Vereinbarung zur Auftragsverarbeitung nach Art. 9 DSG und Art. 28 DSGVO

Diese Vereinbarung zur Auftragsverarbeitung (“AVV”) ist Bestandteil der AGB (“Vertrag”) zwischen dem Anbieter und dem Kunden. Der Anbieter wird nachfolgend als “Auftragsverarbeiter” oder „Auftragnehmer“ und der Kunde als “Verantwortlicher” oder “Auftraggeber” bezeichnet. Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen im Sinne von Art. 4 Nr. DSGVO sowie Art. 5 lit. k DSG und Art. 28 DSGVO sowie Art.9 DSGVO.

Die Parteien wollen ihren wechselseitigen datenschutzrechtlichen Verpflichtungen nach Art.9 DSG und Art. 28 DSGVO im Rahmen ihres Vertragsverhältnisses Rechnung tragen und schliessen deswegen nachstehende Vereinbarung zur Auftragsverarbeitung:

§ 1 - Gegenstand und Dauer

(1) Gegenstand

(a) Inhaltlicher Geltungsbereich

Diese Vereinbarung zur Auftragsverarbeitung ergänzt und konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem Vertragsverhältnis, welches durch die Registrierung unter app.digiclose.ai zustande kommt. 

Gegenstand des Vertragsverhältnisses ist die zur Zurverfügungstellung der Plattform “digiclose” als Software-as-a-Service (“SaaS”) für den Verantwortlichen und Übernahme der Tätigkeiten im Bereich Administration und Support der Plattform durch den Auftragsverarbeiter.

Diese Vereinbarung zur Auftragsverarbeitung gilt für sämtliche Tätigkeiten im Zusammenhang mit dem Vertragsverhältnis, bei denen Beschäftigte und/oder – soweit gemäss nachstehendem § 7 zulässig – Subunternehmer des Auftragnehmers personenbezogene Daten des Auftraggebers verarbeiten.

(b) Räumlicher Geltungsbereich

Nach dieser Vereinbarung zur Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer innerhalb der Schweiz, im Gebiet der Bundesrepublik Deutschland sowie der Europäischen Union und des Europäischen Wirtschaftsraumes zulässig. 

Eine Verarbeitung ausserhalb der EU und des EWR darf nur erfolgen, wenn der Auftragsverarbeiter den Auftraggeber mit einer angemessenen Frist darüber informiert hat, der Auftraggeber dieser vorher zugestimmt hat und wenn die besonderen Voraussetzungen der Art. 16 DSG und Art. 44 ff. DSGVO durch eine der nachfolgend aufgeführten Massnahmen erfüllt sind. Das angemessene Schutzniveau

• ist festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 16 Abs. 1 DSG und Art. 45 Abs. 3 DSGVO);
• wird hergestellt durch verbindliche interne Datenschutzvorschriften (Art. 16 Abs. 2 lit. e DSG und Art. 46 Abs. 2 lit. b in Verbindung mit Art. 47 DSGVO);
• wird hergestellt durch Standarddatenschutzklauseln (Art. 16 Abs. 2 lit. b und lit. d DSG und Art. 46 Abs. 2 lit. c und d DSGVO);
• wird hergestellt durch genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e in Verbindung mit Art. 40 DSGVO);
• wird hergestellt durch einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f in Verbindung mit Art. 42 DSGVO);
• wird hergestellt durch sonstige Massnahmen (Art. 16 Abs. 2 lit a und c DSG, Art. 46 Abs. 2 lit. a, Abs. 3 lit. a und b DSGVO)

(2) Dauer

Diese Vereinbarung tritt mit Registrierung unter app.digiclose.ai in Kraft und endet mit der Beendigung des Vertragsverhältnisses.

