Auftragsverarbeitungsvertrag

Die tabside GmbH (nachfolgend „tabside“) erbringt gegenüber ihrer Kundschaft Hosting-Dienstleistungen in Bezug auf eine oder mehrere Websites oder Applikationen der Kundschaft. Bei der Erbringung der Hosting-Dienstleistungen bearbeitet beziehungsweise verarbeitet tabside Personendaten beziehungsweise personenbezogene Daten (nachfolgend einheitlich „Hosting-Daten“ und „Verarbeitung“) im Auftrag der Kundschaft (nachfolgend „Auftragsverarbeitung“).

Inhaltsverzeichnis

Gegenstand

Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag“) regelt die Rechte und Pflichten von tabside und der Kundschaft (nachfolgend „Parteien“) in Bezug auf die Auftragsverarbeitung. tabside ermöglicht der Kundschaft mit diesem Vertrag die Einhaltung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung.

Art, Gegenstand und Zweck der Auftragsverarbeitung ergeben sich aus den jeweiligen bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien wie insbesondere Allgemeinen Geschäftsbedingungen (AGB) und Vereinbarungen für Hosting-Dienstleistungen.

Die Kundschaft bestätigt und tabside anerkennt, dass die Kundschaft für die Verarbeitung von Hosting-Daten gemäss dem anwendbaren Datenschutzrecht selbst verantwortlich ist. Die Kundschaft ist verantwortlich im datenschutzrechtlichen Sinn. tabside ist Auftragsverarbeiterin im datenschutzrechtlichen Sinn. Die Kundschaft bestimmt über Mittel und Zweck der Auftragsverarbeitung sowie über die Kategorien der verarbeiteten Hosting-Daten und die Kategorien der betroffenen Personen.

tabside verarbeitet Hosting-Daten so, wie es für die Erfüllung von Leistungspflichten und sonstigen Pflichten gemäss vertraglichen Vereinbarungen zwischen den Parteien einschliesslich dieses Vertrages erforderlich ist.

Ist die Kundschaft ihrerseits Auftragsverarbeiterin, weil sie gemäss vertraglichen Vereinbarungen für Hosting-Dienstleistungen berechtigt ist, den Speicherplatz ihren eigenen Kundinnen und Kunden zur Verfügung zu stellen, so bestätigt die Kundschaft, dass ihre eigenen Kundinnen und Kunden sie zur Auftragsverarbeitung und zur Unterauftragsverarbeitung durch tabside ermächtigt haben.

Pflichten von tabside

tabside ist verpflichtet, Hosting-Daten ausschliesslich zur Erbringung von Hosting-Dienstleistungen und gemäss vertraglichen Vereinbarungen zwischen den Parteien einschliesslich dieses Vertrages zu verarbeiten. Die Erfüllung gesetzlicher oder regulatorischer Pflichten durch tabside bleibt vorbehalten.

tabside ist bereit, weitergehende, die Auftragsverarbeitung betreffende Weisungen der Kundschaft umzusetzen. Voraussetzungen für diese Bereitschaft sind, dass solche Weisungen für tabside im Rahmen der vertraglichen Vereinbarungen zwischen den Parteien umsetzbar und objektiv zumutbar sind, nicht zu einem geänderten Leistungsumfang führen und keine Mehrkosten verursachen. Die Kundschaft ist verpflichtet, Weisungen in einer Form, die den Nachweis durch Text erlaubt, gegenüber tabside zu dokumentieren.

tabside ist verpflichtet, die Kundschaft zu informieren, wenn tabside feststellt, dass die Verarbeitung von Hosting-Daten in Abweichung von vertraglichen Vereinbarungen zwischen den Parteien oder von Weisungen der Kundschaft erfolgt. Gesetzliche Geheimhaltungspflichten bleiben vorbehalten.

tabside ist verpflichtet, die Kundschaft zu informieren, wenn tabside der Auffassung ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstösst. In diesem Fall ist tabside berechtigt, die betreffende Verarbeitung von Hosting-Daten auszusetzen, bis die Kundschaft die Weisung ausdrücklich und unter vollständiger Freistellung von tabside bestätigt hat. tabside ist nicht verpflichtet, die Einhaltung von anwendbarem Datenschutzrecht durch die Kundschaft zu prüfen.

