Vertrag zur Auftragsverarbeitung
zwischen
Kunden
als Verantwortlicher (nachfolgend Auftraggeber)
und
pebe AG, Messenriet 16, 8500 Frauenfeld, Schweiz
als Auftragsverarbeiter (nachfolgend Auftragnehmer)
Dies vorausgeschickt, vereinbaren die Parteien was folgt:
Geltende Datenschutzgesetze meint die Verordnung (EU) 2016|679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden DSGVO), das Schweizer Bundesgesetz über den Datenschutz (DSG / nDSG), die Schweizer Verordnung zum Bundesgesetz über den Datenschutz (DSGVO / nVDSG) sowie gegebenenfalls sonstige anwendbare Datenschutzerlasse.
Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogener Daten entscheidet (Art. 4 Abs. 7 DSGVO; Art. 3 lit. i DSG / Art. 5 lit. j nDSG).
Auftragsverarbeiter ist die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Abs. 8 DSGVO / Art. 5 lit. k nDSG).
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche oder juristische Person (nachfolgend betroffene Person) beziehen (ab Inkrafttreten des nDSG fällt Bezug auf juristische Person weg); als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Abs. 1 DSGVO; Art. 3 lit. a DSG / Art. 5 lit. a nDSG).
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Abs. 2 DSGVO; Art. 3 lit. e DSG / Art. 5 lit. d nDSG).
Geltungsbereich
Der vorliegende Vertrag gilt für jede Form der Verarbeitung personenbezogener Daten für den Auftraggeber durch den Auftragnehmer.
Gegenstand, Dauer, Art und Zweck
Gegenstand und Dauer sowie Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag sowie aus Anlage A, sofern sie nicht bereits im Hauptvertrag und in der zugehörigen Leistungsbeschreibung genügend konkretisiert sind.
Art personenbezogener Daten/Kategorien betroffener Personen
Die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in Anlage A spezifiziert, sofern sie nicht bereits im Hauptvertrag und in der zugehörigen Leistungsbeschreibung genügend konkretisiert sind.
Der Auftragnehmer verpflichtet sich, die Daten ausschliesslich für die Zwecke des Hauptvertrags einschliesslich dieses Vertrags sowie gemäss den dokumentierten Instruktionen/Weisungen des Auftraggebers zu verarbeiten. Dies gilt insbesondere auch bezüglich der Übermittlung der Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union, der Mitgliedstaaten oder eines Nicht-EU-Mitgliedstaats, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
Der Auftraggeber kann jederzeit neue Instruktionen erlassen, ergänzen oder bestehende Instruktionen ändern. Dies umfasst auch Instruktionen im Hinblick auf die Berichtigung, Löschung und Sperrung personenbezogener Daten. Alle erteilten Instruktionen sind sowohl vom Auftraggeber als auch vom Auftragnehmer schriftlich zu dokumentieren.
Ist der Auftragnehmer der Ansicht, dass eine Instruktion des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstösst, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Instruktion ablehnen.
Im Übrigen bleiben die Pflichten, die dem Auftragnehmer direkt aus den anwendbaren Datenschutzgesetzen entstehen, wie beispielsweise die Erstellung eines Verzeichnisses der vorliegenden Auftragsverarbeitung gemäss Art. 30 Abs. 2 DSGVO / Art. 12 nDSG), erhalten und von diesem Vertrag unberührt.
Der Auftragnehmer verpflichtet sich und leistet Gewähr dafür, dass er alle mit der Datenverarbeitung betrauten Personen, einschliesslich Erfüllungsgehilfen, vor Aufnahme der Tätigkeit zur Vertraulichkeit in schriftlicher Form verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen, und dass die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung betrauten Personen auch nach Beendigung ihrer Tätigkeit beim Auftragnehmer bestehen bleibt. Der Auftragnehmer haftet für ein etwaiges Zuwiderhandeln der mit der Datenverarbeitung betrauten Personen, einschliesslich Erfüllungsgehilfen, wie für sein eigenes Verhalten.
