Dieser Vertrag regelt die Rechte und Pflichten der Auftraggeberin und der Leftclick AG als Auftragnehmerin (nachfolgend die "Parteien") im Zusammenhang mit der datenschutzrechtlichen Auftragsbearbeitung beziehungsweise Auftragsverarbeitung (nachfolgend einheitlich die "Auftragsverarbeitung") von Personendaten beziehungsweise personenbezogenen Daten (nachfolgend einheitlich die "Personendaten").
Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragnehmerin ganz oder teilweise Personendaten im Auftrag der Auftraggeberin bearbeitet beziehungsweise verarbeitet oder bearbeiten beziehungsweise verarbeiten (nachfolgend einheitlich "verarbeiten") lässt.
Die Auftragnehmerin unterliegt dem schweizerischen Datenschutzrecht, insbesondere dem geltenden Bundesgesetz über den Datenschutz (DSG).
Mit diesem Vertrag ermöglicht die Auftragnehmerin der Auftraggeberin die Einhaltung der anwendbaren datenschutzrechtlichen Anforderungen für die Auftragsverarbeitung, insbesondere gemäss Art. 10a DSG beziehungsweise gemäss Art. 9 des neuen schweizerischen Bundesgesetzes über den Datenschutz (nDSG) mit Inkrafttreten am 1. September 2023.
Die Auftragsverarbeitung erfolgt gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien. Die Bestimmungen dieses Vertrages haben Vorrang bei einem Widerspruch zwischen den Bestimmungen dieses Vertrages und sonstigen vertraglichen Vereinbarungen zwischen den Parteien.
Die Auftragsverarbeitung umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Archivieren, Aufbewahren, Bekanntgeben, Beschaffen, Löschen, Speichern, Verändern, Vernichten und Verwenden von Personendaten. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.
Die Auftragsverarbeitung umfasst die Kategorien von Personendaten gemäss Anhang 1. Die Auftragsverarbeitung umfasst die Kategorien betroffener Personen, deren Personendaten verarbeitet werden, gemäss Anhang 2.
Dauer
Die Auftragnehmerin verarbeitet Personendaten auf unbestimmte Zeit bis zur Kündigung dieses Vertrages oder der letzten vertraglichen Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.
Weisungen
Die Auftragnehmerin verarbeitet Personendaten ausschliesslich wie vertraglich vereinbart oder gemäss dokumentierten Weisungen der Auftraggeberin, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch zu einer bestimmten Verarbeitung verpflichtet. In einem solchen Fall informiert die Auftragnehmerin die Auftraggeberin spätestens auf Nachfrage über diese gesetzliche oder regulatorische Verpflichtung, sofern eine solche Information nicht aus gesetzlichen Gründen verboten ist.
Die Auftraggeberin kann während der gesamten Dauer der Auftragsverarbeitung weitere dokumentierte Weisungen erteilen.
Die Auftragnehmerin informiert die Auftraggeberin unverzüglich, wenn sie der Auffassung ist, dass vertragliche Vereinbarungen oder erteilte Weisungen gegen anwendbare datenschutzrechtliche Anforderungen verstossen.
Zweckbindung
Die Auftragnehmerin verarbeitet Personendaten ausschliesslich für den Zweck beziehungsweise die Zwecke gemäss den vertraglichen Vereinbarungen zwischen den Parteien (Ziff. 2.1), sofern die Auftragnehmerin keine weiteren dokumentierten Weisungen von der Auftraggeberin erhält.
Die Auftragnehmerin ergreift mindestens die technischen und organisatorischen Massnahmen (TOM) gemäss Anhang 3, um die Sicherheit der verarbeiteten Personendaten zu gewährleisten. Diese Massnahmen umfassen insbesondere den Schutz der verarbeiteten Personendaten vor einer Verletzung der Sicherheit, die, jeweils unbeabsichtigt oder unrechtmässig, zur unbefugten Bekanntgabe von Personendaten beziehungsweise zum unbefugten Zugang zu Personendaten oder zur Veränderung, zum Verlust oder zur Vernichtung der Personendaten führt (nachfolgend gemeinsam die "Verletzungen der Datensicherheit").
