Auftragsverarbeitungsvertrag

1 Datenschutzrechtliche Vereinbarung (nachfolgend auch Vertrag genannt) über die Verarbeitung personenbezogener Daten im Auftrag

0. Geltungsbereich

Diese Datenschutzrechtliche Vereinbarung (nachfolgend auch Vertrag oder Vertrag genannt) über die Verarbeitung personenbezogener Daten im Auftrag (Auftragsverarbeitung gemäss Art. 28 DS-GVO und Art. 9 DSG) gelten für die Nutzung der IT- und On und Offline-Fundraising-Infrastruktur, die über www.raisenow.com bzw. www.altruja.de erworben werden kann und für alle angeschlossenen Websites, digitalen Dienste, Browser-Plugins oder Anwendungen, sowie für die zugrundeliegende Software (zusammen die „Serviaces“). Der/die Kund:in ist der datenschutzrechtliche Verantwortliche (im Folgenden der "Auftraggeber"), die RaiseNow AG sowie deren hundertprozentige Tochter, die Altruja GmbH, als datenschutzrechtlicher Auftragsverarbeiter (im Folgenden der "Auftragsverarbeiter")

Mit Unterzeichnung des Einzelvertrages anerkennt der/die Kundin den vorliegenden Vertrag ausdrücklich.

Wenn der/die Kund:in diesem Vertrag nicht zustimmt, kann er/sie nicht auf die Services zugreifen.

Definition

Sofern hierin nicht anders definiert, haben alle Begriffe die gleiche Bedeutung wie im schweizerischen Bundesgesetz über den Datenschutz (DSG). Es wird davon ausgegangen, dass die meisten Begriffe im DSG mit denjenigen in der DSGVO übereinstimmen. Für den Fall, dass es einen wesentlichen Unterschied zwischen der Definition eines Begriffs im DSG und der DSGVO geben sollte, hat die Definition in der DSGVO Vorrang, mit Ausnahme der Definition der personenbezogenen Daten.

1. Gegenstand und Dauer der Vereinbarung

Der Auftrag umfasst Folgendes:
Operative Verarbeitung personenbezogener Daten im Rahmen der Leistungserbringung

Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 28 DS-GVO und Art. 9 DSG auf Grundlage dieses Vertrages.

Die vertraglich vereinbarte Dienstleistung wird ausschliesslich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum bzw. der Schweiz erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO sowie Abschnitt 2 des DSG erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standardvertragsklauseln, genehmigte Verhaltensregeln).

Die Vertragslaufzeit richtet sich nach dem Hauptvertrag.

2. Zweck, Umfang und Art der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Daten

Die Verarbeitung personenbezogener Daten im Auftrag erfolgt ausschliesslich zweckgebunden.

Der Zweck, der Umfang und die Art sind wie folgt: 

Die Zwecke, welche mit der Übertragung von personenbezogenen Daten an den Auftragsverarbeiter und der Verarbeitung durch den Auftragsverarbeiter verfolgt werden, sind in Anlage 3 zu diesem Vertrag beschrieben.

Anlage 3 ist integraler Bestandteil dieses Vertrages.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

Für die Beurteilung der Zulässigkeit der Verarbeitung für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO sowie dem DSG ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragsverarbeiter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschliesslich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Auftraggeber ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmässig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Massnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmässigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmassnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragsverarbeiters

Für Weisung zu nutzender Kommunikationskanal:

E-Mail an datenschutz@raisenow.com

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschliessend noch für drei volle Kalenderjahre aufzubewahren.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Schweiz, der Europäischen Union oder der EU-Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen/Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten – mit Ausnahme von Sicherheitskopien – werden ohne Wissen des Auftraggebers nicht erstellt.

Der Auftragsverarbeiter sichert im Bereich der auftragsgemässen Verarbeitung von personenbezogenen Daten die vertragsgemässe Abwicklung aller vereinbarten Massnahmen zu.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO sowie nach dem DSG durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen. Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die in Ziffer 4 genannte weisungsberechtigte Funktion weiterzuleiten.

Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstösst. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen. Der Auftraggeber kann den Auftragsverarbeiter auch dazu anweisen, die Daten zu anonymisieren statt zu löschen. Um eine automatische Anonymisierung zu beantragen, kontaktieren Sie bitte datenschutz@raisenow.com.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort. Die Kosten gehen zu Lasten des Auftraggebers, insoweit RaiseNow sie angekündigt und der Auftraggeber sie genehmigt hat.

Der Auftragsverarbeiter sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemässen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie massgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet. Der Auftragsverarbeiter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Beim Auftragsverarbeiter ist als Beauftragte(r) für den Datenschutz bestellt:
Kai Krämer
datenschutz@raisenow.com

Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

6. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter teilt dem Auftraggeber unverzüglich Störungen, Verstösse des Auftragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmässigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO oder Art. 24 DSG, je nach Anwendbarkeit. Der Auftragsverarbeiter sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO bzw. Art. 24 DSG angemessen zu unterstützen.

7. Unterauftragsverhältnisse mit Subunternehmern für Kerndienstleistungen

Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine Genehmigung für zukünftige Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers. Der Auftragsverarbeiter muss dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Massnahmen im Sinne von Art. 32 DS-GVO und Art. 8 DSG sorgfältig auswählt. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

Der Auftragsverarbeiter informiert den Verantwortlichen immer 2 Wochen im Voraus über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer. Der Auftraggeber erhält die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben, sofern ein wichtiger datenschutzrechtlicher Grund vorliegt, z. B. die bisher vereinbarten und von Auftragsverarbeiter zugesicherten technischen und organisatorischen Massnahmen nicht vollständig gewährleistet werden können (§ 28 Abs. 2 Satz 2 DS-GVO) oder der Subunternehmer gegen Bestimmung des AVVs oder sonstige Datenschutzvorschriften verstösst. In diesem Fall darf die beabsichtigte Änderung nicht vollzogen werden.

Zurzeit sind für den Auftragsverarbeiter die in der Anlage 1 dokumentierten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.

Mit der Beauftragung der in Anlage 1 genannten Subunternehmer erklärt sich der Auftraggeber einverstanden.

8. Technische und organisatorische Massnahmen nach Art. 32 DS-GVO und Art. 8 DSG

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemassnahmen das Risiko auf Dauer eingedämmt wird. Für die auftragsgemässe Verarbeitung personenbezogener Daten wird eine angemessene und nachvollziehbare Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen berücksichtigt.

Das in Anlage 2 beschriebene Datenschutzkonzept stellt die Mindestanforderungen der technischen und organisatorischen Massnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragsverarbeiter dar. Hierbei wird auch das Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung beschrieben.

9. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags

Bei Kündigung dieses Vertrages, ist der Auftragsverarbeiter (und jeder
Unterauftragnehmer) verpflichtet,

  1. unverzüglich alle personenbezogenen Daten und Kopien davon, für die dieser Vertrag gilt, einschliesslich der vom Auftraggeber übermittelten personenbezogenen Daten, zu retournieren und, soweit dies nicht möglich ist,
  2. diese personenbezogenen Daten und Kopien nach Wahl des Auftraggebers zu löschen oder zu anonymisieren; oder,
  3. sofern die auf den Auftragsverarbeiter anwendbare Gesetzgebung die Retournierung oder Anonymisierung der unter diesen Vertrag fallenden personenbezogenen Daten verbietet, den Auftraggeber hierüber zu informieren und die personenbezogenen Daten vertraulich zu behandeln und nicht mehr aktiv zu bearbeiten.

10. Sonstiges

Vereinbarungen zu den technischen und organisatorischen Massnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschliessend noch für drei volle Kalenderjahre aufzubewahren.

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragsverarbeiter durch Massnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu verständigen. 