(3) Kündigung

Beide Parteien sind berechtigt, diese Vereinbarung jederzeit aus wichtigem Grund zu kündigen. Ein solcher wichtiger Grund liegt für den Auftraggeber insbesondere vor, wenn

• der Auftragnehmer trotz Abmahnung durch den Auftraggeber die zur Verarbeitung der personenbezogenen Daten des Auftraggebers befugten Personen nicht zur Vertraulichkeit verpflichtet hat und diese keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
• der Auftragnehmer den Auftraggeber entgegen § 9 Abs. 2 nicht oder nicht unverzüglich über Verletzungen des Schutzes personenbezogener Daten informiert (Art. 24 Abs. 3 DSG und Art. 33 Abs. 2 DSGVO);
• der Auftragnehmer den Auftraggeber im Rahmen seiner Meldepflicht nach Art. 24 DSG und  Art. 33 und 34 DSGVO nicht oder nicht unverzüglich oder nicht vollständig informiert hat;
• der Auftragnehmer Weisungen des Auftraggebers nicht ausführen kann oder will;

Ein solcher wichtiger Grund liegt für den Auftragnehmer insbesondere vor, wenn

• der Auftraggeber den Auftragnehmer nicht oder nicht rechtzeitig über Änderungen in den Datenverarbeitungsvorgängen informiert;
• der Auftraggeber den Auftragnehmer entgegen § 5 trotz nochmaliger Aufforderung des Auftragnehmers nicht anweist, personenbezogene Daten einer betroffenen Person zu löschen, ihre Verarbeitung einzuschränken, zu berichtigen oder hiervon abzusehen oder bei Geltendmachung des Rechts auf Datenübertragbarkeit nach Art. 28 DSG und Art. 20 Abs. 1 DSGVO einer betroffenen Person ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen.

§ 2 - Verantwortungsbereiche

Beide Parteien verpflichten sich, die zur Anwendung kommenden Datenschutzgesetze (insbesondere die Bestimmungen der DSGVO und des DSG) einzuhalten. Die Parteien gehen davon aus, dass der Auftragnehmer als Auftragsverarbeiter im Sinne des Art. 9 DSG und Art. 28 DSGVO für den Auftraggeber tätig wird. Wenn und soweit der Auftragnehmer jetzt oder künftig Leistungen erbringen soll, die nicht nach dieser Vereinbarung privilegiert sind, werden die Parteien schriftlich ergänzende Bestimmungen zum Datenschutz treffen, insbesondere diese Vereinbarung ergänzen oder eine neue Vereinbarung zur Auftragsverarbeitung abschliessen.

Auf Anfrage der Aufsichtsbehörde arbeiten Auftraggeber und Auftragnehmer bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 DSGVO).

Im Rahmen der Durchführung dieser Vereinbarung gelten nachfolgende Verantwortungsbereiche:

(1) Verantwortung des Auftraggebers

Diese Vereinbarung zur Auftragsverarbeitung gilt für sämtliche Tätigkeiten im Zusammenhang mit dem Vertragsverhältnis, bei denen Beschäftigte und/oder – soweit gemäss nachstehendem § 7 zulässig – Subunternehmer des Auftragnehmers personenbezogene Daten des Auftraggebers verarbeiten.

• Der Auftraggeber bestimmt die Zwecke und die Ziele der Verarbeitung der personenbezogenen Daten. Dies geschieht durch die in § 1 (1) (a) spezifizierten Vertragsdokumente und deren Anlagen sowie ergänzend durch die nach Massgabe dieser Vereinbarung durch den Auftraggeber dem Auftragnehmer nach § 10 zu erteilenden Weisungen.
• Der Auftraggeber ist im Hinblick auf das Vertragsverhältnis und die in dessen Durchführung vom Auftragnehmer zu verarbeitenden Daten für die Einhaltung sämtlicher einschlägiger Datenschutzvorschriften, insbesondere der DSGVO und des DSG, verantwortlich. Der Auftraggeber ist insbesondere für die Rechtmässigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmässigkeit und die Zulässigkeit der Datenverarbeitung nach Art. 6 DSG und Art. 6 DSGVO sowie die Wahrung der Rechte der betroffenen Personen nach Art. 25-29 DSG und Art. 12–22 DSGVO verantwortlich.
• Der Auftraggeber behält die volle Kontrolle über die vom Auftragnehmer zu verarbeitenden Daten. Sämtliche verarbeiteten Daten stehen ausschliesslich dem Auftraggeber zu.

(2) Verantwortung des Auftragnehmers

• Der Auftragnehmer wird personenbezogene Daten, die er im Rahmen dieser Vereinbarung im Auftrag für den Auftraggeber verarbeitet, ausschliesslich zur Erfüllung des im Vertrag sowie in etwaigen nach Massgabe dieser Vereinbarung zu erteilenden Weisungen beschriebenen Zwecken verarbeiten.
• Verlangt der Auftraggeber seine Daten – egal aus welchem Grund – heraus, ist der Auftragnehmer verpflichtet, dieser Aufforderung nachzukommen.

