Nutzungs- und Datenschutzvereinbarung

Präambel

(a) Die MindNow AG ("MindNow") ist Betreiberin der Applikation Mindful ("Mindful"), die in der Schweiz über den iOS und Android App Store verfügbar ist.

(b) Der Betrieb (der "Betrieb") ist verpflichtet, Kontaktdaten seiner Gäste ("User") zu erheben, bis 14 Tage nach dem Besuch des Betriebs aufzubewahren und anschliessend sofort zu vernichten. Die Kontaktdaten müssen zwecks Identifizierung und Benachrichtigung ansteckungsverdächtiger Personen der zuständigen kantonalen Stelle auf deren Anfrage hin weitergeleitet werden, wobei die Daten vom Betrieb zu keinen anderen Zwecken verwendet werden dürfen.

(c) Mindful ermöglicht es dem Betrieb, die Kontaktdaten der User datenschutzkonform zu erfassen, für den erforderlichen Zeitraum verschlüsselt aufzubewahren und danach automatisiert zu vernichten. Dabei agiert MindNow als Auftragsdatenverarbeiter des Betriebs.

Dies vorausgeschickt, vereinbaren MindNow und der Betrieb, welcher diese Nutzungs- und Datenschutzvereinbarung im Rahmen der Eröffnung eines Betriebs-Accounts akzeptiert (gemeinsam die "Parteien") die folgende Nutzungs- und Datenschutzvereinbarung (die "Vereinbarung"):

Anwendungs- und Regelungsbereich

Im Rahmen dieser Vereinbarung überlässt der Betrieb MindNow Personendaten betreffend die User zur Bearbeitung in seinem Auftrag. Es sind keine besonders schützenswerte Personendaten von der Bearbeitung durch MindNow betroffen.

MindNow erhält Zugriff auf folgende Kategorien von Personendaten der User ("Personendaten"):

  • Vorname;
  • Nachname;
  • E-Mail-Adresse;
  • Adresse;
  • Postleitzahl;
  • Geburtsdatum;
  • Handynummer.

Diese Vereinbarung regelt die Nutzung von Mindful durch den Betrieb sowie die datenschutzrechtlichen Belange in Bezug auf die Zusammenarbeit zwischen den Parteien.

Leistungen von MindNow

Die User können Mindful über den iOS bzw. Android App Store herunterladen und installieren. Beim erstmaligen Aufstarten von Mindful werden die User aufgefordert, die Personendaten gemäss Ziffer 1(b) einzugeben. Die Handynummer ist durch Eingabe eines per SMS erhaltenen Codes zu verifizieren.

Die Personendaten werden daraufhin sowohl unverschlüsselt in Klartext als auch mit einem sog. public key via asynchroner Verschlüsselungsmethodik verschlüsselt lokal im App-Speicher von Mindful gespeichert. Die verschlüsselten Daten können nur noch mittels des sog. private key entschlüsselt werden, auf welchen ausschliesslich MindNow und (im Falle der Herausgabe der Daten an den Betrieb aufgrund dessen Abfrage) der Betrieb Zugriff haben.

Scannt ein User mit seinem Handy den ihm vom Betrieb zur Verfügung gestellten QR Code, werden ihm in einem sog. Check-In-Screen in Mindful die von ihm zuvor gespeicherten Daten angezeigt. Danach stimmt der User der Übermittlung der angezeigten Kontaktdaten an MindNow zu. Die verschlüsselten Daten des Users werden daraufhin zusammen mit zusätzlichen Angaben (siehe Ziffer3(e)) mittels SSL-verschlüsselter Verbindung an den Server von MindNow (aktuell einem von Google Cloud mit Serverstandort Zürich, Schweiz zur Verfügung gestellten Server) übermittelt und dort jeweils für 14 Tage gespeichert.

Nach dem Verlassen des Betriebs kommuniziert der User durch Anklicken eines entsprechenden Buttons in Mindful sein Verlassen des Betriebs ("Checkout"). Unterlässt der User diese Kommunikation, wird sein Checkout nach einer gewissen vom Betrieb vorgegebenen Zeit automatisch vorgenommen. Der Zeitpunkt des Checkouts wird daraufhin von MindNow ebenfalls mittels SSL-verschlüsselter Verbindung an den Server von MindNow übermittelt und dort gespeichert.

Der an den Server übermittelte Datensatz besteht aus folgenden Angaben:

  • verschlüsselte Kontaktdaten des Users;
  • Zeitpunkt des Eintritts in den Betrieb;
  • Angaben zum Betrieb;
  • nach dem Checkout: Zeitpunkt des Verlassens des Betriebs;
  • Device Token (eine Kennung für das Push-Benachrichtigungssystem für iOS und Android Geräte);
  • ggf. zusätzliche Angaben, die vom Betrieb zur Verfügung gestellt werden (z.B. Sitzplatz- oder Tischnummer, Sektor).

Erfragt in der Folge der zuständige kantonsärztliche Dienst beim Betrieb die Kontaktdaten der Gäste für einen bestimmten Zeitraum, werden die auf dem Server hinterlegten Daten, welche diesen Zeitraum betreffen, von MindNow abgefragt und die verschlüsselten Kontaktdaten des Users mit dem private key entschlüsselt und dem Betrieb übermittelt, der diese alsdann an den kantonsärztlichen Dienst weiterleitet.

