Zwischen SuperOffice als Auftragsverarbeiter (nachfolgend “Auftragnehmer”) und dem Kunden als der für die Verarbeitung Verantwortliche ( nachfolgend “Auftraggeber”)
Dieses Dokument wurde zuletzt aktualisiert am 01.05.2023
Sie finden hier die vorherige Version.
1. Zweck und Definitionen
Zweck dieses Datenverarbeitungsvereinbarung ist es, die Verarbeitung personenbezogener Daten für den Auftraggeber im Rahmen der Erbringung des SuperOffice CRM Online Service ("der Service"), der im SuperOffice CRM Online Abonnementrahmenvertrag (SuperOffice CRM Online Master Subscription Agreement, "MSA") näher beschrieben wird.
Diese Datenverarbeitungsvereinbarung regelt die Rechte und Pflichten des Auftragnehmers, um sicherzustellen, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen erfolgt.
Die Verarbeitung personenbezogener Daten (wie unten definiert) unterliegt den Anforderungen und Verpflichtungen des geltenden Rechts. Wenn der Auftraggeber eine in der Schweiz oder im Europäischen Wirtschaftsraum (EWR) ansässige juristische Einheit ist, wird das schweizerische Datenschutzgesetz und die aktuelle EU-Verordnung 2016/679 vom 27. April 2016 ("DS-GVO") gelten. Die Parteien kommen überein, diese Datenverarbeitungsvereinbarung in dem Masse zu ergänzen, wie es aufgrund der DS-GVO und der überarbeiteten Verordnung über elektronische Kommunikation ("ePrivacy") erforderlich ist.
"Personenbezogene Daten" sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person im Sinne des geltenden Rechts und der DS-GVO.
"Verarbeitung" personenbezogener Daten ist jede Nutzung und jeder Vorgang, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob diese automatisch erfasst, übertragen, gespeichert, geändert oder offengelegt werden, wie dies im anwendbaren Recht und der DS-GVO näher definiert ist.
"Drittländer" sind Länder ausserhalb der Schweiz und des EU/EWR-Raums, die nicht als Länder anerkannt sind, die einen angemessenen Schutz personenbezogener Daten bieten.
2. Verantwortlichkeit des Auftraggebers
Um auf den Service zugreifen zu können, muss der Auftraggeber dem Auftragnehmer bestimmte Daten zur Verfügung stellen, einschliesslich des korrekten Namens, der Kontaktdaten und der E Mail-Adresse der Benutzer. Darüber hinaus müssen die Benutzer des Service dem Auftragnehmer erlauben, Informationen über die Benutzung des Service durch die Verwendung von "Cookies" zu speichern und abzurufen, die notwendig sind, um die im Rahmen des Service verwendeten An- und Abmeldeverfahren zu ermöglichen und um sicherzustellen, dass Unbefugte keinen Zugang zum Service erhalten.
Der Auftraggeber erkennt an und akzeptiert, dass alle personenbezogenen Daten, die der Auftraggeber im Rahmen der Benutzung des Service hochlädt, wie zum Beispiel hochgeladene personenbezogene Daten seiner eigenen Kunden, an einen Dritten (Unterauftragnehmer) mit Sitz in der Schweiz oder im Europäischen Wirtschaftsraum (EWR) übermittelt werden können, der für das Hosting des Service, einschliesslich der Bereitstellung aller Hardware, Infrastruktur, Datenspeicherung und Kommunikationsleitungen, sorgt. Die Pflichten des Dritten in Bezug auf personenbezogene Daten werden in einem separaten Datenverarbeitungsvertrag zwischen dem Auftragnehmer und dem Dritten im Rahmen dieser Datenverarbeitungsvereinbarung geregelt. Alle Daten des Service werden auf Servern in Europa gespeichert.
Der Auftraggeber bestätigt, dass er:
- über eine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügt;
- das Recht hat, den Auftragnehmer mit der Verarbeitung der personenbezogenen Daten zu beauftragen;
- die Verantwortung für die Richtigkeit, die Integrität, den Inhalt, die Zuverlässigkeit und die Rechtmässigkeit der personenbezogenen Daten hat;
- im Hinblick auf die Benachrichtigung und Genehmigung der zuständigen Behörden das geltende Recht einhält;
- die betroffenen Personen gemäss geltendem Recht informiert hat
Der Auftraggeber muss:
- auf Anfragen der betroffenen Personen antworten bezüglich der Verarbeitung personenbezogener Daten gemäss dieser Datenverarbeitungsvereinbarung;
- die Notwendigkeit spezifischer Massnahmen gemäss dieser Datenverarbeitungsvereinbarung gemäss Ziff. 3.3.2 und Ziff. 3.3.4 beurteilen und diese Massnahmen beim Auftragnehmer einfordern.