§ 3 - Art, Ziel und Zweck der Verarbeitung personenbezogener Daten

(1) Art und Zweck der Datenverarbeitung

Art, Ziel und Zweck der Datenverarbeitung sind im Einzelnen in § 1 des Vertrags spezifiziert. Die Parteien sind sich einig, dass ausschliesslich der Auftraggeber die Zwecke und Ziele der Verarbeitung bestimmt. Dies geschieht durch den Vertrag und die nach Massgabe dieser Vereinbarung zur Auftragsverarbeitung durch den Auftraggeber dem Auftragnehmer zu erteilenden Weisungen nach § 7.

(2) Art der Daten der Datenverarbeitung

Gegenstand der Verarbeitung personenbezogener Daten unter dem Vertragsverhältnis und dieser Vereinbarung zur Auftragsverarbeitung sind folgende Verarbeitungsvorgänge:

• das Erheben
• das Erfassen
• die Organisation
• das Ordnen
• die Speicherung
• das Auslesen
• das Abfragen
• die Verwendung
• die Offenlegung durch Übermittlung
• die Verbreitung oder eine andere Form der Bereitstellung
• den Abgleich oder die Verknüpfung
• die Einschränkung der Verarbeitung

Im Rahmen des Vertragsverhältnisses verarbeitet der Auftragnehmer folgende Arten von Daten:

• Personenstammdaten
• Kommunikationsdaten (zum Beispiel Telefon, E-Mail)
• Vertragsstammdaten (Vertragsbeziehung, Produkte- bzw. Vertragsinteresse)
• Kundenhistorie
• Vertragsabrechnungs- und Zahlungsdaten (z.B. Rechnungsanschrift, Bankverbindung)
• Daten des Kunden (z.B. Produktinformationen)
• Mitarbeiter und Freelancer des Kunden (z.B. Login-Daten, Name, Informationen zur Provisionszahlung)
• Interessenten des Kunden (z.B. Name, Anschrift, Telefonnummer, Informationen zu Gesprächen, Informationen zu gekauften Produkten)

(3) Kategorien betroffener Personen

Der Kreis der durch die Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung betroffenen Personen umfasst:

• Kunden und dessen Mitarbeiter und Freelancer
• Interessenten des Kunden

§ 4 - Technische und organisatorische Massnahmen (Art. 8 DSG und Art. 32 DSGVO)

(1) Nachweis der technischen und organisatorischen Massnahmen

Vor Abschluss dieser Vereinbarung zur Auftragsverarbeitung und vor Beginn der Verarbeitung personenbezogener Daten durch den Auftragnehmer hat dieser dem Auftraggeber die Umsetzung der erforderlichen technischen und organisatorischen Massnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung nach Massgabe dieser Vereinbarung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die so dokumentierten Massnahmen Grundlage dieses Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen und zu dokumentieren.

(2) Gewährleistung eines angemessenen Schutzniveaus

Der Auftragnehmer wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleisten. Dazu werden die Schutzziele von Art. 8 DSG und Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Massnahmen das Risiko auf Dauer eingedämmt wird. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

(3) Beschreibung der technisch-organisatorischen Massnahmen

Der Auftragnehmer wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleisten. Dazu werden die Schutzziele von Art. 8 DSG und Art. 32 Abs. 1 DSGVO, wie VeZur Gewährleistung einer dem Risiko der Datenverarbeitung nach dem Vertrag angemessenen Schutzniveau hat der Auftragnehmer die in seinem (Daten-)Sicherheitskonzept aufgeführten technischen und organisatorischen Massnahmen gem. Art. 8 DSG und Art. 24, 32 DSGVO getroffen. Das (Daten-)Sicherheitskonzept wird als verbindlich festgelegt und als Anlage zu dieser Vereinbarung zur Auftragsverarbeitung genommen. Die darin beschriebenen Massnahmen sind passend zum ermittelten Risiko der Verarbeitung unter Berücksichtigung der Schutzziele nach Stand der Technik und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse spezifiziert.rtraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Massnahmen das Risiko auf Dauer eingedämmt wird. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

Dieses beinhaltet im Wesentlichen folgende technische und organisatorische Massnahmen:

• Massnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO).
• Massnahmen zur Gewährleistung der Fähigkeit, die Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO), Integrität (Art. 32 Abs. 1 lit. b DSGVO), Verfügbarkeit und Belastbarkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b DSGVO) im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
• Massnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Art. 32 Abs. 1 lit. c DSGVO).
• Ein Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d, Art. 25 Abs. 1 DSGVO).

