Vereinbarung zur Auftragsverarbeitung nach Art. 9 DSG und Art. 28 DSGVO

Diese Vereinbarung zur Auftragsverarbeitung ("AVV") ist Bestandteil der AGB ("Vertrag") zwischen dem Anbieter und dem Kunden. Der Anbieter wird nachfolgend als "Auftragsverarbeiter" oder „Auftragnehmer" und der Kunde als "Verantwortlicher" oder "Auftraggeber" bezeichnet. Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen im Sinne von Art. 4 Nr. DSGVO sowie Art. 5 lit. k DSG und Art. 28 DSGVO sowie Art.9 DSGVO.

Die Parteien wollen ihren wechselseitigen datenschutzrechtlichen Verpflichtungen nach Art.9 DSG und Art. 28 DSGVO im Rahmen ihres Vertragsverhältnisses Rechnung tragen und schliessen deswegen nachstehende Vereinbarung zur Auftragsverarbeitung:

§ 1 - Gegenstand und Dauer

(1) Gegenstand

(a) Inhaltlicher Geltungsbereich

Diese Vereinbarung zur Auftragsverarbeitung ergänzt und konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem Vertragsverhältnis, welches durch die Registrierung unter app.digiclose.ai zustande kommt.

Gegenstand des Vertragsverhältnisses ist die zur Zurverfügungstellung der Plattform "digiclose" als Software-as-a-Service ("SaaS") für den Verantwortlichen und Übernahme der Tätigkeiten im Bereich Administration und Support der Plattform durch den Auftragsverarbeiter.

Diese Vereinbarung zur Auftragsverarbeitung gilt für sämtliche Tätigkeiten im Zusammenhang mit dem Vertragsverhältnis, bei denen Beschäftigte und/oder – soweit gemäss nachstehendem § 7 zulässig – Subunternehmer des Auftragnehmers personenbezogene Daten des Auftraggebers verarbeiten.

(b) Räumlicher Geltungsbereich

Nach dieser Vereinbarung zur Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer innerhalb der Schweiz, im Gebiet der Bundesrepublik Deutschland sowie der Europäischen Union und des Europäischen Wirtschaftsraumes zulässig.

Eine Verarbeitung ausserhalb der EU und des EWR darf nur erfolgen, wenn der Auftragsverarbeiter den Auftraggeber mit einer angemessenen Frist darüber informiert hat, der Auftraggeber dieser vorher zugestimmt hat und wenn die besonderen Voraussetzungen der Art. 16 DSG und Art. 44 ff. DSGVO durch eine der nachfolgend aufgeführten Massnahmen erfüllt sind. Das angemessene Schutzniveau

  • ist festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 16 Abs. 1 DSG und Art. 45 Abs. 3 DSGVO);
  • wird hergestellt durch verbindliche interne Datenschutzvorschriften (Art. 16 Abs. 2 lit. e DSG und Art. 46 Abs. 2 lit. b in Verbindung mit Art. 47 DSGVO);
  • wird hergestellt durch Standarddatenschutzklauseln (Art. 16 Abs. 2 lit. b und lit. d DSG und Art. 46 Abs. 2 lit. c und d DSGVO);
  • wird hergestellt durch genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e in Verbindung mit Art. 40 DSGVO);
  • wird hergestellt durch einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f in Verbindung mit Art. 42 DSGVO);
  • wird hergestellt durch sonstige Massnahmen (Art. 16 Abs. 2 lit a und c DSG, Art. 46 Abs. 2 lit. a, Abs. 3 lit. a und b DSGVO)

(2) Dauer

Diese Vereinbarung tritt mit Registrierung unter app.digiclose.ai in Kraft und endet mit der Beendigung des Vertragsverhältnisses.