tabside ist berechtigt und verpflichtet, Hosting-Daten nach Ende der Laufzeit der entsprechenden vertraglichen Vereinbarung über Hosting-Dienstleistungen zu löschen. Es ist Sache der Kundschaft, Hosting-Daten vor Ende der Laufzeit von Hosting-Dienstleistungen herunterzuladen.

tabside ist verpflichtet, für die Einhaltung der Bestimmungen dieses Vertrages durch die mit der Auftragsverarbeitung betrauten Mitarbeitenden und anderen für tabside tätigen Personen, die Zugriff auf Hosting-Daten erhalten, zu sorgen. tabside ist verpflichtet, Personen mit Zugang zu Hosting-Daten zur Wahrung der Geheimhaltung zu verpflichten, sofern nicht bereits eine entsprechende gesetzliche Verpflichtung zur Geheimhaltung besteht.

Pflichten der Kundschaft

Die Kundschaft ist verpflichtet, in ihrem Verantwortungsbereich selbstständig geeignete technische und organisatorische Massnahmen zum Schutz der Hosting-Daten zu treffen.

Die Kundschaft ist verpflichtet, tabside ohne Verzug zu informieren, wenn die Kundschaft im Zusammenhang mit der Auftragsverarbeitung eine Verletzung von anwendbarem Datenschutzrecht oder von Pflichten gemäss diesem Vertrag feststellt.

Datensicherheit

tabside gewährleistet im Interesse der Integrität, Nachvollziehbarkeit, Verfügbarkeit und Vertraulichkeit der Hosting-Daten mit geeigneten technischen und organisatorischen Massnahmen eine dem Risiko angemessene Datensicherheit. tabside implementiert insbesondere Zugangs- und Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung und Bewertung der Wirksamkeit der ergriffenen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt tabside insbesondere die Art der verarbeiteten Hosting-Daten, Art, Umfang, Umstände und Zweck der Auftragsverarbeitung, die hauptsächlichen Gefahren sowie die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen Massnahmen.

tabside informiert die Kundschaft ohne Verzug, wenn tabside Kenntnis von einer Verletzung der Datensicherheit erlangt, die Hosting-Daten betrifft. Dabei teilt tabside der Kundschaft die Art der Verletzung und deren Folgen sowie die ergriffenen oder vorgesehenen Massnahmen mit. Die Parteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der Hosting-Daten sicherzustellen und mögliche Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen zu mildern. tabside stellt der Kundschaft auf Anfrage ausreichende Informationen zur Verfügung, damit die Kundschaft ihre Pflichten gemäss anwendbarem Datenschutzrecht betreffend die Meldung von Verletzungen der Datensicherheit erfüllen kann.

Unterstützung für die Kundschaft

tabside unterstützt die Kundschaft auf Anfrage und gegen angemessene separate Vergütung sowie im Rahmen der betrieblichen Möglichkeiten und Ressourcen bei der Erfüllung von datenschutzrechtlichen Ansprüchen betroffener Personen. Richtet sich eine betroffene Person mit datenschutzrechtlichen Ansprüchen, welche die Kundschaft betreffen, direkt an tabside, wird tabside die betroffene Person an die Kundschaft verweisen. Voraussetzung dafür ist, dass tabside eine Zuordnung an die Kundschaft gestützt auf die Angaben der betroffenen Person vornehmen kann.

tabside ist bereit, der Kundschaft auf Anfrage und gegen angemessene separate Vergütung sowie unter Berücksichtigung der betrieblichen Möglichkeiten und Ressourcen bei Datenschutz-Folgenabschätzungen und bei Konsultationen von Datenschutz-Aufsichtsbehörden zu unterstützen.

Beizug von Unterauftragsverarbeitenden

tabside ist berechtigt, Dritte für die Erbringung von Hosting-Dienstleistungen beizuziehen. tabside bleibt in diesem Fall gegenüber der Kundschaft Auftragsverarbeiterin und erfüllt die Pflichten gemäss diesem Vertrag. Davon zu unterscheiden sind Fälle, in denen tabside der Kundschaft einen direkten Vertragsschluss mit Dritten vermittelt, und Dritte direkt im Auftrag der Kundschaft tätig werden. In solchen Fällen hat die Kundschaft selbst dafür besorgt zu sein, gemäss anwendbarem Datenschutzrecht allenfalls erforderliche Vereinbarungen mit den Dritten zu treffen.

