- Created by Paavo Schmid , last modified on 23 Oct, 2023
You are viewing an old version of this page. View the current version.
Compare with Current View Page History
« Previous Version 31 Next »
Inhaltsverzeichnis
Kurz gesagt
Das Lesen von Verträgen ist mühsam. In dieser Spalte fassen wir darum den Inhalt unseres AVV zusammen.
Die in dieser Spalte enthaltenen Kurz-Zusammenfassungen sind rechtlich nicht verbindlich; massgebend ist allein der Wortlaut des ausformulierten AVV.
Gegenstand
Dieser Vertrag regelt die Rechte und Pflichten der ongoing GmbH als Auftragnehmerin und einer Kundin der ongoing GmbH als Auftraggeberin (nachfolgend gemeinsam die «Parteien») im Zusammenhang mit der datenschutzrechtlichen Auftragsbearbeitung beziehungsweise Auftragsverarbeitung (nachfolgend einheitlich die «Auftragsverarbeitung») von Personendaten beziehungsweise personenbezogenen Daten (nachfolgend einheitlich die «Personendaten»).
Mit diesem Vertrag ermöglicht die Auftragnehmerin der Auftraggeberin die Einhaltung der anwendbaren datenschutzrechtlichen Anforderungen für die Auftragsverarbeitung.
Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragnehmerin ganz oder teilweise Personendaten im Auftrag der Auftraggeberin bearbeitet beziehungsweise verarbeitet oder bearbeiten beziehungsweise verarbeiten (nachfolgend einheitlich «verarbeiten») lässt.
Die Auftragnehmerin unterliegt als Verantwortliche mit Sitz in der Schweiz dem schweizerischen Datenschutzrecht, insbesondere gemäss dem Bundesgesetz über den Datenschutz (DSG). Die Europäische Kommission stellte mit Entscheidung vom 26. Juli 2000 fest, dass das schweizerische Datenschutzrecht ein angemessenes Schutzniveau für Personendaten gewährleistet. Die Feststellung gilt als Angemessenheitsbeschluss gemäss Art. 45 Abs. 1 der europäischen Datenschutz-Grundverordnung (DSGVO).
Kurz gesagt
Mit diesem Vertrag erlaubst du uns, Personendaten zu verarbeiten. Wir halten uns an das Datenschutzgesetz.
Art, Gegenstand und Zweck der Auftragsverarbeitung
Die Auftragsverarbeitung erfolgt gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien, insbesondere auf Grundlage von Allgemeinen Geschäftsbedingungen (AGB). Die Bestimmungen dieses Vertrages haben Vorrang bei einem Widerspruch zwischen den Bestimmungen dieses Vertrages und sonstigen vertraglichen Vereinbarungen zwischen den Parteien.
Die Auftragsverarbeitung umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Abfragen, Abgleichen, Anpassen, Archivieren, Aufbewahren, Auslesen, Bekanntgeben, Beschaffen, Einschränken, Erfassen, Erheben, Löschen, Offenlegen, Ordnen, Organisieren, Speichern, Verändern, Verknüpfen, Vernichten und Verwenden von Personendaten. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare beziehungsweise identifizierte oder identifizierbare natürliche Person beziehen, deren Daten verarbeitet werden.
Die Auftragsverarbeitung umfasst die Kategorien von Personendaten gemäss Anhang 1.
Die Auftragsverarbeitung umfasst die Kategorien betroffener Personen, deren Personendaten verarbeitet werden, gemäss Anhang 2.
Kurz gesagt
Dieser Vertrag ist teil unserer AGB. Dieser Vertrag regelt die Verarbeitung jeglicher Personendaten.