(4) Technischer Fortschritt und Änderung
der technisch-organisatorischen Massnahmen

Die in dieser Vereinbarung zur Auftragsverarbeitung/der Anlage 1 zu dieser Vereinbarung zur Auftragsverarbeitung beschriebenen technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es deshalb gestattet, alternative adäquate Massnahmen umzusetzen, wenn und soweit das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten wird. Der Auftragnehmer wird dem Auftraggeber die technischen und organisatorischen Massnahmen zur Verfügung stellen (siehe Anlage 1).

(5) Informationspflicht des Auftragnehmers

Bei Störungen oder Unregelmässigkeiten wird der Auftragnehmer den Auftraggeber unverzüglich unterrichten.

§ 5 - Berichtigung, Löschung und Sperrung von Daten

(1) Die im Auftrag des Auftraggebers verarbeiteten Daten darf der Auftragnehmer nur nach Weisung des Auftraggebers berichtigen, löschen, übertragen oder ihre Verarbeitung einschränken. Wenn sich eine betroffene Person zu diesem Zweck direkt an den Auftragnehmer wendet, hat dieser ein solches Ersuchen unverzüglich an den Auftraggeber weiterzuleiten. Ansprechpartner für solche Anfragen beim Auftraggeber ist: datenschutz@digiclose.ai

(2) Der Ansprechpartner des Auftraggebers wird das Ersuchen prüfen und dem Auftragnehmer schriftlich mitteilen, ob es berechtigt war oder nicht und den Auftragnehmer anweisen, die Berichtigung, Löschung, Übertragung oder Einschränkung der Verarbeitung vorzunehmen. Die Weisung ist von beiden Parteien zu dokumentieren.

§ 6 - Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieser Vereinbarung zur Auftragsverarbeitung folgende gesetzliche Pflichten nach Art. 28–33 DSGVO:

• dem Auftraggeber auf Anforderung die Angaben nach Art. 30 Abs. 1 DSGVO zur Verfügung zu stellen;
• die zur Verarbeitung der personenbezogenen Daten befugten Personen des Auftragnehmers zur Vertraulichkeit gemäss Art. 28 Abs. 3 Satz 2 lit. b DSGVO zu verpflichten;
• die zur Verarbeitden Auftraggeber im Rahmen des rechtlich und tatsächlich Möglichen mit technischen und organisatorischen Massnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrung der Rechte der betroffenen Personen (Art. 12–22 DSGVO) nachzukommen (Art. 28 Abs. 3 Satz 2 lit. e DSGVO);ung der personenbezogenen Daten befugten Personen des Auftragnehmers zur Vertraulichkeit gemäss Art. 28 Abs. 3 Satz 2 lit. b DSGVO zu verpflichten;
• die zur Verarbeitden Auftraggeber im Rahmen des rechtlich und tatsächlich Möglichen mit technischen und organisatorischen Massnaden Auftraggeber bei den in Art. 32–36 DSGVO genannten Pflichten zu unterstützen; insbesondere den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten zu informieren (Art. 24 Abs. 3 DSG und Art. 28 Abs. 3 lit. f in Verbindung mit Art. 33 Abs. 2 DSGVO) und bei der Datenschutzfolgenabschätzung gemäss Art. 22 DSG und Art. 35, 36 DSGVO unterstützen und dem Auftraggeber hierfür alle, ihm vorliegenden relevanten Informationen zur Verfügung zu stellen;hmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrung der Rechte der betroffenen Personen (Art. 12–22 DSGVO) nachzukommen (Art. 28 Abs. 3 Satz 2 lit. e DSGVO);ung der personenbezogenen Daten befugten Personen des Auftragnehmers zur Vertraulichkeit gemäss Art. 28 Abs. 3 Satz 2 lit. b DSGVO zu verpflichten;
• für Zwecke der Auswahl durch den Auftraggeber und der Kontrollen und Überprüfungen seines Verhaltens, nachzuweisen, dass er die von dem Auftraggeber geforderten hinreichenden Garantien (Art. 28 Abs. 1 DSGVO) bieten kann, dass geeignete technische und organisatorische Massnahmen so durchgeführt werden, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgt und dass der Schutz der Rechte der betroffenen Person gewährleistet wird (Art 9 DSG und Art. 28 Abs. 3 lit. h DSGVO).