(3) Kündigung

Beide Parteien sind berechtigt, diese Vereinbarung jederzeit aus wichtigem Grund zu kündigen. Ein solcher wichtiger Grund liegt für den Auftraggeber insbesondere vor, wenn

  • der Auftragnehmer trotz Abmahnung durch den Auftraggeber die zur Verarbeitung der personenbezogenen Daten des Auftraggebers befugten Personen nicht zur Vertraulichkeit verpflichtet hat und diese keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • der Auftragnehmer den Auftraggeber entgegen § 9 Abs. 2 nicht oder nicht unverzüglich über Verletzungen des Schutzes personenbezogener Daten informiert (Art. 24 Abs. 3 DSG und Art. 33 Abs. 2 DSGVO);
  • der Auftragnehmer den Auftraggeber im Rahmen seiner Meldepflicht nach Art. 24 DSG und Art. 33 und 34 DSGVO nicht oder nicht unverzüglich oder nicht vollständig informiert hat;
  • der Auftragnehmer Weisungen des Auftraggebers nicht ausführen kann oder will;

Ein solcher wichtiger Grund liegt für den Auftragnehmer insbesondere vor, wenn

  • der Auftraggeber den Auftragnehmer nicht oder nicht rechtzeitig über Änderungen in den Datenverarbeitungsvorgängen informiert;
  • der Auftraggeber den Auftragnehmer entgegen § 5 trotz nochmaliger Aufforderung des Auftragnehmers nicht anweist, personenbezogene Daten einer betroffenen Person zu löschen, ihre Verarbeitung einzuschränken, zu berichtigen oder hiervon abzusehen oder bei Geltendmachung des Rechts auf Datenübertragbarkeit nach Art. 28 DSG und Art. 20 Abs. 1 DSGVO einer betroffenen Person ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen.

§ 2 - Verantwortungsbereiche

Beide Parteien verpflichten sich, die zur Anwendung kommenden Datenschutzgesetze (insbesondere die Bestimmungen der DSGVO und des DSG) einzuhalten. Die Parteien gehen davon aus, dass der Auftragnehmer als Auftragsverarbeiter im Sinne des Art. 9 DSG und Art. 28 DSGVO für den Auftraggeber tätig wird. Wenn und soweit der Auftragnehmer jetzt oder künftig Leistungen erbringen soll, die nicht nach dieser Vereinbarung privilegiert sind, werden die Parteien schriftlich ergänzende Bestimmungen zum Datenschutz treffen, insbesondere diese Vereinbarung ergänzen oder eine neue Vereinbarung zur Auftragsverarbeitung abschliessen.

Auf Anfrage der Aufsichtsbehörde arbeiten Auftraggeber und Auftragnehmer bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 DSGVO).

Im Rahmen der Durchführung dieser Vereinbarung gelten nachfolgende Verantwortungsbereiche:

(1) Verantwortung des Auftraggebers

  • Der Auftraggeber bestimmt die Zwecke und die Ziele der Verarbeitung der personenbezogenen Daten. Dies geschieht durch die in § 1 (1) (a) spezifizierten Vertragsdokumente und deren Anlagen sowie ergänzend durch die nach Massgabe dieser Vereinbarung durch den Auftraggeber dem Auftragnehmer nach § 10 zu erteilenden Weisungen.
  • Der Auftraggeber ist im Hinblick auf das Vertragsverhältnis und die in dessen Durchführung vom Auftragnehmer zu verarbeitenden Daten für die Einhaltung sämtlicher einschlägiger Datenschutzvorschriften, insbesondere der DSGVO und des DSG, verantwortlich. Der Auftraggeber ist insbesondere für die Rechtmässigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmässigkeit und die Zulässigkeit der Datenverarbeitung nach Art. 6 DSG und Art. 6 DSGVO sowie die Wahrung der Rechte der betroffenen Personen nach Art. 25-29 DSG und Art. 12–22 DSGVO verantwortlich.
  • Der Auftraggeber behält die volle Kontrolle über die vom Auftragnehmer zu verarbeitenden Daten. Sämtliche verarbeiteten Daten stehen ausschliesslich dem Auftraggeber zu.

