AUFTRAGSDATENVERARBEITUNGSVEREINBARUNG
Die vorliegende Vereinbarung (nachfolgend: ADV) konkretisiert die Verpflichtungen der Parteien in Bezug auf die Vorgaben aus dem Schweizer Datenschutzgesetz (DSG) und der Datenschutzgrundverordnung der EU (EU-DGSVO), soweit letztere anwendbar ist. Sie ergänzt diesbezüglich den Mandatsvertrag oder die Mandatsverträge zwischen Libera und dem Kunden.
Diese ADV gilt nur insofern und insoweit als die nachfolgenden Voraussetzungen erfüllt sind:
- Der Kunde ist entweder Verantwortlicher oder Auftragsdatenbearbeiter im Anwendungsbereich des DSG und/oder der EU-DSGVO und
- der Kunde zieht die Libera im Rahmen des Mandatsvertrages als Auftragsdatenbearbeiter oder Unter-Auftragsdatenbearbeiter für die Bearbeitung von Personendaten bzw. von personenbezogenen Daten bei, welche vom Anwendungsbereich des DSG und/oder der EU-DSGVO erfasst sind (nachfolgend: relevante Daten).
1. GEGENSTAND, DAUER UND ART DER BEARBEITUNG
Gegenstand, Dauer sowie Art und Zweck der Bearbeitung ergeben sich aus dem Mandatsvertrag. Die Kategorien der bearbeitenden relevanten Daten, die Kategorien betroffener Personen sowie die zu treffenden technischen und organisatorischen Massnahmen (nachfolgend TOM) sind entweder im Mandatsvertrag oder im Anhang zu dieser ADV aufgeführt.
2. ANWENDUNGSBEREICH UND VERANTWORTLICHKEIT
Libera bearbeitet die relevanten Daten ausschliesslich zum Zweck der Vertragserfüllung bzw. zu den im Mandatsvertrag vereinbarten Zwecken.
Der Kunde ist für die Rechtmässigkeit der Datenbearbeitung an sich, inklusive der Zulässigkeit der Auftrags- /Unter-Auftragsdatenbearbeitung, verantwortlich.
Die Weisungen des Kunden sind in dieser ADV und dem Mandatsvertrag dokumentiert. Der Kunde hat das Recht, Libera jederzeit schriftlich darüberhinausgehende Weisungen in Bezug auf die Bearbeitung der relevanten Daten zu erteilen. Libera kommt diesen Weisungen nach, soweit diese im Rahmen der vertraglich vereinbarten Leistungen durch Libera umsetzbar und objektiv zumutbar sind. Führen solche Weisungen zu Mehrkosten von Libera oder einem geänderten Leistungsumfang, so ist das vertraglich vereinbarte Vertragsanpassungsverfahren anwendbar. Libera informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen das DSG oder die EU-DSGVO verstösst. Libera darf diesfalls die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde. Bei Weisungen des Kunden im Zusammenhang mit der Vergabe von Zugriffsberechtigungen oder der Herausgabe von relevanten Daten an den Kunden selbst gilt das Vorstehende nicht, und Libera darf jederzeit davon ausgehen, dass diese Weisungen gesetzeskonform sind. Sie ist jedoch berechtigt, vom Kunden entsprechende schriftliche Bestätigungen zu verlangen.
3. PFLICHTEN DER LIBERA
Libera bearbeitet die relevanten Daten ausschliesslich gemäss den Bestimmungen aus dem Mandatsvertrag und dieser ADV. Vorbehalten bleibt die Erfüllung gesetzlicher, regulatorischer oder behördlicher Verpflichtungen durch Libera.
Libera wird die im Mandatsvertrag und dem Anhang zu dieser ADV definierten TOM zum Schutz der relevanten Daten treffen. Libera darf die vereinbarten TOM jederzeit anpassen, solange die Datenschutzgesetzgebung eingehalten wird.
Libera führt in Bezug auf die relevanten Daten ein Verzeichnis von Bearbeitungstätigkeiten. Libera wird dem Kunden jederzeit auf Anfrage Einblick in Teile dieses Verzeichnis gewähren, die von der Leistungserbringung von Libera ihm gegenüber betroffen sind.
Libera stellt sicher, dass es den mit der Bearbeitung der relevanten Daten des Kunden befassten Mitarbeitenden und anderen Hilfspersonen von Libera untersagt ist, die relevanten Daten zu anderen als den im Mandatsvertrag genannten Zwecken und abweichend von dieser ADV zu bearbeiten. Ferner stellt Libera sicher, dass sich die zur Bearbeitung der relevanten Daten befugten Personen zur Vertraulichkeit verpflichtet haben und/oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Mandatsvertrages fort.
Libera unterrichtet den Kunden unverzüglich, wenn ihr Verletzungen des Schutzes der relevanten Daten bei Libera oder einem ihrer Unter-Auftragsdatenbearbeiter bekannt werden (Data Breach). Libera informiert den Kunden schriftlich (E-Mail ausreichend) über Art und Ausmass der Verletzung sowie mögliche Abhilfemassnahmen. Die Parteien treffen in so einem Fall die erforderlichen Massnahmen zur Sicherstellung des Schutzes der relevanten Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen sowie die Parteien und sprechen sich hierzu unverzüglich ab.
