AVV - Auftragsverarbeitungsvertrag


Version des Dokuments: Mai 2020

1. Anwendungsbereich und Vertragsbestandteile

  1. Zwischen der VSHN AG ("VSHN" oder "Auftragsverarbeiter") und dem Kunden von VSHN ("Kunde" oder "Verantwortlicher", einzeln je eine "Partei" und zusammen die "Parteien") besteht ein Vertrag in Bezug auf gewisse IT-Dienstleistungen (der "Rahmenvertrag"). Im Rahmen der Erfüllung des Rahmenvertrags verarbeitet VSHN personenbezogene Daten (die "Daten") im Auftrag des Kunden.

  2. Dieser Auftragsverarbeitungsvertrag ("AVV") regelt die Verarbeitung der Daten des Kunden durch VSHN im Sinne von im Sinne von Art. 28 der EU Datenschutz-Grundverordnung (DSGVO) sowie des Schweizerischen Bundesgesetzes über den Datenschutz (DSG).

2. Gegenstand und Dauer der Auftragsverarbeitung

  1. Die Art der Daten, die Kategorien der betroffenen Personen sowie Dauer und Zweck der Verarbeitung sind, soweit im Rahmenvertrag nicht ausdrücklich anders geregelt, wie folgt:

    • Art der Daten: Die verarbeiteten Daten umfassen Personenstammdaten, Kommunikationsdaten (z.B. E-Mail, Chat), Anmeldedaten, Dokumente und andere Daten in elektronischer Form, die der Auftragsverarbeiter im Zusammenhang mit den rahmenvertraglichen Leistungen für den Verantwortlichen verarbeitet. Der Verantwortliche gewährleistet, keine besonders schützenswerte Daten ohne vorgängige Absprache zur Verarbeitung zu übermitteln.

    • Kategorien betroffener Personen: Mitarbeiter, Kunden, Lieferanten und etwaige weitere mit dem Verantwortlichen verbundene Personen, deren Daten der Verantwortliche dem Auftragsverarbeiter im Rahmen des Rahmenvertrags übermittelt.

    • Dauer und Zweck: Die Dauer dieses AVV richtet sich nach der Dauer des Rahmenvertrags. Der Zweck ist beschränkt auf die Erbringung der Dienstleistungen unter dem Rahmenvertrag.

  2. Dieser AVV gilt ausschliesslich für die Verarbeitung der Daten durch den Auftragsverarbeiter und dessen beigezogenen Subunternehmern. Beauftragt der Kunde den Auftragsverarbeiter mit der Verarbeitung von Daten auf Infrastruktur oder mit Software von Dritten, so ist der Kunde für die Einhaltung der Datenschutzbestimmungen durch diesen Dritten verantwortlich.

3. Verantwortung und Weisungen

  1. Der Verantwortliche ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmässigkeit der Datenverarbeitung und den Weisungen allein verantwortlich ('Verantwortlicher' im Sinne von Art. 4 Nr. 7 DSGVO).

  2. Der Auftragsverarbeiter verarbeitet die Daten ausschliesslich für die Zwecke des Rahmenvertrags und gemäss den dokumentierten Weisungen des Verantwortlichen. Weisungen müssen stets schriftlich oder in elektronischer Form erfolgen. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

  3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstösst. Der Auftragsverarbeiter darf die Umsetzung der Weisung solange aussetzen, bis sie vom Verantwortlichen bestätigt oder abgeändert wurde.

  4. Werden Daten aufgrund gesetzlicher Vorschriften und entgegen den Weisungen des Verantwortlichen verarbeitet, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen vorgängig über die betreffende Verarbeitung und Rechtmässigkeit der Bearbeitung zu informieren, sofern dem nicht ein wichtiges öffentliches Interesse entgegensteht.

