsinhalte (Nachrichten, Supportanfragen, etc.);
    • Technische Daten (IP-Adresse, Unique Identifiers, allgemeine Standortdaten, Nutzungsdaten, etc.);
    • weitere Datenkategorien, soweit zur Erfüllung des Hauptvertrags notwendig (insbesondere weitere nach Wahl des Verantwortlichen abgefragte Datenkategorien).

4.3 Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

    • Softwareanwender des Verantwortlichen;
    • Besucher/Spieler der Mini-Games.

4.4 Der Zweck der Verarbeitung besteht darin, die Cloud Services sowie gegebenenfalls weitere Services gemäss dem Hauptvertrag bereitzustellen. Dies schliesst die Durchführung notwendiger Hilfsfunktionen (z.B. Fehlermonitoring) mit ein. Weiter wertet der Auftragsverarbeiter gewisse technische Daten der Softwareanwender (ohne Besucher/Spieler der Mini-Games) zum nicht personenbezogenen Zweck der Weiterentwicklung seiner Services aus. Zudem kann der Auftragsverarbeiter anonymisierte Daten zur Erstellung von nicht personenbezogenen, aggregierten Auswertungen und Statistiken wie beispielsweise Zielgruppenanalysen und ROI-Studien verarbeiten.

4.5 Die Art der Verarbeitung umfasst die für diese Zwecke erforderlichen Tätigkeiten, insbesondere das Erheben, das Erfassen, die Organisation, die Speicherung, die Anpassung oder Veränderung, das Abfragen, die Verwendung, die Übermittlung, die Bereitstellung, den Abgleich, die Verknüpfung und das Löschen von personenbezogenen Daten.

5 Verarbeitung nach Weisung

5.1 Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten gemäss Hauptvertrag und allfälligen zusätzlichen dokumentierten Weisungen des Verantwortlichen.

5.2 Weisungen, die über die vertraglichen Vereinbarungen hinausgehen, sind kostenpflichtig. Ausgenommen sind Weisungen, die nachweislich erforderlich sind, um einen Verstoss gegen die anwendbaren Datenschutzgesetze im Verantwortungsbereich des Auftragsverarbeiters zu verhindern oder zu beenden.

5.3 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die anwendbaren Datenschutzgesetze verstösst.

5.4 Ist der Auftragsverarbeiter gesetzlich verpflichtet, die personenbezogenen Daten in einer von den vertraglichen Vereinbarungen oder von zusätzlichen Weisungen des Verantwortlichen abweichenden Weise zu verarbeiten, so informiert er den Verantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung. Ausgenommen sind Fälle, in denen das anwendbare Recht dies aus wichtigen Gründen des öffentlichen Interesses verbietet.

6 Datensicherheit

6.1 Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Massnahmen, um ein angemessenes Mass an Datensicherheit im Sinn der anwendbaren Datenschutzgesetze zu gewährleisten.

6.2 Der Auftragsverarbeiter hat zu diesem Zweck insbesondere die in Anhang 1 aufgelisteten technischen und organisatorischen Massnahmen getroffen. Die Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter behält sich deshalb vor, die bestehenden Massnahmen anzupassen, aufzuheben oder zu ersetzen, sowie zusätzliche Massnahmen umzusetzen. Dabei stellt der Auftragsverarbeiter sicher, dass das allgemeine Sicherheitsniveau mindestens äquivalent bleibt. Der Verantwortliche kann jederzeit eine aktualisierte Liste der technischen und organisatorischen Massnahmen verlangen.

6.3 Der Auftragsverarbeiter kontrolliert die internen Prozesse sowie die technischen und organisatorischen Massnahmen regelmässig, um zu gewährleisten, dass bei der Datenverarbeitung in seinem Verantwortungsbereich ein angemessenes Mass an Datensicherheit im Sinn der anwendbaren Datenschutzgesetze gewährleistet bleibt.

6.4 Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Mitarbeitenden oder anderen Personen einer angemessenen vertraglichen oder gesetzlichen Geheimhaltungspflicht unterliegen.

7 Zusammenarbeit in Bezug auf die Erfüllung gesetzlicher Verpflichtungen

7.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessener Weise bei der Erfüllung von dessen gesetzlichen Verpflichtungen gemäss den anwendbaren Datenschutzgesetzen, insbesondere:

    • gegenüber den zuständigen Datenschutzbehörden;
    • gegenüber betroffenen Personen, insbesondere wenn sie ihre Rechte (z.B. auf Berichtigung, Löschung oder Auskunft) gemäss den anwendbaren Datenschutzgesetzen ausüben wollen;
    • bei Datenschutz-Folgenabschätzungen des Verantwortlichen.

