Auftragsverarbeitung
1. Begriffsdefinitionen
Geltende Datenschutzgesetze meint die Verordnung (EU) 2016|679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden DSGVO), das Schweizer Bundesgesetz über den Datenschutz (DSG), die Schweizer Verordnung zum Bundesgesetz über den Datenschutz (DSV) sowie gegebenenfalls sonstige anwendbare Datenschutzerlasse.
Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.
Auftragsverarbeiter ist die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (nachfolgend betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
APPAGIC Tools: Unter APPAGIC Tools sind diverse Tools zu verstehen, welche Hofmänner New Media GmbH Kunden als Standardsoftware zur Verfügung steht. Die aktuelle Liste kann unter www.appagic.com abgerufen werden.
2. Geltungsbereich und Gegenstand
2.1 Geltungsbereich
Der vorliegende Vertrag gilt für jede Form der Verarbeitung personenbezogener Daten für den Auftraggeber durch den Auftragnehmer, insbesondere für alle Tools, welche über www.appagic.com verwaltet werden.
2.2 Gegenstand, Dauer, Art und Zweck
Gegenstand und Dauer sowie Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag.
2.3 Art personenbezogener Daten/Kategorien betroffener Personen
Es gilt grundsätzlich die Auftragsspezifizierung des Hauptvertrages. Wo dieser nichts explizit erwähnt gelten folgende Punkte.
2.3.1 Gegenstand, Art und Zweck der Verarbeitung
Der Auftragnehmer stellt dem Auftraggeber Plattformen zur Verfügung, welche die Organisation und Durchführung von Events und allgemeine organisatorische oder administrativen Aufgaben einer Organisation durch Digitalisierung erleichtern.
2.3.2 Dauer der Verarbeitung
Die persönlich identifizierbaren Daten werden so lange im System behalten, bis die Datensubjekte vom Datenverantwortlichen gelöscht werden oder die Nutzung der Tools abgekündigt wird.
2.3.3 Kategorien der betroffenen Personen / Art der personenbezogenen Daten
Zur Erfüllung der Aufgaben werden folgende Datenkategorien verarbeitet:
- Kontaktperson des Auftraggebers: Kontaktdaten (Name, Telefon, E-Mail) der verantwortlichen Kontaktperson des Auftraggebers. Je nach Zahlungsart evtl. auch Kreditkartennummern.
- Benutzer des Systems (Administratoren): von Systembenutzer werden Name, Telefon, E-Mail und Bild erfasst.
- Datensubjekte (Personen, welche in Verbindung mit dem Zweck der Plattformen, mit dem Auftraggeber in Verbindung stehen): Kontaktinformationen (Name, Vorname, E-Mail-Adressen, Telefonnummer, Geburtsdatum, Geschlecht, Adresse und weitere vom Datenverantwortlichen frei definierbare Informationen) von Personen welche in Verbindung mit dem Verwendungszweck der Plattformen im System erfasst werden.
3. Pflichten des Auftragnehmers
3.1 Weisungsgemässe Verarbeitung
Der Auftragnehmer verpflichtet sich, die Daten ausschliesslich für die Zwecke des Hauptvertrags einschliesslich dieses Vertrags sowie gemäss den dokumentierten Instruktionen/Weisungen des Auftraggebers zu verarbeiten. Dies gilt insbesondere auch bezüglich der Übermittlung der Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union, der Mitgliedstaaten oder eines Nicht-EU-Mitgliedstaats, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit. Der Auftragnehmer ist bezüglich der zu bearbeitenden Daten für die Einhaltung der für ihn geltenden Datenschutzgesetze selbst verantwortlich.
Der Auftraggeber kann jederzeit neue Instruktionen erlassen, ergänzen oder bestehende Instruktionen ändern. Dies umfasst auch Instruktionen im Hinblick auf die Berichtigung, Löschung und Sperrung personenbezogener Daten. Alle erteilten Instruktionen sind sowohl vom Auftraggeber als auch vom Auftragnehmer schriftlich zu dokumentieren.
Ist der Auftragnehmer der Ansicht, dass eine Instruktion des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstösst, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Instruktion ablehnen.
Im Übrigen bleiben die Pflichten, die dem Auftragnehmer direkt aus den geltenden Datenschutzgesetzen entstehen, wie beispielsweise die Erstellung eines Verzeichnisses der vorliegenden Auftragsverarbeitung, erhalten und von diesem Vertrag unberührt.
3.2 Pflicht zur Verschwiegenheit
Der Auftragnehmer verpflichtet sich und leistet Gewähr dafür, dass er alle mit der Datenverarbeitung betrauten Personen, einschliesslich Erfüllungsgehilfen, vor Aufnahme der Tätigkeit zur Vertraulichkeit in schriftlicher Form verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen, und dass die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung betrauten Personen auch nach Beendigung ihrer Tätigkeit beim Auftragnehmer bestehen bleibt. Der Auftragnehmer haftet für ein etwaiges Zuwiderhandeln der mit der Datenverarbeitung betrauten Personen, einschliesslich Erfüllungsgehilfen, wie für sein eigenes Verhalten.
