[{"data":1,"prerenderedAt":551},["ShallowReactive",2],{"og-image-business-dpa":3,"social-meta-business-dpa":4,"pricing-plan-EUR":5,"page-business,dpa":6},"",[],{},{"id":7,"title":8,"body":9,"description":541,"extension":542,"meta":543,"navigation":546,"path":547,"seo":548,"stem":549,"__hash__":550},"content/easyweek.ch/business/dpa.md","Auftragsverarbeitungsvertrag (AVV) – EasyWeek",{"type":10,"value":11,"toc":521},"minimark",[12,19],[13,14],"blog-header",{":bullet_points":15,"description":16,"headline":17,"tag":18},"[{\"text\":\"1. Definitionen\",\"href\":\"#_1-definitions\"},{\"text\":\"2. Rollen\",\"href\":\"#_2-roles\"},{\"text\":\"3. Gegenstand, Laufzeit, Zweck\",\"href\":\"#_3-subject-matter-duration-purpose\"},{\"text\":\"4. Weisungen des Kunden\",\"href\":\"#_4-customer-instructions\"},{\"text\":\"5. Vertraulichkeit\",\"href\":\"#_5-confidentiality\"},{\"text\":\"6. Sicherheit (TOM)\",\"href\":\"#_6-security-toms\"},{\"text\":\"7. Unterauftragsverarbeiter\",\"href\":\"#_7-sub-processors\"},{\"text\":\"8. Internationale Datenübermittlungen\",\"href\":\"#_8-international-transfers\"},{\"text\":\"9. Anfragen betroffener Personen\",\"href\":\"#_9-data-subject-requests\"},{\"text\":\"10. Verletzung des Schutzes personenbezogener Daten\",\"href\":\"#_10-personal-data-breach\"},{\"text\":\"11. DSFA und vorherige Konsultation\",\"href\":\"#_11-dpia-and-prior-consultation\"},{\"text\":\"12. Audit\",\"href\":\"#_12-audit\"},{\"text\":\"13. Rückgabe und Löschung\",\"href\":\"#_13-return-and-deletion\"},{\"text\":\"14. Haftung und sonstige Bestimmungen\",\"href\":\"#_14-liability-and-miscellaneous\"},{\"text\":\"Anhang I – Beschreibung der Verarbeitung\",\"href\":\"#annex-i-description-of-processing\"},{\"text\":\"Anhang II – Technische und organisatorische Massnahmen\",\"href\":\"#annex-ii-technical-and-organisational-measures\"},{\"text\":\"Anhang III – Genehmigte Unterauftragsverarbeiter\",\"href\":\"#annex-iii-approved-sub-processors\"}]","Dieser Auftragsverarbeitungsvertrag („AVV","Auftragsverarbeitungsvertrag","h1",[20,21,22,29,43,48,51,103,107,110,118,122,129,132,136,139,142,146,149,153,160,164,175,178,181,185,188,251,257,260,264,267,270,274,277,286,290,293,297,300,308,311,315,318,321,325,328,331,334,338,344,350,356,361,375,380,412,418,424,428,431,511,515],"blog-content",{},[23,24,25],"p",{},[26,27,28],"em",{},"Zuletzt aktualisiert: 15. Mai 2026",[23,30,31,32,37,38,42],{},"Dieser AVV ist durch Verweis in die ",[33,34,36],"a",{"href":35},"/business/terms-and-policies","Geschäftlichen Nutzungsbedingungen"," einbezogen und tritt in Kraft, wenn der Kunde die Geschäftlichen Nutzungsbedingungen akzeptiert oder den Service nach dem oben genannten Datum erstmals nutzt, je nachdem, was früher eintritt. Der Kunde, der eine gegengezeichnete Ausfertigung dieses AVV auf Firmenbriefpapier benötigt, kann diese durch Schreiben an ",[33,39,41],{"href":40},"mailto:privacy@easyweek.io","privacy@easyweek.io"," anfordern. EasyWeek wird ohne inhaltliche Änderungen an dieser Vorlage gegenzeichnen.",[44,45,47],"h2",{"id":46},"_1-definitionen","1. Definitionen",[23,49,50],{},"Grossgeschriebene Begriffe, die in dieser AVV nicht definiert sind, haben die in den