Informations- und Prüfrechte

tabside stellt der Kundschaft auf Anfrage alle Informationen zur Verfügung, welche die Kundschaft vernünftigerweise zum Nachweis der Einhaltung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung gegenüber betroffenen Personen oder Datenschutz-Aufsichtsbehörden benötigt.

tabside ermöglicht der Kundschaft oder einer von der Kundschaft beauftragten und zur Vertraulichkeit verpflichteten Prüfperson, die Einhaltung dieses Vertrages durch tabside zu prüfen. Die Prüfung hat mit vorheriger Anmeldung zu erfolgen, sofern eine Prüfung ohne vorherige Anmeldung nicht erforderlich erscheint, weil andernfalls der Prüfzweck gefährdet ist.

Bei nachgewiesenen Verletzungen von Pflichten gemäss diesem Vertrag implementiert tabside ohne Mehrkosten für die Kundschaft und ohne Verzug geeignete Korrekturmassnahmen.

Die vorstehenden Informations- und Prüfrechte der Kundschaft bestehen nur insoweit, als die vertraglichen Vereinbarungen der Kundschaft keine anderen Informations- und Prüfmöglichkeiten einräumen. Weiter stehen die Informations- und Prüfrechte unter dem Vorbehalt der Verhältnismässigkeit und der Wahrung der schutzwürdigen Interessen wie insbesondere Geheimhaltungs- und Sicherheitsinteressen von tabside. Die Kundschaft trägt vorbehältlich anderslautender Vereinbarungen zwischen den Parteien sämtliche Kosten von Information und Prüfung einschliesslich der Kosten von tabside.

Änderungen und Dauer

Dieser Vertrag gilt während der Laufzeit jeder Auftragsverarbeitung gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien.

tabside ist jederzeit berechtigt, diesen Vertrag zu ändern. tabside informiert die Kundschaft vorab in geeigneter Weise, wenn tabside beabsichtigt, diesen Vertrag zu ändern. Wenn die Kundschaft der Änderung nicht innerhalb von 30 Tagen nach dem Datum der Information widerspricht, gilt die Änderung als genehmigt. Sofern tabside nach einem Widerspruch nicht bereit ist, auf die Änderung zu verzichten oder der Kundschaft eine andere Lösung anzubieten, ist die Kundschaft berechtigt, die entsprechende Vereinbarung über Hosting-Dienstleistungen ausserordentlich und fristlos zu kündigen, sofern die Änderung nicht akzeptiert wird.

Dieser Vertrag gilt für unbestimmte Dauer. Dieser Vertrag endet automatisch mit der letzten Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.

Schlussbestimmungen

Hier verwendete datenschutzrechtliche Begriffe entsprechen in ihrer Bedeutung der im anwendbaren Datenschutzrecht verwendeten Terminologie, beispielsweise „personenbezogene Daten“ und „Personendaten“.

Die Kommunikation gemäss diesem Vertrag ist an die E-Mail-Adresse der Kundschaft gemäss my.tabside beziehungsweise für tabside an web@tabside.ch zu richten.

Die Bestimmungen dieses Vertrages gehen bei Widersprüchen den Bestimmungen in sonstigen vertraglichen Vereinbarungen zwischen den Parteien vor.

Die Parteien können im gegenseitigen Einvernehmen jederzeit Abweichungen von diesem Vertrag vereinbaren.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder nichtig sein oder werden, berührt dieser Umstand die Wirksamkeit oder Gültigkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder nichtigen Bestimmungen treten diejenigen Bestimmungen, welche die Parteien bei Kenntnis des Mangels beim Vertragsschluss nach Treu und Glauben sowie nach wirtschaftlicher Betrachtungsweise getroffen hätten. Entsprechendes gilt im Fall etwaiger Lücken in diesem Vertrag.

Auf allfällige aus oder im Zusammenhang mit diesem Vertrag entstehende Streitigkeiten ist ausschliesslich schweizerisches Recht anwendbar, unter Ausschluss der kollisionsrechtlichen Bestimmungen.

Ausschliesslicher Gerichtsstand bilden die ordentlichen Gerichte am Sitz von tabside. Alternativ ist tabside berechtigt, die Kundschaft an deren Sitz zu belangen.