Der Auftragnehmer verpflichtet sich und leistet Gewähr dafür, dass er alle erforderlichen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäss Art. 32 DSGVO bzw. Art. 7 DSG / Art. 8 nDSG ergriffen hat und aufrechterhält, um eine unbefugte Verarbeitung, einen Verlust oder eine Beschädigung personenbezogener Daten zu verhindern. Dies beinhaltet insbesondere die Mindestvorkehrungen, welche in Anlage B beschrieben sind.
Der Auftragnehmer ist verpflichtet, den Auftraggeber auf Verlangen bei der Einhaltung der geltenden Datenschutzgesetze jederzeit und soweit möglich zu unterstützen.
Der Auftragnehmer verpflichtet sich, den Auftraggeber mit geeigneten technischen und organisatorischen Massnahmen zu unterstützen, damit der Auftraggeber seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen (insbesondere Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch sowie automatisierte Entscheidungsfindung im Einzelfall) bzw. Art. 8 ff. DSG Art. 25 ff. nDSG innerhalb der gesetzlichen Fristen jederzeit nachkommen kann, und überlässt dem Auftraggeber alle dafür notwendigen und ihm zur Verfügung stehenden Informationen.
Wird ein entsprechender Antrag an den Auftragnehmer gerichtet, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer muss die Beantwortung solcher Anträge dem Auftraggeber überlassen, es sei denn, er ist gesetzlich dazu verpflichtet. In jedem Fall vereinbaren die Parteien, die Beantwortung solcher Anträge gegenseitig abzusprechen.
Der Auftragnehmer verpflichtet sich, den Auftraggeber unter Berücksichtigung der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO bzw. Art. 7 DSG / Art. 8 nDSG) genannten Pflichten zu unterstützen (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung und vorherige Konsultation).
Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu benachrichtigen im Falle (i) eines etwaigen tatsächlichen oder mutmasslichen Datenschutzverstosses (dies gilt auch für Verstösse gegen den Hauptvertrag einschliesslich dieses Vertrags sowie etwaige sonstige Datenschutzverstösse gemäß DSGVO bzw. DSG) unter Angabe sämtlicher, dem Auftragnehmer zur Verfügung stehenden Informationen gemäss Art. 33 Abs. 3 der DSGVO / Art. 24 nDSG), (ii) etwaiger tatsächlicher oder drohender Beeinträchtigungen oder Mängel aufseiten des Auftragnehmers, die einer Einhaltung der Bestimmungen des Hauptvertrags einschliesslich dieses Vertrags entgegenstehen, (iii) des Vorliegens etwaiger Anträge auf Zugang sowie den tatsächlich erfolgten Zugang zu personenbezogenen Daten durch Behörden, sofern diese Benachrichtigung nicht per Gesetz aus wichtigen Gründen des öffentlichen Interesses verboten ist.
Der Auftragnehmer verpflichtet sich, nach Beendigung des Hauptvertrags einschliesslich dieses Vertrags oder auf Verlangen des Auftraggebers sämtliche personenbezogenen Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten innerhalb der EU/EWR oder der Schweiz, an den Auftraggeber nach seiner Wahl zurückzugeben oder zu löschen, ohne eine Kopie aufzubewahren, und die Löschung gegenüber dem Auftraggeber entsprechend zu bestätigen.
Der Auftragnehmer verpflichtet sich, dem Auftraggeber sämtliche Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung dieses Vertrags durch den Auftragnehmer nachzuweisen und Überprüfungen, einschließlich Inspektionen, durch den Auftraggeber selbst, einen vom Auftraggeber beauftragten Prüfer oder durch die Aufsichtsbehörde zu ermöglichen und aktiv zu unterstützen. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen im Geschäftsbetrieb zu erfolgen.
Die Datenverarbeitungen werden nur an den Standorten durchgeführt, die im zugehörigen Hauptvertrag oder in diesem Vertrag in Anlage C vereinbart oder anderweitig vom Auftraggeber schriftlich genehmigt wurden.
Der Auftragnehmer verpflichtet sich, keine personenbezogenen Daten, auch nicht teilweise, ohne vorgängige schriftliche Zustimmung des Auftraggebers an ein Drittland zu übermitteln.
