Auftragsverarbeitungsvertrag

Version 07.2023



Dieser Auftragsbearbeitungsvertrag konkretisiert die Verpflichtungen betreffend Datenschutz, welche sich aus dem Vertragsverhältnis zwischen der Doku AG (nachfolgend "Doku" oder "Auftragsbearbeiter") und ihren Kundinnen und Kunden (nachfolgend "Kunde" oder "Verantwortlicher") ergeben. Für sämtliche anfallende Datenschutzfragen kann der Auftraggeber den Datenschutzbeauftragen von Doku über info@doku.ch erreichen.

 

I. Gegenstand und Dauer des Vertrages


Gegenstand

Gegenstand des Vertrages ist die Bearbeitung von Personendaten des Verantwortlichen im Rahmen der Nutzung der vom Auftragsverarbeiter bereitgestellten Plattform.

Im Übrigen richtet sich der Gegenstand des Vertrages nach dem Hauptvertrag.


Dauer

Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages, soweit sich aus den Bestimmungen dieses Vertrages nichts anderes ergibt. Er gilt mindestens so lange als der Auftragsverarbeiter Personendaten des Verantwortlichen bearbeitet.


Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoss des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 9 DSG / Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoss dar.



II. Ort der Durchführung, Kategorien der personenbezogenen Daten, Kategorien betroffener Personen, Art und Zweck der Verarbeitung


Ort der Durchführung der Auftragsverarbeitung

Die Datenverarbeitungstätigkeiten werden hauptsächlich innerhalb der Schweiz oder der EU bzw. des EWR durchgeführt. In Ausnahmefällen können gewisse Datenverarbeitungstätigkeiten aber auch ausserhalb der Schweiz oder der EU bzw. des EWR durchgeführt werden (USA). Sofern sich das angemessene Datenschutzniveau nicht aus einem Angemessenheitsbeschluss der Schweizer Behörden nach Art. 16 Abs. 1 DSG resp. der Europäischen Kommission nach Art. 45 DSGVO ergibt, folgt dieses aus:


·         Standarddatenschutzklauseln nach Art. 16 Abs. 2 Bst. d DSG resp. Art. 46 Abs. 2 Bst. c und d DSGVO.

·         Oder einer Ausnahme für den Einzelfall nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO.


Kategorien von Daten

Die übermittelten personenbezogenen Daten gehören insbesondere zu folgenden Datenkategorien:


·         Mitarbeiterdaten (z.B. Anrede, Name, Vorname, Anschrift des Arbeitgebers, Geschlecht, Kontaktinformationen, Sprache, Benutzernamen, Titel und Funktion im Unternehmen)

·         Organisationsdaten (z.B. Mitarbeitende, Standorte, Partner)

·         Inventardaten (z.B. Hardware, Software, virtuelle Server, Firewalls etc.)

·         Projektdaten (z.B. Beschrieb, Beschlüsse, Budget, Kosten etc.)

·         Konfigurationsdaten (z.B. IP-Adressen, Firmware- und Software-Stand, Rollen, Berechtigungen, Gruppen etc.)

·         Kommunikationsdaten (z.B. Kommentare, Bemerkungen, Chats, etc.)

·         Benutzerdaten (z.B. Profil, Benutzername, etc.)


Kategorien betroffener Personen

Die übermittelten personenbezogenen Daten betreffen insbesondere folgende Kategorien betroffener Personen:


·        Mitarbeiter des Verantwortlichen

·        Mitarbeiter der Kunden des Verantwortlichen

·        Mitarbeiter der Partner und Lieferanten des Verantwortlichen

·        Mitarbeiter der Partner und Lieferanten des Kunden des Verantwortlichen


Art und Zweck der Verarbeitung

Die übermittelten personenbezogenen Daten werden zum Zweck der Dokumentation der Organisation sowie des durch die Organisation verwalteten IT-Inventars des Verantwortlichen auf der Plattform des Auftragsverarbeiters verarbeitet.



