AVV - Auftragsverarbeitungsvertrag

Die Art der Daten, die Kategorien der betroffenen Personen sowie Dauer und Zweck der Verarbeitung sind, soweit im Rahmenvertrag nicht ausdrücklich anders geregelt, wie folgt:

Dieser AVV gilt ausschliesslich für die Verarbeitung der Daten durch den Auftragsverarbeiter und dessen beigezogenen Subunternehmern. Beauftragt der Kunde den Auftragsverarbeiter mit der Verarbeitung von Daten auf Infrastruktur oder mit Software von Dritten, so ist der Kunde für die Einhaltung der Datenschutzbestimmungen durch diesen Dritten verantwortlich.

Der Verantwortliche ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmässigkeit der Datenverarbeitung und den Weisungen allein verantwortlich ('Verantwortlicher' im Sinne von Art. 4 Nr. 7 DSGVO bzw. Art. 5 lit f) DSG).

Der Auftragsverarbeiter verarbeitet die Daten ausschliesslich für die Zwecke des Rahmenvertrags und gemäss den dokumentierten Weisungen des Verantwortlichen. Weisungen müssen stets schriftlich oder in elektronischer Form erfolgen. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstösst. Der Auftragsverarbeiter darf die Umsetzung der Weisung solange aussetzen, bis sie vom Verantwortlichen bestätigt oder abgeändert wurde.

Werden Daten aufgrund gesetzlicher Vorschriften und entgegen den Weisungen des Verantwortlichen verarbeitet, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen vorgängig über die betreffende Verarbeitung und Rechtmässigkeit der Bearbeitung zu informieren, sofern dem nicht ein wichtiges öffentliches Interesse entgegensteht.

Der Verantwortliche ist verantwortlich für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen. Der Verantwortliche gewährleistet, dass die Verarbeitung der Daten durch den Auftragsverarbeiter gemäss diesem AVV und den Weisungen keine anwendbaren gesetzliche Bestimmungen verletzt.

Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmässigkeiten bei Prüfung der Auftragsverarbeitung feststellt.

Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen des Auftragsverarbeiters vertraulich zu behandeln.

Der Verantwortliche ist verpflichtet, seine Weisungen an den Auftragsverarbeiter zu dokumentieren.

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der Daten befugten Personen (z.B. Mitarbeiter, Subunternehmer, etc.) sich vertraglich zur Wahrung der Vertraulichkeit und Sicherheit verpflichtet haben oder einer geeigneten gesetzlichen Vertraulichkeits- und Sicherheitsverpflichtung unterliegen.

Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragsverarbeiter hat angemessene technische und organisatorische Massnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen und die den Anforderungen der DSGVO und des DSG genügen.

Die derzeitigen technischen und organisatorischen Massnahmen sowie das Verfahren zur Überprüfung, Bewertung und Evaluierung derer Wirksamkeit sind in Anlage 1 beschrieben. Dem Verantwortlichen sind diese technischen und organisatorischen Massnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

Der Auftragsverarbeiter kann die Massnahmen im Laufe des Auftragsverhältnisses den technischen und organisatorischen Weiterentwicklungen anpassen – diese dürfen die vereinbarten Standards jedoch nicht unterschreiten.

Aufträge an Subunternehmer zur Verarbeitung der vertragsgegenständlichen personenbezogenen Daten dürfen nur nach vorheriger schriftlicher Genehmigung (einschliesslich Textform) durch den Verantwortlichen vergeben werden.

Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung, Subunternehmer gemäss den Bestimmungen dieses AVV beizuziehen. Die bestehenden Subunternehmer des Auftragsverarbeiters finden sich unter www.vshn.ch/partner/technologiepartner/. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer in geeigneter Form und mit angemessener Frist. Der Verantwortliche kann gegen die Änderung innerhalb von 30 Tagen aus wichtigem Grund Einspruch erheben. Der Einspruch muss schriftlich erfolgen und die speziellen Gründe für den Einspruch sowie ggf. Kompromissmöglichkeiten beinhalten. Eine weitere Auslagerung durch den Subunternehmer bedarf der ausdrücklichen Zustimmung des Verantwortlichen (mind. Textform).

Der Auftragsverarbeiter ist verpflichtet, genehmigten Subunternehmern mit jenen dieser Vereinbarung im Wesentlichen vergleichbare Datenschutzverpflichtungen aufzuerlegen, bevor personenbezogene Daten des Verantwortlichen durch den Unterauftragsverarbeiter verarbeitet werden.

Als Subunternehmer im Sinne dieser Regelung sind solche Dienstleister zu verstehen, deren Leistungen sich unmittelbar auf die Erbringung der Hauptleistung unter dem Rahmenvertrag beziehen und die Verarbeitung von Daten betrifft. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Massnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmassnahmen zu ergreifen.