Werden die Datenverarbeitungstätigkeiten, wenn auch nur teilweise, auch ausserhalb der EU durchgeführt, muss vorgängig ein angemessenes Datenschutzniveau mittels der nachfolgend aufgeführten geeigneten Garantien sichergestellt werden (vgl. Art. 45 ff. DSGVO bzw. Art. 6 DSG / Art. 16 nDSG)[1]:
Der Auftraggeber ist ausdrücklich damit einverstanden, dass der Auftragnehmer für bestimmte Datenbearbeitungen, namentlich für das Hosting der pebe Live-Software, Unterauftragsverarbeiter beauftragen darf.
Die im Zeitpunkt des Vertragsschlusses beauftragten Unterauftragsverarbeiter sind die im Anhang E aufgeführten Unternehmen. Kommen weitere hinzu, wird der Auftraggeber darüber informiert.
Der Auftragnehmer schliesst die erforderlichen schriftlichen Vereinbarungen zur Vertraulichkeit und zum Datenschutz mit dem Unterauftragsverarbeiter ab, welche mindestens so streng wie die Bestimmungen des Hauptvertrags einschliesslich dieses Vertrags sein müssen. Dabei hat der Auftragnehmer insbesondere sicherzustellen, dass der Unterauftragsverarbeiter dieselben Verpflichtungen eingeht und insbesondere auch die technischen und organisatorischen Massnahmen trifft, die dem Auftragnehmer aufgrund dieses Vertrags obliegen.
Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters wie für sein eigenes Verhalten.
Der Auftragnehmer stimmt zu, auf Verlangen des Auftraggebers im Rahmen der bestehenden Verträge weiterführende Vereinbarungen mit dem Auftraggeber zur Verarbeitung personenbezogener Daten abzuschließen, sofern der Auftraggeber dies nach vernünftigem Ermessen für die Einhaltung des geltenden Datenschutzrechts als erforderlich erachtet.
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoss des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrags vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Dabei stellt insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO bzw. Art. 10a DSG / Art. 9 nDSG abgeleiteten Pflichten einen schweren Verstoss dar.
Die Anlagen zu diesem Vertrag bilden einen integrierenden Bestandteil des vorliegenden Vertrags.
Steht eine in diesem Vertrag enthaltene Bestimmung im Widerspruch zum Hauptvertrag, gilt die im vorliegenden Vertrag enthaltene Bestimmung als massgeblich.
Die Bestimmungen des vorliegenden Vertrags haben auch nach Beendigung des Hauptvertrags weiterhin Bestand, solange der Auftragnehmer im Besitz personenbezogener Daten des Auftraggebers ist.
Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise ungültig sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien vereinbaren, die unwirksame Bestimmung durch eine wirksame Bestimmung zu ersetzen, welche dem wirtschaftlichen Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt.
Dieser Vertrag untersteht Schweizer Recht unter Ausschluss des Internationalen Privatrechts (IPRG). Ausschliesslicher Gerichtsstand für Streitigkeiten aus diesem Vertrag oder im Zusammenhang mit der Auslegung und Anwendung des vorliegenden Vertrags ist der Sitz des Auftragnehmers.
Anlage A: Auftragsspezifizierung
Anlage B: Technische und organisatorische Massnahmen – Mindestvorkehrungen
Anlage C: Genehmigte Datenverarbeitungsstandorte
Anlage E: Zugelassene Unterauftragsverarbeiter
Gegenstand, Art und Zweck dieses Auftrags ist die Durchführung folgender Aufgaben:
Verarbeitung von personenbezogenen Daten des Auftraggebers im Rahmen der Verwendung von Leistungen des Providers als Software as a Service.
Die Verarbeitung gilt für folgende Dauer:
Die Verarbeitung erfolgt, solange der Auftraggeber pebe Live nutzt und seine Daten in der pebe Live Applikation nicht löscht. Es gelten die Bestimmungen des Hauptvertrags.
Zur Erfüllung der Aufgaben werden folgende Datenkategorien verarbeitet:
Die vom Auftraggeber verarbeiteten personenbezogenen Daten werden an den Provider im Rahmen der Software as a Service Leistungen übertragen. Der Provider verarbeitet diese Daten ausschliesslich nach der getroffenen Vereinbarung (Lohnbuchhaltung, Finanzbuchhaltung, Kontaktverwaltung, Fakturierung).
