Auftragsverarbeitungsvereinbarung (AVV)

zwischen

Auftraggeberin

«Verantwortliche»
 
und

visol digitale Dienstleistungen AG
Sonnenbühlweg 3
6010 Kriens

«Datenbearbeiter»

1 Zweck und Anwendungsbereich

1.1 Zweck dieser Vereinbarung über die Auftragsbearbeitung («AVV») ist es, die Einhaltung des schweizerischen Bundesgesetzes über den Datenschutz («DSG») und sofern anwendbar weiterer Datenschutzgesetze (bspw. der Europäischen Datenschutz-Grundverordnung) zu gewährleisten («anwendbare Datenschutzgesetze»), und zwar in Bezug auf jedes Gesetz nur dann und in dem Umfang, der auf die jeweilige Bearbeitungstätigkeit anwendbar ist.

1.2 Diese AVV gilt für die Bearbeitung von Personendaten, wie in Anhang 1 beschrieben und alle in Anhang 1 definierten Begriffe gelten in dieser AVV als definierte Begriffe.

2 Auslegung

2.1 Wo hierin Begriffe verwendet werden, die in den anwendbaren Datenschutzgesetzen definiert sind, haben diese Begriffe dieselbe Bedeutung wie in diesen Bestimmungen.

2.2 Diese AVV ist im Lichte der Bestimmungen der anwendbaren Datenschutzgesetze, insbesonderne des DSG, zu lesen und auszulegen, soweit diese anwendbar sind.

2.3 Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in den anwendaren Datenschutzgesetzen vorgesehen sind, oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigt.

3 Hierarchie

3.1 Im Falle eines Widerspruchs zwischen dieser AVV und den Bestimmungen einer anderen Vereinbarung zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser AVV besteht oder danach abgeschlossen wird, hat diese AVV Vorrang, es sei denn, es wurde ausdrücklich etwas anderes schriftlich vereinbart.

4 Beschreibung der Bearbeitung(en)

4.1 Die Einzelheiten der Bearbeitungen, insbesondere die Kategorien von Personendaten und die Zwecke der Bearbeitung, für die die Personendaten im Auftrag der Verantwortlichen bearbeitet werden, sind in Anhang 1 aufgeführt.

5 Verpflichtungen der Vertragsparteien

5.1 Allgemein
5.1.1 Der Datenbearbeiter bearbeitet Personendaten nur auf schriftliche Weisung der Verantwortlichen hin, es sei denn, er ist nach dem Recht, dem der Datenbearbeiter unterliegt, hierzu gesetzlich verpflichtet. Die Verantwortliche kann während der gesamten Dauer der Bearbeitung von Personendaten auch nachträgliche Weisungen erteilen. Solche Weisungen sind stets zu dokumentieren. Die Verantwortliche stimmt zu, dass die Vereinbarung zwischen den Parteien (nachfolgend «Basisvereinbarung» genannt), dieser AVV, deren Aktualisierungen sowie soweit möglich die technischen Konfigurationen des Verantwortlichen die abschliessenden Weisungen der Auftraggeberin darstellen.

5.1.2 Der Datenbearbeiter unterrichtet die Verantwortliche unverzüglich, wenn die Anweisungen der Verantwortlichen nach Ansicht des Datenbearbeiters gegen das DSG oder weitere anwendbare Regelungen verstossen.
 
5.2 Zweckbindung
5.2.1 Der Datenbearbeiter darf die Personendaten nur für den/die in Anhang 1 genannten Zweck(e) der Bearbeitung bearbeiten.
 
5.3 Löschung oder Rückgabe von Daten
5.3.1 Die Bearbeitung durch den Datenbearbeiter darf nur für die in Anhang 1 angegebene Dauer erfolgen.

5.3.2 Bei Beendigung der Erbringung von Dienstleistungen zur Bearbeitung von Personendaten oder bei Beendigung gemäss Ziffer 8 gibt der Datenbearbeiter alle Personendaten an die Verantwortliche zurück und löscht vorhandene Kopien, es sei denn, die anwendbaren Datenschutzgesetze oder weitere Regelungen schreiben die Aufbewahrung der Personendaten vor.
 
5.4 Sicherheit der Bearbeitung
5.4.1 Der Datenbearbeiter trifft die in Anhang 2 genannten technischen und organisatorischen Massnahmen (TOM), um die Sicherheit der Personendaten zu gewährleisten, einschliesslich des Schutzes vor zufälliger oder unrechtmässiger Zerstörung, Verlust, Veränderung, unberechtigter Weitergabe oder unberechtigtem Zugriff auf diese Daten (Verletzung des Schutzes von Personendaten). Die Beurteilung eines angemessenen Sicherheitsniveaus, insbesondere die mit der Bearbeitung verbundenen Risiken, die Art der Personendaten sowie die Art, den Umfang, die Umstände und die Zwecke der Bearbeitung, obliegen der Verantwortlichen.

