Vereinbarung zur
Datenverarbeitung
Luzern, 1. September, 2023 V04
1 Gegenstand des AVV ist die Beauftragung von yawave durch den Kunden (Auftraggeber) im Rahmen der durch den Kunden genutzten Funktionen der yawave Software Suite. Die Verarbeitung beruht insbesondere auf den zwischen den Parteien bestehenden Allgemeinen Geschäftsbedingungen (yawave AGB Ziff 9). yawave verarbeitet dabei personenbezogene Daten für den Kunden im Sinne von Art. 3 des Schweizer Datenschutzgesetzes (DSG) und Art. 4 Nr. 2 und Art. 28 der EU Datenschutz-Grundverordnung (DSGVO) auf Grundlage dieses AVV.
2 Diese Vereinbarung ist ein integraler Bestandteil des Vertrags und sie tritt mit Vertragsabschluss in Kraft. Im Falle eines Konflikts zwischen den Bestimmungen des Vertrags und der AVV oder widersprüchlicher Angaben im Vertrag und in der AVV sind die Bestimmungen der AVV hinsichtlich des jeweiligen Konflikts oder Widerspruchs vorrangig gegenüber den Bestimmungen des Vertrags.
3 yawave aktualisiert diese Bedingungen regelmässig. Wenn der Kunde ein aktives yawave-Abonnement hat, benachrichtigt yawave den Kunden über etwaige Aktualisierungen per E-Mail oder in der Applikation.
4 Die Laufzeit dieser AVV richtet sich nach der Laufzeit des Vertrags. Alle Begriffe haben die im Vertrag angegebene Bedeutung, sofern in dieser AVV keine andere Bedeutung angegeben ist.
5 In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. In diesem Sinne ist der Kunde der „Verantwortliche“, yawave der „Auftragsverarbeiter“.
2. ART, ZWECK UND BETROFFENE DER DATENVERARBEITUNG
6 Personenbezogene Daten werden über die yawave Software Suite vom Kunden in folgender Art bearbeitet: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten.
7 Der zugrundeliegende Zweck der Verarbeitung ist in den yawave AGB beschrieben.
8 Es werden dabei folgende Kategorien von personenbezogenen Daten verarbeitet:
– Personenstammdaten wie z.B. Titel, Vorname, Nachname, Adressdaten, E-Mail-Adressen
– Verhaltensdaten wie z.B. Besuche auf bestimmten Publikationen, Formulareingaben, News-Präferenzen
– Abrechnungs- und Zahlungsdaten wie z.B. Bankverbindung, Zahlungs- und Kontendaten
– Server-Log-Daten wie z.B. Browsertyp und Browserversion, verwendetes Betriebssystem, Referrer URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage, IP-Adresse
– Alle weiteren Kategorien, welche bspw. durch einfache Erschliessung oder durch Kausalzusammenhänge in die Kenntnis von yawave gelangen.
9 Von der Verarbeitung betroffen sind folgende Kategorien von Personen:
– Interessenten, Nutzer und Kunden des Kunden
– Beschäftigte und Ansprechpartner des Kunden
– Lieferanten und Dienstleister des Kunden
3. PFLICHTEN VON YAWAVE
10 yawave verarbeitet personenbezogene Daten ausschliesslich wie vertraglich vereinbart oder wie vom Kunde angewiesen, es sei denn, yawave ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen bestehen, teilt yawave diese dem Kunden vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. yawave verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
11 yawave verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn yawave der Ansicht ist, dass eine Weisung des Auftraggebers eine Verletzung der Datenschutzgesetze, einschliesslich dem Schweizer Datenschutzgesetz (DSG), der Datenschutzgrundverordnung (DSGVO), oder anderer einschlägiger Datenschutzbestimmungen, darstellt oder anderweitig rechtswidrig ist. Der Auftraggeber ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen oder zu ändern, bis die Rechtmässigkeit geklärt ist. yawave verpflichtet sich, während dieser Zeit keine weiteren Schritte im Zusammenhang mit der fraglichen Weisung zu unternehmen, es sei denn, der Auftraggeber gibt ausdrücklich eine neue, rechtmässige Weisung.
