5.1.1 Der Datenbearbeiter bearbeitet Personendaten nur auf schriftliche Weisung der Verantwortlichen hin, es sei denn, er ist nach dem Recht, dem der Datenbearbeiter unterliegt, hierzu gesetzlich verpflichtet. Die Verantwortliche kann während der gesamten Dauer der Bearbeitung von Personendaten auch nachträgliche Weisungen erteilen. Solche Weisungen sind stets zu dokumentieren. Die Verantwortliche stimmt zu, dass die Vereinbarung zwischen den Parteien (nachfolgend «Basisvereinbarung» genannt), dieser AVV, deren Aktualisierungen sowie soweit möglich die technischen Konfigurationen des Verantwortlichen die abschliessenden Weisungen der Auftraggeberin darstellen.
5.1.2 Der Datenbearbeiter unterrichtet die Verantwortliche unverzüglich, wenn die Anweisungen der Verantwortlichen nach Ansicht des Datenbearbeiters gegen das DSG oder weitere anwendbare Regelungen verstossen.
5.2.1 Der Datenbearbeiter darf die Personendaten nur für den/die in Anhang 1 genannten Zweck(e) der Bearbeitung bearbeiten.
5.3 Löschung oder Rückgabe von Daten
5.3.1 Die Bearbeitung durch den Datenbearbeiter darf nur für die in Anhang 1 angegebene Dauer erfolgen.
5.3.2 Bei Beendigung der Erbringung von Dienstleistungen zur Bearbeitung von Personendaten oder bei Beendigung gemäss Ziffer 8 gibt der Datenbearbeiter alle Personendaten an die Verantwortliche zurück und löscht vorhandene Kopien, es sei denn, die anwendbaren Datenschutzgesetze oder weitere Regelungen schreiben die Aufbewahrung der Personendaten vor.
5.4 Sicherheit der Bearbeitung
5.4.1 Der Datenbearbeiter trifft die in Anhang 2 genannten technischen und organisatorischen Massnahmen (TOM), um die Sicherheit der Personendaten zu gewährleisten, einschliesslich des Schutzes vor zufälliger oder unrechtmässiger Zerstörung, Verlust, Veränderung, unberechtigter Weitergabe oder unberechtigtem Zugriff auf diese Daten (Verletzung des Schutzes von Personendaten). Die Beurteilung eines angemessenen Sicherheitsniveaus, insbesondere die mit der Bearbeitung verbundenen Risiken, die Art der Personendaten sowie die Art, den Umfang, die Umstände und die Zwecke der Bearbeitung, obliegen der Verantwortlichen.
5.4.2 Im Falle einer Verletzung des Schutzes der Personendaten in Bezug auf Daten, die vom Datenbearbeiter bearbeitet werden, benachrichtigt dieser die Verantwortliche unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes der Personendaten eingeholt werden können, eine Beschreibung der Art der Verletzung (einschliesslich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze), ihrer wahrscheinlichen Folgen und der Massnahmen, die zur Abschwächung ihrer möglichen nachteiligen Auswirkungen ergriffen wurden oder ergriffen werden sollen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden ohne unangemessene Verzögerung bereitgestellt, sobald sie verfügbar sind.
5.4.3 Der Datenbearbeiter arbeitet nach Treu und Glauben mit der Verantwortlichen zusammen und unterstützt sie in jeder erforderlichen Weise, damit die Verantwortliche in der Lage ist, gegebenenfalls die zuständige Datenschutzbehörde und die betroffenen Personen zu benachrichtigen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
5.4.4 Der Datenbearbeiter gewährt seinen Mitarbeiter*innen nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Datenbearbeiter stellt sicher, dass die Personen, die zur Bearbeitung der erhaltenen Personendaten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
5.5 Dokumentation und Einhaltung der Vorschriften
5.5.1 Die Parteien müssen in der Lage sein, die Einhaltung dieser AVV nachzuweisen.
5.5.2 Der Datenbearbeiter ist verpflichtet, alle angemessenen Anfragen der Verantwortlichen, die sich auf die Bearbeitung im Rahmen der anwendbaren Datenschutzgesetze beziehen, unverzüglich und ordnungsgemäss zu beantworten.