Unternehmens-Nutzungsbedingungen oder im revFADP festgelegte Bedeutung. Insbesondere:",[52,53,54,63,91,97],"ul",{},[55,56,57,58,62],"li",{},"„",[59,60,61],"strong",{},"revFADP","\" — Das revidierte Bundesgesetz über den Datenschutz (revDSG), in Kraft seit dem 1. September 2023.",[55,64,57,65,68,69,68,72,68,75,68,78,68,81,68,84,68,87,90],{},[59,66,67],{},"Verantwortlicher","\", „",[59,70,71],{},"Auftragsbearbeiter",[59,73,74],{},"Betroffene Person",[59,76,77],{},"Personendaten",[59,79,80],{},"Verletzung der Datensicherheit",[59,82,83],{},"Bearbeitung",[59,85,86],{},"Unterauftragsbearbeiter",[59,88,89],{},"Aufsichtsbehörde","\" — gemäss Definition in revFADP Art. 4.",[55,92,57,93,96],{},[59,94,95],{},"Personendaten des Kunden","\" — Personendaten, die der Kunde oder seine autorisierten Nutzer über den Service übermitteln oder durch den Service erzeugen und die von EasyWeek im Auftrag des Kunden bearbeitet werden.",[55,98,57,99,102],{},[59,100,101],{},"SCCs","\" — standardvertragliche Schutzgarantien gemäss Art. 16 revFADP sowie Angemessenheitsentscheide des Schweizerischen Bundesrates.",[44,104,106],{"id":105},"_2-rollen","2. Rollen",[23,108,109],{},"Der Kunde ist der Verantwortliche für Personendaten des Kunden. EasyWeek ist der Auftragsbearbeiter und verarbeitet Personendaten des Kunden ausschliesslich auf dokumentierte Weisungen des Kunden hin und in Übereinstimmung mit diesem DPA, den Geschäftsbedingungen für Unternehmen sowie dem anwendbaren Recht.",[23,111,112,113,117],{},"Die Parteien erkennen an, dass EasyWeek für eingeschränkte Kategorien von Personendaten, die EasyWeek für eigene Zwecke verarbeitet, der Verantwortliche ist — beispielsweise für Anmeldedaten autorisierter Nutzer, Abrechnungsdaten und Nutzungstelemetrie des Dienstes. Diese Verarbeitung richtet sich nach der ",[33,114,116],{"href":115},"/business/privacy","Datenschutzerklärung für Unternehmen"," und nicht nach diesem DPA.",[44,119,121],{"id":120},"_3-gegenstand-dauer-zweck","3. Gegenstand, Dauer, Zweck",[23,123,124,125,128],{},"Gegenstand, Art, Zweck, Dauer, Kategorien von Personendaten und Kategorien der betroffenen Personen sind in ",[59,126,127],{},"Anhang I"," beschrieben.",[23,130,131],{},"Die AVV gilt für die Dauer der Verarbeitung von Personendaten des Kunden durch EasyWeek im Auftrag des Kunden und bleibt nach Beendigung der allgemeinen Nutzungsbedingungen so lange in Kraft, wie dies zur Einhaltung von Abschnitt 13 erforderlich ist.",[44,133,135],{"id":134},"_4-instruktionen-des-kunden","4. Instruktionen des Kunden",[23,137,138],{},"Der Service selbst, die vom Kunden über die Benutzeroberfläche und API des Service vorgenommene Konfiguration, die Geschäftsbedingungen sowie diese AVV stellen die vollständigen und abschliessenden dokumentierten Instruktionen des Kunden an EasyWeek bezüglich der Verarbeitung von Personendaten des Kunden dar. Zusätzliche oder abweichende Instruktionen bedürfen einer schriftlichen Vereinbarung und können zusätzliche Gebühren verursachen.",[23,140,141],{},"EasyWeek wird den Kunden unverzüglich informieren, wenn es der Auffassung ist, dass eine Instruktion gegen das revFADP oder eine andere datenschutzrechtliche Bestimmung verstösst, und kann die