Pflichten der Parteien
Weisungen und Zweckbindung
Die Auftragnehmerin verarbeitet Personendaten ausschliesslich für den Zweck beziehungsweise die Zwecke gemäss den vertraglichen Vereinbarungen zwischen den Parteien oder gemäss dokumentierten Weisungen der Auftraggeberin, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch zu einer bestimmten Verarbeitung verpflichtet. Die Auftraggeberin kann während der gesamten Dauer der Auftragsverarbeitung weitere dokumentierte Weisungen erteilen.
Die Auftragnehmerin informiert die Auftraggeberin, wenn sie eine erteilte Weisung ganz oder teilweise nicht ausführen kann. Die Auftragnehmerin informiert die Auftraggeberin, wenn sie der Auffassung ist, dass vertragliche Vereinbarungen oder erteilte Weisungen gegen anwendbare datenschutzrechtliche Anforderungen verstossen.
Sicherheit
Die Auftragnehmerin ergreift mindestens die geeigneten technischen und organisatorischen Massnahmen (TOM) gemäss Anhang 3, um eine dem Risiko angemessene Sicherheit der verarbeiteten Personendaten (nachfolgend die «Datensicherheit») zu gewährleisten. Diese Massnahmen umfassen insbesondere den Schutz der verarbeiteten Personendaten, darunter allenfalls auch besonders schützenswerte Personendaten, vor einer Verletzung der Datensicherheit.
Die Auftragnehmerin gewährt ihren Hilfspersonen nur insoweit Zugang zu Personendaten der Auftraggeberin, als ein solcher Zugang für die Durchführung, Überwachung und Verwaltung dieses Vertrages erforderlich ist. Die Auftragnehmerin gewährleistet, dass sich die zur Auftragsverarbeitung befugten Personen zur Geheimhaltung verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.
Dokumentation und Prüfmöglichkeiten
Die Parteien müssen die Einhaltung dieses Vertrages nachweisen können.
Die Auftragnehmerin bearbeitet in angemessener Weise und möglichst zeitnah Anfragen der Auftraggeberin zur Auftragsverarbeitung gemäss diesem Vertrag.
Die Auftragnehmerin stellt der Auftraggeberin auf Anfrage alle vorhandenen Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesem Vertrag festgelegten und unmittelbar aus den anwendbaren datenschutzrechtlichen Bestimmungen hervorgehenden Anforderungen erforderlich sind. Die Auftraggeberin trägt die Kosten der Auftragnehmerin für solche Informationen.
Die Auftragnehmerin ermöglicht der Auftraggeberin auf Verlangen die Prüfung der Auftragsverarbeitung gemäss diesem Vertrag in angemessenen Abständen oder bei dokumentierten Anzeichen für eine Nichteinhaltung.
Die Auftraggeberin kann eine solche Prüfung selbst durchführen oder durch eine unabhängige Prüferin beziehungsweise einen unabhängigen Prüfer durchführen lassen. Solche Prüfungen sind auf einen Tag pro Kalenderjahr beschränkt. Eine Prüfung kann auch Inspektionen in den physischen Einrichtungen oder Räumlichkeiten der Auftragnehmerin umfassen, sofern solche Inspektionen erforderlich sind, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs stattfinden und die Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit erfolgt. Solche Inspektionen sind in jedem Fall nur zulässig, sofern und soweit die Prüfung nicht durch geeignete Nachweise wie beispielsweise Bestätigungen, Dokumentationen und Zertifikate oder Zertifizierungen erfolgen kann, insbesondere bei Rechenzentren. Die Auftraggeberin trägt die Kosten der Auftragnehmerin für solche Prüfungen.
Die Parteien stellen einer zuständigen Aufsichtsbehörde beziehungsweise zuständigen Aufsichtsbehörden die oben genannten Informationen, einschliesslich Ergebnissen von Prüfungen, auf Anfrage zur Verfügung, sofern die Zurverfügungstellung nicht aus gesetzlichen Gründen verboten ist.
Kurz gesagt
Wir geben deine Daten nicht weiter und behandeln sie sorgfältig. Du hast natürlich das Recht dies nachzuprüfen.
