Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten der schweizerischen QR Labeling GmbH (nachfolgend die «Auftragnehmerin») und einzelnen Auftraggeberinnen (nachfolgend jeweils die «Auftraggeberin» und gemeinsam die «Parteien») im Zusammenhang mit der Auftragsbearbeitung bzw. Auftragsverarbeitung von Personendaten bzw. personenbezogenen Daten (nachfolgend einheitlich die «Auftragsverarbeitung» und die «Personendaten»).

Dieser AVV ist für alle Tätigkeiten anwendbar, bei denen die Auftragnehmerin ganz oder teilweise Personendaten im Auftrag der Auftraggeberin bearbeitet bzw. verarbeitet oder bearbeiten bzw. verarbeiten (nachfolgend einheitlich «verarbeiten») lässt.

Die Auftragnehmerin unterliegt dem schweizerischen Datenschutzrecht, insbesondere gemäss dem Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG). Mit diesem AVV ermöglicht die Auftragnehmerin der Auftraggeberin die Einhaltung der anwendbaren datenschutzrechtlichen Anforderungen für die Auftragsverarbeitung.

Die Auftragsverarbeitung erfolgt gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien. Die Bestimmungen dieses AVV haben Vorrang bei einem Widerspruch zwischen den Bestimmungen dieses AVV und den Allgemeinen Geschäftsbedingungen (AGB) der Auftragnehmerin.

Die Auftragsverarbeitung umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Archivieren, Aufbewahren, Bekanntgeben, Beschaffen, Löschen, Speichern, Verändern, Vernichten und Verwenden von Personendaten. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.

Die Auftragsverarbeitung umfasst die Kategorien von Personendaten gemäss Anhang 1.

Die Auftragsverarbeitung umfasst die Kategorien betroffener Personen, deren Personendaten verarbeitet werden, gemäss Anhang 2.

Die Auftragnehmerin verarbeitet Personendaten ausschliesslich für den Zweck bzw. die Zwecke gemäss den vertraglichen Vereinbarungen zwischen den Parteien, sofern die Auftragnehmerin keine weiteren dokumentierten Weisungen von der Auftraggeberin erhält.

Die Auftragnehmerin verarbeitet Personendaten ausschliesslich wie direkt vertraglich mit der Auftraggeberin vereinbart oder gemäss weiteren dokumentierten Weisungen der Auftraggeberin im vertraglich vereinbarten Rahmen, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch zu einer bestimmten Verarbeitung verpflichtet. Die Auftragnehmerin ist nicht verpflichtet, vertragliche Vereinbarungen oder erteilte Weisungen auf Verstösse gegen anwendbare datenschutzrechtliche und sonstige rechtliche Anforderungen zu prüfen.

Die Auftraggeberin kann während der gesamten Dauer der Auftragsverarbeitung weitere dokumentierte Weisungen im vertraglich vereinbarten Rahmen erteilen. Die Auftraggeberin trägt die Aufwendungen der Auftragnehmerin aufgrund solcher weiterer Weisungen.

Die Auftragnehmerin verarbeitet Personendaten auf unbestimmte Zeit bis zur Kündigung dieses AVV oder bis zur Kündigung der letzten vertraglichen Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.

Die Auftragnehmerin ergreift geeignete technische und organisatorische Massnahmen (TOM), um eine dem Risiko angemessene Sicherheit der verarbeiteten Personendaten zu gewährleisten. Die Massnahmen umfassen insbesondere den Schutz der verarbeiteten Personendaten vor einer Verletzung der Sicherheit, die, jeweils unbeabsichtigt oder unrechtmässig, zur unbefugten Bekanntgabe von Personendaten bzw. zum unbefugten Zugang zu Personendaten oder zur Veränderung, zum Verlust oder zur Vernichtung von Personendaten führt (nachfolgend gemeinsam die «Verletzungen der Datensicherheit»).

Die Auftragnehmerin gewährt ihrem Personal nur insoweit Zugang zu Personendaten, als ein solcher Zugang für die Durchführung, Überwachung und Verwaltung dieses AVV erforderlich ist. Die Auftragnehmerin gewährleistet, dass sich die zur Auftragsverarbeitung befugten Personen zur Geheimhaltung verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.

Die Parteien müssen die Einhaltung dieses AVV nachweisen können. Die Auftragnehmerin bearbeitet in angemessener Weise und so bald wie möglich Anfragen der Auftraggeberin zur Auftragsverarbeitung gemäss diesem AVV.

Die Auftragnehmerin ermöglicht der Auftraggeberin auf Verlangen die Prüfung der Auftragsverarbeitung gemäss diesem AVV in angemessenen Abständen oder bei dokumentierten Anzeichen für eine Nichteinhaltung.

Die Auftraggeberin kann eine Prüfung selbst durchführen oder durch eine unabhängige Prüferin bzw. einen unabhängigen Prüfer durchführen lassen. Eine Prüfung kann auch Inspektionen in den physischen Einrichtungen oder Räumlichkeiten der Auftragnehmerin umfassen, sofern solche Inspektionen erforderlich sind, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs stattfinden und die Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit erfolgt. Solche Inspektionen sind nur zulässig, sofern und soweit die Prüfung nicht durch geeignete Nachweise wie beispielsweise Berichte, Dokumentationen, Zertifikate oder Zertifizierungen erfolgen kann, insbesondere bei Rechenzentren.