4. Pflichten des Verantwortlichen

  1. Der Verantwortliche ist verantwortlich für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen. Der Verantwortliche gewährleistet, dass die Verarbeitung der Daten durch den Auftragsverarbeiter gemäss diesem AVV und den Weisungen keine anwendbaren gesetzliche Bestimmungen verletzt.

  2. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmässigkeiten bei Prüfung der Auftragsverarbeitung feststellt.

  3. Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen des Auftragsverarbeiters vertraulich zu behandeln.

  4. Der Verantwortliche ist verpflichtet, seine Weisungen an den Auftragsverarbeiter zu dokumentieren.

5. Technische und organisatorische Massnahmen

  1. Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der Daten befugten Personen (z.B. Mitarbeiter, Subunternehmer, etc.) sich vertraglich zur Wahrung der Vertraulichkeit und Sicherheit verpflichtet haben oder einer geeigneten gesetzlichen Vertraulichkeits- und Sicherheitsverpflichtung unterliegen.

  2. Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragsverarbeiter hat angemessene technische und organisatorische Massnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen und die den Anforderungen der DSGVO genügen.

  3. Die derzeitigen technischen und organisatorischen Massnahmen sowie das Verfahren zur Überprüfung, Bewertung und Evaluierung derer Wirksamkeit sind in Anlage 1 beschrieben. Dem Verantwortlichen sind diese technischen und organisatorischen Massnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

  4. Der Auftragsverarbeiter kann die Massnahmen im Laufe des Auftragsverhältnisses den technischen und organisatorischen Weiterentwicklungen anpassen – diese dürfen die vereinbarten Standards jedoch nicht unterschreiten.

6. Subunternehmer, Telearbeit und Ort der Verarbeitung

  1. Aufträge an Subunternehmer zur Verarbeitung der vertragsgegenständlichen personenbezogenen Daten dürfen nur nach vorheriger schriftlicher Genehmigung (einschliesslich Textform) durch den Verantwortlichen vergeben werden.

  2. Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung, Subunternehmer gemäss den Bestimmungen dieses AVV beizuziehen. Die bestehenden Subunternehmer des Auftragsverarbeiters finden sich unter vshn.ch/technologiepartner/. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer in geeigneter Form und mit angemessener Frist. Der Verantwortliche kann gegen die Änderung innerhalb von 30 Tagen aus wichtigem Grund Einspruch erheben. Der Einspruch muss schriftlich erfolgen und die speziellen Gründe für den Einspruch sowie ggf. Kompromissmöglichkeiten beinhalten. Eine weitere Auslagerung durch den Subunternehmer bedarf der ausdrücklichen Zustimmung des Verantwortlichen (mind. Textform).

  3. Der Auftragsverarbeiter ist verpflichtet, genehmigten Subunternehmern mit jenen dieser Vereinbarung im Wesentlichen vergleichbare Datenschutzverpflichtungen aufzuerlegen, bevor personenbezogene Daten des Verantwortlichen durch den Unterauftragsverarbeiter verarbeitet werden.

  4. Als Subunternehmer im Sinne dieser Regelung sind solche Dienstleister zu verstehen, deren Leistungen sich unmittelbar auf die Erbringung der Hauptleistung unter dem Rahmenvertrag beziehen und die Verarbeitung von Daten betrifft. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Massnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmassnahmen zu ergreifen.

  5. Der Auftragsverarbeiter bzw. dessen Subunternehmer verarbeiten die Daten vorwiegend in der Schweiz. Der Verantwortliche stimmt zu, dass die Daten auch ausserhalb des EWR und der Schweiz verarbeitet werden, sofern der Auftragsverarbeiter sicherstellt, dass die Voraussetzungen für die Übermittlung der Daten in Drittländer gemäss DSGVO eingehalten werden. Der Auftragsverarbeiter weist die Einhaltung auf Verlangen nach.

