Zusatz zur Datenverarbeitung

Diese Zusatzvereinbarung zur Datenbearbeitung ("Zusatzvereinbarung") ergänzt den zwischen Ihnen als Kunde (KUNDE) und der Altoo AG (ALTOO) als Anbieterin abgeschlossenen Dienstleistungsvertrag. Im Falle von Widersprüchen oder Unstimmigkeiten gehen die Bestimmungen dieses Nachtrags den Bestimmungen des Vertrags vor.

 

1. Begriffsbestimmungen

    • In dieser Zusatzvereinbarung haben die folgenden Begriffe die nachstehend definierte Bedeutung:
      • "Betroffene Person" bedeutet natürliche oder physische Person, deren personenbezogene Daten verarbeitet werden;
      • "Datenschutzgesetz" bezeichnet die Gesetze und Vorschriften über den Schutz der Privatsphäre natürlicher Personen, soweit diese Gesetze und Vorschriften auf die Verarbeitung personenbezogener Daten im Zusammenhang mit diesem Abkommen anwendbar sind, insbesondere die Datenschutzgesetze der Schweiz, der EU und der EU-Mitgliedstaaten sowie vergleichbare Massnahmen;
      • "Persönliche Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
      • "Sensible Daten" sind personenbezogene Daten, die Aufschluss über Rasse oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheit, sexuelle Ausrichtung usw. geben;
      • "Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, den Abgleich oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten;
      • "Datenverantwortlicher" ist die Stelle, die die personenbezogenen Daten offenlegt, d.h. der KUNDE;
      • "Datenverarbeiter" bezeichnet die Stelle, die die personenbezogenen Daten erhält, d. h. ALTOO;
      • "Datenschutz-Folgenabschätzung" bedeutet eine Analyse der Art und Weise, wie personenbezogene Daten erhoben, verwendet, weitergegeben, geschützt und gepflegt werden.

 

2. Gegenstand und Dauer der Verarbeitung

    • ALTOO, die als Datenverarbeiter im Namen des KUNDEN (Datenverantwortlicher) handelt, sammelt, verwaltet und verarbeitet personenbezogene Daten ausschließlich für die Zwecke des Vertrags oder gemäß anderer schriftlicher Anweisungen des KUNDEN. Dabei beachten ALTOO und der KUNDE die Datenschutz- und Sicherheitsanforderungen, die in diesem Nachtrag dargelegt sind.
    • Sofern nichts anderes schriftlich vereinbart wurde, entspricht die Dauer der Verarbeitung der Dauer des Vertrags.

 

3. Art und Zweck der Verarbeitung

    • ALTOO bietet Unternehmen Softwareanwendungen und damit verbundene Dienstleistungen an, insbesondere die ALTOO WEALTH PLATFORM, eine konfigurierbare SaaS-Plattform zur Konsolidierung von Vermögensdaten, die in Form von als Module bezeichneten Dienstleistungen gebündelt und angeboten wird. Die Art und der Zweck der Verarbeitung sind in der Vereinbarung und in den jeweiligen Leistungsbeschreibungen näher definiert.

 

4. Art der personenbezogenen Daten und Kategorien der betroffenen Personen

    • Die Kategorie der betroffenen Personen, die erhoben, verarbeitet und gespeichert werden, sind:
      • KUNDE (wenn eine natürliche Person)
      • Mitarbeiter des KUNDEN
      • Klienten des KUNDEN
      • Potenzielle Klienten des KUNDEN
      • Mitarbeiter von Klienten des KUNDEN
      • Mitarbeiter von potenziellen Klienten des KUNDEN
      • Bevollmächtigte Vertreter
      • Kontaktpersonen
    • Die von ALTOO verarbeiteten personenbezogenen Daten sind:
      • Persönliche Stammdaten (Persönliche Schlüsseldaten)
      • Kontatdaten
      • Vertragsdaten (Vertrags-/Rechtsverhältnis, Vertrags- oder Produktinteresse)
      • Kunden Historie
      • Finanzielle Daten
      • Abrechnungs- und Zahlungsdaten

 