Der Auftraggeber trifft ausreichende technische und organisatorische Massnahmen, um die Einhaltung der DS-GVO ab dem Zeitpunkt ihrer Anwendbarkeit sicherzustellen und nachzuweisen.
Der Auftraggeber ist verpflichtet, Verletzungen des Schutzes personenbezogener Daten den zuständigen Behörden und, falls erforderlich, den Betroffenen gemäss geltendem Recht unverzüglich mitzuteilen.
3. Verantwortlichkeit des Auftragnehmers
3.1 Einhaltung derDatenschutzbestimmungen
Der Auftragnehmer hält sich an alle Bestimmungen zum Schutz personenbezogener Daten, die in dieser Datenverarbietungsvereinbarung und in den geltenden Datenschutzgesetzen betreffend die Verarbeitung personenbezogener Daten festgelegt sind. Der Auftragnehmer unterstützt den Auftraggeber dabei sicherzustellen und zu dokumentieren, dass der Auftraggeber die für ihn geltenden Anforderungen gemäss den geltenden Datenschutzbestimmungen erfüllt.
Der Auftragnehmer hat die Weisungen und Abläufe des Auftraggebers in Bezug auf die Verarbeitung personenbezogener Daten einzuhalten.
3.2 Weisungs- und Zweckgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Weisung des Auftraggebers. Der Auftragnehmer darf personenbezogene Daten nicht ohne vorherige schriftliche Zustimmung des Auftraggebers oder ohne schriftliche Weisungen des Auftraggebers verarbeiten, die über das hinausgehen, was zur Erfüllung seiner Verpflichtungen gegenüber dem Auftraggeber im Rahmen der Vereinbarung erforderlich ist.
3.3 Informationssicherheit
3.3.1 Pflicht zur Sicherstellung der Informationssicherheit
Der Auftragnehmer gewährleistet durch geplante, systematische, organisatorische und technische Massnahmen eine angemessene Informationssicherheit in Bezug auf Vertraulichkeit, Integrität und Zugänglichkeit im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäss den Bestimmungen der anwendbaren Datenschutzgesetzgebung.
Die Massnahmen und die Dokumentation, die der internen Kontrolle des Auftragnehmers dienen, sind dem Auftraggeber auf Verlangen zur Verfügung zu stellen.
3.3.2 Beurteilung von Massnahmen
Bei der Entscheidung, welche technischen und organisatorischen Massnahmen durchgeführt werden sollen, berücksichtigt der Auftragnehmer in Absprache mit dem Auftraggeber:
- Den Stand der Technik
- Die Kosten der Implementierung
- Art und Umfang der Verarbeitung
- Kontext und Zweck der Verarbeitung,
- Die Schwere der Risiken, die die Verarbeitung personenbezogener Daten für die Rechte und Freiheiten der betroffenen Person mit sich bringt.
Der Auftragnehmer prüft in Absprache mit dem Auftraggeber:
- Die Implementierung der Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten kontinuierlich zu gewährleisten;
- die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Ereignisses rechtzeitig wiederherzustellen;
- ein Verfahren zur laufenden regelmässigen Überprüfung, Kontrolle, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
3.3.3 Anfragen der betroffenen Personen
In Anbetracht der Art der Verarbeitung trifft der Auftragnehmer geeignete technische und organisatorische Massnahmen, um den Auftraggeber bei seiner Pflicht zu unterstützen, auf Anfragen bezüglich der Ausübung der Rechte der betroffenen Personen zu reagieren.
3.3.4 Unterstützung des Auftraggebers
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung des anwendbaren Rechts, einschliesslich der Unterstützung des Auftraggebers bei:
- Der Umsetzung von technischen und organisatorischen Massnahmen wie oben erwähnt;
- der Einhaltung der Meldepflicht gegenüber Aufsichtsbehörden und betroffenen Personen im Falle einer Verletzung des Schutzes personenbezogener Daten;
- der Durchführung von Datenschutzfolgenabschätzungen;
- der Durchführung vorheriger Konsultationen mit den Aufsichtsbehörden, wenn eine Datenschutzfolgenabschätzung dies erforderlich macht;
- der Mitteilung an den Auftraggeber, wenn der Auftragnehmer der Meinung ist, dass eine Anweisung des Auftraggebers nicht den anwendbaren Datenschutzbestimmungen entspricht.