MindNow erbringt die Dienstleistungen gemäss dieser Vereinbarung für den Betrieb kostenlos.

Pflichten von MindNow

MindNow ist verpflichtet:

Personendaten ausschliesslich im Rahmen der Erfüllung der Leistungen gemäss dieser Vereinbarung zu bearbeiten. Die Bearbeitung erfolgt im Auftrag des Betriebs und gestützt auf dessen Weisung, welche (soweit nicht hierin bereits festgehalten) schriftlich erfolgt bzw. schriftlich bestätigt wird.

die Personendaten ausschliesslich in der Schweiz zu bearbeiten und lediglich verschlüsselte Personendaten an den Server zu übermitteln oder dort zu speichern.

die an den Server übermittelten verschlüsselten Daten nach 14 Tagen unmittelbar zu löschen.

den Betrieb bei Verstössen gegen Datenschutzvorschriften durch MindNow zu benachrichtigen.

nur Mitarbeiter und Dienstleister mit der Verarbeitung der Personendaten zu betrauen, die sich zur Vertraulichkeit verpflichtet haben oder die einer gesetzlichen Verschwiegenheitsverpflichtung unterliegen.

dem Betrieb auf Anfrage sämtliche Informationen zur Verfügung zu stellen, welche nötig sind, damit dieser sich über die Einhaltung dieses Vertrags durch MindNow vergewissern kann.

ohne Zustimmung des Betriebs keine Sub-Auftragsdatenverarbeiter beizuziehen. In Bezug auf den Beizug von Amazon Web Services durch MindNow hat der Betrieb zugestimmt. Mit Sub-Auftragsdatenverarbeitern sind Vereinbarungen zu schliessen, welche den Schutz der Daten der User auf einem vergleichbaren Niveau sicherstellen, wie es diese Vereinbarung für MindNow statuiert. Für durch MindNow beigezogene Auftragsdatenverarbeiter haftet MindNow gegenüber dem Betrieb im Falle einer Verletzung von Datenschutzpflichten.

nach Beendigung dieser Vereinbarung dem Betrieb sämtliche in ihrem Besitz befindlichen und dem Betrieb gehörenden Personendaten auszuhändigen oder zu löschen. MindNow ist es erlaubt, Kopien zurückbehalten, sofern und soweit dies zur Erfüllung gesetzlicher Aufbewahrungspflichten, zur Erfüllung von im Vertrag vereinbarten nachwirkenden Vertragspflichten und zur Erfüllung berechtigter Beweissicherungsinteressen erforderlich ist.

Pflichten des Betriebs

Der Betrieb ist dafür verantwortlich, dass die Personendaten rechtmässig erhoben wurden und dass deren Bearbeitung im Sinne der Vereinbarung rechtmässig ist. MindNow informiert, soweit möglich, die betroffenen Datensubjekte im Auftrag des Betriebs über die Datenbearbeitung unter dieser Vereinbarung mittels einer Datenschutzerklärung, holt – falls erforderlich – deren Zustimmung ein und klärt sie über ihre Rechte auf.

Der Betrieb ist für die Qualität und Richtigkeit der Personendaten allein verantwortlich. Er unterrichtet MindNow ohne Verzug über allfällige datenschutzrelevante Fehler, die ihm bei der Prüfung der Verarbeitung der Personendaten zur Kenntnis gelangen.

Für Ansprüche, die ein Dritter gegenüber MindNow mit der Begründung geltend macht, die Datenverarbeitung gemäss dieser Vereinbarung sei gesetzeswidrig oder anderweitig unzulässig, stellt der Betrieb MindNow von den vorgebrachten Ansprüchen sowie den dadurch entstandenen, angemessenen Kosten frei.

Anfragen von Betroffenen Datensubjekten

Die Parteien vereinbaren, dass grundsätzlich MindNow Anfragen von betroffenen Datensubjekten bearbeiten wird. Dem Betrieb ist es gestattet, allfällige Anfragen in Zusammenhang mit der Bearbeitung von Personendaten unter diesem Vertrag an MindNow weiterzuleiten. Vorbehalten bleiben Fälle der gesetzlich zwingenden Auskunftserteilung durch den Betrieb.

Gewährleistung

Die Gewährleistung von MindNow wird vollumfänglich ausgeschlossen. Insbesondere gewährleistet MindNow nicht die ununterbrochene, störungsfreie Verfügbarkeit von Mindful.

Haftung

Die Haftung von MindNow wird – soweit gesetzlich zulässig – vollumfänglich ausgeschlossen. Dieser Haftungsausschluss gilt nicht für Personenschäden sowie für vorsätzlich und grobfahrlässig verursachte Schäden. Für solche Schäden haftet MindNow ohne Begrenzung.

Laufzeit und Kündigung

Die Vereinbarung wird für eine unbefristete Dauer abgeschlossen und kann von beiden Parteien unter Einhaltung einer Kündigungsfrist von 14 Tagen gekündigt werden.

Gerichtsstand und anwendbares Recht

Die Vereinbarung untersteht ausschliesslich dem Schweizer Recht unter Ausschluss des Übereinkommens der Vereinten Nationen vom 11. April 1980 über den internationalen Warenkauf und des Bundesgesetzes über das Internationale Privatrecht.

Für Streitigkeiten aus oder im Zusammenhang mit der Vereinbarung sind ausschliesslich die Gerichte in Zürich zuständig.