5.5.3 Der Datenbearbeiter stellt der Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in den anwendbaren Datenschutzgesetzen festgelegten und sich unmittelbar aus den anwendbaren Datenschutzgesetzen ergebenden Verpflichtungen nachzuweisen, und ermöglicht auf Verlangen der Verantwortlichen die Überprüfung von Dateien und Unterlagen oder von Audits der unter diese Klauseln fallenden Bearbeitungstätigkeiten und trägt dazu bei, insbesondere wenn es Anzeichen für eine Nichteinhaltung gibt.
5.5.4 Die Verantwortliche hat die Wahl, das Audit selbst durchzuführen, auf eigene Kosten einen unabhängigen Prüfer zu beauftragen oder sich auf ein vom Datenbearbeiter beauftragtes, unabhängiges Audit zu verlassen. Beauftragt der Datenbearbeiter ein Audit, so hat er die Kosten des unabhängigen Prüfers zu tragen. Die Audit-, Zugangs- und Inspektionsrechte der Verantwortlichen gemäss dieser Klausel beschränken sich ausschliesslich auf die Aufzeichnungen des Datenbearbeiters (einschliesslich u. a. der Verzeichnisse der Bearbeitungstätigkeiten) und gelten nicht für die physischen Räumlichkeiten des Datenbearbeiters. Jede Prüfung und jedes Auskunftsersuchen ist auf die Informationen zu beschränken, die für die Zwecke dieser AVV erforderlich sind, und hat den Vertraulichkeitsverpflichtungen des Datenbearbeiters und seinem berechtigten Interesse am Schutz von Geschäftsgeheimnissen gebührend Rechnung zu tragen.
5.5.5 Der Datenbearbeiter und die Verantwortliche stellen die in dieser Klausel genannten Informationen, einschliesslich der Ergebnisse etwaiger Audits, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung, wenn und soweit dies nach den anwendbaren Datenschutzgesetzen erforderlich ist.
5.6 Einsatz von UnterDatenbearbeitern
5.6.1 Der Datenbearbeiter verfügt über die Zustimmung der Verantwortlichen für die Beauftragung von Unterdatenbearbeitern (Sublieferanten). Die Liste der Unterdatenbearbeitern des Datenbearbeiters ist in Anhang 3 zu finden. Der Datenbearbeiter informiert die Verantwortliche schriftlich (E-Mail oder andere elektronische Mitteilung genügt) über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterdatenbearbeitern mindestens 30 Tage im Voraus, so dass die Verantwortliche die Möglichkeit hat, vor der Beauftragung des/der betreffenden Unterdatenbearbeiter(n) Einspruch gegen diese Änderungen einzulegen. Ein solcher Einspruch darf nicht unberechtigt sein. Die Parteien halten die Liste auf dem neuesten Stand.
5.6.2 Beauftragt der Datenbearbeiter einen Unterdatenbearbeiter mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des Verantwortlichen), so erfolgt dies im Rahmen eines Vertrags, der dem Unterdatenbearbeiter dieselben Pflichten auferlegt wie dem Datenbearbeiter gemäss den anwendbaren Datenschutzgesetzen. Der Datenbearbeiter stellt sicher, dass der Unterdatenbearbeiter die Verpflichtungen einhält, denen der Datenbearbeiter gemäss diesem AVV und den anwendbaren Datenschutzgesetzen unterliegt.
5.6.3 Der Datenbearbeiter bleibt gegenüber der Verantwortlichen für die Erfüllung der Verpflichtungen des Unterdatenbearbeiters aus seinem Vertrag mit dem Datenbearbeiter verantwortlich. Der Datenbearbeiter meldet der Verantwortlichen, wenn der Unterdatenbearbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.