(2) Verantwortung des Auftragnehmers

  • Der Auftragnehmer wird personenbezogene Daten, die er im Rahmen dieser Vereinbarung im Auftrag für den Auftraggeber verarbeitet, ausschliesslich zur Erfüllung des im Vertrag sowie in etwaigen nach Massgabe dieser Vereinbarung zu erteilenden Weisungen beschriebenen Zwecken verarbeiten.
  • Verlangt der Auftraggeber seine Daten – egal aus welchem Grund – heraus, ist der Auftragnehmer verpflichtet, dieser Aufforderung nachzukommen.

§ 3 - Art, Ziel und Zweck der Verarbeitung personenbezogener Daten

(1) Art und Zweck der Datenverarbeitung

Art, Ziel und Zweck der Datenverarbeitung sind im Einzelnen in § 1 des Vertrags spezifiziert. Die Parteien sind sich einig, dass ausschliesslich der Auftraggeber die Zwecke und Ziele der Verarbeitung bestimmt. Dies geschieht durch den Vertrag und die nach Massgabe dieser Vereinbarung zur Auftragsverarbeitung durch den Auftraggeber dem Auftragnehmer zu erteilenden Weisungen nach § 7.

(2) Art der Daten der Datenverarbeitung

Gegenstand der Verarbeitung personenbezogener Daten unter dem Vertragsverhältnis und dieser Vereinbarung zur Auftragsverarbeitung sind folgende Verarbeitungsvorgänge:

  • das Erheben
  • das Erfassen
  • die Organisation
  • das Ordnen
  • die Speicherung
  • das Auslesen
  • das Abfragen
  • die Verwendung
  • die Offenlegung durch Übermittlung
  • die Verbreitung oder eine andere Form der Bereitstellung
  • den Abgleich oder die Verknüpfung
  • die Einschränkung der Verarbeitung

Im Rahmen des Vertragsverhältnisses verarbeitet der Auftragnehmer folgende Arten von Daten:

  • Personenstammdaten
  • Kommunikationsdaten (zum Beispiel Telefon, E-Mail)
  • Vertragsstammdaten (Vertragsbeziehung, Produkte- bzw. Vertragsinteresse)
  • Kundenhistorie
  • Vertragsabrechnungs- und Zahlungsdaten (z.B. Rechnungsanschrift, Bankverbindung)
  • Daten des Kunden (z.B. Produktinformationen)
  • Mitarbeiter und Freelancer des Kunden (z.B. Login-Daten, Name, Informationen zur Provisionszahlung)
  • Interessenten des Kunden (z.B. Name, Anschrift, Telefonnummer, Informationen zu Gesprächen, Informationen zu gekauften Produkten)

(3) Kategorien betroffener Personen

Der Kreis der durch die Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung betroffenen Personen umfasst:

  • Kunden und dessen Mitarbeiter und Freelancer
  • Interessenten des Kunden

§ 4 - Technische und organisatorische Massnahmen (Art. 8 DSG und Art. 32 DSGVO)

(1) Nachweis der technischen und organisatorischen Massnahmen

Vor Abschluss dieser Vereinbarung zur Auftragsverarbeitung und vor Beginn der Verarbeitung personenbezogener Daten durch den Auftragnehmer hat dieser dem Auftraggeber die Umsetzung der erforderlichen technischen und organisatorischen Massnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung nach Massgabe dieser Vereinbarung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die so dokumentierten Massnahmen Grundlage dieses Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen und zu dokumentieren.

(2) Gewährleistung eines angemessenen Schutzniveaus

Der Auftragnehmer wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleisten. Dazu werden die Schutzziele von Art. 8 DSG und Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Massnahmen das Risiko auf Dauer eingedämmt wird.

(3) Beschreibung der technisch-organisatorischen Massnahmen

Zur Gewährleistung eines dem Risiko der Datenverarbeitung nach dem Vertrag angemessenen Schutzniveau hat der Auftragnehmer die in seinem (Daten-)Sicherheitskonzept aufgeführten technischen und organisatorischen Massnahmen gem. Art. 8 DSG und Art. 24, 32 DSGVO getroffen.