betreffende Instruktion bis zur schriftlichen Bestätigung durch den Kunden aussetzen.",[44,143,145],{"id":144},"_5-vertraulichkeit","5. Vertraulichkeit",[23,147,148],{},"EasyWeek stellt sicher, dass Mitarbeitende, die zur Verarbeitung von personenbezogenen Daten des Kunden befugt sind, zur Vertraulichkeit verpflichtet sind (oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen) und an Zugriffskontrollen sowie den Grundsatz der minimalen Rechtevergabe gebunden sind. Der Zugriff auf personenbezogene Daten des Kunden ist auf Mitarbeitende beschränkt, die ihn benötigen, um den Service zu betreiben oder zu verbessern.",[44,150,152],{"id":151},"_6-sicherheit-toms","6. Sicherheit (TOMs)",[23,154,155,156,159],{},"EasyWeek trifft angemessene technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in ",[59,157,158],{},"Anhang II"," dargelegt. EasyWeek kann seine TOMs im Laufe der Zeit aktualisieren, sofern das Schutzniveau dadurch nicht gesenkt wird.",[44,161,163],{"id":162},"_7-unterauftragsverarbeiter","7. Unterauftragsverarbeiter",[23,165,166,167,170,171,174],{},"Der Kunde erteilt EasyWeek hiermit eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter einzusetzen. Die Liste der genehmigten Unterauftragsverarbeiter zum Zeitpunkt dieses AVV ist in ",[59,168,169],{},"Anhang III"," aufgeführt und wird unter ",[33,172,173],{"href":173},"/business/subprocessors"," aktuell gehalten.",[23,176,177],{},"EasyWeek wird den Kunden mindestens dreissig (30) Tage im Voraus über jede beabsichtigte Hinzufügung oder den Austausch von Unterauftragsverarbeitern informieren, und zwar über das In-App-Benachrichtigungscenter sowie, sofern der Kunde dies abonniert hat, per E-Mail. Der Kunde kann innerhalb von dreissig (30) Tagen nach der Benachrichtigung aus nachvollziehbaren, dokumentierten datenschutzrechtlichen Gründen Einspruch erheben. Können sich die Parteien nicht auf eine Lösung einigen, kann der Kunde die Geschäftlichen Nutzungsbedingungen hinsichtlich des Teils des Services, der den strittigen Unterauftragsverarbeiter erfordert, kündigen, mit anteiliger Rückerstattung der im Voraus bezahlten Gebühren für die verbleibende Laufzeit.",[23,179,180],{},"EasyWeek legt jedem Unterauftragsverarbeiter durch schriftlichen Vertrag datenschutzrechtliche Pflichten auf, die nicht weniger schützend sind als die in diesem AVV festgelegten. EasyWeek bleibt dem Kunden gegenüber für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter vollumfänglich haftbar.",[44,182,184],{"id":183},"_8-internationale-datenübermittlungen","8. Internationale Datenübermittlungen",[23,186,187],{},"Personendaten des Kunden werden vorwiegend im Europäischen Wirtschaftsraum (EWR) verarbeitet. Soweit Personendaten des Kunden in ein Land ausserhalb des EWR ohne einen Angemessenheitsentscheid des Schweizerischen Bundesrates übermittelt werden, kommen die standardvertraglichen Garantien gemäss Art. 16 revFADP mit folgenden Auswahloptionen zur Anwendung:",[52,189,190,196,202,208,214,224,230,236,241,246],{},[55,191,192,195],{},[59,193,194],{},"Modul Zwei"," (Verantwortlicher an Auftragsverarbeiter) wird durch Verweis für Übermittlungen vom Kunden (oder dessen EWR-Verantwortlichem) an EasyWeek einbezogen, sofern