Die Auftraggeberin trägt die Aufwendungen der Auftragnehmerin für solche Prüfungen.

Die Auftraggeberin erteilt der Auftragnehmerin die allgemeine Genehmigung für die Beauftragung der Unterauftragsverarbeiter gemäss der Liste in Anhang 3.

Die Auftragnehmerin unterrichtet die Auftraggeberin mindestens 30 Tage im Voraus in elektronischer oder schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Ersetzen oder Hinzufügen von Unterauftragsverarbeitern. Die Auftragnehmerin räumt der Auftraggeberin damit ausreichend Zeit ein, um allenfalls Widerspruch gegen die beabsichtigten Änderungen erheben zu können.

Erfolgt kein fristgerechter Widerspruch, gelten die beabsichtigten Änderungen als genehmigt. Ist bei einem Widerspruch keine einvernehmliche Klärung zwischen den Parteien über die geplanten Änderungen möglich und ist die Auftraggeberin nicht bereit, auf ihren Widerspruch zu verzichten, ist jede Partei berechtigt, diesen AVV ausserordentlich auf den Zeitpunkt der geplanten Änderungen zu kündigen. Wenn die Auftraggeberin den AVV nicht ausserordentlich kündigt, gelten die beabsichtigten Änderungen trotz des ursprünglichen Widerspruchs als genehmigt.

Die Auftragnehmerin muss Unterauftragsverarbeitern, die zur Durchführung der Auftragsverarbeitung beauftragt werden, vertraglich im Wesentlichen die gleichen Pflichten auferlegen wie diejenigen, die für die Auftragnehmerin gemäss diesem AVV gelten.

Die Auftragsverarbeitung erfolgt grundsätzlich in der Schweiz und in Ländern, deren Datenschutzrecht gemäss dem Schweizerischen Bundesrat ein angemessenes Schutzniveau für Personendaten gewährleistet. Dazu zählen insbesondere die Länder im Europäischen Wirtschaftsraum (EWR).

Die Auftragsverarbeitung in einem Land, dessen Datenschutzrecht kein angemessenes Schutzniveau von Personendaten gewährleistet, darf erfolgen, wenn aus anderen Gründen ein geeignetes Schutzniveau gemäss den anwendbaren datenschutzrechtlichen Anforderungen gewährleistet ist, insbesondere gemäss zwischenstaatlichen Vereinbarungen oder auf Grundlage von geltenden Standarddatenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) anerkannt, ausgestellt oder genehmigt wurden. Die Auftragnehmerin ist bei Bedarf berechtigt, Standarddatenschutzklauseln der Europäischen Kommission gemäss Empfehlungen des EDÖB so anzupassen und zu ergänzen, dass die Standarddatenschutzklauseln auch den anwendbaren datenschutzrechtlichen Anforderungen in der Schweiz entsprechen.

Die Auftragnehmerin informiert die Auftraggeberin unverzüglich über jede Anfrage, die sie von einer betroffenen Person erhalten hat und welche die Auftragsverarbeitung betrifft. Die Auftragnehmerin ist berechtigt, der betroffenen Person den Erhalt zu bestätigen, beantwortet die Anfrage im Übrigen aber nicht selbst, es sei denn, sie wurde von der Auftraggeberin dazu ermächtigt.

Die Auftragnehmerin unterstützt die Auftraggeberin unter Berücksichtigung der Art der Auftragsverarbeitung bei der Erfüllung ihrer Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei dieser Unterstützung befolgt die Auftragnehmerin die Weisungen der Auftraggeberin.

Die Auftraggeberin trägt die Aufwendungen der Auftragnehmerin für eine solche Unterstützung.

Die Auftragnehmerin arbeitet im Fall einer Verletzung der Datensicherheit mit der Auftraggeberin zusammen und unterstützt sie entsprechend, damit die Auftraggeberin ihren Pflichten zur Meldung von Verletzungen der Datensicherheit an die zuständige(n) Aufsichtsbehörde(n) bzw. zur Benachrichtigung der von Verletzungen der Datensicherheit betroffenen Personen nachkommen kann, wobei die Auftragnehmerin die Art der Auftragsverarbeitung und die ihr zur Verfügung stehenden Informationen berücksichtigt.

Die Auftragnehmerin informiert bei einer Verletzung der Datensicherheit im Zusammenhang mit den von ihr verarbeiteten Personendaten unverzüglich nach Bekanntwerden der Verletzung die Auftraggeberin.

Die Auftraggeberin trägt die Aufwendungen der Auftragnehmerin für eine solche Unterstützung und Zusammenarbeit.

