Der Auftragnehmer verarbeitet die Daten des Auftraggebers im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt verantwortliche Stelle im Sinne des Datenschutzrechts.

Die Verarbeitung der Daten des Auftraggebers durch den Auftragnehmer erfolgt in der Art, im Umfang und zu den Zwecken, die in Anlage 1 zu diesem Vertrag festgelegt sind; die Verarbeitung betrifft die dort bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

Der Auftragnehmer ist berechtigt, die Auftraggeberdaten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner Betroffener nicht mehr möglich ist, und in dieser Form zum Zwecke der bedarfsgerechten Gestaltung, Weiterentwicklung und Optimierung sowie zur Erbringung des nach dem Hauptvertrag vereinbarten Dienstes zu verwenden. Die Parteien sind sich darüber einig, dass in vorgenannter Weise anonymisierte oder aggregierte Auftraggeberdaten nicht mehr als Auftraggeberdaten im Sinne dieses Vertrages gelten.

Der Auftragnehmer darf Daten des Auftraggebers im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke in eigener Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen dies erlaubt. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.

Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt grundsätzlich innerhalb der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum (EWR). Der Auftragnehmer ist jedoch berechtigt, Auftraggeberdaten unter Einhaltung der Bestimmungen dieses Vertrages auch ausserhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44-48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

Der Auftragnehmer verarbeitet die Daten des Auftraggebers gemäss den Anweisungen des Auftraggebers, es sei denn, der Auftragnehmer ist gesetzlich zu einer anderen Verarbeitung verpflichtet. In letzterem Fall wird der Auftragnehmer den Auftraggeber vor der Verarbeitung über diese gesetzlichen Anforderungen informieren, es sei denn, das betreffende Gesetz verbietet eine solche Information aufgrund eines wichtigen öffentlichen Interesses. Es wird darauf hingewiesen, dass auf Seiten des Auftraggebers neben dem Inhaber oder dem gesetzlichen Vertreter auch der Datenschutzbeauftragte, sofern ein solcher bestellt ist, weisungsbefugt ist.

Die Weisungen des Auftraggebers sind grundsätzlich in den Bestimmungen dieses Vertrages abschliessend festgelegt und dokumentiert. Einzelanweisungen, die von den Festlegungen dieses Vertrages abweichen oder zusätzliche Anforderungen stellen, bedürfen der vorherigen Zustimmung des Auftragnehmers und erfolgen nach dem im Hauptvertrag festgelegten Änderungsverfahren, in dem die Anweisung zu dokumentieren und die Übernahme der dem Auftragnehmer hierdurch entstehenden Mehrkosten durch den Auftraggeber zu regeln ist.

Der Auftragnehmer gewährleistet, dass er die Daten des Auftraggebers gemäss den Weisungen des Auftraggebers verarbeitet. Verstösst eine Weisung des Auftraggebers nach Auffassung des Auftragnehmers gegen diesen Vertrag oder gegen geltendes Datenschutzrecht, so ist der Auftragnehmer nach vorheriger Unterrichtung des Auftraggebers berechtigt, die Ausführung der Weisung bis zur Bestätigung der Weisung durch den Auftraggeber auszusetzen. Die Parteien sind sich darüber einig, dass die alleinige Verantwortung für die weisungsgemässe Verarbeitung der Auftraggeberdaten beim Auftraggeber liegt.

Der Auftraggeber trägt die alleinige Verantwortung für die Rechtmässigkeit der Verarbeitung der Auftraggeberdaten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien. Sollten Dritte wegen der Verarbeitung von Auftraggeberdaten im Rahmen dieses Vertrages Ansprüche gegen den Auftragnehmer geltend machen, wird der Auftraggeber den Auftragnehmer auf erstes Anfordern von diesen Ansprüchen freistellen.

Der Auftraggeber ist verpflichtet, dem Auftragnehmer die Auftraggeberdaten rechtzeitig für die Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und ist für die Qualität der Auftraggeberdaten verantwortlich. Der Auftraggeber ist verpflichtet, den Auftragnehmer unverzüglich und umfassend zu informieren, wenn er bei der Überprüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmässigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen oder seiner Weisungen feststellt.

Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.

Ist der Auftragnehmer gegenüber einer Behörde oder Person verpflichtet, Auskunft über die Verarbeitung von Daten des Auftraggebers zu erteilen oder sonst mit ihr zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung der Auskunft oder der Erfüllung der sonstigen Mitwirkungspflichten zu unterstützen.

Der Auftragnehmer hat alle Personen, die Auftraggeberdaten verarbeiten, bezüglich der Verarbeitung von Auftraggeberdaten zur Vertraulichkeit zu verpflichten.

