Datenschutz

ClickTime ist der sorgfältige Umgang mit Ihren persönlichen Daten wichtig und wir schätzen Ihr Vertrauen in uns. ClickTime ist verantwortlich für die Sammlung, Bearbeitung, Weitergabe, Speicherung und den Schutz Ihrer persönlichen Informationen und sorgt für die Einhaltung des schweizerischen Datenschutzgesetzes.

Kontaktdaten

Verantwortlich für die Datenverarbeitung ist:

ClickTime Vertriebs AG
Langhaus 4
5400 Baden
Schweiz
+41 43 444 88 33

Sie erreichen den Datenschutzbeauftragten der ClickTime AG unter: datenschutz@clicktime.ch

Auftragsdatenbearbeitungsvertrag (ADV)

1. Rollen der Parteien

Dieser Anhang zu den AGB ergänzt deren datenschutzrechtlichen Bestimmungen und ist ausschliesslich anwendbar falls und in dem Umfang wie ClickTime Personendaten des Kunden bearbeitet.

Die Vereinbarung zwischen dem Kunden ("Verantwortlicher") und ClickTime ("Auftragsbearbeiter") umschreibt alle allgemeinen Vertragspunkte. Für den Auftragsbearbeiter ist grundsätzlich das Schweizer Datenschutzrecht massgebend Der Auftragsbearbeiter ist darüber hinaus bereit, auch spezifische Anforderungen und Bedürfnisse des Verantwortlichen zu erfüllen, wie etwa spezifische Unterstützung, Audits sowie Anpassungen an EU Recht, namentlich im Hinblick auf die Anforderungen der Datenschutzgrundverordnung ("DSGVO"). Der Auftragsbearbeiter zeigt dem Verantwortlichen mit einer Kostenschätzung jeweils an, welche Kosten sich aus der Berücksichtigung solcher Anforderungen und Bedürfnisse ergeben und rechnet über diese nach erfolgter Genehmigung durch den Verantwortlichen zusätzlich zu den für die Leistungen geschuldeten Preisen und Entschädigungen ab.
 

2. Gegenstand, Dauer, Art und Zweck der Bearbeitung sowie Art der Personendaten und Kategorien Betroffener

Aus der Vereinbarung ergeben sich Gegenstand des Auftrags sowie Art und Zweck der Verarbeitung. Die Dauer der Verarbeitung entspricht der Dauer der Vereinbarung, sofern dieser Anhang nichts Anderes vorsieht oder einzelne Bestimmungen nicht offensichtlich darüber hinausgehende Verpflichtungen ergeben. Insbesondere sind folgende Personendatenarten, Verarbeitungsarten und –zwecke sowie Betroffenenkategorien Bestandteil der Verarbeitung:

Art der Personendaten

Name, Kontaktdaten wie E-Mailadresse und Mobiltelefonnummer etc., Geburtsdatum, Logindaten, Zugriffsdaten, vom System erfasste Daten (z.B. Arbeitszeit)

Art und Zweck der Verarbeitung

Arbeitszeiterfassung, Einsatzplanung, Spesen und verwandte Tätigkeiten

Kategorien Betroffener

Mitarbeiter des Verantwortlichen oder andere Nutzer im Sinne der AGB

3. Anwendungsbereich und Verantwortlichkeit

Im Zusammenhang mit der Vereinbarung bearbeitet der Auftragsbearbeiter Personendaten im Auftrag des Verantwortlichen. Dieser Anhang findet Anwendung auf alle Bearbeitungen von Daten des Verantwortlichen mit Personenbezug ("Personendaten"), welche im Zusammenhang mit der Vereinbarung stehen und durch den Auftragsbearbeiter, seine Angestellten oder Beauftragten vorgenommen werden.

Der Verantwortliche ist für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an den Auftragsbearbeiter sowie für die Rechtmässigkeit der Datenbearbeitung verantwortlich. Der Auftragsbearbeiter ist in seinem Bereich und im Rahmen der Anweisungen des Verantwortlichen für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze verantwortlich, insbesondere dafür dass geeignete technische und organisatorische Schutzmassnahmen ergriffen werden, so dass seine Bearbeitung den Schutz der Rechte der Betroffenen gewährleistet.

