Datenverarbeitungsvereinbarung
Präambel und Verhältnis zu den Servicebedingungen
Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der Servicebedingungen von Phoenix („AGB“) und aller anwendbaren Bestellformulare oder Leistungsbeschreibungen zwischen der Phoenix Technologies AG („Phoenix“, „Auftragsverarbeiter“) und dem im jeweiligen Bestellformular oder Leistungsverzeichnis genannten Kunden („Kunde“, „Verantwortlicher“) und unterliegt diesen. Großgeschriebene Begriffe, die hier verwendet, aber nicht definiert werden, haben die in den AGB angegebene Bedeutung oder, falls dort nicht definiert, die im Schweizerischen Datenschutzgesetz (DSG) und der EU-Datenschutz-Grundverordnung (DSGVO) festgelegte Bedeutung, soweit anwendbar. Zur Vermeidung von Missverständnissen gilt die in den AGB angegebene Rangfolge: Diese DPA regelt die jeweiligen Datenschutzverpflichtungen der Parteien für die Dienste; die AGB regeln alle anderen Angelegenheiten (einschließlich Gebühren, Leistungsumfang, Haftungsbeschränkungen und geltendes Recht).
1. Gegenstand, Zweck und Dauer
1.1 Gegenstand und Zweck. Phoenix verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung, Sicherung und Unterstützung der Dienste, wie in den Servicebedingungen und dem jeweiligen Bestellformular beschrieben, und streng in Übereinstimmung mit den dokumentierten Anweisungen des Kunden (wie in Abschnitt 3 näher beschrieben).
1.2 Dauer. Die Verarbeitung im Rahmen dieser DPA wird für die Dauer des Abonnements (einschließlich etwaiger Verlängerungen) und für einen angemessenen Zeitraum danach fortgesetzt, um die Rückgabe oder Löschung gemäß Abschnitt 7 zu bewirken und gesetzlichen Verpflichtungen nachzukommen.
2. Kategorien personenbezogener Daten und betroffene Personen
2.1 Kategorien. Die Art der verarbeiteten personenbezogenen Daten hängt von der Nutzung der Dienste durch den Kunden ab und kann Kennungen (z. B. Namen, geschäftliche E-Mails), Konto- und Nutzungsdaten, Support-Kommunikation, Eingabeaufforderungen und Modellausgaben umfassen, sofern sich diese Daten auf eine identifizierte oder identifizierbare natürliche Person beziehen.
2.2 Betroffene Personen. Zu den betroffenen Personen können Mitarbeiter, Auftragnehmer, Berater und Endbenutzer des Kunden gehören.
2.3 Besondere Kategorien. Der Kunde wird keine besonderen Kategorien personenbezogener Daten (z. B. Gesundheits-, biometrische oder behördliche Ausweisnummern) übermitteln, es sei denn, dies ist in einem Bestellformular ausdrücklich gestattet und unterliegt dem DPA und den geltenden Gesetzen.
3. Dokumentierte Anweisungen und Verarbeitungsbeschränkungen
3.1 Anweisungen. Phoenix verarbeitet personenbezogene Daten nur auf dokumentierte, rechtmäßige Anweisungen des Kunden, einschließlich der in den Nutzungsbedingungen, den geltenden Bestellformularen und dieser Datenverarbeitungsvereinbarung festgelegten Anweisungen. Ist Phoenix nach geltendem Recht verpflichtet, personenbezogene Daten über die Anweisungen des Kunden hinaus zu verarbeiten, wird Phoenix den Kunden (soweit gesetzlich zulässig) vor einer solchen Verarbeitung informieren.
3.2 Schulung und Produktverbesserung. Sofern nicht ausdrücklich schriftlich vereinbart (z. B. über einen Unteranhang), verwendet Phoenix Kundeninhalte, einschließlich personenbezogener Daten, nicht zum Trainieren, Optimieren oder anderweitigen Verbessern von Modellen zum Nutzen von Phoenix oder Dritten. Kundeninhalte schließen aggregierte, anonymisierte Nutzungsmetriken und Leistungsdaten aus, die den Kunden oder seine Benutzer nicht angemessen identifizieren können.
3.3 Keine unabhängige Bestimmung. Phoenix bestimmt weder die Zwecke noch die Mittel der Verarbeitung und kombiniert personenbezogene Daten des Kunden nicht mit Daten, die von anderen Kunden erhalten wurden, es sei denn, dies ist für die Bereitstellung und Sicherheit der Dienste erforderlich.
4. Vertraulichkeit und Personal
4.1 Vertraulichkeit. Phoenix stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, an entsprechende Vertraulichkeitsverpflichtungen gebunden sind und eine ihrer Rolle entsprechende Schulung zum Datenschutz erhalten.
