Vereinbarung zur Auftragsdatenverarbeitung

Vereinbarung zur Auftragsdatenverarbeitung (ADV) zwischen dem Kunden der MGB Data AG («Auftraggeber») und der MGB Data AG, Bahnhofstrasse 9, 7302 Landquart («Auftragnehmer»). Einzeln als «Partei» oder gemeinsam als «Parteien» bezeichnet.

Präambel

(1) Der Auftraggeber beauftragt den Auftragnehmer mit Aufgaben zur Verarbeitung von personenbezogenen Daten («Daten») im Sinne datenschutzrechtlicher Bestimmungen. Dabei kann der Auftragnehmer Auftragsverarbeiter oder weiterer Auftragsverarbeiter im datenschutzrechtlichen Sinne sein. Solche Aufgaben finden im Rahmen der Erfüllung von Verträgen, Gewährleistungsrechten, von Supportanfragen, Wartungsanfragen oder sonstiger Aufgaben statt, in denen der Auftragnehmer Zugriff (auch mittels «Fernzugriff») auf Daten erhält oder auf andere Weise durch den Auftraggeber oder seine Kunden zur Verfügung gestellt bekommt oder zur Kenntnis nehmen kann.

(2) Zur Wahrung der gesetzlichen Anforderungen gilt diese Vereinbarung. Sie findet Anwendung auf alle Tätigkeiten, die mit zwischen den Parteien geschlossenen (mündlichen und schriftlichen) Verträgen in Zusammenhang stehen, bei denen Mitarbeitende des Auftragnehmers oder durch den Auftragnehmer Beauftragte Daten des Auftraggebers (dazu gehören auch Daten seiner Kunden) verarbeiten. Darüber hinaus gilt diese Vereinbarung für sämtliche zukünftigen Verträge, die eine Auftragsdatenverarbeitung vorsehen, welche die Parteien miteinander abschliessen.

Gegenstand der Vereinbarung

(1) Aus den jeweiligen zwischen den Parteien geschlossenen Verträgen, die eine Auftragsdatenverarbeitung beinhalten können, ergeben sich Gegenstand dieser Vereinbarung sowie ihre Art und ihr Zweck, auf den hier verwiesen wird.

(2) Die Auftragsdatenverarbeitung wird durch den Auftragnehmer in der Schweiz, in Mitgliedsstaaten der EU/des EWR und anderen Drittländern erbracht. Die Verarbeitung in einem Drittland erfolgt nach der hierin erteilten Zustimmung des Auftraggebers. Sofern die Daten einem Berufs- oder Amtsgeheimnis unterfallen oder sonstige vertragliche Geheimhaltungspflichten oder vertragliche Abmachungen eine Verarbeitung in einem Drittland ausschliessen würden, teilt der Auftraggeber dies dem Auftragnehmer vor der Verarbeitung durch den Auftragnehmer mit, damit das weitere Vorgehen zwischen den Parteien abgesprochen werden kann. Erfolgt keine Mitteilung, ist davon auszugehen, dass keine vorherige Zustimmung erforderlich ist. Der Auftraggeber ist allein dafür verantwortlich, dass erforderliche Rechtsgrundlagen für eine rechtmässige Datenverarbeitung ausserhalb der Schweiz vorliegen.

(3) Jede weitere Verlagerung der Auftragsdatenverarbeitung oder von Teilarbeiten dazu in weitere Drittstaaten erfolgt nur, wenn die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind (z. B. Angemessenheitsbeschluss, Standarddatenschutzklauseln, genehmigte Verhaltensregeln oder eine andere geeignete Garantie für die Datenübermittlung).

(4) Momentan werden zur Erbringung der Auftragsdatenverarbeitung keine weiteren Auftragsverarbeiter als die Mitarbeiter der MGB Data AG eingesetzt.

Dauer der Vereinbarung

(1) Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit der Verträge, die eine Auftragsdatenverarbeitung zwischen den Parteien zum Gegenstand haben, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

(2) Die Parteien können diese Vereinbarung zur Auftragsdatenverarbeitung unter Einhaltung einer Frist von 4 Wochen kündigen, wenn ein schwerwiegender Verstoss gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstössen setzt die eine Vertragspartei der anderen eine angemessene Frist, innerhalb welcher diese den Verstoss beheben kann.

