Auftragsverarbeitungsvertrag (AVV)
Stand: 1. Januar 2025
|
1.
|
Einleitung
|
|
1.1
|
Dieser Auftragsverarbeitungsvertrag (AVV) regelt
die Rechte und Pflichten der schweizerischen Astra Group GmbH (nachfolgend die «Auftragnehmerin») sowie
einzelnen Auftraggeberinnen und Auftraggebern (nachfolgend einheitlich jeweils die
«Auftraggeberin» und gemeinsam die «Parteien») im Zusammenhang mit der Auftragsbearbeitung
bzw. Auftragsverarbeitung von Personendaten bzw. personenbezogener Daten (nachfolgend
einheitlich die
«Auftragsverarbeitung» und die «Personendaten»).
|
|
1.2
|
Dieser AVV ist für alle Tätigkeiten anwendbar, bei denen
die Auftragnehmerin ganz oder teilweise Personendaten im Auftrag der Auftraggeberin bearbeitet bzw.
verarbeitet oder bearbeiten bzw. verarbeiten (nachfolgend einheitlich «verarbeiten») lässt.
|
|
1.3
|
Die Auftragnehmerin unterliegt dem schweizerischen
Datenschutzrecht, insbesondere gemäss
dem Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG), und
sonstigem anwendbarem Datenschutzrecht. Mit diesem AVV ermöglicht die Auftragnehmerin der
Auftraggeberin
die Einhaltung der anwendbaren datenschutzrechtlichen Anforderungen für die
Auftragsverarbeitung.
|
|
2.
|
Art, Gegenstand und
Zweck der Auftragsverarbeitung
|
|
2.1
|
Die Auftragsverarbeitung erfolgt gemäss bestehenden oder
noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien. Die Bestimmungen dieses AVV haben
Vorrang
bei einem Widerspruch zwischen den Bestimmungen dieses AVV und sonstigen
vertraglichen
Vereinbarungen zwischen den Parteien.
|
|
2.2
|
Die Auftragsverarbeitung umfasst jeden Umgang mit
Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Archivieren, Aufbewahren,
Bekanntgeben, Beschaffen, Löschen, Speichern, Verändern, Vernichten und Verwenden von
Personendaten. Personendaten sind alle Angaben, die sich auf eine bestimmte oder
bestimmbare Person
beziehen.
|
|
2.3
|
Die Auftragsverarbeitung umfasst die Kategorien von
Personendaten gemäss Anhang 1.
|
|
2.4
|
Die Auftragsverarbeitung umfasst die Kategorien
betroffener Personen, deren Personendaten
verarbeitet werden, gemäss Anhang 2.
|
|
3.
|
Pflichten der Parteien
|
|
3.1
|
Die Auftragnehmerin verarbeitet Personendaten
ausschliesslich für den Zweck bzw. die Zwecke gemäss den vertraglichen Vereinbarungen zwischen den Parteien, sofern
die Auftragnehmerin keine weiteren dokumentierten Weisungen von der Auftraggeberin erhält.
|
|
3.2
|
Die Auftragnehmerin verarbeitet Personendaten
ausschliesslich wie direkt vertraglich vereinbart oder gemäss dokumentierten Weisungen der Auftraggeberin im vertraglich
vereinbarten
Rahmen, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch
zu einer bestimmten Verarbeitung verpflichtet. Die Auftragnehmerin ist nicht verpflichtet,
vertragliche Vereinbarungen oder erteilte Weisungen auf Verstösse gegen anwendbare
datenschutzrechtliche und
sonstige rechtliche Anforderungen zu prüfen.
|
|
3.3
|
Die Auftraggeberin kann während der gesamten Dauer der
Auftragsverarbeitung weitere dokumentierte Weisungen im vertraglich vereinbarten Rahmen erteilen. Die
Auftraggeberin trägt
die allfälligen Mehraufwendungen der Auftragnehmerin aufgrund solcher
weiteren Weisungen.
|
|
3.4
|
Die Auftragnehmerin verarbeitet Personendaten auf
unbestimmte Zeit bis zur Kündigung dieses AVV oder der Kündigung der letzten vertraglichen Vereinbarung zwischen
den Parteien,
die eine Auftragsverarbeitung betrifft.
|
|
4.
