Quelle: Schärer Rechtsanwälte
Auftragsverarbeitungsvertrag
zwischen
==NAME, ADRESSE== (nachfolgend "Verantwortlicher"),
und
==NAME, ADRESSE==, (nachfolgend "Dienstleister"),
zusammen "die Parteien".
Präambel
Der Dienstleister erbringt für den Verantwortlichen gestützt auf ein separates Vertragsverhältnis Dienstleistungen ==als Internet Service Provider (ISP) in den Bereichen WebHosting, Mail-Services und DNS-Services==.
Dieser Vertrag ermöglicht es den Parteien, ihren Verpflichtungen nach dem anwendbaren Datenschutzrecht, insbesondere nach Art. 28 DSGVO, nachzukommen, wenn der Dienstleister für den Verantwortlichen Personendaten bearbeitet.
1. Angaben zur Datenverarbeitung und Dauer des Auftrags
Gegenstand der Bearbeitung: ==XY==
Art der Verarbeitung: ==XY==
Zweck der Verarbeitung: ==XY==
Art der Daten: ==XY==
Kategorien der Betroffenen: ==XY==
==Beispiele von Datenarten:
- Personenstammdaten (z.B. Name, Vorname, Adresse, Geburtsdatum)
- Buchhaltungsdaten (inkl. Lohnbuchhaltung)
- Bewerbungsdaten (z.B. Lebenslauf, Ausbildungs-Zertifikate und Motivationsschreiben)
- Kontakt- und Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (z.B. Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
- IT-Nutzungsdaten (z.B. UserID, Passwörter und Rollen)
- Bankdaten (z.B. Kontoverbindung und Kreditkartennummer)==
Die Dauer der Auftragsverarbeitung richtet sich nach der Laufzeit des zugrundeliegen den ==XY-Vertrags vom DATUM== und kann nur mit diesem zusammen ordentlich oder ausserordentlich gekündigt werden.
2. Ort der Datenverarbeitung
Die Verarbeitung der Daten findet ausschliesslich in der Schweiz oder in einem Mitgliedsstaat des Europäischen Wirtschaftraums (EWR) statt (relevant unter anderem: Standort des Servers und Ort, von dem aus ein Datenzugriff möglich ist).
Die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisationen bedarf der vorherigen Zustimmung des Verantwortlichen. Diese darf in jedem Fall nur dann erteilt werden, wenn die besonderen Voraussetzungen der Art. 44 bis 50 DSGVO erfüllt sind.
3. Pflichten des Partners als Auftragsverarbeiter
Der Dienstleister und ihm unterstellte Personen, die Zugang zu den personenbezogenen Daten haben, werden die personenbezogenen Daten ausschliesslich auf Weisung des Verantwortlichen verarbeiten, es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet.
Der Dienstleister hat von den von ihm durchgeführten Verarbeitungstätigkeiten ein Verzeichnis zu führen.
Der Dienstleister führt die Datenverarbeitung mittels geeigneter technischer und organisatorischer Massnahmen gemäss Art. 32 DSGVO durch (vgl. Ziffer 4 hiernach).
Der Dienstleister unterstützt den Verantwortlichen nach Möglichkeit dabei, dass dieser seinen Pflichten hinsichtlich der Rechte der betroffenen Personen gemäss Art. 16 bis 20 DSGVO sowie Art. 32 bis 36 DSGVO nachkommen kann.
Der Dienstleister verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen als die vereinbarten, insbesondere nicht für eigene Zwecke.
Der Dienstleister verpflichtet sich, alle im Rahmen des Vertragsverhältnisses bearbeiteten Personendaten vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des Vertrags bestehen.
4. Datensicherheit
Der Dienstleister hat angemessene technische und organisatorische Massnahmen zu ergreifen und aufrechtzuerhalten, so dass die Bearbeitung den Anforderungen der anwendbaren Datenschutzgesetze (insbesondere Art. 28 DSGVO) entspricht und den Schutz der Rechte der betroffenen Personen gewährleistet.
Die Massnahmen müssen ein Datensicherheitsniveau sicherstellen, das den Risiken für die Rechte und Freiheiten der betroffenen Personen angemessen ist, und Schutz vor versehentlicher oder unrechtmässiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig bearbeitete Personendaten bieten. Unbefugten ist der Zutritt zu Datenbearbeitungsanlagen, mit denen Personendaten bearbeitet werden, zu verwehren (Zutrittskontrolle). Es ist zu verhindern, dass Datenbearbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). Es ist zu gewährleisten, dass die zur Benutzung eines Datenbearbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Personendaten bei der Bearbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle). Es ist zu gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Personendaten vorgesehen ist (Weitergabekontrolle). Es ist sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenbearbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). Es ist zu gewährleisten, dass Personendaten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Es ist auch zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt bearbeitet werden können (Trennungskontrolle).