4.2 Zugriffskontrolle. Der Zugriff auf personenbezogene Daten erfolgt rollenbasiert und ist auf das zur Erbringung der Dienste erforderliche Minimum beschränkt.
4.3 Phoenix kann organisatorische Maßnahmen ohne Zustimmung des Kunden aktualisieren, sofern dadurch der Gesamtschutz nicht beeinträchtigt wird.
5. Sicherheitsmaßnahmen
5.1 ISMS & Kontrollen. Phoenix unterhält ein ISO 27001-konformes Informationssicherheits-Managementsystem (ISMS) und implementiert dem Risiko angemessene technische und organisatorische Maßnahmen (TOMs), darunter Verschlüsselung während der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), logische Trennung, Zugriffskontrollen, Protokollierung und Überwachung. Auf Wunsch des Kunden stellt Phoenix vertrauliche Computerfunktionen zum Schutz der in attestierten Enklaven verwendeten Daten bereit und unterstützt clientgesteuertes Schlüsselmanagement (BYOK/KYOK).
5.2 Weiterentwicklung. Phoenix kann TOMs aktualisieren, um die Sicherheit aufrechtzuerhalten oder zu verbessern; derartige Änderungen beeinträchtigen das allgemeine Schutzniveau nicht wesentlich. Phoenix kann ohne vorherige Ankündigung gegenüber dem Kunden erweiterte Sicherheitsmaßnahmen ergreifen.
5.3 Verweis auf die Servicebedingungen. Weitere Sicherheitsdetails und betriebliche Verpflichtungen sind in den Servicebedingungen und der darin referenzierten Sicherheitsdokumentation festgelegt.
6. Unterauftragsverarbeiter
6.1 Ermächtigung. Der Kunde erteilt Phoenix eine allgemeine schriftliche Ermächtigung zur Beauftragung von Unterauftragsverarbeitern zur Unterstützung der Dienste. Phoenix wird den Unterauftragsverarbeitern Datenschutzverpflichtungen auferlegen, die mindestens den in dieser Datenverarbeitungsvereinbarung festgelegten Datenschutzbestimmungen entsprechen.
6.2 Benachrichtigung und Widerspruch. Phoenix benachrichtigt den Kunden über wesentliche Änderungen seiner Unterauftragsverarbeiterliste (z. B. über ein Portal). Der Kunde kann innerhalb von zwanzig (20) Kalendertagen nach Benachrichtigung aus triftigen Gründen, insbesondere aus datenschutzrechtlichen Gründen, Widerspruch einlegen. Wird innerhalb von dreißig (30) Tagen keine einvernehmliche Lösung gefunden, kann der Kunde den betroffenen Service mit einer Frist von dreißig (30) Tagen kündigen. Phoenix haftet nicht für Kosten oder Schäden, die aus einer solchen Kündigung entstehen.
6.3 Verantwortung. Phoenix bleibt für die Leistung der Unterauftragsverarbeiter verantwortlich, soweit diese personenbezogene Daten für Phoenix verarbeiten.
7. Rückgabe oder Löschung personenbezogener Daten
7.1 Keine einseitige Löschung. Phoenix veranlasst im Normalfall keine einseitige Löschung personenbezogener Daten des Kunden.
7.2 Rückgabe/Löschung bei Beendigung. Auf Anfrage oder bei Beendigung/Ablauf der jeweiligen Dienste gibt Phoenix personenbezogene Daten nach Wahl des Kunden und vorbehaltlich des geltenden Rechts entweder an den Kunden zurück oder löscht sie sicher. Phoenix bestätigt die Löschung auf Anfrage. Sofern eine weitere Aufbewahrung gesetzlich vorgeschrieben ist, isoliert Phoenix die Daten und schützt sie vor weiterer Verarbeitung. Der Kunde trägt die Kosten für außerordentliche Datenrückgabeanfragen, die über standardmäßige automatisierte Prozesse hinausgehen.
7.3 Aufbewahrungsfristen und sichere Entsorgung. Phoenix hält sich an dokumentierte Aufbewahrungs- und Entsorgungsfristen im Einklang mit gesetzlichen, behördlichen und geschäftlichen Anforderungen. Aufzeichnungen, deren Aufbewahrungsfrist abgelaufen ist, werden mit sicheren Methoden entsorgt, um eine unwiederbringliche Vernichtung zu gewährleisten.
7.4 Flexibilität. Phoenix berücksichtigt angemessene, kundenspezifische Aufbewahrungs- oder Entsorgungsanforderungen, die in einem Bestellformular oder einem Unteranhang dokumentiert sind.