EasyWeek Personendaten des Kunden in einem Drittland verarbeitet.",[55,197,198,201],{},[59,199,200],{},"Modul Drei"," (Auftragsverarbeiter an Auftragsverarbeiter) wird durch Verweis für Weiterübermittlungen von EasyWeek an Unterauftragsverarbeiter in einem Drittland einbezogen.",[55,203,204,207],{},[59,205,206],{},"Klausel 7"," (Beitrittsklausel) ist enthalten.",[55,209,210,213],{},[59,211,212],{},"Klausel 9(a)"," — Option 2 (allgemeine schriftliche Genehmigung, Vorankündigung von 30 Tagen) findet Anwendung.",[55,215,216,219,220,223],{},[59,217,218],{},"Klausel 11(a)"," — unabhängige Streitbeilegungsstelle ist ",[59,221,222],{},"nicht"," ausgewählt.",[55,225,226,229],{},[59,227,228],{},"Klausel 17"," — anzuwendendes Recht ist das Recht Deutschlands.",[55,231,232,235],{},[59,233,234],{},"Klausel 18"," — zuständige Gerichte sind diejenigen von Düsseldorf, Deutschland.",[55,237,238,240],{},[59,239,127],{}," der standardvertraglichen Garantien wird durch Verweis auf Anhang I dieses AVV ausgefüllt.",[55,242,243,245],{},[59,244,158],{}," der standardvertraglichen Garantien wird durch Verweis auf Anhang II dieses AVV ausgefüllt.",[55,247,248,250],{},[59,249,169],{}," der standardvertraglichen Garantien wird durch Verweis auf Anhang III dieses AVV ausgefüllt.",[23,252,253,254,256],{},"Eine Transfer-Folgenabschätzung (Transfer Impact Assessment), welche die Beurteilung der Rechtsvorschriften des Bestimmungslandes durch EasyWeek sowie allfällige ergänzende technische, vertragliche oder organisatorische Massnahmen zusammenfasst, ist auf Anfrage unter ",[33,255,41],{"href":40}," erhältlich.",[23,258,259],{},"Für Übermittlungen in das Vereinigte Königreich findet das UK International Data Transfer Addendum zu den standardvertraglichen Garantien (herausgegeben vom ICO, in Kraft seit dem 21. März 2022) Anwendung. Die vorliegenden standardvertraglichen Garantien werden in Übereinstimmung mit den Anforderungen des revFADP und den Weisungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausgelegt.",[44,261,263],{"id":262},"_9-anfragen-betroffener-personen","9. Anfragen betroffener Personen",[23,265,266],{},"Der Service bietet Self-Service-Funktionen, die es dem Kunden ermöglichen, Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu erfüllen. Wendet sich eine betroffene Person direkt an EasyWeek, leitet EasyWeek die Anfrage unverzüglich an den Kunden weiter und antwortet der betroffenen Person nicht, ausser um den Empfang zu bestätigen und die Anfrage an den Kunden weiterzuleiten.",[23,268,269],{},"EasyWeek unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Massnahmen bei der Erfüllung der Pflicht des Kunden, auf Anfragen betroffener Personen gemäss Art. 25 revFADP und verwandter Bestimmungen zu antworten.",[44,271,273],{"id":272},"_10-verletzung-des-schutzes-personenbezogener-daten","10. Verletzung des Schutzes personenbezogener Daten",[23,275,276],{},"EasyWeek wird den Kunden unverzüglich und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden, nachdem EasyWeek von einer Verletzung des Schutzes personenbezogener Daten, die die personenbezogenen Daten des Kunden betrifft, Kenntnis erlangt hat, benachrichtigen. Die Benachrichtigung enthält