Anlage 1 - Unterauftragsverhältnisse

Aktuell bestehen die nachfolgenden Unterauftragsverhältnisse im Zusammenhang mit der Auftragsverarbeitung:

Unterauftragnehmer können je nach Umfang der Leistungen entfallen.

Firma

Adresse

Leistung

Adyen GmbH

www.adyen.com




Hackescher Markt 4

Gebäude 44

10178 Berlin

Deutschland

Payment Service

Provider

Amazon Web Services, Inc.

aws.amazon.com/de

Kalanderplatz 1
8045 Zürich, Schweiz

eine Zweigniederlassung von

AMAZON WEB SERVICES EMEA SARL

38 AVENUE JOHN F. KENNEDY,
L-1855 LUXEMBOURG

VAT: CHE-430.551.382 MWST

Server / Infrastruktur

Datatrans AG

www.datatrans.ch

Kreuzbühlstrasse 26

8008 Zürich

Schweiz

Payment Service

Provider

Stripe Inc.

www.stripe.com

185 Berry Street, Suite 550

San Francisco, CA 94107

USA

Zertifiziert unter dem EU-U.S. Data Privacy Framework

Payment Service

Provider

Hetzner Online GmbH

www.hetzner.com

Industriestr. 25

91710 Gunzenhausen

Deutwschland

Server / Infrastruktur

MNC AG

www.mnc.ch

Bahnhofplatz 17

8400 Winterthur

Schweiz

Payment Service

Provider SMS Dienstleistungen

Nine Internet Solutions AG

www.nine.ch

Albisriederstrasse 243a

8047 Zürich

Schweiz

Server / Infrastruktur für Peer-to-Peer and Employee Giving

Rackspace International GmbH

www.rackspace.com

Pfingstweidstrasse 60

8005 Zürich

Schweiz

Server / Infrastruktur

TWINT AG

www.twint.ch

TWINT AG

Stauffacherstrasse 41

CH-8004 Zurich

Payment Service

Provider

Elastic
elastic.co

Elasticsearch AS

Postboks 539

1373 Asker, Norway

Server / Infrastructure 

Wallee

Neuwiesenstrasse 15

CH-8400 Winterthur

Payment Service

Provider

PostFinance Ltd

PostFinance Ltd

Contact Center

Mingerstrasse 20

3030 Berne

Payment Service Provider / Reconciliation

Ingenico

a worldline brand

Worldline

River Ouest

80 Quai Voltaire

95870 Bezons

France

Payment Service Provider

84codes (RabbitMQ)
84codes.com

Hälsingegatan 49

113 31 Stockholm

Sweden

Server / Infrastructure

Twilio

www.twilio.com

EEA Headquarters

25-28 North Wall Quay

Dublin 1, Irleand

Two Factor Authentication RaiseNow Hub

 

Anlage 2 – Technische und organisatorische Massnahmen/Datenschutzkonzept

Der Auftragsverarbeiter sichert zu, dass er die nachfolgend beschriebenen Mindestanforderungen im Rahmen seines Datenschutzkonzeptes einhält. Es beschreibt die im Rahmen der Auftragsverarbeitung erforderlichen Massnahmen beim Auftragsverarbeiter zum sicheren Umgang mit personenbezogenen Daten. Die Grundlage für dieses Datenschutz-Konzept bilden die EU-Datenschutzgrundverordnung DS-GVO, das Schweizer Bundesetz über den Datenschutz DSG und ggf. weitere von den interessierten Parteien geforderten Massnahmen. Hierbei orientiert sich der Auftragsverarbeiter im Wesentlichen an den Vorgaben der Artikel 24, 25 und 32 DS-GVO sowie Art. 8 DSG.

1. Vertraulichkeit

1.1 Zutrittskontrolle

Die personenbezogenen Daten sind ausschliesslich auf Servern von Amazon mit Standort Frankfurt, auf Servern von Rackspace mit Standort London und auf Servern von nine (nine.ch) mit Standort Zürich. Amazon und Rackspace sind neben DSGVO-ready auch PCI-DSS zertifiziert.

