Datenverarbeitungsvereinbarung
Präambel und Verhältnis zu den Servicebedingungen
Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der Servicebedingungen von Phoenix („AGB“) und unterliegt diesen sowie allen anwendbaren Bestellformularen oder Leistungsbeschreibungen zwischen der Phoenix Technologies AG („Phoenix“, „Auftragsverarbeiter“) und dem im jeweiligen Bestellformular oder Leistungsverzeichnis genannten Kunden („Kunde“, „Verantwortlicher“). Großgeschriebene Begriffe, die hier verwendet, aber nicht definiert werden, haben die in den AGB angegebene Bedeutung oder, falls dort nicht definiert, die im Schweizerischen Datenschutzgesetz (nDSG) und der EU-Datenschutz-Grundverordnung (DSGVO) festgelegte Bedeutung, soweit anwendbar. Zur Vermeidung von Missverständnissen gilt die in den AGB angegebene Rangfolge: Diese DPA regelt die jeweiligen Datenschutzverpflichtungen der Parteien für die Dienste; die AGB regeln alle anderen Angelegenheiten (einschließlich Gebühren, Leistungsumfang, Haftungsbeschränkungen und geltendes Recht).
Im Sinne dieser DPA bezeichnet der Begriff „Datenschutzgesetze“ sämtliche geltenden Gesetze zum Schutz der Privatsphäre und zum Datenschutz, darunter (i) das südafrikanische Gesetz zum Schutz personenbezogener Daten Nr. 4 von 2013 („POPIA“) in der jeweils gültigen Fassung; (ii) soweit anwendbar die Datenschutz-Grundverordnung der Europäischen Union ((EU) 2016/679) („DSGVO“); (iii) soweit anwendbar das Bundesgesetzdekret Nr. 2 von 2019 der Vereinigten Arabischen Emirate über die Nutzung der Informations- und Kommunikationstechnologie im Gesundheitsbereich („IKT-Gesundheitsgesetz“) und das Bundesgesetzdekret Nr. 45 von 2021 der Vereinigten Arabischen Emirate über den Schutz personenbezogener Daten; (iv) das britische Datenschutzgesetz von 2018; (v) das Schweizer Bundesgesetz zum Datenschutz von 2020; und (vi) alle anderen Gesetze, Vorschriften und sekundären Rechtsvorschriften, die von Zeit zu Zeit im Vereinigten Königreich, Südafrika, Namibia, der Schweiz oder den Vereinigten Arabischen Emiraten oder einem anderen für den Kunden geltenden Land in Bezug auf Datenschutz, die Verwendung von Informationen über Einzelpersonen, die Informationsrechte von Einzelpersonen und/oder die Verarbeitung personenbezogener Daten erlassen werden.
1. Gegenstand, Zweck und Dauer
1.1 Gegenstand und Zweck. Phoenix verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung, Sicherung und Unterstützung der Dienste, wie in den Servicebedingungen und dem jeweiligen Bestellformular beschrieben, und streng in Übereinstimmung mit den dokumentierten Anweisungen des Kunden (wie in Abschnitt 3 näher beschrieben).
1.2 Dauer. Die Verarbeitung im Rahmen dieser DPA wird für die Dauer des Abonnements (einschließlich etwaiger Verlängerungen) und für einen angemessenen Zeitraum danach fortgesetzt, um die Rückgabe oder Löschung gemäß Abschnitt 7 zu bewirken und gesetzlichen Verpflichtungen nachzukommen.
2. Kategorien personenbezogener Daten und betroffene Personen
2.1 Kategorien. Die Art der verarbeiteten personenbezogenen Daten hängt von der Nutzung der Dienste durch den Kunden ab und kann Kennungen (z. B. Namen, geschäftliche E-Mails), Konto- und Nutzungsdaten, Support-Kommunikation, Eingabeaufforderungen und Modellausgaben umfassen, sofern sich diese Daten auf eine identifizierte oder identifizierbare natürliche Person beziehen.
2.2 Betroffene Personen. Zu den betroffenen Personen können Mitarbeiter, Auftragnehmer, Berater und Endbenutzer des Kunden gehören.