Unterauftragsverarbeitung
Die Auftraggeberin erteilt der Auftragnehmerin die allgemeine Genehmigung für die Beauftragung von Unterauftragsverarbeitern, die in der Liste gemäss Anhang 4 aufgeführt sind.
Die Auftragnehmerin unterrichtet die Auftraggeberin mindestens 30 Tage im Voraus in elektronischer oder schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Ersetzen oder Hinzufügen von Unterauftragsverarbeitern. Die Auftragnehmerin räumt der Auftraggeberin damit ausreichend Zeit ein, um vor der Beauftragung allenfalls Widerspruch gegen die beabsichtigten Änderungen erheben zu können.
Erfolgt kein fristgerechter Widerspruch, gelten die beabsichtigten Änderungen als genehmigt. Ist bei einem Widerspruch keine einvernehmliche Klärung zwischen den Parteien über die geplanten Änderungen möglich und ist die Auftraggeberin nicht bereit, auf ihren Widerspruch zu verzichten, sind die Parteien berechtigt, diesen Vertrag ausserordentlich auf den Zeitpunkt der geplanten Änderungen zu kündigen.
Die Auftragnehmerin muss Unterauftragsverarbeitern, die zur Durchführung der Auftragsverarbeitung beauftragt werden, vertraglich im Wesentlichen die gleichen Pflichten auferlegen wie diejenigen, die für die Auftragnehmerin gemäss diesem Vertrag gelten. Die Auftragnehmerin stellt sicher, dass jeder Unterauftragsverarbeiter die Pflichten erfüllt, denen die Auftragnehmerin gemäss diesem Vertrag und gemäss den anwendbaren datenschutzrechtlichen Anforderungen unterliegt.
Kurz gesagt
Um unsere Leistungen effizient zu erbringen, holen wir uns Hilfe von einigen wenigen Unterauftragsverarbeitern.
Die aktuelle List dieser Sub-Contractors findest du auf unserer Webseite.
Art. 9 Abs. 3 DSG ist klar: «Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.»
Dito Art. 28 Abs. 2 DSGVO: «Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.»Eine Auftraggeberin muss neue Unterauftragsverarbeiter genehmigen, was als Erleichterung mit Information und Widerspruchsrecht umgesetzt werden kann. Eine Auftraggeberin muss aber genügend Zeit haben, den neuen Unterauftragsverarbeiter zu prüfen. Mit Blick auf gängige Abwesenheiten stellt sich die Frage, ob eine Frist von unter 30 Tagen angemessen ist. Man kann die Frist heruntersetzen, aber sicherlich nicht auf wenige Tage oder gar auf Stunden.
Wenn eine Auftraggeberin mit einem neuen Unterauftragsverarbeiter nicht einverstanden ist, muss sie wenigstens ausserordentlich kündigen können, was für eine Auftraggeberin ja schon unangenehm genug ist. Ansonsten wäre sie gezwungen, einen neuen Unterauftragsverarbeiter, den sie nicht möchte, zu akzeptieren.
Export von Personendaten
Jeder Export von Personendaten in ein Land ausserhalb der Schweiz und der Mitgliedstaaten des Europäischen Wirtschaftsraumes (EWR) oder an eine internationale Organisation erfolgt ausschliesslich wie vertraglich vereinbart oder gemäss dokumentierten Weisungen der Auftraggeberin, es sei denn, die Auftragnehmerin ist gesetzlich zu einem bestimmten Daten-Export verpflichtet. In einem solchen Fall informiert die Auftragnehmerin die Auftraggeberin über diese gesetzliche Verpflichtung, sofern eine solche Information nicht aus gesetzlichen Gründen verboten ist.
Jeder Export von Personendaten in ein Land ausserhalb der Schweiz und der Mitgliedstaaten des EWR erfolgt grundsätzlich ausschliesslich, wenn das Datenschutzrecht im jeweiligen Land gemäss der Europäischen Kommission und dem Schweizerischen Bundesrates ein angemessenes Schutzniveau für Personendaten gewährleistet.