5.4.2 Im Falle einer Verletzung des Schutzes der Personendaten in Bezug auf Daten, die vom Datenbearbeiter bearbeitet werden, benachrichtigt dieser die Verantwortliche unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes der Personendaten eingeholt werden können, eine Beschreibung der Art der Verletzung (einschliesslich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze), ihrer wahrscheinlichen Folgen und der Massnahmen, die zur Abschwächung ihrer möglichen nachteiligen Auswirkungen ergriffen wurden oder ergriffen werden sollen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden ohne unangemessene Verzögerung bereitgestellt, sobald sie verfügbar sind.

5.4.3 Der Datenbearbeiter arbeitet nach Treu und Glauben mit der Verantwortlichen zusammen und unterstützt sie in jeder erforderlichen Weise, damit die Verantwortliche in der Lage ist, gegebenenfalls die zuständige Datenschutzbehörde und die betroffenen Personen zu benachrichtigen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.

5.4.4 Der Datenbearbeiter gewährt seinen Mitarbeiter*innen nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Datenbearbeiter stellt sicher, dass die Personen, die zur Bearbeitung der erhaltenen Personendaten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
 
5.5 Dokumentation und Einhaltung der Vorschriften
5.5.1 Die Parteien müssen in der Lage sein, die Einhaltung dieser AVV nachzuweisen.

5.5.2 Der Datenbearbeiter ist verpflichtet, alle angemessenen Anfragen der Verantwortlichen, die sich auf die Bearbeitung im Rahmen der anwendbaren Datenschutzgesetze beziehen, unverzüglich und ordnungsgemäss zu beantworten.

5.5.3 Der Datenbearbeiter stellt der Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in den anwendbaren Datenschutzgesetzen festgelegten und sich unmittelbar aus den anwendbaren Datenschutzgesetzen ergebenden Verpflichtungen nachzuweisen, und ermöglicht auf Verlangen der Verantwortlichen die Überprüfung von Dateien und Unterlagen oder von Audits der unter diese Klauseln fallenden Bearbeitungstätigkeiten und trägt dazu bei, insbesondere wenn es Anzeichen für eine Nichteinhaltung gibt.

5.5.4 Die Verantwortliche hat die Wahl, das Audit selbst durchzuführen, auf eigene Kosten einen unabhängigen Prüfer zu beauftragen oder sich auf ein vom Datenbearbeiter beauftragtes, unabhängiges Audit zu verlassen. Beauftragt der Datenbearbeiter ein Audit, so hat er die Kosten des unabhängigen Prüfers zu tragen. Die Audit-, Zugangs- und Inspektionsrechte der Verantwortlichen gemäss dieser Klausel beschränken sich ausschliesslich auf die Aufzeichnungen des Datenbearbeiters (einschliesslich u. a. der Verzeichnisse der Bearbeitungstätigkeiten) und gelten nicht für die physischen Räumlichkeiten des Datenbearbeiters. Jede Prüfung und jedes Auskunftsersuchen ist auf die Informationen zu beschränken, die für die Zwecke dieser AVV erforderlich sind, und hat den Vertraulichkeitsverpflichtungen des Datenbearbeiters und seinem berechtigten Interesse am Schutz von Geschäftsgeheimnissen gebührend Rechnung zu tragen.

5.5.5 Der Datenbearbeiter und die Verantwortliche stellen die in dieser Klausel genannten Informationen, einschliesslich der Ergebnisse etwaiger Audits, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung, wenn und soweit dies nach den anwendbaren Datenschutzgesetzen erforderlich ist.
 
5.6 Einsatz von UnterDatenbearbeitern
5.6.1 Der Datenbearbeiter verfügt über die Zustimmung der Verantwortlichen für die Beauftragung von Unterdatenbearbeitern (Sublieferanten). Die Liste der Unterdatenbearbeitern des Datenbearbeiters ist in Anhang 3 zu finden. Der Datenbearbeiter informiert die Verantwortliche schriftlich (E-Mail oder andere elektronische Mitteilung genügt) über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterdatenbearbeitern mindestens 30 Tage im Voraus, so dass die Verantwortliche die Möglichkeit hat, vor der Beauftragung des/der betreffenden Unterdatenbearbeiter(n) Einspruch gegen diese Änderungen einzulegen. Ein solcher Einspruch darf nicht unberechtigt sein. Die Parteien halten die Liste auf dem neuesten Stand.

