General Data Protection Regulation
Wir bei Lucca haben nicht erst auf das Inkrafttreten des DSG und der DSGVO gewartet, um die Vertraulichkeit und Sicherheit Ihrer Daten zu gewährleisten. Diese Gesetze verschärfen jedoch einige unserer Verpflichtungen. Wir haben daher die notwendigen Schritte unternommen, um die Einhaltung der Vorschriften zu gewährleisten. Die Einzelheiten dazu finden Sie unten.
Die Lucca-Lösungen verwalten Informationen (Urlaub, Spesenabrechnungen, Lohnabrechnungen, Personalakten…), bei denen es sich um „Personendaten“ im Sinne des Bundesgesetzes über den Datenschutzgesetz (DSG) und der Datenschutz-Grundverordnung des Europäischen Parlament und des Rates (DSGVO) handelt.
Wenn Sie also ein Kunde von uns sind, unterliegen Sie den Bestimmungen des DSG in zweierlei Hinsicht:
- Durch Ihre Beziehung zu uns, da wir als Ihr Auftragsbearbeiter fungieren (Artikel 5 Buchstabe k, 9 und 19 ff. DSG und Artikel 28 DSGVO),
- durch Ihre Beziehungen zu Ihren Mitarbeitenden, da Sie der Verantwortlicher für die Verarbeitung der personenbezogenen Daten Ihrer Mitarbeitenden über die Lucca-Lösungen sind (Artikel 5 Buchstabe j, 7 und 19 ff. des DSG und Artikel 24 der DSGVO).
Darüber hinaus verarbeiten wir personenbezogene Daten, um mit den Administratoren unserer Lösungen sowie mit unseren potenziellen Kunden zu kommunizieren, insbesondere per E-Mail. In dieser Funktion sind wir für die Verarbeitung verantwortlich.
Definitionen der wichtigsten Begriffe
Das DSG und die DSGVO sind dichte und komplexe Texte, deren Bestimmungen manchmal Interpretationsspielraum offenlassen oder abstrakt erscheinen können. Dennoch ist es wichtig, die folgenden vier Definitionen zu kennen, um sie besser zu verstehen.
Personendaten
Personenbezogene Daten im Sinne der DSGVO sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Zur besseren Lesbarkeit wird im Folgenden auf den Begriff „Personendaten“ Bezug genommen.
Bei Lucca handelt es sich daher bei fast allen Informationen, die Sie mit unseren Lucca-Lösungen verwalten, sei es ein Mitarbeiterdatensatz, ein Abwesenheitsantrag oder eine Beurteilung, um personenbezogene Daten.
Bearbeitung der Personendaten
Bearbeitung ist jeder mit oder ohne Hilfe von automatisierten Verfahren ausgeführte Vorgang im Zusammenhang mit Personendaten, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgaben, Archivieren, Löschen oder Vernichten von Daten.
Lucca bearbeitet die Personendaten ihrer Kunden. Zum Beispiel speichert Lucca die Personendaten der Mitarbeiter während der gesamten Vertragsdauer mit ihren Kunden und löscht sie innerhalb von 30 Tagen nach Beendigung des Vertrags.
Verantwortlicher für die Bearbeitung
Verantwortlicher ist jeweils die (natürliche oder juristische) Privatperson oder das Bundesorgan, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Bearbeitung Personendaten festlegt. Der für die Bearbeitung Verantwortliche ist für die Einhaltung des DSG bzw. der DSGVO innerhalb seiner Organisation verantwortlich, insbesondere für die Einhaltung der Rechte der Mitarbeiter (Auskunftsrecht usw.).
Alle Kunden unserer Lucca-Lösungen sind daher als für die Bearbeitung Verantwortliche anzusehen.
Auftragsbearbeiter
Auftragsbearbeiter ist jeweils die private (natürliche oder juristische) Person oder das Bundesorgan, das Personendaten im Auftrag des für die Bearbeitung Verantwortlichen bearbeitet.
Lucca hat gegenüber allen seinen Kunden den Status eines Auftragsbearbeiters.
Luccas Verpflichtungen als Auftragsbearbeiterin
Wenn Sie ein Kunde von Lucca sind, dann sind wir Ihre Auftragsbearbeiterin. In dieser Eigenschaft verpflichten wir uns, unsere Verpflichtungen gemäss Artikel 9 sowie Kapitel 3 des DSG und Artikel 28 der DSGVO einzuhalten. Dementsprechend haben wir insbesondere einen Datenschutzbeauftragten (Data Protection Officer, DPO) ernannt, den Sie über rgpd@lucca.fr kontaktieren können.