|
Datensicherheit
|
|
4.1
|
Die Auftragnehmerin ergreift geeignete technische und
organisatorische Massnahmen (TOM),
um eine dem Risiko angemessene Sicherheit der verarbeiteten Personendaten zu gewährleisten. Die Massnahmen der Auftragnehmerin umfassen insbesondere den Schutz der
verarbeiteten Personendaten vor einer Verletzung der Sicherheit, die, jeweils
unbeabsichtigt oder unrechtmässig, zur unbefugten Bekanntgabe von Personendaten bzw. zum
unbefugten Zugang
zu Personendaten oder zur Veränderung, zum Verlust oder zur Vernichtung von
Personendaten führt (nachfolgend gemeinsam die «Verletzungen der
Datensicherheit»).
|
|
4.2
|
Die Auftragnehmerin gewährt ihrem Personal und ihren
sonstigen Hilfspersonen nur insoweit
Zugang zu Personendaten, als ein solcher Zugang für die Durchführung,
Überwachung und
Verwaltung dieses AVV erforderlich ist. Die Auftragnehmerin gewährleistet,
dass sich die zur
Auftragsverarbeitung befugten Personen zur Geheimhaltung verpflichtet haben
oder einer an
gemessenen gesetzlichen Geheimhaltung unterliegen.
|
|
5.
|
Dokumentation und
Prüfmöglichkeiten
|
|
5.1
|
Die Parteien müssen die Einhaltung dieses AVV nachweisen
können. Die Auftragnehmerin bearbeitet in angemessener Weise und so bald wie möglich Anfragen der
Auftraggeberin zur Auftragsverarbeitung gemäss diesem AVV.
|
|
5.2
|
Die Auftragnehmerin ermöglicht der Auftraggeberin auf
Verlangen die Prüfung der Auftragsverarbeitung gemäss diesem AVV in angemessenen Abständen oder bei
dokumentierten
Anzeichen für eine Nichteinhaltung.
|
|
5.3
|
Die Auftraggeberin kann eine Prüfung selbst durchführen
oder durch eine unabhängige Prüferin bzw. einen unabhängigen Prüfer durchführen lassen. Eine Prüfung kann
auch Inspektionen in den physischen Einrichtungen oder Räumlichkeiten der Auftragnehmerin
umfassen, sofern solche Inspektionen erforderlich sind, zu den üblichen Geschäftszeiten
ohne Störung des
Betriebsablaufs stattfinden und die Anmeldung unter Berücksichtigung einer
angemessenen
Vorlaufzeit erfolgt. Solche Inspektionen sind nur zulässig, sofern und
soweit die Prüfung nicht
durch geeignete Nachweise wie beispielsweise Berichte, Dokumentationen,
Zertifikate oder
Zertifizierungen erfolgen kann, insbesondere bei Rechenzentren.
|
|
5.4
|
Die Auftraggeberin trägt die Aufwendungen der
Auftragnehmerin für solche Prüfungen.
|
|
6.
|
Unterauftragsverarbeitung
|
|
6.1
|
Die Auftraggeberin erteilt der Auftragnehmerin die
allgemeine Genehmigung für die Beauftragung der Unterauftragsverarbeiter gemäss der Liste in Anhang 3.
|
|
6.2
|
Die Auftragnehmerin unterrichtet die Auftraggeberin
mindestens 30 Tage im Voraus in elektronischer oder schriftlicher Form über alle beabsichtigten Änderungen dieser
Liste durch Ersetzen oder Hinzufügen von Unterauftragsverarbeitern. Die Auftragnehmerin
räumt der Auftraggeberin damit ausreichend Zeit ein, um allenfalls Widerspruch gegen die
beabsichtigten
Änderungen erheben zu können.
|
|
6.3
|
Erfolgt kein fristgerechter Widerspruch, gelten die
beabsichtigten Änderungen als genehmigt.
Ist bei einem Widerspruch keine einvernehmliche Klärung zwischen den
Parteien über die geplanten Änderungen möglich und ist die Auftraggeberin nicht bereit, auf
ihren Widerspruch
zu verzichten, ist jede Partei berechtigt, diesen AVV ausserordentlich auf
den Zeitpunkt der
geplanten Änderungen zu kündigen. Wenn die Auftraggeberin den AVV nicht
ausserordentlich kündigt, gelten die beabsichtigten Änderungen trotz des
ursprünglichen Widerspruchs als genehmigt.
|
|
6.4
|
Die Auftragnehmerin muss Unterauftragsverarbeitern, die
zur Durchführung der Auftragsverarbeitung beauftragt werden, vertraglich im Wesentlichen die gleichen
Pflichten auferlegen
wie diejenigen, die für die Auftragnehmerin gemäss diesem AVV gelten.
|
|
7.