Die vorstehenden Unterstützungshandlungen durch den Auftragnehmer sind unter Berücksichtigung ihrer Notwendigkeit auszuführen. Dabei sind die Bedürfnisse des Auftraggebers, die Art der Verarbeitung und die dem Auftragnehmer zur Verfügung stehenden Informationen zu berücksichtigen.
3.3.5 Vergütung
Die Unterstützung durch den Auftragnehmer, wie sie in dieser Datenverarbeitungsvereinbarung festgelegt ist, sowie die Unterstützung in Bezug auf spezifische Abläufe und Weisungen des Auftraggebers werden vom Auftragnehmer gemäss den regulären Bedingungen und Preisen des Auftraggebers vergütet.
3.4 Meldung von Verletzungen des Schutzes personenbezogener Daten und sonstiger Unregelmässigkeiten
Jegliche Nutzung der Informationssysteme und der personenbezogenen Daten, die nicht mit den festgelegten Abläufen und Weisungen des Auftraggebers oder der anwendbaren Datenschutzgesetzgebung übereinstimmen, sowie jegliche Sicherheitsverletzungen werden als Unregelmässigkeit behandelt.
Der Auftragnehmer muss über Abläufe und systematische Verfahren zur Nachvollziehung von Unregelmässigkeiten verfügen, die die Wiederherstellung des normalen Zustands, die Beseitigung der Ursache der Unregelmässigkeit und die Verhinderung ihres Wiederauftretens umfassen.
Der Auftragnehmer wird den Auftraggeber unverzüglich über jeden Verstoss gegen diese Vereinbarung, und über versehentliches, unrechtmässiges oder unbefugtes Zugreifen auf, Verwenden oder Offenlegen von personenbezogenen Daten informieren sowie darüber, dass die personenbezogenen Daten möglicherweise gefährdet sind oder die Integrität der personenbezogenen Daten verletzt wurde. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung, damit dieser die anwendbare Datenschutzgesetzgebung einhalten und alle Anfragen der zuständigen Datenschutzbehörden beantworten kann. Es liegt in der Verantwortung des Auftraggebers, die zuständige Datenschutzbehörde über die Verletzung des Schutzes personenbezogener Daten und sonstiger Unregelmässigkeiten in Übereinstimmung mit dem anwendbaren Recht zu informieren.
3.5 Vertraulichkeit
Der Auftragnehmer ist verpflichtet, alle personenbezogenen Daten und andere vertrauliche Informationen vertraulich zu behandeln. Der Auftragnehmer stellt sicher, dass jeder Mitarbeiter des Auftragnehmers, unabhängig davon, ob er Angestellter oder Leiharbeiter ist, welcher Zugang zu den personenbezogenen Daten hat oder an deren Verarbeitung im Rahmen des MSA oder dieser Datenverarbeitungsvereinbarung beteiligt ist, (i) sich zur Vertraulichkeit verpflichtet hat und (ii) über die Verpflichtungen aus dieser Datenverarbeitungsvereinbarung informiert wird und diese einhält. Die Geheimhaltungspflicht gilt auch nach Beendigung des MSA oder dieser Datenverarbeitungsvereinbarung.
3.6 Sicherheitsaudits
Der Auftragnehmer führt regelmässig Sicherheitsaudits für Systeme und Ähnliches durch, soweit diese für die Verarbeitung personenbezogener Daten, die unter diese Datenverarbeitungsvereinbarung fallen, relevant sind. Berichte, die die Sicherheitsaudits dokumentieren, müssen dem Auftraggeber zur Verfügung stehen.
Der Auftraggeber hat das Recht, Sicherheitsaudits durch einen unabhängigen Dritten zu verlangen gewählt von dem Auftragnehmer. Der Dritte stellt dem Auftraggeber auf Anfrage einen Bericht zur Verfügung. Der Auftraggeber akzeptiert, dass der Auftragnehmer eine Entschädigung für die Durchführung des Sicherheitsaudts verlangen kann.
