Vereinbarung über die Auftragsbearbeitung (AVV)
zwischen
Kunde
'Verantwortlicher'
and
Nine Internet Solutions AG
Badenerstrasse 47
8004 Zürich
'Datenbearbeiter'
1 Zweck und Anwendungsbereich
(a) Zweck dieser Vereinbarung über die Auftragsbearbeitung ("AVV") ist es, die Einhaltung des schweizerischen Bundesgesetzes über den Datenschutz ("DSG") und sofern anwendbar weiterer Datenschutzgesetze (bspw. der Europäischen Datenschutz-Grundverordnung) zu gewährleisten ("anwendbare Datenschutzgesetze"), und zwar in Bezug auf jedes Gesetz nur dann und in dem Umfang, der auf die jeweilige Bearbeitungstätigkeit anwendbar ist.
(b) Diese AVV gilt für die Bearbeitung von Personendaten, wie in Anhang 1 beschrieben und alle in Anhang 1 definierten Begriffe gelten in dieser AVV als definierte Begriffe.
2 Auslegung
(a) Wo hierin Begriffe verwendet werden, die in den anwendbaren Datenschutzgesetzen definiert sind, haben diese Begriffe dieselbe Bedeutung wie in diesen Bestimmungen.
(b) Diese AVV ist im Lichte der Bestimmungen der anwendbaren Datenschutzgesetze, insbesonderne des DSG, zu lesen und auszulegen, soweit diese anwendbar sind.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in den anwendaren Datenschutzgesetzen vorgesehen sind, oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigt.
3 Hierarchie
(a) Im Falle eines Widerspruchs zwischen dieser AVV und den Bestimmungen einer anderen Vereinbarung zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser AVV besteht oder danach abgeschlossen wird, hat diese AVV Vorrang, es sei denn, es wurde ausdrücklich etwas anderes schriftlich vereinbart.
4 Beschreibung der Bearbeitung(en)
(a) Die Einzelheiten der Bearbeitungen, insbesondere die Kategorien von Personendaten und die Zwecke der Bearbeitung, für die die Personendaten im Auftrag des Verantwortlichen bearbeitet werden, sind in Anhang 1 aufgeführt.
5 Verpflichtungen der Vertragsparteien
5.1 Allgemein
(a) Der Datenbearbeiter bearbeitet Personendaten nur auf schriftliche Weisung des Verantwortlichen hin, es sei denn, er ist nach dem Recht, dem der Datenbearbeiter unterliegt, hierzu gesetzlich verpflichtet. Der Verantwortliche kann während der gesamten Dauer der Bearbeitung von Personendaten auch nachträgliche Weisungen erteilen. Solche Weisungen sind stets zu dokumentieren. Der Verantwortliche stimmt zu, dass der Basisvertrag, dieser AVV, deren Aktualisierungen sowie soweit möglich die technischen Konfigurationen des Verantwortlichen die abschliessenden Weisungen des Auftraggebers darstellen.
(b) Der Datenbearbeiter unterrichtet den Verantwortlichen unverzüglich, wenn die Anweisungen des Verantwortlichen nach Ansicht des Datenbearbeiters gegen das DSG oder weitere anwendbare Regelungen verstossen.
5.2 Zweckbindung
(a) Der Datenbearbeiter darf die Personendaten nur für den/die in Anhang 1 genannten Zweck(e) der Bearbeitung bearbeiten.
5.3 Löschung oder Rückgabe von Daten
(a) Die Bearbeitung durch den Datenbearbeiter darf nur für die in Anhang 1 angegebene Dauer erfolgen.
(b) Bei Beendigung der Erbringung von Dienstleistungen zur Bearbeitung von Personendaten oder bei Beendigung gemäss Ziffer 8 gibt der Datenbearbeiter alle Personendaten an den Verantwortlichen zurück und löscht vorhandene Kopien, es sei denn, die anwendbaren Datenschutzgesetze oder weitere Regelungen schreiben die Aufbewahrung der Personendaten vor.
5.4 Sicherheit der Bearbeitung
(a) Der Datenbearbeiter trifft die in Anhang 2 genannten technischen und organisatorischen Massnahmen (TOM), um die Sicherheit der Personendaten zu gewährleisten, einschliesslich des Schutzes vor zufälliger oder unrechtmässiger Zerstörung, Verlust, Veränderung, unberechtigter Weitergabe oder unberechtigtem Zugriff auf diese Daten (Verletzung des Schutzes von Personendaten). Die Beurteilung eines angemessenen Sicherheitsniveaus, insbesondere die mit der Bearbeitung verbundenen Risiken, die Art der Personendaten sowie die Art, den Umfang, die Umstände und die Zwecke der Bearbeitung, obliegen dem Verantwortlichen.
