VEREINBARUNG ÜBER DIE AUFTRAGSDATENVERARBEITUNG (ADV)
1 ZWECK UND ANWENDUNGSBEREICH
(a) Zweck dieser Vereinbarung über die Auftragsdatenbearbeitung (“ADV”) ist es, die Einhaltung des schweizerischen Bundesgesetzes über den Datenschutz (“DSG”) und sofern anwendbar weiterer Datenschutzgesetze (bspw. der Europäischen Datenschutz-Grundverordnung) zu gewährleisten (“anwendbare Datenschutzgesetze”), und zwar in Bezug auf jedes Gesetz nur dann und in dem Umfang, der auf die jeweilige Bearbeitungstätigkeit anwendbar ist.
(b) Für diese Vereinbarung ist der Kunde der datenschutzrechtliche Verantwortliche oder Controller und die Swissprime Technologies AG der Datenbearbeiter bzw. Processor.
(c) Diese ADV gilt für die Bearbeitung von Personendaten, wie in Anhang 1 beschrieben und alle in Anhang 1 definierten Begriffe gelten in dieser ADV als definierte Begriffe.
2 AUSLEGUNG
(a) Wo hierin Begriffe verwendet werden, die in den anwendbaren Datenschutzgesetzen definiert sind, haben diese Begriffe dieselbe Bedeutung wie in diesen Bestimmungen.
(b) Diese ADV ist im Lichte der Bestimmungen der anwendbaren Datenschutzgesetze, insbesonderne des DSG, zu lesen und auszulegen, soweit diese anwendbar sind.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in den anwendaren Datenschutzgesetzen vorgesehen sind, oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigt.
3 HIERARCHIE
(a) Im Falle eines Widerspruchs zwischen dieser ADV und den Bestimmungen einer anderen Vereinbarung zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser ADV besteht oder danach abgeschlossen wird, hat diese ADV Vorrang, es sei denn, es wurde ausdrücklich etwas anderes schriftlich vereinbart.
4 BESCHREIBUNG DER BEARBEITUNG(EN)
(a) Die Einzelheiten der Bearbeitungen, insbesondere die Kategorien von Personendaten und die Zwecke der Bearbeitung, für die die Personendaten im Auftrag des Verantwortlichen bearbeitet werden, sind in Anhang 1 aufgeführt.
5 VERPFLICHTUNGEN DER VERTRAGSPARTEIEN
5.1 ALLGEMEIN
(a) Der Datenbearbeiter bearbeitet Personendaten nur auf schriftliche Weisung des Verantwortlichen hin, es sei denn, er ist nach dem Recht, dem der Datenbearbeiter unterliegt, hierzu gesetzlich verpflichtet. Der Verantwortliche kann während der gesamten Dauer der Bearbeitung von Personendaten auch nachträgliche Weisungen erteilen. Solche Weisungen sind stets zu dokumentieren.
(b) Der Datenbearbeiter unterrichtet den Verantwortlichen unverzüglich, wenn die Anweisungen des Verantwortlichen nach Ansicht des Datenbearbeiters gegen das DSG oder weitere anwendbare Regelungen verstossen.
5.2 ZWECKBINDUNG
(a) Der Datenbearbeiter darf die Personendaten nur für den/die in Anhang 1 genannten Zweck(e) der Bearbeitung bearbeiten.
5.3 LÖSCHUNG ODER RÜCKGABE VON DATEN
(a) Die Bearbeitung durch den Datenbearbeiter darf nur für die in Anhang 1 angegebene Dauer erfolgen.
(b) Bei Beendigung der Erbringung von Dienstleistungen zur Bearbeitung von Personendaten oder bei Beendigung gemäss Ziffer 8 gibt der Datenbearbeiter alle Personendaten an den Verantwortlichen zurück und löscht vorhandene Kopien, es sei denn, die anwendbaren Datenschutzgesetze oder weitere Regelungen schreiben die Aufbewahrung der Personendaten vor.
