Auftragsverarbeitungsvertrag

Ofri Internet GmbH, Pfingstweidstrasse 6, 8005 Zürich (nachfolgend die «Auftragnehmerin»)

  1. Gegenstand und Begriffe

    1. Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmerin (nachfolgend die «Parteien») im Zusammenhang mit der Auftragsbearbeitung beziehungsweise Auftragsverarbeitung (nachfolgend einheitlich die «Auftragsverarbeitung» oder die «Verarbeitung») von personenbezogenen Daten beziehungsweise Personendaten (nachfolgend einheitlich «Personendaten»).

    2. Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragnehmerin Personendaten im Auftrag des Auftraggebers, der datenschutzrechtlich als Verantwortlicher gilt, verarbeitet oder verarbeiten lässt. Dieser Vertrag ist nicht auf Tätigkeiten anwendbar, bei denen die Auftragnehmerin allein über Mittel und Zwecke der Verarbeitung von Personendaten entscheidet, sodass keine Auftragsverarbeitung vorliegt.

    3. Die Auftragnehmerin verarbeitet Personendaten gemäss einem bestehenden oder gleichzeitig mit diesem Auftragsverarbeitungsvertrag zu schliessenden Vertrag – insbesondere auf Grundlage der Allgemeinen Geschäftsbedingungen (AGB), wie sie auf der Website der Auftragnehmerin veröffentlicht sind – mit dem Auftraggeber (nachfolgend der «Hauptvertrag») sowie gemäss sonstigen vertraglichen Vereinbarungen zwischen den Parteien jeweils im Zusammenhang mit der Handwerkerbörse der Auftragnehmerin. Die Verarbeitung erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrages oder des Hauptvertrages.

  2. Art und Zweck der Verarbeitung

    1. Die Verarbeitung umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Archivieren, Aufbewahren, Bekanntgeben, Beschaffen, Umarbeiten, Vernichten und Verwenden von Personendaten.

    2. Die Verarbeitung kann insbesondere folgende Kategorien von Personendaten umfassen: Angebotsdaten, Auftragsdaten, Bankdaten, Bewertungsdaten, Kontaktdaten, Kommunikationsdaten, Protokolldaten, Stammdaten, Vertragsdaten, Vertragssteuerungsdaten, Zahlungsdaten.

    3. Die Verarbeitung kann insbesondere folgende Kategorien von betroffenen Personen umfassen: Ansprechpartner, Kunden sowie potenzielle Kunden, Geschäftspartner, Interessenten, Lieferanten, Mitarbeiter.

  3. Pflichten der Auftragnehmerin

    1. Die Auftragnehmerin verarbeitet Personendaten ausschliesslich wie vertraglich mit dem Auftraggeber vereinbart oder vom Auftraggeber angeordnet, es sei denn, die Auftragnehmerin ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Die Auftragnehmerin verwendet darüber hinaus die zur Verarbeitung überlassenen Personendaten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke.

    2. Die Auftragnehmerin bestätigt, dass ihr die anwendbaren datenschutzrechtlichen Vorschriften in der Schweiz bekannt sind. Die Auftragnehmerin beachtet insbesondere die allgemeinen datenschutzrechtlichen Grundsätze für die Verarbeitung von Personendaten gemäss Art. 4, 5 u. 7 DSG.

    3. Die Auftragnehmerin verpflichtet sich, bei der Verarbeitung die Vertraulichkeit zu wahren. Personen, die Kenntnis von den im Auftrag verarbeiteten Personendaten erhalten können, haben sich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

    4. Die Auftragnehmerin sichert zu, dass die bei ihr zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den anwendbaren datenschutzrechtlichen Vorschriften und mit den massgeblichen Bestimmungen dieses Vertrages bekannt gemacht wurden. Die Auftragnehmerin trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der anwendbaren datenschutzrechtlichen Vorschriften angemessen angeleitet und überwacht werden.

