Auftragsverarbeitungsvertrag

1. Gegenstand und Begriffe

1

Dieser Vertrag regelt die Rechte und Pflichten der Auftraggeberin oder des Auftraggebers sowie der netmex digital gmbh als Auftragnehmerin (nachfolgend gemeinsam die «Parteien») im Zusammenhang mit der Auftragsbearbeitung beziehungsweise Auftragsverarbeitung (nachfolgend einheitlich die «Auftragsverarbeitung» oder die «Verarbeitung») von personenbezogenen Daten beziehungsweise Personendaten (nachfolgend einheitlich «Personendaten») im Rahmen von sqrip.

2

Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragnehmerin Personendaten im Auftrag der Auftraggeberin oder des Auftraggebers, die oder der datenschutzrechtlich als Verantwortliche oder als Verantwortlicher gilt, im Rahmen von sqrip verarbeitet oder verarbeiten lässt. Dieser Vertrag ist nicht auf Tätigkeiten anwendbar, bei denen die Auftragnehmerin allein über Mittel und Zwecke der Verarbeitung von Personendaten entscheidet, so dass keine Auftragsverarbeitung vorliegt.

3

Die Auftragnehmerin verarbeitet Personendaten gemäss den Nutzungsbedingungen von sqrip (nachfolgend der «Hauptvertrag») sowie gemäss sonstigen vertraglichen Vereinbarungen zwischen den Parteien. Die Verarbeitung erfolgt auf unbestimmte Zeit während der direkten oder indirekten Nutzung von sqrip durch die Auftraggeberin oder den Auftraggeber.

2. Art und Zweck der Verarbeitung

4

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Eine betroffene Person ist eine Person, über die Personendaten bearbeitet werden. Die Verarbeitung umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Archivieren, Aufbewahren, Bekanntgeben, Beschaffen, Umarbeiten, Vernichten und Verwenden von Personendaten. Die Verarbeitung dient ausschliesslich der Vertragserfüllung zwischen den Parteien.

5

Die Verarbeitung kann insbesondere folgende Kategorien von Personendaten umfassen: Bankdaten, Kontaktdaten, Kommunikationsdaten, Firmendaten, Protokolldaten, Stammdaten, Vertragsdaten, Vertragssteuerungsdaten, Zahlungsdaten.

6

Die Verarbeitung kann insbesondere folgende Kategorien von betroffenen Personen umfassen: Webshop-Eigentümer und -Betreiber, Webagenturen, Zahlungsverarbeitungunternehmen, Ansprechpartnerinnen und Ansprechpartner, Kundinnen und Kunden, Geschäftspartnerinnen und Geschäftspartner, Mitarbeiterinnen und Mitarbeiter.

3. Pflichten der Auftragnehmerin

7

Die Auftragnehmerin verarbeitet Personendaten ausschliesslich wie vertraglich mit der Auftraggeberin oder dem Auftraggeber vereinbart oder von der Auftraggeberin oder vom Auftraggeber angeordnet, es sei denn, die Auftragnehmerin ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Die Auftragnehmerin verwendet darüber hinaus die zur Verarbeitung überlassenen Personendaten in personenbezogener Form für keine anderen Zwecke, insbesondere nicht für eigene Zwecke.

8

Die Auftragnehmerin bestätigt, dass ihr die anwendbaren datenschutzrechtlichen Vorschriften in der Schweiz bekannt sind. Die Auftragnehmerin beachtet insbesondere die allgemeinen datenschutzrechtlichen Grundsätze für die Verarbeitung von Personendaten insbesondere gemäss Art. 4, 5 u. 7 DSG.

9

Die Auftragnehmerin verpflichtet sich, bei der Verarbeitung die Vertraulichkeit zu wahren. Personen, die Kenntnis von den im Auftrag verarbeiteten Personendaten erhalten können, haben sich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

10

Die Auftragnehmerin sichert zu, dass die bei ihr zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den anwendbaren datenschutzrechtlichen Vorschriften und mit den massgeblichen Bestimmungen dieses Vertrages bekannt gemacht wurden. Die Auftragnehmerin trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der anwendbaren datenschutzrechtlichen Vorschriften angemessen angeleitet und überwacht werden.