Der Verantwortliche trägt die Kosten dieser Leistungen des Auftragsverarbeiters, soweit sie über die ordentliche Vertragserfüllung hinausgehen. Ausgenommen sind Fälle, in denen die Unterstützung nachweislich aufgrund eines Verstosses des Auftragsverarbeiters gegen die anwendbaren Datenschutzgesetze oder gegen dessen vertragliche Verpflichtungen erforderlich ist.

7.2 Wendet sich eine betroffene Person oder eine Behörde mit einer Anfrage in Bezug auf die personenbezogenen Daten gemäss diesem AVV an den Auftragsverarbeiter, so leistet dieser der Anfrage nicht eigenmächtig Folge, sondern leitet sie unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter haftet nicht, wenn die Anfrage vom Verantwortlichen nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

8 Unterauftragsverarbeiter

8.1 Der Verantwortliche stimmt dem Beizug der Unterauftragsverarbeiter gemäss Anhang 2 für die Verarbeitung der personenbezogenen Daten nach diesem AVV zu.

8.2 Der Auftragsverarbeiter kann, soweit im Rahmen der Vertragserfüllung notwendig, weitere Unterauftragsverarbeiter beiziehen. Der Auftragsverarbeiter führt eine ergänzte Liste der Unterauftragsverarbeiter, die der Verantwortliche jederzeit einsehen kann. Lehnt der Verantwortliche einen der weiteren Unterauftragsverarbeiter aus sachlichen Gründen ab und kann der Auftragsverarbeiter keine angemessene Alternative anbieten, so kann der Verantwortliche den Hauptvertrag ausserordentlich künden.

8.3 Der Auftragsverarbeiter auferlegt den Unterauftragsverarbeitern im Wesentlichen dieselben Datenschutzpflichten, die in diesem AVV festgelegt sind.

9 Übermittlung personenbezogener Daten ins Ausland

9.1 Ohne die vorherige Zustimmung des Verantwortlichen übermittelt der Auftragsverarbeiter die personenbezogenen Daten nur dann an Organisationen im Ausland, wenn dabei die Bestimmungen der anwendbaren Datenschutzgesetze zum internationalen Datentransfer eingehalten sind.

9.2 In Ländern, die nicht über ein von der Schweiz bzw. EU anerkanntes Datenschutzniveau verfügen, wird ein angemessener Schutz der personenbezogenen Daten in der Regel durch den Abschluss von Standardvertragsklauseln zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter sichergestellt.

10 Kontrollrechte

10.1 Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung der Pflichten nach diesem AVV auf Anfrage in geeigneter Weise nach.

10.2 Sollte eine Inspektion durch den Verantwortlichen oder einen von diesem beauftragten externen Prüfer erforderlich sein, wird diese zu den üblichen Geschäftszeiten ohne übermässige Störung des Betriebsablaufs, in der Regel nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Verantwortliche trägt die Kosten der Inspektion, es sei denn, dass diese nachweislich aufgrund eines Verstosses des Auftragsverarbeiters gegen die anwendbaren Datenschutzgesetze oder gegen dessen vertragliche Verpflichtungen erforderlich ist.

10.3 Der Auftragsverarbeiter kann die Auditierung durch einen externen Prüfer ablehnen, wenn dieser nicht angemessen qualifiziert oder unabhängig ist, in einem unmittelbaren Wettbewerbsverhältnis zum Auftragsverarbeiter steht oder anderweitig offensichtlich ungeeignet ist.

10.4 Der Auftragsverarbeiter ist nicht verpflichtet, dem Verantwortlichen oder seinem externen Prüfer folgende Daten offenzulegen:

    • Daten von anderen Kunden des Auftragsverarbeiters;
    • interne Buchhaltungs- oder Finanzdaten des Auftragsverarbeiters;
    • Geschäftsgeheimnisse des Auftragsverarbeiters;
    • Daten, deren Offenlegung aus gesetzlichen Gründen nicht zulässig ist;
    • Daten, deren Offenlegung für die Ausübung der in dieser Ziffer festgehaltenen Rechte nicht notwendig ist.

11 Mitteilung bei Verletzungen des Schutzes der personenbezogenen Daten

11.1 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn er von einem Datenleck oder einer anderen Verletzung des Schutzes der personenbezogenen Daten in seinem Verantwortungsbereich Kenntnis erlangt. Der Auftragsverarbeiter stellt dem Verantwortlichen ausreichende Informationen zur Verfügung, damit dieser seinen Meldepflichten und Verpflichtungen zur Unterrichtung der betroffenen Personen nachkommen kann.

11.2 Der Auftragsverarbeiter ergreift in Zusammenarbeit und Absprache mit dem Verantwortlichen angemessene Massnahmen zur Untersuchung und Behebung der Verletzung.