§ 7 - Einschaltung von Subunternehmern

(1) Grundsätze für die Einschaltung von Subunternehmern

Die Einschaltung von Subunternehmern ist grundsätzlich gestattet. Über die Hinzuziehung von weiteren Subunternehmern wird der Auftragnehmer den Auftraggeber mit einer angemessenen Frist informieren. In diesem Fall wird der Auftragnehmer mit dem Subunternehmer eine Vereinbarung nach Massgabe des Art. 28 Abs. 2–4 DSGVO abschliessen. 

(2) Anforderungen an die Einschaltung von Subunternehmern

Schaltet der Auftragnehmer mit Zustimmung des Auftraggebers oder aufgrund der allgemeinen schriftlichen Genehmigung des Auftraggebers Subunternehmer ein, so wird der Auftragnehmer seine vertraglichen Vereinbarungen mit den Subunternehmern so gestalten und entsprechend dokumentieren, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit wie sie im Verhältnis zwischen dem Auftragnehmer und dem Auftraggeber bestehen, entsprechen (Art. 28 Abs. 4 DSGVO). Zudem sind ihm die gleichen Pflichten aufzuerlegen, die dem Auftragnehmer nach den gesetzlichen Vorschriften und nach den Regelungen dieser Vereinbarung zur Auftragsverarbeitung treffen. Insbesondere hat er den Subunternehmer im Falle, dass dieser seinerseits ein weiteres Unterauftragsverhältnis eingeht, dazu zu verpflichten, seine Zustimmung und die Zustimmung des Verantwortlichen einzuholen.

(3) Kontrollrechte des Auftraggebers

Dem Auftraggeber sind Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung zur Auftragsverarbeitung zur Feststellung, ob geeignete technische und organisatorische Massnahmen ergriffen wurden, die sicherstellen, dass die Datenverarbeitung den Anforderungen der DSGVO entspricht, einzuräumen. Der Auftragnehmer kann dem Auftraggeber die Umsetzung geeigneter technischer und organisatorischer Massnahmen zur Erfüllung der Anforderungen der DSGVO auch durch Einhaltung von genehmigten Verhaltensregeln im Sinne von Art. 40 DSGVO und/oder Zertifizierungen im Sinne von Art. 42 DSGVO nachweisen.

(4) Weitergabe personenbezogener Daten an den Subunternehmer

Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Subunternehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(5) Leistungen ausserhalb der EU/des EWR

Erbringt der Subunternehmer die vereinbarte Leistung ausserhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Massnahmen sicher.

§ 8 - Kontroll- und Zutrittsrechte des Auftraggebers,
Mitwirkungspflichten des Auftragnehmers

(1) Nachweis der Umsetzung der technischen und organisatorischen Massnahmen

Im Hinblick auf die Nachweispflichten des Auftraggebers nach Art. 5 Abs. 2 DSGVO und dessen Überprüfungsrechte nach Art. 28 Abs. 3 Satz 2 lit. h DSGVO vor Beginn der Datenverarbeitung und während der Laufzeit dieser Vereinbarung zur Auftragsverarbeitung stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Massnahmen überzeugen kann.

(2) Überprüfungen beim Auftragnehmer

Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die dem Auftragnehmer rechtzeitig anzukündigen sind, von der Einhaltung dieser Vereinbarung zur Auftragsverarbeitung durch den Auftragnehmer zu überzeugen.

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen.

Der Nachweis solcher Massnahmen, die nicht nur die konkrete Auftragsverarbeitung betreffen, kann zum Beispiel erfolgen durch

• die Einhaltung genehmigter Verhaltensregeln gemäss Art. 40 DSGVO;
• die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäss Art. 42 DSGVO;
• aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (zum Beispiel Wirtschaftsprüfer, Revision, Datenschutzbeauftragter);
• eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (zum Beispiel nach BSI-Grundschutz).

§ 9 - Mitzuteilende Verstösse

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 24 Abs. 3 DSG und Art. 33, 34 DSGVO genannten Pflichten zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) und zur Benachrichtigung der betroffenen Personen (Art. 34 DSGVO).

