Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag

1.

Gegenstand und Begriffe

1.1

Dieser Vertrag regelt die Rechte und Pflichten von einerseits der schweizerischen StaffApp AG (nachfolgend «StaffApp») und andererseits von einzelnen Kundinnen und Kunden von StaffApp (nachfolgend einheitlich die «Kundinnen», gemeinsam die «Parteien») im Zusammenhang mit der Auftragsverarbeitung beziehungsweise Auftragsbearbeitung (nachfolgend einheitlich die «Auftragsverarbeitung» oder die «Verarbeitung») von personenbezogenen Daten beziehungsweise Personendaten (nachfolgend einheitlich die «Personendaten»).

1.2

Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen StaffApp als Auftragsverarbeiterin ganz oder teilweise Personendaten im Auftrag von Kundinnen bearbeitet beziehungsweise verarbeitet oder bearbeiten beziehungsweise verarbeiten (nachfolgend einheitlich «verarbeiten») lässt. Dieser Vertrag ist nicht auf Tätigkeiten anwendbar, bei denen StaffApp allein über Mittel und Zwecke der Verarbeitung entscheidet, so dass keine Auftragsverarbeitung vorliegt.

1.3

StaffApp verarbeitet Personendaten gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien. Die Verarbeitung erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrages oder der letzten vertraglichen Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.

1.4

StaffApp unterliegt dem schweizerischen Datenschutzrecht. Die Europäische Kommission hat mit Entscheidung vom 26. Juli 2000 festgestellt, dass das schweizerische Datenschutzrecht aus europäischer Sicht einen angemessenen Datenschutz gewährleistet. Die Feststellung gilt als Angemessenheitsbeschluss gemäss Art. 45 der europäischen Datenschutz-Grundverordnung (DSGVO).

1.5

Die Kundinnen teilen StaffApp mit, sofern und soweit sie davon ausgehen, dass für die Auftragsverarbeitung ganz oder teilweise die Anforderungen von ausländischem Datenschutzrecht anwendbar sind.

2.

Art und Zweck der Verarbeitung

2.1

Die Verarbeitung umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Archivieren, Aufbewahren, Bekanntgeben, Beschaffen, Umarbeiten, Vernichten und Verwenden von Personendaten. Die Verarbeitung dient ausschliesslich der Vertragserfüllung zwischen den Parteien.

2.2

Die Verarbeitung umfasst insbesondere die folgenden Kategorien von Daten: Kommunikationsdaten, Kontaktdaten, Mitarbeiterdaten, Nutzungsdaten, Protokolldaten, Stammdaten.

2.3

Die Verarbeitung umfasst insbesondere die folgenden Kategorien von betroffenen Personen: Mitarbeiterinnen und Mitarbeiter.

3.

Pflichten von StaffApp

3.1

StaffApp verarbeitet Personendaten ausschliesslich wie vertraglich vereinbart oder von Kundinnen angeordnet, es sei denn, StaffApp ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. StaffApp verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke. Im Rahmen des Auftrags verarbeitete Daten wird StaffApp nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung der Kundinnen berichtigen, löschen oder sperren.

3.2

StaffApp bestätigt, dass ihr die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. StaffApp beachtet insbesondere die Grundsätze für die Verarbeitung von Personendaten.

3.3

StaffApp verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

3.4

StaffApp sichert zu, dass die bei ihr zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den einschlägigen datenschutzrechtlichen Vorschriften und mit den relevanten Bestimmungen dieses Vertrags bekannt gemacht wurden. StaffApp trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der einschlägigen datenschutzrechtlichen Vorschriften angemessen angeleitet und überwacht werden.

3.5

Im Zusammenhang mit der beauftragten Verarbeitung hat StaffApp die Kundinnen bei Erstellung und Fortschreibung eines allfälligen Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung von allfälligen Datenschutzfolgeabschätzungen im benötigten Umfang zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und den Kundinnen auf Anforderung so bald wie möglich zu übergeben. Die Kosten von StaffApp für eine solche Unterstützung tragen die Kundinnen.

3.6

Werden Kundinnen durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen gegenüber Kundinnen Rechte geltend, verpflichtet sich StaffApp, die Kundinnen im benötigten Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. Die Kosten von StaffApp für eine solche Unterstützung tragen die Kundinnen.

3.7

Auskünfte an Dritte oder betroffene Personen darf StaffApp nur nach vorheriger Zustimmung durch die Kundinnen erteilen. Direkt an StaffApp gerichtete Anfragen zu Händen von Kundinnen wird StaffApp unverzüglich an die Kundinnen weiterleiten. StaffApp ist berechtigt, den Absenderinnen und Absendern solcher Anfragen den Empfang zu bestätigen und über die Weiterleitung zu informieren.