5.4 SICHERHEIT DER BEARBEITUNG
(a) Der Datenbearbeiter trifft technische und organisatorische Massnahmen (TOM), um die Sicherheit der Personendaten zu gewährleisten, einschliesslich des Schutzes vor zufälliger oder unrechtmässiger Zerstörung, Verlust, Veränderung, unberechtigter Weitergabe oder unberechtigtem Zugriff auf diese Daten (Verletzung des Schutzes von Personendaten). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen er insbesondere die mit der Bearbeitung verbundenen Risiken, die Art der Personendaten sowie die Art, den Umfang, die Umstände und die Zwecke der Bearbeitung.
(b) Im Falle einer Verletzung des Schutzes der Personendaten in Bezug auf Daten, die vom Datenbearbeiter bearbeitet werden, benachrichtigt dieser den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes der Personendaten eingeholt werden können, eine Beschreibung der Art der Verletzung (einschliesslich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze), ihrer wahrscheinlichen Folgen und der Massnahmen, die zur Abschwächung ihrer möglichen nachteiligen Auswirkungen ergriffen wurden oder ergriffen werden sollen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden ohne unangemessene Verzögerung bereitgestellt, sobald sie verfügbar sind.
(c) Der Datenbearbeiter arbeitet nach Treu und Glauben mit dem Verantwortlichen zusammen und unterstützt ihn in jeder erforderlichen Weise, damit der Verantwortliche in der Lage ist, gegebenenfalls die zuständige Datenschutzbehörde und die betroffenen Personen zu benachrichtigen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
(d) Der Datenbearbeiter gewährt seinen Mitarbeitern nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Datenbearbeiter stellt sicher, dass die Personen, die zur Bearbeitung der erhaltenen Personendaten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
5.5 DOKUMENTATION UND EINHALTUNG DER VORSCHRIFTEN
(a) Die Parteien müssen in der Lage sein, die Einhaltung dieser ADV nachzuweisen.
(b) Der Datenbearbeiter ist verpflichtet, alle angemessenen Anfragen des Verantwortlichen, die sich auf die Bearbeitung im Rahmen der anwendbaren Datenschutzgesetze beziehen, unverzüglich und ordnungsgemäss zu beantworten.
(c) Der Datenbearbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in den anwendbaren Datenschutzgesetze festgelegten und sich unmittelbar aus den anwendbaren Datenschutzgesetzen ergebenden Verpflichtungen nachzuweisen, und ermöglicht auf Verlangen des Verantwortlichen die Überprüfung von Dateien und Unterlagen oder von Audits der unter diese Klauseln fallenden Bearbeitungstätigkeiten und trägt dazu bei, insbesondere wenn es Anzeichen für eine Nichteinhaltung gibt.
(d) Der Verantwortliche hat die Wahl, das Audit selbst durchzuführen, auf eigene Kosten einen unabhängigen Prüfer zu beauftragen oder sich auf ein vom Datenbearbeiter beauftragtes unabhängiges Audit zu verlassen. Beauftragt der Datenbearbeiter ein Audit, so hat er die Kosten des unabhängigen Prüfers zu tragen. Die Audit-, Zugangs- und Inspektionsrechte des Verantwortlichen gemäss dieser Klausel beschränken sich ausschliesslich auf die Aufzeichnungen des Datenbearbeiters (einschliesslich u. a. der Verzeichnisse der Bearbeitungstätigkeiten) und gelten nicht für die physischen Räumlichkeiten des Datenbearbeiters. Jede Prüfung und jedes Auskunftsersuchen ist auf die Informationen zu beschränken, die für die Zwecke dieses ADV erforderlich sind, und hat den Vertraulichkeitsverpflichtungen des Datenbearbeiters und seinem berechtigten Interesse am Schutz von Geschäftsgeheimnissen gebührend Rechnung zu tragen.
(e) Der Datenbearbeiter und der Verantwortliche stellen die in dieser Klausel genannten Informationen, einschliesslich der Ergebnisse etwaiger Audits, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung, wenn und soweit dies nach den anwendbaren Datenschutzgesetzen erforderlich ist.
