StartseiteÜber unsPreiseMit einem Experten sprechen
StartseitePreiseÜber unsKontaktieren Sie uns
Logo
Mit einem Experten sprechen

Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA)

Rechtlich

Letzte Aktualisierung / 22. Juni 2025

1. Geltungsbereich und Rangfolge

Diese Datenverarbeitungsvereinbarung ("DPA") ist ein integraler Bestandteil der vertraglichen Beziehung zwischen dem Kunden und BeskarStaff AI im Rahmen der geltenden Nutzungsbedingungen, Dienstleistungsverträge und/oder Bestellformulare (zusammen der "Vertrag"). Sie legt die Bedingungen fest, unter denen BeskarStaff AI personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit den Dienstleistungen verarbeitet.

Die DPA kann von BeskarStaff AI von Zeit zu Zeit aktualisiert werden. Wesentliche Änderungen werden dem Kunden über geeignete Kanäle (z. B. E-Mail oder in In-App-Benachrichtigungen) mitgeteilt oder auf der Website veröffentlicht. Im Falle eines Widerspruchs zwischen DPA und Hauptvertrag haben die Bestimmungen dieser DPA Vorrang in Bezug auf die Verarbeitung personenbezogener Daten.

Die DPA bleibt so lange in Kraft, wie BeskarStaff AI personenbezogene Kundendaten im Rahmen des Vertrags verarbeitet. Begriffe mit Grossbuchstaben, die in dieser DPA nicht definiert sind, haben die Bedeutung, die ihnen im Vertrag oder nach geltendem Datenschutzrecht zukommt.

2. Definitionen

"Kundendaten / Customer Personal Data": Alle personenbezogenen Daten, die BeskarStaff AI von Kunden erhält oder im Auftrag des Kunden während der Nutzung der Dienste verarbeitet.

"Verarbeitung / Processing": Jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, z. B. Erhebung, Speicherung, Zugriff, Nutzung oder Löschung.

"revDSG / FADP": Revidiertes Schweizer Datenschutzgesetz vom 25.09.2020 einschliesslich der Ausführungsverordnung.

"Betroffene Person / Data Subject": Jede natürliche Person, deren personenbezogene Daten verarbeitet werden.

"Unterauftragsverarbeiter / Sub-processor": Jeder Dritte, der von BeskarStaff AI zur Verarbeitung personenbezogener Daten eingesetzt wird.

3. Verarbeitung personenbezogener Kundendaten

3.1 Rollen und Verantwortlichkeiten

Der Kunde agiert als Verantwortlicher (Controller) nach revDSG; BeskarStaff AI agiert als Auftragsverarbeiter (Processor). Der Kunde trägt die Verantwortung für die Rechtmässigkeit der Erhebung und Übermittlung der Daten sowie für die Festlegung von Zweck und Rechtsgrundlage der Verarbeitung.

3.2 Weisungen und Verarbeitungsumfang

BeskarStaff AI verarbeitet personenbezogene Kundendaten ausschliesslich gemäss dokumentierter Weisungen des Kunden (DPA + Service Agreement). Zusätzliche Weisungen müssen schriftlich vereinbart werden und können Anpassungen bei Umfang, Zeitplan oder Preis erforderlich machen.

3.3 Zulässige Verarbeitung

Daten werden ausschliesslich zur Erbringung der vertraglich vereinbarten Dienstleistungen verarbeitet. Verarbeitung über diesen Zweck hinaus (einschliesslich Weitergabe an Dritte) erfolgt nur, wenn gesetzlich vorgeschrieben oder vertraglich ausdrücklich erlaubt.

Hinweis: Es werden ausschliesslich öffentlich zugängliche Informationen verarbeitet (Name, berufliches Profil, Fotos auf Plattformen wie LinkedIn). Sensible Daten (z. B. Geschlecht, ethnische Herkunft, Religion) werden nicht verarbeitet oder erschlossen. Rückschlüsse über solche Merkmale liegen allein beim Kunden.

3.4 Unterstützung bei Betroffenenrechten

BeskarStaff AI unterstützt den Kunden bei Anfragen von Betroffenen (Auskunft, Berichtigung, Löschung). Der Kunde bleibt für die Bearbeitung verantwortlich; Unterstützung durch BeskarStaff AI erfolgt auf schriftliche Anfrage. Kosten für komplexe oder häufige Anfragen können separat verrechnet werden.

