Vereinbarung zur Auftragsverarbeitung

Vereinbarung 

zwischen dem Kunden (nachfolgend „Auftraggeber“ genannt) 

und

IBV Informatik, Beratungs und Vertriebs AG, Stallikerstrasse 1a, 8906 Bonstetten, Schweiz

(nachfolgend „Auftragnehmer“ genannt)

über die Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO).  

Präambel

Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der in den AGB und Datenschutzerklärung von Collaboard in Ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten („Daten“) des Auftraggebers verarbeiten.

1.     Gegenstand und Dauer des Auftrages

(1)   Aus den AGB und Datenschutzerklärung ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung.

(2)   Insbesondere werden folgende Kategorien der personenbezogenen Daten verarbeitet: 

•       Kontaktdaten von Nutzern (Profilbild, Name, Vorname, E-Mail-Adresse und ähnliche);

•       Vertragsdaten von Nutzern (Abonnement-Information, Datum des Vertragsabschlusses, etc.);

•       Zahlungsdaten;

•       Nutzungsverhaltensdaten (Änderungshistorie an Projekten, Zeit der Nutzung, etc.);

•       Identifikationsdaten (Cookies, Login-Daten, IP-Adresse und ähnliche);

•       Daten, die in digitalen Projekten der Nutzer auf der Collaboard-Plattform gespeichert sind.

(3)   Die personenbezogenen Daten werden erhoben und verwendet, um die Dienste im Rahmen der Registrierung, Anmeldung und Nutzung von Collaboard anzubieten und zu verbessern. Ausserdem werden die personenbezogenen Daten für die Kommunikation mit Benutzern und Statistiken verwendet.

(4)   Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüber hinausgehende Verpflichtungen ergeben.

2.     Anwendungsbereich und Verantwortlichkeit 

(1)   Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind.

3.     Verantwortlichkeit und Weisungsrecht

(1)   Der Auftragnehmer ist als Verantwortlicher gem. Art. 4 Nr.7 DSGVO für die Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere für die Auswahl des Unterauftragnehmers, die an diesen übermittelten Daten sowie erteilte Weisungen verantwortlich. 

(2)   Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten (was besonders auch für deren Berichtigung, Löschung oder Einschränkung der Verarbeitung gilt) und nur insoweit die Verarbeitung hierzu erforderlich ist, ausser wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder Mittgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 

(3)   Die Vertragsparteien können zum Erteilen und Empfangen von Weisungen berechtigte Personen benennen (insbesondere, wenn diese sich nicht bereits aus dem Hauptvertrag ergeben) und sind verpflichtet deren Änderung unverzüglich mitzuteilen.

4.     Sicherheitskonzept und diesbezügliche Pflichten

(1)   Der Auftragnehmer wird die innerbetriebliche Organisation in seinem Verantwortungsbereich entsprechend den gesetzlichen Anforderungen gestalten und insbesondere technische und organisatorische Massnahmen (nachfolgend bezeichnet als „TOMs“) zur angemessenen Sicherung, insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit von Daten des Auftraggebers, unter Beachtung des Stand der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen treffen sowie deren Aufrechterhaltung sicherstellen.

(2)   Der Auftragnehmer stellt sicher, dass die zur Verarbeitung der Daten des Auftraggebers befugten Personen auf Vertraulichkeit und Verschwiegenheit verpflichtet und in die Schutzbestimmungen der DSGVO eingewiesen worden sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3)   Die im Rahmen des Vertrages überlassenen Daten sowie Datenträger und sämtliche hiervon gefertigten Kopien verbleiben im Eigentum des Auftraggebers, sind durch den Auftragnehmer sorgfältig zu verwahren, vor Zugang durch unberechtigte Dritte zu schützen und dürfen nur mit Zustimmung des Auftraggebers, und dann nur datenschutzgerecht, vernichtet werden. Kopien von Daten dürfen nur erstellt werden, wenn sie zur Erfüllung der Leistungshaupt- und Nebenpflichten des Auftragnehmers gegenüber dem Auftragnehmer erforderlich sind (z.B. Backups).

5.     Informationspflichten und Mitwirkungspflichten

(1)   Betroffenenrechte sind gegenüber dem Auftraggeber wahrzunehmen, wobei der Auftragnehmer den Auftraggeber hierbei gemäss Art. 28 Abs. 3 S. 2 lit. e DSGVO unterstützt und ihn insbesondere über die bei ihm eingehenden Anfragen Betroffener informiert. 

