Datenverarbeitungsvereinbarung
Zuletzt aktualisiert: November 2025
Einleitung
Diese Auftragsverarbeitungsvereinbarung („AVV“) ist Bestandteil der Allgemeinen Geschäftsbedingungen (der „MSA“) der Luminocity AG („GeoVision“, „wir“, „uns“, „unser“).
DAHER stellt GeoVision die Software und die Dienste gemäß der MSA für Sie (zusammen „Sie“, „Ihr“) bereit; und
DAHER kann GeoVision im Zuge der Bereitstellung der Software und der Dienste gemäß der MSA personenbezogene Daten in Ihrem Namen in der Funktion als „Auftragsverarbeiter“ verarbeiten, und die Parteien wünschen, die Modalitäten für eine solche Verarbeitung festzulegen.
NUN DAHER vereinbaren die Parteien unter Berücksichtigung des Vorstehenden Folgendes:
1. AUSLEGUNG UND DEFINITIONEN
Die in dieser AVV enthaltenen Überschriften dienen lediglich der Übersichtlichkeit und dürfen nicht so ausgelegt werden, dass sie die Bestimmungen dieser AVV einschränken oder anderweitig beeinflussen. Verweise auf Klauseln oder Abschnitte beziehen sich auf die Klauseln oder Abschnitte dieser AVV, sofern nicht anders angegeben. Wörter im Singular schließen den Plural ein und umgekehrt, sofern der Kontext dies erfordert. Großgeschriebene Begriffe, die in diesem Abschnitt 1.2 oder an anderer Stelle in dieser AVV nicht definiert sind, haben die Bedeutung, die diesen Begriffen an anderer Stelle in der MSA zugewiesen wurde.
Definitionen:
„Datenschutzgesetze“ bezeichnet alle anwendbaren Datenschutz- und Privatsphärengesetze, die die Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung regeln, einschließlich des Schweizer Bundesgesetzes über den Datenschutz (DSG), der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) und aller Durchführungsgesetze des Europäischen Wirtschaftsraums und seiner Mitgliedstaaten, jeweils in der jeweils gültigen Fassung.
„Betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen.
„Mitgliedstaat“ bezeichnet ein Land, das der Europäischen Union und/oder dem Europäischen Wirtschaftsraum angehört. „Union“ bezeichnet die Europäische Union.
„DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann, und umfasst gegebenenfalls Informationen im Sinne des DSG.
„Kundendaten“ bezeichnet personenbezogene Daten, die uns von Ihnen oder in Ihrem Namen zur Verfügung gestellt oder anderweitig von uns oder in unserem Namen im Zuge Ihrer Nutzung und der Nutzung durch Ihr Personal der Software und Dienste erhoben oder verarbeitet werden, z. B. beim Hochladen oder Erstellen personenbezogener Daten in einem Ihrer Projekte, die wir auf unserer Plattform hosten. Kundendaten schließen Kundenbeziehungsdaten aus.
„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
„Auftragsverarbeiter“ bezeichnet die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
„Kundenbeziehungsdaten“ bezeichnet alle Daten, die uns von Ihnen oder in Ihrem Namen zur Verfügung gestellt oder anderweitig von uns oder in unserem Namen durch eine Beauftragung von GeoVision zum Erhalt der Software und Dienste erhoben oder verarbeitet wurden, einschließlich pseudonymisierter, aggregierter und/oder statistischer Daten, die sich auf die Nutzung der Software und Dienste durch Sie und Ihr Personal beziehen oder daraus abgeleitet wurden, wie Analysen, Metadaten und Audit-Logs.
„Unterauftragsverarbeiter“ bezeichnet jeden Auftragsverarbeiter, der von GeoVision und/oder verbundenen Unternehmen von GeoVision beauftragt wird.
„Aufsichtsbehörde“ bezeichnet eine unabhängige staatliche Stelle, die von einem EU-Mitgliedstaat gemäß der DSGVO oder vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in der Schweiz gemäß dem DSG eingerichtet wurde.
„Schweizer Standardvertragsklauseln“ oder „Schweizer SCCs“ bezeichnet, sofern anwendbar, die vom EDÖB anerkannten oder anderweitig angenommenen Standardvertragsklauseln zur Regelung internationaler Datentransfers unter dem DSG, in der jeweils gültigen Fassung.