5. Datenschutz

    • Der KUNDE ist in seiner Eigenschaft als Data Controller:
      • Betroffene Personen über ihre Rechte informieren;
      • Information der betroffenen Personen über die im Rahmen der von ALTOO erbrachten Dienstleistungen erhobenen personenbezogenen Daten;
      • Wenn es nach geltendem Datenschutzrecht erforderlich ist, stellen Sie sicher, dass es eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt, und wenn die Rechtsgrundlage die Zustimmung der betroffenen Personen ist, sammeln und protokollieren Sie die Zustimmung der betroffenen Personen zur Erhebung, Speicherung und Verarbeitung ihrer personenbezogenen Daten;
      • Stellen Sie sicher, dass keine sensiblen Daten in ALTOO Services hochgeladen werden;
      • Der KUNDE garantiert gegenüber ALTOO, dass alle an ALTOO weitergegebenen personenbezogenen Daten auf rechtmäßige Weise erhoben wurden und nicht gegen die Rechte und Freiheiten der betroffenen Person und/oder Dritter verstoßen.
    • ALTOO wird in seiner Eigenschaft als Datenverarbeiter:
      • alle wirtschaftlich vertretbaren Anstrengungen zu unternehmen, um den KUNDEN bei der Einhaltung der Datenschutzgesetze zu unterstützen, einschließlich, aber nicht beschränkt auf die Vorbereitung notwendiger Mitteilungen, Registrierungen und Dokumentationen, die der KUNDE vernünftigerweise vornehmen oder abschließen muss, um die Datenschutzgesetze im Zusammenhang mit diesem Vertrag einzuhalten;
      • die personenbezogenen Daten nur in Übereinstimmung mit den dokumentierten schriftlichen Anweisungen des KUNDEN zu verarbeiten, bei denen es sich um spezifische Anweisungen oder allgemein gültige Daueranweisungen in Bezug auf die Erfüllung der Verpflichtungen von ALTOO aus dem Vertrag handeln kann, es sei denn, das geltende Recht, dem ALTOO unterliegt, verlangt etwas anderes. In einem solchen Fall informiert ALTOO den KUNDEN über diese gesetzliche Anforderung, bevor die erforderliche Verarbeitung durchgeführt wird, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses;
      • Ergreift Maßnahmen, um zu gewährleisten:
        • dass alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des KUNDEN verarbeiten, es sei denn, ALTOO ist nach geltendem Recht dazu verpflichtet; und
        • dass alle Mitarbeiter, die Zugang zu persönlichen Daten haben, zuverlässig sind und sich zur Vertraulichkeit verpflichtet haben;
      • Persönliche Daten nicht ohne die ausdrückliche schriftliche Zustimmung des KUNDEN an eine andere Stelle (einschließlich eines Unterauftragnehmers) weiterzugeben;
      • Wir übermitteln keine personenbezogenen Daten aus dem Europäischen Wirtschaftsraum oder in Bezug auf Einwohner des Europäischen Wirtschaftsraums an einen Ort außerhalb der Schweiz oder des Europäischen Wirtschaftsraums, es sei denn:
        • der KUNDE hat einer solchen Übermittlung zugestimmt und eine solche Übermittlung entspricht den Anforderungen für internationale Datenübermittlungen gemäß den geltenden Datenschutzgesetzen und wird dies auch weiterhin tun, oder;
        • wenn die besonderen Bedingungen von Artikel 44 ff. DSGVO und/oder Abschnitt 3 des schweizerischen DSG (und/oder ähnliche Bestimmungen in anderen anwendbaren Datenschutzgesetzen) erfüllt sind.
      • Beauftragung von Unterauftragnehmern (zusätzliche Auftragsverarbeiter) nur nach vorheriger ausdrücklicher oder allgemeiner schriftlicher oder dokumentierter Zustimmung des KUNDEN.