5.6.2 Beauftragt der Datenbearbeiter einen Unterdatenbearbeiter mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des Verantwortlichen), so erfolgt dies im Rahmen eines Vertrags, der dem Unterdatenbearbeiter dieselben Pflichten auferlegt wie dem Datenbearbeiter gemäss den anwendbaren Datenschutzgesetzen. Der Datenbearbeiter stellt sicher, dass der Unterdatenbearbeiter die Verpflichtungen einhält, denen der Datenbearbeiter gemäss diesem AVV und den anwendbaren Datenschutzgesetzen unterliegt.

5.6.3 Der Datenbearbeiter bleibt gegenüber der Verantwortlichen für die Erfüllung der Verpflichtungen des Unterdatenbearbeiters aus seinem Vertrag mit dem Datenbearbeiter verantwortlich. Der Datenbearbeiter meldet der Verantwortlichen, wenn der Unterdatenbearbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

5.7 Internationale Überweisungen

5.7.1 Jegliche Übermittlung von Daten in ein «Drittland» (jedes Land ausserhalb der Schweiz) oder eine internationale Organisation durch den Datenbearbeiter darf nur erfolgen, wenn sie in Übereinstimmung mit den anwendbaren Datenschutzgesetzen erfolgen. Möglicherweise müssen Standardvertragsklauseln hinzugefügt und eine Datenschutz-Folgenabschätzung durchgeführt werden, was zu zusätzlichen Anforderungen führt, die angepasst werden müssen.

5.7.2 Die Verantwortliche erklärt sich damit einverstanden, dass der Datenbearbeiter und der Unterdatenbearbeiter in Fällen, in denen der Datenbearbeiter einen Unterdatenbearbeiter gemäss Klausel 5.6 mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des Verantwortlichen) in einem Drittland beauftragt und diese Bearbeitungstätigkeiten die Übermittlung von Personendaten beinhalten, datenschutzrechtliche Standardvertragsklausel benützen, um die Anforderungen der anwendbaren Datenschutzgesetzen zu erfüllen, sofern die Bedingungen für die Verwendung dieser Klauseln erfüllt sind.

6 Rechte der betroffenen Person

6.1 Der Datenbearbeiter unterrichtet die Verantwortliche unverzüglich über alle direkt von der betroffenen Person gestellten Anträge. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde von dem Verantwortlichen dazu ermächtigt.

6.2 Der Datenbearbeiter unterstützt die Verantwortliche bei der Erfüllung ihrer datenschutzrechtlichen Verpflichtungen aus den anwendbaren Datenschutzgesetzen, auf die Anträge der betroffenen Personen zur Ausübung ihrer Rechte zu reagieren. Dies beinhaltet insbesondere Unterstützung bei Auskunfts-, Berichtigungs- sowie Datenübertragbarkeitsbegehren.

6.3 Zusätzlich zu der Verpflichtung des Datenbearbeiters, die Verantwortliche gemäss Absatz 6.2 zu unterstützen, unterstützt der Datenbearbeiter die Verantwortliche bei der Einhaltung der folgenden Verpflichtungen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden:

(1) die Verpflichtung, der betroffenen Person die Verletzung des Schutzes von Personendaten unverzüglich mitzuteilen, wenn diese Mitteilung gemäss den anwendbaren Datenschutzgesetzen notwendig ist;

(2) die Verpflichtung, eine Abschätzung der Auswirkungen der geplanten Bearbeitungen auf den Schutz von Personendaten
(eine «Datenschutz-Folgenabschätzung») durchzuführen, wenn eine Art der Bearbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt;

(3) die Verpflichtung, die zuständige Aufsichtsbehörde vor der Bearbeitung zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Bearbeitung ein hohes Risiko mit sich bringen würde, wenn die Verantwortliche keine Massnahmen zur Risikominderung ergreift.

6.4 Die Vertragsparteien legen in Anhang 2 die geeigneten technischen und organisatorischen Massnahmen (TOM) fest, mit denen der Datenbearbeiter die Verantwortliche bei der Anwendung dieser Klausel zu unterstützen hat, sowie den Umfang und das Ausmass der erforderlichen Unterstützung.

7 Meldung von Verletzungen des Schutzes von Personendaten

7.1 Im Falle einer Verletzung des Schutzes von Personendaten arbeitet der Datenbearbeiter nach Treu und Glauben mit der Verantwortlichen zusammen und unterstützt sie in angemesser Weise, um seinen Verpflichtungen betreffend Datenschutz-Folgenabschätzung nachzukommen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.