|
Auftragsverarbeitung
im Ausland
|
|
7.1
|
Die Auftragsverarbeitung erfolgt in der Schweiz und in
Ländern, deren Datenschutzrecht gemäss dem Schweizerischen Bundesrat ein angemessenes Schutzniveau für
Personendaten gewährleistet. Dazu zählen insbesondere die Länder im Europäischen
Wirtschaftsraum (EWR).
|
|
7.2
|
Die Auftragsverarbeitung in einem Land, dessen
Datenschutzrecht kein angemessenes Schutzniveau von Personendaten gewährleistet, darf erfolgen, wenn aus anderen
Gründen ein geeignetes Schutzniveau gemäss den anwendbaren datenschutzrechtlichen
Anforderungen gewährleistet ist, insbesondere gemäss zwischenstaatlichen Vereinbarungen oder auf
Grundlage von
geltenden Standarddatenschutzklauseln, die vom Eidgenössischen Datenschutz-
und Öffentlichkeitsbeauftragten (EDÖB) anerkannt, ausgestellt oder genehmigt wurden.
Die Auftragnehmerin ist bei Bedarf berechtigt, Standarddatenschutzklauseln der
Europäischen Kommission
gemäss Empfehlungen des EDÖB so anzupassen und zu ergänzen, dass die
Standarddatenschutzklauseln auch den anwendbaren datenschutzrechtlichen Anforderungen in
der Schweiz
entsprechen.
|
|
8.
|
Unterstützung der
Auftraggeberin gegenüber betroffenen Personen
|
|
8.1
|
Die Auftragnehmerin informiert die Auftraggeberin
unverzüglich über jeden Antrag, den sie
von einer betroffenen Person erhalten hat und der die Auftragsverarbeitung
betrifft. Die Auftragnehmerin ist berechtigt, der betroffenen Person den Erhalt zu
bestätigen, beantwortet den
Antrag im Übrigen aber nicht selbst, es sei denn, sie wurde von der
Auftraggeberin dazu ermächtigt.
|
|
8.2
|
Die Auftragnehmerin unterstützt die Auftraggeberin unter
Berücksichtigung der Art der Auftragsverarbeitung bei der Erfüllung ihrer Pflicht, Anträge betroffener
Personen auf Ausübung
ihrer Rechte zu beantworten. Bei dieser Unterstützung befolgt die
Auftragnehmerin die Weisungen der Auftraggeberin.
|
|
8.3
|
Die Auftraggeberin trägt die Aufwendungen der
Auftragnehmerin für eine solche Unterstüt
zung.
|
|
9.
|
Unterstützung und
Zusammenarbeit bei Verletzungen der Datensicherheit
|
|
9.1
|
Die Auftragnehmerin arbeitet im Fall einer Verletzung der
Datensicherheit mit der Auftraggeberin zusammen und unterstützt sie entsprechend, damit die Auftraggeberin
ihren Pflichten
zur Meldung von Verletzungen der Datensicherheit an die zuständige(n)
Aufsichtsbehörde(n)
bzw. zur Benachrichtigung der von Verletzungen der Datensicherheit
betroffenen Personen
nachkommen kann, wobei die Auftragnehmerin die Art der Auftragsverarbeitung
und die ihr
zur Verfügung stehenden Informationen berücksichtigt.
|
|
9.2
|
Die Auftragnehmerin informiert bei einer Verletzung der
Datensicherheit im Zusammenhang
mit den von ihr verarbeiteten Personendaten unverzüglich nach Bekanntwerden
der Verletzung die Auftraggeberin.
|
|
9.3
|
Die Auftraggeberin trägt die Aufwendungen der
Auftragnehmerin für eine solche Unterstützung und Zusammenarbeit.
|
|
10.
|
Aussetzung der
Auftragsverarbeitung
|
|
Für den Fall, dass die Auftragnehmerin ihren Pflichten
gemäss diesem AVV nicht nachkommt,
kann die Auftraggeberin die Auftragnehmerin anweisen, die
Auftragsverarbeitung von Personendaten auszusetzen, bis die Auftragnehmerin diesen AVV einhält oder dieser
AVV beendet
ist. Die Auftragnehmerin informiert die Auftraggeberin unverzüglich, wenn
sie sich – aus welchen Gründen auch immer – nicht in der Lage sieht, diesen AVV einzuhalten.
|
|
11.
|
Haftung
|
|
Die Haftungsregelung richtet sich nach einer allfälligen
Haftungsregelung gemäss den vertraglichen Vereinbarungen zwischen den Parteien.
|
|
12.