    5. Im Zusammenhang mit der beauftragten Verarbeitung hat die Auftragnehmerin den Auftraggeber bei Erstellung und Fortschreibung eines allenfalls erforderlichen Verzeichnisses der Verarbeitungstätigkeiten sowie bei einer Durchführung einer allenfalls erforderlichen Datenschutz-Folgenabschätzung im erforderlichen Umfang zu unterstützen. Die entsprechenden Kosten der Auftragnehmerin für die Unterstützung trägt der Auftraggeber.

    6. Wird der Auftraggeber durch Aufsichtsbehörden oder andere zuständige Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber datenschutzrechtliche Ansprüche geltend, verpflichtet sich die Auftragnehmerin, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Auftragsverarbeitung betroffen ist. Die entsprechenden Kosten der Auftragnehmerin für die Unterstützung trägt der Auftraggeber.

    7. Auskünfte an Behörden, betroffene Personen oder an Dritte darf die Auftragnehmerin nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Vorbehalten bleiben Auskünfte, die aufgrund von zwingendem Recht ohne vorherige Zustimmung durch den Auftraggeber erteilt werden müssen. Direkt an die Auftragnehmerin gerichtete Anfragen, welche die Auftragsverarbeitung betreffen, leitet die Auftragnehmerin unverzüglich an den Auftraggeber weiter.

    8. Sofern und soweit gesetzlich verpflichtet, bestellt die Auftragnehmerin eine fachkundige und zuverlässige Person als Datenschutzbeauftragte oder als Datenschutzbeauftragten. Es ist sicherzustellen, dass für die Datenschutzbeauftragte oder den Datenschutzbeauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an eine allfällige Datenschutzbeauftragte oder an einen allfälligen Datenschutzbeauftragten wenden. Die Auftragnehmerin teilt dem Auftraggeber die Kontaktdaten einer allfälligen oder eines allfälligen bestellten Datenschutzbeauftragten mit. Massgebliche Änderungen in der Person oder den Aufgaben der Datenschutzbeauftragten oder des Datenschutzbeauftragten teilt die Auftragnehmerin dem Auftraggeber unverzüglich mit. Sofern die Auftragnehmerin keine Datenschutzbeauftragte und keinen Datenschutzbeauftragten bestellt hat, teilt die Auftragnehmerin dem Auftraggeber die Kontaktdaten einer Ansprechpartnerin oder eines Ansprechpartners im Zusammenhang mit der Auftragsverarbeitung mit.

    9. Die Auftragsverarbeitung erfolgt in der Schweiz sowie in folgenden weiteren Staaten oder Territorien: Liechtenstein. Jegliche Verarbeitung in anderen Staaten darf nur mit Zustimmung des Auftraggebers sowie insbesondere unter den Bedingungen gemäss Art. 6 DSG und unter Einhaltung dieses Vertrages erfolgen.

  4. Technische und organisatorische Massnahmen

    1. Die Auftragnehmerin schützt Personendaten durch angemessene technische und organisatorische Massnahmen insbesondere gemäss Art. 7 DSG und Art. 8 ff. VDSG. Die Massnahmen müssen fortlaufend der technischen und organisatorischen Weiterentwicklung angepasst werden. Zur Aufrechterhaltung der Datensicherheit erforderliche Massnahmen hat die Auftragnehmerin unverzüglich umzusetzen.

    2. Die Auftragnehmerin sichert zu, dass die im Auftrag verarbeiteten Personendaten von sonstigen Datenbeständen getrennt werden.

    3. Kopien werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind Vervielfältigungen, die technisch, aus gesetzlichen oder regulatorischen Gründen, gemäss diesem Vertrag oder zur Vertragserfüllung zwischen den Parteien notwendig sind, soweit solche Kopien nicht zu einer Beeinträchtigung der Datensicherheit führen.

    4. Die Auftragnehmerin führt Nachweis über die Erfüllung ihrer datenschutzrechtlichen Pflichten, insbesondere zum Schutz von Personendaten durch angemessene technische und organisatorische Massnahmen gemäss Art. 7 DSG und Art. 8 ff. VDSG.