Libera hat für die Gewährleistung der Datenschutz-Anforderungen eine verantwortliche Organisation/eine zuständige Person ernannt. Diese ist für Anfragen unter datenschutz(at)libera.ch erreichbar.
Mit den relevanten Daten verfährt Libera nach Vertragsende gemäss den vertraglichen Bestimmungen, gibt diese dem Kunden zurück, löscht diese im zumutbaren und technisch möglichen Rahmen oder archiviert die Daten nach den gesetzlichen Aufbewahrungsbestimmungen. Libera bzw. Ihre Unter-Auftragsdatenbearbeiter setzen für die Löschung von relevanten Daten in der IT-Branche etablierte Verfahren ein.
4. PFLICHTEN UND OBLIGENHEITE DES KUNDEN
Der Kunde trifft in seinem Verantwortungsbereich (z.B. auf seinen eigenen Systemen, Gebäuden, Applikationen/Umgebungen in seiner Betriebsverantwortung) selbständig angemessene technische und organisatorische Massnahmen zum Schutz der relevanten Daten.
Der Kunde hat Libera unverzüglich zu informieren, wenn er in der Leistungserbringung von Libera Verletzungen datenschutzrechtlicher Bestimmungen feststellt.
Der Kunde nennt Libera den Ansprechpartner für im Rahmen des Mandatsvertrages anfallende Datenschutzfragen sowie in den Fällen, in denen dies gemäss EU-DSGVO vorgeschrieben ist, den Datenschutzbeauftragten.
5. ANFRAGEN BETROFFENDER PERSONEN
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, Auskunft oder anderen Ansprüchen zu relevanten Daten direkt an Libera, wird Libera die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden nach Angaben der betroffenen Person möglich ist.
Libera verpflichtet sich, den Kunden auf Wunsch und gegen Vergütung im Rahmen ihrer Möglichkeiten bei der Erfüllung ihrer Pflichten gegenüber den betroffenen Personen (v.a. Auskunftsrecht, Löschungsanfrage etc.) zu unterstützen. Darüber hinaus kann Libera dem Kunden gegen separate Vergütung weitergehende Unterstützung, z.B. im Zusammenhang mit einer Datenschutzfolgeabschätzung, Konsultation der Aufsichtsbehörde, Meldungen an diese etc. anbieten.
6. NACHWEISMÖGLICHKEITEN UND AUDITS
Libera ist verpflichtet, dem Kunden auf Verlangen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten gemäss dieser ADV zu dokumentieren.
Datenschutzrechtliche Audit-Rechte des Kunden oder seiner Aufsichtsbehörden sind von einer anerkannten Prüfstelle durchzuführen. Auf jeden Fall sind im Rahmen solcher Audits der Grundsatz der Verhältnismässigkeit einzuhalten sowie die schutzwürdigen Interessen von Libera (namentlich an Geheimhaltung) angemessen zu berücksichtigen. Der Kunde trägt sämtliche Kosten solcher Audits (inklusive nachgewiesene interne Kosten von Libera, die bei der Mitwirkung am Audit entstehen).
Werden nach Vorlage von Nachweisen oder im Rahmen eines Audits Verletzungen dieser ADV oder Mängel bei der Umsetzung der Pflichten von Libera festgestellt, so hat Libera unverzüglich und kostenlos geeignete und zumutbare Korrekturmassnahmen zu implementieren.
7. BEIZUG VON UNTER-AUFTRAGSBEARBEITERN
Libera ist zum Beizug von Unter-Auftragsdatenbearbeitern berechtigt, sofern diese mindestens die aus dieser ADV und dem Mandatsvertrag erwachsenden Verpflichtungen überbindet. Dafür wird die Libera mit ihren Unter-Auftragsdatenbearbeitern geeignete Vereinbarungen treffen.
8. BEKANNTGABE INS AUSLAND
Libera achtet grundsätzlich darauf, Personendaten nur innerhalb der Schweiz zu bearbeiten. Jede Bekanntgabe von relevanten Daten durch Libera ins Ausland oder an eine internationale Organisation ist nur zulässig, wenn Libera die oberwähnten datenschutzrechtlichen Bestimmungen einhält. Soweit hingegen eine solche Bekanntgabe von relevanten Daten vom Kunden gewünscht bzw. in seinem Auftrag erfolgt, obliegt die Einhaltung der entsprechenden Bestimmungen ausschliesslich dem Kunden.
9. SCHLUSSBESTIMMUNGEN
In Abweichung allfälliger Schriftformvorbehalte im Mandatsvertrag kann die vorliegende ADV auch auf elektronischem Weg zwischen den Parteien vereinbart werden.
Die Pflichten aus dieser ADV gelten zusätzlich zu den im Mandatsvertrag festgelegten Pflichten und schränken letztere nicht ein. In Bezug auf die in einem Anhang zu dieser ADV generisch festgelegten TOM gehen im Widerspruchsfall die Regelungen des Mandatsvertrages vor. Im Übrigen gelten die Regelungen des Mandatsvertrag unverändert weiter.
(Stand: August 2023)