7.2 Der Datenbearbeiter unterstützt die Verantwortliche bei der Meldung der Verletzung des Schutzes von Personendaten an die zuständige Aufsichtsbehörde. Der Datenbearbeiter ist verpflichtet, insbesondere bei der Beschaffung der folgenden Informationen behilflich zu sein, die gemäss den anwendbaren Datenschutzgesetzen in der Meldung der Verantwortlichen angegeben werden müssen. Diese Informationen umfassen grundsätzlich:

(1) Die Art der Personendaten, einschliesslich, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen
sowie die Kategorien und die ungefähre Anzahl der betroffenen Personendatensätze;

(2) die wahrscheinlichen Folgen der Verletzung des Schutzes der Personendaten;

(3) die Massnahmen, die die Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes von Personendaten zu beheben, gegebenenfalls einschliesslich Massnahmen zur Abschwächung möglicher negativer Auswirkungen.

8 Beendigung

8.1 Die Verantwortliche ist berechtigt, diese AVV sowie die Basisvereinbarung zu kündigen, wenn:

(1) der Datenbearbeiter in erheblichem Masse oder dauerhaft gegen das anwendbare Datenschutzrecht (insb. das DSG) oder gegen seine Verpflichtungen nach den anwendbaren Datenschutzgesetzen verstösst, und es ist nicht zu erwarten, dass dieser Verstoss behoben wird;

(2) der Datenbearbeiter einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde in Bezug auf seine Verpflichtungen gemäss den anwendbaren Datenschutzgesetze nicht nachkommt.

8.2 Diese AVV bleibt in vollem Umfang in Kraft, solange das zwischen den Parteien geschlossene Vertragsverhältnis in Kraft bleibt.

9 Haftung und Entschädigung

9.1 Es gelten die Haftungsbestimmungen der Basisvereinbarung.

9.2 Die Verantwortliche hat dem Datenbearbeiter die entstehenden Aufwände aus den allfälligen Leistungen aufgrund der vorgehend genannten Unterstützungspflichten (Ziff. 5.5, 6 ff.) vollumfänglich zu ersetzen. Die entsprechenden Leistungen werden zu den üblichen Stundenansätzen des Datenbearbeiters in Rechnung gestellt.

10 Gerichtsstand und anwendbares Recht

Gerichtsstand ist Kriens. Das Rechtsverhältnis untersteht ausschliesslich dem Schweizerischen Recht.

Anhang 1

Zweck der Bearbeitung: Bearbeitung von Personendaten für die Verantwortliche aufgrund von verschiedenen Dienstleistungsverträgen (die «Basisvereinbarung»)

Dauer der Bearbeitung: Solange Basisvereinbarungen mit der Verantwortlichen bestehen.

Kategorien von betroffenen Personen*: Benutzer*innen, Kund*innen, Mitarbeiter*innen, Lieferanten

Kategorien von Personendaten*: Geburtstag/Alter, Kontaktdaten (E-Mail, Telefon), Wohnadresse, IP-Adresse, Name, Nationalität und Reisepass/ID. Es können auch besonders schützenswerte Personendaten bearbeitet werden.

Ort der Lagerung und Bearbeitung: An der Geschäftsadresse des Datenbearbeiters und seiner zugelassenen Unterdatenbearbeiter bzw. den entsprechenden Datenzentren, wie in dieser AVV angegeben.

Vor-Ort-Prüfungen: Nein

* Kategorien der Personendaten sowie der betroffenen Personen werden durch die Verantwortliche und ohne Zutun des Datenbearbeiters festgelegt. Die Aufzählung erfolgt lediglich beispielhaft.

Anhang 2

Die Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen, die von dem/den Datenbearbeiter(n) durchgeführt werden finden Sie unter:

Link zu den Technisch-organisatorischen Massnahmen

Anhang 3

Die folgenden Unterdatenbearbeiter werden zur Leistungserbringung beigezogen:
 
Dienstleister: Nine Internet Solutions AG, Zürich
Ort der Bearbeitung: Schweiz
Leistung: Webhosting 
Ausschliesslich bei folgenden Produkten aktiv: Hosting (Schweiz)

Dienstleister: Hetzner Online GmbH, Gunzenhausen (DE)
Ort der Bearbeitung: Deutschland
Leistung: Hosting
Ausschliesslich bei folgenden Produkten aktiv: Hosting (EU)

Dienstleister: Cloudflare, Inc., United States
Ort der Bearbeitung: Weltweit
Leistung: CDN, DDoS Protection
Ausschliesslich bei folgenden Produkten aktiv: Cloudflare

Dienstleister: Google Cloud EMEA Ltd, Ireland
Ort der Bearbeitung: EU
Leistung: Workplace
Ausschliesslich bei folgenden Produkten aktiv:  Grundangebot, SLA (für Kommunikation, Dokumentation)

Dienstleister: METANET AG, Zürich
Ort der Bearbeitung: Schweiz
Leistung: Hosting Ticket-System
Ausschliesslich bei folgenden Produkten aktiv: SLA (für Ticket-System)