(b) Im Falle einer Verletzung des Schutzes der Personendaten in Bezug auf Daten, die vom Datenbearbeiter bearbeitet werden, benachrichtigt dieser den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes der Personendaten eingeholt werden können, eine Beschreibung der Art der Verletzung (einschliesslich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze), ihrer wahrscheinlichen Folgen und der Massnahmen, die zur Abschwächung ihrer möglichen nachteiligen Auswirkungen ergriffen wurden oder ergriffen werden sollen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden ohne unangemessene Verzögerung bereitgestellt, sobald sie verfügbar sind.
(c) Der Datenbearbeiter arbeitet nach Treu und Glauben mit dem Verantwortlichen zusammen und unterstützt ihn in jeder erforderlichen Weise, damit der Verantwortliche in der Lage ist, gegebenenfalls die zuständige Datenschutzbehörde und die betroffenen Personen zu benachrichtigen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
(d) Der Datenbearbeiter gewährt seinen Mitarbeitern nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Datenbearbeiter stellt sicher, dass die Personen, die zur Bearbeitung der erhaltenen Personendaten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
5.5 Dokumentation und Einhaltung der Vorschriften
(a) Die Parteien müssen in der Lage sein, die Einhaltung dieser AVV nachzuweisen.
(b) Der Datenbearbeiter ist verpflichtet, alle angemessenen Anfragen des Verantwortlichen, die sich auf die Bearbeitung im Rahmen der anwendbaren Datenschutzgesetze beziehen, unverzüglich und ordnungsgemäss zu beantworten.
(c) Der Datenbearbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in den anwendbaren Datenschutzgesetze festgelegten und sich unmittelbar aus den anwendbaren Datenschutzgesetzen ergebenden Verpflichtungen nachzuweisen, und ermöglicht auf Verlangen des Verantwortlichen die Überprüfung von Dateien und Unterlagen oder von Audits der unter diese Klauseln fallenden Bearbeitungstätigkeiten und trägt dazu bei, insbesondere wenn es Anzeichen für eine Nichteinhaltung gibt.
(d) Der Verantwortliche hat die Wahl, das Audit selbst durchzuführen, auf eigene Kosten einen unabhängigen Prüfer zu beauftragen oder sich auf ein vom Datenbearbeiter beauftragtes unabhängiges Audit zu verlassen. Beauftragt der Datenbearbeiter ein Audit, so hat er die Kosten des unabhängigen Prüfers zu tragen. Die Audit-, Zugangs- und Inspektionsrechte des Verantwortlichen gemäss dieser Klausel beschränken sich ausschliesslich auf die Aufzeichnungen des Datenbearbeiters (einschliesslich u. a. der Verzeichnisse der Bearbeitungstätigkeiten) und gelten nicht für die physischen Räumlichkeiten des Datenbearbeiters. Jede Prüfung und jedes Auskunftsersuchen ist auf die Informationen zu beschränken, die für die Zwecke dieses AVV erforderlich sind, und hat den Vertraulichkeitsverpflichtungen des Datenbearbeiters und seinem berechtigten Interesse am Schutz von Geschäftsgeheimnissen gebührend Rechnung zu tragen.
(e) Der Datenbearbeiter und der Verantwortliche stellen die in dieser Klausel genannten Informationen, einschliesslich der Ergebnisse etwaiger Audits, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung, wenn und soweit dies nach den anwendbaren Datenschutzgesetzen erforderlich ist.
5.6 Einsatz von UnterDatenbearbeitern
(a) Der Datenbearbeiter verfügt über die Zustimmung des Verantwortlichen für die Beauftragung von Unterdatenbearbeitern (Sublieferanten). Die Liste der Unterdatenbearbeitern des Datenbearbeiters ist in Anhang 3 zu finden. Der Datenbearbeiter informiert den Verantwortlichen schriftlich (E-Mail oder andere elektronische Mitteilung genügt) über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterdatenbearbeitern mindestens 30 Tage im Voraus, so dass der Verantwortliche die Möglichkeit hat, vor der Beauftragung des/der betreffenden Unterdatenbearbeiter(n) Einspruch gegen diese Änderungen einzulegen. Ein solcher Einspruch darf nicht unberechtigt sein. Die Parteien halten die Liste auf dem neuesten Stand.
(b) Beauftragt der Datenbearbeiter einen Unterdatenbearbeiter mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des Verantwortlichen), so erfolgt dies im Rahmen eines Vertrags, der dem Unterdatenbearbeiter dieselben Pflichten auferlegt wie dem Datenbearbeiter gemäss den anwendbaren Datenschutzgesetzen. Der Datenbearbeiter stellt sicher, dass der Unterdatenbearbeiter die Verpflichtungen einhält, denen der Datenbearbeiter gemäss diesem AVV und den anwendbaren Datenschutzgesetzen unterliegt.