2. VERARBEITUNG PERSONENBEZOGENER DATEN
Rollen der Parteien. Die Parteien erkennen an und vereinbaren, dass GeoVision in Bezug auf die Verarbeitung von Kundendaten ein Auftragsverarbeiter ist.
Ihre Verarbeitung personenbezogener Daten. Sie werden bei Ihrer Nutzung der Software und Dienste personenbezogene Daten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze verarbeiten und jederzeit die darin festgelegten Verpflichtungen einhalten. Sie tragen die alleinige Verantwortung dafür, wie Sie personenbezogene Daten erwerben und sicherstellen, dass Ihre Anweisungen zur Verarbeitung personenbezogener Daten sowie Ihre Nutzung und die Nutzung der Software und Dienste durch Ihre Nutzer jederzeit den Datenschutzgesetzen entsprechen. Ohne Einschränkung werden Sie alle Transparenzpflichten erfüllen (einschließlich der Anzeige aller relevanten und erforderlichen Datenschutzhinweise oder -richtlinien) und über alle erforderlichen Rechtsgrundlagen verfügen, um die personenbezogenen Daten zu erheben, zu verarbeiten und an GeoVision zur Verarbeitung gemäß dieser AVV zu übermitteln.
3. VERARBEITUNG VON KUNDENDATEN DURCH GEOVISION
GeoVision darf Kundendaten ausschließlich gemäß Ihren dokumentierten Anweisungen verarbeiten, soweit dies für die Bereitstellung der Software und Dienste sowie für die Erfüllung der MSA, dieser AVV und der Datenschutzgesetze erforderlich ist, sofern nicht gesetzlich etwas anderes vorgeschrieben ist; in einem solchen Fall wird GeoVision Sie vor der Verarbeitung über die gesetzlichen Anforderungen informieren, sofern das betreffende Gesetz eine solche Information nicht aus wichtigen Gründen des öffentlichen Interesses untersagt. Die Dauer, Art und der Zweck der Verarbeitung sowie die Arten der verarbeiteten Kundendaten und Kategorien betroffener Personen sind zudem in Anlage 1 zu dieser AVV spezifiziert.
Wenn und soweit GeoVision eine Anweisung von Ihnen nicht befolgen kann oder eine solche Anweisung für rechtswidrig hält, wird (i) GeoVision Sie unter Angabe angemessener Details über das Problem informieren, (ii) GeoVision berechtigt sein, ohne jegliche Haftung Ihnen gegenüber die gesamte Verarbeitung der betroffenen Kundendaten vorübergehend einzustellen (außer der sicheren Speicherung dieser Daten), und (iii) falls die Parteien sich nicht auf eine Lösung des betreffenden Problems und die damit verbundenen Kosten einigen, kann jede Partei als einzigen Rechtsbehelf den Vertrag über die betroffene Software und Dienste sowie diese AVV in Bezug auf die betroffene Verarbeitung kündigen, und Sie haben GeoVision alle unbezahlten Beträge zu zahlen, die GeoVision bis zum Wirksamwerden der Kündigung schuldet. Sie haben keine weiteren Ansprüche gegen GeoVision (einschließlich, aber nicht beschränkt auf die Forderung nach Rückerstattungen für Software oder Dienste) aufgrund der Beendigung des Vertrags über die betroffene Software und Dienste und der AVV in der in diesem Absatz beschriebenen Situation.
Wir werden Sie unverzüglich benachrichtigen, wenn nach unserer Meinung Ihre Anweisungen gegen Datenschutzvorschriften verstoßen. GeoVision haftet nicht im Falle eines Anspruchs eines Dritten, einschließlich, aber nicht beschränkt auf eine betroffene Person, der sich aus einer Handlung oder Unterlassung von GeoVision ergibt, sofern dies das Ergebnis Ihrer Anweisungen ist.
4. PERSONAL VON GEOVISION
Vertraulichkeit. GeoVision gewährt Personen, die seiner Aufsicht unterstehen (einschließlich, aber nicht beschränkt auf sein Personal), nur auf einer „Need-to-know“-Basis Zugriff auf die Kundendaten und stellt sicher, dass sich diese an der Verarbeitung von Kundendaten beteiligten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. GeoVision darf Kundendaten offenlegen und verarbeiten (a) wie hierin gestattet, (b) soweit dies von einem zuständigen Gericht oder einer anderen Aufsichtsbehörde verlangt wird und/oder anderweitig nach geltendem Recht oder geltenden Datenschutzgesetzen erforderlich ist (in einem solchen Fall wird GeoVision Sie vor der Offenlegung über die gesetzliche Anforderung informieren, es sei denn, das Gesetz untersagt eine solche Information aus wichtigen Gründen des öffentlichen Interesses), oder (c) auf einer „Need-to-know“-Basis unter einer Vertraulichkeitsverpflichtung gegenüber Rechtsberatern, Datenschutzberatern, Buchhaltern, Investoren oder potenziellen Erwerbern.