2.3 Besondere Kategorien. Der Kunde wird keine besonderen Kategorien personenbezogener Daten (z. B. Gesundheits-, biometrische oder behördliche Ausweisnummern) übermitteln, es sei denn, dies ist in einem Bestellformular ausdrücklich gestattet und unterliegt dem DPA und den geltenden Datenschutzgesetzen.
3. Dokumentierte Anweisungen und Verarbeitungsbeschränkungen
3.1 Anweisungen. Phoenix verarbeitet personenbezogene Daten nur auf dokumentierte, rechtmäßige Anweisungen des Kunden, einschließlich der in den Nutzungsbedingungen, den geltenden Bestellformularen und dieser Datenverarbeitungsvereinbarung dargelegten Anweisungen. Sollte Phoenix nach geltendem Datenschutzrecht verpflichtet sein, personenbezogene Daten über die Anweisungen des Kunden hinaus zu verarbeiten, wird Phoenix den Kunden (soweit gesetzlich zulässig) vor einer solchen Verarbeitung hierüber informieren.
3.2 Schulung und Produktverbesserung. Sofern nicht ausdrücklich schriftlich vereinbart (z. B. über einen Unteranhang), wird Phoenix Kundeninhalte, einschließlich personenbezogener Daten, nicht zum Trainieren, Feinabstimmen oder anderweitigen Verbessern von Modellen zum Nutzen von Phoenix oder Dritten verwenden.
3.3 Keine unabhängige Bestimmung. Phoenix bestimmt weder die Zwecke noch die Mittel der Verarbeitung und kombiniert personenbezogene Daten des Kunden nicht mit Daten, die von anderen Kunden erhalten wurden, es sei denn, dies ist für die Bereitstellung und Sicherheit der Dienste erforderlich.
4. Vertraulichkeit und Personal
4.1 Vertraulichkeit. Phoenix stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, an entsprechende Vertraulichkeitsverpflichtungen gebunden sind und eine ihrer Rolle entsprechende Schulung zum Datenschutz erhalten.
4.2 Zugriffskontrolle. Der Zugriff auf personenbezogene Daten erfolgt rollenbasiert und ist auf das zur Erbringung der Dienste erforderliche Minimum beschränkt.
4.3 Phoenix kann organisatorische Maßnahmen ohne Zustimmung des Kunden aktualisieren, sofern dadurch der Gesamtschutz nicht beeinträchtigt wird.
5. Sicherheitsmaßnahmen
5.1 ISMS & Kontrollen. Phoenix unterhält ein ISO 27001-konformes Informationssicherheits-Managementsystem (ISMS) und implementiert dem Risiko angemessene technische und organisatorische Maßnahmen (TOMs), darunter Verschlüsselung während der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), logische Trennung, Zugriffskontrollen, Protokollierung und Überwachung. Auf Wunsch des Kunden stellt Phoenix vertrauliche Computerfunktionen zum Schutz der in attestierten Enklaven verwendeten Daten bereit und unterstützt clientgesteuertes Schlüsselmanagement (BYOK/KYOK).
5.2 Weiterentwicklung. Phoenix kann TOMs aktualisieren, um die Sicherheit aufrechtzuerhalten oder zu verbessern. Solche Änderungen werden das allgemeine Schutzniveau nicht wesentlich beeinträchtigen.
5.3 Verweis auf die Servicebedingungen. Weitere Sicherheitsdetails und betriebliche Verpflichtungen sind in den Servicebedingungen und der darin referenzierten Sicherheitsdokumentation festgelegt.
6. Unterauftragsverarbeiter
6.1 Ermächtigung. Der Kunde erteilt Phoenix eine allgemeine schriftliche Ermächtigung zur Beauftragung von Unterauftragsverarbeitern zur Unterstützung der Dienste. Phoenix wird den Unterauftragsverarbeitern Datenschutzverpflichtungen auferlegen, die mindestens den in dieser Datenverarbeitungsvereinbarung festgelegten Datenschutzbestimmungen entsprechen.