(2)   Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung der Daten Fehler oder Unregelmäßigkeiten im Hinblick auf die Einhaltung der Bestimmungen dieses Vertrages oder einschlägiger Datenschutzvorschriften feststellt.

(3)   Für den Fall, dass der Auftragnehmer Tatsachen feststellt, welche die Annahme begründen, dass der Schutz der für den Auftraggeber verarbeiteten Daten verletzt worden ist, hat der Auftragnehmer den Auftraggeber unverzüglich und vollständig zu informieren, unverzüglich erforderliche Schutzmaßnahmen zu ergreifen, und bei der Erfüllung der dem Auftraggeber obliegenden Pflichten gem. Art. 33 und 34 DSGVO zu unterstützen.

(4)   Sollte die Sicherheit der Daten des Auftraggebers durch Maßnahmen Dritter (z.B. Gläubiger, Behörden, Gerichte, etc.) gefährdet sein (Pfändung, Beschlagnahme, Insolvenzverfahren, etc.) wird der Auftragnehmer die Dritten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei dem Auftraggeber liegen und nach Rücksprache mit dem Auftraggeber, sofern erforderlich, entsprechende Schutzmaßnahmen ergreifen (z.B. Widersprüche, Anträge, etc. stellen).

(5)   Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde gegenüber dem Auftragnehmer tätig wird und deren Tätigkeit die für den Auftragnehmer verarbeiteten Daten betreffen kann. Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung seiner Pflichten (insbesondere zur Auskunfts- und Duldung von Kontrollen) gegenüber Aufsichtsbehörden (Art. 31 DSGVO).

(6)   Der Auftragnehmer stellt dem Auftraggeber Informationen betreffend der Verarbeitung von Daten im Rahmen dieses Vertrages, die für dessen Erfüllung von gesetzlichen Pflichten (zu denen insbesondere Anfragen Betroffener oder Behörden und die Einhaltung seiner Rechenschaftspflichten gem. Art. 5 Abs. 2 DSGVO, als auch die Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO gehören können) notwendig sind, zur Verfügung, sofern der Auftraggeber diese Informationen nicht selbst beschaffen kann. Die Informationen müssen dem Auftragnehmer zur Verfügung stehen und müssen nicht von Dritten beschafft werden, wobei Mitarbeiter, Beauftragte und Subunternehmer des Auftraggebers nicht als Dritte gelten.

(7)   Gehen die Zurverfügungstellung der notwendigen Informationen und die Mitwirkung über die Leistungspflicht des Auftragnehmers nach dem Hauptvertrag hinaus und beruht nicht auf einem Fehlverhalten des Auftragnehmers, hat der Auftraggeber dem Auftragnehmer den dadurch entstehenden Mehraufwand gesondert zu vergüten.

6.     Unterauftragsverhältnisse

(1)   Nimmt der Auftragnehmer die Dienste eines Unterauftragsverarbeiters (d.h. Unterauftragnehmer oder Subunternehmer) in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, dann muss er dem Unterauftragsverarbeiter im Wege eines Vertrages oder eines nach der DSGVO zulässigen anderen Rechtsinstruments dieselben Datenschutzpflichten, zu denen sich der Auftragnehmer in diesem Vertrag verpflichtet hat, auferlegen insbesondere im Hinblick auf die Befolgung von Weisungen, Einhaltung der TOMs, Erteilung von Informationen und Duldung von Kontrollen). Ferner hat der Auftragnehmer den Unterauftragsverarbeiter sorgfältig auszuwählen, auf dessen Zuverlässigkeit zu prüfen und diese, als auch dessen Einhaltung der vertraglichen und gesetzlichen Vorgaben zu überwachen. Der Auftraggeber erklärt sich unbeschadet etwaiger Einschränkungen durch den Hauptvertrag ausdrücklich damit einverstanden, dass der Auftragnehmer im Rahmen der Auftragsverarbeitung Unterauftragsverarbeiter einsetzen darf. Die bereits zum Abschluss dieses Vertrages bestehenden Unterauftragsverhältnisse gelten vom Auftraggeber als genehmigt.