Art und Zweck der Verarbeitung, Art der Daten sowie Kategorien betroffener Personen

(1) Die Tätigkeiten des Auftragnehmers umfassen Leistungen, die im Zusammenhang mit den in den jeweiligen, zwischen den Parteien geschlossenen Verträgen beschriebenen Vertragsprodukten stehen und bei denen eine Auftragsdatenverarbeitung durch den Auftragnehmer möglich ist. Die Tätigkeiten des Auftragnehmers können dabei u.a. folgendes umfassen:

  • Installation und Test der Vertragsprodukte
  • Nachbesserungen an den Vertragsprodukten
  • Wartung, Installation und Test von bereitgestellten Hotfixes, Service-Packs sowie neuen Versionen der Vertragsprodukte
  • Tätigkeiten im Rahmen des Supports
  • Zugriff auf und Verarbeitung von Daten
  • Erhalt und Verarbeitung von Datensicherungen mit der Möglichkeit, dabei Einsicht in Daten des Auftraggebers zu nehmen
  • Erhalt und Aufbereitung von Daten im Rahmen eines Abonnements
  • Hosting von Applikationen, Backup Servern, Software-Lösungen und Daten

Dabei sind folgende Arten der Verarbeitung möglich:

  • Erheben, Erfassen, die Organisation oder das Ordnen von Daten
  • Speicherung, Anpassung oder Veränderung von Daten
  • Auslesen, Abfragen, Verwendung sowie Offenlegung von Daten durch Übermittlung
  • Verbreitung oder andere Form der Bereitstellung, Abgleich oder Verknüpfung von Daten
  • Einschränkung, Löschen oder Vernichtung von Daten

(2) Die dabei verarbeiteten Arten der Daten sowie die Kategorien betroffener Personen ergeben sich aus dem jeweiligen Vertragsgegenstand und den Vertragsprodukten.

Dabei können folgende Arten von Daten betroffen sein:

  • Personenstammdaten (wie Vorname, Nachname, Geburtsdatum, Alter, Geschlecht, Nationalität)
  • Details von Identitätspapieren
  • Informationen über das Berufsleben wie Stellenbezeichnung, Funktion etc.
  • Informationen über das private Leben bspw. Familienstand, Hobbies etc.
  • Benutzerinformationen wie Logindaten, Kundennummer, Nutzerverhalten, Verbrauchsverhalten
  • (geschäftliche oder private) Kommunikationsdaten (z.B. Telefon, Adresse, E-Mail-Adresse)
  • Vertragsstammdaten (Vertragsbezeichnung, Produkt- bzw. Vertragsinteresse)
  • Kundenhistorie
  • Vertragsabrechnungs- oder Zahlungsdaten
  • Planungs- und Steuerungsdaten
  • Projektdaten
  • Auskunftsangaben (von Dritten, z.B. Auskunfteien, Daten aus öffentlichen Verzeichnissen)
  • Technische Informationen wie IP-Adresse, Geräteinformationen etc.

Darüber hinaus können ebenfalls besondere Kategorien personenbezogener Daten / besonders schützenswerter Daten betroffen sein, wobei sich die Einordnung der Daten aufgrund der jeweils anzuwendenden Datenschutzgesetzgebung ergibt.

Die Kategorien der betroffenen Personen können sein:

  • Natürliche Personen wie Mitarbeitende des Auftraggebers, Bewerber, Freelancer, Mitarbeitende von (potentiellen) Kunden, End- und Geschäftskunden, Abonnenten von Vertragsprodukten des Auftraggebers, Interessenten, Geschäftspartner, Lieferanten, Handelsvertreter, Verkäufer und Händler sowie deren jeweiligen Mitarbeitenden als Ansprechpartner
  • Bei juristischen Personen deren natürliche Personen wie ihre Mitarbeitenden, Mitarbeitende deren Geschäftspartner, Vertragspartner, Dienstleistungsnehmer, Dienstleister oder andere Hilfspersonen von (potentiellen) Kunden, Lieferanten, Verkäufern, Händlern
  • Bei Rechtseinheiten deren natürliche Personen wie ihre Mitarbeitenden von öffentlich-rechtlichen Körperschaften, in Form von Geschäftspartnern, Vertragspartnern, Dienstleistungsnehmer, Dienstleister oder andere Hilfspersonen von (potentiellen) Kunden, Lieferanten

Rechte und Weisungsbefugnisse sowie Pflichten des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen ist allein der Auftraggeber bzw. seine Kunden als Verantwortliche (im Folgenden «Verantwortliche») im Sinne des Datenschutzes verantwortlich. Der Auftragnehmer wird alle Anfragen, sofern sie erkennbar an den Auftraggeber oder einen Verantwortlichen gerichtet sind, an den Auftraggeber weiterleiten.