3.5 Unterauftragsverarbeiter

Unterauftragsverarbeiter dürfen nur mit Zustimmung des Kunden eingesetzt werden. Alle Sub-Processors sind vertraglich verpflichtet, vergleichbare Datenschutzstandards einzuhalten. Kunden werden über Änderungen informiert und können innerhalb einer angemessenen Frist Einspruch erheben. BeskarStaff AI bleibt für die Einhaltung durch Sub-Processors verantwortlich.

3.6 Technische und organisatorische Maßnahmen (TOMs)

BeskarStaff AI implementiert angemessene Maßnahmen zum Schutz der Kundendaten: Verschlüsselung, Zugriffsbeschränkung, Systemüberwachung, Backup und Audit-Protokolle.

3.7 Grenzüberschreitende Datenübermittlungen

Kundendaten dürfen ausserhalb der Schweiz nur in Länder mit angemessenem Datenschutzniveau übertragen werden (EU/EWR, Länder mit Angemessenheitsbeschluss) oder unter Verwendung von der Schweiz anerkannten Standardvertragsklauseln (SCC 2021/914). BeskarStaff AI gewährleistet die Einhaltung der Artikel 16-18 revDSG.

3.8 Löschung oder Rückgabe nach Vertragsende

Nach Beendigung der Dienstleistungen gibt BeskarStaff AI auf schriftliche Anfrage des Kunden alle personenbezogenen Daten zurück oder löscht sie sicher, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Erfolgt keine Rückgabe innerhalb von 30 Tagen, löscht BeskarStaff AI die Daten gemäss internen Richtlinien.

3.9 Datenschutzverletzung

BeskarStaff AI führt interne Verfahren zur Erkennung und Reaktion auf Datenschutzverletzungen. Bei Vorfällen informiert BeskarStaff AI den Kunden unverzüglich, einschliesslich Art des Vorfalls, betroffene Daten und Maßnahmen zur Schadensbegrenzung. Unterstützung bei rechtlichen Meldepflichten an Behörden oder betroffene Personen wird geleistet.

3.10 Gesetzlich vorgeschriebene Offenlegungen

BeskarStaff AI informiert den Kunden unverzüglich über behördliche oder gerichtliche Anordnungen, soweit nicht gesetzlich verboten. Unterstützung bei der Reaktion auf solche Anfragen wird geleistet.

3.11 Service Analytics

BeskarStaff AI darf aggregierte, nicht identifizierbare Daten zu Leistung und Nutzung der Services analysieren. Kundendaten werden dabei nicht identifizierbar.

3.12 Rechenschaftspflicht

BeskarStaff AI führt Aufzeichnungen über die Verarbeitungstätigkeiten gemäss Art. 12 revDSG. Nachweis über Einhaltung der Datenschutzpflichten wird auf Anfrage bereitgestellt.

Anhang 1 – Details der Verarbeitung

Datenexporteur: Kunde
Datenimporteur: BeskarStaff AI, Schweiz

Betroffene Personen: Kandidaten und Fachpersonen mit öffentlich zugänglichen Profilen (LinkedIn etc.)
Datenkategorien: Name, Beruf, Erfahrung, Ausbildung, Fähigkeiten, öffentliche Kontaktinfos, Profile-Links, Profilbilder
Zweck: Rekrutierungs- und Talent-Matching-Dienste
Dauer: Solange der Kunde die Services nutzt
Sub-Processors: Nur bei gleichwertigen Datenschutzverpflichtungen
Aufsichtsbehörde: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Autorisierte Zwecke: Identifizierung von Kandidaten und ggf. erste Kontaktaufnahme

Anhang 2 – Technische und organisatorische Maßnahmen

  • Hosting in Schweizer Rechenzentren mit physischen Sicherheitsmaßnahmen
  • Verschlüsselung bei Speicherung (AES-256) und Transport (TLS)
  • Zugriffsrechte nach Need-to-know, MFA für Administratoren
  • Regelmäßige Sicherheits-Scans, Penetrationstests, Patch-Management
  • Tägliche Backups, Notfall- und Wiederherstellungspläne
  • Löschung oder sichere Unbrauchbarmachung nach Vertragsende
  • Systemüberwachung, Backup und Audit-Protokolle

Kontakt

Allgemeine Anfragen: support@beskarstaff.com
Datenschutz: privacy@beskarstaff.com
Sicherheit: security@beskarstaff.com

Gerichtsstand: Zug, Schweiz.