5. Unterauftragsverarbeiter
Die nachfolgenden Unterauftragsbearbeiter bearbeiten im Auftrag des Dienstleister bereits bei Vertragsabschluss Personendaten, welche dem Dienstleister vom Verantwortlichen zur Bearbeitung zur Verfügung gestellt worden sind, wozu der Verantwortliche hiermit die Zustimmung erteilt: ==NAME, ADRESSE] ODER [Bei Vertragsschluss bestehen keine Unterauftragsbearbeitungsverträge.==
Der Dienstleister informiert den Verantwortlichen schriftlich oder per E-Mail über jeden beabsichtigten Beizug eines zusätzlichen Unterauftragsverarbeiters. Der Verantwortliche hat das Recht, beim Dienstleister gegen einen solchen Beizug innert 10 Kalendertagen schriftlich oder per E-Mail Einspruch zu erheben. Im Falle eines solchen Einspruchs darf der Dienstleister den vorgesehenen Unterauftragsverarbeiter nicht beauftragen.
Der Dienstleister hat alle involvierten Unterauftragsverarbeiter zur Einhaltung des Datenschutzes nach diesem Vertrag zu verpflichten. Der Dienstleister haftet gegenüber dem Verantwortlichen für die Einhaltung dieser Datenschutzpflichten.
6. Unterstützungs- und Informationspflichten
Der Dienstleister teilt dem Veranwortlichen Störungen, Verstösse, Unregelmässigkeiten oder Verletzungen der Datensicherheit und damit zusammenhängende Umstände (inkl. Ermittlungen und Massnahmen der Aufsichtsbehörde) unverzüglich mit, ohne diese vorher Dritten bekannt zu geben. Ebenso informiert der Dienstleister den Verantwortlichen umgehend, falls die Regelungen dieses Vertrags oder Weisungen in Zusammenhang damit nicht eingehalten werden können, es sei denn, der Dienstleister ist gesetzlich daran gehindert, entsprechend zu informieren. Der Dienstleister unterstützt den Verantwortlichen ausserdem angemessen bei der Erfüllung sämtlicher Rechte der von einer Datenbearbeitung betroffenen Person (z.B. Auskunft) und bei der Erfüllung besonderer Pflichten (z.B. Meldungen von Verletzungen der Datensicherheit). Der Dienstleister wird alle Anfragen des Verantwortlichen im Zusammenhang mit der Bearbeitung der Personendaten unverzüglich und ordnungsgemäss beantworten. Reichen die Antworten des Partners nicht aus zum Nachweis der Einhaltung der gesetzlichen und vertraglichen Pflichten, ist der Verantwortliche berechtigt, beim Dienstleister Überprüfungen (einschliesslich Inspektionen) selber oder durch beauftragte Prüfer vorzunehmen.
7. Berichtigung, Einschränkung und Löschung von Daten
Der Dienstleister darf die von ihm verarbeiteten Daten nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Dienstleister wendet, wird der Dienstleister dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
Kopien oder Duplikate der Daten dürfen nur mit Zustimmung des Verantwortlichen erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenverarbeitung erforderlich sind, sowie Kopien, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Nach Abschluss der Erbringung der Verarbeitungsleistung muss der Dienstleister sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Verarbeitungsvertrag stehen, nach Wahl des Verantwortlichen entweder löschen oder diesem zurückgeben; vorbehalten bleibt eine gesetzliche Aufbewahrungspflicht (vgl. Abs. 2 hiervor). Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen und dauerhaft zu speichern.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Dienstleister entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
8. Weitere Bestimmungen
Eine gesonderte Vergütung oder Kostenerstattung an den Dienstleister aufgrund der ihm gestützt auf diesen Vertrag auferlegten Pflichten (und damit zusammenhängenden Kostenfolgen) erfolgt nicht.
Dieser Vertrag geht anderslautenden Allgemeinen Geschäftsbedingungen des Dienstleisters oder anderen Abmachungen zwischen den Parteien vor.
Auf diesen Vertrag ist schweizerisches Recht anwendbar. Ausschliesslicher Gerichtsstand ist ==ORT== (Schweiz).
Verantwortlicher: ==NAME==
Name: ==Vorname, Nachname==
Funktion: ==Funktionsbezeichnung==
Datum: ==TT/MM/JJJJ==
Dienstleister: ==NAME==
Name: ==Vorname, Nachname==
Funktion: ==Funktionsbezeichnung==
Datum: ==TT/MM/JJJJ==
Unterauftragsverarbeiter: ==NAME==
Name: ==Vorname, Nachname==
Funktion: ==Funktionsbezeichnung==
Datum: ==TT/MM/JJJJ==