11

Im Zusammenhang mit der beauftragten Verarbeitung hat die Auftragnehmerin die Auftraggeberin oder den Auftraggeber bei Erstellung und Fortschreibung eines allenfalls erforderlichen Verzeichnisses der Verarbeitungstätigkeiten sowie bei einer Durchführung einer allenfalls erforderlichen Datenschutz-Folgenabschätzung im erforderlichen Umfang zu unterstützen. Die entsprechenden Kosten der Auftragnehmerin für die Unterstützung trägt die Auftraggeberin oder der Auftraggeber.

12

Wird die Auftraggeberin oder der Auftraggeber durch Aufsichtsbehörden oder andere zuständige Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihr oder ihm gegenüber datenschutzrechtliche Ansprüche geltend, verpflichtet sich die Auftragnehmerin, die Auftraggeberin oder den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Auftragsverarbeitung betroffen ist. Die entsprechenden Kosten der Auftragnehmerin für die Unterstützung trägt die Auftraggeberin oder der Auftraggeber.

13

Auskünfte an Behörden, betroffene Personen oder an Dritte darf die Auftragnehmerin nur nach vorheriger Zustimmung durch die Auftraggeberin oder den Auftraggeber erteilen. Vorbehalten bleiben Auskünfte, die aufgrund von zwingendem Recht ohne vorherige Zustimmung durch die Auftraggeberin oder den Auftraggeber erteilt werden müssen. Direkt an die Auftragnehmerin gerichtete Anfragen, welche die Auftragsverarbeitung betreffen, leitet die Auftragnehmerin unverzüglich an die Auftraggeberin oder den Auftraggeber weiter.

14

Sofern und soweit gesetzlich verpflichtet, bestellt die Auftragnehmerin eine fachkundige und zuverlässige Person als Datenschutzbeauftragte oder als Datenschutzbeauftragten. Die Auftragnehmerin stellt sicher, dass für die Datenschutzbeauftragte oder den Datenschutzbeauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich die Auftraggeberin oder der Auftraggeber direkt an eine allfällige Datenschutzbeauftragte oder an einen allfälligen Datenschutzbeauftragten wenden. Die Auftragnehmerin teilt der Auftraggeberin oder dem Auftraggeber unverzüglich die Kontaktdaten einer allfälligen oder eines allfälligen bestellten Datenschutzbeauftragten mit. Massgebliche Änderungen in der Person oder den Aufgaben der Datenschutzbeauftragten oder des Datenschutzbeauftragten teilt die Auftragnehmerin der Auftraggeberin oder dem Auftraggeber unverzüglich mit.

15

Die Auftragsverarbeitung erfolgt ausschliesslich in der Schweiz, in Mitgliedstaaten des Europäischen Wirtschaftsraumes (EWR) einschliesslich Europäischer Union und Fürstentum Liechtenstein, oder in sonstigen Staaten und Territorien auf der Erde sowie anderswo im Universum, deren Datenschutzrecht nach Einschätzung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder des Schweizerischen Bundesrates einen angemessenen Datenschutz gewährleistet, oder wenn im Einzelfall aus anderen Gründen, wie beispielsweise durch eine entsprechende vertragliche Vereinbarung, insbesondere Standardvertragsklauseln, oder eine entsprechende Zertifizierung, ein angemessener Datenschutz gewährleistet ist. Jegliche weitere Verarbeitung darf nur mit Zustimmung des Auftraggebers sowie unter den Bedingungen gemäss Art. 6 DSG und unter Einhaltung dieses Vertrages erfolgen.

