TO BE FAIR …

Auftragsverarbeitungsvertrag (AVV)

Die Cloud Connection GmbH («Cloud Connection») erbringt gegenüber dem Kunden Hosting-, IT- und Marketing Dienstleistungen in Bezug auf eine oder mehrere Websites oder Applikationen des Kunden. Bei der Erbringung der Dienstleistungen speichert Cloud Connection personenbezogene Daten im Auftrag und für die Zwecke des Kunden («Auftragsverarbeitung»).

1. Gegenstand und Anwendungsbereich des AVV

1.1. Dieser Vertrag zur Auftragsdatenverarbeitung («AVV») regelt die Pflichten, Rollen und Zuständigkeiten von Cloud Connection und dem Kunden («Vertragsparteien») in Bezug auf die Auftragsverarbeitung.

2. Gültigkeit, Laufdauer

2.1. Cloud Connection stellt diesen AVV seinen Kunden zur Verfügung. Sobald der Kunde eine Dienstleistung der Cloud Connection bezieht wird der AVV für die Vertragsparteien zum verbindlichen Bestandteil ihrer vertraglichen Vereinbarungen betreffend der Erbringung der Dienstleistungen. Dieser AVV gilt für die gesamte Dauer der Zusammenarbeit und gegebenenfalls darüber hinaus bis zur Löschung der von der Auftragsverarbeitung betroffenen personenbezogenen Daten (vgl. Ziff. 4.2) durch Cloud Connection.

2.2. Die Bestimmungen dieses AVV ergänzen die Bestimmungen der Allgemeinen Geschäftsbedingungen. Sie schränken die Rechte und Pflichten der Vertragsparteien in Bezug auf die Erbringung bzw. die Inanspruchnahme der Dienstleistungen nicht ein. Ihrem Regelungsgegenstand betreffend gehen die Bestimmungen dieses AVV indes (sofern nicht ausdrücklich anders vereinbart) den Bestimmungen der Allgemeinen Geschäftsbestimmungen vor.

3. Anwendungsbereich des AVV

3.1. Dieser AVV gilt (sobald ihr der Kunde zugestimmt hat) in Bezug auf Auftragsverarbeitungen im Rahmen der von Cloud Connection erbrachten Dienstleistungen.

3.2. Dieser AVV gilt ausdrücklich nicht in Bezug auf Verarbeitungen personenbezogener Daten, bei denen Cloud Connection die Zwecke und Mittel der Verarbeitung bestimmt und somit unter dem Schweizerischen Bundesgesetz über den Datenschutz (nDSG) oder allenfalls anwendbaren anderen Datenschutzgesetzen (insbesondere der EU-DSGVO) verantwortlich ist.

Solche Verarbeitungen personenbezogener Daten, die Cloud Connection als Verantwortlicher vornimmt (z.B. Verarbeitungen personenbezogener Daten im Rahmen der Leistungsabrechnung oder der Kommunikation mit dem Kunden) nimmt Cloud Connection in Übereinstimmung mit der Datenschutzerklärung von Cloud Connection und den anwendbaren Datenschutzgesetzen vor.

4. Angaben zur Auftragsverarbeitung

4.1. Gegenstand und Zweck der Auftragsverarbeitung ist die Erbringung von Dienstleistungen durch Cloud Connection für den Kunden. Die Auftragsverarbeitung besteht in der Speicherung, Bereitstellung, Übermittlung und Löschung von personenbezogenen Daten gemäss den Bestimmungen des Dienstleistungsvertrags.