3.8

Sofern und soweit gesetzlich verpflichtet oder im eigenen Ermessen, bestellt StaffApp eine fachkundige und zuverlässige Person als Datenschutzbeauftragte oder als Datenschutzbeauftragten. Es ist sicherzustellen, dass für die Datenschutzbeauftragte oder den Datenschutzbeauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen können sich die Kundinnen direkt an die Datenschutzbeauftragte oder den Datenschutzbeauftragten wenden. StaffApp teilt den Kundinnen unverzüglich die Kontaktdaten einer allfälligen Datenschutzbeauftragten oder eines allfälligen Datenschutzbeauftragten mit. Änderungen in der Person der oder des Datenschutzbeauftragten teilt StaffApp den Kundinnen unverzüglich mit.

3.9

Die Auftragsverarbeitung erfolgt grundsätzlich in der Schweiz, im Europäischen Wirtschaftsraum (EWR), oder in sonstigen Staaten, deren Datenschutzrecht nach Einschätzung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder des Schweizerischen Bundesrates einen angemessenen Datenschutz gewährleistet. Jegliche Verlagerung in andere Staaten darf nur mit Zustimmung der Kundinnen sowie unter den Bedingungen des Bundesgesetzes über den Datenschutz (DSG) und unter Einhaltung dieses Vertrags erfolgen.

4.

Technische und organisatorische Massnahmen (TOM)

4.1

StaffApp schützt Personendaten durch geeignete technische und organisatorische Massnahmen (siehe www.staffapp.ch/tom). Die Massnahmen müssen der technischen und organisatorischen Weiterentwicklung angepasst werden. Zur Aufrechterhaltung der Datensicherheit erforderliche Massnahmen hat StaffApp unverzüglich umzusetzen.

4.2

StaffApp sichert zu, dass die im Auftrag verarbeiteten Personendaten von sonstigen Datenbeständen strikt getrennt werden.

4.3

Kopien werden von den Personendaten ohne Wissen der Kundinnen nicht erstellt. Ausgenommen sind technisch notwendige Kopien, soweit eine Beeinträchtigung der Datensicherheit ausgeschlossen ist.

4.4

StaffApp führt geeigneten Nachweis über die Erfüllung ihrer datenschutzrechtlichen Pflichten, insbesondere zum Schutz von Personendaten durch geeignete technische und organisatorische Massnahmen.

5.

Unterauftragsnehmer

5.1

Die Kundinnen stimmen zu, dass StaffApp Unterauftragsnehmer hinzuzieht. StaffApp wählt Unterauftragsnehmer insbesondere unter Berücksichtigung der Eignung der vom jeweiligen Unterauftragsnehmer getroffenen technischen und organisatorischen Massnahmen sorgfältig aus.

5.2

StaffApp informiert die Kundinnen über die Hinzuziehung oder Ersetzung von Unterauftragsnehmern. Kundinnen können der Hinzuziehung oder Ersetzung – innerhalb einer angemessenen, allenfalls von StaffApp zu setzenden Frist – aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Hinzuziehung oder Ersetzung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist keine einvernehmliche Klärung zwischen den Parteien möglich, wird den Kundinnen ein Sonderkündigungsrecht eingeräumt.

5.3

Die Kundinnen stimmen zu, dass StaffApp die Unterauftragnehmer gemäss Liste unter www.staffapp.ch/unterauftragnehmer beiziehen darf.

5.4

Sofern und soweit StaffApp Unterauftragsnehmer hinzuzieht, obliegt es StaffApp, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag dem Unterauftragsnehmer aufzuerlegen.

6.

Mitteilungspflichten

6.1

StaffApp teilt den Kundinnen Verletzungen des Schutzes von Personendaten unverzüglich nach Kenntnis mit. Auch begründete Verdachtsfälle sind mitzuteilen.

6.2

Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstösse auf Seiten von StaffApp gegen datenschutzrechtliche Bestimmungen oder gegen diesen Vertrag.

6.3

StaffApp informiert – sofern zulässig – die Kundinnen unverzüglich über Kontrollen oder Massnahmen von Aufsichtsbehörden oder anderen Dritten, sofern und soweit diese einen Bezug zur Auftragsverarbeitung aufweisen.

6.4

StaffApp sichert zu, die Kundinnen bei deren datenschutzrechtlichen Meldepflichten im erforderlichen Umfang zu unterstützen. Die Kundinnen tragen die Kosten von StaffApp für eine solche Unterstützung.