3.7 Einsatz von Subunternehmern (Unterauftragnehmern)
Der Auftragnehmer ist berechtigt, Unterauftragnehmer einzusetzen und der Auftraggeber akzeptiert den Einsatz von Unterauftragnehmern. Eine Liste der vorab genehmigten Unterauftragnehmer ist im SuperOffice Trust Center verfügbar. Der Auftragnehmer stellt durch schriftliche Vereinbarung mit einem Unterauftragnehmer sicher, dass die Verarbeitung personenbezogener Daten durch den Unterauftragnehmer denselben Verpflichtungen und Beschränkungen unterliegt, die dem Auftragnehmer gemäss dieser Datenverarbeitungsvereinbarung auferlegt werden.
Beabsichtigt der Auftragnehmer, Unterauftragnehmer auszuwechseln oder einen neuen Unterauftragnehmer einzusetzen, so hat der Auftragnehmer dies dem Auftraggeber 4 Monate vor jeder Verarbeitung durch den neuen Unterauftragnehmer schriftlich mitzuteilen, und der Auftraggeber kann innerhalb eines Monats nach der Benachrichtigung gegen den Wechsel der Unterauftragnehmer widersprechen. Widerspricht der Auftraggeber dem Wechsel, kann er das MSA und diese Datenverarbeitungsvereinbarung mit einer Frist von 3 Monaten kündigen.
Soweit der Auftraggeber das MSA und diese Datenverarbeitungsvereinbarung nicht kündigt, gilt der Wechsel des Unterauftragnehmers als akzeptiert.
3.8 Übermittlung von personenbezogenen Daten an Drittländer
Wenn der Auftragnehmer Unterauftragnehmer ausserhalb der Schweiz und des EU/EWR-Raums für die Verarbeitung personenbezogener Daten einsetzt, muss diese Verarbeitung im Einklang mit dem Swiss-US Privacy Shield Framework, den EU-Standard-Vertragsklauseln für die Übermittlung in Drittländer oder einer anderen ausdrücklichen gesetzlichen Grundlage für die Übermittlung personenbezogener Daten in ein Drittland stehen. Im Zweifel gilt das Gleiche, wenn die Daten in der Schweiz und im EU/EWR Raum gespeichert sind, aber von Orten ausserhalb der Schweiz und des EU/EWR Raumes zugänglich sind.
Sollte der Auftraggeber einer solchen Übermittlung personenbezogener Daten zustimmen, ist der Auftragnehmer verpflichtet, mit dem Auftraggeber zusammenzuarbeiten, um eine konforme Übermittlung zu gewährleisten. Beruht die Übertragung auf den EU-Standardvertragsklauseln für Auftragsverarbeiter, so ermächtigt der für die Verarbeitung Verantwortliche den Datenverarbeiter, im Auftrag des für die Verarbeitung Verantwortlichen in solche EU-Standardvertragsklauseln mit dem Unterauftragnehmer einzutreten.
4. Haftung, Verstösse
Im Falle eines Verstosses gegen diese Datenverarbeitungsvereinbarung oder eines Verstosses gegen die Verpflichtungen nach dem anwendbaren Recht über die Verarbeitung personenbezogener Daten gelten die einschlägigen Bestimmungen bezüglich Vertragsverletzungen des MSA.
Ansprüche der einen Partei wegen Nichteinhaltung der Datenverarbeitungs-vereinbarung durch die andere Partei unterliegen den gleichen Beschränkungen wie im MSA. Bei der Beurteilung, ob die summenmässig Haftungsbeschränkung im MSA erreicht ist, sind die Ansprüche wegen Vertragsverletzung aus dieser Datenverarbeitungsvereinbarung und dem MSA gemeinsam zu berücksichtigen, wobei die Beschränkung im MSA als Gesamtbebeschränkung anzusehen ist.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er Grund zu der Annahme hat, dass er seinen Verpflichtungen aus dieser Datenverarbeitungsvereinbarung nicht nachkommen kann.
5. Laufzeit, Beendigung und Änderungen der Datenverarbeitungsvereinbarung
Diese Datenverarbeitungsvereinbarung gilt ab dem Datum ihrer Unterzeichnung durch beide Parteien und bis zur Beendigung der Verpflichtungen des Auftragnehmers in Bezug auf die Erbringung von Dienstleistungen in Übereinstimmung mit dem MSA, mit Ausnahme der Bestimmungen des MSA und der Datenverarbeitungsvereinbarung, die auch nach einer solchen Beendigung weiterhin gelten.