4. Technische und organisatorische Massnahmen

16

Die Auftragnehmerin schützt Personendaten durch angemessene technische und organisatorische Massnahmen insbesondere gemäss Art. 7 DSG und Art. 8 ff. VDSG. Die Massnahmen müssen fortlaufend der technischen und organisatorischen Weiterentwicklung angepasst werden. Zur Aufrechterhaltung der Datensicherheit erforderliche Massnahmen hat die Auftragnehmerin unverzüglich umzusetzen.

17

Die Auftragnehmerin sichert zu, dass die im Auftrag verarbeiteten Personendaten von sonstigen Datenbeständen getrennt werden.

18

Kopien werden ohne Wissen der Auftraggeberin oder des Auftraggebers nicht erstellt. Ausgenommen sind Vervielfältigungen, die technisch, aus gesetzlichen oder regulatorischen Gründen, gemäss diesem Vertrag oder zur Vertragserfüllung zwischen den Parteien notwendig sind, soweit solche Kopien nicht zu einer Beeinträchtigung der Datensicherheit führen.

19

Die Auftragnehmerin führt Nachweis über die Erfüllung ihrer datenschutzrechtlichen Pflichten, insbesondere zum Schutz von Personendaten durch angemessene technische und organisatorische Massnahmen gemäss Art. 7 DSG und Art. 8 ff. VDSG.

5. Berichtigung, Löschung und Sperrung von Personendaten

20

Im Rahmen der Auftragsverarbeitung wird die Auftragnehmerin Personendaten nur entsprechend den getroffenen vertraglichen Vereinbarungen oder nach Weisungen der Auftraggeberin oder des Auftraggebers berichtigen, löschen oder sperren.

21

Den entsprechenden Weisungen der Auftraggeberin oder des Auftraggebers wird die Auftragnehmerin jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten. Die entsprechenden Kosten der Auftragnehmerin – auch nach Beendigung dieses Vertrages – trägt die Auftraggeberin oder der Auftraggeber.

6. Unterauftragsverarbeiterinnen und Unterauftragsverarbeiter

22

Die Auftraggeberin oder der Auftraggeber stimmt allgemein zu, dass die Auftragnehmerin Unterauftragsverarbeiterinnen oder Unterauftragsverarbeiter hinzuziehen darf. Die Auftragnehmerin wählt Unterauftragsverarbeiterinnen und Unterauftragsverarbeiter unter Berücksichtigung der Eignung der von der Unterauftragsverarbeiterin oder dem Unterauftragsverarbeiter getroffenen technischen und organisatorischen Massnahmen sorgfältig aus.

23

Die Auftragnehmer ininformiert die Auftraggeberin oder den Auftraggeber vorgängig über die geplante Hinzuziehung oder geplante Ersetzung von Unterauftragsverarbeiterinnen und Unterauftragsverarbeitern. Die Auftraggeberin oder der Auftraggeber kann der geplanten Hinzuziehung oder geplanten Ersetzung – innerhalb einer angemessenen, allenfalls von der Auftragnehmerin gesetzten Frist – aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch innerhalb einer solchen Frist, gilt die Zustimmung zur geplanten Hinzuziehung oder geplanten Ersetzung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist keine einvernehmliche Klärung zwischen den Parteien möglich, wird der Auftraggeberin oder dem Auftraggeber das Recht eingeräumt, die Nutzung von sqrip per sofort einzustellen und damit die Auftragsverarbeitung durch die Auftragnehmerin ebenfalls per sofort zu kündigen.

24

Sofern und soweit die Auftragnehmerin Unterauftragsverarbeiterinnen oder Unterauftragsverarbeiter hinzuzieht, obliegt es der Auftragnehmerin, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag der Unterauftragsverarbeiterin oder dem Unterauftragsverarbeiter aufzuerlegen.

25

Die Auftraggeberin oder der Auftraggeber stimmt zu, dass die Auftragnehmerin nachfolgende Unterauftragsverarbeiterinnen und Unterauftragsverarbeiter hinzuziehen darf und verzichtet auf einen Widerspruch, da die Auftragnehmerin ohne diese Unterauftragsverarbeiterinnen und Unterauftragsverarbeiter die Nutzung von sqrip nicht ermöglichen kann:

7. Mitteilungspflichten

26

Die Auftragnehmerin teilt der Auftraggeberin oder dem Auftraggeber Verletzungen des Schutzes von Personendaten unverzüglich nach Kenntnisnahme mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung muss alle erforderlichen Angaben enthalten.