mindestens die gemäss Art. 24 revFADP erforderlichen Informationen, soweit bekannt: die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Massnahmen.",[23,278,279,280,285],{},"EasyWeek wird angemessene Schritte unternehmen, um die Verletzung einzudämmen und zu beheben, und dem Kunden die Informationen zur Verfügung stellen, die der Kunde benötigt, um seinen eigenen Meldepflichten gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) (",[33,281,282],{"href":282,"rel":283},"https://www.edoeb.admin.ch/",[284],"nofollow",") und gegenüber den betroffenen Personen nachzukommen.",[44,287,289],{"id":288},"_11-datenschutz-folgenabschätzung-und-vorabkonsultation","11. Datenschutz-Folgenabschätzung und Vorabkonsultation",[23,291,292],{},"EasyWeek unterstützt den Kunden in angemessenem Umfang bei jeder Datenschutz-Folgenabschätzung oder Vorabkonsultation, die der Kunde nach Art. 22 und 23 revFADP durchzuführen hat, soweit eine solche Unterstützung vernünftigerweise erforderlich ist und die betreffenden Informationen bei EasyWeek vorliegen.",[44,294,296],{"id":295},"_12-audit","12. Audit",[23,298,299],{},"EasyWeek stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser DPA nachzuweisen, einschliesslich:",[52,301,302,305],{},[55,303,304],{},"Aktuelle Kopien der relevantesten Zertifizierungen und Auditberichte (wie ISO 27001, soweit verfügbar, SOC-2-Typ-II-Berichte relevanter Unterauftragsverarbeiter).",[55,306,307],{},"Schriftliche Antworten auf einen angemessenen Sicherheitsfragebogen, einmal pro Zwölfmonatszeitraum, kostenlos.",[23,309,310],{},"Sofern die vorstehenden Informationen nicht ausreichen und der Kunde von seiner Aufsichtsbehörde verpflichtet wird, eine Vor-Ort-Prüfung durchzuführen, kann der Kunde selbst oder ein von ihm beauftragter unabhängiger Prüfer eine Prüfung auf Kosten des Kunden durchführen, und zwar mit einer schriftlichen Ankündigungsfrist von mindestens sechzig (60) Tagen, während der Geschäftszeiten, höchstens einmal pro Zwölfmonatszeitraum (es sei denn, eine Verletzung des Schutzes personenbezogener Daten hat stattgefunden), unter angemessenen Vertraulichkeitsverpflichtungen und ohne den Geschäftsbetrieb von EasyWeek oder die Sicherheit anderer Kunden zu beeinträchtigen. Der Umfang der Prüfung beschränkt sich auf die Überprüfung der Einhaltung dieser DPA durch EasyWeek.",[44,312,314],{"id":313},"_13-rückgabe-und-löschung","13. Rückgabe und Löschung",[23,316,317],{},"Innerhalb von dreissig (30) Tagen nach Beendigung der Geschäftsbedingungen kann der Kunde personenbezogene Kundendaten über die vom Dienst bereitgestellten Self-Service-Exportfunktionen exportieren. Nach Ablauf dieser dreissigtägigen Nachfrist löscht oder anonymisiert EasyWeek personenbezogene Kundendaten innerhalb einer angemessenen Frist und in jedem Fall innerhalb von neunzig (90) Tagen, es sei denn, EasyWeek ist nach dem Schweizer Recht (einschliesslich des revFADP) oder anderen anwendbaren Rechtsvorschriften verpflichtet, einige oder alle davon aufzubewahren (in diesem Fall unterliegen die aufbewahrten Daten weiterhin den Vertraulichkeits- und Sicherheitspflichten dieser DPA).",[23,319,320],{},"Sicherungskopien, die personenbezogene Kundendaten enthalten, werden auf