4. Pflichten des Auftragsbearbeiters

4.1. Weisungsgebundenheit und Ort der Bearbeitung

Der Auftragsbearbeiter bearbeitet Personendaten nur auf Weisung des Verantwortlichen. Die anfänglichen Weisungen ergeben sich aus der Vereinbarung. Nachfolgende Weisungen erfolgen entweder schriftlich, wobei E-Mail genügt, oder mündlich mit umgehender schriftlicher Bestätigung.

Gesetzliche Pflichten zu einer anderweitigen Bearbeitung bleiben vorbehalten, wobei der Auftragsbearbeiter eine solche Pflicht dem Verantwortlichen – soweit nicht gesetzlich verboten – vor der betreffenden Bearbeitung mitteilt.

Der Auftragsbearbeiter bearbeitet Personendaten nur in der EU, dem EWR und der Schweiz. Übermittlungen von Personendaten an ein Drittland ausserhalb der EU oder der Schweiz oder an eine internationale Organisation bedürfen der vorherigen Genehmigung durch den Verantwortlichen und dürfen nur erfolgen, wenn die entsprechenden gesetzlichen Voraussetzungen erfüllt sind. Ist der Auftragsbearbeiter der Auffassung, dass eine Weisung gegen die DSGVO, gegen andere Datenschutzbestimmungen der EU oder der EU-Mitgliedstaaten oder der Schweiz verstösst, informiert er unverzüglich den Verantwortlichen hierüber und ist berechtigt, die Bearbeitung bis zum Rückzug oder der Bestätigung der Weisung auszusetzen.

4.2 Verpflichtung der bearbeitenden Personen zur Vertraulichkeit

Der Auftragsbearbeiter leistet Gewähr, dass sich die zur Bearbeitung der Personendaten befugten Personen zur Vertraulichkeit verpflichtet haben, soweit sie nicht ohnehin einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.3 Technische und organisatorische Massnahmen (TOM's)

Der Auftragsbearbeiter hat geeignete technische und organisatorische Sicherheitsmassnahmen getroffen, hält diese für die Dauer der Bearbeitung aufrecht und aktualisiert diese laufend entsprechend dem aktuellen Stand der Technik. Die technischen und organisatorischen Sicherheitsmassnahmen sind in Ziff. 5 dieses Anhangs näher umschrieben. Die dort beschriebene Dokumentation ist auf Verlangen einsehbar.

4.4 Beizug von Subunternehmern

Die für diesen Auftrag beigezogenen und genehmigten Unter-Auftragsbearbeiter sind in der Vereinbarung aufgeführt. Der Auftragsbearbeiter ist berechtigt, weitere Unter-Auftragsbearbeiter in Anspruch zu nehmen. In diesem Falle informiert der Auftragsbearbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf Unter-Auftragsberarbeiter. Diese Information kann auch im Rahmen einer Offerte, eines Auftrags oder per E-Mail erfolgen. Der Verantwortliche hat das Recht, gegen derartige Änderungen Einspruch zu erheben. Allfällige hieraus entstehende Mehrkosten zeigt der Auftragsbearbeiter dem Verantwortlichen an und über diese wird nach entsprechender Genehmigung durch den Verantwortlichen abgerechnet. Der Auftragsbearbeiter verpflichtet sich, sämtlichen Unter-Auftragsbearbeitern mittels Vertrag dieselben Datenschutzpflichten aufzuerlegen, die ihm durch diesen Anhang auferlegt werden. Dabei sind insbesondere hinreichende Garantien dafür zu bieten, dass die geeigneten technischen und organisatorischen Massnahmen so durchgeführt werden, dass die Verarbeitung durch den Unter-Auftragsbearbeiter entsprechend den gesetzlichen Anforderungen erfolgt und dass die Daten nur für den Zweck des Verantwortlichen und nicht für einen Zweck des Unter-Auftragsbearbeiters verwendet werden. Kommt der Unter-Auftragsbearbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsbearbeiter gegenüber dem Verantwortlichen hierfür wie für eigenes Verhalten.