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten durch ihn oder durch die bei ihm beschäftigten Personen unverzüglich, sobald ihm diese bekannt werden. 

(2) Dem Auftragnehmer ist bekannt, dass nach Art. 24 DSG und Art. 33 Abs. 2 DSGVO Informationspflichten im Falle einer Verletzung personenbezogener Daten bestehen. Deshalb sind solche Vorfälle unverzüglich dem Auftraggeber mitzuteilen. Dies gilt auch bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmässigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Massnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Insbesondere ist der Auftragnehmer verpflichtet, unverzüglich die Ursache für die Verletzung des Schutzes personenbezogener Daten zu beseitigen. Soweit den Auftraggeber Pflichten nach Art. 24 Abs. 1 DSG und Art. 33 Abs. 1 oder 34 Abs. 1 DSGVO treffen, wird der Auftragnehmer ihn hierbei vollumfänglich unterstützen, damit der Auftraggeber seinen gesetzlichen Melde- und Benachrichtigungspflichten nach Art. 24 DSG und Art. 33, 34 DSGVO gegenüber der Aufsichtsbehörde und den betroffenen Personen nachkommen kann.

Der Auftraggeber als Verantwortlicher bleibt gegenüber der Aufsichtsbehörde und den betroffenen Personen allein im Sinne der Art. 24 DSG und Art. 33, 34 DSGVO verantwortlich. Er entscheidet deswegen alleine, ob aufgrund der ihm vom Auftragnehmer über einen Vorfall zur Verfügung gestellten Informationen eine Benachrichtigung der Aufsichtsbehörde und ggf. der Betroffenen erfolgen muss oder im Ausnahmefall unterbleiben kann. Er ist allein für die Einhaltung der 72-Stunden-Frist des Art. 33 Abs. 1 DSGVO verantwortlich. Der Auftraggeber haftet alleine und vollumfänglich, sollte er eine erforderliche Meldung im vorgenannten Sinne trotz unverzüglicher Information durch den Auftragnehmer unterlassen oder die 72-Stunden-Frist versäumt haben.

§ 10 - Weisungsbefugnisse

(1) Weisungen des Auftraggebers

Der Auftragnehmer wird Weisungen des Auftraggebers, die sich auf die Beachtung der einschlägigen datenschutzrechtlichen Bestimmungen sowie Zweck und Ziel der Verarbeitung beziehen, beachten. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person wird die personenbezogenen Daten ausschliesslich nach den Weisungen des Auftraggebers, einschliesslich der in dieser Vereinbarung eingeräumten Befugnisse, verarbeiten und nutzen. Etwas anderes gilt nur dann, wenn der Auftragnehmer durch das Recht der Union oder des Mitgliedsstaates, in dem er seinen Sitz hat, hierzu verpflichtet ist (Art. 28 Abs. 3 Satz 2 lit. a, Art. 29 DSGVO). In diesem Fall wird der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mitteilen, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet, Art. 28 Abs. 3 Satz 2 lit. a DSGVO.

Der Auftraggeber behält sich im Rahmen der im Vertragswerk getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang, Ziele und Zweck der Datenverarbeitung vor. Dieses kann der Auftraggeber durch Einzelweisungen konkretisieren. Weisungen, Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und schriftlich oder in einem elektronischen Format zu dokumentieren (Art. 28 Abs. 3 Satz 2 lit. a, Art. 29 DSGVO). Auskünfte an Dritte oder betroffene Personen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung oder elektronischer Zustimmung des Auftraggebers erteilen. Die Zustimmung ist zu dokumentieren.

Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in einem dokumentierten elektronischen Format bestätigen. Im Übrigen erteilt der Auftraggeber alle Aufträge, Teilaufträge und Weisungen grundsätzlich schriftlich oder in einem dokumentierten elektronischen Format. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Dem Auftragnehmer ist bekannt, dass er selbst als Verantwortlicher gilt, wenn er von der vertraglichen Vereinbarung oder den Weisungen des Verantwortlichen abweicht. Sollte er der Meinung sein, dass Weisungen des Auftraggebers rechtswidrig sind, gilt § 10 (3) unten.