  6. Mitarbeiter des Auftragsverarbeiters können die Daten auch in Privatwohnungen im Rahmen der Telearbeit verarbeiten, sofern angemessene Massnahmen ergriffen wurden. Der Verantwortliche erlaubt die Verarbeitung von diesen Daten nur unter Gewährleistung der nötigen Datenschutz- und Datensicherheitsmassnahmen. Soweit Daten des Verantwortlichen in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung zu Zwecken der Auftragskontrolle vorher mit dem Verantwortlichen abzustimmen. Der Auftragsverarbeiter versichert, dass alle Bewohner dieser Privatwohnungen mit dieser Regelung einverstanden sind.

7. Melde- und Unterstützungspflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III DSGVO sowie bei der Einhaltung der in Artt. 33 bis 36 DSGVO genannten Pflichten. Für die Umsetzung der Betroffenenrechte ist grundsätzlich der Verantwortliche zuständig. Der Auftragsverarbeiter setzt die dokumentierten Weisungen des Verantwortlichen in Bezug auf Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft um. Für die Umsetzung vergütet der Verantwortliche den Auftragsverarbeiter angemessen, soweit dies nicht ausdrücklich zu den Leistungen unter dem Rahmenvertrag gehört.

  2. Der Auftragsverarbeiter leitet allfällige Anfragen von betroffenen Personen, soweit die Anfrage dem Verantwortlichen zugeordnet werden kann, an den Verantwortlichen weiter.

  3. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn ihm Verletzungen des Schutzes der Daten des Verantwortlichen bekannt werden.

8. Nachweis der Einhaltung

  1. Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.

  2. Sollten im Einzelfall Inspektionen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Den berechtigten Geheimhaltungsinteressen sowie gesetzlichen sowie vertraglichen Geheimhaltungspflichten ist bei der Inspektion angemessen Rechnung zu tragen. Die prüfenden Personen müssen vor der Inspektion eine Verschwiegenheitserklärung hinsichtlich der Daten des Auftragsverarbeiters sowie anderer Kunden und der eingerichteten technischen und organisatorischen Massnahmen unterzeichnen.

  3. Alle Kosten des Auftragsverarbeiters (inkl. jene für den beizustellenden Mitarbeiter) sind durch den Verantwortlichen zu tragen.

9. Nachvertragliche Verpflichtungen

Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz personenbezogenen Daten, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten oder vollständig zu anonymisieren. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

10. Haftung und Schadenersatz

  1. Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. Im Innenverhältnis zwischen den Parteien haftet der Auftragsverarbeiter für den durch eine Verarbeitung verursachten Schaden jedoch nur, wenn er (i) seinen ihm speziell durch die DSGVO auferlegten Pflichten nicht nachgekommen ist, oder (ii) unter Nichtbeachtung der rechtmässig erteilten Anweisungen des Verantwortlichen oder gegen dessen Anweisungen gehandelt hat.

  2. Weiter gelten die Haftungsbeschränkungen gemäss Rahmenvertrag.

11. Schlussbestimmungen

  1. VSHN behält sich vor, diesen AVV jederzeit anzupassen und informiert die Kunden in geeigneter Weise (auch in elektronischer Form) vorgängig über die Änderungen. Änderungen oder Ergänzungen dieses AVV werden zum Vertragsbestandteil, wenn der Kunde nicht innert 30 Tagen seit Kenntnisnahme der geänderten Bestimmungen widerspricht.

  2. Sollten eine oder mehrere Bestimmungen dieses AVV oder des restlichen Vertrags ungültig, unwirksam oder nichtig sein oder werden, so wird diese Bestimmung durch eine gültige und wirksame Bestimmung ersetzt, welche dem Sinn der ursprünglichen Bestimmung am nächsten kommt und dem wirtschaftlichen Gleichgewicht der Parteien entspricht.

  3. Der vorliegende Vertrag und sämtliche sich daraus ergebenden Streitigkeiten unterliegen ausschliesslich materiellem Schweizer Recht unter Ausschluss des Kollisionsrechts und des UN-Kaufrechts. Ausschliesslicher Gerichtsstand ist Zürich.