Der Auftragsverarbeiter bzw. dessen Subunternehmer verarbeiten die Daten vorwiegend in der Schweiz, Kanada (British Columbia) und im Europäischen Wirtschaftsraum. Der Verantwortliche stimmt zu, dass die Daten auch ausserhalb der Schweiz, Kanada und des Europäischen Wirtschaftsraums verarbeitet werden, sofern der Auftragsverarbeiter sicherstellt, dass die Voraussetzungen für die Übermittlung der Daten in Drittländer gemäss DSGVO und DSG eingehalten werden und der Verantwortliche zuvor über den Datenexport in ein Drittland in Kenntnis gesetzt wird. Der Auftragsverarbeiter weist die Einhaltung auf Verlangen nach.

Mitarbeiter des Auftragsverarbeiters können die Daten auch in Privatwohnungen im Rahmen der Telearbeit verarbeiten, sofern angemessene Massnahmen ergriffen wurden. Der Verantwortliche erlaubt die Verarbeitung von diesen Daten nur unter Gewährleistung der nötigen Datenschutz- und Datensicherheitsmassnahmen. Soweit Daten des Verantwortlichen in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung zu Zwecken der Auftragskontrolle vorher mit dem Verantwortlichen abzustimmen. Der Auftragsverarbeiter versichert, dass alle Bewohner dieser Privatwohnungen mit dieser Regelung einverstanden sind.

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III DSGVO und des DSGbzw. Kapitel IV und V DSG sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO bzw. Art. 19 bis 24 DSG genannten Pflichten. Für die Umsetzung der Betroffenenrechte ist grundsätzlich der Verantwortliche zuständig. Der Auftragsverarbeiter setzt die dokumentierten Weisungen des Verantwortlichen in Bezug auf Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft um. Für die Umsetzung vergütet der Verantwortliche den Auftragsverarbeiter angemessen, soweit dies nicht ausdrücklich zu den Leistungen unter dem Rahmenvertrag gehört.

Der Auftragsverarbeiter leitet allfällige Anfragen von betroffenen Personen, soweit die Anfrage dem Verantwortlichen zugeordnet werden kann, an den Verantwortlichen weiter.

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn ihm Verletzungen des Schutzes der Daten des Verantwortlichen bekannt werden.

Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.

Sollten im Einzelfall Inspektionen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Den berechtigten Geheimhaltungsinteressen sowie gesetzlichen sowie vertraglichen Geheimhaltungspflichten ist bei der Inspektion angemessen Rechnung zu tragen. Die prüfenden Personen müssen vor der Inspektion eine Verschwiegenheitserklärung hinsichtlich der Daten des Auftragsverarbeiters sowie anderer Kunden und der eingerichteten technischen und organisatorischen Massnahmen unterzeichnen.

Alle Kosten des Auftragsverarbeiters (inkl. jene für den beizustellenden Mitarbeiter) sind durch den Verantwortlichen zu tragen.

Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO bzw. im DSG getroffenen Regelung. Im Innenverhältnis zwischen den Parteien haftet der Auftragsverarbeiter für den durch eine Verarbeitung verursachten Schaden jedoch nur, wenn er (i) seinen ihm speziell durch die DSGVO bzw. DSG auferlegten Pflichten nicht nachgekommen ist, oder (ii) unter Nichtbeachtung der rechtmässig erteilten Anweisungen des Verantwortlichen oder gegen dessen Anweisungen gehandelt hat.

Weiter gelten die Haftungsbeschränkungen gemäss Rahmenvertrag.

VSHN behält sich vor, diesen AVV jederzeit anzupassen und informiert die Kunden in geeigneter Weise (auch in elektronischer Form) vorgängig über die Änderungen. Änderungen oder Ergänzungen dieses AVV werden zum Vertragsbestandteil, wenn der Kunde nicht innert 30 Tagen seit Kenntnisnahme der geänderten Bestimmungen widerspricht.

Sollten eine oder mehrere Bestimmungen dieses AVV oder des restlichen Vertrags ungültig, unwirksam oder nichtig sein oder werden, so wird diese Bestimmung durch eine gültige und wirksame Bestimmung ersetzt, welche dem Sinn der ursprünglichen Bestimmung am nächsten kommt und dem wirtschaftlichen Gleichgewicht der Parteien entspricht.

Der vorliegende Vertrag und sämtliche sich daraus ergebenden Streitigkeiten unterliegen ausschliesslich materiellem Schweizer Recht unter Ausschluss des Kollisionsrechts und des UN-Kaufrechts. Ausschliesslicher Gerichtsstand ist Zürich.