Bereit, mit uns ins neue Jahr zu starten und Ihre Projekte voranzubringen? Wir freuen uns auf Ihre Kontaktaufnahme!

Demo anfordern
Demo anfordern

Datenschutzvereinbarung (DPA) / Auftragsbearbeitungsvertrag – zwischen der Kaulquappe AG und dem Kunden (SaaS mit big®)

1. Vertragsparteien

Auftragsbearbeiterin (AB):
Kaulquappe AG
Zurich, Switzerland
(„Kaulquappe“)

Verantwortlicher (V):
Der jeweilige Kunde, der big® nutzt („Kunde“)
Beide Parteien werden gemeinsam „Parteien“ genannt.

2. Gegenstand der Vereinbarung

a) Diese Datenschutzvereinbarung („DPA“) regelt die Rechte und Pflichten der Parteien im Hinblick auf die Bearbeitung personenbezogener Daten durch Kaulquappe im Auftrag des Kunden im Zusammenhang mit der Nutzung der SaaS-Lösung big®.
b) Der Kunde bleibt jederzeit Verantwortlicher für die Datenbearbeitung im Sinne des Schweizer DSG und – sofern anwendbar – der DSGVO
c) Kaulquappe bearbeitet Personendaten ausschliesslich zwecks Erbringung der vertraglich vereinbarten Leistungen.

3. Art, Umfang und Zweck der Datenbearbeitung

a) Zweck Kaulquappe bearbeitet Personendaten ausschliesslich zur Bereitstellung, Wartung, Sicherheit und Weiterentwicklung der SaaS-Lösung big®, einschliesslich Hosting, Support, Backups, Monitoring und technischer Administration.
b) Art der Daten Typische Personendaten, die im Rahmen von big® verarbeitet werden können:

  • Identifikationsdaten (Name, E-Mail, Benutzer-ID)
  • Kontaktdaten
  • Log- und Nutzungsdaten
  • Kundendaten, die der Kunde in big® speichert (Inhaltsdaten)
  • Metadaten (Zeitstempel, Systemdaten)
  • technische Identifikatoren (IP-Adresse, UUIDs) c) Datenkategorien betroffener Personen
  • Mitarbeitende des Kunden
  • Endkunden des Kunden
  • andere Nutzer des Systems, die der Kunde anlegt

d) Es erfolgt keine Bearbeitung von besonderen Kategorien von Personendaten gemäss DSG/DSGVO, sofern der Kunde solche nicht eigenständig einpflegt.

4. Dauer der Verarbeitung

Die Datenverarbeitung erfolgt während der gesamten Vertragslaufzeit für die Nutzung von big® und endet:

  • nach Vertragsende durch Datenrückgabe und anschliessender Löschung,
  • nach Ablauf gesetzlicher Aufbewahrungspflichten.

5. Weisungsrecht des Verantwortlichen

a) Kaulquappe bearbeitet Personendaten ausschliesslich nach dokumentierten Weisungen des Kunden.
b) Weisungen sind schriftlich oder per E-Mail zu erteilen.
c) Kaulquappe weist den Kunden unverzüglich darauf hin, wenn eine Weisung gegen geltendes Recht verstossen könnte.

6. Pflichten der Auftragsbearbeiterin (Kaulquappe)

Kaulquappe verpflichtet sich: a) Personendaten ausschliesslich gemäss Vertrag und Weisungen zu bearbeiten.
b) Alle Datenverarbeitenden zur Vertraulichkeit zu verpflichten.
c) Angemessene technische und organisatorische Massnahmen (TOM) einzusetzen.
d) Unverzüglich zu informieren, wenn: – erhebliche Datenschutzverletzungen auftreten,

  • behördliche Anfragen die Daten des Kunden betreffen,
  • ein Verstoss gegen diese DPA festgestellt wird.
  • Dem Kunden die für Datenschutzprüfungen erforderlichen Informationen zur Verfügung zu stellen.

7. Technische und organisatorische Massnahmen (TOM)

Kaulquappe implementiert unter anderem:

  • Verschlüsselung während der Übertragung (TLS)
  • rollenbasierte Zugriffskontrollen (RBAC)
  • Firewalling und Netzwerksegmentierung
  • Protokollierung sicherheitsrelevanter Ereignisse
  • Multi-Faktor-Authentifizierung für Administrationszugänge
  • regelmässige Backups und Wiederherstellungsmechanismen controls (RBAC),
  • Sicherheitsupdates und Patch-Management
  • Monitoring & Intrusion Detection (soweit für big® notwendig)

Eine vollständige TOM-Liste kann der Kunde jederzeit schriftlich anfordern.