Der Export von Personendaten in ein Land ausserhalb der Schweiz und der Mitgliedstaaten des EWR, dessen Datenschutzrecht kein angemessenes Schutzniveau von Personendaten gewährleistet, darf ausnahmsweise erfolgen, wenn aus anderen Gründen ein angemessenes Schutzniveau gemäss den anwendbaren datenschutzrechtlichen Anforderungen gewährleistet ist, insbesondere gemäss zwischenstaatlichen Vereinbarungen oder auf Grundlage von geltenden Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen wurden. Die Auftragnehmerin ist berechtigt, solche europäischen Standarddatenschutzklauseln gemäss Empfehlungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so anzupassen und zu ergänzen, dass die Standarddatenschutzklauseln den anwendbaren datenschutzrechtlichen Anforderungen in der Schweiz besser entsprechen.
Kurz gesagt
Wir exportieren keine Daten in Länder ohne angemessenes Schutzniveau.
Unterstützung der Auftraggeberin
Die Auftragnehmerin informiert die Auftraggeberin unverzüglich über jeden datenschutzrechtlichen Antrag, den sie von einer betroffenen Person erhalten hat, und der die Auftragsverarbeitung betrifft. Die Auftragnehmerin ist berechtigt, der betroffenen Person den Erhalt zu bestätigen, beantwortet den Antrag im Übrigen aber nicht selbst, es sei denn, sie wurde von der Auftraggeberin damit beauftragt.
Die Auftragnehmerin unterstützt die Auftraggeberin unter Berücksichtigung der Art der Auftragsverarbeitung bei der Erfüllung ihrer Pflicht, datenschutzrechtliche Anträge betroffener Personen zu beantworten.
Die Auftragnehmerin unterstützt die Auftraggeberin ferner unter Berücksichtigung der Art der Auftragsverarbeitung und der vorhandenen Informationen bei der Einhaltung der folgenden Pflichten:
Führung eines allfälligen Verzeichnisses der Verarbeitungstätigkeiten;
Durchführung einer Datenschutz-Folgenabschätzung, wenn eine geplante Verarbeitung von Personendaten durch die Auftraggeberin voraussichtlich ein hohes Risiko für die Grundrechte oder die Persönlichkeit der betroffenen Personen mit sich bringen kann;
Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung von Personendaten, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die geplante Verarbeitung trotz der vorgesehenen Massnahmen ein hohes Risiko für die Grundrechte oder die Persönlichkeit der betroffenen Personen mit sich bringt.
Die Auftraggeberin trägt die Kosten der Auftragnehmerin für diese Unterstützung.
Kurz gesagt
Grundsätzlich bist du die Ansprechperson für deine User. Wir unterstützen dich aber bei der Bearbeitung eines datenschutzrechtlichen Antrags.
Meldung von Verletzungen der Datensicherheit
Die Auftragnehmerin informiert die Auftraggeberin so bald wie möglich, wenn eine Verletzung der Datensicherheit festgestellt oder vermutet wird.
Die Auftragnehmerin arbeitet im Fall einer Verletzung der Datensicherheit mit der Auftraggeberin zusammen. Die Auftragnehmerin unterstützt die Auftraggeberin bei der Erfüllung ihrer Pflichten zur Meldung von Verletzungen der Datensicherheit an die zuständige(n) Aufsichtsbehörde(n) beziehungsweise zur Benachrichtigung der von Verletzungen der Datensicherheit betroffenen Personen, wobei die Auftragnehmerin die Art der Auftragsverarbeitung und die ihr zur Verfügung stehenden Informationen berücksichtigt.
Die Auftraggeberin trägt die Kosten der Auftragnehmerin für diese Unterstützung.
Kurz gesagt
Wenn wir eine Verletzung der Datensicherheit feststellen, informieren wir dich natürlich unverzüglich darüber.
