Autragverarbeitungsvertrag

Präambel

Der Dienstleister erbringt für den Verantwortlichen gestützt auf ein separates Vertragsverhältnis Dienstleistungen als Managed Service Provider in den Bereichen Netzwerk, Server und Computer und Cloud-Dienste.

Dieser Vertrag ermöglicht es den Parteien, ihren Verpflichtungen nach dem anwendbaren Datenschutzrecht, insbesondere nach Art. 28 DSGVO, nachzukommen, wenn der Dienstleister für den Verantwortlichen Personendaten bearbeitet.

Gegenstand, Zweck und Umfang

  • Umfang sowie Art und Zweck der Datenbearbeitung richtet sich nach den von den beiden Parteien geschlossenen Verträgen betreffend Informatikdienstleistungen (nachfolgend: Grundvertrag).

  • Im Sinne des DSG gilt der Kunde als Verantwortlicher und Inpuls als Auftragsbearbeiter.

  • Die Bearbeitung von Personendaten gemäss diesem ADV richten sich nach der Definition des Datenschutzgesetzes und umfasst jeden Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.

  • Sofern nicht anders schriftlich genehmigt, bearbeitet der Auftragsbearbeiter die Daten nur soweit, als dies zur Erfüllung des Grundvertrages zwingend erforderlich ist oder auf schriftliche Weisung des Kunden hin, es sei denn, gesetzliche Bestimmungen verlangen nach einer weitergehenden Bearbeitung durch den Auftragsbearbeiter.

  • Eine Bearbeitung für eigene Zwecke ist dem Auftragsbearbeiter untersagt.

  • Der Auftragsbearbeiter sichert dem Kunden seine Unterstützung bei der Einhaltung der ihm obliegenden datenschutzrechtlichen Verpflichtungen (u.a. Datenschutz-Folgenabschätzung, Betroffenenrechte und Meldeverfahren) zu. Zu diesem Zweck teilt der Auftragsbearbeiter dem Kunden bereits vorab dieses ADV folgende Angaben mit:
    • Anzahlzugriffsberechtigte Personen
    • Kategorie Bekanntgabe an Dritte
    • Allfällige Bekanntgaben ins Ausland
    • Ergriffene technische und organisatorische Massnahmen
    • Einhaltung der Protokollierungspflicht gemäss Art. 4 Abs. 2 DSV bei automatischen Datenbearbeitungen
  • Erachtet es der Kunde als notwendig, hat der Auftragsbearbeiter detailliert Auskunft über die Bearbeitung der Personendaten, insbesondere die verwendeten technischen und organisatorischen Massnahmen zu erteilen.
  • Der ADV ist integrierter Bestandteil des Grundvertrages. Bisherige Geheimhaltungserklärungen behalten ihre Gültigkeit und werden durch diesen ADV ergänzt. Für die Verletzung der beruflichen Schweigepflicht ist ab 1. September 2023 Art. 62 DSG anwendbar.
  • Besteht bezüglich Datenbearbeitung ein Widerspruch zwischen dem ADV und dem Grundvertrag, so geht der ADV vor.

Ort der Datenverarbeitung

Die Verarbeitung der Daten findet ausschliesslich in der Schweiz oder in einem Mitgliedsstaat des Europäischen Wirtschaftraums (EWR) statt (relevant unter anderem: Standort des Servers und Ort, von dem aus ein Datenzugriff möglich ist).

Die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisationen bedarf der vorherigen Zustimmung des Verantwortlichen. Diese darf in jedem Fall nur dann erteilt werden, wenn die besonderen Voraussetzungen der Art. 44 bis 50 DSGVO erfüllt sind. 

Pflichten des Partners als Auftragsverarbeiter

Der Dienstleister und ihm unterstellte Personen, die Zugang zu den personenbezogenen Daten haben, werden die personenbezogenen Daten ausschliesslich auf Weisung des Verantwortlichen verarbeiten, es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet.

Der Dienstleister führt die Datenverarbeitung mittels geeigneter technischer und organisatorischer Massnahmen gemäss Art. 32 DSGVO durch (vgl. Ziffer 4 hiernach).

Der Dienstleister unterstützt den Verantwortlichen nach Möglichkeit dabei, dass dieser seinen Pflichten hinsichtlich der Rechte der betroffenen Personen gemäss Art. 16 bis 20 DSGVO sowie Art. 32 bis 36 DSGVO nachkommen kann.

Der Dienstleister verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen als die vereinbarten, insbesondere nicht für eigene Zwecke.

Der Dienstleister verpflichtet sich, alle im Rahmen des Vertragsverhältnisses bearbeiteten Personendaten vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des Vertrags bestehen.

Datensicherheit

Der Dienstleister hat angemessene technische und organisatorische Massnahmen zu ergreifen und aufrechtzuerhalten, so dass die Bearbeitung den Anforderungen der anwendbaren Datenschutzgesetze (insbesondere Art. 28 DSGVO) entspricht und den Schutz der Rechte der betroffenen Personen gewährleistet.