(f) Der Verantwortliche hat dem Datenbearbeiter die entstehenden Aufwände aus den Tätigkeiten gemäss vorghend lit. b bis d zu ersetzen, soweit die Leistungen nicht aufgrund eines begründeten Verdachts auf Nichteinhaltung der anwendbaren Datenschutzgesetzgebung beruhen oder einen unangemessenen Aufwand verursachen.
5.6 EINSATZ VON UNTERDATENBEARBEITERN
(a) Der Datenbearbeiter verfügt über die Zustimmung des Verantwortlichen für die Beauftragung von Unterdatenbearbeitern (Sublieferanten). Die Liste der Unterdatenbearbeitern des Datenbearbeiters ist in Anhang 1 zu finden. Der Datenbearbeiter informiert den Verantwortlichen schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterdatenbearbeitern mindestens 30 Tage im Voraus, so dass der Verantwortliche die Möglichkeit hat, vor der Beauftragung des/der betreffenden Unterdatenbearbeiter(n) Einspruch gegen diese Änderungen einzulegen. Ein solcher Einspruch darf nicht unberechtigt sein. Die Parteien halten die Liste auf dem neuesten Stand.
(b) Beauftragt der Datenbearbeiter einen Unterdatenbearbeiter mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des Verantwortlichen), so erfolgt dies im Rahmen eines Vertrags, der dem Unterdatenbearbeiter dieselben Pflichten auferlegt wie dem Datenbearbeiter gemäss den anwendbaren Datenschutzgesetzen. Der Datenbearbeiter stellt sicher, dass der Unterdatenbearbeiter die Verpflichtungen einhält, denen der Datenbearbeiter gemäss diesem ADV und den anwendbaren Datenschutzgesetzen unterliegt.
(c) Der Datenbearbeiter bleibt gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterdatenbearbeiters aus seinem Vertrag mit dem Datenbearbeiter verantwortlich. Der Datenbearbeiter meldet dem Verantwortlichen, wenn der Unterdatenbearbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
5.7 INTERNATIONALE ÜBERWEISUNGEN
(a) Jegliche Übermittlung von Daten in ein “Drittland” (jedes Land ausserhalb der Schweiz) oder eine internationale Organisation durch den Datenbearbeiter darf nur erfolgen, wenn sie gemäss Anhang 1 genehmigt wurde, und muss in Übereinstimmung mit den anwendbaren Datenschutzgesetzen erfolgen, soweit anwendbar. Möglicherweise müssen Standardvertragsklauseln hinzugefügt und eine Datenschutz-Folgenabschätzung durchgeführt werden, was zu zusätzlichen Anforderungen führt, die angepasst werden müssen.
(b) Der Verantwortliche erklärt sich damit einverstanden, dass der Datenbearbeiter und der Unterdatenbearbeiter in Fällen, in denen der Datenbearbeiter einen Unterdatenbearbeiter gemäss Klausel 5.6 mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des Verantwortlichen) in einem Drittland beauftragt und diese Bearbeitungstätigkeiten die Übermittlung von Personendaten beinhalten, genehmigte datenschutzrechtliche Standardvertragsklausel benützen, um die Anforderungen der anwendbaren Datenschutzgesetzen zu erfüllen, sofern die Bedingungen für die Verwendung dieser Klauseln erfüllt sind.
6 RECHTE DER BETROFFENEN PERSON
(a) Der Datenbearbeiter unterrichtet den Verantwortlichen unverzüglich über alle direkt von der betroffenen Person gestellten Anträge. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde von dem Verantwortlichen dazu ermächtigt.
(b) Der Datenbearbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Verpflichtungen, auf die Anträge der betroffenen Personen zur Ausübung ihrer Rechte zu reagieren, und zwar, soweit anwendbar:
(1) das Recht, informiert zu werden, wenn Personendaten von der betroffenen Person erhoben werden,
(2) das Recht, informiert zu werden, wenn Personendaten nicht von der betroffenen Person erhalten wurden,
(3) das Recht auf Auskunft durch die betroffene Person,
(4) das Recht auf Berichtigung,
(5) das Recht auf Löschung (“das Recht auf Vergessenwerden”),
(6) das Recht auf Einschränkung der Bearbeitung,
(7) die Meldepflicht zur Berichtigung oder Löschung von Personendaten oder zur Einschränkung der Bearbeitung,
(8) das Recht auf Datenübertragbarkeit,
(9) das Recht, Einspruch zu erheben,
(10) das Recht, keiner Entscheidung unterworfen zu werden, die ausschliesslich auf einer automatisierten Bearbeitung, einschliesslich Profiling, beruht.