12 yawave bestätigt, dass die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind, und beachtet die Grundsätze ordnungsgemässer Datenverarbeitung.
13 yawave verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, sind schriftlich zur Vertraulichkeit verpflichtet.
14 yawave sichert zu, dass die bei yawave zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes vertraut gemacht werden. Entsprechende Schulungs- und Sensibilisierungsmassnahmen werden angemessen regelmässig wiederholt. yawave trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
15 Im Zusammenhang mit der beauftragten Verarbeitung unterstützt yawave den Kunden soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen werden dem Kunden auf Anforderung zur Verfügung gestellt.
16 yawave teilt dem Kunden Verletzungen des Schutzes im Auftrag verarbeiteter personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung muss mindestens folgende Angaben enthalten:
– eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
– den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
– eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
– eine Beschreibung der von yawave ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Massnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
17 Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstösse von yawave oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
18 yawave informiert den Kunden unverzüglich von Kontrollen oder Massnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
19 yawave sichert zu, den Kunden bei dessen Pflichten im erforderlichen Umfang zu unterstützen.
20 Wird der Kunde durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich yawave den Kunden im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
21 Auskünfte an Dritte oder den Betroffenen darf yawave nur nach vorheriger Zustimmung durch den Kunden erteilen. Direkt an ihn gerichtete Anfragen wird yawave an den Kunden weiterleiten.
22 yawave bestellt eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. In Zweifelsfällen kann sich der Kunde direkt an den Datenschutzbeauftragten wenden. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt yawave dem Kunden mit.
23 Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Kunden und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
24 Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Kunde verantwortlich.
25 Der Kunde stimmt insbesondere zu, dass er allein die Verantwortung trägt für:
– die Genauigkeit, Qualität und Rechtmässigkeit der Kundendaten sowie der Mittel, mit denen er personenbezogene Daten erhält;
– die Einhaltung aller Anforderungen auf Rechtmässigkeit und Transparenz gemäss anwendbarem Datenschutzrecht hinsichtlich der Erhebung und Verwendung personenbezogener Daten, einschliesslich der Einholung jeglicher erforderlichen Zustimmungen und Berechtigungen (insbesondere bei Verwendung zu Marketingzwecken durch den Kunden);
– die Gewährleistung, dass er dazu berechtigt ist, die personenbezogenen Daten zum Zwecke der Verarbeitung in Übereinstimmung mit den Bestimmungen des Vertrags (einschliesslich dieser AVV) an yawave zu übermitteln oder yawave Zugriff darauf zu geben;
– die Gewährleistung, dass die Weisungen an yawave hinsichtlich der Verarbeitung von personenbezogenen Daten mit den anwendbaren Gesetzen, einschliesslich des Datenschutzrechts, übereinstimmen; und
– die Einhaltung aller geltenden Gesetze (einschliesslich des anwendbaren Datenschutzrechts) hinsichtlich der E-Mails oder anderer Inhalte, die über die Abonnementdienste erstellt, versendet oder verwaltet werden, einschliesslich der Gesetze bezüglich der Einholung des Einverständnisses (soweit erforderlich) für den Versand von E-Mails, den Inhalt von E-Mails und die E-Mail-Versandpraktiken.
26 Der Kunde hat yawave unverzüglich darüber zu informieren, wenn er nicht dazu in der Lage ist, seinen Pflichten gemäss diesem Abschnitt oder dem anwendbaren Datenschutzrecht nachzukommen.
27 Die Vertragsparteien vereinbaren, dass der Vertrag (einschliesslich vorliegender AVV) sowie die Verwendung des Abonnementdienstes durch den Kunden in Übereinstimmung mit dem Vertrag die vollständigen und endgültigen Weisungen des Kunden an yawave bezüglich der Verarbeitung von personenbezogenen Daten darstellen und dass zusätzliche Anweisungen über die Weisungen hinaus nur gültig sind, wenn sie vorab schriftlich zwischen den Parteien vereinbart wurden.