3.3 Schutzmassnahmen des Auftragnehmers
Der Auftragnehmer verpflichtet sich und leistet Gewähr dafür, dass er alle erforderlichen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung ergriffen hat und aufrechterhält, um eine unbefugte Verarbeitung, einen Verlust oder eine Beschädigung personenbezogener Daten zu verhindern. Dies beinhaltet insbesondere die Mindestvorkehrungen, welche in den Technischen und Organisatorischen Massnahmen beschrieben sind.
3.4 Unterstützungspflichten
Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Verlangen bei der Einhaltung der geltenden Datenschutzgesetze jederzeit und soweit möglich zu unterstützen.
3.4.1 Anträge und Rechte betroffener Personen
Der Auftragnehmer verpflichtet sich, den Auftraggeber mit geeigneten technischen und organisatorischen Massnahmen zu unterstützen, damit der Auftraggeber seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den geltenden Datenschutzgesetzen genannten Rechte der betroffenen Personen (insbesondere Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit nachkommen kann, und überlässt dem Auftraggeber alle dafür notwendigen und ihm zur Verfügung stehenden Informationen.
Wird ein entsprechender Antrag an den Auftragnehmer gerichtet, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer muss die Beantwortung solcher Anträge dem Auftraggeber überlassen, es sei denn, er ist gesetzlich dazu verpflichtet. In jedem Fall vereinbaren die Parteien, die Beantwortung solcher Anträge gegenseitig abzusprechen.
3.4.2 Weitere Informations- und Unterstützungspflicht
Der Auftragnehmer verpflichtet sich, den Auftraggeber unter Berücksichtigung der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den geltenden Datenschutzgesetzen genannten Pflichten zu unterstützen (Datensicherheitsmassnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgenabschätzung und vorherige Konsultation).
Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu benachrichtigen im Falle (i) eines etwaigen tatsächlichen oder mutmasslichen Datenschutzverstosses (dies gilt auch für Verstösse gegen den Hauptvertrag einschliesslich dieses Vertrags sowie etwaige sonstige Datenschutzverstösse gemäss geltenden Datenschutzgesetzen) unter Angabe sämtlicher dem Auftragnehmer zur Verfügung stehenden Informationen etwaiger tatsächlicher oder drohender Beeinträchtigungen oder Mängel aufseiten des Auftragnehmers, die einer Einhaltung der Bestimmungen des Hauptvertrags einschliesslich dieses Vertrags entgegenstehen, (iii) des Vorliegens etwaiger Anträge auf Zugang sowie des tatsächlich erfolgten Zugangs zu personenbezogenen Daten durch Behörden, sofern diese Benachrichtigung nicht per Gesetz aus wichtigen Gründen des öffentlichen Interesses verboten ist.
3.5 Rückgabe oder Löschungspflicht bei Vertragsbeendigung
Der Auftragnehmer verpflichtet sich, nach Beendigung des Hauptvertrags einschliesslich dieses Vertrags oder auf Verlangen des Auftraggebers sämtliche personenbezogenen Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten innerhalb der EU/EWR oder der Schweiz, an den Auftraggeber nach seiner Wahl zurückzugeben oder zu löschen, ohne eine Kopie aufzubewahren, und die Löschung gegenüber dem Auftraggeber entsprechend zu bestätigen.
3.6 Kontrollrechte des Auftraggebers
Der Auftragnehmer verpflichtet sich, dem Auftraggeber sämtliche Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung dieses Vertrags durch den Auftragnehmer nachzuweisen und Überprüfungen, einschliesslich Inspektionen, durch den Auftraggeber selbst, einen vom Auftraggeber beauftragten Prüfer oder durch die Aufsichtsbehörde zu ermöglichen und aktiv zu unterstützen. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen im Geschäftsbetrieb zu erfolgen.
4. Pflichten des Auftraggebers
Der Auftraggeber verpflichtet sich, nur Personen Daten in die Systeme des Auftragnehmers zu importieren, für welche er ausdrücklich berechtigt ist, diese zu verarbeiten und zu nutzen. Der Auftragnehmer stellt sicher, dass sämtliche Benutzer des Systems des Auftraggebers vollständig instruiert und geschult sind.
Beauftragt der Auftraggeber den Auftragnehmer Personen Daten in die Systeme zu importieren, hat er zuvor sichergestellt, dass die Personen Daten in die Systeme des Auftragnehmers importiert werden dürfen.