Aussetzung der Auftragsverarbeitung
Für den Fall, dass die Auftragnehmerin ihren Pflichten gemäss diesem Vertrag nicht nachkommt, kann die Auftraggeberin die Auftragnehmerin anweisen, die Auftragsverarbeitung auszusetzen, bis die Auftragnehmerin diesen Vertrag einhält oder dieser Vertrag beendet ist. Die Auftragnehmerin informiert die Auftraggeberin unverzüglich, wenn sie – aus welchen Gründen auch immer – nicht in der Lage ist, diesen Vertrag einzuhalten.
Kurz gesagt
Sollten wir diesen Vertrag nicht korrekt erfüllen, kannst du uns anweisen, keine weiteren Daten zu verarbeiten.
Haftung
Die Haftung richtet sich nach einer allfälligen Haftungsregelung gemäss den vertraglichen Vereinbarungen zwischen den Parteien.
Kurz gesagt
Die Haftung ist in den AGB geregelt.
Dauer und Kündigung
Die Auftragnehmerin verarbeitet Personendaten auf unbestimmte Zeit bis zur Kündigung der letzten vertraglichen Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.
Die Auftraggeberin ist berechtigt, diesen Vertrag ausserordentlich und fristlos zu kündigen, wenn:
die Auftraggeberin die Auftragsverarbeitung ausgesetzt hat und die Einhaltung dieses Vertrages nicht innerhalb einer angemessenen Frist, in jedem Fall aber nicht innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
die Auftragnehmerin in erheblichem Umfang oder fortdauernd gegen diesen Vertrag verstösst oder die anwendbaren datenschutzrechtlichen Anforderungen nicht erfüllt;
die Auftragnehmerin der bindenden Entscheidung einer zuständigen Aufsichtsbehörde oder eines zuständigen Gerichts, welche Pflichten der Auftragnehmerin gemäss den anwendbaren datenschutzrechtlichen Anforderungen zum Gegenstand hat, nicht nachkommt.
Die Auftragnehmerin ist berechtigt, diesen Vertrag ausserordentlich und fristlos zu kündigen, wenn die Auftraggeberin auf der Erfüllung einer vertraglichen Vereinbarung oder Weisung besteht, nachdem sie von der Auftragnehmerin darüber in Kenntnis gesetzt wurde, dass die vertragliche Vereinbarung oder Weisung gegen anwendbare datenschutzrechtliche Anforderungen verstösst.
Nach Beendigung dieses Vertrages löscht die Auftragnehmerin innert spätestens 90 Tagen alle im Auftrag der Auftraggeberin verarbeiteten Personendaten, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch berechtigt oder verpflichtet, die Personendaten zu speichern. Bis zur Löschung der Personendaten gewährleistet die Auftragnehmerin die Einhaltung dieses Vertrages.
Kurz gesagt
Hält sich eine Partei nicht an diesen Vertrag steht der anderen Partei das Recht zu ihn fristlos zu kündigen.
Spätestens 90 Tage nach Beendigung des Vertrages löschen wir alle Personendaten.
Schlussbestimmungen
Dieser Vertrag kann in elektronischer oder schriftlicher Form geschlossen werden, auch durch Verweis auf diesen Vertrag in sonstigen vertraglichen Vereinbarungen. Anpassungen dieses Vertrages können in elektronischer Form erfolgen.
Dieser Vertrag ersetzt jegliche allfällig bestehenden Auftragsverarbeitungsverträge zwischen Auftraggeberin und Auftragnehmerin.
Die Parteien informieren sich gegenseitig über eine allfällige Datenschutzberaterin oder über einen allfälligen Datenschutzberater beziehungsweise über eine allfällige Datenschutzbeauftragte oder über einen allfälligen Datenschutzbeauftragten gemäss den anwendbaren datenschutzrechtlichen Anforderungen.