12 Löschung und Rückgabe der personenbezogenen Daten

12.1 Der Auftragsverarbeiter erstellt ohne Wissen des Verantwortlichen keine Kopien oder Duplikate der personenbezogenen Daten. Hiervon ausgenommen sind Sicherungskopien, die zur Gewährleistung einer ordnungsgemässen Datenverarbeitung, des Datenschutzes und der Datensicherheit erforderlich sind, sowie die Archivierung von Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich ist.

12.2 Wenn die Parteien keine anderweitige Vereinbarung getroffen haben und soweit gesetzlich zulässig, löscht oder anonymisiert der Auftragsverarbeiter die in seiner Software gespeicherten personenbezogenen Daten spätestens 6 Monate nach Ende des Hauptvertrags datenschutzgerecht. Der Verantwortliche kann auch bereits vor diesem Zeitpunkt jederzeit schriftlich (Textform genügt) die Löschung der personenbezogenen Daten verlangen.

12.3 Bis zum Zeitpunkt der Löschung kann der Verantwortliche jederzeit schriftlich (Textform genügt) verlangen, dass der Auftragsverarbeiter dem Verantwortlichen eine vollständige Kopie der vorhandenen personenbezogenen Daten übergibt. Die Übergabe der personenbezogenen Daten erfolgt in einem üblichen Format nach Wahl des Auftragsverarbeiters. Wünscht der Verantwortliche ein anderes Format und entsteht dem Auftragsverarbeiter dadurch ein erheblicher Zusatzaufwand, so entschädigt der Verantwortliche dem Auftragsverarbeiter diesen Zusatzaufwand.

13 Haftung

Für die Haftung gilt die entsprechende Bestimmung der Nutzungsbedingungen. Vorbehalten bleiben, soweit anwendbar, Art. 82 DSGVO oder andere entgegenstehende zwingende gesetzliche Bestimmungen.

14 Dauer und Beendigung

14.1 Die Laufzeit dieses AVV richtet sich nach derjenigen des Hauptvertrags.

14.2 Nichtsdestotrotz finden die Bestimmungen dieses AVV auf allfällige nach Vertragsende stattfindende Datenverarbeitungen im Sinn dieses AVV Anwendung, solange diese andauern.

15 Anhänge

Die folgenden Anhänge bilden integrierenden Bestandteil dieses AVV:

  • Anhang 1: Technische und organisatorische Sicherheitsmassnahmen
  • Anhang 2: Unterauftragsverarbeiter

Anhang 1: Technische und organisatorische Sicherheitsmassnahmen

Zutrittskontrolle

Welche Massnahmen werden getroffen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren?

☒ Sicherheitsschlösser / -türen / -fenster

☒ Alarmanlage

☒ Videoüberwachung

☒ Magnet- / Chipkarten

☒ Zutrittsregelung für Besucher

☒ Schlüsselverwaltung / -dokumentation

Brame betreibt keine eigenen Server, sondern ausschliesslich Server in der Cloud bei AWS in Deutschland, entsprechend gibt es keine speziell abzusichernden Räume.

Zugangs- /

Zugriffskontrolle

Welche Massnahmen werden getroffen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können?

☒ Passwort-Authentifizierung

☒ Sichere Passwörter / Anforderungen an Passwörter

☒ Zwei-Faktoren-Authentifizierung

☒ Verschlüsselung von Datenträgern / Daten

☒ Berechtigungs- / Rollenkonzepte

☒ Zugangssperre durch Bildschirmschoner

☒ Protokollierung von Zugriffen

☒ Protokollierung von gescheiterten Zugriffsversuchen

☒ aktueller Virenschutz

☒ aktuelle Softwareversionen

☒ Firewall

☒ ordnungsgemässe Vernichtung von Datenträgern

Weitergabekontrolle

Schutz vor unbefugtem Lesen, Schreiben, Kopieren, Verändern, Entfernen von personenbezogenen Daten bei elektronischer Übertragung

☒ Festlegung und Dokumentation der Empfänger

☒ Übermittlungsprotokolle

☒ Verschlüsselung von Datenträgern / Daten und Verbindungen

☒ Weitergabeberechtigungen

☒ Regelung zur Datenträgervernichtung

☒ Regelung zur sicheren Löschung vom Speichermedium

☒ Regelung zur sicheren Lagerung und Versand von Datenträgern ☒ Regelung zum Gebrauch von mobilen Datenträgern (CDs, Sticks)

Brame setzt nur im Ausnahmefall physische Datenträger wie Memory Sticks ein und nur unter strengen Regeln zur sicheren Datenvernichtung nach Gebrauch.