(2) Weisungsberechtigte des Auftraggebers

Weisungsberechtigte seitens des Auftraggebers ist:
Nutzer gemäss Vertrag
Weisungsempfänger seitens Auftragnehmer ist:
datenschutz@digiclose.ai

(3) Hinweispflicht

Sofern der Auftragnehmer der Auffassung ist, dass die Ausführung von Weisungen des Auftraggebers, auch von solchen, in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, zu einer Verletzung von Datenschutzbestimmungen führen könnte oder rechtswidrig ist, ist er verpflichtet, den Auftraggeber hierauf unverzüglich, vor der Verarbeitung bzw. Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation hinzuweisen, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen des Auftraggebers bestätigt oder geändert wird. Wenn und soweit die Aussetzung zu Unrecht erfolgte, behält sich der Auftraggeber vor, etwaigen ihm hieraus resultierenden Schaden geltend zu machen. Die Weisung des Auftraggebers und die Ablehnung des Auftragnehmers sind zu dokumentieren.

§ 11 - Rückgabe von Datenträgern und Löschung von Daten

(1) Löschung von Daten

Mit Beendigung des Auftrags oder vorher auf Verlangen des Auftraggebers ist der Auftragnehmer verpflichtet, dem Auftraggeber sämtliche in seinen Besitz gelangte Unterlagen, sowie die in Zusammenhang mit dem Vertragsverhältnis und dieser Vereinbarung zur Auftragsverarbeitung stehenden Datenbestände auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu löschen oder zu vernichten (Art. 28 Abs. 3 Satz 2 lit. g DSGVO). Für Test- und Ausschussmaterial gilt dies nur dann, wenn der Auftraggeber dies ausdrücklich verlangt. Nach Beendigung des Auftragsverhältnisses dürfen keinerlei personenbezogene Daten bei dem Auftragnehmer verbleiben. Die Verpflichtung gilt nicht, sofern der Auftragnehmer nach dem Unionsrecht oder dem Recht des Mitgliedstaates, in dem er seinen Sitz hat, zur Aufbewahrung personenbezogener Daten verpflichtet ist. Das Protokoll der Löschung bzw. Vernichtung ist dem Auftraggeber vorzulegen. Entsprechendes gilt für die Versicherung der vollständigen Aushändigung sämtlicher in Zusammenhang mit dem Vertragsverhältnis und dieser Vereinbarung zur Auftragsverarbeitung stehenden Unterlagen sowie Verarbeitungs- und Nutzungsergebnisse.

(2) Aufbewahrungspflichten

Der Auftragnehmer ist berechtigt, Dokumentationen, die er benötigt, um die Auftrags- und ordnungsgemässe Datenverarbeitung nachweisen zu können, gemäss den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie dem Auftraggeber zu seiner Entlastung bei Vertragsende übergeben.

§ 12 - Haftung, Freistellung und Vertragsstrafen

(1) Haftung der Parteien im Aussenverhältnis

(a) Haftung

Im Verhältnis zu den betroffenen Personen haften der Auftraggeber und der Auftragnehmer für Schäden, die aus einer schuldhaften Verletzung von Datenschutzbestimmungen im Rahmen der Durchführung des Vertragsverhältnisses oder dieser Vereinbarung zur Auftragsverarbeitung durch den Auftragnehmer, die bei ihm beschäftigten Personen oder durch von ihm nach Massgabe von § 7 eingeschalteten Subunternehmer entstehen.

(b) Freistellung durch den Auftragnehmer

Macht eine betroffene Person gegenüber dem Auftraggeber Schadensersatzansprüche wegen der Verletzung von Datenschutzbestimmungen, insbesondere der DSGVO oder des DSG, oder wegen einer ansonsten unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Vertragsverhältnisses der Parteien oder dieser Vereinbarung zur Auftragsverarbeitung geltend, stellt der Auftragnehmer den Auftraggeber bei einer schuldhaften Pflichtverletzung frei. Ist der Auftraggeber zum Schadensersatz verpflichtet, kann er bei dem Auftragnehmer Rückgriff nehmen. Der Auftragnehmer ist jedoch in einem solchen Fall zu dem Nachweis berechtigt, dass der den betroffenen Personen entstandene Schaden nicht durch eine Pflichtverletzung des Auftragnehmers, der bei ihm beschäftigten Personen oder von ihm nach Massgabe von § 7 eingeschaltete Subunternehmer schuldhaft verursacht wurde.