III. Pflichten des Auftragsverarbeiters


(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich gemäss den vertraglichen Bestimmungen dieses Vertrages oder wie vom Verantwortlichen in dokumentierter Weise angewiesen, es sei denn, der Auftragsverarbeiter ist gesetzlich zu einer weiteren Verarbeitung verpflichtet. Der Auftragsverarbeiter teilt solche Pflichten dem Verantwortlichen vor der Verarbeitung mit, es sei denn, das betreffende Recht verbietet eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses.


(2) Die unbedingte Befolgung der Anweisungen des Verantwortlichen gilt insbesondere auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland (ausserhalb der Schweiz oder der EU/des EWR) oder eine internationale Organisation – sofern der Auftragsverarbeiter nicht durch das jeweils anwendbare Recht abweichend verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.


(3) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Verantwortlichen in Folge in schriftlicher Form oder in einem elektronischen Format (Textform) an den Auftragsverarbeiter durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).


(4) Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.


(5) Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Zustimmung des Verantwortlichen nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.


(6) Der Auftragsverarbeiter trennt die im Rahmen dieses Vertrages zu verarbeitenden Daten von anderen Datenbeständen.


(7) Der Auftragsverarbeiter verpflichtet sich im Rahmen der Datenverarbeitung die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften zu beachten. Der Auftragsverarbeiter bestätigt, dass den von ihm zur Datenverarbeitung eingesetzten Personen die relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut sind. Entsprechende Schulungs- und Sensibilisierungsmassnahmen haben in regelmässigen Abständen zu erfolgen.


(8) Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.


(9) Der Auftragsverarbeiter unterstützt den Verantwortlichen im erforderlichen Ausmass bei der Gewährung der Rechte der betroffenen Personen nach Art. 25 – 29 DSG resp. Art. 12 bis 22 DSGVO. Falls eine betroffene Person eine Anfrage direkt an den Auftragsverarbeiter sendet, leitet dieser die Anfrage umgehend an den Verantwortlichen weiter. Auskünfte an Dritte oder Betroffene darf der Auftragsverarbeiter nur nach vorheriger Zustimmung durch den Verantwortlichen erteilen.


(10) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 8, 22 und 24 DSG resp. Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmassnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgenabschätzung, vorherige Konsultation).


(11) Wird der Verantwortliche durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen, verpflichtet sich der Auftragsverarbeiter, den Verantwortlichen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.


(12) Der Auftragsverarbeiter informiert den Verantwortlichen umgehend, wenn eine erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstösst. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftragsverarbeiter nach Überprüfung bestätigt oder geändert wird.


(13) Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Verantwortliche dies verlangt und keine berechtigten Interessen des Auftragsverarbeiters dem entgegenstehen.


(14) Ein betrieblicher Datenschutzbeauftragter resp. Datenschutzberater ist beim Auftragsverarbeiter nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. Der Ansprechpartner für Datenschutzfragen beim Auftragsverarbeiter kann dessen Datenschutzerklärung entnommen werden.



IV. Unterauftragsverarbeiter (Art. 9 Abs 3 DSG / Art. 28 Abs. 2 DSGVO, Art. 28 Abs. 3 Satz 2 Bst. d DSGVO)


(1) Der Auftragsverarbeiter ist befugt, jederzeit Unterauftragsverarbeiter zu beauftragen.


(2) Die Beauftragung ist dem Verantwortlichen vor der Auftragsvergabe anzuzeigen.


(3) Der Verantwortliche kann der geplanten Hinzuziehung oder geplanten Ersetzung – innerhalb einer angemessenen, allenfalls vom Auftragsverarbeiter gesetzten Frist – aus wichtigem Grund widersprechen.


(4) Sollte der Auftragnehmer trotz Einspruchs des Auftraggebers am beanstandeten Unterauftragsverarbeiter festhalten, so hat der Auftraggeber das Recht, den Vertrag spätestens auf den Zeitpunkt der Beiziehung des Unterauftragsverarbeiters und damit ausserordentlich zu kündigen.