Dieses beinhaltet im Wesentlichen folgende technische und organisatorische Massnahmen:

  • Massnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO).
  • Massnahmen zur Gewährleistung der Fähigkeit, die Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO), Integrität (Art. 32 Abs. 1 lit. b DSGVO), Verfügbarkeit und Belastbarkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b DSGVO) im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
  • Massnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Art. 32 Abs. 1 lit. c DSGVO).
  • Ein Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d, Art. 25 Abs. 1 DSGVO).

(4) Technischer Fortschritt und Änderung der technisch-organisatorischen Massnahmen

Die in dieser Vereinbarung zur Auftragsverarbeitung beschriebenen technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es deshalb gestattet, alternative adäquate Massnahmen umzusetzen, wenn und soweit das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten wird.

(5) Informationspflicht des Auftragnehmers

Bei Störungen oder Unregelmässigkeiten wird der Auftragnehmer den Auftraggeber unverzüglich unterrichten.

§ 5 - Berichtigung, Löschung und Sperrung von Daten

(1) Die im Auftrag des Auftraggebers verarbeiteten Daten darf der Auftragnehmer nur nach Weisung des Auftraggebers berichtigen, löschen, übertragen oder ihre Verarbeitung einschränken. Wenn sich eine betroffene Person zu diesem Zweck direkt an den Auftragnehmer wendet, hat dieser ein solches Ersuchen unverzüglich an den Auftraggeber weiterzuleiten.

Ansprechpartner für solche Anfragen beim Auftraggeber ist: [email protected]

(2) Der Ansprechpartner des Auftraggebers wird das Ersuchen prüfen und dem Auftragnehmer schriftlich mitteilen, ob es berechtigt war oder nicht und den Auftragnehmer anweisen, die Berichtigung, Löschung, Übertragung oder Einschränkung der Verarbeitung vorzunehmen. Die Weisung ist von beiden Parteien zu dokumentieren.

§ 6 - Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieser Vereinbarung zur Auftragsverarbeitung folgende gesetzliche Pflichten nach Art. 28–33 DSGVO:

  • dem Auftraggeber auf Anforderung die Angaben nach Art. 30 Abs. 1 DSGVO zur Verfügung zu stellen;
  • die zur Verarbeitung der personenbezogenen Daten befugten Personen des Auftragnehmers zur Vertraulichkeit gemäss Art. 28 Abs. 3 Satz 2 lit. b DSGVO zu verpflichten;
  • den Auftraggeber im Rahmen des rechtlich und tatsächlich Möglichen mit technischen und organisatorischen Massnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrung der Rechte der betroffenen Personen (Art. 12–22 DSGVO) nachzukommen (Art. 28 Abs. 3 Satz 2 lit. e DSGVO);
  • den Auftraggeber bei den in Art. 32–36 DSGVO genannten Pflichten zu unterstützen; insbesondere den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten zu informieren (Art. 24 Abs. 3 DSG und Art. 28 Abs. 3 lit. f in Verbindung mit Art. 33 Abs. 2 DSGVO);
  • für Zwecke der Auswahl durch den Auftraggeber und der Kontrollen und Überprüfungen seines Verhaltens, nachzuweisen, dass er die von dem Auftraggeber geforderten hinreichenden Garantien (Art. 28 Abs. 1 DSGVO) bieten kann.

§ 7 - Einschaltung von Subunternehmern

(1) Grundsätze für die Einschaltung von Subunternehmern

Die Einschaltung von Subunternehmern ist grundsätzlich gestattet. Über die Hinzuziehung von weiteren Subunternehmern wird der Auftragnehmer den Auftraggeber mit einer angemessenen Frist informieren. In diesem Fall wird der Auftragnehmer mit dem Subunternehmer eine Vereinbarung nach Massgabe des Art. 28 Abs. 2–4 DSGVO abschliessen.