(2) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen können gemeinsam zwischen Auftraggeber und Auftragnehmer abgestimmt und schriftlich oder in einem dokumentierten elektronischen Format festgelegt werden.

(3) Der Auftraggeber hat das Recht, Weisungen an den Auftragnehmer zu erteilen und erteilt diese Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen hat der Auftraggeber unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. Die Weisungen sind für ihre Geltungsdauer und anschliessend noch für mind. fünf volle Kalenderjahre aufzubewahren. Weisungen, die im jeweiligen Vertrag nicht vorgesehen sind, werden als Antrag auf eine Leistungsänderung behandelt und sind entsprechend durch den Auftraggeber zu vergüten.

(4) Weisungsberechtigte des Auftraggebers und Weisungsempfänger des Auftragnehmers werden individuell zwischen den Parteien festgelegt, dabei werden die zu nutzenden Kommunikationskanäle bestimmt.

(5) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Verletzungen des Schutzes der Daten, Fehler oder Unregelmässigkeiten bei der Prüfung der Auftragsergebnisse feststellt oder ihm solche bekannt werden. Der Auftragnehmer trifft die erforderlichen Massnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und kann sich hierzu mit dem Auftraggeber absprechen.

(6) Der Auftraggeber bzw. seine Kunden sind alleinige Verantwortliche für die Daten, die dem Auftragnehmer zur Verfügung gestellt werden. Der Auftraggeber gewährleistet, dass diese Daten auf rechtmässige Weise verarbeitet wurden (Informationspflichten, Rechtsgrundlage, Einhaltung von Datenschutzgrundsätzen, etc.) und durch ihn weiterhin verarbeitet werden dürfen. Für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen ist nicht der Auftragnehmer verantwortlich.

Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet Daten ausschliesslich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das jeweils anzuwendende Recht, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ausschliesslich nach dieser Vereinbarung und/oder den Weisungen des Auftraggebers.

(2) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung offensichtlich gegen gesetzliche Vorschriften verstösst. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen oder den Auftraggeber nach Überprüfung bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

(3) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(4) Der Auftragnehmer darf im Auftrag verarbeitete Daten nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.

(5) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten und überwachen, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

(6) Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, welches alle erforderlichen Angaben eines Verarbeitungsverzeichnisses enthält.

(7) Die für den Auftraggeber verarbeiteten Daten werden von sonstigen Datenbeständen strikt getrennt. Eine physische Trennung ist nicht zwingend erforderlich.

(8) Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.

(9) Bei der Erfüllung der Rechte der betroffenen Personen durch den Auftraggeber, der Sicherheit der Verarbeitung, der Meldung von Datenschutzverletzungen, der Benachrichtigung der von einer Verletzung des Schutzes betroffener Personen, sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers sowie bei erforderlichen Konsultationen einer Aufsichtsbehörde wird der Auftragnehmer im notwendigen Umfang mitwirken und den Auftraggeber, soweit möglich, angemessen unterstützen.

(10) Die Verarbeitung von Daten ausserhalb der Betriebsstätte des Auftragnehmers, beispielsweise im Home Office von Mitarbeitenden, ist hiermit durch den Auftraggeber gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, werden die erforderlichen technischen und organisatorischen Massnahmen vertraglich sichergestellt.

(11) Der Auftragnehmer verpflichtet sich, bei der auftragsgemässen Verarbeitung der Daten die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung der vertraglichen Beziehung fort. Er wird ggf. auch relevante Geheimnisschutzregeln beachten, die dem Auftraggeber obliegen.

(12) Der Auftragnehmer hat die bei Durchführung der Auftragsdatenverarbeitung beschäftigten Mitarbeitenden und andere für den Auftragnehmer tätigen Personen vor Aufnahme der Tätigkeit mit den für sie massgebenden Bestimmungen des Datenschutzes vertraut gemacht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet. Diesen ist untersagt, die Daten ausserhalb der Weisung des Auftraggebers zu verarbeiten, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Sofern erforderlich wird beim Auftragnehmer eine beauftragte Person für den Datenschutz bestellt und ihre jeweils aktuellen Kontaktdaten auf der Website des Auftragsnehmers leicht zugänglich veröffentlicht.