Die Parteien sind verpflichtet, alle im Rahmen dieses Vertrages erlangten Kenntnisse von Geschäftsgeheimnissen der jeweils anderen Partei sowie über Personendaten auch über die Beendigung dieses Vertrages hinaus dauerhaft vertraulich zu behandeln, es sei denn, eine Partei ist gesetzlich zu einer bestimmten Offenlegung verpflichtet. In einem solchen Fall informiert die verpflichtete Partei die jeweils andere Partei über diese gesetzliche Verpflichtung, sofern, solange und soweit eine solche Information nicht aus gesetzlichen Gründen verboten ist. Bestehen bei einer Partei Zweifel, ob eine Information dieser Geheimhaltungspflicht unterliegt, ist die Information bis zur ausdrücklichen Freigabe durch die jeweils andere Partei vertraulich zu behandeln.
Sollten einzelne Bestimmungen dieses Vertrages unerfüllbar, ungültig oder unwirksam sein, so berührt dies die Erfüllbarkeit, Gültigkeit oder Wirksamkeit der übrigen Bestimmungen nicht und die Parteien ersetzen die einzelne Bestimmung mit einer erfüllbaren, gültigen oder wirksamen Bestimmung, die dem angestrebten datenschutzrechtlichen Ergebnis der einzelnen Bestimmung möglichst nahekommt.
Für diesen Vertrag gilt ausschliesslich schweizerisches Recht. Das Kollisionsrecht und das UN-Kaufrecht sind ausgeschlossen. Ausschliesslicher Gerichtsstand ist am Sitz der Auftragnehmerin.
Kurz gesagt
Sollte sich in diesem Vertrag ein Fehler eingeschlichen haben, bleibt der Rest des Vertrages bestehen.
Gerichtsstand ist am Sitz von ongoing in Zug.
Anhang 1 – Kategorien der verarbeiteten Personendaten
Die Auftraggeberin bestimmt und kontrolliert im eigenen Ermessen und in eigener Verantwortung, welche Kategorien von Personendaten verarbeitet werden. Die Auftragsverarbeitung kann insbesondere folgende Kategorien von Personendaten umfassen:
Inhaltsdaten
Kommunikationsdaten
Kontaktdaten
Nutzungsdaten
Stammdaten
Vertragsdaten
Zahlungsdaten
Kurz gesagt
Eine Liste aller möglichen Kategorien von Personendaten.
Anhang 2 – Kategorien betroffener Personen, deren Personendaten verarbeitet werden
Die Auftraggeberin bestimmt und kontrolliert im eigenen Ermessen und in eigener Verantwortung die Kategorien betroffener Personen, deren Personendaten verarbeitet werden. Die Auftragsverarbeitung kann insbesondere folgende Kategorien von Personendaten umfassen:
Ansprechpartnerinnen und Ansprechpartner
Kunden und Kundinnen
Geschäftspartnerinnen und Geschäftspartner
Interessenten und Interessentinnen
Lieferantinnen und Lieferanten
Mitarbeiter und Mitarbeiterinnen
Nutzerinnen und Nutzer
Kurz gesagt
Eine Liste aller möglichen betroffnen Personen für welche wir Personendaten verarbeiten könnten.
Anhang 3 – Technische und organisatorische Massnahmen (TOM)
Die Auftragnehmerin hat ihre technischen und organisatorischen Massnahmen (TOM) hier veröffentlicht: TOM - Technische und organisatorische Massnahmen
Kurz gesagt
Eine Liste mit Massnahmen welche wir realisieren um diesen Vertrag einzuhalten.
Anhang 4 – Liste der Unterauftragsverarbeiter
Die Auftragnehmerin hat die Liste ihrer Unterauftragsverarbeiter hier veröffentlicht:
Liste der Unterauftragsverarbeitenden
Kurz gesagt
Hier findest du die aktuelle Lister unserer Sub-Contractors.
- No labels