  5. Berichtigung, Löschung und Sperrung von Personendaten

    1. Im Rahmen der Auftragsverarbeitung wird die Auftragnehmerin Personendaten nur entsprechend den getroffenen vertraglichen Vereinbarungen oder nach Weisungen des Auftraggebers berichtigen, löschen oder sperren.

    2. Den entsprechenden Weisungen des Auftraggebers wird die Auftragnehmerin jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten. Die entsprechenden Kosten der Auftragnehmerin – auch nach Beendigung dieses Vertrages – trägt der Auftraggeber.

  6. Unterauftragsverarbeiterinnen

    1. Der Auftraggeber stimmt allgemein zu, dass die Auftragnehmerin Unterauftragsverarbeiterinnen hinzuziehen darf. Die Auftragnehmerin wählt Unterauftragsverarbeiterinnen unter Berücksichtigung der Eignung der von der jeweiligen Unterauftragsverarbeiterin getroffenen technischen und organisatorischen Massnahmen sorgfältig aus.

    2. Die Auftragnehmerin informiert den Auftraggeber vorgängig über die geplante Hinzuziehung oder geplante Ersetzung von Unterauftragsverarbeiterinnen. Der Auftraggeber kann der geplanten Hinzuziehung oder geplanten Ersetzung – innerhalb einer angemessenen, allenfalls von der Auftragnehmerin gesetzten Frist – aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch innerhalb einer solchen Frist, gilt die Zustimmung zur geplanten Hinzuziehung oder geplanten Ersetzung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist keine einvernehmliche Klärung zwischen den Parteien möglich, wird dem Auftraggeber das Recht eingeräumt, diesen Vertrag per sofort zu kündigen.

    3. Sofern und soweit die Auftragnehmerin Unterauftragsverarbeiterinnen hinzuzieht, obliegt es der Auftragnehmerin, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag der jeweiligen Unterauftragsverarbeiterin aufzuerlegen.

    4. Der Auftraggeber stimmt zu, dass die Auftragnehmerin die Unterauftragsverarbeiterinnen gemäss nach der nachfolgend veröffentlichten Liste hinzuziehen darf und verzichtet auf einen Widerspruch: https://ofri.ch/data_processors

  7. Mitteilungspflichten

    1. Die Auftragnehmerin teilt dem Auftraggeber Verletzungen des Schutzes von Personendaten unverzüglich nach Kenntnisnahme mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung muss alle erforderlichen Angaben enthalten.

    2. Die Auftragnehmerin informiert – sofern zulässig – den Auftraggeber unverzüglich über Kontrollen oder sonstige Massnahmen von Aufsichtsbehörden oder Dritten, soweit diese einen Bezug zur Auftragsverarbeitung aufweisen.

    3. Die Auftragnehmerin informiert – sofern zulässig – den Auftraggeber unverzüglich über Anfragen von Behörden, die eine Herausgabe oder Übermittlung von Personendaten beinhalten, soweit diese einen Bezug zur Auftragsverarbeitung ausweisen. Sofern eine solche Information aufgrund von zwingendem Recht nicht oder vorläufig nicht zulässig ist, trifft die Auftragnehmerin angemessene Schutzmassnahmen im Interesse des Auftraggebers und im Rahmen dieses Vertrages.

    4. Die Auftragnehmerin informiert den Auftraggeber unverzüglich über erhebliche Störungen bei der Auftragsverarbeitung sowie über Verstösse der Auftragnehmerin oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Vorschriften oder gegen diesen Vertrag.

    5. Die Auftragnehmerin teilt dem Auftraggeber mit, wenn sie der Auffassung ist, dass eine Weisung gegen das anwendbare Datenschutzrecht verstösst. Die Auftragnehmerin ist berechtigt, die Ausführung einer solchen Weisung auszusetzen, bis sie durch den Auftraggeber ausdrücklich und in Schriftform bestätigt oder geändert wird.

    6. Die Auftragnehmerin sichert zu, den Auftraggeber bei dessen datenschutzrechtlichen Meldepflichten im erforderlichen Umfang zu unterstützen. Die entsprechenden Kosten der Auftragnehmerin für eine solche Unterstützung trägt der Auftraggeber.