rollierender Basis innerhalb der standardmässigen Backup-Aufbewahrungsfrist überschrieben und unterliegen bis zu deren Ablauf dieser DPA.",[44,322,324],{"id":323},"_14-haftung-und-sonstiges","14. Haftung und Sonstiges",[23,326,327],{},"Die Haftung jeder Partei im Rahmen dieser DPA oder in Verbindung mit dieser DPA unterliegt den Haftungsbeschränkungen und -ausschlüssen, die in den Geschäftsbedingungen für Unternehmen festgelegt sind.",[23,329,330],{},"Diese DPA ist Bestandteil der Geschäftsbedingungen für Unternehmen. Im Falle eines Konflikts zwischen dieser DPA und den Geschäftsbedingungen für Unternehmen in Bezug auf die Verarbeitung von personenbezogenen Daten des Kunden geht diese DPA vor. Im Falle eines Konflikts zwischen dieser DPA und den Standardvertragsgarantien gemäss Art. 16 revDSG und Angemessenheitsbeschlüssen des Schweizerischen Bundesrates gehen die Standardvertragsgarantien gemäss Art. 16 revDSG und Angemessenheitsbeschlüsse des Schweizerischen Bundesrates vor.",[23,332,333],{},"Diese DPA unterliegt dem Recht der Bundesrepublik Deutschland. Die Gerichte von Düsseldorf, Deutschland, sind ausschliesslich zuständig, unbeschadet der zwingenden Schutzrechte der betroffenen Personen an ihrem gewöhnlichen Aufenthaltsort.",[44,335,337],{"id":336},"anlage-i-beschreibung-der-verarbeitung","Anlage I – Beschreibung der Verarbeitung",[23,339,340,343],{},[59,341,342],{},"Gegenstand","\nDie Verarbeitung, die erforderlich ist, um dem Kunden den EasyWeek Business Service bereitzustellen.",[23,345,346,349],{},[59,347,348],{},"Dauer","\nFür die Laufzeit der Allgemeinen Geschäftsbedingungen für Unternehmen und etwaige Aufbewahrungsfristen nach Vertragsbeendigung, die zur Erfüllung von Abschnitt 13 erforderlich sind.",[23,351,352,355],{},[59,353,354],{},"Art und Zweck der Verarbeitung","\nHosting, Speicherung, Abruf, Organisation, Änderung, Übermittlung, Löschung, Anonymisierung, statistische Analyse und sonstige Verarbeitungsvorgänge, die erforderlich sind, um Online-Terminbuchung, Kundenbeziehungsmanagement, Finanz- und Rechnungswesen, Marketing-Automatisierung, Website-Erstellung, Erinnerungen und Benachrichtigungen, Marketplace-Listing, KI-gestützte Funktionen und Hilfsfunktionen bereitzustellen.",[23,357,358],{},[59,359,360],{},"Kategorien betroffener Personen",[52,362,363,366,369,372],{},[55,364,365],{},"Endkunden und potenzielle Kunden des Kunden",[55,367,368],{},"Angestellte, Freiberufler, Auftragnehmer und sonstige autorisierte Nutzer des Kunden",[55,370,371],{},"Besucher der Online-Buchungsseiten und eingebetteten Widgets des Kunden",[55,373,374],{},"Absender und Empfänger von Kommunikationen, die über den Service geleitet werden",[23,376,377],{},[59,378,379],{},"Kategorien personenbezogener Daten",[52,381,382,385,388,391,394,397,400,403,406,409],{},[55,383,384],{},"Identifikationsdaten (Name, Foto, Geschlecht)",[55,386,387],{},"Kontaktdaten (E-Mail, Telefon, Adresse)",[55,389,390],{},"Zugangsdaten der autorisierten Nutzer des Kunden",[55,392,393],{},"Buchungs- und Terminhistorie",[55,395,396],{},"Notizen, Dateien, Fotos und Dokumente, die vom Kunden hochgeladen wurden",[55,398,399],{},"Treueprogramm-Daten, Geschenkkartenguthaben, Kundensegmente",[55,401,402],{},"Kommunikationsinhalte (SMS, WhatsApp, E-Mail-Text, Push-Benachrichtigungstext, In-App-Chat)",[55,404,405],{},"Finanzdaten (Rechnungsunterlagen, Zahlungsstatus, letzte 4 Ziffern von Zahlungskarten — vollständige Kartendaten werden direkt von Stripe verarbeitet und nicht von EasyWeek gespeichert)",[55,407,408],{},"Technische Daten (IP-Adresse, Gerätekennung, Browser, Sprache, Zeitstempel)",[55,410,411],{},"Sofern der Kunde diese erfasst: gesundheitsbezogene Notizen (in Beauty-, Wellness-, Medizin- oder Dentalzusammenhängen). Der Kunde ist dafür verantwortlich sicherzustellen, dass er über eine gültige Rechtsgrundlage gemäss Art. 5 Abs. 1 Bst. c und Art. 6 Abs. 7 revFADP verfügt, bevor er solche Daten erfasst.",[23,413,414,417],{},[59,415,416],{},"Häufigkeit der Übermittlungen"," Kontinuierlich.",[23,419,420,423],{},[59,421,422],{},"Aufbewahrung"," Personenbezogene Daten des Kunden werden so lange aufbewahrt, wie der Kunde dies anweist, und wie in Abschnitt 13 näher beschrieben.",[44,425,427],{"id":426},"anhang-ii-technische-und-organisatorische-massnahmen","Anhang II – Technische und organisatorische Massnahmen",[23,429,430],{},"EasyWeek implementiert mindestens die folgenden Massnahmen, die von Zeit zu Zeit aktualisiert werden können, sofern das Schutzniveau nicht gesenkt wird:",[52,432,433,439,445,451,457,463,469,475,481,487,493,499,505],{},[55,434,435,438],{},[59,436,437],{},"Pseudonymisierung und Verschlüsselung"," — TLS 1.3 für Daten während der Übertragung in öffentlichen Netzwerken; AES-256 für ruhende Daten (Datenbankspeicherung, Objektspeicherung, Sicherungen); mandantenspezifische Verschlüsselungsschlüssel für sensible Felder, soweit anwendbar.",[55,440,441,444],{},[59,442,443],{},"Vertraulichkeit"," — rollenbasierte Zugriffskontrolle nach dem Least-Privilege-Prinzip, Multi-Faktor-Authentifizierung für alle Administratorzugriffe erforderlich, automatisches Sitzungs-Timeout, IP-basierte Zugriffskontrollen für Produktivsysteme, schriftliche Vertraulichkeitsverpflichtungen für alle Mitarbeitenden.",[55,446,447,450],{},[59,448,449],{},"Integrität"," — Change-Management, Code-Review, automatisiertes Abhängigkeits-Scanning, signierte Deployment-Artefakte, Integritätsprüfungen für Sicherungen.",[55,452,453,456],{},[59,454,455],{},"Verfügbarkeit und Ausfallsicherheit"," — Produktivbetrieb in Hetzner-Rechenzentren in Deutschland mit redundanter Strom- und Netzwerkversorgung, Kubernetes-Orchestrierung mit automatischer Wiederherstellung, tägliche Sicherungen mit zonenübergreifender Replikation, dokumentierter Disaster-Recovery-Plan mit jährlichen Planübungen, Statusseite unter status.easyweek.io.",[55,458,459,462],{},[59,460,461],{},"Wiederherstellung"," — Aufbewahrung von Sicherungen in einem Umfang, der die Wiederherstellung des Dienstes nach einem physischen oder technischen Vorfall ermöglicht; vierteljährliche Wiederherstellungstests.",[55,464,465,468],{},[59,466,467],{},"Prüfung und Bewertung"," — jährlicher Penetrationstest der Produktivumgebung durch Dritte, kontinuierliche statische und dynamische Anwendungssicherheitstests in CI/CD, Schwachstellenmanagement-Prozess mit definierten