Diese Datenschutzrechtliche Vereinbarung (nachfolgend auch Vertrag oder Vertrag genannt) über die Verarbeitung personenbezogener Daten im Auftrag (Auftragsverarbeitung gemäß Art. 28 DS-GVO) gelten für die Nutzung der IT- und On und Offline-Fundraising-Infrastruktur, die über www.raisenow.com erworben werden kann und für alle angeschlossenen Websites, digitalen Dienste, Browser-Plugins oder Anwendungen, sowie für die zugrundeliegende Software (zusammen die „Services“), die von der RaiseNow AG, einer Gesellschaft schweizerischen Rechts („RaiseNow“), betrieben wird.
Mit Unterzeichnung des Einzelvertrages anerkennt der/die Kundin den vorliegenden Vertrag ausdrücklich.
Wenn der/die Kund:in diesem Vertrag nicht zustimmt, kann er/sie nicht auf die Services zugreifen. RaiseNow behält sich das Recht vor, diesen Vertrag jederzeit zu ändern, indem der/die Kund:in über seine/ihre registrierte E-Mail-Adresse benachrichtigt wird.
Definition
Sofern hierin nicht anders definiert, haben alle Begriffe die gleiche Bedeutung wie im schweizerischen Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG). Jede Bezugnahme auf das DSG umfasst immer auch einen Verweis auf die Verordnung zum DSG (VDSG) und jede andere Bestimmung des materiellen schweizerischen Datenschutzgesetzes. Es wird davon ausgegangen, dass die meisten Begriffe im DSG mit denjenigen in der DSGVO übereinstimmen. Für den Fall, dass es einen wesentlichen Unterschied zwischen der Definition eines Begriffs im DSG und der DSGVO geben sollte, hat die Definition in der DSGVO Vorrang, mit Ausnahme der Definition der personenbezogenen Daten.
Der Auftrag umfasst Folgendes:
Operative Verarbeitung personenbezogener Daten im Rahmen der Leistungserbringung
Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
Die Vertragslaufzeit richtet sich nach dem Hauptvertrag.
Die Verarbeitung personenbezogener Daten im Auftrag erfolgt ausschließlich zweckgebunden.
Der Zweck, der Umfang und die Art sind wie folgt (gemäß der Definition von Art. 4 Nr. 2 DS-GVO):
Die Zwecke, welche mit der Übertragung von personenbezogenen Daten an RaiseNow und der Verarbeitung durch RaiseNow verfolgt werden, sind in Anlage 3 zu diesem Vertrag beschrieben.
Anlage 3 ist integraler Bestandteil dieses Vertrages und kann von RaiseNow von Zeit zu Zeit geändert werden.
Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragsverarbeiter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
Der Auftraggeber ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.
Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
Weisungsberechtigte Funktionen des Auftraggebers sind im Hauptvertrag festgehalten.
Für Weisung zu nutzende Kommunikationskanäle: E-Mail an datenschutz@raisenow.com
Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Schweiz, der Europäischen Union oder der EU -Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen/Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu.
Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die in Ziffer 4 genannte weisungsberechtigte Funktion weiterzuleiten.
Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen. Sollte der Auftragsverarbeiter dazu angewiesen werden zu löschen, steht es ihm frei zu anonymisieren. Um eine automatische Anonymisierung zu beantragen, kontaktieren Sie bitte datenschutz@raisenow.com.
Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.
Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Die Kosten gehen zu Lasten des Auftraggebers.
Der Auftragsverarbeiter sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.
Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragsverarbeiter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
Beim Auftragsverarbeiter ist als Beauftragte(r) für den Datenschutz bestellt:
Kraska Sebastian
+49 89 189 1736-0
email@iitr.de
Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
Der Auftragsverarbeiter teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragsverarbeiter sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.
Die zukünftige Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragsverarbeiter ohne gesonderte Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 Satz 2 DS-GVO. Der Auftragsverarbeiter muss dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt.
Zurzeit sind für den Auftragsverarbeiter die in der Anlage 1 dokumentierten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.
Mit der Beauftragung der in Anlage 1 genannten Subunternehmer erklärt sich der Auftraggeber einverstanden.
Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer. Der Auftraggeber erhält die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben, sofern die bisher vereinbarten und von Auftragsverarbeiter zugesicherten technischen und organisatorischen Maßnahmen nicht vollständig gewährleistet werden können (§ 28 Abs. 2 Satz 2 DS-GVO). In diesem Fall darf die beabsichtigte Änderung nicht vollzogen werden.
Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Für die auftragsgemäße Verarbeitung personenbezogener Daten wird eine angemessene und nachvollziehbare Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen berücksichtigt.
Das in Anlage 2 beschriebene Datenschutzkonzept stellt die Mindestanforderungen der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragsverarbeiter dar. Hierbei wird auch das Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung beschrieben.
Bei Kündigung dieses Vertrages aus welchem Grund auch immer, ist RaiseNow (und jeder
Unterauftragnehmer) verpflichtet,
Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.
Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.
Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu verständigen.