Mitteilungspflichten des Auftragnehmers bei Verletzungen des Schutzes von Daten

(1) Wenn dem Auftragnehmer eine Verletzung des Schutzes der Daten oder der Datensicherheit bekannt wird, meldet er diese dem Auftraggeber unverzüglich mündlich, in Schrift- oder Textform ab Kenntnis.

(2) Die Mitteilung an den Auftraggeber enthält zumindest folgende Informationen:

  1. eine Beschreibung der Art der Verletzung des Schutzes der Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung und gegebenenfalls Massnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(3)Für den Fall, dass eine Informationspflicht gegenüber Dritten (wie z.B. den betroffenen Personen) oder eine sonstige, für den Auftraggeber oder einen Verantwortlichen geltende gesetzliche Meldepflicht (z.B. bei einer Aufsichtsbehörde) besteht, ist der Auftraggeber bzw. der Verantwortliche für deren Einhaltung verantwortlich.

Unterauftragsverhältnisse mit weiteren Auftragsverarbeitern

(1) Zu solchen Auftragsverhältnissen zählen solche Leistungen, die sich unmittelbar auf die Erbringung der Hauptleistung oder Teile der Hauptleistung aus dieser Vereinbarung beziehen. Dazu gehören insbesondere Lieferanten der Angebotenen Hard- und Software sowie den Angebotenen Clouddiensten. Nicht dazu zählen reine Nebenleistungen, wie etwa Telekommunikations-, Post- oder Transportdienstleistungen, Reinigungsleistungen oder Bewachungsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt. Wartung, Pflege- und Prüfleistungen sowie die Entsorgung von Datenträgern stellen – soweit der Zugriff oder eine Kenntnisnahme auf Daten des Auftraggebers möglich ist – solche Auftragsverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.

(2) Die Beauftragung von weiteren Auftragsverarbeitern (z. B. Hinzuziehung oder Ersetzung) zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer hiermit allgemein gestattet. Eine aktuelle Liste der beauftragten weiteren Auftragsverarbeiter ist beim Auftragnehmer erhältlich. Mit deren Beauftragung erklärt sich der Auftraggeber hiermit einverstanden.

(3) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger weiterer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(4) Erfolgt kein Einspruch des Auftraggebers innerhalb von 7 Tagen, ist der Auftraggeber mit der Änderung einverstanden, erfolgt ein Einspruch innerhalb dieser Frist ist die Beauftragung des weiteren Auftragsverarbeiters nicht gestattet. In einem solchen Fall werden die Parteien eine einvernehmliche Lösung hinsichtlich des weiteren Auftragsverarbeiters finden. In Notfallsituationen wird der Auftraggeber innerhalb von 1 Tag reagieren und ggf. seinen Einspruch erheben.

(5) Der Auftragnehmer trägt dafür Sorge, dass er den weiteren Auftragsverarbeiter sorgfältig auswählt.

(6) Eine Beauftragung von weiteren Auftragsverarbeitern in Drittstaaten darf nur erfolgen, wenn die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind (z.B. Angemessenheitsbeschluss, Standarddatenschutzklauseln, genehmigte Verhaltensregeln oder eine andere geeignete Garantie für die Datenübermittlung). Der Auftragnehmer wird dies durch entsprechende Massnahmen sicherstellen. Hierfür erteilt der Auftraggeber hiermit dem Auftragnehmer die erforderliche Ermächtigung, die entsprechenden Massnahmen (auch in Stellvertretung) zu treffen, wie beispielsweise der Abschluss von Standarddatenschutzklauseln (auch im Namen und Auftrag des Auftraggebers), sollte kein angemessenes Datenschutzniveau festgestellt sein. Soweit hingegen eine solche Übermittlung von personenbezogenen Daten durch den Auftraggeber selbst aktiviert wird, obliegt die Einhaltung der entsprechenden Bestimmungen ausschliesslich ihm.

(7) Der Auftragnehmer stellt vertraglich sicher, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber weiteren Auftragsverarbeitern gelten. Der Vertrag mit dem weiteren Auftragsverarbeiter ist schriftlich oder in elektronischer Form abzufassen.

Technische und organisatorische Massnahmen

(1) Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitung derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemassnahmen das Risiko auf Dauer eingedämmt wird.