  • https://aws.amazon.com/compliance/pci-dss-level-1-faqs/
  • https://aws.amazon.com/compliance/gdpr-center/
  • https://www.rackspace.com/compliance/pci
  • https://www.rackspace.com/gdpr

1.2 Zugriffskontrolle

Massnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Virtueller Zugang zu den Systemen nur via VPN vom internen Netzwerk und Public-Key- Authentifizierung
  • 2-Weg Authentifizierung für alle Mitarbeiter zur Ansicht der personenbezogenen Daten
  • Einsatz von Aktenvernichtern
  • Ordnungsgemässe Vernichtung von Datenträgern

1.3 Pseudonymisierung

Auswertungen müssen pseudonymisiert werden, sofern der Personenbezug für das Ergebnis nicht zwingend erforderlich ist.

1.4 Trennungskontrolle

Massnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Trennung von Produktiv und Testsystem
  • Es werden nur solche Daten erhoben, gespeichert und verarbeitet, die unmittelbar dem eigentlichen Zweck dienen.

2. Integrität

2.1 Weitergabekontrolle

Massnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Das Exportieren der personenbezogenen Daten wird protokolliert
  • Die Festlegung der Richtlinien für die Weitergabe der Daten ist dokumentiert und den betroffenen Mitarbeitern bekannt
  • Die Verbindung zu den Datenbanksystemen ist geschützt
  • Es gibt Regelungen zur datenschutzkonformen Vernichtung von Datenträgern.
  • Bei Übertragungen werden dem Stand der Technik entsprechenden Verschlüsselungsverfahren eingesetzt (API-Requests via TLS 1.2, Websiten-Zugriffe via SSL);

2.2 Eingabekontrolle

Massnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (Protokollierung)

3. Verfügbarkeit und Belastbarkeit

Massnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Es existiert ein Backup-Konzept
  • Verantwortliche Personen und Vertreter sind benannt
  • Redundante Server Infrastruktur

Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

  • Datenschutz-Management-System implementiert;
  • Es existiert ein Sicherheitsdispositiv
  • Vierteljährliche Vulnerabilitäts-Tests und jährliche Überprüfung der PCI-DSS SAQ D Level 2
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO, Art. 7 DSG)
  • Anonymisierung nach definiertem Zeitintervall möglich

4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

Es muss ein Verfahren zur Überwachung des Datenschutzes im Unternehmen implementiert werden. Dieses muss die Verpflichtung der Beschäftigten auf das Datengeheimnis, die Schulung und Sensibilisierung der Beschäftigten und die regelmässige Auditierung der Datenverarbeitungsverfahren beinhalten. Für Datenschutzverletzungen und die Wahrung der Betroffenenrechte muss ein durchgängiger Meldeprozess und Bearbeitungsprozess eingeführt sein. Dieser muss auch die Information des Auftraggebers beinhalten.

Anlage 3 - Beschreibung der Übermittlung und Bearbeitung

1. Katalog der zu übertragenden und zu bearbeitenden personenbezogenen Daten:
  • Personenbezogene Daten wie Name, Adresse, E-Mail, Telefon, Geburtstag
  • Kommunikationspräferenzen, Kommunikationsdaten
  • Zahlungsbezogene Daten wie Kontoverbindung, Spenden-Transaktionen, Dauer und Abbuchungsaufträge oder SEPA-Mandate, Kreditkartendaten 
2. Zweck der Übertragung und Bearbeitung

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ergeben sich aus den geschäftlichen Beziehungen zwischen dem Auftraggeber und dem Auftragnehmer bzw. dem geschlossenen Hauptvertrag.

3. Kategorien der betroffenen Personen

  • Unterstützende (Spendende, Mitglieder, Förderer, Gönner, Paten, Spenden Sammelnde)
  • Interessenten