Der Auftragnehmer trifft gem. Art. 32 DSGVO die erforderlichen und geeigneten technischen und organisatorischen Massnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeberdaten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau der Auftraggeberdaten zu gewährleisten.

Der Auftragnehmer ist berechtigt, die technischen und organisatorischen Massnahmen während der Vertragslaufzeit zu ändern oder anzupassen, sofern sie weiterhin den gesetzlichen Anforderungen entsprechen.

Der Auftraggeber erteilt dem Auftragnehmer hiermit die generelle Erlaubnis, weitere Unterauftragnehmer mit der Verarbeitung von Auftraggeberdaten zu beauftragen. Nicht genehmigungspflichtig sind in der Regel Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder sonstige Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeberdaten nicht ausgeschlossen werden kann, sofern der Auftragnehmer geeignete Vorkehrungen zum Schutz der Vertraulichkeit der Auftraggeberdaten trifft.

Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch weiterer Unterauftragnehmer informieren. Der Auftraggeber hat das Recht, im Einzelfall der Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu widersprechen. Der Auftraggeber kann der Beauftragung nur aus wichtigem Grund, der dem Auftragnehmer nachzuweisen ist, widersprechen. Sofern der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Mitteilung widerspricht, erlischt sein Widerspruchsrecht für den betreffenden Auftrag. Widerspricht der Auftraggeber, so ist der Auftragnehmer berechtigt, den Hauptauftrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.

Der Vertrag zwischen dem Auftragnehmer und dem Unterauftragsverarbeiter muss dem Unterauftragsverarbeiter die gleichen Pflichten auferlegen, die dem Auftragnehmer durch diesen Vertrag auferlegt werden. Die Parteien sind sich darüber einig, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag gleichwertiges Schutzniveau vorsieht oder wenn dem Unterauftragsverarbeiter die in Art. 28 Abs. 3 DSGVO genannten Pflichten auferlegt werden.

Unter den Voraussetzungen der Ziffer 2.5 dieses Vertrages gelten die Regelungen dieser Ziffer 7 auch bei Einschaltung eines weiteren Auftragsverarbeiters in einem Drittland. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, im Namen des Auftraggebers mit einem weiteren Auftragsverarbeiter einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittstaaten vom 5.2.2010 abzuschliessen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen des Art. 49 DSGVO im erforderlichen Umfang mitzuwirken.

Die Datenbearbeitungen erfolgen primär am Standort des Auftragnehmers in der Schweiz. Durch die Zusammenarbeit mit Sub-Auftragsbearbeitern oder Mitarbeitenden im Nearshoring können Daten auch von diesen und auch ausserhalb der Schweiz bearbeitet werden. Werden Datenbearbeitungen im Ausland durchgeführt, so erfolgt dies auf der Grundlage des Angemessenheitsbeschlusses gemäss Anhang zur Datenschutzverordnung (DSV), auf der Grundlage der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) genehmigten Standarddatenschutzklauseln (EU-SCC) oder auf der Grundlage verbindlicher interner Datenschutzvorschriften.

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren durch technische und organisatorische Massnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Ausübung der Rechte betroffener Personen.

Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer stellt, leitet der Auftragnehmer diesen Antrag unverzüglich an den Auftraggeber weiter.

Der Auftragnehmer wird dem Auftraggeber Auskunft über die gespeicherten Daten des Auftraggebers, die Empfänger, an die der Auftragnehmer die Daten des Auftraggebers auftragsgemäss übermittelt, und den Zweck der Speicherung erteilen, soweit der Auftraggeber diese Angaben nicht selbst besitzt oder sich verschaffen kann.

Der Auftragnehmer wird dem Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch nachweislich entstehenden Aufwendungen und Kosten die Berichtigung, Löschung oder Einschränkung der weiteren Verarbeitung der Auftraggeberdaten ermöglichen oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit dies dem Auftraggeber selbst nicht möglich ist.

Soweit der betroffenen Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit in Bezug auf die Auftraggeberdaten gem. Art. 20 DSGVO zusteht, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden und nachzuweisenden Aufwendungen und Kosten bei der Bereitstellung der Auftraggeberdaten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber die Daten nicht anderweitig beschaffen kann.

Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes der Daten des Auftraggebers trifft (insbesondere gem. Art. 33, 34 DSGVO), wird der Auftragnehmer den Auftraggeber unverzüglich über etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber auf dessen Verlangen bei der Erfüllung der Melde- und Benachrichtigungspflichten im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachgewiesenen Aufwendungen und Kosten unterstützen.

Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch nachweislich entstehenden Aufwendungen und Kosten bei etwaigen vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich ggf. anschliessenden Konsultationen mit den Aufsichtsbehörden gem. Art. 35, 36 DSGVO unterstützen.