Nach Beendigung dieser Datenverarbeitungsvereinbarung werden die personenbezogenen Daten/anderen Daten in einem standardisierten Format und Medium zurückgegeben, zusammen mit den notwendigen Anweisungen, um die weitere Verwendung der personenbezogenen Daten/anderen Daten durch den Auftraggeber zu erleichtern. Der Auftragnehmer wird zunächst alle personenbezogenen Daten und andere Daten zurückgeben und anschliessend löschen. Der Auftragnehmer (und seine Unterauftragnehmer) werden die Verarbeitung personenbezogener Daten ab dem von dem Auftraggeber festgelegten Datum unverzüglich einstellen.
Als Alternative zur Rückgabe der personenbezogenen Daten (oder anderer Daten) kann der Auftraggeber nach eigenem Ermessen den Auftragnehmer schriftlich anweisen, dass die personenbezogenen Daten (oder andere Daten) ganz oder teilweise vom Auftragnehmer gelöscht werden, es sei denn, der Auftragnehmer ist durch zwingende Rechtsvorschriften daran gehindert, die personenbezogenen Daten zu löschen.
Der Auftragnehmer hat kein Recht, eine Kopie der vom Auftraggeber im Zusammenhang mit dem MSA oder dieser Datenverarbeitungsvereinbarung bereitgestellten Daten in irgendeinem Format aufzubewahren, und alle physischen und logischen Zugriffe auf diese personenbezogenen Daten oder andere Daten werden gelöscht.
Der Auftragnehmer stellt dem Auftraggeber eine schriftliche Erklärung zur Verfügung, in der er garantiert, dass alle oben genannten personenbezogenen Daten oder andere Daten gemäss den Anweisungen des Auftraggebers zurückgegeben oder gelöscht wurden und dass der Auftragnehmer keine Kopie, keinen Ausdruck und keine Speicherung der Daten auf einem Datenträger behalten hat.
Die Verpflichtungen nach Ziffer 3.5 und 4 gelten auch nach der Beendiung fort. Ferner gelten die Bestimmungen der Datenverarbeitungsvereinbarung in vollem Umfang für alle personenbezogenen Daten, die vom Auftragnehmer unter Verstoss gegen diesen Abschnitt 5 aufbewahrt werden. Die Parteien werden diese Datenverarbeitungsvereinbarung bei relevanten Änderungen des anwendbaren Rechts anpassen.
6. Gerichtsstand und anwendbares Recht
Diese Datenverarbeitungsvereinbarung unterliegt dem Recht des jeweiligen Landes derjenigen SuperOffice Einheit, mit welcher der Kunde die Vereinbarung abschliesst:
Wenn Sie domiziliert sind in: |
Der Kunde ist Vertragspartner von: | Mitteilungen sind zu richten an: | Das anwendbare Recht ist: |
Der ausschliessliche Gerichtsstand ist: |
Dänemark | SuperOffice Danmark A/S | Islands Brygge 41, 3.sal, 2300 København, Dänemark | Dänish | Copenhagen, Dänemark |
Finnland und Schweden | SuperOffice Sweden AB | Sveavägen 159, 113 46 Stockholm, Schweden | Schwedisch | Stockholm, Schweden |
Norwegen | SuperOffice Norge AS | Wergelandsveien 27, 0167 Oslo, Norwegen | Norwegisch | Oslo, Norwegen |
Deutchland | SuperOffice GmbH | Phoenixseestrasse 17, 44263 Dortmund, Deutchland | Deutch | Dortmund, Deutchland |
Grossbritannien und Irland | SuperOffice Norge AS | Wergelandsveien 27, 0167 oslo, Norwegen | Grossbritannien | Milton Keynes, Grossbritannien |
Schweiz | SuperOffice AG | Uferstrasse 90, 4057 Basel, Schweiz | Schweizerisch | Basel, Schweiz |
Niederlande, Belgien und Luxemburg | SuperOffice Benelux B.V. | Emmasingel 29.41, 5611 AZ, Niederlande | Niederländisch | Oost-Brabant, locatie Eindhoven, Niederlande |
Die Wahl des anwendbaren Rechts gemäss den in obiger Tabelle genannten Rechtsordnungen stellt keine Ausnahme von den Bestimmungen über den territorialen Geltungsbereich des Artikels 3 der EU-Datenschutzgrundverordnung oder anderer anwendbarer Rechtsvorschriften dar und ist auch nicht dazu bestimmt.
Lister der vorab genehmigten Subunternehmer (Unter-Auftragnehmer)
Gemäss Klausel 3.7 dieser Vereinbarung wird SuperOffice eine Liste der vorab genehmigten Unterauftragnehmer bereit halten. Diese Liste ist im SuperOffice Trust Center verfügbar.