(c) Zusätzlich zu der Verpflichtung des Datenbearbeiters, den Verantwortlichen gemäss Artikel 6 Buchstabe b zu unterstützen, unterstützt der Datenbearbeiter den Verantwortlichen bei der Einhaltung der folgenden Verpflichtungen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden:
(1) Die Verpflichtung, eine Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden (es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt);
(2) die Verpflichtung, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt;
(3) die Verpflichtung, eine Abschätzung der Auswirkungen der geplanten Bearbeitungen auf den Schutz personenbezogener Daten (eine “Datenschutz-Folgenabschätzung”) durchzuführen, wenn eine Art der Bearbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt;
(4) die Verpflichtung, die zuständige Aufsichtsbehörde vor der Bearbeitung zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Bearbeitung ein hohes Risiko mit sich bringen würde, wenn der Verantwortliche keine Massnahmen zur Risikominderung ergreift.
(d) Der Verantwortliche hat dem Datenbearbeiter die entstehenden Aufwände aus den allfälligen Leistungen aufgrund der vorgehend genannten Rechten zu ersetzen, soweit die Leistungen nicht aufgrund eines begründeten Verdachts auf Nichteinhaltung der anwendbaren Datenschutzgesetzgebung beruht oder der Aufwand unangemessen ist.
7 MELDUNG VON VERLETZUNGEN DES SCHUTZES VON PERSONENDATEN
(a) Im Falle einer Verletzung des Schutzes von Personendaten arbeitet der Datenbearbeiter nach Treu und Glauben mit dem Verantwortlichen zusammen und unterstützt ihn in angemesser Weise, um seinen Verpflichtungen betreffend Datenschutz-Folgenabschätzung nachzukommen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden. Übermässige Aufwände sind dem Datenbearbeiter zu vergüten.
(b) Der Datenbearbeiter unterstützt den Verantwortlichen bei der Meldung der Verletzung des Schutzes von Personendaten an die zuständige Aufsichtsbehörde, sofern zutreffend. Der Datenbearbeiter ist verpflichtet, insbesondere bei der Beschaffung der folgenden Informationen behilflich zu sein, die gemäss den anwendbaren Datenschutzgesetzen, bspw. Artikel 22 Absatz 2 revDSG, in der Meldung des Verantwortlichen angegeben werden müssen:
(1) Die Art der Personendaten, einschliesslich, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen Personendatensätze;
(2) die wahrscheinlichen Folgen der Verletzung des Schutzes der Personendaten;
(3) die Massnahmen, die der Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes von Personendaten zu beheben, gegebenenfalls einschliesslich Massnahmen zur Abschwächung möglicher negativer Auswirkungen.
8 BEENDIGUNG
(a) Unbeschadet der Bestimmungen der anwendbaren Datenschutzgesetze kann der Verantwortliche den Datenbearbeiter anweisen, die Bearbeitung von Personendaten vorübergehend einzustellen, bis dieser die anwendbaren Datenschutzgesetze einhält oder der Vertrag beendet wird, falls der Datenbearbeiter gegen seine Verpflichtungen aus diesem ADV resp. der entsprechenden gesetzlichen Grundlagen verstösst. Der Datenbearbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus irgendeinem Grund nicht in der Lage ist, die anwendbaren Datenschutzgesetze einzuhalten.