(5) Der Verantwortliche stimmt zu, dass zum Zeitpunkt des Vertragsschlusses die in Anhang 2 aufgelisteten Unterauftragsverarbeiter für den Auftragsverarbeiter tätig sind. Die Art und der Umfang ihrer Datenverarbeitung sind ebenfalls in Anhang 2 definiert.


(6) Die vertraglich vereinbarten Regelungen zwischen Verantwortlichem und Auftragsverarbeiter gelten auch gegenüber Unterauftragsverarbeitern.


(7) Dem Verantwortlichen ist auf Anfrage Einsicht in die relevanten Verträge zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter zu gewähren.


(8) Der Verantwortliche ist berechtigt, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Unterauftragsverarbeitern durchzuführen oder durch Dritte durchführen zu lassen.


(9) Die Verantwortlichkeiten des Auftragsverarbeiters und Unterauftragsverarbeiters sind klar voneinander abzugrenzen.


(10) Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters.



V. Technische und organisatorische Massnahmen


(1) Der Auftragsverarbeiter ergreift alle erforderlichen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art. 8 DSG resp. Art. 32 DSGVO. Die Massnahmen gewährleisten ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.


(2) Die erforderlichen technischen und organisatorischen Massnahmen sind im Anhang 1 zu diesem Vertrag dokumentiert.


(3) Wesentliche Änderungen sind ebenfalls umgehend zu dokumentieren.


(4) Soweit die getroffenen Sicherheitsmassnahmen den Anforderungen des Verantwortlichen nicht oder nicht mehr genügen, benachrichtigt Letzterer den Auftragsverarbeiter.



VI. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags

(1)           Der Auftragsverarbeiter ist nach Beendigung der Auftragsverarbeitung verpflichtet, alle Verarbeitungsergebnisse und übermittelten personenbezogenen Daten und deren Kopien, dem Verantwortlichen zurückzugeben oder in dessen Auftrag zu vernichten, sofern nicht nach dem jeweils anwendbaren Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Die Rückgabe der Kopien bzw. der Abschluss des Löschvorgangs ist schriftlich zu bestätigen.


(2)         Wenn der Auftragsverarbeiter die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Verantwortlichen in dem Format, in dem er die Daten vom Verantwortlichen erhalten hat oder in einem anderen, gängigen Format zurückzugeben.



VII. Rechte und Pflichten des Verantwortlichen


Der Verantwortliche ist berechtigt,


(1) die Einhaltung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Massnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen in angemessenem Umfang selbst oder durch Dritte vor Ort zu kontrollieren. Sollte der Dritte in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen, kann der Auftragsverarbeiter diesen Dritten ablehnen und eine neutrale Person vorschlagen. Den mit der Kontrolle betrauten Personen ist vom Auftragsverarbeiter soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragsverarbeiter erteilt die erforderlichen Auskünfte. Er kann von den mit der Kontrolle betrauten Personen die vorgängige Unterzeichnung einer Verschwiegenheitserklärung verlangen.

 

(2) Kontrollen beim Auftragsverarbeiter erfolgen ohne vermeidbare Störungen seines Geschäftsbetriebs und ausser bei dringlichen Gründen nach angemessener Vorankündigung und während der Geschäftszeiten des Auftragsverarbeiters.

 

Der Verantwortliche ist verpflichtet:


(1) sicher zu stellen, dass die Rechtmässigkeit der Verarbeitung gemäss Art. 6 Abs. 1 DSG resp. Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO gegeben ist;


(2) zu gewährleisten, dass die Rechte der betroffenen Personen nach den Art. 25 bis 29 DSG resp. den Art. 12 bis 22 DSGVO gewahrt werden. Wenn allerdings nur der Auftragsverarbeiter die Kompetenz hat, den Anfragen nachzukommen, leitet der Verantwortliche ihm die betreffenden Anfragen umgehend weiter;


(3) dem Auftragsverarbeiter Aufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format zu übermitteln. Mündliche Weisungen sind schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen;


(4) den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmässigkeiten bei der Prüfung der Auftragsergebnisse zu informieren;

(5) alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmassnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.