        • Weitere Auslagerungen an Unterauftragnehmer oder der Wechsel bestehender Unterauftragnehmer sind zulässig, wenn (1) ALTOO dem KUNDEN eine solche Auslagerung an einen Unterauftragnehmer schriftlich oder in Textform (einschließlich eines Aushangs auf der ALTOO WEALTH PLATFORM) mit angemessenem Vorlauf vorlegt; (2) der KUNDE der geplanten Auslagerung bis zum Zeitpunkt der Übergabe der Daten an ALTOO nicht schriftlich oder in Textform widersprochen hat; und (3) die Unterauftragsvergabe auf einer vertraglichen Vereinbarung in Übereinstimmung mit den geltenden Datenschutzgesetzen beruht.
      • den KUNDEN unverzüglich zu benachrichtigen, wenn ALTOO einen Antrag einer betroffenen Person auf Zugang zu personenbezogenen Daten oder auf Ausübung anderer anwendbarer Rechte der betroffenen Person erhält, und den KUNDEN im Rahmen des Möglichen bei der Beantwortung einer solchen Beschwerde oder eines solchen Antrags zu unterstützen, einschließlich und ohne Einschränkung:
        • wenn der KUNDE zustimmt, indem er der betroffenen Person Zugang zu ihren persönlichen Daten gewährt oder die Korrektur, Löschung oder Sperrung dieser persönlichen Daten innerhalb der vom geltenden Recht festgelegten Fristen verlangt;
        • indem er dem KUNDEN alle angeforderten Informationen in Bezug auf die Verarbeitung personenbezogener Daten gemäß diesem Nachtrag zur Verfügung stellt;
        • indem Sie dem KUNDEN alle persönlichen Daten, die ALTOO in Bezug auf eine betroffene Person besitzt, bei Bedarf in einem allgemein verwendeten, strukturierten, elektronischen und maschinenlesbaren Format zur Verfügung stellen;
      • Wenn der KUNDE aufgrund von Datenschutzgesetzen verpflichtet ist, eine Datenschutz-Folgenabschätzung in Bezug auf die von ALTOO gemäß dieser Vereinbarung erbrachten Dienste durchzuführen, wird ALTOO den KUNDEN bei der Durchführung einer solchen Abschätzung in angemessener Weise unterstützen und ihm die erforderlichen Informationen zur Verfügung stellen;
      • dem KUNDEN (oder den ordnungsgemäß bevollmächtigten Vertretern oder einer Aufsichtsbehörde, der der KUNDE unterliegt) zu gestatten, die von ALTOO im Rahmen dieser Vereinbarung durchgeführten Verarbeitungsaktivitäten (und/oder die seiner Beauftragten oder Unterauftragnehmer, denen der KUNDE die Offenlegung der personenbezogenen Daten gestattet hat) zu inspizieren und zu prüfen, und allen angemessenen Anfragen oder Anweisungen des KUNDEN nachzukommen, damit dieser überprüfen und/oder sicherstellen kann, dass ALTOO die Verpflichtungen aus dieser Vereinbarung in vollem Umfang einhält;
        • ALTOO kann eine angemessene Entschädigung für alle Kosten verlangen, die bei einer solchen Inspektion oder Prüfung anfallen können.
      • Informieren Sie den KUNDEN unverzüglich, wenn nach Ansicht von ALTOO eine der Anweisungen des KUNDEN gegen die Bestimmungen der geltenden Datenschutzgesetze verstößt;
      • auf Wunsch des KUNDEN jederzeit eine Kopie der persönlichen Daten zur Verfügung zu stellen oder (nach Wahl des KUNDEN) diese zu vernichten; und;
      • Nach Beendigung der Bereitstellung von Diensten durch ALTOO, die sich auf personenbezogene Daten beziehen, löschen Sie alle personenbezogenen Daten, die sich auf den KUNDEN beziehen, und löschen Sie alle vorhandenen Kopien der personenbezogenen Daten, es sei denn, das geltende Recht verpflichtet ALTOO, Kopien dieser Daten aufzubew

