AVV

Ivan Rizzuto
Co-Founder
Letztes Update
January 16, 2024

Auftragsverarbeitungs-Vertrag (AVV) zwischen dem Kunden als Verantwortlicher („Verantwortlicher“) und Cloud Solution GmbH, Haldenstrasse 15, 9200 Gossau als Auftragsverarbeiter („Auftragsverarbeiter“)

1. Anwendungsbereich

a) Sofern der Verantwortliche Personendaten verarbeitet, gelten im Verhältnis zum Auftragsverarbeiter die nachfolgenden Regelungen.

2. Präambel

a) In diesem Auftragsverarbeitungs-Vertrag (AVV) werden die Datenschutzverpflichtungen zwischen den Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten geregelt.
b) Der Auftragsverarbeiter verarbeitet keine personenbezogenen Daten des Verantwortlichen zu irgendwelchen anderen Zwecken als zur Erfüllung bestehender vertraglichen Verpflichtungen zwischen den Parteien.
c) Der Verantwortliche bleibt der ausschliessliche Verantwortliche für die betreffenden personenbezogenen Daten.

3. Datenverarbeitung

3.1 Gegenstand und Zweck

a) Der Auftragsverarbeiter ist ein IT-Dienstleister und verwaltet in dieser Funktion als Administrator die IT Umgebung des Verantwortlichen. Zu Erfüllung dieser Aufgaben verarbeitet der Auftragsverarbeiter auch personenbezogene Daten des Verantwortlichen.
b) Die Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter ist nur zulässig im Rahmen eines schriftlichen Auftrages des Verantwortlichen. Ein solcher Auftrag kann in Form eines Dienstleistungsvertrages, einer einmaligen Anweisung oder in ähnlicher Form erteilt werden.

3.2 Dauer

a) Diese Vereinbarung gilt solange der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeitet.

3.3 Betroffene Datenkategorien und Personen

a) Der Verantwortliche verarbeitet auf der Infrastruktur die Personendaten, die er in seinem Verfahrensverzeichnis bzw. seinem Register der Datensammlungen aufführt und welche im Anhang des individuellen Vertrages aufgelistet sind.
b) Die betroffenen Personenkategorien werden im Anhang des individuellen Vertrages aufgelistet.
c) Wird kein Anhang zum individuellen Vertrag erstellt, werden vom Auftragsverarbeiter im Rahmen der Aufträge keine Personendaten verarbeitet.

4. Rechte und Pflichten

4.1 Einhaltung von Gesetzen und Vorschriften zum Datenschutz

a) Der Auftragsverarbeiter ist zur Einhaltung der für den Auftragsverarbeiter und den Verantwortlichen geltenden Gesetze und Vorschriften zum Datenschutz verpflichtet. Der Auftragsverarbeiter muss sicherstellen, dass Handlungen oder Unterlassungen seinerseits nicht zu einer Situation führen, in welcher der Verantwortliche gegen irgendwelche Gesetze und Vorschriften zum Datenschutz verstösst.

4.2 Weisungsgebundenheit

a) Der Auftragsverarbeiter verarbeitet und übermittelt die personenbezogenen Daten nur im Einklang mit den dokumentierten Weisungen des Verantwortlichen. Mangels Weisungen des Verantwortlichen, bearbeitet der Auftragsverarbeiter Personendaten ausschliesslich gemäss diesem AVV und dem detaillierte Sicherheitskonzept mit den verwendeten technischen und organisatorischen Massnahmen.
b) Der Verantwortliche alleine entscheidet über die Löschung und Berichtigung der personenbezogenen Daten sowie über die Auskünfte an Betroffene.
c) Werden personenbezogene Daten aufgrund gesetzlicher Vorschriften und entgegen der Weisung des Verantwortlichen verarbeitet, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen vorgängig über die betreffende Verarbeitung und rechtmässigkeit der Bearbeitung zu informieren, sofern dem nicht ein wichtiges öffentliches Interesse entgegensteht.