6.2 Benachrichtigung und Widerspruch. Phoenix wird den Kunden unverzüglich über wesentliche Änderungen seiner Unterauftragsverarbeiterliste informieren. Der Kunde kann innerhalb von zwanzig (20) Kalendertagen nach der Benachrichtigung aus triftigen Gründen Einspruch erheben. Wird keine einvernehmliche Lösung gefunden, kann der Kunde den betroffenen Dienst kündigen; Phoenix kann, soweit möglich, Alternativen anbieten.
6.3 Verantwortung. Phoenix bleibt für die Leistung der Unterauftragsverarbeiter verantwortlich, soweit diese personenbezogene Daten für Phoenix verarbeiten.
6.4 Aktueller Status. Phoenix bestätigt, dass es ab dem Datum des Inkrafttretens dieser DPA keine Unterauftragsverarbeiter im Zusammenhang mit den Diensten einsetzt.
7. Rückgabe oder Löschung personenbezogener Daten
7.1 Keine einseitige Löschung. Phoenix veranlasst im Normalfall keine einseitige Löschung personenbezogener Daten des Kunden.
7.2 Rückgabe/Löschung bei Beendigung. Auf Anfrage oder bei Beendigung/Ablauf der jeweiligen Dienste gibt Phoenix personenbezogene Daten nach Wahl des Kunden und vorbehaltlich der geltenden Datenschutzgesetze entweder an den Kunden zurück oder löscht sie sicher. Phoenix bestätigt die Löschung auf Anfrage. Sofern eine weitere Aufbewahrung gesetzlich vorgeschrieben ist, isoliert und schützt Phoenix die Daten vor weiterer Verarbeitung.
7.3 Aufbewahrungsfristen und sichere Entsorgung. Phoenix hält sich an dokumentierte Aufbewahrungs- und Entsorgungsfristen im Einklang mit gesetzlichen, behördlichen und geschäftlichen Anforderungen. Aufzeichnungen, deren Aufbewahrungsfrist abgelaufen ist, werden mit sicheren Methoden entsorgt, um eine unwiederbringliche Vernichtung zu gewährleisten.
7.4 Flexibilität. Phoenix berücksichtigt angemessene, kundenspezifische Aufbewahrungs- oder Entsorgungsanforderungen, die in einem Bestellformular oder einem Unteranhang dokumentiert sind.
7.5 Spezifikationen des Bestellformulars. Alle vom Kunden vorgeschriebenen Spezifikationen, Anweisungen oder Anforderungen, die über die allgemeinen Bestimmungen dieser DPA hinausgehen, werden im jeweiligen Bestellformular (oder gegebenenfalls im Unteranhang) festgehalten und sind integraler Bestandteil dieser DPA.
8. Anfragen betroffener Personen
8.1 Unterstützung. Unter Berücksichtigung der Art der Verarbeitung wird Phoenix den Kunden durch geeignete technische und organisatorische Maßnahmen soweit möglich dabei unterstützen, seiner Verpflichtung nachzukommen, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den geltenden Datenschutzgesetzen zu reagieren.
8.2 Weiterleitung. Wenn Phoenix eine Anfrage direkt von einer betroffenen Person erhält und den betreffenden Kunden identifizieren kann, leitet Phoenix die Anfrage unverzüglich an den Kunden weiter und antwortet auf die Anfrage nur auf dokumentierte Anweisung des Kunden oder wie gesetzlich vorgeschrieben.
9. Sicherheitsvorfälle
9.1 Benachrichtigung. Phoenix benachrichtigt den Kunden unverzüglich, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, und stellt ihm die zum jeweiligen Zeitpunkt verfügbaren Informationen zur Verfügung, um ihn bei der Erfüllung seiner Meldepflichten zu unterstützen. Phoenix stellt Updates bereit, sobald weitere Informationen verfügbar sind.
9.2 Schadensbegrenzung. Phoenix wird unverzüglich angemessene Schritte unternehmen, um den Vorfall einzudämmen, zu untersuchen und zu beheben.
