Datenschutzerklärung I AGIL Mobile Warehouse
Auftragsverarbeitungsvereinbarung AVV zwischen Kunden von AGILITA AG als Verantwortliche (nachfolgend Auftraggeber) und AGILITA AG, Neue Winterthurerstrasse 99, 8304 Wallisellen als Auftragsverarbeiter (nachfolgend Auftragnehmer)
Präambel
A. Der Auftraggeber und der Auftragnehmer haben ein bestehendes Vertragsverhältnis für die Erbringung von IT-Dienstleistungen im SAP-Umfeld. Die zu erbringenden Dienstleistungen sind in den jeweiligen Einzelverträgen und den weiterführenden Dokumenten wie z.B. AGB’s festgelegt.
B. Zum Zwecke der Erfüllung des Hauptvertrags erhält der Auftragnehmer unter Umständen Zugang zu personenbezogenen Daten, die dem Auftragnehmer durch den Auftraggeber direkt oder in dessen Auftrag durch Dritte offengelegt oder auf andere Weise zur Verfügung gestellt werden (nachfolgend personenbezogene Daten).
C. Die Parteien möchten sicherstellen, dass die durch den Auftragnehmer im Auftrag des Auftraggebers direkt oder durch Dritte durchgeführte Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrags den geltenden Datenschutzgesetzen entspricht und sich dabei auf bestimmte Bedingungen für die genannte Datenverarbeitung verständigen, die in diesem Nachtrag zum Datenschutz (Verantwortlicher – Auftragsverarbeiter) (im Folgenden der Vertrag) festgelegt sind. Dies vorausgeschickt, vereinbaren die Parteien was folgt:
1. Begriffsdefinitionen
1.1. Geltende Datenschutzgesetze meint die Verordnung (EU) 2016|679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden DSGVO), das neu Schweizer Bundesgesetz über den Datenschutz (nDSG), die Schweizer Verordnung zum Bundesgesetz über den Datenschutz (DSV) sowie gegebenenfalls sonstige anwendbare Datenschutzerlasse.
1.2. Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Abs. 7 DSGVO; Art. 5 lit. j nDSG).
1.3. Auftragsverarbeiter ist die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Abs. 8 DSGVO; Art. 5 lit. k nDSG).
1.4. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche oder juristische Person (nachfolgend betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Abs. 1 DSGVO; Art. 5 lit. a DSG).
1.5. Verarbeitung/Bearbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Abs. 2 DSGVO; Art. 5 lit. d DSG).
2. Geltungsbereich und Gegenstand
2.1. Geltungsbereich Der vorliegende Vertrag gilt für jede Form der Verarbeitung personenbezogener Daten für den Auftraggeber durch den Auftragnehmer.
2.2. Gegenstand, Dauer, Art und Zweck Gegenstand und Dauer sowie Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag und der zugehörigen Leistungsbeschreibung.
2.3. Art personenbezogener Daten/Kategorien betroffener Personen Die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind im Hauptvertrag spezifiziert bzw. in der Leistungsbeschreibung genügend konkretisiert.
3. Pflichten des Auftragnehmers
3.1. Weisungsgemässe Verarbeitung Der Auftragnehmer verpflichtet sich, die Daten ausschliesslich für die Zwecke des Hauptvertrags einschliesslich dieses Vertrags sowie gemäss den dokumentierten Instruktionen/Weisungen des Auftraggebers zu verarbeiten. Dies gilt insbesondere auch bezüglich der Übermittlung der Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union, der Mitgliedstaaten oder eines Nicht-EU-Mitgliedstaats, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit. Der Auftraggeber kann jederzeit neue Instruktionen erlassen, ergänzen oder bestehende Instruktionen ändern. Dies umfasst auch Instruktionen im Hinblick auf die Berichtigung, Löschung und Sperrung personenbezogener Daten. Alle erteilten Instruktionen sind sowohl vom Auftraggeber als auch vom Auftragnehmer schriftlich zu dokumentieren. Ist der Auftragnehmer der Ansicht, dass eine Instruktion des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstösst, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Instruktion ablehnen. Im Übrigen bleiben die Pflichten, die dem Auftragnehmer direkt aus den anwendbaren Datenschutzgesetzen entstehen, wie beispielsweise die Erstellung eines Verzeichnisses der vorliegenden Auftragsverarbeitung gemäss Art. 30 Abs. 2 DSGVO, erhalten und von diesem Vertrag unberührt.