4.2. Von der Auftragsverarbeitung betroffen sind personenbezogene Daten, die der Kunde gemäss seiner Wahl auf der von Cloud Connection für die Leistungserbringung eingesetzte Infrastruktur speichert sowie Daten von Personen, denen der Kunde Zugriff auf seine Website oder Applikation gewährt. Dabei handelt es sich insbesondere um personenbezogene Daten, die beim Aufrufen bzw. Ausführen und der Nutzung von Websites und Applikationen üblicherweise erhoben werden. Dazu gehören Protokolldaten, die bei der informatorischen Nutzung einer Website oder einer Applikation automatisiert erhoben werden (z.B. die IP-Adresse und das Betriebssystem des Geräts des Nutzers sowie das Datum und die Zugriffszeit des Browsers), vom Nutzer oder für den Nutzer eingegebene Daten sowie vom Kunden erhobene Nutzungsdaten mit Personenbezug (nachstehend «personenbezogene Daten»).

5. Rollen und Zuständigkeitsbereiche

5.1. Der Kunde bestätigt und Cloud Connection anerkennt, dass der Kunde für die Verarbeitung der personenbezogenen Daten nach anwendbaren Datenschutzgesetzen verantwortlich ist und bleibt. Der Kunde nimmt somit die Rolle des Verantwortlichen ein. Vorbehalten bleiben Fälle, in denen der Kunde in Bezug auf die personenbezogenen Daten selbst Auftragsverarbeiter ist (vgl. Ziff. 5.4).

5.2. Cloud Connection anerkennt, dass der Kunde in der Rolle des Verantwortlichen verpflichtet ist, Cloud Connection bei Inanspruchnahme von Dienstleistungen einige seiner Pflichten aus dem Schweizer Datenschutzgesetz DSG und der EU-DSGVO (oder anderen allenfalls anwendbaren Datenschutzgesetzen) vertraglich zu überbinden.

5.3. Cloud Connection nimmt in Bezug auf die Verarbeitung betroffener personenbezogener Daten die Rolle des Auftragsverarbeiters ein. Sofern Cloud Connection für diese Auftragsverarbeitung nicht ebenfalls dem Schweizer Datenschutzgesetz DSG und der EU-DSGVO (oder den anderen allenfalls anwendbaren Datenschutzgesetzen) untersteht, so nimmt Cloud Connection diese Rolle nur auf der Grundlage der vertraglichen Pflichten von Cloud Connection gemäss diesem AVV ein und wird nicht alleine deswegen unter dem Schweizer Datenschutzgesetz DSG und der EU-DSGVO (oder den anderen allenfalls anwendbaren Datenschutzgesetzen) verpflichtet.

5.4. Ist der Kunde seinerseits Auftragsverarbeiter (d.h. wenn der Kunde gemäss Dienstleistung-Vertrag berechtigt ist, den Applikationen seinen Kunden zur Verfügung zu stellen), so bestätigt er, dass sein Kunde (d.h. der Verantwortliche) ihn gemäss separaten Vertrag zur Unterauftragsverarbeitung und Erteilung allfälliger Weisungen an Cloud Connection ermächtigt hat.

6. Pflichten von Cloud Connection

6.1. Cloud Connection verpflichtet sich, die personenbezogenen Daten nur zur Erbringung der Dienstleistungen gemäss Leistungsbeschrieb und vertraglichen Pflichten sowie gemäss diesem AVV zu verarbeiten.

6.2. Cloud Connection ist dazu berechtigt, personenbezogene Daten des Kunden so zu verarbeiten, wie es die Erfüllung der Leistungspflichten aus dem Dienstleistungsvertrag sowie diesem AVV beinhaltet. Auf entsprechende Anfrage ist Cloud Connection bereit, weitergehende, die Auftragsverarbeitung betreffende Weisungen des Kunden umzusetzen. Voraussetzung dafür ist, dass diese für Cloud Connection im Rahmen der vertraglich vereinbarten Dienstleistungen umsetzbar und objektiv zumutbar sind und nicht zu Mehrkosten oder geänderten Leistungsumfang führen. Vorbehalten bleibt in jedem Fall die Erfüllung gesetzlicher oder regulatorischer Pflichten, denen Cloud Connection unterliegt.

