Das Lesen von Verträgen ist mühsam. In dieser Spalte fassen wir darum den Inhalt unseres AVV zusammen.
Die in dieser Spalte enthaltenen Kurz-Zusammenfassungen sind rechtlich nicht verbindlich; massgebend ist allein der Wortlaut des ausformulierten AVV.
1. Gegenstand
Dieser Vertrag regelt die Rechte und Pflichten der ongoing GmbH als Auftragnehmerin und einer Kundin der ongoing GmbH als Auftraggeberin (nachfolgend gemeinsam die «Parteien») im Zusammenhang mit der datenschutzrechtlichen Auftragsbearbeitung beziehungsweise Auftragsverarbeitung (nachfolgend einheitlich die «Auftragsverarbeitung») von Personendaten beziehungsweise personenbezogenen Daten (nachfolgend einheitlich die «Personendaten»).
Mit diesem Vertrag ermöglicht die Auftragnehmerin der Auftraggeberin die Einhaltung der anwendbaren datenschutzrechtlichen Anforderungen für die Auftragsverarbeitung.
Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragnehmerin ganz oder teilweise Personendaten im Auftrag der Auftraggeberin bearbeitet beziehungsweise verarbeitet oder bearbeiten beziehungsweise verarbeiten (nachfolgend einheitlich «verarbeiten») lässt.
Die Auftragnehmerin unterliegt als Verantwortliche mit Sitz in der Schweiz dem schweizerischen Datenschutzrecht, insbesondere gemäss dem Bundesgesetz über den Datenschutz (DSG). Die Europäische Kommission stellte mit Entscheidung vom 26. Juli 2000 fest, dass das schweizerische Datenschutzrecht ein angemessenes Schutzniveau für Personendaten gewährleistet. Die Feststellung gilt als Angemessenheitsbeschluss gemäss Art. 45 Abs. 1 der europäischen Datenschutz-Grundverordnung (DSGVO).
Kurz gesagt
2. Art, Gegenstand und Zweck der Auftragsverarbeitung
Die Auftragsverarbeitung erfolgt gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien, insbesondere auf Grundlage von Allgemeinen Geschäftsbedingungen (AGB). Die Bestimmungen dieses Vertrages haben Vorrang bei einem Widerspruch zwischen den Bestimmungen dieses Vertrages und sonstigen vertraglichen Vereinbarungen zwischen den Parteien.
Die Auftragsverarbeitung umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Abfragen, Abgleichen, Anpassen, Archivieren, Aufbewahren, Auslesen, Bekanntgeben, Beschaffen, Einschränken, Erfassen, Erheben, Löschen, Offenlegen, Ordnen, Organisieren, Speichern, Verändern, Verknüpfen, Vernichten und Verwenden von Personendaten. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare beziehungsweise identifizierte oder identifizierbare natürliche Person beziehen, deren Daten verarbeitet werden.
Die Auftragsverarbeitung umfasst die Kategorien von Personendaten gemäss Anhang 1.
Die Auftragsverarbeitung umfasst die Kategorien betroffener Personen, deren Personendaten verarbeitet werden, gemäss Anhang 2.
Kurz gesagt
3. Pflichten der Parteien
3.1. Weisungen und Zweckbindung
Die Auftragnehmerin verarbeitet Personendaten ausschliesslich für den Zweck beziehungsweise die Zwecke gemäss den vertraglichen Vereinbarungen zwischen den Parteien oder gemäss dokumentierten Weisungen der Auftraggeberin, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch zu einer bestimmten Verarbeitung verpflichtet. Die Auftraggeberin kann während der gesamten Dauer der Auftragsverarbeitung weitere dokumentierte Weisungen erteilen.
Die Auftragnehmerin informiert die Auftraggeberin, wenn sie eine erteilte Weisung ganz oder teilweise nicht ausführen kann. Die Auftragnehmerin informiert die Auftraggeberin, wenn sie der Auffassung ist, dass vertragliche Vereinbarungen oder erteilte Weisungen gegen anwendbare datenschutzrechtliche Anforderungen verstossen.
3.2. Sicherheit
Die Auftragnehmerin ergreift mindestens die geeigneten technischen und organisatorischen Massnahmen (TOM) gemäss Anhang 3, um eine dem Risiko angemessene Sicherheit der verarbeiteten Personendaten (nachfolgend die «Datensicherheit») zu gewährleisten. Diese Massnahmen umfassen insbesondere den Schutz der verarbeiteten Personendaten, darunter allenfalls auch besonders schützenswerte Personendaten, vor einer Verletzung der Datensicherheit.
Die Auftragnehmerin gewährt ihren Hilfspersonen nur insoweit Zugang zu Personendaten der Auftraggeberin, als ein solcher Zugang für die Durchführung, Überwachung und Verwaltung dieses Vertrages erforderlich ist. Die Auftragnehmerin gewährleistet, dass sich die zur Auftragsverarbeitung befugten Personen zur Geheimhaltung verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.
3.3. Dokumentation und Prüfmöglichkeiten
Die Parteien müssen die Einhaltung dieses Vertrages nachweisen können.
Die Auftragnehmerin bearbeitet in angemessener Weise und möglichst zeitnah Anfragen der Auftraggeberin zur Auftragsverarbeitung gemäss diesem Vertrag.
Die Auftragnehmerin stellt der Auftraggeberin auf Anfrage alle vorhandenen Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesem Vertrag festgelegten und unmittelbar aus den anwendbaren datenschutzrechtlichen Bestimmungen hervorgehenden Anforderungen erforderlich sind. Die Auftraggeberin trägt die Kosten der Auftragnehmerin für solche Informationen.
Die Auftragnehmerin ermöglicht der Auftraggeberin auf Verlangen die Prüfung der Auftragsverarbeitung gemäss diesem Vertrag in angemessenen Abständen oder bei dokumentierten Anzeichen für eine Nichteinhaltung.
Die Auftraggeberin kann eine solche Prüfung selbst durchführen oder durch eine unabhängige Prüferin beziehungsweise einen unabhängigen Prüfer durchführen lassen. Solche Prüfungen sind auf einen Tag pro Kalenderjahr beschränkt. Eine Prüfung kann auch Inspektionen in den physischen Einrichtungen oder Räumlichkeiten der Auftragnehmerin umfassen, sofern solche Inspektionen erforderlich sind, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs stattfinden und die Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit erfolgt. Solche Inspektionen sind in jedem Fall nur zulässig, sofern und soweit die Prüfung nicht durch geeignete Nachweise wie beispielsweise Bestätigungen, Dokumentationen und Zertifikate oder Zertifizierungen erfolgen kann, insbesondere bei Rechenzentren.
Die Auftraggeberin trägt die Kosten der Auftragnehmerin für solche Prüfungen.
Die Parteien stellen einer zuständigen Aufsichtsbehörde beziehungsweise zuständigen Aufsichtsbehörden die oben genannten Informationen, einschliesslich Ergebnissen von Prüfungen, auf Anfrage zur Verfügung, sofern die Zurverfügungstellung nicht aus gesetzlichen Gründen verboten ist.