3.2. Pflicht zur Verschwiegenheit Der Auftragnehmer verpflichtet sich und leistet Gewähr dafür, dass er alle mit der Datenverarbeitung betrauten Personen, einschliesslich Erfüllungsgehilfen, vor Aufnahme der Tätigkeit zur Vertraulichkeit in schriftlicher Form verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen, und dass die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung betrauten Personen auch nach Beendigung ihrer Tätigkeit beim Auftragnehmer bestehen bleibt. Der Auftragnehmer haftet für ein etwaiges Zuwiderhandeln der mit der Datenverarbeitung betrauten Personen, einschliesslich Erfüllungsgehilfen, wie für sein eigenes Verhalten.
3.3. Schutzmassnahmen des Auftragnehmers Der Auftragnehmer verpflichtet sich und leistet Gewähr dafür, dass er alle erforderlichen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäss Art. 32 DSGVO bzw. Art. 7 DSG ergriffen hat und aufrechterhält, um eine unbefugte Verarbeitung, einen Verlust oder eine Beschädigung personenbezogener Daten zu verhindern.
3.4. Unterstützungspflichten Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Verlangen bei der Einhaltung der geltenden Datenschutzgesetze jederzeit und soweit möglich zu unterstützen.
a. Anträge und Rechte betroffener Personen Der Auftragnehmer verpflichtet sich, den Auftraggeber mit geeigneten technischen und organisatorischen Massnahmen zu unterstützen, damit der Auftraggeber seiner Pflicht 4 zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen (insbesondere Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch sowie automatisierte Entscheidungsfindung im Einzelfall) bzw. Art. 8 ff. DSG innerhalb der gesetzlichen Fristen jederzeit nachkommen kann, und überlässt dem Auftraggeber alle dafür notwendigen und ihm zur Verfügung stehenden Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten. Der Auftragnehmer muss die Beantwortung solcher Anträge dem Auftraggeber überlassen, es sei denn, er ist gesetzlich dazu verpflichtet. In jedem Fall vereinbaren die Parteien, die Beantwortung solcher Anträge gegenseitig abzusprechen.
b. Weitere Informations- und Unterstützungspflicht Der Auftragnehmer verpflichtet sich, den Auftraggeber unter Berücksichtigung der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO bzw. Art. 7 DSG genannten Pflichten zu unterstützen (Datensicherheitsmassnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, DatenschutzFolgenabschätzung und vorherige Konsultation).
Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu benachrichtigen im Falle (i) eines etwaigen tatsächlichen oder mutmasslichen Datenschutzverstosses (dies gilt auch für Verstösse gegen den Hauptvertrag einschliesslich dieses Vertrags sowie etwaige sonstige Datenschutzverstösse gemäss DSGVO bzw. DSG) unter Angabe sämtlicher dem Auftragnehmer zur Verfügung stehenden Informationen gemäss Artikel 33 Abs. 3 der DSGVO, (ii) etwaiger tatsächlicher oder drohender Beeinträchtigungen oder Mängel aufseiten des Auftragnehmers, die einer Einhaltung der Bestimmungen des Hauptvertrags einschliesslich dieses Vertrags entgegenstehen, (iii) des Vorliegens etwaiger Anträge auf Zugang sowie des tatsächlich erfolgten Zugangs zu personenbezogenen Daten durch Behörden, sofern diese Benachrichtigung nicht per Gesetz aus wichtigen Gründen des öffentlichen Interesses verboten ist.
3.5. Rückgabe oder Löschungspflicht bei Vertragsbeendigung Der Auftragnehmer verpflichtet sich, nach Beendigung des Hauptvertrags einschliesslich dieses Vertrags und auf Verlangen des Auftraggebers sämtliche personenbezogenen Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten innerhalb der EU/EWR oder der Schweiz, an den Auftraggeber nach seiner Wahl zurückzugeben oder zu löschen, ohne eine Kopie aufzubewahren, und die Löschung gegenüber dem Auftraggeber entsprechend zu bestätigen. Die Löschung inkl. Löschung von einzelnen Personendaten hat schriftlich mit Originalunterschrift zu erfolgen. Der Auftragnehmer behält sich das Recht vor, Rücksprachen mit zeichnungsberechtigten Personen des Auftraggebers zu halten.
3.6. Kontrollrechte des Auftraggebers Der Auftragnehmer verpflichtet sich, dem Auftraggeber sämtliche Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung dieses Vertrags durch den Auftragnehmer nachzuweisen und Überprüfungen, einschliesslich Inspektionen, durch den Auftraggeber selbst, einen vom Auftraggeber beauftragten Prüfer oder durch die Aufsichtsbehörde zu ermöglichen und aktiv zu unterstützen. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen im Geschäftsbetrieb zu erfolgen.
4. Ort der Durchführung der Datenverarbeitung
Die Datenverarbeitungen werden nur an den Standorten durchgeführt, die im zugehörigen Hauptvertrag und in den Verträgen der Geschäftspartner (z.B. Cloudanbieter) definiert sind.