6.3. Cloud Connection sorgt für die Einhaltung der Bestimmungen dieses AVV durch die mit der Auftragsverarbeitung betrauten Mitarbeiter und anderen für Cloud Connection tätigen Personen und Firmen, die Zugriff auf die personenbezogenen Daten erhalten. Cloud Connection verpflichtet sich zudem, Personen mit Zugang zu den personenbezogenen Daten zur Wahrung der Vertraulichkeit (auch über die Dauer ihrer Tätigkeit für Cloud Connection hinaus) zu verpflichten.

6.4. Cloud Connection verpflichtet sich, im Interesse der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit der personenbezogenen Daten angemessene technische und organisatorische Massnahmen zu treffen. Cloud Connection implementiert insbesondere Zugangskontrollen, Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt Cloud Connection den Stand der Technik, die Implementierungskosten sowie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen. Die jeweils geltenden Massnahmen ergeben sich aus den aktuellen Leistungsbeschreibungen von Cloud Connection.

6.5. Cloud Connection verpflichtet sich, den Kunden ohne Verzug schriftlich zu informieren, wenn Cloud Connection Kenntnis von einer Datensicherheits Verletzung erlangt, die personenbezogene Daten betrifft. Dabei hat Cloud Connection dem Kunden die Art und das Ausmass der Verletzung sowie mögliche Abhilfemassnahmen mitzuteilen. Die Vertragsparteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der personenbezogenen Daten sicherzustellen und mögliche nachteilige Folgen für die betroffenen Personen zu mildern. Überdies verpflichtet sich Cloud Connection, dem Kunden auf schriftliche Anfrage ausreichende Informationen zur Verfügung zu stellen, damit dieser seinen Pflichten gemäss dem Schweizer Datenschutzgesetz DSG und der EU-DSGVO  (oder den anderen allenfalls anwendbaren Datenschutzgesetzen) betreffend die Meldung, Untersuchung und Dokumentation von Daten Sicherheitsverletzungen erfüllen kann.

6.6. Cloud Connection verpflichtet sich, den Kunden auf schriftliche Anfrage und gegen separate angemessene Vergütung, sowie im Rahmen der betrieblichen Ressourcen und Möglichkeiten von Cloud Connection bei der Erfüllung von Betroffenenrechten (insbesondere Auskunfts-, Berichtigungs- und Löschungsrechten) durch den Kunden (personenbezogene Daten betreffend) gemäss dem Schweizer Datenschutzgesetz DSG und der EU-DSGVO  (oder den anderen allenfalls anwendbaren Datenschutzgesetzen) zu unterstützen. Richtet sich eine betroffene Person mit Forderungen betreffend die Erfüllung von Betroffenenrechten direkt an Cloud Connection, wird Cloud Connection die betroffene Person an den Kunden verweisen. Voraussetzung dafür ist, dass Cloud Connection eine solche Zuordnung an den Kunden gestützt auf die Angaben der betroffenen Person vornehmen kann.

6.7. Cloud Connection ist verpflichtet, den Kunden ohne Verzug schriftlich zu benachrichtigen, wenn Cloud Connection eine Anfrage (z.B. ein Auskunfts- oder Löschungsbegehren) von einer betroffenen Person in Bezug auf personenbezogene Daten erhält; vorausgesetzt, eine Zuordnung an den Kunden ist gestützt auf die Angaben der betroffenen Person möglich.

6.8. Cloud Connection ist auf schriftliche Anfrage und gegen separate angemessene Vergütung sowie unter Berücksichtigung der betrieblichen Ressourcen und Möglichkeiten von Cloud Connection bereit, den Kunden bei Datenschutz-Folgenabschätzungen und bei Konsultationen der Aufsichtsbehörden zu unterstützen.

6.9. Cloud Connection wird die personenbezogenen Daten nach Ende der Laufdauer des Dienstleistungsvertrags gemäss den Bestimmungen des Dienstleistungsvertrags herausgeben oder löschen.