28 Der Kunde prüft eigenständig, ob die im Rahmen des Abonnement-Dienstes gewährleistete Datensicherheit in angemessener Weise seinen Pflichten gemäss dem anwendbaren Datenschutzrecht entspricht. Er ist ausserdem für die sichere Nutzung des Abonnementdienstes verantwortlich, einschliesslich der Gewährleistung von Sicherheit bei der Übermittlung personenbezogener Daten im Zusammenhang mit dem Abonnementdienst.
29 Der Kunde ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen bei yawave in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren (gem. Ziff. 5.7).
30 Kontrollen bei yawave haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Kunden zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten von yawave, sowie nicht häufiger als alle 12 Monate statt. Soweit yawave den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.
31 yawave führt geeignete technische und organisatorische Massnahmen so durch, dass die Verarbeitung im Einklang mit den Anforderungen des DSG und der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. yawave gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und ein angemessenes Schutzniveau erreicht wird. Insbesondere stellt yawave unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität, und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme und Dienstleistungen sicher. Die technischen und organisatorischen Massnahmen sind in der Anlage 1 ausführlich beschrieben.
32 Die technischen und organisatorischen Massnahmen können im Laufe des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Massnahmen mindestens dem Sicherheitsniveau der in der Anlage 1 vereinbarten Massnahmen entsprechen.
33 yawave sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
34 Kopien oder Duplikate werden ohne Wissen des Kunden nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
35 yawave stellt dem Kunden auf dessen schriftliche Anfrage alle erforderlichen Informationen zum Nachweis der in diesem AVV sowie im DSG und in der DSGVO geregelten Pflichten zur Verfügung. Insbesondere erteilt yawave dem Kunden schriftlich Auskünfte über die gespeicherten Daten und die Datenverarbeitungsprogramme. Der Kunde kann höchstens einmal pro Kalenderjahr von diesem Recht Gebrauch machen.
36 yawave erklärt sich damit einverstanden, dass der Kunde – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Pflichten aus diesem Vertrag und aus Art. 28 DSGVO selbst oder durch vom Kunde beauftragte Dritte zu kontrollieren. Für die dafür entstehenden Mehraufwände muss der Kunde aufkommen. yawave ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.
37 yawave hat dem Kunden auf Anforderung geeigneten Nachweis über die Einhaltungen der Verpflichtungen zu erbringen. Dieser Nachweis kann durch die Bereitstellung von Dokumenten und Zertifikaten, die genehmigte Verhaltensregeln oder genehmigte Zertifizierungsverfahren abbilden, erbracht werden.
38 Ansprechperson in datenschutzrechtlichen Belangen ist Jari Honka, jari.honka@yawave.com.
39 Der Abonnementdienst stellt eine Reihe von Funktionen zur Verfügung, mit denen der Kunde personenbezogene Daten aufrufen, verbessern und löschen oder den Zugriff darauf einschränken kann. Der Kunde kann diese Funktionen nutzen, um seinen Pflichten gemäss Datenschutz-recht nachzukommen, einschliesslich seiner Pflichten hinsichtlich der Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäss anwendbarem Datenschutzrecht geltend machen möchten („Anfragen betroffener Personen“).
40 Sofern der Kunde nicht in der Lage ist, der Anfrage einer betroffenen Person über den Abonnementdienst allein nachzukommen, wird yawave auf schriftliche Nachfrage hin angemessene Unterstützung bieten, um jeglichen Anfragen betroffener Personen oder Anfragen von Datenschutzbehörden im Zusammenhang mit der Verarbeitung von personenbezogenen Daten gemäss dem Vertrag nachzukommen. Der Kunde erstattet yawave die durch diese Unterstützung entstandenen, geschäftlich angemessenen Kosten.
41 Wenn eine Anfrage oder eine andere Kommunikation einer betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gemäss dem Vertrag direkt an yawave gerichtet wird, wird yawave den Kunden unverzüglich darüber informieren und die betroffene Person darauf hinweisen, dass sie ihre Anfrage an den Kunden richten muss. Die wirksame Beantwortung von Anfragen oder Mitteilungen betroffener Personen bezüglich personenbezogener Daten obliegt ausschliesslich dem Kunden.