(2) Anforderungen an die Einschaltung von Subunternehmern

Schaltet der Auftragnehmer mit Zustimmung des Auftraggebers oder aufgrund der allgemeinen schriftlichen Genehmigung des Auftraggebers Subunternehmer ein, so wird der Auftragnehmer seine vertraglichen Vereinbarungen mit den Subunternehmern so gestalten und entsprechend dokumentieren, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit wie sie im Verhältnis zwischen dem Auftragnehmer und dem Auftraggeber bestehen, entsprechen (Art. 28 Abs. 4 DSGVO).

(3) Kontrollrechte des Auftraggebers

Dem Auftraggeber sind Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung zur Auftragsverarbeitung zur Feststellung, ob geeignete technische und organisatorische Massnahmen ergriffen wurden, die sicherstellen, dass die Datenverarbeitung den Anforderungen der DSGVO entspricht, einzuräumen.

(4) Weitergabe personenbezogener Daten an den Subunternehmer

Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Subunternehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(5) Leistungen ausserhalb der EU/des EWR

Erbringt der Subunternehmer die vereinbarte Leistung ausserhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Massnahmen sicher.

§ 8 - Kontroll- und Zutrittsrechte des Auftraggebers, Mitwirkungspflichten des Auftragnehmers

(1) Nachweis der Umsetzung der technischen und organisatorischen Massnahmen

Im Hinblick auf die Nachweispflichten des Auftraggebers nach Art. 5 Abs. 2 DSGVO und dessen Überprüfungsrechte nach Art. 28 Abs. 3 Satz 2 lit. h DSGVO vor Beginn der Datenverarbeitung und während der Laufzeit dieser Vereinbarung zur Auftragsverarbeitung stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Massnahmen überzeugen kann.

(2) Überprüfungen beim Auftragnehmer

Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die dem Auftragnehmer rechtzeitig anzukündigen sind, von der Einhaltung dieser Vereinbarung zur Auftragsverarbeitung durch den Auftragnehmer zu überzeugen.

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen.

§ 9 - Mitzuteilende Verstösse

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 24 Abs. 3 DSG und Art. 33, 34 DSGVO genannten Pflichten zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) und zur Benachrichtigung der betroffenen Personen (Art. 34 DSGVO).

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten durch ihn oder durch die bei ihm beschäftigten Personen unverzüglich, sobald ihm diese bekannt werden.

(2) Dem Auftragnehmer ist bekannt, dass nach Art. 24 DSG und Art. 33 Abs. 2 DSGVO Informationspflichten im Falle einer Verletzung personenbezogener Daten bestehen. Deshalb sind solche Vorfälle unverzüglich dem Auftraggeber mitzuteilen.

§ 10 - Weisungsbefugnisse

(1) Weisungen des Auftraggebers

Der Auftragnehmer wird Weisungen des Auftraggebers, die sich auf die Beachtung der einschlägigen datenschutzrechtlichen Bestimmungen sowie Zweck und Ziel der Verarbeitung beziehen, beachten. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person wird die personenbezogenen Daten ausschliesslich nach den Weisungen des Auftraggebers, einschliesslich der in dieser Vereinbarung eingeräumten Befugnisse, verarbeiten und nutzen.

Der Auftraggeber behält sich im Rahmen der im Vertragswerk getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang, Ziele und Zweck der Datenverarbeitung vor.

(2) Weisungsberechtigte des Auftraggebers

Weisungsberechtigte seitens des Auftraggebers ist: Nutzer gemäss Vertrag

Weisungsempfänger seitens Auftragnehmer ist: [email protected]

(3) Hinweispflicht

Sofern der Auftragnehmer der Auffassung ist, dass die Ausführung von Weisungen des Auftraggebers zu einer Verletzung von Datenschutzbestimmungen führen könnte oder rechtswidrig ist, ist er verpflichtet, den Auftraggeber hierauf unverzüglich hinzuweisen.