Der Auftragnehmer verpflichtet sich, keine personenbezogenen Daten, auch nicht teilweise, ohne vorgängige schriftliche Zustimmung des Auftraggebers an ein Drittland zu übermitteln. Davon ausgenommen sind Übermittlungen mit für die Auftragserfüllung notwendigen Daten im Rahmen von Service- und Supportanfragen an die Cloudanbieter.
Werden die Datenverarbeitungstätigkeiten von Cloudanbietern, wenn auch nur teilweise, auch ausserhalb der EU durchgeführt, ist das Datenschutzniveau durch den jeweiligen Anbieter sichergestellt.
5. Einsatz von Unterauftragsverarbeitern
Der Auftragnehmer ist nicht berechtigt, einen Unterauftragsverarbeiter heranzuziehen, ohne vor-gängig die schriftliche Zustimmung des Auftraggebers einzuholen.
Beabsichtigte Änderungen des Unterauftragsverarbeiters sind dem Auftraggeber rechtzeitig schriftlich bekannt zu geben, sodass er diese gegebenenfalls untersagen kann. Der Auftragnehmer schliesst die erforderlichen schriftlichen Vereinbarungen zur Vertraulichkeit und zum Datenschutz mit dem Unterauftragsverarbeiter ab, welche mindestens so streng wie die Bestimmungen des Hauptvertrags einschliesslich dieses Vertrags sein müssen. Dabei hat der Auftragnehmer insbesondere sicherzustellen, dass der Unterauftragsverarbeiter dieselben Verpflichtungen eingeht und insbesondere auch die technischen und organisatorischen Massnahmen trifft, die dem Auftragnehmer aufgrund dieses Vertrags obliegen.
Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters wie für sein eigenes Verhalten.
6. Ausführung zusätzlicher Vereinbarungen
Der Auftragnehmer stimmt zu, auf Verlangen des Auftraggebers im Rahmen der bestehenden Verträge weiterführende Vereinbarungen mit dem Auftraggeber zur Verarbeitung personenbezogener Daten abzuschliessen, sofern der Auftraggeber dies nach vernünftigem Ermessen für die Einhaltung des geltenden Datenschutzrechts als erforderlich erachtet.
7. Ausserordentliches Kündigungsrecht
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoss des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrags vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Dabei stellen insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO bzw. Art. 10a DSG abgeleiteten Pflichten einen schweren Verstoss dar.
8. Bezug zu bestehenden Verträgen
8.1. Steht eine in diesem Vertrag enthaltene Bestimmung im Widerspruch zum Hauptvertrag, gilt die im vorliegenden Vertrag enthaltene Bestimmung als massgeblich.
8.2. Die Bestimmungen des vorliegenden Vertrags haben auch nach Beendigung des Hauptvertrags weiterhin Bestand, solange der Auftragnehmer im Besitz personenbezogener Daten des Auftraggebers ist.
8.3. Bei eigenen AGILITA Lösungen und AGILITA Produkten (z.B. Apps) wird die Datenverarbeitung im entsprechenden Lösungskonzept festgehalten und bei Einsatz durch die Kunden entsprechend akzeptiert. Bei der Nutzung der AGILITA Apps werden zwecks Funktionsfähigkeit mindestens Subaccounts, Userdaten (Name, Vorname, E-Mail-Adresse), Benutzereinstellungen, Konfigurationen, Datenbankschemen, Geräteinformationen, Userdetails, Logindetails, Appnutzung, Performance und generell Logs gesichert und verarbeitet.
8.4. Die Dienstleistungen erbringt der Auftragsverarbeiter selbst und in Zusammenarbeit mit den definierten Cloud- und Lösungsanbietern. Weitere Unterauftragsverarbeiter werden vom Auftragsverarbeiter nur in Rücksprache mit dem Auftraggeber einbezogen. Bei einem allfälligen zukünftigen Bedarf nach Unterauftragsverarbeitern informiert der Auftraggeber den Auftragsverarbeiter über den gewünschten Partner und erklärt sich mit der Zusammenarbeit und betriebsübergreifenden Datenverarbeitung einverstanden.
9. Schlussbestimmungen
9.1. Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
9.2. Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise ungültig sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien vereinbaren, die unwirksame Bestimmung durch eine wirksame Bestimmung zu ersetzen, welche dem wirtschaftlichen Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt.
9.3. Dieser Vertrag untersteht Schweizer Recht unter Ausschluss des Internationalen Privatrechts (IPRG). Ausschliesslicher Gerichtsstand für Streitigkeiten aus diesem Vertrag oder im Zusammenhang mit der Auslegung und Anwendung des vorliegenden Vertrags ist der Sitz des Auftragnehmers.