10. Internationale Verarbeitung und Datenübertragung
10.1 Nur in der Schweiz. Die Verarbeitung personenbezogener Kundendaten im Rahmen dieser DPA erfolgt ausschließlich in der Schweiz. Phoenix überträgt personenbezogene Kundendaten nicht ohne vorherige schriftliche Zustimmung außerhalb der Schweiz.
10.2 Schutzmaßnahmen, sofern aktiviert. Vereinbaren die Parteien später eine Datenverarbeitung außerhalb der Schweiz, wird Phoenix geeignete Schutzmaßnahmen für die Datenübermittlung ergreifen, wie z. B. die für die Schweiz angepassten EU-Standardvertragsklauseln (soweit anwendbar) und alle erforderlichen ergänzenden Maßnahmen. Veranlasst der Kunde eine Datenübermittlung außerhalb der Schweiz, haftet Phoenix für daraus resultierende Compliance-Verstöße.
11. Datenschutz-Folgenabschätzung, Aufzeichnungen und behördliche Zusammenarbeit
11.1 DPIA-Unterstützung. Die Prozesse und Kontrollen von Phoenix entsprechen der DSGVO und ISO 27001. Phoenix wird dem Kunden angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden bieten, soweit diese die Verarbeitung durch Phoenix betreffen, und zwar im Rahmen angemessener Ressourcen und Betriebsgrenzen und unter Einhaltung der geltenden Datenschutzgesetze.
11.2 Aufzeichnungen. Jede Partei ist für die Führung der Aufzeichnungen über die Verarbeitungstätigkeiten verantwortlich, die für ihre jeweilige Rolle gesetzlich vorgeschrieben sind.
11.3 Zusammenarbeit. Phoenix wird auf rechtmäßige Anfrage hin in Bezug auf die Dienste mit den zuständigen Aufsichtsbehörden zusammenarbeiten.
12. Prüfungen und Informationen
12.1 Berichte und Zertifizierungen. Auf Anfrage und unter Wahrung der Vertraulichkeit stellt Phoenix Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DPA erforderlich sind. Dazu können ISO 27001-Zertifikate oder Bewertungszusammenfassungen Dritter gehören.
12.2 Audit. Ist die Dokumentation unzureichend, kann der Kunde höchstens einmal alle zwölf (12) Monate oder häufiger nach einer wesentlichen Datenschutzverletzung ein Audit der Verarbeitung personenbezogener Kundendaten durch Phoenix vor Ort oder per Fernzugriff durchführen lassen, sofern dies unter Einhaltung angemessener Vorankündigung, Umfang und Sicherheitsanforderungen erfolgt. Audits dürfen den Betrieb nicht unangemessen stören und dürfen nicht von einem direkten Konkurrenten durchgeführt werden. Jede Partei trägt ihre eigenen Kosten; Phoenix kann für über die Standardunterstützung hinausgehenden Support angemessene Gebühren erheben.
13. Unteranhänge und maßgeschneiderte Bestimmungen
13.1 Unteranhänge. Kundenspezifische Bedingungen (z. B. maßgeschneiderte Aufbewahrung, zusätzliche Schwärzung, Telemetrie-Senken oder Übertragungsmechanismen) können in Unteranhängen dokumentiert werden. Steht ein Unteranhang im Widerspruch zu dieser DPA, ist für den widersprüchlichen Gegenstand der aktuellste Unteranhang maßgeblich.
14. Haftung; Rangfolge
14.1 Haftung. Die Haftungsbeschränkungen und -ausschlüsse in den Nutzungsbedingungen gelten für diese DPA und alle hierunter durchgeführten Verarbeitungen. Diese DPA erweitert die Haftung von Phoenix nicht über die in den Nutzungsbedingungen genannten hinaus.
14.2 Vorrang. Bei datenschutzrechtlichen Themen hat diese DPA im Falle eines direkten Konflikts Vorrang vor den Servicebedingungen. In allen anderen Angelegenheiten gelten die Servicebedingungen.
15. Geltendes Recht, Gerichtsstand
15.1 Geltendes Recht. Diese DPA unterliegt dem materiellen Recht der Schweiz (unter Ausschluss der Kollisionsnormen) und wird entsprechend ausgelegt.