5. SICHERHEIT
Kontrollen zum Schutz von Kundendaten. GeoVision wird alle dem Branchenstandard entsprechenden technischen und organisatorischen Maßnahmen aufrechterhalten, die gemäß Artikel 32 der DSGVO und den entsprechenden Bestimmungen des Schweizer Bundesgesetzes über den Datenschutz (DSG) erforderlich sind, um die Sicherheit (einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, Beschädigung, unbefugter Offenlegung von oder Zugriff auf Kundendaten), Vertraulichkeit und Integrität der Kundendaten zu gewährleisten, wie in der Sicherheitsdokumentation dargelegt, die hiermit von Ihnen genehmigt wird. GeoVision überwacht regelmäßig die Einhaltung dieser Maßnahmen und wird Sie über alle wesentlichen Änderungen an der Sicherheitsdokumentation informieren. Auf Ihr Verlangen wird GeoVision die Umsetzung solcher Maßnahmen nachweisen. GeoVision wird Sie in angemessener Weise bei der Einhaltung der Artikel 32 bis 36 der DSGVO und der relevanten Bestimmungen des DSG unterstützen, unter Berücksichtigung der Art der Verarbeitung und der GeoVision zur Verfügung stehenden Informationen.
Zertifizierungen und Audits durch Dritte. Auf Ihre schriftliche Anfrage in angemessenen Abständen und vorbehaltlich der in der Vereinbarung und dieser AVV festgelegten Vertraulichkeitspflichten wird GeoVision Audits auf Ihre Kosten und Ausgaben zulassen und dazu beitragen sowie Ihnen eine Kopie der jeweils aktuellsten Audits oder Zertifizierungen durch Dritte zur Verfügung stellen, sofern diese Audits, Zertifizierungen und die daraus resultierenden Ergebnisse, einschließlich der Dokumente, die das Ergebnis des Audits und/oder der Zertifizierungen widerspiegeln, von Ihnen ausschließlich zur Bewertung der Einhaltung dieser AVV und/oder der geltenden Datenschutzgesetze verwendet werden und ohne vorherige schriftliche Zustimmung von GeoVision nicht für andere Zwecke verwendet oder an Dritte weitergegeben werden dürfen; auf erste Aufforderung von GeoVision hin haben Sie alle in Ihrem Besitz oder unter Ihrer Kontrolle befindlichen Aufzeichnungen oder Dokumentationen zurückzugeben, die GeoVision im Rahmen des Audits und/oder der Zertifizierungen zur Verfügung gestellt hat. Ungeachtet gegenteiliger Bestimmungen dürfen solche Audits und/oder Inspektionen keine Informationen enthalten, insbesondere keine personenbezogenen Daten, die nicht Ihnen gehören. Sofern und soweit Sie Dritte mit der Durchführung solcher Audits beauftragen, dürfen diese Dritten (i) keine Wettbewerber von GeoVision sein und (ii) müssen mindestens branchenüblichen Vertraulichkeitspflichten zum Schutz der Geschäfts- und Betriebsgeheimnisse von GeoVision unterliegen.
6. DATENÜBERMITTLUNG IN DRITTLÄNDER
Kundendaten können aus der Schweiz oder dem Europäischen Wirtschaftsraum (EWR) in Länder übermittelt werden, die ein angemessenes Datenschutzniveau gemäß einem Angemessenheitsbeschluss der Europäischen Kommission oder des Schweizer Bundesrates bieten, ohne dass zusätzliche Garantien erforderlich sind.