Behebungs-SLAs.",[55,470,471,474],{},[59,472,473],{},"Netzwerktrennung"," — Produktiv-, Staging- und Entwicklungsumgebungen sind logisch und physisch voneinander getrennt; Administratorzugriff ausschliesslich über Bastion Hosts.",[55,476,477,480],{},[59,478,479],{},"Protokollierung und Überwachung"," — zentrale Audit-Logs für Authentifizierung, Autorisierung, Konfigurationsänderungen und Datenexportereignisse, die für mindestens ein Jahr aufbewahrt werden; Security Information and Event Monitoring mit Alarmierung bei Anomalien.",[55,482,483,486],{},[59,484,485],{},"Sichere Entwicklung"," — SDLC mit Bedrohungsmodellierung, Peer-Review, Secret-Scanning, Lizenz-Compliance und OWASP-konformen Programmierstandards.",[55,488,489,492],{},[59,490,491],{},"Lieferantenmanagement"," — schriftliche Verträge mit allen Unterauftragsverarbeitern, die gleichwertige Verpflichtungen auferlegen; regelmässige Überprüfung.",[55,494,495,498],{},[59,496,497],{},"Personalsicherheit"," — Hintergrundprüfungen, soweit gesetzlich zulässig; Schulungen zu Sicherheitsbewusstsein und Datenschutz bei Einstellung und danach jährlich.",[55,500,501,504],{},[59,502,503],{},"Vorfallmanagement"," — 24/7-Bereitschaftsdienst; dokumentiertes Vorfallreaktions-Playbook; Meldung von Datenschutzverletzungen innerhalb von 72 Stunden gemäss Abschnitt 10.",[55,506,507,510],{},[59,508,509],{},"Physische Sicherheit"," — der physische Zugang zu Verarbeitungsanlagen wird vom Unterauftragsverarbeiter, der die jeweilige Anlage betreibt (Hetzner, Google Cloud), auf der Grundlage von ISO 27001 / SOC 2 zertifizierten Kontrollen gesichert.",[44,512,514],{"id":513},"anhang-iii-genehmigte-unterauftragsverarbeiter","Anhang III – Genehmigte Unterauftragsverarbeiter",[23,516,517,518,520],{},"Die aktuelle Liste der EasyWeek-Unterauftragsverarbeiter wird unter ",[33,519,173],{"href":173}," veröffentlicht und gepflegt. Die Liste unter dieser URL wird hiermit durch Verweis in diese Vereinbarung zur Auftragsverarbeitung und in Anhang III einbezogen.",{"title":3,"searchDepth":522,"depth":522,"links":523},2,[524,525,526,527,528,529,530,531,532,533,534,535,536,537,538,539,540],{"id":46,"depth":522,"text":47},{"id":105,"depth":522,"text":106},{"id":120,"depth":522,"text":121},{"id":134,"depth":522,"text":135},{"id":144,"depth":522,"text":145},{"id":151,"depth":522,"text":152},{"id":162,"depth":522,"text":163},{"id":183,"depth":522,"text":184},{"id":262,"depth":522,"text":263},{"id":272,"depth":522,"text":273},{"id":288,"depth":522,"text":289},{"id":295,"depth":522,"text":296},{"id":313,"depth":522,"text":314},{"id":323,"depth":522,"text":324},{"id":336,"depth":522,"text":337},{"id":426,"depth":522,"text":427},{"id":513,"depth":522,"text":514},"Auftragsverarbeitungsvertrag von EasyWeek gemäss Art. 9 revFADP: Rollen, Weisungen, Unterauftragsverarbeiter, TOM, internationale Datenübermittlungen, Meldung von Datenschutzverletzungen, Audit und Beendigung.","md",{"layout":544,"meta_keywords":545,"cover_text":17},"business","data processing addendum, DPA, GDPR Article 28, processor, controller, SCCs, EasyWeek",true,"/easyweek.ch/business/dpa",{"title":8,"description":541},"easyweek.ch/business/dpa","BIkG8CZzr5z2FsGlmtHBKwR8odm9GjE-RkvRQeKlmCI",1779353431996]