7. Beizug von Unter-Auftragsverarbeitern

7.1. Beansprucht der Kunde Dienstleistungen von Cloud Connection, die personenbezogene Daten betreffen und durch Dritte erbracht werden, bleibt Cloud Connection gegenüber dem Kunden Auftragsverarbeiter und erfüllt die diesbezüglichen Pflichten aus dem AVV. Der Anbieter der Drittdienstleistung, die in der Dienstleistung von Cloud Connection integriert wird, ist Unter-Auftragsverarbeiter von Cloud Connection. Davon zu unterscheiden sind Fälle, in denen Cloud Connection dem Kunden einen direkten Vertragsschluss mit dem Drittdienstleister vermittelt und der Drittdienstleister direkt Auftragsverarbeiter des Kunden wird. In solchen Fällen hat der Kunde selber dafür besorgt zu sein, unter anwendbaren Datenschutzgesetzen allenfalls notwendige Vereinbarungen mit dem Drittdienstleister zu treffen.

7.2. Cloud Connection ist berechtigt, Unter-Auftragsverarbeiter im Rahmen der Erbringung der Dienstleistungen von Cloud Connection beizuziehen (z.B. im Rahmen des Website-Erstellungsdiensts). Cloud Connection ist in solchen Fällen verpflichtet, mit Unter-Auftragsverarbeitern im erforderlichen Umfang einen Vertrag zu vereinbaren, die Cloud Connection die Einhaltung der Bestimmungen dieses AVV ermöglicht.

7.3. Cloud Connection wird den Kunden vorab in geeigneter Weise informieren, wenn Cloud Connection nach Inkrafttreten dieses AVV in Bezug auf bestehende Dienstleistungen neue Unter-Auftragsverarbeiter beizieht oder bestehende austauscht. Wenn der Kunde dem nicht innerhalb von dreissig (30) Tagen nach dem Datum der Mitteilung aus wichtigen datenschutzrechtlichen Gründen widerspricht, gilt der neue oder ausgetauschte Unter-Auftragsverarbeiter als genehmigt.

7.4. Wenn die Unter-Auftragsverarbeitung eine Übermittlung von personenbezogenen Daten in ein Land ausserhalb des Gebiets der EU/EWR/Schweiz beinhaltet, stellt Cloud Connection sicher, dass Cloud Connection die Bestimmungen der EU-DSGVO (oder ähnlicher Bestimmungen des Schweizer DSG) betreffend die Datenübermittlung in ein Drittland einhält (z.B. durch Auswahl eines Unter-Auftragsverarbeiters, der dem U.S.-Swiss Privacy Shield unterstellt ist, oder durch Miteinbezug anerkannter Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer).

8. Pflichten des Kunden

8.1. Der Kunde ist für die Rechtmässigkeit der Verarbeitung der personenbezogenen Daten, einschliesslich der Zulässigkeit der Auftrags- bzw. Unter-Auftragsverarbeitung, verantwortlich.

8.2. Der Kunde trifft in seinem Verantwortungsbereich (z.B. auf seinen eigenen Systemen und Applikationen) selbstständig angemessene technische und organisatorische Massnahmen zum Schutz der personenbezogenen Hosting-Daten.

8.3. Der Kunde verpflichtet sich, Cloud Connection unverzüglich zu informieren, wenn der Kunde in der Leistungserbringung von Cloud Connection Verletzungen von anwendbaren Datenschutzgesetzen feststellt.

9. Informations- und Prüfungsrechte

9.1. Cloud Connection ist verpflichtet, dem Kunden auf schriftliche Anfrage alle Informationen kostenlos zur Verfügung zu stellen, die dieser vernünftigerweise zum Nachweis der Einhaltung dieses AVV gegenüber betroffenen Personen oder Datenschutzaufsichtsbehörden benötigt.