Übermittlung in Drittländer. Wenn die Verarbeitung von Kundendaten Übermittlungen aus der Schweiz oder dem EWR in Länder beinhaltet, die kein angemessenes Datenschutzniveau bieten („Drittländer“), werden die Parteien die Artikel 44 ff. der DSGVO und die entsprechenden Bestimmungen des Schweizer Bundesgesetzes über den Datenschutz (DSG) einhalten. Dies umfasst, falls erforderlich, den Abschluss der geltenden von der Europäischen Kommission angenommenen Standardvertragsklauseln oder die Nutzung eines anderen gültigen Übermittlungsmechanismus, der unter der DSGVO oder dem DSG für solche Übermittlungen personenbezogener Daten in Drittländer anerkannt ist.
7. RECHTE DER BETROFFENEN PERSONEN
Anfrage betroffener Personen. Wenn GeoVision eine Anfrage einer betroffenen Person zur Ausübung ihrer Rechte („Anfrage betroffener Personen“) erhält, wird GeoVision Sie, soweit gesetzlich zulässig, unverzüglich benachrichtigen und diese Anfrage an Sie weiterleiten. Unter Berücksichtigung der Art der Verarbeitung wird GeoVision wirtschaftlich angemessene Anstrengungen unternehmen, um Sie durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung Ihrer Verpflichtung zur Beantwortung einer Anfrage betroffener Personen gemäß den Datenschutzgesetzen zu unterstützen. Soweit gesetzlich zulässig, sind Sie für alle Kosten verantwortlich, die durch die Erbringung dieser Unterstützung durch GeoVision entstehen.
8. MANAGEMENT UND BENACHRICHTIGUNG BEI VORFÄLLEN MIT KUNDENDATEN
Soweit nach den geltenden Datenschutzgesetzen erforderlich, wird GeoVision Sie ohne unnötige Verzögerung, sofern möglich innerhalb von 48 Stunden, benachrichtigen, nachdem GeoVision von der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Änderung, der unbefugten Offenlegung von oder dem Zugriff auf Kundendaten Kenntnis erlangt hat, die von GeoVision oder seinen Unterauftragsverarbeitern übermittelt, gespeichert oder anderweitig verarbeitet wurden (ein „Datenvorfall“). GeoVision wird angemessene Anstrengungen unternehmen, um die Ursache eines solchen Datenvorfalls zu identifizieren und die Schritte zu unternehmen, die GeoVision für notwendig, möglich und angemessen hält, um die Ursache eines solchen Datenvorfalls zu beheben, soweit die Behebung innerhalb der angemessenen Kontrolle von GeoVision liegt. Mit Ausnahme der Benachrichtigung gelten die hierin enthaltenen Verpflichtungen nicht für Datenvorfälle, die von Ihnen oder Ihren Nutzern verursacht wurden. In jedem Fall sind Sie dafür verantwortlich, die Aufsichtsbehörden und/oder betroffenen Personen zu benachrichtigen (sofern dies nach den Datenschutzgesetzen und -vorschriften erforderlich ist).
9. RÜCKGABE UND LÖSCHUNG VON KUNDENDATEN
GeoVision wird nach Ihrer Wahl nach Beendigung der Bereitstellung der Software und/oder Dienste die Kundendaten an Sie zurückgeben oder löschen und vorhandene Kopien löschen, sofern das anwendbare Recht nicht eine weitere Speicherung der Kundendaten vorschreibt. In jedem Fall kann GeoVision, soweit nach geltendem Recht zulässig, eine Kopie der Kundendaten zu Beweiszwecken und/oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen und/oder zur Einhaltung geltender Gesetze und Vorschriften aufbewahren. Die Kundendaten werden in dem Format zurückgegeben, das für Kunden von GeoVision allgemein verfügbar ist. Die Verpflichtungen zur Löschung oder Rückgabe von Kundendaten gemäß diesem Abschnitt 9 gelten nicht, wenn und soweit Sie Ihre Kundendaten unter Verwendung der hierfür bereitgestellten Funktionen der Software und/oder Dienste selbst abrufen und/oder löschen können.
10. KÜNDIGUNG
Diese AVV endet automatisch mit der Kündigung oder dem Ablauf der Vereinbarung, unter der die Software und/oder die Dienste bereitgestellt werden. Die Abschnitte 2.2 und 11 überdauern die Beendigung oder den Ablauf dieser AVV aus jeglichem Grund.
11. HAFTUNGSBESCHRÄNKUNGEN
Die in der MSA festgelegten Haftungsbeschränkungen gelten entsprechend für diese AVV. Zur Vermeidung von Zweifeln wird die Haftung von GeoVision gegenüber betroffenen Personen nach geltenden Datenschutzgesetzen nicht beschränkt.