Die Auftragnehmerin gewährt ihrem Personal nur insoweit Zugang zu Personendaten, als dies für die Durchführung, Überwachung und Verwaltung dieses Vertrages erforderlich ist. Die Auftragnehmerin gewährleistet, dass sich die zur Auftragsverarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Die Parteien müssen die Einhaltung dieses Vertrages nachweisen können.
Die Auftragnehmerin bearbeitet in angemessener Weise und möglichst umgehend Anfragen der Auftraggeberin zur Auftragsverarbeitung gemäss diesem Vertrag.
Die Auftragnehmerin stellt der Auftraggeberin auf Anfrage alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesem Vertrag festgelegten und unmittelbar aus den anwendbaren datenschutzrechtlichen Bestimmungen hervorgehenden Anforderungen erforderlich sind.
Die Auftragnehmerin ermöglicht auf Verlangen der Auftraggeberin die Prüfung der Auftragsverarbeitung gemäss diesem Vertrag in angemessenen Abständen oder bei dokumentierten Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei.
Die Auftraggeberin kann eine Prüfung selbst durchführen oder durch eine unabhängige Prüferin beziehungsweise einen unabhängigen Prüfer durchführen lassen. Solche Prüfungen sind auf einen Tag pro Kalenderjahr beschränkt. Eine Prüfung kann auch Inspektionen in den physischen Einrichtungen oder Räumlichkeiten der Auftragnehmerin umfassen, sofern solche Inspektionen erforderlich sind, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs stattfinden und die Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit erfolgt. Solche Inspektionen sind nur zulässig, sofern und soweit die Prüfung nicht durch andere geeignete Nachweise wie beispielsweise Bestätigungen, Dokumentationen und Zertifikate oder Zertifizierungen erfolgen kann, insbesondere bei Rechenzentren.
Die Auftraggeberin trägt die Kosten der Auftragnehmerin für Prüfungen gemäss Ziff. 5.4 und 5.5.
Die Parteien stellen einer zuständigen Aufsichtsbehörde beziehungsweise den zuständigen Aufsichtsbehörden die in dieser Ziff. 5 genannten Informationen, einschliesslich Ergebnisse von Prüfungen, auf Anfrage zur Verfügung, sofern die Zurverfügungstellung nicht aus gesetzlichen Gründen verboten ist.
Die Auftraggeberin erteilt der Auftragnehmerin die allgemeine Genehmigung für die Beauftragung von Unterauftragsverarbeitern, die in der Liste gemäss Anhang 4 aufgeführt sind.
Die Auftragnehmerin unterrichtet die Auftraggeberin mindestens 14 Tage im Voraus in elektronischer oder schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Ersetzen oder Hinzufügen von Unterauftragsverarbeitern. Die Auftragnehmerin räumt der Auftraggeberin damit ausreichend Zeit ein, um vor der Beauftragung allfällige Einwände gegen die beabsichtigten Änderungen erheben zu können. Die Auftragnehmerin stellt der Auftraggeberin die benötigten Informationen zur Verfügung, damit diese ihr Widerspruchsrecht ausüben kann.
Erfolgt kein fristgerechter Widerspruch, gelten die beabsichtigten Änderungen als genehmigt. Ist bei einem Widerspruch keine einvernehmliche Klärung zwischen den Parteien über die geplanten Änderungen möglich und ist die Auftraggeberin nicht bereit, auf ihren Widerspruch zu verzichten, sind die Parteien berechtigt, diesen Vertrag ausserordentlich auf den Zeitpunkt der geplanten Änderungen zu kündigen.
Die Auftragnehmerin muss Unterauftragsverarbeitern, die zur Durchführung der Auftragsverarbeitung beauftragt werden, vertraglich im Wesentlichen die gleichen Pflichten auferlegen wie diejenigen, die für die Auftragnehmerin gemäss diesem Vertrag gelten. Die Auftragnehmerin stellt sicher, dass jeder Unterauftragsverarbeiter die Pflichten erfüllt, denen die Auftragnehmerin gemäss diesem Vertrag und gemäss den anwendbaren datenschutzrechtlichen Anforderungen unterliegt.