 

6. Sicherheit

    • Der KUNDE ist für die ordnungsgemäße Erstellung und Verwaltung seiner Benutzerkonten verantwortlich, einschließlich der Sperrung von Benutzerkonten und der Überprüfung von Konten. Der KUNDE muss vor allem sicherstellen, dass:
      • Zugang und Berechtigungen werden nur bei Bedarf gewährt;
      • Jedem Benutzer wird ein eindeutiges Konto zugewiesen;
      • Die Konten werden regelmäßig überprüft, um ihre Relevanz zu bestätigen;
      • Es werden keine generischen Konten verwendet;
      • Die Passwörter weisen eine angemessene Komplexität auf, die von der ALTOO Wealth Platform erzwungen wird.
      • Verdächtige kompromittierte Konten werden sofort deaktiviert.
    • ALTOO kann
      • Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit und des Schutzes personenbezogener Daten unter Berücksichtigung der Art und Sensibilität der zu schützenden Informationen, des mit der Verarbeitung verbundenen Risikos, des Stands der Technik und der Kosten für die Umsetzung, in Übereinstimmung mit den geltenden Datenschutzgesetzen. Diese Maßnahmen umfassen angemessene physische, elektronische und verfahrenstechnische Sicherheitsvorkehrungen, um (1) die Sicherheit und Vertraulichkeit personenbezogener Daten zu gewährleisten, (2) vor Bedrohungen oder Gefahren für die Sicherheit oder Integrität personenbezogener Daten zu schützen und (3) den unbefugten Zugriff auf personenbezogene Daten oder deren Verwendung zu verhindern, ohne dass dadurch andere Verpflichtungen aus diesem Vertrag eingeschränkt werden;
      • Aufrechterhaltung der Sicherheitsmaßnahmen, die in den technischen und organisatorischen Maßnahmen in Anhang 1 zu diesem Addendum aufgeführt sind.
      • Benachrichtigung des KUNDEN so schnell wie möglich, wenn er weiß, feststellt oder vernünftigerweise vermutet, dass (1) ein unbefugter Zugang zu personenbezogenen Daten oder eine unbefugte Kenntniserlangung von personenbezogenen Daten stattgefunden hat, die die Sicherheit, Vertraulichkeit oder Integrität der personenbezogenen Daten gefährdet, oder oder (3) ein unbefugtes Eindringen in Systeme, die personenbezogene Daten enthalten, das zu einem unbefugten Zugriff oder einer unbefugten Nutzung führt ("Datensicherheitsverletzung");
      • im Falle einer Verletzung der Datensicherheit (1) die Verletzung der Datensicherheit unverzüglich zu untersuchen, zu korrigieren, abzumildern, zu beheben und anderweitig zu behandeln, insbesondere durch die Identifizierung der von der Verletzung der Datensicherheit betroffenen personenbezogenen Daten und die Ergreifung ausreichender Maßnahmen, um die Fortsetzung und das erneute Auftreten der Verletzung der Datensicherheit zu verhindern; und (2) die Bereitstellung von Informationen und Unterstützung, die der KUNDE benötigt, um die Verletzung der Datensicherheit zu bewerten und, falls zutreffend, rechtzeitige Mitteilungen über die Verletzung der Datensicherheit zu machen und alle Verpflichtungen zur Bereitstellung von Informationen über die Verletzung der Datensicherheit an die zuständigen Aufsichtsbehörden zu erfüllen.

 

ANHANG 1 - ALTOO AG - TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

 

(A) Allgemeine Bestimmungen

Dieser Anhang beschreibt die technischen und organisatorischen Maßnahmen, die die Altoo AG ergreift, um die Vertraulichkeit, Integrität und vertragsgemäße Verfügbarkeit von personenbezogenen Daten zu schützen.

 

(B) Technische und organisatorische Sicherheitsmaßnahmen

 
1. Vertraulichkeit
    • Zugangskontrolle
      • "Unbefugten Personen muss der (physische) Zugang zu Datenverarbeitungsanlagen, in denen Kundendaten (einschließlich personenbezogener Daten) verarbeitet oder genutzt werden, verwehrt werden."
      • Eingeführte Maßnahmen:
        • Daten-Zentrum (zertifiziert): Personalschleuse mit Ausweis, PIN und Fingerabdruck; Videoüberwachung; Zutrittsprotokollierung; regelmäßige Überprüfung der dauerhaften Zutrittsberechtigung.
    • Nutzerkontrolle
      • "Datenverarbeitungssysteme müssen vor der Nutzung durch Unbefugte geschützt werden."
      • Eingeführte Maßnahmen:
        • Online-Zugang: Multi-Faktor-Anmeldung (Benutzername, pw, 2fa, Client-Zertifikat, ...)
        • Regelmäßige Überprüfung der autorisierten Benutzer
    • Zugriffskontrolle und Speicherkontrolle
      • "Es muss sichergestellt werden, dass die zur Nutzung eines Datenverarbeitungssystems Berechtigten nur auf die Daten zugreifen können, die für die Erfüllung ihrer Aufgaben erforderlich sind (Need-to-know) und ihrer Zugriffsberechtigung unterliegen, und dass Kundendaten (einschließlich personenbezogener Daten) während der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und auch während der Nutzung und nach der Speicherung.
      • Eingeführte Maßnahmen:
        • Berechtigungsdifferenzierung (Profile, Rollen, Transaktionen und Objekte)
        • Regelmäßige Überprüfung der autorisierten Benutzer und ihrer Rollen
        • Keine "gemeinsame Nutzung von Konten" (mehrere Personen verwenden ein Konto) / eindeutige "Benutzer-ID" (Benutzerzuweisung)
 