4.5 Unterstützung bei Beantwortung von Anträgen

Der Auftragsbearbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Massnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte gemäss Bestimmungen DSG sowie gemäss der DSGVO nachzukommen. Über die Entschädigung des Auftragsbearbeiters hierfür einigen sich die Parteien separat.

4.6 Weitere Unterstützung des Verantwortlichen

Der Auftragsbearbeiter unterstützt unter Berücksichtigung der Art der Bearbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der Verantwortlichenpflichten im Zusammenhang mit der Sicherheit der Bearbeitung, allfälligen Meldungen von Verletzungen des Schutzes von Personendaten sowie allfälligen Datenschutzfolgeabschätzungen gemäss DSG sowie gemäss der DSGVO.

4.7 Löschung oder Vernichtung nach Auftragsende

Nach Wahl des Verantwortlichen löscht der Auftragsbearbeiter nach Auftragsende entweder alle zur Bearbeitung erhaltenen Personendaten oder gibt diese an den Verantwortlichen zurück, sofern für ihn nicht eine rechtliche Verpflichtung zur Speicherung oder weiteren Bearbeitung besteht. Der Auftragsbearbeiter bestätigt dies auf erste Aufforderung hin schriftlich.

4.8 Informations- und Kontrollrechte des Verantwortlichen

Der Auftragsbearbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Anhang niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen, einschliesslich Inspektionen, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden und trägt zu diesen bei. Das Vorgehen bei mutmasslich rechtswidrigen Weisungen regelt Ziff. 4.1. dieses Anhangs.

5. Technische und organisatorische Massnahmen (TOM's)

Der Auftragsbearbeiter hat technische und organisatorische Massnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau der verarbeiteten Personendaten zu gewährleisten. Nachfolgend werden diese im Sinne einer Übersicht wiedergegeben. Der Verantwortliche kann beim Auftragsbearbeiter Einblick in die detaillierte Dokumentation der technischen und organisatorischen Massnahmen nehmen.

Übersicht TOM:

1 Zutrittskontrolle

Angemessene Massnahmen, um Unbefugten den Zutritt zu Datenbearbeitungsanlagen, mit denen personenbezogene Daten bearbeitet oder genutzt werden, zu verwehren, wie z.B. Alarmanlagen, Videoüberwachung der Eingänge, persönliche Zugangsbadges etc.

2 Zugangskontrolle

Angemessene Massnahmen, um den virtuellen Zugriff auf Datenbearbeitungssysteme durch Unbefugte zu verhindern, wie z.B. persönliche User Logins, Firewall, Clean-Desk Richtlinien etc.

3 Zugriffskontrolle

Angemessene Massnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Personendaten bei der Bearbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, wie z.B. User Access Management und physische Löschung von Datenträgern.

4 Weitergabekontrolle

Angemessene Massnahmen, die gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, wie z.B. Einsatz von VPN oder anderen verschlüsselten Verbindungen.

5 Eingabekontrolle

Angemessene Massnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenbearbeitungssysteme eingegeben, verändert oder entfernt worden sind, wie z.B. Protokollierung und persönliche User Logins.

6 Verfügbarkeitskontrolle

Angemessene Massnahmen die gewährleisten, dass Personendaten gegen zufällige Zerstörung oder Verlust geschützt sind, wie z.B. redundante Stromversorgung, Backup & Recovery Konzept etc.

Subunternehmer

Technische Infrastruktur:

Nine Internet Solutions AG, Badenerstrasse 47, 8004 Zürich, Schweiz

Datensicherung:

Mount10, Haldenstrasse 5, 6340 Baar, Schweiz

Softwareentwicklung:

UWS Software Service Ltd. Dublin, Irland

ClickTime AG, 8840 Einsiedeln