Jeder Export von Personendaten in ein Land ausserhalb der Schweiz und der Mitgliedstaaten des Europäischen Wirtschaftsraumes (EWR) oder an eine internationale Organisation erfolgt ausschliesslich wie vertraglich vereinbart oder gemäss dokumentierten Weisungen der Auftraggeberin, es sei denn, die Auftragnehmerin ist gesetzlich zu einem bestimmten Datenexport verpflichtet. In einem solchen Fall informiert die Auftragnehmerin die Auftraggeberin über diese gesetzliche Verpflichtung, sofern eine solche Information nicht aus gesetzlichen Gründen verboten ist.
Jeder Export von Personendaten in ein Land ausserhalb der Schweiz und der Mitgliedstaaten des EWR erfolgt grundsätzlich ausschliesslich, wenn das Datenschutzrecht im jeweiligen Land sowohl gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) beziehungsweise dem Schweizerischen Bundesrat als auch gemäss der Europäischen Kommission aus schweizerischer und europäischer Sicht ein angemessenes Schutzniveau für Personendaten gewährleistet.
Der Export von Personendaten in ein Land ausserhalb der Schweiz und der Mitgliedstaaten des EWR, dessen Datenschutzrecht kein angemessenes Schutzniveau von Personendaten gewährleistet, darf ausnahmsweise erfolgen, wenn aus anderen Gründen ein angemessenes Schutzniveau gemäss den anwendbaren datenschutzrechtlichen Anforderungen gewährleistet ist, insbesondere gemäss zwischenstaatlichen Vereinbarungen oder auf Grundlage von geltenden Standardvertragsklauseln, die von der Europäischen Kommission erlassen wurden. Die Auftragnehmerin ist berechtigt, solche europäischen Standardvertragsklauseln gemäss Empfehlungen des EDÖB so anzupassen und zu ergänzen, dass die Standardvertragsklauseln auch den anwendbaren datenschutzrechtlichen Anforderungen in der Schweiz entsprechen und damit geeignet sind, ein angemessenes Datenschutzniveau beim Datenexport aus der Schweiz zu gewährleisten.
Die Auftragnehmerin informiert die Auftraggeberin unverzüglich über jeden Antrag, den sie von einer betroffenen Person erhalten hat und der die Auftragsverarbeitung betrifft. Die Auftragnehmerin ist berechtigt, der betroffenen Person den Erhalt zu bestätigen, beantwortet den Antrag im Übrigen aber nicht selbst, es sei denn, sie wurde von der Auftraggeberin dazu ermächtigt.
Die Auftragnehmerin unterstützt die Auftraggeberin unter Berücksichtigung der Art der Auftragsverarbeitung bei der Erfüllung ihrer Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei dieser Unterstützung befolgt die Auftragnehmerin die Weisungen der Auftraggeberin.
Zusätzliche Unterstützungspflichten
Führung eines allfälligen Verzeichnisses der Verarbeitungstätigkeiten.
Durchführung einer Datenschutz-Folgenabschätzung, wenn eine geplante Verarbeitung von Personendaten durch die Auftraggeberin voraussichtlich ein hohes Risiko für die Grundrechte oder die Persönlichkeit der betroffenen Personen mit sich bringen kann.
Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung von Personendaten, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die geplante Verarbeitung trotz der vorgesehenen Massnahmen ein hohes Risiko für die Grundrechte oder die Persönlichkeit der betroffenen Personen mit sich bringt.
Gewährleistung, dass die verarbeiteten Personendaten sachlich richtig und auf dem neuesten Stand sind, indem die Auftragnehmerin die Auftraggeberin unverzüglich informiert, wenn sie feststellt, dass die von ihr verarbeiteten Personendaten unrichtig oder veraltet sind.
Gewährleistung einer dem Risiko angemessenen Datensicherheit, insbesondere durch geeignete technische und organisatorische Massnahmen (TOM) gemäss Ziff. 4.
Die Auftraggeberin trägt die Kosten der Auftragnehmerin für die Unterstützung gemäss Ziff. 8.1, Ziff. 8.2 und Ziff. 8.3 Ziffern 1–4.