Die Massnahmen müssen ein Datensicherheitsniveau sicherstellen, das den Risiken für die Rechte und Freiheiten der betroffenen Personen angemessen ist, und Schutz vor versehentlicher oder unrechtmässiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig bearbeitete Personendaten bieten. Unbefugten ist der Zutritt zu Datenbearbeitungsanlagen, mit denen Personendaten bearbeitet werden, zu verwehren (Zutrittskontrolle). Es ist zu verhindern, dass Datenbearbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). Es ist zu gewährleisten, dass die zur Benutzung eines Datenbearbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Personendaten bei der Bearbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle). Es ist zu gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Personendaten vorgesehen ist (Weitergabekontrolle). Es ist sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenbearbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). Es ist zu gewährleisten, dass Personendaten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Es ist auch zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt bearbeitet werden können (Trennungskontrolle).

Unterauftragsverarbeiter

Die nachfolgenden Unterauftragsbearbeiter bearbeiten im Auftrag des Dienstleister bereits bei Vertragsabschluss Personendaten, welche dem Dienstleister vom Verantwortlichen zur Bearbeitung zur Verfügung gestellt worden sind, wozu der Verantwortliche hiermit die Zustimmung erteilt:

Der Dienstleister informiert den Verantwortlichen schriftlich oder per E-Mail über jeden beabsichtigten Beizug eines zusätzlichen Unterauftragsverarbeiters. Der Verantwortliche hat das Recht, beim Dienstleister gegen einen solchen Beizug innert 10 Kalendertagen schriftlich oder per E-Mail Einspruch zu erheben. Im Falle eines solchen Einspruchs darf der Dienstleister den vorgesehenen Unterauftragsverarbeiter nicht beauftragen.

Der Dienstleister hat alle involvierten Unterauftragsverarbeiter zur Einhaltung des Datenschutzes nach diesem Vertrag zu verpflichten. Der Dienstleister haftet gegenüber dem Verantwortlichen für die Einhaltung dieser Datenschutzpflichten.

Unterstützungs- und Informationspflichten

Der Dienstleister teilt dem Verantwortlichen Störungen, Verstösse, Unregelmässigkeiten oder Verletzungen der Datensicherheit und damit zusammenhängende Umstände (inkl.

Ermittlungen und Massnahmen der Aufsichtsbehörde) unverzüglich mit, ohne diese vorher Dritten bekannt zu geben. Ebenso informiert der Dienstleister den Verantwortlichen umgehend, falls die Regelungen dieses Vertrags oder Weisungen in Zusammenhang damit nicht eingehalten werden können, es sei denn, der Dienstleister ist gesetzlich daran gehindert, entsprechend zu informieren. Der Dienstleister unterstützt den Verantwortlichen ausserdem angemessen bei der Erfüllung sämtlicher Rechte der von einer Datenbearbeitung betroffenen Person (z.B. Auskunft) und bei der Erfüllung besonderer Pflichten (z.B. Meldungen von Verletzungen der Datensicherheit). Der Dienstleister wird alle Anfragen des Verantwortlichen im Zusammenhang mit der Bearbeitung der Personendaten unverzüglich und ordnungsgemäss beantworten. Reichen die Antworten des

Partners nicht aus zum Nachweis der Einhaltung der gesetzlichen und vertraglichen Pflichten, ist der Verantwortliche berechtigt, beim Dienstleister Überprüfungen (einschliesslich Inspektionen) selber oder durch beauftragte Prüfer vorzunehmen.

Berichtigung, Einschränkung und Löschung von Daten

Der Dienstleister darf die von ihm verarbeiteten Daten nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Dienstleister wendet, wird der Dienstleister dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

Kopien oder Duplikate der Daten dürfen nur mit Zustimmung des Verantwortlichen erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenverarbeitung erforderlich sind, sowie Kopien, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Nach Abschluss der Erbringung der Verarbeitungsleistung muss der Dienstleister sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Verarbeitungsvertrag stehen, nach Wahl des Verantwortlichen entweder löschen oder diesem zurückgeben; vorbehalten bleibt eine gesetzliche Aufbewahrungspflicht (vgl. Abs. 2 hiervor). Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen und dauerhaft zu speichern.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Dienstleister entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.

Weitere Bestimmungen

Eine gesonderte Vergütung oder Kostenerstattung an den Dienstleister aufgrund der ihm gestützt auf diesen Vertrag auferlegten Pflichten (und damit zusammenhängenden Kostenfolgen) erfolgt nicht.

Dieser Vertrag geht anderslautenden Allgemeinen Geschäftsbedingungen des Dienstleisters oder anderen Abmachungen zwischen den Parteien vor.

Auf diesen Vertrag ist schweizerisches Recht anwendbar. Ausschliesslicher Gerichtsstand ist Bern (Schweiz).