(c) Der Datenbearbeiter bleibt gegenüber dem Verantwortlichen für die Erfüllung der Verpflichtungen des Unterdatenbearbeiters aus seinem Vertrag mit dem Datenbearbeiter verantwortlich. Der Datenbearbeiter meldet dem Verantwortlichen, wenn der Unterdatenbearbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
5.7 Internationale Überweisungen
(a) Jegliche Übermittlung von Daten in ein "Drittland" (jedes Land ausserhalb der Schweiz) oder eine internationale Organisation durch den Datenbearbeiter darf nur erfolgen, wenn sie in Übereinstimmung mit den anwendbaren Datenschutzgesetzen erfolgen. Möglicherweise müssen Standardvertragsklauseln hinzugefügt und eine Datenschutz-Folgenabschätzung durchgeführt werden, was zu zusätzlichen Anforderungen führt, die angepasst werden müssen.
(b) Der Verantwortliche erklärt sich damit einverstanden, dass der Datenbearbeiter und der Unterdatenbearbeiter in Fällen, in denen der Datenbearbeiter einen Unterdatenbearbeiter gemäss Klausel 5.6 mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des Verantwortlichen) in einem Drittland beauftragt und diese Bearbeitungstätigkeiten die Übermittlung von Personendaten beinhalten, datenschutzrechtliche Standardvertragsklausel benützen, um die Anforderungen der anwendbaren Datenschutzgesetzen zu erfüllen, sofern die Bedingungen für die Verwendung dieser Klauseln erfüllt sind.
6 Rechte der betroffenen Person
(a) Der Datenbearbeiter unterrichtet den Verantwortlichen unverzüglich über alle direkt von der betroffenen Person gestellten Anträge. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde von dem Verantwortlichen dazu ermächtigt.
(b) Der Datenbearbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner datenschutzrechtlichen Verpflichtungen aus den anwendbaren Datenschutzgesetzen, auf die Anträge der betroffenen Personen zur Ausübung ihrer Rechte zu reagieren. Dies beinhaltet insbesondere Unterstützung bei Auskunfts-, Berichtigungs- sowie Datenübertragbarkeitsbegehren.
(c) Zusätzlich zu der Verpflichtung des Datenbearbeiters, den Verantwortlichen gemäss Artikel 6 Buchstabe b zu unterstützen, unterstützt der Datenbearbeiter den Verantwortlichen bei der Einhaltung der folgenden Verpflichtungen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden:
(1) die Verpflichtung, der betroffenen Person die Verletzung des Schutzes
von Personendaten unverzüglich mitzuteilen,
wenn diese Mitteilung gemäss den anwendbaren Datenschutzgesetzen notwendig ist;
(2) die Verpflichtung, eine Abschätzung der Auswirkungen
der geplanten Bearbeitungen auf den Schutz von Personendaten
(eine "Datenschutz-Folgenabschätzung") durchzuführen,
wenn eine Art der Bearbeitung wahrscheinlich ein hohes Risiko
für die Rechte und Freiheiten natürlicher Personen mit sich bringt;
(3) die Verpflichtung, die zuständige Aufsichtsbehörde
vor der Bearbeitung zu konsultieren, wenn aus einer
Datenschutz-Folgenabschätzung hervorgeht, dass die Bearbeitung
ein hohes Risiko mit sich bringen würde,
wenn der Verantwortliche keine Massnahmen zur Risikominderung ergreift.
(d) Die Vertragsparteien legen in Anhang 2 die geeigneten technischen und organisatorischen Massnahmen (TOM) fest, mit denen der Datenbearbeiter den Verantwortlichen bei der Anwendung dieser Klausel zu unterstützen hat, sowie den Umfang und das Ausmass der erforderlichen Unterstützung.