(2) Eine Liste der durch den Auftragnehmer getroffenen technischen und organisatorischen Massnahmen ist beim Auftragnehmer erhältlich. Die darin enthaltenen Massnahmen stellen die passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik eingesetzten Massnahmen beim Auftragnehmer dar.

(3) Der Auftragnehmer wird bei gegebenem Anlass, sowie in regelmässigen Abständen, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchführen. Das Ergebnis samt Auditbericht kann dem Auftraggeber auf Anfrage mitgeteilt werden. Die Massnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden.

(4) Soweit die beim Auftragnehmer getroffenen Massnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftragnehmer unverzüglich.

Rechte und Ansprüche der Betroffenen

(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Massnahmen bei der Erfüllung von dessen Pflichten in Bezug auf Anfragen und Ansprüche der betroffenen Personen.

(2) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Sperrung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person unverzüglich an den Auftraggeber verweisen, sofern eine offensichtliche Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist, und wartet dessen Weisungen ab.

(3) Auskünfte an Dritte über Daten aus dem Auftragsverhältnis darf der Auftragnehmer nur nach vorheriger Weisung oder mit Zustimmung durch den Auftraggeber erteilen.

(4) Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber bzw. seinen Kunden als Verantwortliche nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

Kontrollen und Überprüfungen

(1) Der Auftragnehmer überprüft in regelmässigen Abständen, die internen Prozesse und erklärt sich damit einverstanden, dass der Auftraggeber vor Beginn der Verarbeitung und während der Vertragsdauer berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen regelmässig im angemessenen und erforderlichen Umfang zu überprüfen.

(2) Der Auftragnehmer wird, soweit erforderlich, bei diesen Überprüfungen unterstützend mitwirken. Das Ergebnis ist zu dokumentieren.

(3) Sollten im Einzelfall Überprüfungen erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Der Auftraggeber stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftragnehmer zu, sofern der Auftragnehmer eine Kopie des Auditberichts auf Anfrage des Auftraggebers zur Verfügung stellt.

(4) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde eine Überprüfung vornehmen, ist eine Unterzeichnung einer Verschwiegenheitsverpflichtung nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoss nach dem Strafgesetzbuch strafbewehrt ist.

(5) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Datenschutzaufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

(6) Für die Unterstützung bei der Durchführung einer Kontrolle darf der Auftragnehmer eine angemessene Vergütung verlangen, die sich an den tatsächlich angefallenen Aufwendungen orientiert. Hierfür gelten die üblichen Stundensätze des Auftragnehmers.

(7) Grundsätzlich wird der Auftraggeber Unterstützungsleistungen durch den Auftragnehmer, die nicht durch ein Fehlverhalten des Auftragnehmers verursacht sind, angemessen nach den tatsächlich angefallenen Aufwendungen vergüten. Hierfür gelten die üblichen Stundensätze des Auftragnehmers.

Verpflichtung des Auftragnehmers nach Beendigung des Auftrags

(1) Nach Abschluss der vertraglichen Arbeiten oder jederzeit auf Anforderung des Auftraggebers hat der Auftragnehmer sämtliche in seinen Besitz gelangte Daten und Datenbestände des Auftraggebers, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber nach seiner Weisung auszuhändigen oder datenschutzgerecht zu löschen bzw. zu vernichten oder vernichten zu lassen (sofern dem keine Aufbewahrungspflicht entgegensteht). Gleiches gilt für Datensicherungen, Test- und Ausschussmaterialien.

(2) Der Auftragnehmer kann den Nachweis der ordnungsgemässen Löschung noch vorhandener Daten auf Anfrage des Auftraggebers führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter zu vernichten. Zu entsorgende Datenträger sind entsprechend ihrer Sicherheitsklassifizierung zu vernichten. Die Löschung bzw. Vernichtung können dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format auf Anfrage bestätigt werden.

(3) Der Auftraggeber hat das Recht, die vollständige und vertragsgemässe Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren.

(4) Der Auftragnehmer hat für o.g. Herausgabe, Löschung oder Vernichtung einen angemessenen Vergütungsanspruch gegenüber dem Auftraggeber. Hierfür gelten die üblichen Stundensätze des Auftragnehmers.

Haftung bei Verletzung dieser Vereinbarung

(1) Für den Ersatz von Schäden, die eine betroffene Person wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen dieser Vereinbarung erleidet, haften Auftraggeber und Auftragnehmer gegenüber dieser betroffenen Person als Gesamtschuldner, sofern dies die anwendbaren Gesetze und Vorschriften zum Datenschutz so vorsehen.