5. Ort der Durchführung der Datenverarbeitung
Die Datenverarbeitungen werden an den Standorten des Auftragnehmers und seinen Unterlieferanten durchgeführt.
Der Auftragnehmer verpflichtet sich, keine personenbezogenen Daten, auch nicht teilweise, ohne vorgängige schriftliche Zustimmung des Auftraggebers an ein Drittland zu übermitteln.
Werden die Datenverarbeitungstätigkeiten, wenn auch nur teilweise, auch ausserhalb der Schweiz oder der EU durchgeführt, muss vorgängig ein angemessenes Datenschutzniveau mittels geeigneter Garantien sichergestellt werden.
Die angewendeten geeigneten Garantien für eine Datenübermittlung sind im Verzeichnis der Unterauftragsverarbeitern referenziert.
6. Einsatz von Unterauftragsverarbeitern
Der Auftragnehmer ist berechtigt, einen Unterauftragsverarbeiter heranzuziehen, wenn er vorgängig den Auftraggeber informiert.
Für APPAGIC Tools ist der Auftragnehmer befugt, die auf der Webseite (https://www.appagic.com/de/unterauftragsverarbeiter) aufgeführten Unternehmen als Unterauftragsverarbeiter heranzuziehen. Für Projekte welche nicht APPAGIC betreffen, erstellt der Auftragnehmer zusammen mit dem Auftraggeber eine entsprechende Liste.
Beabsichtigte Änderungen des Unterauftragsverarbeiters sind dem Auftraggeber rechtzeitig schriftlich bekannt zu geben, sodass er gegebenenfalls kündigen kann. Der Auftragnehmer schliesst die erforderlichen schriftlichen Vereinbarungen zur Vertraulichkeit und zum Datenschutz mit dem Unterauftragsverarbeiter ab, welche mindestens so streng wie die Bestimmungen des Hauptvertrags einschliesslich dieses Vertrags sein müssen. Dabei hat der Auftragnehmer insbesondere sicherzustellen, dass der Unterauftragsverarbeiter dieselben Verpflichtungen eingeht und insbesondere auch die technischen und organisatorischen Massnahmen trifft, die dem Auftragnehmer aufgrund dieses Vertrags obliegen.
Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters wie für sein eigenes Verhalten.
Der Auftragnehmer haftet nicht für Tools, welche vom Auftraggeber selbständig oder im ausdrücklichen Auftrag eingebunden werden. In diesem Falle ist der Auftragnehmer verantwortlich, dass sämtliche Datenschutz Richtlinien eingehalten werden.
7. Ausführung zusätzlicher Vereinbarungen
Der Auftragnehmer stimmt zu, auf Verlangen des Auftraggebers im Rahmen der bestehenden Verträge weiterführende Vereinbarungen mit dem Auftraggeber zur Verarbeitung personenbezogener Daten abzuschliessen, sofern der Auftraggeber dies nach vernünftigem Ermessen für die Einhaltung des geltenden Datenschutzrechts als erforderlich erachtet.
8. Ausserordentliches Kündigungsrecht
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoss des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrags vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will, der Auftragnehmer mit einem neuen Unterauftragsverarbeiter nicht einverstanden ist oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Dabei stellen insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten Pflichten einen schweren Verstoss dar.
9. Bezug zu bestehenden Verträgen
- Steht eine in diesem Vertrag enthaltene Bestimmung im Widerspruch zum Hauptvertrag, gilt die im vorliegenden Vertrag enthaltene Bestimmung als massgeblich.
- Die Bestimmungen des vorliegenden Vertrags haben auch nach Beendigung des Hauptvertrags weiterhin Bestand, solange der Auftragnehmer im Besitz personenbezogener Daten des Auftraggebers ist.
10. Schlussbestimmungen
Änderungen und Ergänzungen dieses Vertrags können einseitig durch den Auftraggeber vorgenommen werden. Anpassungen bedürfen der Schriftform und müssen dem Auftraggeber 30 Tage vor in Kraft treten kommuniziert werden. Ist der Auftraggeber mit Anpassungen oder Änderungen nicht einverstanden, darf er den Hauptvertrag ausserordentlich und mit sofortiger Wirkung bis 30 Tage nach in Kraft treten der Anpassungen kündigen.
Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise ungültig sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien vereinbaren, die unwirksame Bestimmung durch eine wirksame Bestimmung zu ersetzen, welche dem wirtschaftlichen Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt.
Dieser Vertrag untersteht Schweizer Recht unter Ausschluss des Internationalen Privatrechts (IPRG). Ausschliesslicher Gerichtsstand für Streitigkeiten aus diesem Vertrag oder im Zusammenhang mit der Auslegung und Anwendung des vorliegenden Vertrags sind die Gerichte der Stadt Winterthur, Schweiz.
Version vom 01.01.2024