Die Auftragnehmerin arbeitet im Fall einer Verletzung der Datensicherheit mit der Auftraggeberin zusammen und unterstützt sie entsprechend, damit die Auftraggeberin ihren Pflichten zur Meldung von Verletzungen der Datensicherheit an die zuständige(n) Aufsichtsbehörde(n) beziehungsweise zur Benachrichtigung der von Verletzungen der Datensicherheit betroffenen Personen nachkommen kann, wobei die Auftragnehmerin die Art der Auftragsverarbeitung und die ihr zur Verfügung stehenden Informationen berücksichtigt.
Verletzungen der Sicherheit der von der Auftraggeberin verarbeiteten Personendaten
Die Auftragnehmerin unterstützt im Fall einer Verletzung der Datensicherheit im Zusammenhang mit den von der Auftraggeberin verarbeiteten Personendaten die Auftraggeberin wie folgt:
Bei der unverzüglichen Meldung der Verletzung der Datensicherheit an die zuständige(n) Aufsichtsbehörde(n), nachdem der Auftraggeberin die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung der Datensicherheit führt voraussichtlich nicht zu einem hohen Risiko für die Grundrechte oder die Persönlichkeit der betroffenen Personen), sowie – jeweils sobald verfügbar – bei der Einholung der Angaben, die gemäss den anwendbaren datenschutzrechtlichen Anforderungen in der Meldung enthalten sein müssen.
Bei der Benachrichtigung der von Verletzungen der Datensicherheit betroffenen Personen gemäss den anwendbaren datenschutzrechtlichen Anforderungen, wenn es zum Schutz der betroffenen Personen erforderlich ist oder von einer zuständigen Aufsichtsbehörde verlangt wird.
Die Auftraggeberin trägt die Kosten der Auftragnehmerin für die Unterstützung gemäss dieser Ziff. 9.2.
Verletzungen der Sicherheit der von der Auftragnehmerin verarbeiteten Personendaten
Die Auftragnehmerin informiert die Auftraggeberin bei einer Verletzung der Datensicherheit im Zusammenhang mit den von ihr verarbeiteten Personendaten unverzüglich nach Bekanntwerden der Verletzung.
Die Auftragnehmerin liefert der Auftraggeberin im Rahmen dieser Information sobald verfügbar jene Angaben, welche die Auftraggeberin gemäss den anwendbaren datenschutzrechtlichen Anforderungen benötigt, insbesondere:
Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze).
Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung der Datensicherheit eingeholt werden können.
Voraussichtliche Folgen der Verletzung der Datensicherheit sowie ergriffene oder vorgeschlagene Massnahmen zur Behebung der Verletzung der Datensicherheit, einschliesslich Massnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen der Verletzung der Datensicherheit.
Die Auftragnehmerin trägt die Kosten für die Unterstützung gemäss dieser Ziff. 9.3.
Für den Fall, dass die Auftragnehmerin ihren Pflichten gemäss diesem Vertrag nicht nachkommt, kann die Auftraggeberin die Auftragnehmerin anweisen, die Auftragsverarbeitung von Personendaten auszusetzen, bis die Auftragnehmerin diesen Vertrag einhält oder dieser Vertrag beendet ist. Die Auftragnehmerin informiert die Auftraggeberin unverzüglich, wenn sie – aus welchen Gründen auch immer – nicht in der Lage ist, diesen Vertrag einzuhalten.
Die Haftungsregelung richtet sich nach einer allfälligen Haftungsregelung gemäss den vertraglichen Vereinbarungen zwischen den Parteien (Ziff. 2.1).
Die Auftraggeberin ist berechtigt, diesen Vertrag ausserordentlich und fristlos zu kündigen, wenn:
die Auftraggeberin die Auftragsverarbeitung gemäss Ziff. 10 ausgesetzt hat und die Einhaltung dieses Vertrages nicht innerhalb einer angemessenen Frist, in jedem Fall aber nicht innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
die Auftragnehmerin in erheblichem Umfang oder fortdauernd gegen diesen Vertrag verstösst oder die anwendbaren datenschutzrechtlichen Anforderungen nicht erfüllt;
die Auftragnehmerin der bindenden Entscheidung einer zuständigen Aufsichtsbehörde oder eines zuständigen Gerichts, welche Pflichten der Auftragnehmerin gemäss den anwendbaren datenschutzrechtlichen Anforderungen zum Gegenstand hat, nicht nachkommt.