Für den Fall, dass die Auftragnehmerin ihren Pflichten gemäss diesem AVV nicht nachkommt, kann die Auftraggeberin die Auftragnehmerin anweisen, die Auftragsverarbeitung von Personendaten auszusetzen, bis die Auftragnehmerin diesen AVV einhält oder dieser AVV beendet ist. Die Auftragnehmerin informiert die Auftraggeberin unverzüglich, wenn sie sich – aus welchen Gründen auch immer – nicht in der Lage sieht, diesen AVV einzuhalten.

Die Parteien haften gegenüber betroffenen Personen als Gesamtschuldnerinnen für Schäden, die solche Personen aufgrund einer unrichtigen oder unzulässigen Auftragsverarbeitung erleiden. Jede Partei kann, sofern und soweit sie kein Verschulden an solchen Schäden trifft, auf die jeweils andere Partei Regress nehmen.

Die Haftungsregelung richtet sich im Übrigen nach einer allfälligen Haftungsregelung gemäss den vertraglichen Vereinbarungen zwischen den Parteien.

Die Auftraggeberin ist berechtigt, diesen AVV ausserordentlich und fristlos zu kündigen, wenn:

• die Auftragnehmerin trotz schriftlicher Abmahnung fortdauernd oder wesentlich gegen diesen AVV verstösst oder die anwendbaren datenschutzrechtlichen Anforderungen für die Auftragsverarbeitung nicht erfüllt;
• die Auftragnehmerin der bindenden Entscheidung einer zuständigen Aufsichtsbehörde oder eines zuständigen Gerichts, welche Pflichten der Auftragnehmerin gemäss den anwendbaren datenschutzrechtlichen Anforderungen für die Auftragsverarbeitung zum Gegenstand hat, nicht nachkommt.

Die Auftragnehmerin ist berechtigt, diesen AVV ausserordentlich und fristlos zu kündigen, wenn die Auftraggeberin auf der Erfüllung einer vertraglichen Vereinbarung oder Weisung besteht, nachdem sie von der Auftragnehmerin darüber in Kenntnis gesetzt wurde, dass die vertragliche Vereinbarung oder Weisung gegen anwendbare datenschutzrechtliche Anforderungen verstösst.

Die Parteien sind berechtigt, diesen AVV mit einer Frist von drei Monaten per Ende Monat ordentlich zu kündigen, sofern vertragliche Vereinbarungen zwischen den Parteien keine oder keine andere Kündigungsfrist vorsehen.

Nach Beendigung dieses AVV löscht die Auftragnehmerin alle im Auftrag der Auftraggeberin verarbeiteten Personendaten, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch berechtigt oder verpflichtet, die Personendaten zu speichern. Bis zur Löschung der Personendaten gewährleistet die Auftragnehmerin die Einhaltung dieses AVV.

Dieser AVV kann in elektronischer oder schriftlicher Form oder durch Verweis in sonstigen vertraglichen Vereinbarungen zwischen den Parteien geschlossen werden. Anpassungen dieses AVV können in elektronischer Form erfolgen.

Die Parteien informieren sich gegenseitig über eine allfällige Datenschutzberaterin oder über einen allfälligen Datenschutzberater bzw. über eine allfällige Datenschutzbeauftragte oder über einen allfälligen Datenschutzbeauftragten gemäss den anwendbaren datenschutzrechtlichen Anforderungen.

Sollten sich einzelne Bestimmungen dieses AVV als lückenhaft, nichtig oder unwirksam erweisen, so werden dadurch die Geltung und die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien werden in einem solchen Fall die betroffenen Bestimmungen so anpassen, auslegen oder ersetzen, dass der mit den lückenhaften, nichtigen oder unwirksam gewordenen Bestimmungen angestrebte Zweck so weit wie möglich erreicht wird.

Dieser AVV unterliegt ausschliesslich schweizerischem Recht. Ausschliesslicher Gerichtsstand ist am Sitz der Auftragnehmerin. Unabhängig davon ist die Auftragnehmerin berechtigt, Ansprüche im eigenen Ermessen auch am Sitz der Auftraggeberin geltend zu machen.

Die Auftragsverarbeitung umfasst folgende Kategorien von Personendaten:

• Anlagen- und Systemdaten
• Identifikations- und Kontaktdaten
• Kommunikationsdaten
• Nutzungsdaten
• Vertragsdaten
• Sonstige Kategorien von verarbeiteten Personendaten

Die Auftraggeberin informiert die Auftragnehmerin in dokumentierter Form, sofern die Auftraggeberin einzelne andere oder zusätzliche Kategorien von Personendaten ausdrücklich in diesem Anhang aufführen möchte.

Die Auftragsverarbeitung umfasst folgende Kategorien betroffener Personen, deren Personendaten verarbeitet werden:

• Kundinnen und Kunden
• Mitarbeiterinnen und Mitarbeiter
• Nutzerinnen und Nutzer
• Sonstige Kategorien betroffener Personen

Die Auftraggeberin informiert die Auftragnehmerin in dokumentierter Form, sofern die Auftraggeberin einzelne andere oder zusätzliche Kategorien betroffener Personen, deren Personendaten verarbeitet werden, ausdrücklich in diesem Anhang aufführen möchte.

• Pelephant GmbH (Schweiz), Hosting
• Plus Five Five Inc. (USA), E-Mail-Versand