Version 1.0, 29. April 2018

1. Anwendungsbereich

(1)CISS – Comprehensive Information Security Switzerland GmbH, Schweiz [ANBIETER] stellt den LIZENZNEHMERN einen geschlossenen, gesicherten und selbst verwalteten Bereich [Mandanten] der „360inControl® Software as a Service (SaaS) Plattform“ [360inControl®] zur Verfügung.

(2)Der LIZENZNEHMER kann eine natürliche oder eine juristische Person sein.

(3)Jeder LIZENZNEHMER kann natürliche Personen [BENUTZER] zu seinem Mandanten einladen, die vom LIZENZNEHMER lizenzierte 360inControl® Systemfunktionalität zu nutzen.

(4)Eingeladene BENUTZER, die sich bei 360inControl® registrieren, werden in einem zentralen und gesicherten Verzeichnis verwaltet.

(5)Ein BENUTZER kann anonym zu einem oder mehreren Mandanten eingeladen werden.

(6)Diese Datenschutzerklärung in Kombination mit der aktuellen Version der Lizenzvereinbarung stellt die gesamte vertragliche Vereinbarung zwischen dem BENUTZER von 360inControl® und der CISS GmbH, dem ANBIETER von 360inControl®, dar.

2. Parteien & Annahme der Bedingungen

(7)LIZENZNEHMER und BENUTZER müssen die aktuelle Version der Lizenzvereinbarung und dieser Richtlinie akzeptieren, bevor Informationen in 360inControl® gespeichert werden und das BENUTZER-Profil erstellt wird.

3. Datenschutzerklärung

(8)Der ANBIETER ist der Datensicherheit und den individuellen Datenschutzrechten voll verpflichtet. Alle relevanten Informationen über 360inControl® stehen dem Einzelnen zur Verfügung, bevor persönliche Informationen gespeichert werden.

(9)Jeder kann unter Verwendung der E-Mail-Adresse des Empfängers jemanden einladen, sich bei 360inControl® zu registrieren. Das System speichert die angegebene eMail-Adresse für maximal 96 Stunden und sendet dem Empfänger eine eMail zur Bestätigung der eMail-Adresse. Ohne aktive Registrierung innerhalb der definierten Zeitspanne verwirft das System die Einladung und alle Informationen.

(10)Der BENUTZER muss der Lizenzvereinbarung und den Datenschutzbestimmungen (dieses Dokument) zustimmen, bevor Daten gespeichert werden.

4. Verarbeitete persönliche Informationen und Zweck

(11)Der Hauptzweck der Sammlung der persönlichen Informationen ist

1. es dem BENUTZER zu ermöglichen, die Funktionalität von 360inControl® zu nutzen
2. es dem LIZENZNEHMER (Mandanten Administrator) zu ermöglichen, die BENUTZER innerhalb ihres Mandanten zu verwalten
3. eMail-Adressen für Newsletter-Anmelder speichern (nur Website)

(12)360inControl® ist ein Internes Kontrollsystem (IKS), das zur Durchführung von Audits, Bewertungen, zur Verwaltung von Kontrollen, zur Verwaltung des Inventars und zum Risikomanagement eingesetzt wird. Zusätzliche Funktionen, die für ein Internes Kontrollsystem relevant sind, können im Laufe der Zeit hinzugefügt werden.

(13)Im BENUTZER-Profil werden die BENUTZER-ID, die BENUTZER-eMail, der Vorname und der BENUTZER-Nachname als Pflichtfelder gespeichert.

(14)Durch das Versenden einer Einladung weist der LIZENZNEHMER (Mandanten Administrator) dem BENUTZER eine BENUTZER-Rolle zu, die im Profil gespeichert ist.

(15)Ein BENUTZER kann in mehreren Mandanten in unterschiedlichen Rollen handeln.

(16)360inControl® sendet eine eMail-Benachrichtigung an den BENUTZER. Der BENUTZER kann Benachrichtigungen aktivieren / deaktivieren.