7 Meldung von Verletzungen des Schutzes von Personendaten
(a) Im Falle einer Verletzung des Schutzes von Personendaten arbeitet der Datenbearbeiter nach Treu und Glauben mit dem Verantwortlichen zusammen und unterstützt ihn in angemesser Weise, um seinen Verpflichtungen betreffend Datenschutz-Folgenabschätzung nachzukommen, wobei die Art der Bearbeitung und die dem Datenbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
(b) Der Datenbearbeiter unterstützt den Verantwortlichen bei der Meldung der Verletzung des Schutzes von Personendaten an die zuständige Aufsichtsbehörde. Der Datenbearbeiter ist verpflichtet, insbesondere bei der Beschaffung der folgenden Informationen behilflich zu sein, die gemäss den anwendbaren Datenschutzgesetzen in der Meldung des Verantwortlichen angegeben werden müssen. Diese Informationen umfassen grundsätzlich:
(1) Die Art der Personendaten, einschliesslich, soweit möglich,
die Kategorien und die ungefähre Anzahl der betroffenen Personen
sowie die Kategorien und die ungefähre Anzahl der betroffenen Personendatensätze;
(2) die wahrscheinlichen Folgen der Verletzung des Schutzes der Personendaten;
(3) die Massnahmen, die der Verantwortliche ergriffen hat oder zu ergreifen gedenkt,
um die Verletzung des Schutzes von Personendaten zu beheben,
gegebenenfalls einschliesslich Massnahmen zur Abschwächung möglicher negativer Auswirkungen.
8 Beendigung
(a) Der Verantwortliche ist berechtigt, diese AVV sowie die Basisvereinbarung zu kündigen, wenn:
(1) Der Datenbearbeiter verstösst in erheblichem Masse oder dauerhaft
gegen das anwendbare Datenschutzrecht (insb. das DSG) oder gegen seine Verpflichtungen
nach den anwendbaren Datenschutzgesetzen, und es ist nicht zu erwarten, dass dieser Verstoss behoben wird;
(2) der Datenbearbeiter einer verbindlichen Entscheidung eines zuständigen Gerichts
oder der zuständigen Aufsichtsbehörde in Bezug auf seine Verpflichtungen
gemäss den anwendbaren Datenschutzgesetze nicht nachkommt.
(b) Diese AVV bleibt in vollem Umfang in Kraft, solange das zwischen den Parteien geschlossene Vertragsverhältnis in Kraft bleibt.
9 Haftung und Entschädigung
(a) Es gelten die Haftungsbestimmungen der Basisvereinbarung.
(b) Der Verantwortliche hat dem Datenbearbeiter die entstehenden Aufwände aus den allfälligen Leistungen aufgrund der vorgehend genannten Unterstützungspflichten (Ziff. 5.5, 6 ff.) vollumfänglich zu ersetzen. Die entsprechenden Leistungen werden zu den üblichen Stundenansätzen des Datenbearbeiters in Rechnung gestellt.
10 Gerichtsstand und anwendbares Recht
Gerichtsstand ist der Sitz des Datenbearbeiters. Es ist materielles schweizerisches Recht anwendbar.
11 Sonstiges
Soweit hierin nichts vereinbart ist, gelten die Bestimmungen der Basisvereinbarung.
Anhang 1
| Zweck der Bearbeitung | Bearbeitung von Personendaten für den Verantwortlichen aufgrund von verschiedenen Dienstleistungsverträgen (die "Basisvereinbarung") |
| Dauer der Bearbeitung | Solange Basisvereinbarungen mit dem Kunden bestehen. |
| Kategorien von betroffenen Personen* | Kunden, Mitarbeiter, Lieferanten |
| Kategorien von Personendaten* | Geburtstag/Alter, Kontaktdaten (E-Mail, Telefon), Wohnadresse, IP-Adresse, Name, Nationalität und Reisepass/ID. Es können auch besonders schützenswerte Personendaten bearbeitet werden. |
| Ort der Lagerung und Bearbeitung | An der Geschäftsadresse des Datenbearbeiters und seiner zugelassenen Unterdatenbearbeiter bzw. den entsprechenden Datenzentren, wie in dieser AVV angegeben. |
| Vor-Ort-Prüfungen | Nein |
* Kategorien der Personendaten sowie der betroffenen Personen werden durch den Verantwortlichen und ohne Zutun des Datenbearbeiters festgelegt. Die Aufzählung erfolgt lediglich beispielhaft.
Anhang 2
Die Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen, die von dem/den Datenbearbeiter(n) durchgeführt werden finden Sie unter:
https://docs.nine.ch/de/docs/legal-documents/technical-and-organizational-measures-toms
Anhang 3
Die folgenden Unterdatenbearbeiter werden zur Leistungserbringung beigezogen:
| Dienstleister | Ort der Bearbeitung | Leistung | Ausschliesslich bei folgenden Produkten aktiv |
|---|---|---|---|
| Google Cloud EMEA Ltd, Ireland | Schweiz | Cloud Services (GCP) | Managed GKE |
| Nine Internet Solutions Ltd | Kanada | Notfall Support und Unterhaltsarbeiten | Alle Produkte |
| Cloudflare, Inc., United States | Weltweit | CDN, DDoS Protection | Cloudflare |
| Zadara Ltd, Israel | Schweiz | Software | S3 Speicher |
| Wittwer IT Services, Switzerland | Schweiz | Email Services |