Als Auftragsbearbeiterin gehen wir ausserdem die folgenden Verpflichtungen ein:
- Wir bearbeiten die Personendaten Ihrer Mitarbeiter nur im Zusammenhang mit der Durchführung und Abwicklung der von Ihnen abonnierten Lucca Online-Dienste. In keinem Fall werden die Daten Ihrer Mitarbeiter verkauft oder zu Marketingzwecken verwendet.
- Wir vermitteln Ihre Daten nicht ausserhalb der Europäischen Union.
Hosts
Für Kunden mit Wohnsitz in der Schweiz beauftragen wir zwei Auftragsverarbeiter mit dem Hosting unserer Anwendungen und damit auch mit dem Hosting der Personendaten der Mitarbeiter:
- der Firma Microsoft Azure auf Servern in der Schweiz ;
- GCP auf Servern in der Schweiz, die nur für verschlüsselte Backups verwendet werden.
Für Kunden, mit Wohnsitz in der Europäischen Union entschieden:
- der Firma OVH auf Servern in Frankreich und Deutschland;
- Scaleway Azure auf Servern in Frankreich und Königreich der Niederlande, die nur für verschlüsselte Backups verwendet werden.
- Wir werden Sie über Änderungen bei den Auftragsbearbeitern, die wir mit der Bearbeitung einiger Ihrer Personendaten beauftragen, informieren und stellen sicher, dass diese als Auftragsbearbeiter das DSG und die DSGVO einhalten.
- Wir werden den Zugriff auf Ihre Personendaten nur ordnungsgemäss befugten Mitarbeiterinnen und Mitarbeitern von Lucca vorbehalten, insbesondere um Sie bei Supportfunktionen zu unterstützen.
- Wir garantieren Ihnen ein hohes Mass an Sicherheit und Schutz Ihrer Daten.
- Wir sensibilisieren unsere Mitarbeiter für die Vertraulichkeit Personendaten, die Herausforderungen der Datensicherheit und die geltenden Vorschriften zum Schutz dieser Daten.
- Wir benachrichtigen Sie innerhalb von 48 Stunden nach Bekanntwerden einer Datenverletzung.
Frage
Welche Massnahmen hat Lucca hinsichtlich Datensicherheit und Datenschutz getroffen?
Lucca hat Sicherheitsmassnahmen ergriffen, um die Integrität und Vertraulichkeit der Personendaten, die Sie uns anvertrauen, zu gewährleisten. Zu diesem Zweck hat Lucca im Juli 2022 die Zertifizierung ISO 27001 erhalten, die unser Engagement für die Informationssicherheit zum Ausdruck bringt.
Insbesondere:
- Systematische Verschlüsselung von Daten, die über das öffentliche Netz transportiert werden.
- Replikation von Produktionsdaten an einem geografisch entfernten Standort.
- Stündliche verschlüsselte (AES 256) Offsite-Backups bei GCP Storage (Zürich) oder bei Scaleway Paris (PRA) für unsere Kunden, die sich für ein Hosting in der Europäischen Union entschieden haben.
- Löschen von Personendaten, wenn die Daten den Produktionsbereich verlassen.
- Regelmässige Sicherheitsaudits und Penetrationstests.
- Sichere Entwicklungspolitik mit blockierenden Kontrollen.
Schliesslich bewerten wir regelmässig die Risiken und passen das Niveau unserer Sicherheitmassnahmen entsprechend an.
Ihre Pflichten als Verantwortlicher für die Bearbeitung
Mit unseren Lösungen verwalten Sie die Personendaten Ihrer Mitarbeiterinnen und Mitarbeiter.
Dementsprechend haben Ihre Mitarbeitenden Rechte in Bezug auf diese Daten. Es liegt in Ihrer Verantwortung, ihnen die Ausübung dieser Rechte zu ermöglichen. Unsere Lösungen unterstützen Sie dabei.
Auskunftsrecht (Artikel 25 DSG und Artikel 15 DSGVO)
Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Wenn solche Daten bearbeitet werden, hat diese Person insbesondere das Recht, die bearbeiteten Personendaten zu erhalten.
Je nach Einstellung der Lösung haben die Mitarbeiter Zugang zu den sie betreffenden Informationen (oder können diesen Zugang bei ihrem Administrator beantragen). Nur Sie als Verantwortlicher können Ihren Mitarbeitern diese Möglichkeit gewähren oder verweigern.
