5.1.1 Der Datenbearbeiter bearbeitet Personendaten nur auf schriftliche Weisung der Verantwortlichen hin, es sei denn, er ist nach dem Recht, dem der Datenbearbeiter unterliegt, hierzu gesetzlich verpflichtet. Die Verantwortliche kann während der gesamten Dauer der Bearbeitung von Personendaten auch nachträgliche Weisungen erteilen. Solche Weisungen sind stets zu dokumentieren. Die Verantwortliche stimmt zu, dass die Vereinbarung zwischen den Parteien (nachfolgend «Basisvereinbarung» genannt), dieser AVV, deren Aktualisierungen sowie soweit möglich die technischen Konfigurationen des Verantwortlichen die abschliessenden Weisungen der Auftraggeberin darstellen.
5.1.2 Der Datenbearbeiter unterrichtet die Verantwortliche unverzüglich, wenn die Anweisungen der Verantwortlichen nach Ansicht des Datenbearbeiters gegen das DSG oder weitere anwendbare Regelungen verstossen.
5.2.1 Der Datenbearbeiter darf die Personendaten nur für den/die in Anhang 1 genannten Zweck(e) der Bearbeitung bearbeiten.
5.3 Löschung oder Rückgabe von Daten
5.3.1 Die Bearbeitung durch den Datenbearbeiter darf nur für die in Anhang 1 angegebene Dauer erfolgen.
5.3.2 Bei Beendigung der Erbringung von Dienstleistungen zur Bearbeitung von Personendaten oder bei Beendigung gemäss Ziffer 8 gibt der Datenbearbeiter alle Personendaten an die Verantwortliche zurück und löscht vorhandene Kopien, es sei denn, die anwendbaren Datenschutzgesetze oder weitere Regelungen schreiben die Aufbewahrung der Personendaten vor.
5.4 Sicherheit der Bearbeitung
5.5 Dokumentation und Einhaltung der Vorschriften
5.5.1 Die Parteien müssen in der Lage sein, die Einhaltung dieser AVV nachzuweisen.
5.5.2 Der Datenbearbeiter ist verpflichtet, alle angemessenen Anfragen der Verantwortlichen, die sich auf die Bearbeitung im Rahmen der anwendbaren Datenschutzgesetze beziehen, unverzüglich und ordnungsgemäss zu beantworten.
5.5.3 Der Datenbearbeiter stellt der Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in den anwendbaren Datenschutzgesetzen festgelegten und sich unmittelbar aus den anwendbaren Datenschutzgesetzen ergebenden Verpflichtungen nachzuweisen, und ermöglicht auf Verlangen der Verantwortlichen die Überprüfung von Dateien und Unterlagen oder von Audits der unter diese Klauseln fallenden Bearbeitungstätigkeiten und trägt dazu bei, insbesondere wenn es Anzeichen für eine Nichteinhaltung gibt.
5.5.4 Die Verantwortliche hat die Wahl, das Audit selbst durchzuführen, auf eigene Kosten einen unabhängigen Prüfer zu beauftragen oder sich auf ein vom Datenbearbeiter beauftragtes, unabhängiges Audit zu verlassen. Beauftragt der Datenbearbeiter ein Audit, so hat er die Kosten des unabhängigen Prüfers zu tragen. Die Audit-, Zugangs- und Inspektionsrechte der Verantwortlichen gemäss dieser Klausel beschränken sich ausschliesslich auf die Aufzeichnungen des Datenbearbeiters (einschliesslich u. a. der Verzeichnisse der Bearbeitungstätigkeiten) und gelten nicht für die physischen Räumlichkeiten des Datenbearbeiters. Jede Prüfung und jedes Auskunftsersuchen ist auf die Informationen zu beschränken, die für die Zwecke dieser AVV erforderlich sind, und hat den Vertraulichkeitsverpflichtungen des Datenbearbeiters und seinem berechtigten Interesse am Schutz von Geschäftsgeheimnissen gebührend Rechnung zu tragen.
5.5.5 Der Datenbearbeiter und die Verantwortliche stellen die in dieser Klausel genannten Informationen, einschliesslich der Ergebnisse etwaiger Audits, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung, wenn und soweit dies nach den anwendbaren Datenschutzgesetzen erforderlich ist.
5.6 Einsatz von UnterDatenbearbeitern
5.6.1 Der Datenbearbeiter verfügt über die Zustimmung der Verantwortlichen für die Beauftragung von Unterdatenbearbeitern (Sublieferanten). Die Liste der Unterdatenbearbeitern des Datenbearbeiters ist in Anhang 3 zu finden. Der Datenbearbeiter informiert die Verantwortliche schriftlich (E-Mail oder andere elektronische Mitteilung genügt) über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterdatenbearbeitern mindestens 30 Tage im Voraus, so dass die Verantwortliche die Möglichkeit hat, vor der Beauftragung des/der betreffenden Unterdatenbearbeiter(n) Einspruch gegen diese Änderungen einzulegen. Ein solcher Einspruch darf nicht unberechtigt sein. Die Parteien halten die Liste auf dem neuesten Stand.
5.6.2 Beauftragt der Datenbearbeiter einen Unterdatenbearbeiter mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des Verantwortlichen), so erfolgt dies im Rahmen eines Vertrags, der dem Unterdatenbearbeiter dieselben Pflichten auferlegt wie dem Datenbearbeiter gemäss den anwendbaren Datenschutzgesetzen. Der Datenbearbeiter stellt sicher, dass der Unterdatenbearbeiter die Verpflichtungen einhält, denen der Datenbearbeiter gemäss diesem AVV und den anwendbaren Datenschutzgesetzen unterliegt.
5.6.3 Der Datenbearbeiter bleibt gegenüber der Verantwortlichen für die Erfüllung der Verpflichtungen des Unterdatenbearbeiters aus seinem Vertrag mit dem Datenbearbeiter verantwortlich. Der Datenbearbeiter meldet der Verantwortlichen, wenn der Unterdatenbearbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.