7.

Rechte und Pflichten der Kundinnen

7.1

Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von betroffenen Personen sind allein die Kundinnen verantwortlich.

7.2

Die Kundinnen behalten sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor. Die Kundinnen erteilen alle Aufträge, Teilaufträge und Weisungen in dokumentierter Form. In Eilfällen können Weisungen vorab mündlich erteilt werden. Solche Weisungen werden die Kundinnen unverzüglich in dokumentierter Form bestätigen.

7.3

Die Kundinnen informieren StaffApp unverzüglich, wenn sie Fehler oder Unregelmässigkeiten bei der Prüfung der Auftragsergebnisse feststellen.

7.4

Die Kundinnen sind berechtigt, die Einhaltung von Vorschriften über den Datenschutz und dieses Vertrages bei StaffApp in angemessenem Umfang selbst oder durch Dritte, insbesondere durch das Einholen von Auskünften und die Einsichtnahme in die gespeicherten Daten sowie mit Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist durch StaffApp – sofern und soweit erforderlich – Einblick und Zutritt zu ermöglichen. Die Kundinnen tragen die Kosten von StaffApp für solche Kontrollen.

8.

Haftung und Schadenersatz

8.1

Für den Ersatz von Schäden, die eine betroffene Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Anwendungsbereich der europäischen Datenschutz-Grundverordnung (DSGVO) und Rahmen der Auftragsverarbeitung erleidet, haften StaffApp und die Kundinnen gegenüber einer solchen Person als Gesamtschuldnerinnen. StaffApp kann Regress auf die Kundinnen nehmen, sofern und soweit StaffApp kein Verschulden an solchen Schäden trifft.

8.2

Im Übrigen gelten Bestimmungen betreffend Haftung und Schadenersatz gemäss den sonstigen vertraglichen Vereinbarungen zwischen den Parteien auch für die Auftragsverarbeitung.

9.

Beendigung

9.1

Bei Beendigung dieses Vertrages oder der letzten vertraglichen Vereinbarung, die eine Auftragsverarbeitung betrifft, sowie jederzeit auf Verlangen von Kundinnen, hat StaffApp die im Auftrag verarbeiteten Daten einschliesslich Kopien nach Wahl der Kundinnen entweder zu vernichten oder an die Kundinnen zu übergeben, es sei denn, StaffApp ist gesetzlich oder regulatorisch zur Aufbewahrung verpflichtet.

7.2

Die Kundinnen behalten sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor. Die Kundinnen erteilen alle Aufträge, Teilaufträge und Weisungen in dokumentierter Form. In Eilfällen können Weisungen vorab mündlich erteilt werden. Solche Weisungen werden die Kundinnen unverzüglich in dokumentierter Form bestätigen.

7.3

Die Kundinnen informieren StaffApp unverzüglich, wenn sie Fehler oder Unregelmässigkeiten bei der Prüfung der Auftragsergebnisse feststellen.

7.4

Die Kundinnen sind berechtigt, die Einhaltung von Vorschriften über den Datenschutz und dieses Vertrages bei StaffApp in angemessenem Umfang selbst oder durch Dritte, insbesondere durch das Einholen von Auskünften und die Einsichtnahme in die gespeicherten Daten sowie mit Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist durch StaffApp – sofern und soweit erforderlich – Einblick und Zutritt zu ermöglichen. Die Kundinnen tragen die Kosten von StaffApp für solche Kontrollen.

10.

Sonstige Bestimmungen

7.1

Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von betroffenen Personen sind allein die Kundinnen verantwortlich.

7.2

Die Kundinnen behalten sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor. Die Kundinnen erteilen alle Aufträge, Teilaufträge und Weisungen in dokumentierter Form. In Eilfällen können Weisungen vorab mündlich erteilt werden. Solche Weisungen werden die Kundinnen unverzüglich in dokumentierter Form bestätigen.

7.3

Die Kundinnen informieren StaffApp unverzüglich, wenn sie Fehler oder Unregelmässigkeiten bei der Prüfung der Auftragsergebnisse feststellen.

7.4

Die Kundinnen sind berechtigt, die Einhaltung von Vorschriften über den Datenschutz und dieses Vertrages bei StaffApp in angemessenem Umfang selbst oder durch Dritte, insbesondere durch das Einholen von Auskünften und die Einsichtnahme in die gespeicherten Daten sowie mit Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist durch StaffApp – sofern und soweit erforderlich – Einblick und Zutritt zu ermöglichen. Die Kundinnen tragen die Kosten von StaffApp für solche Kontrollen.