9.2. Cloud Connection ermöglicht dem Kunden oder einem vom Kunden beauftragten und zur Vertraulichkeit verpflichteten Prüfer, die Einhaltung dieses AVV durch Cloud Connection zu prüfen. Werden nach Vorlage entsprechender Nachweise Verletzungen des AVV durch Cloud Connection festgestellt, hat Cloud Connection unverzüglich und kostenlos geeignete Korrekturmassnahmen zu implementieren.

9.3. Die vorstehenden Informations- und Prüfungsrechte des Kunden bestehen nur insoweit, als der Dienstleistungsvertrag dem Kunden keine anderen Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen der anwendbaren Datenschutzgesetze entsprechen. Weiter stehen diese Informations- und Prüfungsrechte unter dem Vorbehalt des Verhältnismässigkeitsgebots und der Wahrung der schutzwürdigen Interessen (insbesondere Sicherheits- oder Geheimhaltungsinteressen) von Cloud Connection. Vorbehaltlich einer anderslautenden Vereinbarung zwischen den Vertragsparteien trägt der Kunde sämtliche Kosten der Information und Prüfung, einschliesslich nachgewiesener interner Kosten von Cloud Connection.

10. Änderungen dieses AVV

10.1. Cloud Connection behält sich vor, diesen AVV zu ändern, (a) wenn dies zur Anpassung an Rechtsentwicklungen erforderlich ist oder (b) wenn dies nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeitung führt und sich (nach Ermessen von Cloud Connection) nicht erheblich nachteilig auf die Rechte der von der Auftragsverarbeitung betroffenen Personen auswirkt.

10.2. Cloud Connection teilt dem Kunden beabsichtigte Änderungen dieses AVV gemäss Ziff. 10.1 spätestens dreissig (30) Tage vor Wirksamwerden mit. Wenn der Kunde der Änderung widersprechen möchte, kann er diesen AVV innerhalb von dreissig (30) Tagen ab dem Datum der AVV-Mitteilung kündigen. Ohne Widerspruch innerhalb dieser Frist gilt die Änderung als genehmigt.

11. Generelle Bestimmungen

11.1. In Abweichung allfälliger im Dienstleitungsvertrag vereinbarter Schriftformvorbehalte kann dieser AVV auf elektronischem Weg zwischen den Vertragsparteien vereinbart oder geändert werden.

11.2. Verlangt dieser AVV eine schriftliche Aufforderung oder Mitteilung, so genügt (für Mitteilungen an den Kunden) E-Mail an die angegebene Adresse des Kunden bzw. (für Mitteilungen an Cloud Connection) E-Mail an contact@cloudconnection.ch dem Schriftformerfordernis.

11.3. Datenschutzrechtliche Begriffe wie «personenbezogene Daten», «verarbeiten», «Verantwortlicher», «Auftragsverarbeiter», «Datenschutz-Folgenabschätzung», etc. haben die ihnen in der EU-DSGVO oder, je nach Kontext, im Schweizer DSG zugeschriebene Bedeutung. «Datensicherheits-Verletzung» meint «Verletzung des Schutzes personenbezogener Daten» (englisch: «Personal Data Breach»).

11.4. Die Vertragsparteien unterwerfen sich hiermit der im Dienstleistungsvertrag festgelegten Gerichtsstandswahl für sämtliche Streitigkeiten sowie Ansprüche aus oder im Zusammenhang mit dieses AVV.

11.5. Sollten einzelne oder mehrere Bestimmungen des AVV unwirksam oder nichtig sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder nichtigen Bestimmungen tritt diejenige Regelung, welche die Vertragsparteien bei Kenntnis des Mangels zum Zeitpunkt des Abschlusses des AVV nach Treu und Glauben sowie nach wirtschaftlicher Betrachtungsweise getroffen hätten. Entsprechendes gilt im Fall etwaiger Lücken des AVV.

 

Letzte Aktualisierung: November 2023

DE