8. Einsatz von Unterauftragsbearbeitern (Sub-Processors)

a) Der Kunde stimmt zu, dass Kaulquappe Unterauftragsbearbeiter einsetzt. Die wichtigsten Unterauftragsbearbeiter sind: Pflicht-Subprocessor:

  • Google Cloud Platform (GCP)
  • Rechenzentren: EU oder CH (je nach gewählter Region)
  • Zweck: Hosting, Persistenz, Infrastruktur Weitere mögliche Subprozessoren

(optional, je nach Nutzung):

  • E-Mail-Dienstleister (z.B. für Support-Kommunikation)
  • Monitoring- oder Logging-Dienste
  • Sicherheitsdienstleister

b) Kaulquappe stellt sicher, dass Subprozessoren ein angemessenes Datenschutzniveau gewährleisten.
c) Kaulquappe informiert den Kunden über wesentliche Änderungen in der Subprozessorenliste. Der Kunde kann aus wichtigem Grund innert 14 Tagen Einspruch erheben.

9. Datenübermittlung ins Ausland

a) Sofern Personendaten durch Subprozessoren ausserhalb der Schweiz/EU bearbeitet werden, stellt Kaulquappe sicher:

  • dass ein Angemessenheitsentscheid besteht, oder
  • dass die Schweiz/EU-Standardvertragsklauseln (SCC) verwendet werden, oder
  • gleichwertige Garantien gemäss DSG/DSGVO.

b) big® verwendet standardmässig GCP-Regionen in der Schweiz oder der EU. Eine Übermittlung in die USA findet nur statt, wenn der Kunde dies ausdrücklich zulässt oder technische Notwendigkeiten bestehen (z. B. Supportticket beim GCP-Support).

10. Unterstützungspflichten bei Betroffenenrechten

Kaulquappe unterstützt den Kunden – soweit technisch möglich – bei der Erfüllung der Rechte betroffener Personen, insbesondere:

  • Auskunft
  • Berichtigung
  • Löschung
  • Datenübertragung
  • Einschränkung der Verarbeitung

Umfang und Kosten richten sich nach Aufwand.

11. Meldung von Verletzungen des Datenschutzes

a) Kaulquappe informiert den Kunden ohne schuldhaftes Zögern, sobald ein Verstoss gegen den Schutz von Personendaten festgestellt wurde, der Daten des Kunden betrifft.
b) Mitteilung enthält mindestens: Art der Verletzung, voraussichtliche Folgen, ergriffene oder geplante Massnahmen, Kontaktstelle für Rückfragen.
c) Der Kunde ist für gesetzliche Meldungen an Behörden oder betroffene Personen verantwortlich (DSG/DSGVO).

12. Löschung, Rückgabe und Aufbewahrung von Daten

a) Nach Vertragsende stellt Kaulquappe dem Kunden sämtliche Daten in einem gängigen Format (CSV, JSON) zur Verfügung.
b) Anschliessend werden Daten gelöscht, sobald gesetzliche Aufbewahrungspflichten abgelaufen sind.
c) Backups werden gemäss festgelegten Zyklen überschrieben.

13. Auditrechte

a) Der Kunde kann einmal jährlich prüfen (Audit oder Fragebogen), ob Kaulquappe die Pflichten aus dieser DPA erfüllt.
b) Audits finden nach frühzeitiger Abstimmung statt und dürfen den Betrieb von Kaulquappe nicht unangemessen beeinträchtigen.
c) Kosten trägt der Kunde.

14. Haftung

Die Haftungsbeschränkungen aus den AGB big® gelten auch für diese DPA. Kaulquappe haftet nicht für Datenschutzverstösse, die durch:

  • fehlende Weisungen des Kunden,
  • unzulässige Kundendaten,
  • Fehlkonfigurationen durch den Kunden entstehen.

15. Schlussbestimmungen

Änderungen dieser DPA bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt der übrige Vertrag gültig. Es gilt ausschliesslich Schweizer Recht. Gerichtsstand ist Zürich (Handelsgericht).