42 Im Rahmen des AVV verarbeitete Daten wird yawave nur entsprechend der getroffenen vertraglichen Vereinbarung (yawave AGB) oder nach Weisung des Kunden berichtigen, löschen oder sperren. Den entsprechenden Weisungen des Kunden leistet yawave auch über die Beendigung dieses Vertrages hinaus Folge.
7. UNTERAUFTRAGSVERHÄLTNISSE
43 Von yawave beauftragte Dritte, die mit der Bearbeitung von Daten beauftragt sind (wie z.B. für Rechencenterdienstleistungen oder Zahlungsabwicklung), dürfen Personendaten nur im Rahmen des von yawave erteilten Auftrags und nicht für eigene Zwecke nutzen (yawave AGB Ziff. 58).
44 yawave wählt seine Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Massnahmen sorgfältig aus.
45 Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Kunden genehmigt. Die hier niedergelegten sonstigen Pflichten von yawave gegenüber Subunternehmern bleiben unberührt.
46 yawave hat vertraglich sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Der Vertrag von yawave mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden.
47 Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen gemäss Art. 16 DSG sowie Art. 44 ff. DSGVO erfüllt sind.
8. ALLGEMEINE REGELUNGEN
48 yawave behält sich das Recht vor, diese AVV zu aktualisieren und zu ändern.
49 Sollten einzelne Bestimmungen dieser AVV als unwirksam oder nicht durchsetzbar beurteilt werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen dieser AVV.
ANLAGE 1: SICHERHEITSMASSNAHMEN
Diese Anlage ist Bestandteil der AVV.
Wir befolgen aktuell die in Anlage 1 beschriebenen Sicherheitsverfahren.
a) Zugangskontrolle
i) Schutz vor unbefugtem Produktzugriff
Ausgelagerte Verarbeitung: Wir hosten unseren Dienst über ausgelagerte Cloud-Infrastruktur-Anbieter. Zusätzlich unterhalten wir Vertragsverhältnisse mit Drittanbietern, um den Dienst gemäss unserer AVV anbieten zu können. Wir unterhalten vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Compliance-Programme zum Schutz der Daten, die von den betreffenden Anbietern verarbeitet oder gespeichert werden.
Physischer Schutz und Umweltsicherheit: Wir hosten unsere Produktinfrastruktur über mandantenfähige, ausgelagerte Betreiber von Infrastruktur. Die Kontrollen der physischen Schutzmassnahmen und der Umweltsicherheit werden auf die Erfüllung von SOC 2 Typ II, ISO 27001 und anderer Zertifikate hin überprüft.
Authentifizierung: Wir führen für unsere Kundenprodukte eine einheitliche Kennwortrichtlinie ein. Kunden, die über die Nutzerschnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen.
Autorisierung: Kundendaten sind in mandantenfähigen Speichersystemen gespeichert, auf die Kunden ausschliesslich über Anwendungs-Nutzerschnittstellen und Programmierschnittstellen zugreifen können. Die Kunden haben keine Befugnis zum direkten Zugriff auf die zugrundeliegende Anwendungsinfrastruktur. Die Autorisierungsmodelle in allen unseren Produkten wurden entwickelt, um sicherzustellen, dass nur entsprechend zugewiesene Personen Zugriff auf wichtige Funktionen, Ansichten und Anpassungsoptionen haben. Die Autorisierung für Datensätze erfolgt durch einen Abgleich der Nutzungserlaubnis mit den Attributen eines jeden Datensatzes.
Zugriff auf Programmierschnittstellen (API): Der Zugriff auf öffentliche Produkt-API erfolgt entweder mittels eines API-Schlüssels oder OAuth-Autorisierung.
ii) Schutz vor unbefugter Produktnutzung
Wir implementieren den Branchenstandards entsprechende Netzwerkzugangskontrollen und Funktionen zur Bedrohungserkennung für die internen Netzwerke, auf denen unsere Produkte beruhen.