Die Weitergabeberechtigungen sind organisatorisch für die gesamte Brame AG definiert.

Zu Übermittlungsprotokollen: Alle Daten werden in der Amazon Cloud oder einem OneDrive Cloudspeicher abgelegt. Diese Cloud-Systeme bieten einige Protokollierungen (Datei wann von wem hochgeladen, gelöscht usw.). Darüber hinaus sind Übermittlungsprotokolle für Brame nicht sinnvoll.

Eingabekontrolle

Feststellung, ob und von wem welche personenbezogenen Daten wann in Datenverarbeitungssysteme eingegeben, verändert, entfernt oder abgerufen worden sind.

☒ Protokollierung von Dateneingaben, -änderungen, -löschungen

☒ Berechtigungskonzept zur Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten

Brame arbeitet ausschliesslich mit elektronischer Datenverarbeitung, daher trifft die Aufbewahrung von Formularen nicht zu.

Trennungskontrolle

Massnahmen, die geeignet sind zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

☒ logische Trennung der Daten (softwareseitig)

☒ Trennung Produktiv- / Testsystem

Pseudonymisierung und Verschlüsselung

Pseudonymisierung: Verarbeitung personenbezogener Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, wobei diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Massnahmen unterliegen.

☒ Verschlüsselung von Dateien

☒ Verschlüsselung von mobilen Endgeräten (Smartphones, Laptops       usw.)

☒ gesicherte Datenweitergabe (SSL, FTPS, TLS usw.)

☒ gesichertes WLAN

Verfügbarkeitskotrolle

Schutz gegen zufällige oder mutwillige Veränderung, Zerstörung oder Verlust personenbezogener Daten.

☒ Back-up-Strategie (online / offline, onsite / offsite)

☒ unterbrechungsfreie Stromversorgung

☒ Notfallkonzept

☒ rasche Wiederherstellbarkeit

☒ Verfahren / Prozesse zur Wiederherstellung

Auftragskontrolle

Massnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

☒ Auswahl von Auftragnehmern Einhaltung der Sorgfaltspflicht

☒ eindeutige, schriftliche Verträge und Weisungen

☒ Prozess zur Weiterleitung von Betroffenenanfragen

☒ Kontrolle bei Auftragnehmern

☒ Sicherstellung der Vernichtung der Daten nach Auftrag

☒ formalisiertes Auftragsmanagement

Sonstige Verfahren

Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung.

☒ Datenschutz-Management

☒ Incident-Response-Management

☒ Datenschutzfreundliche Voreinstellungen

Begleitende Massnahmen
Datenschutz auf Mitarbeiterebene

☒ Vertrauens- / Verschwiegenheitsverpflichtung

☒ Regelungen Home-Office

☒ Regelung zur Nutzung privater mobiler Endgeräte

☒ Regelung betrieblicher Internet- / E-Mail-Nutzung

☒ Datenschutz-Schulungen

☒ Verfahren zu Änderung, Berichtigung, Sperrung und Vernichtung der Daten für Mitarbeitende

Archivierung, Löschung, Entsorgung

☒ Archivierungs-, Lösch-, und Entsorgungskonzept mit festgelegten Zuständigkeiten

☒ Unterrichtung der Mitarbeiter über gesetzliche Voraussetzungen, Löschfristen und Vorgaben für Geräteentsorgung

Notfallkonzept☒ Konzept über unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung).
IT-Sicherheits- und Datenschutzstandard ☒ Es wird eine ISO 27001- und ISO 27701-Zertifizierung aufrechterhalten.

Anhang 2: Unterauftragsverarbeiter

Unterauftrags­verarbeiter Anschrift Leistung Land der Verarbeitung Bemerkungen
Brame Switzerland AG Herostrasse 7, Zürich, Schweiz Serviceleistungen Schweiz 100%-iges Tochterunternehmen der Brame AG.
Brame GmbH Überseeallee 1, Hamburg, Deutschland Serviceleistungen Deutschland 100%-iges Tochterunternehmen der Brame AG.
Brame R&D d.o.o Jevrejska 18, 21000 Novi Sad, Serbien Software-Entwicklung und Support Serbien 100%-iges Tochterunternehmen der Brame AG. Grundlage für internationalen Transfer: Standardvertragsklauseln und Transfer-Folgenabschätzung
Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, Luxemburg Cloud-Anbieter, E-Mail Sending Service, Hosting-Partner Deutschland
Atlassian Pty Ltd Level 6, 341 George Street, Sydney NSW 2000, Australien Support Desk für Softwareanwender Deutschland Kein Transfer von Daten der Besucher/Spieler der Mini-Games. Wird für Softwaresupport verwendet.