Auftragsbearbeitungsvertrag
Auftragsbearbeitung für Kunden- und ERP-Daten zwischen Kunde und Fimaro Systems AG.
Stand: [Datum ergänzen]
Dieser Auftragsbearbeitungsvertrag (AVV / Data Processing Agreement, DPA) ergänzt die AGB und regelt die Bearbeitung personenbezogener Daten, die der Kunde (Verantwortlicher) durch die Fimaro Systems AG (Auftragsbearbeiterin) im Rahmen der Nutzung von Fimaro bearbeiten lässt.
1. Gegenstand und Dauer
Gegenstand ist die Bearbeitung personenbezogener Daten durch Fimaro im Auftrag des Kunden zur Bereitstellung der vereinbarten Dienste. Die Dauer entspricht der Laufzeit des zugrunde liegenden Vertrags über die Nutzung von Fimaro.
2. Art und Zweck der Bearbeitung
Die Bearbeitung dient der Bereitstellung, dem Betrieb, der Sicherung, der Wartung und der Abrechnung von Fimaro als ERP-/SaaS-Lösung, einschliesslich Speicherung, Organisation, Anpassung, Auslesen, Verwendung, Übermittlung an berechtigte Empfänger und Löschung.
3. Kategorien personenbezogener Daten
- Kontakt- und Stammdaten
- Konto- und Zugangsdaten
- Rechnungs-, Beleg- und Buchhaltungsdaten
- Bank- und Zahlungsinformationen
- Projekt-, Zeit- und Kostenstellendaten
- Dokumente und Verträge
- KI-Eingaben und -Ergebnisse, soweit genutzt
- technische Nutzungs- und Protokolldaten
4. Kategorien betroffener Personen
- Kunden und Interessenten des Kunden
- Lieferanten und Geschäftspartner des Kunden
- Mitarbeitende und Benutzer des Kunden
- Treuhänder und eingeladene Personen
- weitere Personen, deren Daten der Kunde erfasst
5. Rechte und Pflichten des Kunden
Der Kunde ist Verantwortlicher im datenschutzrechtlichen Sinn und dafür verantwortlich, dass er zur Übermittlung und Bearbeitung der Daten berechtigt ist. Der Kunde erteilt Weisungen im Rahmen dieses Vertrags und der Produktfunktionen.
6. Pflichten der Auftragsbearbeiterin
- Bearbeitung nur im Rahmen des Vertrags und dokumentierter Weisungen
- Vertraulichkeitsverpflichtung der eingesetzten Personen
- angemessene technische und organisatorische Massnahmen
- Unterstützung des Kunden bei Betroffenenrechten und Meldepflichten, soweit angemessen
- Information des Kunden, wenn eine Weisung nach Auffassung von Fimaro gegen anwendbares Datenschutzrecht verstösst
7. Vertraulichkeit
Fimaro verpflichtet die mit der Bearbeitung betrauten Personen zur Vertraulichkeit und stellt sicher, dass sie nur im erforderlichen Umfang Zugang zu Personendaten erhalten.
8. Technische und organisatorische Massnahmen
- Zugriffs- und Berechtigungskontrollen
- Rollen, Rechte und Mandantentrennung
- Verschlüsselung, soweit angemessen
- Protokollierung und Audit-Trails
- Backups und Wiederherstellung
- Monitoring und Schutz vor unbefugtem Zugriff
- sichere Entwicklungs- und Betriebsprozesse
9. Subprozessoren
Fimaro kann zur Leistungserbringung Subprozessoren einsetzen, z. B. Hosting-, Zahlungs-, Kommunikations- und KI-Dienstleister. Fimaro verpflichtet Subprozessoren auf ein angemessenes Datenschutzniveau. Über wesentliche Änderungen der eingesetzten Subprozessoren informiert Fimaro in geeigneter Weise.
10. Datenübermittlung ins Ausland
Soweit Daten in Länder ohne angemessenes Datenschutzniveau übermittelt werden, verwendet Fimaro geeignete Garantien, z. B. Standardvertragsklauseln oder andere zulässige Mechanismen.
11. Unterstützung bei Betroffenenrechten
Fimaro unterstützt den Kunden im Rahmen des technisch Möglichen und Zumutbaren dabei, Anfragen betroffener Personen (z. B. Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) zu beantworten.
12. Unterstützung bei Datenschutzverletzungen
Fimaro informiert den Kunden ohne unangemessene Verzögerung, wenn Fimaro eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die die Daten des Kunden betrifft, und unterstützt den Kunden bei erforderlichen Massnahmen und Meldungen.
13. Löschung oder Rückgabe nach Vertragsende
Nach Beendigung der Dienste löscht oder retourniert Fimaro die im Auftrag bearbeiteten Personendaten nach Wahl des Kunden, soweit keine gesetzliche Aufbewahrungspflicht besteht. Kundendaten können für eine begrenzte Zeit exportierbar bleiben.
14. Audit- und Nachweismöglichkeiten
Fimaro stellt dem Kunden auf Anfrage angemessene Informationen zum Nachweis der Einhaltung dieses Vertrags bereit und ermöglicht Überprüfungen im angemessenen, betrieblich zumutbaren Rahmen.
Fragen zu Datenschutz oder Vertrag?
Kontaktiere uns unter datenschutz@fimaro.ch oder hallo@fimaro.ch.