8. Anfragen betroffener Personen
8.1 Unterstützung. Unter Berücksichtigung der Art der Verarbeitung wird Phoenix den Kunden durch geeignete technische und organisatorische Maßnahmen soweit möglich dabei unterstützen, seiner Verpflichtung nachzukommen, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß geltendem Recht zu antworten.
8.2 Weiterleitung. Wenn Phoenix eine Anfrage direkt von einer betroffenen Person erhält und den betreffenden Kunden identifizieren kann, leitet Phoenix die Anfrage unverzüglich an den Kunden weiter und antwortet auf die Anfrage nur auf dokumentierte Anweisung des Kunden oder wie gesetzlich vorgeschrieben.
9. Sicherheitsvorfälle
9.1 Benachrichtigung. Phoenix benachrichtigt den Kunden innerhalb von 48 Stunden nach Bekanntwerden einer Datenschutzverletzung, die personenbezogene Daten des Kunden betrifft, und stellt ihm die zum jeweiligen Zeitpunkt verfügbaren Informationen zur Verfügung, um ihn bei der Erfüllung seiner Meldepflichten zu unterstützen. Phoenix stellt Updates bereit, sobald weitere Informationen verfügbar sind.
9.2 Schadensbegrenzung. Phoenix wird unverzüglich angemessene Schritte unternehmen, um den Vorfall einzudämmen, zu untersuchen und zu beheben.
10. Internationale Verarbeitung und Datenübertragung
10.1 Nur in der Schweiz. Die Verarbeitung personenbezogener Kundendaten im Rahmen dieser DPA erfolgt ausschließlich in der Schweiz. Phoenix überträgt personenbezogene Kundendaten nicht ohne vorherige schriftliche Zustimmung außerhalb der Schweiz.
10.2 Schutzmaßnahmen, sofern aktiviert. Vereinbaren die Parteien später eine Datenverarbeitung außerhalb der Schweiz, wird Phoenix geeignete Schutzmaßnahmen für die Datenübermittlung ergreifen, wie z. B. die für die Schweiz angepassten EU-Standardvertragsklauseln (soweit anwendbar) und alle erforderlichen ergänzenden Maßnahmen. Veranlasst der Kunde eine Datenübermittlung außerhalb der Schweiz, haftet Phoenix für daraus resultierende Compliance-Verstöße.
11. Datenschutz-Folgenabschätzung, Aufzeichnungen und behördliche Zusammenarbeit
11.1 Unterstützung bei Datenschutz-Folgenabschätzungen. Die Prozesse und Kontrollen von Phoenix entsprechen der DSGVO und ISO 27001. Phoenix wird dem Kunden im Rahmen angemessener Ressourcen und Betriebsgrenzen angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden bieten, soweit diese die Verarbeitung durch Phoenix betreffen.
11.2 Aufzeichnungen. Jede Partei ist für die Führung der Aufzeichnungen über die Verarbeitungstätigkeiten verantwortlich, die für ihre jeweilige Rolle gesetzlich vorgeschrieben sind.
11.3 Zusammenarbeit. Phoenix wird auf rechtmäßige Anfrage hin in Bezug auf die Dienste mit den zuständigen Aufsichtsbehörden zusammenarbeiten.
12. Prüfungen und Informationen
12.1 Berichte und Zertifizierungen. Auf Anfrage und unter Wahrung der Vertraulichkeit stellt Phoenix Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DPA erforderlich sind. Dazu können ISO 27001-Zertifikate oder Bewertungszusammenfassungen Dritter gehören.
12.2 Audit. Ist die Dokumentation unzureichend, kann der Kunde höchstens einmal alle zwölf (12) Monate oder häufiger nach einer wesentlichen Datenschutzverletzung eine Vor-Ort- oder Remote-Auditierung der Verarbeitung personenbezogener Kundendaten durch Phoenix durchführen lassen. Voraussetzung hierfür ist eine schriftliche Ankündigung mit einer Frist von mindestens fünfzehn (15) Werktagen, ein angemessener Umfang und die Einhaltung der Sicherheitsanforderungen. Audits dürfen den Betrieb nicht unangemessen stören und dürfen nicht von einem direkten Konkurrenten durchgeführt werden. Jede Partei trägt ihre eigenen Kosten; Phoenix kann für über die Standardunterstützung hinausgehenden Support angemessene Gebühren erheben.
13. Unteranhänge und maßgeschneiderte Bestimmungen
13.1 Unteranhänge. Kundenspezifische Bedingungen (z. B. maßgeschneiderte Aufbewahrung, zusätzliche Schwärzung, Telemetrie-Senken oder Übertragungsmechanismen) können in Unteranhängen dokumentiert werden. Steht ein Unteranhang im Widerspruch zu dieser DPA, ist für den widersprüchlichen Gegenstand der aktuellste Unteranhang maßgeblich.