27

Die Auftragnehmerin informiert – sofern und soweit zulässig – die Auftraggeberin oder den Auftraggeber unverzüglich über Kontrollen oder sonstige Massnahmen von Aufsichtsbehörden oder Dritten, soweit diese einen Bezug zur Auftragsverarbeitung aufweisen.

28

Die Auftragnehmerin informiert – sofern zulässig – die Auftraggeberin oder den Auftraggeber unverzüglich über Anfragen von Behörden, die eine Herausgabe oder Übermittlung von Personendaten beinhalten, soweit diese einen Bezug zur Auftragsverarbeitung ausweisen. Sofern eine solche Information aufgrund von zwingendem Recht nicht oder vorläufig nicht zulässig ist, trifft die Auftragnehmerin angemessene Schutzmassnahmen im Interesse der Auftraggeberin oder des Auftraggebers sowie im Rahmen dieses Vertrages.

29

Die Auftragnehmerin informiert die Auftraggeberin oder den Auftraggeber unverzüglich über erhebliche Störungen bei der Auftragsverarbeitung sowie über Verstösse der Auftragnehmerin oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Vorschriften oder gegen diesen Vertrag.

30

Die Auftragnehmerin teilt der Auftraggeberin oder dem Auftraggeber mit, wenn sie der Auffassung ist, dass eine Weisung gegen das anwendbare Datenschutzrecht verstösst. Die Auftragnehmerin ist berechtigt, die Ausführung einer solchen Weisung auszusetzen, bis sie durch die Auftraggeberin oder den Auftraggeber ausdrücklich bestätigt oder geändert wird.

31

Die Auftragnehmerin sichert zu, die Auftraggeberin oder den Auftraggeber bei deren oder dessen datenschutzrechtlichen Meldepflichten im erforderlichen Umfang zu unterstützen. Die entsprechenden Kosten der Auftragnehmerin für eine solche Unterstützung trägt die Auftraggeberin oder der Auftraggeber.

8. Rechte und Pflichten der Auftraggeberin oder des Auftraggebers

32

Für die Beurteilung der Zulässigkeit der Auftragsverarbeitung sowie für die Wahrung der Rechte von betroffenen Personen ist allein die Auftraggeberin oder der Auftraggeber verantwortlich.

33

Die Auftraggeberin oder der Auftraggeber behält sich hinsichtlich der Auftragsverarbeitung ein umfassendes Weisungsrecht vor. Die Auftraggeberin oder der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in dokumentierter Form, die einen Nachweis durch Text erlaubt. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird die Auftraggeberin oder der Auftraggeber unverzüglich dokumentiert bestätigen.

34

Die Auftraggeberin oder der Auftraggeber informiert die Auftragnehmerin unverzüglich, wenn sie oder er Fehler oder Unregelmässigkeiten bei der Auftragsverarbeitung feststellt.

35

Die Auftraggeberin oder der Auftraggeber ist berechtigt, die Einhaltung von Vorschriften über den Datenschutz und dieses Vertrages bei der Auftragnehmerin in angemessenem Umfang selbst oder durch Dritte, insbesondere durch das Einholen von Auskünften und die Einsichtnahme in die gespeicherten Personendaten und die Verarbeitungsprogramme sowie durch sonstige Kontrollen vor Ort, zu kontrollieren. Kontrollen sind von der Auftraggeberin oder vom Auftraggeber rechtzeitig anzumelden. Den mit der Kontrolle betrauten Personen ist durch die Auftragnehmerin – sofern und soweit erforderlich – Einblick und Zutritt zu ermöglichen. Die Auftragnehmerin ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Die Kosten der Auftragnehmerin für solche Kontrollen trägt die Auftraggeberin oder der Auftraggeber.