Zugangskontrollen: Es wurden Netzwerkzugangskontrollmechanismen entwickelt, um zu verhindern, dass solcher Netzwerkdatenverkehr die Produktinfrastruktur erreicht, der nicht-autorisierte Protokolle verwendet. Die eingesetzten technischen Massnahmen unterscheiden sich je nach Infrastrukturbetreiber und beinhalten VPC-Implementierungen (Virtual Private Cloud), Zuweisung von Sicherheitsgruppen und traditionelle Fire-wall-Regeln.
Statische Code-Analyse: Der in unserem Quellcode-Repository gespeicherte Code wird bei Sicherheitsüberprüfungen mit Best Practices der Programmierung abgeglichen und auf Softwarefehler geprüft.
Penetrationstests: Wir arbeiten mit branchenweit anerkannten Penetrationstest-Anbietern zusammen und nehmen Penetrationstests vor. Ziel der Penetrationstests ist es, vorhersehbare Angriffsvektoren und potenzielle Missbrauchsszenarien zu identifizieren und zu bereinigen.
iii) Eingeschränkte Zugriffsrechte und Autorisierungsvoraussetzungen
Produktzugriff: Eine Gruppe unserer Mitarbeiter hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Dieser Zugriff einer Gruppe von Mitarbeitern dient der Bereitstellung eines effizienten Kundendienstes, einer schnelleren Problemlösung und der zeitnahen Erkennung von Sicherheitsvorfällen. Alle Anfragen dieser Art werden protokolliert. Mitarbeitern wird je nach Rolle Zugriff gewährt.
Richtlinien: Alle yawave-Mitarbeiter sind angehalten, alle Unternehmensrichtlinien, Verschwiegenheitspflichten und ethischen Anforderungen zu beachten.
b) Übertragungssteuerung
Während der Speicherung: Wir speichern Benutzerkennwörter gemäss Richtlinien, welche die in der Branche geltenden Standardpraktiken für Sicherheit erfüllen. Wir haben Technologien implementiert, mit denen die Verschlüsselung gespeicherter Daten im Ruhezustand gewährleistet wird.
c) Eingabesteuerung
Erkennung: Unsere Infrastruktur ist so konzipiert, dass umfassende Informationen über das Systemverhalten, den empfangenen Datenverkehr, Systemauthentifizierungen und andere Anwendungsanfragen protokolliert werden. Unsere Mitarbeiter, darunter Sicherheits-, Betriebs- und Support-Mitarbeiter, sind dafür geschult, auf bekannte Vorfälle reagieren zu können.
d) Verfügbarkeitskontrolle
Verfügbarkeit der Infrastruktur: Die Betreiber von Infrastrukturunternehmen geschäftlich angemessene Anstrengungen, um eine Betriebszeit von mindestens 99.5 % zu gewährleisten. Die Betreiber halten das Minimum einer N+1-Redundanz für Strom, Netzwerk und Klimatisierung ein.
Fehlertoleranz: Von Kundendaten werden Sicherheitskopien in mehreren dauerhaften Datenspeichern angelegt und über mehrere Verfügbarkeitszonen repliziert.
Unsere Produkte wurden konzipiert, um Redundanz und eine nahtlose Ausfallsicherung zu gewährleisten. Die produktunterstützenden Server-instanzen wurden mit dem Ziel entwickelt, Single-Points-of-Failure zu vermeiden. Dieses Design unterstützt uns bei der Wartung und Aktualisierung unserer Produktanwendungen und Backend-Tätigkeiten und es begrenzt die Ausfallzeiten.
ANLAGE 2: LISTE DER UNTERAUFTRAGSVERARBEITER
Diese Anlage ist Bestandteil der AVV.
yawave arbeitet in der Datenverarbeitung mit folgenden Subunternehmen zusammen:
| Firma | Anschrift | Land | Art der Leistung |
| Interspark Inc | Interspark Inc PO Box 1224 Bentonville, AR 72712 US |
USA | DevOps und Server Monitoring auf der GCP in Zürich |
| ESGroup Poland sp. z o.o. | ESGroup Poland sp. z o.o. Podole 60 30-394 Krakow, Poland |
Polen | 3rd Level Application Support |
| Google Switzerland GmbH | Brandschenkestrasse 110, 8002 Zürich, Switzerland | Schweiz | Cloud Provider |