4.3 Vertrauliche Informationen und Sicherheit

a) Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung von personenbezogenen Daten befugten Personen (z.B. Mitarbeiter, Subunternehmer, etc.) sich vertraglich zur Wahrung der Vertraulichkeit und Sicherheit verpflichtet haben oder einer geeigneten gesetzlichen Vertraulichkeits- und Sicherheitsverpflichtung unterliegen. Bei Standardprodukten von Drittherstellern geltend für den Kunden die spezifischen Datenschutzbestimmungen des Drittherstellers direkt zwischen dem Kunden und dem Dritthersteller.
b) Personenbezogene Daten werden als vertrauliche Informationen verwahrt und behandelt. Im Rahmen der Vermittlung und dem Management von Standardprodukten oder anderen Produkten von Drittherstellern müssen Personendaten des Kunden bzw. seiner Mitarbeiter jedoch an Dritthersteller weitergegeben werden. Die Bearbeitung durch die Dritthersteller wird durch deren Datenschutzbestimmungen geregelt. Der Kunde bzw. seine Mitarbeiter autorisieren den Auftragsverarbeiter ausdrücklich, Zustimmungserklärungen zu Datenschutzerklärungen von Drittherstellern im Namen des Kunden bzw. seiner Mitarbeiter abzugeben.

4.4 Technische und organisatorische Massnahmen

a) Der Auftragsverarbeiter ergreift die gesetzlich erforderlichen technischen und organisatorischen Massnahmen (TOM) zur Gewährleistung der Sicherheit der personenbezogenen Daten und deren Verarbeitung.
b) Die technischen und organisatorischen Massnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, ein dem Risiko angemessenes Schutzniveau gewährleisten.
c) Die zu treffenden Massnahmen schliessen gegebenenfalls unter anderem Folgendes ein:

§ Pseudonymisierung und Verschlüsselung personenbezogener Daten
§ Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
§ die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
§ ein Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung

d) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage das detaillierte Sicherheitskonzept mit den verwendeten technischen und organisatorischen Massnahmen zur Verfügung und gewährleistet mit diesen Massnahmen die Einhaltung dieser Vereinbarung.

4.5 Sub-Auftragsverarbeiter (Subunternehmer)

a) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung, Sub-Auftragsverarbeiter mit der Verarbeitung zu beauftragen. Der Auftragsverarbeiter stellt sicher, dass er einen Vertrag mit dem Sub-Auftragsverarbeiter geschlossen hat, der die Einhaltung dieser Vereinbarung und der darin erwähnten Rechte und Pflichten gewährleistet.
b) Handelt es sich um einen Sub-Auftragsverarbeiter aus einem Drittland, ist zusätzlich durch den Auftragsverarbeiter sicherzustellen, dass ein adäquates Datenschutzniveau zur Schweiz bzw. der EU besteht, indem EU Standardklauseln abgeschlossen werden oder eine Swiss-U.S. Privacy Shield Zertifizierung besteht.
c) Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes Sub-Auftragsverarbeiters.

4.6 Melde- und Unterstützungspflicht bei Datenschutzverletzungen

a) Bei Eintritt oder bei Verdacht auf Verstösse gegen den Datenschutz und insbesondere bei Datenverlust oder anderen Unregelmässigkeiten bei der Verarbeitung personenbezogener Daten muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren.
b) Die Meldung über eine Datenschutzverletzung enthält sinngemäss die erforderlichen Angaben:

§ Beschreibung der Art der Datenschutzverletzung
§ Kategorien und ungefähre Anzahl der betroffenen Personen
§ Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Datensätze
§ Kontaktdaten einer Person des Auftragsverarbeiters, bei der weitere Informationen erhältlich sind
§ Beschreibung der wahrscheinlichen Auswirkungen der Datenschutzverletzung
§ Beschreibung der Massnahmen, die bereits getroffen wurden oder noch getroffen werden

c) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bearbeitung von Datenschutzverletzungen und stellt ihm sämtliche notwendigen Informationen zur Verfügung.