VIII. Haftung


(1) Soweit in vorliegendem Vertrag nicht ausdrücklich abweichend geregelt, gelten bezüglich der Haftung für die Auftragsverarbeitung die zwischen den Parteien im Hauptvertrag vereinbarten Haftungsregeln.



IX. Sonstiges

(1)    Die Anhänge 1 und 2 bilden integrierenden Bestandteil dieses Vertrages.




Anhang 1 – Technisch-organisatorische Massnahmen


1. Vertraulichkeit


Zutrittskontrolle

-      Abschliessbare Büroräumlichkeiten.

-      Security Baselines (Kennwort-Schutz, Auto. Sperrbildschirm).

-      Clear Desk Policy.

 

Zugangskontrolle

-      Zentralen Benutzerverwaltung.

-      Zwei-Faktor-Authentifizierung (Passkeys).

-      Passwort-Recovery Prozess.

 

Zugriffskontrolle

-      Rollenkonzepte (Lesen, Verändern, Entfernen).

-      Technische Protokollierung der Zugriffe und Manipulationen.

 

Trennungskontrolle

-      Multitenancy (Mandantenfähigkeit).

-      Trennung von Organisationen via Berechtigungen.

-      Staging-Umgebung und Automatisierte Tests zwecks Release-Management.

 

2. Integrität

 

Weitergabekontrolle

-  Verhinderung von unbefugtem Lesen, Kopieren, Verändern oder Entfernen von Daten beim Transport durch Implementierung verschlüsselter Verbindungen und Zertifikaten (SSL).

 

Eingabekontrolle

-     Durchgängige Arbeit mit personifizierten Benutzern und Protokollierung über alle produktiven Systeme hinweg.

 

3. Verfügbarkeit und Belastbarkeit

 

Verfügbarkeitskontrolle

-      Tägliche verschlüsselte Datensicherung der Datenbank an zweiten Standort.

-      Notfallplan mit regelmässiger Wiederherstellungstests.

-      Implementierte Virenschutz und Firewall.

 

4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

 

-      Jährliche proaktive Auseinandersetzung mit dem Datenschutz.

-      Datenschutzfreundliche Voreinstellungen (Privacy-by-Default).

-      Expliziter Beizug juristischer Beratung.




Anhang 2 - Unterauftragsverarbeiter


Unterauftragsverarbeiter sowie Art und Umfang der Datenverarbeitung


Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, Ireland

Google Firebase: Firestore und Cloud Storage. Hosting der aller Daten und Dateien mit Server-Standort Schweiz.

https://firebase.google.com/support/privacy

Algolia SAS, 55 Rue d’Amsterdam, 75008 Paris, France

Suchindex: Replikation aller Daten mit Server-Standort Frankfurt, Deutschland.

https://www.algolia.com/de/policies/privacy/

Microsoft Corporation, One Microsoft Way, ​Redmond, WA 98052​ 

Microsoft Office 365 mit Exchange: E-Mail-Versand

https://privacy.microsoft.com/en-us/privacystatement

GitHub, Inc., 88 Colin P. Kelly Jr. Street, San Francisco, CA 94107 

Source Code Verwaltung

https://docs.github.com/de/site-policy/privacy-policies/github-privacy-statement

Google Ireland Limited Gordon House, Barrow Street Dublin 4 

Google Analytics: Analyse Tool für Besucherzahlen

https://policies.google.com/privacy

Vercel Inc., 440 N Barranca Ave #4133, Covina, California 91723, United States

Vercel: Hosting der Web-Applikation. Content-Delivery-Network (CDN) für statische Seiten und Assets sowie Serverless-/Edge Funktionen für die Datenverarbeitung im Backend mit Server-Standort Frankfurt, Deutschland.

https://vercel.com/legal/privacy-policy

 


 © 2024 Doku AG