  8. Rechte und Pflichten des Auftraggebers

    1. Für die Beurteilung der Zulässigkeit der Auftragsverarbeitung sowie für die Wahrung der Rechte von betroffenen Personen ist allein der Auftraggeber verantwortlich.

    2. Der Auftraggeber behält sich hinsichtlich der Auftragsverarbeitung ein umfassendes Weisungsrecht vor. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in dokumentierter Form, die einen Nachweis durch Text erlaubt. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.

    3. Der Auftraggeber informiert die Auftragnehmerin unverzüglich, wenn er Fehler oder Unregelmässigkeiten bei der Auftragsverarbeitung feststellt.

    4. Der Auftraggeber ist berechtigt, die Einhaltung von Vorschriften über den Datenschutz und dieses Vertrages bei der Auftragnehmerin in angemessenem Umfang selbst oder durch Dritte, insbesondere durch das Einholen von Auskünften und die Einsichtnahme in die gespeicherten Personendaten und die Verarbeitungsprogramme sowie durch sonstige Kontrollen vor Ort, zu kontrollieren. Kontrollen sind vom Auftraggeber rechtzeitig anzumelden. Den mit der Kontrolle betrauten Personen ist durch die Auftragnehmerin – sofern und soweit erforderlich – Einblick und Zutritt zu ermöglichen. Die Auftragnehmerin ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Die Kosten der Auftragnehmerin für solche Kontrollen trägt der Auftraggeber.

  9. Haftung und Schadenersatz

    1. Die Auftragnehmerin haftet ausschliesslich für den Schaden, den sie verursacht hat, weil sie ihren gesetzlichen Pflichten als Auftragsverarbeiterin nicht nachgekommen ist, weil sie rechtmässig erteilte Weisungen des Auftraggebers nicht beachtet hat oder weil sie gegen Weisungen des Auftraggebers gehandelt hat. Die Haftung der Auftragnehmerin entfällt, wenn sie nachweisen kann, dass sie in keinerlei Hinsicht für den Umstand, durch den ein solcher Schaden eingetreten ist, verantwortlich ist.

    2. Im Übrigen gelten allfällige Vereinbarungen zu Haftung und Schadenersatz im Hauptvertrag sowie sonstigen vertraglichen Vereinbarungen auch für die Auftragsverarbeitung.

  10. Beendigung

    1. Dieser Vertrag wird auf unbestimmte Zeit geschlossen. Dieser Vertrag endet mit dem Hauptvertrag oder kann mit einer Frist von einem Monat per Monatsende gekündigt werden. Die Parteien sind berechtigt, diesen Vertrag per sofort zu kündigen, wenn ein wichtiger Grund wie insbesondere ein schwerwiegender Verstoss gegen das Datenschutzrecht oder gegen diesen Vertrag vorliegt.

    2. Bei Beendigung dieses Vertrages oder des Hauptvertrages sowie jederzeit auf Verlangen des Auftraggebers hat die Auftragnehmerin die im Auftrag verarbeiteten Personendaten einschliesslich Kopien nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch zur Aufbewahrung verpflichtet.

    3. Die Auftragnehmerin ist verpflichtet, bei Beendigung dieses Vertrages unverzüglich die Löschung oder Rückgabe von Personendaten auch bei Unterauftragsverarbeiterinnen herbeizuführen, es sei denn, diese sind gesetzlich oder regulatorisch zur Aufbewahrung verpflichtet.

    4. Die Dokumentation, die dem Nachweis der ordnungsgemässen Verarbeitung dient, ist durch die Auftragnehmerin den jeweiligen Aufbewahrungsfristen entsprechend auch über die Beendigung dieses Vertrages hinaus während mindestens fünf Jahren aufzubewahren. Die Auftragnehmerin kann sie zu ihrer Entlastung dem Auftraggeber jederzeit übergeben.

Infos über Ofri

Infos über Ofri