Auftragsverarbeitung

Gegenstand der Auftragsverarbeitung ist die Durchführung folgender Aufgaben durch den Auftragnehmer:

  • Technischer Support und Wartung
  • Auftragsabwicklungen
  • IT-Dienstleistungen, Support und Projekte
  • Kundenservice wie Reparatur und allfällige Garantieleistungen
  • Cloud-Services, jeweils im Rahmen des entsprechenden Produkt-, Dienstleistungs-, Kauf- und/oder Werkvertrages.
  • Backup und Restores

Dieser Auftragsverarbeitungserklärung ist ausschliesslich anwendbar für den Fall, dass der Auftragnehmer im Auftrag des Kunden als Auftragsverarbeiter Personendaten bearbeitet. Die Grundsätze der Bearbeitung von Personendaten der Kunden sowie allfällige Aktualisierungen sind im Internet unter https://www.sep.ch publiziert. Der Kunde erklärt, dass er die Datenschutzerklärung zur Kenntnis genommen hat und, soweit gesetzlich vorgeschrieben, seine Kunden entsprechend informiert bzw. deren gültige Zustimmung zur Bearbeitung ihrer Personendaten eingeholt hat. Der Auftragnehmer und der Auftraggeber halten bei der Bearbeitung von Personendaten des Kunden (wie im DSG definiert) das anwendbare schweizerische Datenschutzrecht (Schweizerisches Datenschutzgesetz, DSG und dessen Ausführungsverordnungen) ein. Wo auf Endkunden das europäische Datenschutzrecht (Verordnung (EU) 2016/679 (Datenschutzgrundverordnung, DSGVO)) anwendbar ist, hält der Auftragnehmer die DSGVO analog ein. Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Auftraggeber ergeben sich konkret aus dem eingegangenen Vertragsverhältnis und basieren auf den AGB oder allfälligen Individualverträgen und deren Anhänge. Die Art der Verarbeitung Zweck der Datenverarbeitung sind:

  • Technischer Support
  • Auftragsabwicklung
  • IT-Dienstleistungen
  • Kundenservice
  • Cloudservices, Logistik-Services

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschliesslich in der Schweiz statt. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen die üblichen Informatik Daten und alle Daten für das Backup.

Die Pflichten des Auftraggebers umfassen;

(1) Der Auftraggeber ist dafür verantwortlich, in den Vertragsverhältnissen mit Dritten und mit seinen Endkunden angemessene Datenschutzregelungen zu treffen und die betroffenen Dritten über die Bearbeitung, Speicherung und Weitergabe von Daten und gegebenenfalls über die Datenbearbeitung durch den Auftragnehmer zu informieren. Der Auftraggeber ist dafür verantwortlich, die dafür notwendigen Einwilligungen der betroffenen Dritten, soweit gesetzlich erforderlich, einzuholen und dem Auftragnehmer auf Verlangen vorzulegen.

(2) Der Auftraggeber ermächtigt den Auftragnehmer, die bezüglich der Geschäftsbeziehung oder im Zusammenhang mit diesem erhaltenen Daten über den Auftraggeber, gleichgültig ob diese vom Auftraggeber oder von Dritten stammen, im Sinne der Datenschutzgesetze zu bearbeiten.

Der Auftraggeber nimmt zur Kenntnis, dass der Auftragnehmer zur Erfüllung seiner vertraglichen Pflichten, insbesondere bei Projektgeschäften (Endkundengeschäft mit Unterstützung von Lieferanten), detaillierte Angaben über Produkte, Mengen, Produkte sowie Namens- und Adressdaten des Auftraggebers an ihre Lieferanten weitergeben darf.

Technisch-organisatorische Massnahmen:

(1) Der Auftraggeber und der Auftragnehmer gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit. Diese richtet sich nach den Vorgaben gemäss Art. 8 DSV bzw. analog Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 1- 4 DSV bzw. analog Art. 5 Abs. 1, Abs. 2 DSGVO entsprechen.

(2) Zur Gewährleistung einer angemessenen Datensicherheit müssen der Auftraggeber und der Auftragnehmer den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen (Art. 1 DSV und analog Art. Art. 32 Abs. 1 DS-GVO). Der Auftraggeber und der Auftragnehmer müssen technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend nur Berechtigten zugänglich sind (Vertraulichkeit), verfügbar sind, wenn sie benötigt werden (Verfügbarkeit), nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität), nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).

(3) Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate oder bessere Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten werden. Wesentliche Änderungen werden dokumentiert.

Berichtigung, Einschränkung und Löschung von Personendaten

(1) Der Auftragnehmer darf die Personendaten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten, sofern für den Auftragnehmer ersichtlich ist, dass der Endkunde dem Auftraggeber zuzuordnen ist.

(2) Löschung, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers werden durch den Auftragnehmer als gesonderte kostenpflichtige Dienstleistung für den Auftraggeber erbracht.

Qualitätssicherung und sonstige Pflichten des Auftragnehmers:

Der Auftragnehmer gewährleistet insbesondere die Einhaltung folgender Vorgaben (analog Art. 28 bis 33 DSGVO):

  1. a) Der Auftragnehmer hat einen Datenschutzberater bestellt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.
  2. b) Der Auftragnehmer gewährleistet die Wahrung der Vertraulichkeit aufgrund der unterzeichneten Geheimhaltungsvereinbarung zwischen den Parteien gemäss Art. Analog Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschliesslich entsprechend der Weisung des Auftraggebers verarbeiten einschliesslich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
  3. c) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
  4. d) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Massnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen, soweit gesetzlich zulässig. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
  5. e) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften kostenpflichtig zu unterstützen.
  6. f) Der Auftragnehmer kontrolliert die internen Prozesse sowie die technischen und organisatorischen Massnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person dem Risiko entsprechend gewährleistet wird.

Mitteilung bei Verstössen:

(1) Beide Parteien unterstützen sich bei der Einhaltung der gesetzlichen Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen und -verlust, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.:

  1. a) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich, schnellstmöglich seit Entdeckung an die andere Partei zu melden;
  2. b) die Verpflichtung, dem der anderen Partei im Rahmen seiner Informationspflicht gegenüber

dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;

  1. c) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung; und
  2. d) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung des Vertragsverhältnisses enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

Weisungsbefugnis des Auftraggebers:

(1) Der Auftraggeber erteilt Weisungen schriftlich an it-support@sep.ch. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstosse gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

Löschung und Rückgabe von personenbezogenen Daten:

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenverarbeitung erforderlich und beauftragt worden sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung unwiderruflich soweit technisch möglich zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(3) Geschäftsrelevante Dokumentation und Korrespondenz, die dem Nachweis der auftrags- und ordnungsgemässen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen gesetzlichen Archivierungs- bzw. Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren

(4) Dieser Datenschutzerklärung geht anderslautenden Allgemeinen Geschäftsbedingungen des Auffragsgebers oder anderen Abmachungen zwischen den Parteien vor.

Teilunwirksamkeit

Falls Teile dieser Datenschutzerklärung unwirksam sein sollten, wird dadurch die Gültigkeit der übrigen Bestimmungen in diesem Vertrag nicht berührt. Anstelle der unwirksamen Bestimmungen greifen sinngemäss die einschlägigen gesetzlichen Bestimmungen.

Datenschutzbeauftragter
SEP IT AG
Tel:  +41 71 227 40 21
datenschutz@sep.ch