§ 11 - Rückgabe von Datenträgern und Löschung von Daten

(1) Löschung von Daten

Mit Beendigung des Auftrags oder vorher auf Verlangen des Auftraggebers ist der Auftragnehmer verpflichtet, dem Auftraggeber sämtliche in seinen Besitz gelangte Unterlagen, sowie die in Zusammenhang mit dem Vertragsverhältnis und dieser Vereinbarung zur Auftragsverarbeitung stehenden Datenbestände auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu löschen oder zu vernichten (Art. 28 Abs. 3 Satz 2 lit. g DSGVO).

(2) Aufbewahrungspflichten

Der Auftragnehmer ist berechtigt, Dokumentationen, die er benötigt, um die Auftrags- und ordnungsgemässe Datenverarbeitung nachweisen zu können, gemäss den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§ 12 - Haftung, Freistellung und Vertragsstrafen

(1) Haftung der Parteien im Aussenverhältnis

Im Verhältnis zu den betroffenen Personen haften der Auftraggeber und der Auftragnehmer für Schäden, die aus einer schuldhaften Verletzung von Datenschutzbestimmungen im Rahmen der Durchführung des Vertragsverhältnisses oder dieser Vereinbarung zur Auftragsverarbeitung durch den Auftragnehmer, die bei ihm beschäftigten Personen oder durch von ihm nach Massgabe von § 7 eingeschalteten Subunternehmer entstehen.

(2) Haftung des Auftragnehmers

Im Verhältnis zu den betroffenen Personen haftet der Auftragnehmer nur für Schäden, die diesen aus einer schuldhaften Verletzung einer ihm speziell nach den Regelungen der DSGVO oder des DSG oder dieser Vereinbarung zur Auftragsverarbeitung auferlegten Pflicht, entstehen.

(3) Haftung beider Parteien und Rückgriff im Innenverhältnis

Werden sowohl der Auftraggeber als auch der Auftragnehmer von einer betroffenen Person auf Schadensersatz wegen der Verletzung von Pflichten nach der DSGVO oder dem DSG in Anspruch genommen, bestimmt sich die Haftung der Parteien im Innenverhältnis danach, inwieweit die eine und/oder die andere Partei den Schaden verursacht hat.

Anlage 1 - Technisch-organisatorische Massnahmen

Zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus für personenbezogene Daten wurden die nachfolgenden technischen und organisatorischen Massnahmen (TOM) umgesetzt:

Massnahmen zur Vertraulichkeit

  • Mitarbeiter werden im Hinblick auf den Datenschutz zur Vertraulichkeit verpflichtet
  • Rechenzentren sind gesichert und zertifiziert
  • Login mit Benutzername und Passwort sowie Zwei-Faktor-Authentifizierung
  • Passwort-Richtlinie
  • Anti-Virus-Software Clients
  • Firewall
  • Verschlüsselung von Festplatten
  • Verwaltung von Benutzerberechtigungen
  • Trennung von Produktiv- und Testumgebung
  • Physikalische Trennung von Systemen und Datenbanken
  • Logische Mandantentrennung innerhalb der Software
  • Verwaltung der Benutzerrechte durch Administratoren

Massnahmen zur Integrität

  • Nutzung von verschlüsselten Verbindungen
  • Sorgfältige Auswahl der Dienstleister
  • E-Mail-Verschlüsselung
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen

Massnahmen zur Verfügbarkeit

  • Backup & Recovery-Konzept
  • Unterbrechungsfreie Stromversorgung

Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

  • Datenschutz-Management-System
  • Prozess zur Meldung von Datenschutzverletzungen

Anlage 2 - Genehmigte Subunternehmer

Name des Dienstleisters Aufgabe
Digistore24 GmbH, Deutschland Erbringung von Support-Dienstleistung, Plattformwartung und -entwicklung, Kaufabwicklung der Nutzung der Plattform
Google LLC (Serverstandort Europa) Hosting der Plattform digiclose

©2025 Digiclose AG, alle Rechte vorbehalten