(17)Der ANBIETER sendet folgende eMail-Benachrichtigung an den BENUTZER;

1. 360inControl®-Funktionalität z.B. neue Aktionspunkte, überfällige Aktionen etc.
2. Neue oder aktualisierte Funktionalität
3. Verfügbarkeit des Systems
4. Ablauf des Preisplans
5. Support-Anfragen, einschliesslich Anfrage zur Überprüfung persönlicher Daten
6. Warnungen z.B. bei Cyber-Bedrohungen oder -Angriffen

(18)Wenn eine Kontaktaufnahme mit einem Drittanbieter erforderlich ist, wird der ANBIETER den BENUTZER bitten, sich nach eigenem Ermessen mit dem Drittanbieter in Verbindung zu setzen.

(19)Der ANBIETER wird den LIZENZNEHMER und die persönlichen Daten der BENUTZER nicht verkaufen oder weitergeben, ausser

1. Zum Schutz der Rechte des LIZENZNEHMERS und der BENUTZER
2. Aus staatlichen, rechtlichen oder gerichtlichen Gründen
3. Zur Verteidigung und zum Schutz der Rechte des Providers
4. Zur Lösung technischer Probleme wie z.B. Zahlungskonflikten
5. An Drittanbieter von Dienstleistungen, die im Namen des ANBIETERs handeln oder diesen unterstützen, um 360inControl® zu betreiben

(20)Der BENUTZER erkennt das Recht und die Verpflichtung des ANBIETERs an, das System zu überwachen für

1. Die Erstellung eines BENUTZER-spezifischen Dashboards
2. Verfügbarkeit, Verbesserung und Sicherheitszwecke.

5. Verarbeitung von sensiblen personenbezogenen Daten/Zweck

(21)Für die Registrierung und Nutzung von 360inControl® verlangt der ANBIETER nicht, dass sensible personenbezogene Daten gespeichert werden.

(22)Die Verwendung von 360inControl® zur Verarbeitung sensibler personenbezogener Daten fällt unter die Verantwortlichkeit des LIZENZNEHMERS;

1. Eine gründliche Datenschutz-Folgenabschätzung ist erforderlich.
2. Möglicherweise sind zusätzliche Sicherheitsmassnahmen erforderlich.

(23)Der ANBIETER kann nicht haftbar gemacht werden, wenn BENUTZER absichtlich oder unabsichtlich sensible personenbezogene Daten hinzufügen.

6. Wer hat Zugang zu persönlichen Informationen?

(24)Der BENUTZER

1. hat Zugang zu seinem vollständigen Profil und kann es bearbeiten
2. kann zu jedem beliebigen Zeitpunkt den ANBIETER auffordern, sein BENUTZER-Profil zu löschen.

(25)LIZENZNEHMER (Mandaten Administrator) für ihre BENUTZER- und Mandantenverwaltung.

(26)Alle BENUTZER innerhalb eines Mandanten können aktive BENUTZER sehen und sie z.B. zu Aufgaben hinzufügen, einen Chat mit dem usw. initiieren.

(27)Eine begrenzte Anzahl von ANBIETER- oder Drittanbieter-Administratoren hat Zugang zur Ausführung operativer Aufgaben.

(28)Eine begrenzte Anzahl von ANBIETER- oder Drittanbieter Support-Mitarbeitern hat Zugang zur Beantwortung von Support-Anfragen.

(29)Bei Bedarf eine begrenzte Anzahl von ANBIETER- oder Drittanbieter-Mitarbeitern für die Reaktion auf Vorfälle, Systemunterbrüche, Geschäftskontinuität und Systemverbesserungen.

(30)ANBIETER- oder Drittanbieter-Mitarbeitern;

1. Zur Sicherung von Informationen für LIZENZNEHMER und BENUTZER
2. Erfüllung rechtlicher und gerichtlicher Anträge
3. Schutz der geistigen Eigentumsrechte der CISS GmbH oder unabhängiger Dritter

7. Wie lange werden persönliche Informationen gespeichert?

(31)Persönliche Informationen werden so lange gespeichert, wie das BENUTZER-Profil aktiv ist.

(32)Der Anbieter wird BENUTZER-Profile, die nicht mindestens einem Mandanten zugeordnet sind, regelmässig löschen.