Der Auftragnehmer wird die Daten des Auftraggebers nach Beendigung dieses Vertrages löschen, es sei denn, es besteht eine gesetzliche Verpflichtung des Auftragnehmers zur weiteren Aufbewahrung der Daten des Auftraggebers.

Unterlagen, die dem Nachweis der auftragsgemässen und ordnungsgemässen Verarbeitung der Daten des Auftraggebers dienen, dürfen vom Auftragnehmer auch nach Beendigung des Vertrages aufbewahrt werden.

Der Auftragnehmer wird dem Auftraggeber auf Verlangen alle Informationen zur Verfügung stellen, die zum Nachweis der Erfüllung seiner Pflichten nach diesem Vertrag erforderlich sind und ihm zur Verfügung stehen.

Der Auftraggeber ist berechtigt, den Auftragnehmer hinsichtlich der Einhaltung der Bestimmungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Massnahmen, zu überprüfen, auch durch Inspektionen.

Zur Durchführung von Prüfungen gemäss Ziffer 11.2 hat der Auftraggeber das Recht, nach rechtzeitiger Anmeldung gemäss Ziffer 11.5 auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung der Betriebs- und Geschäftsgeheimnisse des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen Daten des Auftraggebers verarbeitet werden, während der üblichen Geschäftszeiten (montags bis freitags von 10:00 Uhr bis 18:00 Uhr) zu betreten.

Der Auftragnehmer ist berechtigt, nach eigenem Ermessen und unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht offen zu legen, die in Bezug auf die Geschäftstätigkeit des Auftragnehmers sensibel sind oder deren Offenlegung den Auftragnehmer in die Lage versetzen würde, gegen gesetzliche oder andere vertragliche Bestimmungen zu verstossen. Der Auftraggeber hat kein Recht auf Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, Kosteninformationen, Qualitätskontroll- und Vertragsmanagementberichten oder anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar für die vereinbarten Prüfungszwecke relevant sind.

Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle Umstände zu unterrichten, die für die Durchführung der Prüfung von Bedeutung sind. Der Auftraggeber ist berechtigt, eine Überprüfung pro Kalenderjahr durchzuführen. Weitere Überprüfungen erfolgen gegen Kostenerstattung und nach Absprache mit dem Auftragnehmer.

Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Prüfung, so hat der Auftraggeber den Dritten schriftlich in gleicher Weise zu verpflichten, wie sich der Auftraggeber gegenüber dem Auftragnehmer aus dieser Ziffer 11 dieses Vertrages verpflichtet. Darüber hinaus hat der Auftraggeber den Dritten zur Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, der Dritte unterliegt einer beruflichen Verschwiegenheitspflicht. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die mit dem Dritten getroffenen Verpflichtungsvereinbarungen unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Prüfung beauftragen.

Der Nachweis der Einhaltung der Pflichten nach diesem Vertrag kann nach Wahl des Auftragnehmers statt durch eine Inspektion auch durch Vorlage eines geeigneten aktuellen Testats oder Berichts einer unabhängigen Stelle (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutz- oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit - z.B. nach BSI-Grundschutz - („Auditbericht“) erbracht werden, wenn der Auditbericht dem Auftraggeber in geeigneter Weise ermöglicht, sich von der Einhaltung der vertraglichen Pflichten zu überzeugen.

Laufzeit und Kündigung dieses Vertrages richten sich nach den Bestimmungen über Laufzeit und Kündigung des Hauptvertrages. Eine Kündigung des Hauptvertrages hat automatisch auch die Kündigung dieses Vertrages zur Folge. Eine isolierte Kündigung dieses Vertrages ist ausgeschlossen.

Für die Haftung des Auftragnehmers nach diesem Vertrag gelten die Haftungsausschlüsse und -beschränkungen des Hauptvertrages. Soweit Dritte Ansprüche gegen den Auftragnehmer geltend machen, die ihre Ursache in einer schuldhaften Verletzung dieses Vertrages oder einer seiner Pflichten als datenschutzrechtlich Verantwortlicher durch den Auftraggeber haben, stellt der Auftraggeber den Auftragnehmer von diesen Ansprüchen auf erstes Anfordern frei.

Der Auftraggeber verpflichtet sich, den Auftragnehmer auf erstes Anfordern auch von etwaigen Bussgeldern freizustellen, die gegen den Auftragnehmer in dem Umfang verhängt werden, in dem den Auftraggeber ein Mitverschulden an dem mit dem Bussgeld geahndeten Verstoss trifft.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung unter Beachtung der Anforderungen des Art. 28 DSGVO am nächsten kommt.

Im Falle von Widersprüchen zwischen diesem Vertrag und anderen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrages vor.