Aktuell bestehen die nachfolgenden Unterauftragsverhältnisse im Zusammenhang mit der Auftragsverarbeitung:
Unterauftragnehmer können je nach Umfang der Leistungen entfallen.
Firma |
Adresse |
Leistung |
Adyen GmbH www.adyen.com |
Hackescher Markt 4 Gebäude 44 10178 Berlin Deutschland |
Payment Service Provider |
Amazon Web Services, Inc. aws.amazon.com/de |
Kalanderplatz 1 eine Zweigniederlassung von AMAZON WEB SERVICES EMEA SARL 38 AVENUE JOHN F. KENNEDY, VAT: CHE-430.551.382 MWST |
Server / Infrastruktur |
Datatrans AG www.datatrans.ch |
Kreuzbühlstrasse 26 8008 Zürich Schweiz |
Payment Service Provider |
Stripe Inc. www.stripe.com |
185 Berry Street, Suite 550 San Francisco, CA 94107 USA |
Payment Service Provider |
MNC AG www.mnc.ch |
Bahnhofplatz 17 8400 Winterthur Schweiz |
Payment Service Provider SMS Dienstleistungen |
Nine Internet Solutions AG www.nine.ch |
Albisriederstrasse 243a 8047 Zürich Schweiz |
Server / Infrastruktur für Peer-to-Peer and Employee Giving |
Rackspace International GmbH www.rackspace.com |
Pfingstweidstrasse 60 8005 Zürich Schweiz |
Server / Infrastruktur |
SEPAone www.sepaone.com |
Charlottenstrasse 2 10696 Berlin Deutschland |
Payment Service Provider |
TWINT AG www.twint.ch |
TWINT AG Stauffacherstrasse 41 CH-8004 Zurich |
Payment Service Provider |
PayPal www.paypal.com |
22-24 Boulevard Royal L-2449 Luxembourg Luxembourg |
Payment Service Provider |
Elastic |
Elasticsearch AS Postboks 539 1373 Asker, Norway |
Server / Infrastructure |
Atlassian |
Level 6, 341 George Street, Sydney, NSW 2000, Australia |
Server / Infrastructure |
Wallee |
Neuwiesenstrasse 15 CH-8400 Winterthur |
Payment Service Provider |
PostFinance Ltd |
PostFinance Ltd Contact Center Mingerstrasse 20 3030 Berne |
Payment Service Provider / Reconciliation |
Ingenico a worldline brand |
Worldline River Ouest 80 Quai Voltaire 95870 Bezons France |
Payment Service Provider |
84codes (RabbitMQ) |
Hälsingegatan 49 113 31 Stockholm Sweden |
Server / Infrastructure |
Twilio www.twilio.com |
EEA Headquarters 25-28 North Wall Quay Dublin 1, Irleand |
Two Factor Authentication RaiseNow Hub |
Der Auftragsverarbeiter sichert zu, dass er die nachfolgend beschriebenen Mindestanforderungen im Rahmen seines Datenschutzkonzeptes einhält. Es beschreibt die im Rahmen der Auftragsverarbeitung erforderlichen Maßnahmen beim Auftragsverarbeiter zum sicheren Umgang mit personenbezogenen Daten. Die Grundlage für dieses Datenschutz-Konzept bilden die EU-Datenschutzgrundverordnung DS-GVO und ggf. weitere von den interessierten Parteien geforderten Maßnahmen. Hierbei orientiert sich der Auftragsverarbeiter im Wesentlichen an den Vorgaben der Artikel 24, 25 und 32 DS-GVO.
Auf Anforderung weist der Auftragsverarbeiter die Einhaltung entsprechend nach.
Die personenbezogenen Daten sind ausschließlich auf Servern von Amazon mit Standort Frankfurt, auf Servern von Rackspace mit Standort London und auf Servern von nine (nine.ch) mit Standort Zürich. Amazon und Rackspace sind neben DSGVO-ready auch PCI-DSS zertifiziert.
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Auswertungen müssen pseudonymisiert werden, sofern der Personenbezug für das Ergebnis nicht zwingend erforderlich ist.
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 Buchstabe d DSGVO; Art. 25 Abs. 1 DSGVO)
Es muss ein Verfahren zur Überwachung des Datenschutzes im Unternehmen implementiert werden. Dieses muss die Verpflichtung der Beschäftigten auf das Datengeheimnis, die Schulung und Sensibilisierung der Beschäftigten und die regelmäßige Auditierung der Datenverarbeitungsverfahren beinhalten. Für Datenschutzverletzungen und die Wahrung der Betroffenenrechte muss ein durchgängiger Meldeprozess und Bearbeitungsprozess eingeführt sein. Dieser muss auch die Information des Auftraggebers beinhalten.
It seems like you've landed on a version of our website designed for another region. Would you like to see our site in:
Es sieht so aus, als hättest du unsere Website in einer Version aufgerufen, die für eine andere Region gedacht ist. Dann wechsle jetzt auf die lokale Seite für:
Il semble que vous ayez atterri sur une version de notre site destinée à une autre région. Voulez-vous voir notre site en :