2. Integrität
    • Übertragungskontrolle (Transportkontrolle, Datenträgerkontrolle und Offenlegungskontrolle)
      • "Es ist sicherzustellen, dass personenbezogene Daten während der elektronischen Übermittlung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass es möglich ist, zu überprüfen und festzustellen, an welchen Stellen eine Übermittlung personenbezogener Daten durch Datenübertragungseinrichtungen erfolgt."
      • Eingeführte Maßnahmen:
        • Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network)
        • Protokollierung Elektronische Unterschrift
        • Verschlüsselte Speicherung Protokollierung Transportsicherheit (HTTPS)
    • Eingabesteuerung und Protokollierung
      • "Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder gelöscht worden
      • Eingeführte Maßnahmen:
        • Protokollierung
 
3. Verfügbarkeit und Belastbarkeit
    • Verfügbarkeitskontrolle und Wiederherstellung
      • "Gewährleistung des Schutzes von Kundendaten (einschließlich personenbezogener Daten) vor zufälliger oder absichtlicher Zerstörung oder vor Verlust.
      • Eine schnelle Wiederherstellung muss sichergestellt werden.
      • Eingeführte Maßnahmen:
        • Backup-Verfahren, Redundanz (Ausfallsicherheit) von Datenspeichern und IT-Systemen, unterbrechungsfreie Stromversorgung (USV), separater Speicher, Virenschutz / Firewall, Notfallplan (Disaster Recovery Plan)
    • Widerstandsfähigkeit und Verlässlichkeit
      • "Es ist sicherzustellen, dass die IT-Systeme auch bei Störungen und Fehlern funktionsfähig bleiben. Darüber hinaus ist sicherzustellen, dass Störungen der IT-Systeme intern gemeldet werden.
      • Eingeführte Maßnahmen:
        • IT-Systeme sind so konzipiert, dass wesentliche Funktionen auch im Falle von Störungen und Fehlern ausführbar bleiben (Redundanz).
        • Anlagen werden so geplant und umgesetzt, dass eine risikoadäquate Ausfallsicherheit besteht (Redundanz/Resilienz).
        • Die Prozesse für die Meldung von Störungen an ein Helpdesk sind implementiert (Monitoring mit Alarmierung).
 
4. Verfahren für die regelmäßige Überprüfung, Bewertung und Evaluierung
    • Datenschutz-Management
      • Eingeführte Maßnahmen:
        • Regelmäßig geprüftes Informationssicherheits-Management-System (ISMS)
        • Dok Information Security Guidance (VR-genehmigte Spezifikation der zu schützenden Daten)
        • Informationssicherheitsrichtlinie (Verhaltensanweisungen für Mitarbeiter in Bezug auf die Datensicherheit)
    • Incident Response Management (Aufdeckung und Abschwächung oder Beseitigung von Datenschutzverletzungen)
      • Eingeführte Maßnahmen:
        • Die Geschäftsleitung muss informiert werden (in Übereinstimmung mit der Informationssicherheitsrichtlinie von Altoo), die dann je nach Situation weitere Maßnahmen anordnet.
    • Datenschutzfreundliche Einstellungen
      • Eingeführte Maßnahmen:
        • Berechtigungsprofile anfangs restriktiv und regelmäßig überprüft
    • Auftragskontrolle
      • "Keine Auftragsdatenverarbeitung oder Verarbeitung im Unterauftrag ohne entsprechende Anweisungen des Kunden."
      • Eingeführte Maßnahmen:
        • Klare Vertragsgestaltung
        • Schriftliche Auftragsvergabe

 

WIE WIR DIESEN NACHTRAG ZUR DATENVERARBEITUNG ÄNDERN KÖNNEN

Wir können dieses Addendum zur Datenverarbeitung jederzeit ändern, insbesondere wenn wir unsere Datenverarbeitungspraktiken ändern oder wenn neue Rechtsvorschriften anwendbar werden. Es gilt immer die auf unserer Website bereitgestellte Version.

Dieser Nachtrag zur Datenverarbeitung ist ausschließlich in englischer Sprache abgefasst, die in jeder Hinsicht maßgeblich ist. Alle Fassungen dieses Nachtrags in einer anderen Sprache dienen lediglich der Information.

 

Letzte Aktualisierung: 13.09.2023

Linkes Menü-Symbol