14. Haftung; Rangfolge
14.1 Haftung. Die Haftungsbeschränkungen und -ausschlüsse in den Nutzungsbedingungen gelten für diese DPA und alle hierunter durchgeführten Verarbeitungen. Diese DPA erweitert die Haftung von Phoenix nicht über die in den Nutzungsbedingungen genannten hinaus.
14.2 Vorrang. Bei datenschutzrechtlichen Themen hat diese DPA im Falle eines direkten Konflikts Vorrang vor den Servicebedingungen. In allen anderen Angelegenheiten gelten die Servicebedingungen.
15. Geltendes Recht, Gerichtsstand
15.1 Geltendes Recht. Diese DPA unterliegt dem materiellen Recht der Schweiz (unter Ausschluss der Kollisionsnormen) und wird entsprechend ausgelegt.
15.2 Gerichtsstand. Streitigkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben, werden ausschließlich an die für Basel-Stadt, Schweiz, zuständigen Gerichte verwiesen.
Anhang A – Einzelheiten der Verarbeitung
A1. Art und Zweck: Bereitstellung, Sicherheit und Support der Dienste gemäß den Nutzungsbedingungen (einschließlich KI-Inferenz, Modellhosting und zugehöriger Plattformfunktionen).
A2. Kategorien personenbezogener Daten: Wie vom Kunden über die Dienste bereitgestellt; typischerweise Identifikationsdaten (Name, geschäftliche E-Mail), Nutzungs- und Telemetriemetadaten, Eingabeaufforderungen/Eingaben und Ausgaben, sofern sie personenbezogene Daten enthalten.
A3. Kategorien betroffener Personen: Kundenpersonal und Endbenutzer.
A4. Aufbewahrung: Wie in Abschnitt 7 und in den entsprechenden Bestellformularen/Unteranhängen beschrieben; in allen Fällen im Einklang mit den Aufbewahrungsplänen von Phoenix.
Anhang B – Technische und organisatorische Maßnahmen (Zusammenfassung)
B1. Governance: ISO 27001-konformes ISMS; Richtlinien für Zugriffskontrolle, Asset-Management, Schwachstellenmanagement, Protokollierung/Überwachung und Vorfallreaktion.
B2. Zugriffskontrollen: Rollenbasierter Zugriff, geringste Berechtigung, MFA für Administratoren, Schlüssel- und Geheimnisverwaltung, Sitzungsverwaltung und regelmäßige Zugriffsüberprüfungen.
B3. Verschlüsselung: TLS 1.3 für Daten während der Übertragung; AES‑256 für Daten im Ruhezustand; HSM‑gestützte Schlüssel mit BYOK/KYOK‑Optionen; Richtlinien zur Schlüsselrotation.
B4. Vertrauliches Computing (sofern aktiviert): Attestierte Enklaven zum Schutz der verwendeten Daten und Modellgewichte; Nullzugriffsvorgänge; keine externe geheime Einschleusung.
B5. Infrastruktursicherheit: Segmentierung, Härtung, Basiskonfiguration, Patch-Kadenz, Schwachstellenscans und Anti-Malware, sofern zutreffend.
B6. Betriebssicherheit: Änderungsmanagement, Backups (verschlüsselt), Notfallwiederherstellungsplanung, Verfügbarkeitskontrollen und Lieferantenmanagement.
B7. Protokollierung und Überwachung: Zentralisierte Protokollierung, Überwachung von Sicherheitsereignissen und Warnmeldungen; Aufbewahrung gemäß Richtlinie.
B8. Personalsicherheit: Vertraulichkeitsverpflichtungen, Schulungen zum Sicherheitsbewusstsein und Onboarding-/Offboarding-Verfahren.
B9. Kundenkontrollen: Vom Kunden konfigurierbare Aufbewahrung, Protokollierungseinstellungen und Schlüsselverwaltung wie in den Bestellformularen/Unteranhängen dargelegt.
Hinweis: TOMs unterliegen einer kontinuierlichen Verbesserung und können aktualisiert werden, sofern das Schutzniveau nicht verringert wird.
Anhang C – Unterauftragsverarbeiter
Phoenix führt eine aktuelle Liste der autorisierten Unterauftragsverarbeiter für die Dienste, die über das Kundenportal oder auf Anfrage verfügbar ist. Benachrichtigungen über wesentliche Änderungen erfolgen gemäß Abschnitt 6.2.
Anhang D – Kontakte und Hinweise
Datenschutzbeauftragter des Kunden / Ansprechpartner für Datenschutzfragen: Wie im entsprechenden Bestellformular angegeben.
Phoenix Datenschutzkontakt: legal@phoenix-technologies.ch