9. Haftung und Schadenersatz

36

Für den Ersatz von Schaden, den eine betroffene Person wegen einer datenschutzrechtlich pflichtwidrigen oder nicht weisungsgemässen Verarbeitung durch die Auftragnehmerin im Rahmen der Auftragsverarbeitung erleidet, haftet die Auftragnehmerin gegenüber einer betroffenen Person gemeinsam mit der Auftraggeberin oder dem Auftraggeber für den gesamten Schaden. Die Auftragnehmerin stimmt eine allfällige Erfüllung von Haftungs- und Schadenersatzansprüchen mit der Auftraggeberin oder dem Auftraggeber ab. Die Haftung der Auftragnehmerin entfällt, wenn sie nachweisen kann, dass sie in keinerlei Hinsicht für den Umstand, durch den ein solcher Schadeneingetreten ist, verantwortlich ist.

37

Im Übrigen gelten allfällige Vereinbarungen zu Haftung und Schadenersatz im Hauptvertrag sowie sonstigen vertraglichen Vereinbarungen zwischen den Parteien auch für die Auftragsverarbeitung.

10. Beendigung

38

Dieser Vertrag wird auf unbestimmte Zeit geschlossen. Dieser Vertrag endet mit der Einstellung der direkten oder indirekten Nutzung von sqrip durch die Auftraggeberin oder den Auftraggeber. Die Parteien sind berechtigt, diesen Vertrag per sofort zu kündigen, wenn ein wichtiger Grund wie insbesondere ein schwerwiegender Verstoss gegen das Datenschutzrecht oder gegen diesen Vertrag vorliegt.

39

Bei Beendigung dieses Vertrages oder des Hauptvertrages sowie jederzeit auf Verlangen der Auftraggeberin oder des Auftraggebers hat die Auftragnehmerin die im Auftrag verarbeiteten Personendaten einschliesslich Kopien nach Wahl der Auftraggeberin oder des Auftraggebers entweder zu vernichten oder an die Auftraggeberin oder den Auftraggeber zu übergeben, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch zur Aufbewahrung verpflichtet.

40

Die Auftragnehmerin ist verpflichtet, bei Beendigung dieses Vertrages unverzüglich die Löschung oder Rückgabe von Personendaten auch bei Unterauftragnehmerinnen und Unterauftragnehmern herbeizuführen, es sei denn, diese sind gesetzlich oder regulatorisch zur Aufbewahrung verpflichtet.

41

Die Dokumentation, die dem Nachweis der ordnungsgemässen Verarbeitung dient, ist durch die Auftragnehmerin den jeweiligen Aufbewahrungsfristen entsprechend auch über die Beendigung dieses Vertrages hinaus aufzubewahren. Die Auftragnehmerin kann sie zu ihrer Entlastung der Auftraggeberin oder dem Auftraggeber bei Beendigung dieses Vertrages übergeben.

11. Sonstige Bestimmungen

42

Die Parteien können diesen Vertrag mit Anhängen ergänzen, beispielsweise in Bezug auf die Kategorien von verarbeiteten Personendaten und betroffenen Personen, die angemessenen technischen und organisatorischen Massnahmen sowie die hinzugezogenen Unterauftragsverarbeiterinnen und Unterauftragsverarbeiter.

43

Die Parteien sind verpflichtet, alle im Rahmen dieses Vertrages erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmassnahmen der jeweils anderen Partei auch über die Beendigung dieses Vertrages hinaus vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur ausdrücklichen Freigabe durch die jeweils andere Partei als vertraulich zu behandeln.

44

Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit dieses Vertrages im Übrigen nicht.

45

Für diesen Vertrag gilt schweizerisches Recht, insbesondere das Bundesgesetz über den Datenschutz (DSG). Ausschliesslicher Gerichtsstand ist am Sitz der Auftragnehmerin.

Bist du bereit, loszulegen?  🚀
Probiere sqrip noch heute kostenlos aus.