|
Kündigung
|
||||
|
12.1
|
Die Auftraggeberin ist berechtigt, diesen AVV ausserordentlich und
fristlos zu kündigen,
wenn:
|
||||
|
12.2
|
Die Auftragnehmerin ist berechtigt, diesen AVV ausserordentlich und fristlos
zu kündigen,
wenn die Auftraggeberin auf der Erfüllung einer vertraglichen Vereinbarung
oder Weisung
besteht, nachdem sie von der Auftragnehmerin darüber in Kenntnis gesetzt
wurde, dass die
vertragliche Vereinbarung oder Weisung gegen anwendbare
datenschutzrechtliche Anforderungen verstösst.
|
||||
|
12.3
|
Die Parteien sind berechtigt, diesen AVV mit einer Frist von 30 Tagen
ordentlich zu kündigen,
sofern vertragliche Vereinbarungen zwischen den Parteien keine oder keine
andere Kündigungsfrist vorsehen.
|
||||
|
12.4
|
Nach Beendigung dieses AVV löscht die Auftragnehmerin alle im Auftrag der
Auftraggeberin
verarbeiteten Personendaten, es sei denn, die Auftragnehmerin ist gesetzlich
oder regulatorisch
berechtigt oder verpflichtet, die Personendaten zu speichern. Bis zur
Löschung der Personendaten gewährleistet die Auftragnehmerin die Einhaltung dieses AVV.
|
|
13.
|
Schlussbestimmungen
|
|
13.1
|
Dieser AVV kann in elektronischer oder schriftlicher Form
oder durch Verweis in sonstigen
vertraglichen Vereinbarungen zwischen den Parteien geschlossen werden.
Anpassungen dieses AVV können in elektronischer Form erfolgen.
|
|
13.2
|
Die Parteien informieren sich gegenseitig über eine
allfällige Datenschutzberaterin oder über
einen allfälligen Datenschutzberater bzw. über eine allfällige
Datenschutzbeauftragte oder
über einen allfälligen Datenschutzbeauftragten gemäss den anwendbaren
datenschutzrechtlichen Anforderungen.
|
|
13.3
|
Sollten sich einzelne Bestimmungen dieses AVV als
lückenhaft, nichtig oder unwirksam erweisen, so werden dadurch die Geltung und die Wirksamkeit der übrigen
Bestimmungen nicht
berührt. Die Parteien werden in einem solchen Fall die betroffenen
Bestimmungen so anpassen,
auslegen oder ersetzen, dass der mit den lückenhaften, nichtigen oder
unwirksam gewordenen
Bestimmungen angestrebte Zweck so weit wie möglich erreicht wird.
|
|
13.4
|
Dieser AVV unterliegt ausschliesslich schweizerischem
Recht. Ausschliesslicher Gerichtsstand
ist am Sitz der Auftragnehmerin. Unabhängig davon ist die Auftragnehmerin
berechtigt, Ansprüche im eigenen Ermessen auch am Sitz der Auftraggeberin geltend zu
machen.
|
Anhang 1 – Kategorien der verarbeiteten Personendaten
Die Auftragsverarbeitung umfasst folgende Kategorien von Personendaten:
- Bewerbungsdaten einschliesslich Bonitätsdaten
- Zahlungs- und Finanzdaten
- Verifizierungs- und Identifikationsdaten
- Kommunikations- und Interaktionsdaten
- Kunden- und Kontaktdaten
- Nutzungsdaten
- Sonstige Kategorien von Personendaten
Die Auftraggeberin informiert die Auftragnehmerin in dokumentierter Form, sofern die Auftraggeberin einzelne andere oder zusätzliche Kategorien von Personendaten ausdrücklich in diesem Anhang aufführen möchte.
Anhang 2 – Kategorien betroffener Personen, deren Daten verarbeitet werden
Die Auftragsverarbeitung umfasst folgende Kategorien betroffener Personen, deren Personendaten verarbeitet werden:
- Mietinteressenten und Mieter
- Vermieter und ihre Hilfspersonen
- Sonstige Kategorien betroffener Personen
Die Auftraggeberin informiert die Auftragnehmerin in dokumentierter Form, sofern die Auftraggeberin einzelne andere oder zusätzliche Kategorien betroffener Personen, deren Personendaten verarbeitet werden, ausdrücklich in diesem Anhang aufführen möchte.
Anhang 3 – Liste der Unterauftragsverarbeiter
- Amazon.com, Inc.; Deutschland; Cloud-Server, Web-Hosting, System-Hosting, Datenspeicherung
- Mollie B.V.; Niederlanden; Zahlungsabwicklung
- Infomaniak Network SA; Schweiz; Domain-Hosting, E-Mail-Hosting
- Google LLC..; USA, EU; Email-Server, Email-Verkehr