8. Individuelle Rechte bezüglich persönlicher Informationen

(33)Der BENUTZER (betroffene Person) kann zu jedem beliebigen Zeitpunkt die Löschung seines Profils beantragen.

(34)Der BENUTZER (Betroffener) hat das Recht, Informationen über die verarbeiteten personenbezogenen Daten zu verlangen. Der Antrag muss elektronisch über das bereitgestellte Webformular unter www.360inControl®.ch oder per E-Mail an info@ciss.ch mit der Betreffzeile „Personal Information Request“ gestellt werden und wird elektronisch beantwortet.

(35)Bis zur Verfügbarkeit einer automatisierten BENUTZER-Self-Service-Funktionalität behält sich der ANBIETER das Recht vor, Anfragen in Rechnung zu stellen, wenn mehr als eine Anfrage innerhalb von 12 Monaten nach Einreichung der letzten Anfrage gestellt wird. Der Anfragende wird vorher informiert.

(36)Alle angeforderten Informationen werden in einer oder mehreren CSV-Dateien (durch Komma getrennte Werte) bereitgestellt, um die Portabilität zu gewährleisten. Andere Formate werden nicht unterstützt.

9. Wie werden persönliche Informationen geschützt?

(37)Die vom ANBIETER getroffenen Vorkehrungen sind im Lizenzvertrag & Nutzungsbedingungen, Kapitel „Systemsicherheit“, beschrieben.

(38)Die Vorsichtsmassnahmen im Rahmen der Sorgfaltspflicht der Drittanbieter sind in der Lizenzvereinbarung & Nutzungsbedingungen, Kapitel „Drittanbieter“ und Kapitel „Verpflichtungen der BENUTZER“ beschrieben.

(39)Die Vorsichtsmassnahmen im Rahmen der Rechenschaftspflicht der BENUTZER sind in der Lizenzvereinbarung und den Nutzungsbedingungen, Kapitel „Pflichten des LIZENZNEHMERS“ und Kapitel „Pflichten der BENUTZER“, beschrieben.

10. Zustimmung

(40)Mit der ausdrücklichen Annahme der

1. Lizenzvertrag und Nutzungsbedingungen
2. Datenschutzerklärung

(41)für das 360inControl® wird der BENUTZER auf seine Rechte aufmerksam gemacht und akzeptiert die Nutzung für den beschriebenen Zweck.

11. Änderungen der Datenschutzrichtlinie

(42)Der ANBIETER wird dem LIZENZNEHMER und allen seinen registrierten BENUTZERN neue Versionen der Lizenzvereinbarung & Nutzungsbedingungen und der Datenschutzrichtlinie mit ausreichender Vorlaufzeit zukommen lassen.

(43)Der ANBIETER entscheidet von Fall zu Fall, ob der BENUTZER Änderungen und Aktualisierungen ausdrücklich akzeptieren muss oder ob die Nutzung nach einer festgelegten Frist als angenommen gilt. In jedem Fall wird dies allen LIZENZNEHMERN und BENUTZERN im Voraus mitgeteilt.

(44)Gegebenenfalls kann der ANBIETER dem BENUTZER digitale Ankündigungen zusenden, die akzeptiert werden müssen, um den Nachweis der Annahme sicherzustellen.

12. Allgemeines

(45)Diese Datenschutzrichtlinie des ANBIETERs stellt zusammen mit der aktuellen Version des Lizenzvertrags die gesamte Vereinbarung dar.

(46)Sollte irgendeine Bestimmung dieser Richtlinie von einem Gericht oder einer anderen zuständigen Behörde für ungesetzlich und/oder nicht durchsetzbar befunden werden, bleiben die anderen Bestimmungen dieser Richtlinie weiterhin in Kraft.

(47)Diese Richtlinie unterliegt schweizerischem Recht und ist in Übereinstimmung mit diesem auszulegen.

(48)Die Gerichte von Basel und Baselland, Schweiz, haben die ausschliessliche Zuständigkeit für die Entscheidung von Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben.

(49)Es gilt die englische Originalversion dieses Dokuments.