Die Auftragnehmerin ist berechtigt, diesen Vertrag ausserordentlich und fristlos zu kündigen, wenn die Auftraggeberin auf der Erfüllung einer vertraglichen Vereinbarung oder Weisung besteht, nachdem sie von der Auftragnehmerin gemäss Ziff. 3.2.3 darüber in Kenntnis gesetzt wurde, dass die vertragliche Vereinbarung oder Weisung gegen anwendbare datenschutzrechtliche Anforderungen verstösst.
Die Parteien sind berechtigt, diesen Vertrag mit einer Frist von drei Monaten per Ende eines Monats zu kündigen, sofern vertragliche Vereinbarungen zwischen den Parteien keine oder keine andere Kündigungsfrist vorsehen.
Nach Beendigung dieses Vertrages löscht die Auftragnehmerin nach Wahl der Auftraggeberin alle im Auftrag der Auftraggeberin verarbeiteten Personendaten und bescheinigt der Auftraggeberin die erfolgte Löschung oder die Auftragnehmerin gibt alle Personendaten an die Auftraggeberin zurück und löscht bestehende Kopien, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch berechtigt oder verpflichtet, die Personendaten zu speichern. Sofern die Auftraggeberin der Auftragnehmerin ihre Wahl nicht innert vier Wochen seit Beendigung dieses Vertrages mitteilt, löscht die Auftragnehmerin die Personendaten. Bis zur Löschung oder Rückgabe der Personendaten gewährleistet die Auftragnehmerin die Einhaltung dieses Vertrages.
Dieser Vertrag kann in elektronischer oder schriftlicher Form geschlossen werden. Dieser Vertrag kann zum Bestandteil von Allgemeinen Geschäftsbedingungen (AGB) oder vergleichbaren Rechtstexten erklärt werden. Anpassungen dieses Vertrages können in elektronischer Form erfolgen.
Die Parteien informieren sich gegenseitig über eine allfällige Datenschutzberaterin oder über einen allfälligen Datenschutzberater beziehungsweise über eine allfällige Datenschutzbeauftragte oder über einen allfälligen Datenschutzbeauftragten gemäss den anwendbaren datenschutzrechtlichen Anforderungen.
Die Parteien sind verpflichtet, alle im Rahmen dieses Vertrages erlangten Kenntnisse von Geschäftsgeheimnissen der jeweils anderen Partei sowie über Personendaten auch über die Beendigung dieses Vertrages hinaus dauerhaft vertraulich zu behandeln, es sei denn, eine Partei ist gesetzlich zu einer bestimmten Offenlegung verpflichtet. In einem solchen Fall informiert die verpflichtete Partei die jeweils andere Partei über diese gesetzliche Verpflichtung, sofern eine solche Information nicht aus gesetzlichen Gründen verboten ist. Bestehen bei einer Partei Zweifel, ob eine Information dieser Geheimhaltungspflicht unterliegt, ist die Information bis zur ausdrücklichen Freigabe durch die jeweils andere Partei vertraulich zu behandeln.
Sollten einzelne Bestimmungen dieses Vertrages unerfüllbar, ungültig oder unwirksam sein, so berührt dies die Erfüllbarkeit, Gültigkeit oder Wirksamkeit der übrigen Bestimmungen nicht und die Parteien ersetzen die einzelne Bestimmung mit einer erfüllbaren, gültigen oder wirksamen Bestimmung, die dem angestrebten datenschutzrechtlichen Ergebnis der einzelnen Bestimmung möglichst nahekommt.
Für diesen Vertrag gilt ausschliesslich schweizerisches Recht. Das Kollisionsrecht und das UN-Kaufrecht sind ausgeschlossen. Ausschliesslicher Gerichtsstand ist der Sitz der Auftragnehmerin.
Technische und organisatorische Massnahmen (siehe separate Dokumentation).
Unterauftragsverarbeiter (siehe separate Liste).