(b) Der Verantwortliche ist berechtigt, diese ADV sowie die Basisvereinbarung zu kündigen, wenn:
(1) die Bearbeitung der Personendaten durch den Datenbearbeiter von dem Verantwortlichen gemäss Buchstabe a vorübergehend ausgesetzt wurde, der Verstoss des Datenbearbeiters erheblich ist und die Einhaltung des Datenschutzes nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats, wiederhergestellt wird;
(2) Der Datenbearbeiter verstösst in erheblichem Masse oder dauerhaft gegen das anwendbare Datenschutzrecht (insb. das DSG) oder gegen seine Verpflichtungen nach den anwendbaren Datenschutzgesetzen, und es ist nicht zu erwarten, dass dieser Verstoss behoben wird;
(3) der Datenbearbeiter einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde in Bezug auf seine Verpflichtungen gemäss den anwendbaren Datenschutzgesetze nicht nachkommt.
(c) Diese ADV bleibt in vollem Umfang in Kraft, solange das zwischen den Parteien geschlossene Abkommen in Kraft bleibt. Alle Bestimmungen dieser ADV, die ausdrücklich oder stillschweigend bei oder nach Beendigung des Abkommens zum Schutz von Personendaten in Kraft treten oder fortbestehen sollen, bleiben in vollem Umfang in Kraft und wirksam.
9 HAFTUNG UND ENTSCHÄDIGUNG
(a) Ungeachtet gegenteiliger Bestimmungen in diesem ADV oder einer anderen Vereinbarung zwischen den Parteien stellt der Datenbearbeiter den Verantwortlichen auf Verlangen unverzüglich in vollem Umfang von allen Kosten, Ansprüchen, Forderungen, Ausgaben (einschliesslich angemessener Rechtskosten), Verlusten, Klagen, Verfahren und Verbindlichkeiten jeglicher Art frei, die dem Verantwortlichen oder seinen verbundenen Unternehmen im Zusammenhang mit der Nichteinhaltung der Bestimmungen dieser Vereinbarung und/oder des geltenden Datenschutzrechts durch den Datenbearbeiter oder von ihm beauftragte Dritte bei der Bearbeitung von Personendaten für den Verantwortlichen entstehen.
Im Übrigen gelten die Bestimmungen dieses ADV resp. des schweizerischen Obligationenrechts.
10 GERICHTSSTAND UND ANWENDBARES RECHT
Gerichtsstand ist der Sitz des Verantwortlichen. Es ist materielles schweizerisches Recht anwendbar.
11 SONSTIGES
Soweit hierin nichts vereinbart ist, gilt ein allfällig abgeschlossener (Rahmen)vertrag.
ANHANG 1
Zweck der Bearbeitung Abwicklung des Vertrages inkl. Zusatzdokumente Nutzungsbedingungen und Datenschutzrichtlinien (die “Basisvereinbarung”)
| Zweck der Bearbeitung | Abwicklung des Vertrages inkl. Zusatzdokumente Nutzungsbedingungen und Datenschutzrichtlinien (die “Basisvereinbarung”) |
| Dauer der Bearbeitung | So lange wie für die Basisvereinbarung erforderlich |
| Kategorien von betroffenen Personen* | Mitarbeiter oder Mitglieder des Verantwortlichen Andere Personen mit Zutrittsrechten |
| Kategorien von Personendaten | Kontaktdaten (Vorname, Nachname, E-Mail), IP-Adresse |
| Ort der Lagerung und Bearbeitung | An der Geschäftsadresse des Datenbearbeiters und seiner zugelassenen Unterdatenbearbeiter bzw. den entsprechenden Datenzentren, wie in dieser ADV angegeben |
| Vor-Ort-Prüfungen | Nein |
* Kategorien der Personendaten sowie der betroffenen Personen werden durch den Verantwortlichen und ohne Zutun des Datenbearbeiters festgelegt. Die Aufzählung erfolgt beispielhaft.
UNTERDATENBEARBEITER
| Firmierung des Dienstleisters | Ort der Verarbeitung | Art der Dienstleistung |
|---|---|---|
| Microsoft Ireland Operations Limited | EU (Datentransfer von Microsoft in die USA möglich) | Speicherung der Daten |
| Twilio Inc. | USA | SMS und Email Services |
| Stripe Payments Europe, Limited | USA | Payment Provider |
| Zendesk, Inc. | USA | Helpdesk Provider |
| SwissPass | Switzerland | SwissPass Verification Service |