Rechtsansprüche (Artikel 32 DSG und Artikel 16 DSGVO)
Die betroffene Person kann vom Verantwortlichen verlangen, dass unrichtige Personendaten berichtigt werden.
Die Lösung Poplee HR-Grundlagen (Employee Self Service) ermöglicht es den Mitarbeitern, alle oder einen Teil der sie betreffenden Personendaten selbst zu ändern.
Recht auf Löschung (Artikel 32 DSG) / Recht auf Vergessenwerden (Artikel 17 DSGVO)
Das DSG sieht in Bezug auf Klagen zum Schutz der Persönlichkeit nach Art. 28 ff. des Zivilgesetzbuches unter anderem vor, dass der Kläger die Löschung oder Vernichtung von Personendaten verlangen kann.
Die DSGVO sieht ihrerseits vor, dass die betroffene Person das Recht hat, von dem Verantwortlichen zu verlangen, dass die sie betreffenden Presonendaten so rasch wie möglich gelöscht werden.
Wir stellen unseren Kunden ein Modul für die Verwaltung des Rechts auf Löschung zur Verfügung. Dieses Modul ist den Administratoren unserer Lösungen vorbehalten und ermöglicht ihnen die Löschung Personendaten, insbesondere von Mitarbeitenden, die nicht mehr im Unternehmen tätig sind.
Weitere Informationen zu diesem Modul
Frage
Brauche ich die Einwilligung der Mitarbeitenden, bevor ich Lucca-Lösungen einsetze?*
Aufgrund des ungleichen Verhältnisses zwischen Arbeitgeber und Arbeitnehmer können die Arbeitnehmer selten frei ihre Einwilligung geben, es sei denn, ihre Annahme oder Verweigerung hat keine negativen Auswirkungen auf ihren Status als Arbeitnehmer.
Ist die Einwilligung des Betroffenen erforderlich, so ist sie nur dann rechtsgültig, wenn der Betroffene seinen Willen in Bezug auf eine oder mehrere bestimmte Behandlungen frei geäussert hat und nachdem er ordnungsgemäss aufgeklärt wurde. Artikel 6 DSG erinnert daran, dass die Einwilligung in drei Fällen ausdrücklich erfolgen muss:
- Wenn es sich um die Bearbeitung von besonders schützenswerten Personendaten handelt
- Wenn es sich um ein Profiling mit hohem Risiko durch eine private Person handelt
- Wenn es sich um ein Profiling durch ein Bundesorgan handelt
Die Einwilligung ist nur einer der in Art. 31 DSG und Art. 6 DSGVO aufgelisteten Rechtfertigungsgründe, um eine rechtmässige Bearbeitung Personendaten zu gewährleisten. Je nachdem, welche Bearbeitungszwecke Sie zuvor festgelegt haben, ist es daher Ihre Aufgabe, einen geeigneten Rechtfertigungsgrund zu bestimmen.
Luccas Verpflichtungen als Verantwortlicher für die Datenbearbeitung
Wir erheben und bearbeiten Personendaten, um unsere Kunden, Lieferanten und potenziellen Kunden zu verwalten und unsere Verträge mit unseren Kunden zu erfüllen.
Insbesondere verwenden wir bestimmte Personendaten der Administratoren unserer Lösungen (Vor- und Nachname, geschäftliche E-Mail-Adresse, Funktion), um mit ihnen zu kommunizieren und ihnen Wartungs- und Supportleistungen sowie Informationen über Entwicklungen und Neuerungen unserer Lösungen anzubieten.
Wir haben für Administratoren die Möglichkeit vorgesehen, den Erhalt dieser Informationen zu deaktivieren, in diesem Fall besteht jedoch das Risiko, dass sie nicht vollständig über alle Funktionen und/oder Entwicklungen der Lucca-Lösungen informiert werden.
- Wir beschränken die Erhebung von Daten auf die unbedingt notwendigen Daten.
- Wir verwenden die gesammelten Daten nicht für andere Zwecke als die, für die sie gesammelt wurden.
- Wir räumen den Administratoren unserer Lösungen das Recht auf Zugang, Berichtigung oder Löschung ihrer persönlichen Daten ein.
- Wir setzen geeignete technische und organisatorische Massnahmen um, um ein hohes Sicherheitsniveau zu gewährleisten.
Diese Antworten stellen keine Rechtsberatung dar. Wir empfehlen Ihnen, Ihren Rechtsberater zu diesen Themen zu konsultieren.