Die Datenverarbeitung bezieht sich auf folgende Kategorien betroffener Personen:
Dies ist abhängig von den durch den Auftraggeber übermittelten Daten. Dabei kann es sich um folgende Kategorien (aktuelle und ehemalige) handeln: Mitarbeiter, Kunden, Interessenten, Partner, sonstige Kontakte.
Im Folgenden werden die auf Art. 32 DSGVO bzw. Art. 7 DSG / Art. 8 nDSG und Art. 8 ff. VDSG[2] basierenden technischen und organisatorischen Massnahmen beschrieben, die konkret vom Auftragnehmer im Zusammenhang mit der Verarbeitung personenbezogener Daten und der Erfüllung seiner Verpflichtungen gemäss dem Hauptvertrag einschliesslich diesem Vertrag als Mindestvorkehrungen zu ergreifen sind, um ein dem Risiko angemessenes Schutzniveau hinsichtlich des Datenschutzes und der Datensicherheit der überlassenen Daten zu gewährleisten.
Festlegung von Sicherheitsbereichen, wirksamer Zutrittsschutz, Festlegung zutrittsberechtigter Personen, Begleitung von Besuchern und Fremdpersonal
Festlegung von Sicherheitsbereichen, wirksamer Zutrittsschutz, Festlegung zutrittsberechtigter Personen, Begleitung von Besuchern und Fremdpersonal
Berechtigungsprofile mit Minimalrechten, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insbesondere von administrativen Benutzerkonten.
Data Masking der Authentifizierungsdaten, Datenzugriff erfolgt über separierte Authentifizierungsplattform.
Daten zwischen Client und Server werden verschlüsselt transferiert, so dass kein unberechtigtes Lesen, Kopieren, Ändern oder Löschen während des Transfers möglich ist.
Protokollierung von Kontolöschungen
Physikalisch: Redundante Stromversorgung, Netzwerk und Speicher schützen vor Hardwareproblemen, welche zu Nichtverfügbarkeit oder Verlust von Daten führen.
Logisch: starke Isolation durch Firewall. Online- und Offline-Backups werden erstellt, um versehentliche oder vorsätzliche Zerstörung oder Verlust zu verhindern (Im Rahmen der SAAS Dienstleistung ist das Rechenzentrum Exoscale nach ISO 27001, ISO 27017 und ISO 27018) zertifiziert.
Verschiedene Arbeitsplätze für verschiedene Daten, Trennung in Entwicklungs-, Test- und Produktionsebene, getrennte Verarbeitung zweckgebundener Daten.
Datenschutzmanagement, einschliesslich regelmässiger Mitarbeiterschulungen; Incident-Response-Management; datenschutzfreundliche Voreinstellungen (Privacy by Design & Privacy by Default), unverzügliche Behebung von entdeckten Mängeln.
Strenge Auswahl des Unterauftragsverarbeiters (ISO-Zertifizierung, ISMS), eindeutige schriftliche Vertragsgestaltung mit dem Unterauftragsverarbeiter, Überprüfung der Einhaltung dieser Verträge durch die Unterauftragsverarbeiter, Vorabüberzeugungspflicht, Nachkontrollen.
Akenes AG (Cloud-Plattform „Exoscale“)
pebe Live wird auf Servern des Cloud-Anbieters Exoscale (www.exoscale.com) gehostet. Exoscale ist eine eingetragene Marke der Firma Akenes AG, Boulevard de Grancy 19A, 1006 Lausanne (CHE-423.524.322), welche die Plattform Exoscale betreibt.
Akenes AG (Cloud-Plattform „Exoscale“)
pebe Live wird auf Servern des Cloud-Anbieters Exoscale (www.exoscale.com) gehostet. Exoscale ist eine eingetragene Marke der Firma Akenes AG, Boulevard de Grancy 19A, 1006 Lausanne (CHE-423.524.322), welche die Plattform Exoscale betreibt.