4.7 Unterstützungspflicht bei Betroffenenrechten

a) Für die Umsetzung der Betroffenenrechte ist der Verantwortliche zuständig. Der Auftragsverarbeiter leitet allfällige Anfragen umgehend an den Verantwortlichen weiter.
b) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Betroffenenrechte unentgeltlich.
c) Der Auftragsverarbeiter setzt insbesondere geeignete technische und organisatorische Massnahmen ein, damit der Verantwortliche die erforderlichen Informationen einfach, rasch, möglichst selbständig und in einem gängigen Format beziehen sowie personenbezogenen Daten verändern und löschen kann.
d) Anweisungen des Verantwortlichen in Bezug auf die Berichtigung, Löschung und/oder Aktualisierung personenbezogener Daten sind durch den Auftragsverarbeiter stets zu befolgen.

4.8 Weitere Unterstützungspflichten

a) Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter den Verantwortlichen auf Anfrage bei der Einhaltung seiner datenschutzrechtlichen Pflichten, namentlich bei der Umsetzung der technischen und organisatorischen Massnahmen, den Meldepflichten und einer allfälligen Datenschutz-Folgenabschätzung.

4.9 Rückgabe und Löschung nach Abschluss

a) Nach Abschluss der Erbringung der Verarbeitungsleistungen muss der Auftragsverarbeiter alle personenbezogenen Daten inkl. sämtlicher Kopien nach Wahl des Verantwortlichen entweder unwiderruflich löscht oder zurückgeben, sofern dem keine gesetzlichen Verpflichtungen entgegenstehen.

4.10 Duldung von Kontrollen des Verantwortlichen

a) Der Auftragsverarbeiter ist verpflichtet dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Vereinbarung niedergelegten Pflichten zur Verfügung zu stellen und die Durchführung von Überprüfungen – einschliesslich Inspektionen – des Verantwortlichen oder einem anderen von diesem beauftragten Prüfer zu ermöglichen und dazu beizutragen. Die internen und externen Kosten, des Auftragsverarbeiters für die Zusammenstellung der Informationen und einer Überprüfung, trägt der Kunde.

4.11 Weitere Mitteilungspflichten

a) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen geltende Datenschutzbestimmungen verstösst.

5. Änderungen dieser Vereinbarung

a) Dieser AVV gilt zusammen mit dem individuellen Vertrag und den AGB der Cloud Solution GmbH in der jeweils online publizierten Fassung.
b) Cloud Solution GmbH ist berechtigt, den vorliegenden AVV und Dienste jederzeit anzupassen, soweit Cloud Solution GmbH dies aus technischen Gründen oder aufgrund der Marktentwicklung bzw. Bedingungen von Lieferanten oder aufgrund von regulatorischen Rahmenbedingungen für sinnvoll erachtet und dadurch die Interessen des Kunden – insbesondere die Angemessenheit von Leistung und Gegenleistung – nicht zu einem Missverhältnis werden.

6. Abschliessende Bestimmungen

a) Sollte eine Bestimmung dieser Vereinbarung unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Vereinbarung nicht berührt. Die unwirksame Bestimmung soll durch eine möglichst dieser Bestimmung nahekommende und wirksame Bestimmung ersetzt werden. Dasselbe gilt auch für allfällige Vertragslücken.
b) Die Definitionen der verwendeten Begriffe sind gemäss dieser Vereinbarung auszulegen. Sollten Unklarheiten bezüglich einer Definition bestehen, so gelten je nach Geltungsbereich sinngemäss die Definitionen der EU Datenschutz-Grundverordnung (DSGVO) und des Schweizer Datenschutzgesetzes (DSG).
c) Die unterzeichnende Person bestätigt gehörig bevollmächtigt zu sein, die Vertragspartei zu vertreten.
d) Diese Vereinbarung ist nach Schweizerischem materiellem Recht auszulegen mit Berücksichtigung der Rechtsprechung der DSGVO.
e) Gerichtsstand bei Streitigkeiten ist der Hauptsitz der Cloud Solution GmbH

V 1.1 (06.12.23)