(2)   Der Auftragnehmer informiert den Auftraggeber im Hinblick auf Änderungen bei den Unterauftragsverarbeitern, die für die Auftragsverarbeitung maßgeblich sind. Der Auftraggeber macht von seinem Recht auf Einspruch im Hinblick auf die Änderungen oder neue Unterauftragsverarbeiter nur unter Beachtung der Grundsätze von Treu und Glauben sowie der Angemessenheit und Billigkeit Gebrauch.

(3)   Vertragsverhältnisse, bei denen der Auftragnehmer die Leistungen Dritter als reine Nebenleistung in Anspruch nimmt, um seine geschäftliche Tätigkeit auszuüben (z.B. Reinigungs-, Bewachungs- oder Transportleistungen) stellen keine Unterauftragsverarbeitung im Sinne der vorstehenden Regelungen dieses Vertrages dar. Gleichwohl hat der Auftragsverarbeiter sicher zu stellen, z.B. durch vertragliche Vereinbarungen oder Hinweise und Instruktionen, dass hierbei die Sicherheit der Daten nicht gefährdet wird und die Vorgaben dieses Vertrages und der Datenschutzvorschriften eingehalten werden. 

(4)   Der Auftragnehmer hat das Recht, die Einhaltung der gesetzlichen Vorgaben und der Regelungen dieses Vertrages, insbesondere der TOMs beim Unterauftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.

7.     Verarbeitung in Drittländern

(1)   Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschliesslich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder in der Schweiz statt.

(2)   Die Auftragsverarbeitung in einem Drittland, auch durch Unterauftragsverarbeiter, bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, ausser wenn der Auftragnehmer zu der Verarbeitung im Drittland durch das Recht der Union oder Mitgliedsstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist.

(3)   Das angemessene Schutzniveau in einem Drittland wird in dem Fall durch einen Angemessenheitsbeschluss der Kommission gemäss Art. 45 Abs. 3 DSGVO festgestellt oder durch Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c,d DSGVO hergestellt. 

8.     Berichtigung, Einschränkung und Löschung der Daten

(1)   Die Berichtigung, Löschung oder Einschränkung der Verarbeitung von personenbezogenen Daten bedarf es dokumentierter Weisung des Auftraggebers. 

9.     Haftung

Die Haftung wird gemäss Art. 82 DSGVO bestimmt. 

10.  Technische und organisatorische Massnahmen (TOM)

Die nachfolgenden technischen und organisatorischen Massnahmen (TOM) sind grundliegend für die Datenverarbeitung:

(1)   Zutrittskontrolle: Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, Mindestmassnahmen sind z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen und/oder Videoanlagen;

(2)   Zugangskontrolle: keine unbefugte Systembenutzung, z.B.: (sichere und durchgesetzte) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;

(3)   Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;

(4)   Pseudonymisierung: Die Verarbeitung personenbezogenen Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Massnahmen unterliegen;

(5)   Verschlüsselung;

(6)   Eingabekontrolle: Festlegung, ob und von wem personenbezogene Daten in Datenverarbeitung in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B. Protokollierung, Dokumentenmanagement;

(7)   Weitergabekontrolle: Lesen, Kopieren, Verändern von unbefugten Personen ist bei elektronischer Übertragung oder Transport nicht gestattet, z.B. VPN, elektronische Signatur.

(8)   Verfügbarkeitskontrolle: Massnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind, z.B. Sicherungskopien des Datenbestandes, Backup-Kopien, unterbrechungsfreie Stromversorgung, Virenschutz, Firewall;

(9)   Trennungskontrolle: Massnahmen für die Gewährleistung von getrennter Verarbeitung zu unterschiedlichen Zwecken erhobener Daten;

(10)Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung: datenschutzfreundliche Voreinstellungen, Auftragskontrolle, Datenschutz-Management.

Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es gestattet, alternative adäquate Massnahmen umzusetzen, die das Sicherheitsniveau der bereits vereinbarten Massnahmen nicht unterschreiten. 

11.  Unterauftragnehmer

Unseren Kunden bieten wir unterschiedliche Hosting Optionen an. In der Cloud gibt es ein Globales Hosting, ein Hosting in der Schweiz und ein Hosting in Deutschland

Version 1.3, Bonstetten, den 20. November 2021