(2) Der Auftragnehmer haftet dem Auftraggeber, vorbehaltlich gesondert vereinbarter Haftungsreglungen in den jeweiligen zwischen den Parteien geschlossenen Verträgen, die eine Auftragsdatenverarbeitung beinhalten können, maximal im Umfang von 10% der effektiv bezahlten Vergütung der den Schaden verursachenden Leistung der letzten 12 Monate, jedoch höchstens bis zum Betrag von insgesamt CHF 50’000.– für direkte Schäden aus Verletzungen seiner Datenschutzverpflichtungen aus dieser Vereinbarung, es sei denn, der Auftragnehmer ist für das den Schaden verursachende Ereignis nicht oder nicht vollständig verantwortlich.

(3) Etwaige Haftungsbeschränkungen zwischen dem Auftraggeber und seinen Kunden als Verantwortliche gelten auch zugunsten des Auftragnehmers, so dass er nicht verpflichtet ist, den Auftraggeber für Beträge zu entschädigen, die er aufgrund solcher Haftungsbeschränkungen nicht zu zahlen hat.

(4) Im Übrigen wird eine weitergehende Haftung – soweit gesetzlich zulässig – wegbedungen. Für andere Schäden, nicht verursacht durch eine Verletzung von Datenschutzverpflichtungen dieser Vereinbarung, gelten die in den jeweiligen zwischen den Parteien geschlossenen Verträgen vereinbarten Haftungsregelungen.

Sonstiges

(1) Vereinbarungen zu den technischen und organisatorischen Massnahmen sowie Kontroll- und Prüfungsunterlagen sind von beiden Vertragspartnern für ihre Geltungsdauer und anschliessend noch für mind. fünf volle Kalenderjahre aufzubewahren.

(2) Der Auftragnehmer behält sich Änderungen dieser Vereinbarung vor. Änderungen werden dem Auftraggeber mindestens 30 Tage im Voraus schriftlich mitgeteilt oder auf andere Weise bekannt gegeben. Macht der Auftraggeber von seinem ausserordentlichen Kündigungsrecht innert Monatsfrist nach Bekanntgabe keinen Gebrauch, gelten die Änderungen als akzeptiert. Ansprüche hat der Auftraggeber in einem Änderungsfall keine gegenüber dem Auftragnehmer.

(3) Änderungen, Ergänzungen dieser Vereinbarung sowie Nebenabreden bedürfen grundsätzlich der Schriftform oder es ist ein dokumentiertes elektronisches Format erforderlich. Es bedarf des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung, eine Ergänzung bzw. eine Nebenabrede dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Ausgenommen von diesem Formerfordernis bleiben einseitige Änderungen und Ergänzungen dieser Vereinbarung durch den Auftragnehmer.

(4) Sollte das Eigentum oder die zu verarbeitenden Daten des Auftraggebers beim Auftragnehmer durch Massnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird alle in diesem Zusammenhang zuständigen Stellen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschliesslich beim Auftraggeber bzw. seinen Kunden als Verantwortliche liegen.

(5) Die Einrede des Zurückbehaltungsrechts wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(6) Sollten sich einzelne Bestimmungen dieser Vereinbarung als unwirksam oder nichtig erweisen, so hat dies nicht die Unwirksamkeit oder Nichtigkeit der übrigen Bestimmungen zur Folge, sondern diese werden durch solche ersetzt, die dem wirtschaftlichen Zweck der Vereinbarung am nächsten kommen. Das Gleiche gilt bei einer Vertragslücke.

(7) Bei etwaigen Widersprüchen in Bezug auf die Auftragsdatenverarbeitung gehen Regelungen zum Datenschutz dieser Vereinbarung den Regelungen der jeweiligen zwischen den Parteien geschlossenen Verträgen vor.

(8) Ausschliesslicher Gerichtsstand für alle Streitigkeiten aus oder im Zu­sam­menhang mit diesem Vertrag ist der Sitz des Auftragnehmers. Der Auftragnehmer ist jedoch berechtigt, eine Streitigkeit auch bei dem für den Sitz des Auftraggebers zuständigen Gericht anhängig zu machen.

(9) Diese Vereinbarung untersteht schweizerischem Recht unter Ausschluss des internationalen Privatrechts.

Stand: 18.09.2023