(2) Haftung des Auftragnehmers

(a) Haftung des Auftragnehmers gegenüber betroffenen Personen

Im Verhältnis zu den betroffenen Personen haftet der Auftragnehmer nur für Schäden, die diesen aus einer schuldhaften Verletzung einer ihm speziell nach den Regelungen der DSGVO oder des DSG oder dieser Vereinbarung zur Auftragsverarbeitung auferlegten Pflicht, entstehen. Dies gilt weiter bei der Nichtbeachtung einer rechtmässig erteilten Weisung des Auftraggebers oder wenn der Auftragnehmer entgegen einer Weisung des Auftraggebers gehandelt hat.

Der Auftragnehmer haftet auch gegenüber den betroffenen Personen, wenn einer der bei ihm beschäftigten Personen oder ein durch ihn beauftragter Subunternehmer schuldhaft eine auferlegte Pflicht verletzt und hierdurch ein Schaden für die betroffenen Personen entstanden ist.

(b) Haftung des Auftragnehmers gegenüber dem Auftraggeber

Dem Auftraggeber gegenüber haftet er, wenn er selbst oder die nach § 7 eingeschalteten Subunternehmer die ihnen obliegenden Pflichten nicht einhalten. Er stellt den Auftraggeber insoweit bei einer schuldhaften Pflichtverletzung von sämtlichen Schadensersatzansprüchen frei, die die betroffenen Personen gegenüber dem Auftraggeber wegen der Verletzung einer solchen Pflicht geltend machen. § 12 (1)(b) gilt entsprechend. Der Auftragnehmer ist jedoch berechtigt, nachzuweisen, dass der der betroffenen Person entstandene Schaden nicht durch eine Pflichtverletzung einer der bei ihm beschäftigten Personen oder eines von ihm nach Massgabe des § 7 eingeschalteten Subunternehmers schuldhaft verursacht wurde.

(3) Haftung beider Parteien und Rückgriff im Innenverhältnis

Werden sowohl der Auftraggeber als auch der Auftragnehmer von einer betroffenen Person auf Schadensersatz wegen der Verletzung von Pflichten nach der DSGVO oder dem DSG in Anspruch genommen, bestimmt sich die Haftung der Parteien im Innenverhältnis danach, inwieweit die eine und/oder die andere Partei den Schaden verursacht hat. Sie kann gegen die jeweils andere Partei in Höhe des von dieser verursachten Schadens Rückgriff nehmen, wenn und soweit sie den vollen Schadensersatz an die betroffene Person geleistet hat.

Anlagen:

• Anlage 1 -  Technisch-organisatorische Massnahmen
• Anlage 2 – Genehmigte Subunternehmer 

Anlage 1  -  Technisch-organisatorische Massnahmen

Zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus für personenbezogene Daten wurden die nachfolgenden technischen und organisatorischen Massnahmen (TOM) umgesetzt. Diese Aufstellung ist nicht abschliessend; die Massnahmen werden regelmässig überprüft und bei Bedarf angepasst, um den gesetzlichen Anforderungen und dem Stand der Technik weiterhin zu entsprechen. 

• Massnahmen zur Vertraulichkeit

• Mitarbeiter werden im Hinblick auf den Datenschutz zur Vertraulichkeit verpflichtet
• Rechenzentren sind gesichert und zertifiziert
• Login mit Benutzername und Passwort sowie Zwei-Faktor-Authentifizierung
• Passwort-Richtlinie
• Anti-Virus-Software Clients
• Firewall
• Verschlüsselung von Festplatten
• Verwaltung von Benutzerberechtigungen
• Trennung von Produktiv- und Testumgebung
• Physikalische Trennung von Systemen und Datenbanken
• Logische Mandantentrennung innerhalb der Software
• Verwaltung der Benutzerrechte durch Administratoren

• Massnahmen zur Integrität

• Nutzung von verschlüsselten Verbindungen
• Sorgfältige Auswahl der Dienstleister
• E-Mail-Verschlüsselung
• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen

• Massnahmen zur Verfügbarkeit 

• Backup & Recovery-Konzept
• Unterbrechungsfreie Stromversorgung 

• Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

• Datenschutz-Management-System
• Prozess zur Meldung von Datenschutzverletzungen

Anlage 2 - Genehmigte Subunternehmer