15.2 Gerichtsstand. Streitigkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben, werden ausschließlich an die für Basel-Stadt, Schweiz, zuständigen Gerichte verwiesen.
Anhang A – Einzelheiten der Verarbeitung
A1. Art und Zweck: Bereitstellung, Sicherheit und Support der Dienste gemäß den Nutzungsbedingungen (einschließlich KI-Inferenz, Modellhosting und zugehöriger Plattformfunktionen).
A2. Kategorien personenbezogener Daten: Wie vom Kunden über die Dienste bereitgestellt; typischerweise Identifikationsdaten (Name, geschäftliche E-Mail), Nutzungs- und Telemetriemetadaten, Eingabeaufforderungen/Eingaben und Ausgaben, sofern sie personenbezogene Daten enthalten.
A3. Kategorien betroffener Personen: Kundenpersonal und Endbenutzer.
A4. Aufbewahrung: Wie in Abschnitt 7 und in den entsprechenden Bestellformularen/Unteranhängen beschrieben; in allen Fällen im Einklang mit den Aufbewahrungsplänen von Phoenix.
Anhang B – Technische und organisatorische Maßnahmen (Zusammenfassung)
B1. Governance: ISO 27001-konformes ISMS; Richtlinien für Zugriffskontrolle, Asset-Management, Schwachstellenmanagement, Protokollierung/Überwachung und Vorfallreaktion.
B2. Zugriffskontrollen: Rollenbasierter Zugriff, geringste Berechtigung, MFA für Administratoren, Schlüssel- und Geheimnisverwaltung, Sitzungsverwaltung und regelmäßige Zugriffsüberprüfungen.
B3. Verschlüsselung: TLS 1.3 für Daten während der Übertragung; AES‑256 für Daten im Ruhezustand; HSM‑gestützte Schlüssel mit BYOK/KYOK‑Optionen; Richtlinien zur Schlüsselrotation.
B4. Vertrauliches Computing (sofern aktiviert): Attestierte Enklaven zum Schutz der verwendeten Daten und Modellgewichte; Nullzugriffsvorgänge; keine externe geheime Einschleusung.
B5. Infrastruktursicherheit: Segmentierung, Härtung, Basiskonfiguration, Patch-Kadenz, Schwachstellenscans und Anti-Malware, sofern zutreffend.
B6. Betriebssicherheit: Änderungsmanagement, Backups (verschlüsselt), Notfallwiederherstellungsplanung, Verfügbarkeitskontrollen und Lieferantenmanagement.
B7. Protokollierung und Überwachung: Zentralisierte Protokollierung, Überwachung von Sicherheitsereignissen und Warnmeldungen; Aufbewahrung gemäß Richtlinie.
B8. Personalsicherheit: Vertraulichkeitsverpflichtungen, Schulungen zum Sicherheitsbewusstsein und Onboarding-/Offboarding-Verfahren.
B9. Kundenkontrollen: Vom Kunden konfigurierbare Aufbewahrung, Protokollierungseinstellungen und Schlüsselverwaltung wie in den Bestellformularen/Unteranhängen dargelegt.
Hinweis: TOMs unterliegen einer kontinuierlichen Verbesserung und können aktualisiert werden, sofern das Schutzniveau nicht verringert wird.
Anhang C – Unterauftragsverarbeiter
Ab dem Inkrafttreten dieser DPA beauftragt Phoenix keine Unterauftragsverarbeiter im Zusammenhang mit den Diensten. Phoenix führt eine aktuelle Liste der autorisierten Unterauftragsverarbeiter für die Dienste, die über das Kundenportal oder auf Anfrage verfügbar ist, sobald Phoenix mit der Beauftragung von Unterauftragsverarbeitern beginnt. Benachrichtigungen über wesentliche Änderungen erfolgen gemäß Abschnitt 6.2.
Anhang D – Kontakte und Hinweise
Datenschutzbeauftragter des Kunden / Ansprechpartner für Datenschutzfragen: Wie im entsprechenden Bestellformular angegeben.
Phoenix Datenschutzkontakt: legal@phoenix-technologies.ch