Bestimmungen zur Auftragsverarbeitung (AVV)

zwischen dem Kunden oder / der Kundin als «Auftraggeberin»und diff. Kommunikation AG, Thunstrasse 20, 3005 Bern als «Auftragsverarbeiterin» (einzeln eine Partei und gemeinsam die Parteien).

1. Einleitung
   1. Soweit die Auftraggeberin die Auftragsverarbeiterin mit einzelnen Tätigkeiten beauftragt, welche zur Hauptsache die Verarbeitung von Personendaten betreffen, finden auf diese Auftragsverarbeitungstätigkeiten diese Bestimmungen zur Auftragsverarbeitung zusätzlich zum allgemeinen Auftrag Anwendung ("Vereinbarung"). Die Auftragsverarbeiterin stellt dabei die ordentliche Erbringung ihrer Leistungen sicher, während die Auftraggeberin gegenüber den Nutzern als Verantwortliche in Erscheinung tritt und die ausschliessliche Verantwortung über Inhalte und Datennutzung hat. Die von der Auftraggeberin in diesem Zusammenhang erbrachten Leistungen ergeben sich aus den in der Offerte oder Auftragsbestätigung aufgeführten Leistungen und betreffen das Webseitenhosting, die Verwaltung und Führung von Konten auf sozialen Netzwerken und/oder die Unterstützung beim Newsletterversand ("Dienstleistung").
   2. Da die Erbringung der Dienstleistung Daten umfassen kann, welche einer natürlichen Person zugeordnet werden können, stellt der Umgang mit diesen Daten regelmässig eine "Verarbeitung" oder "Bearbeitung" im Sinne der einschlägigen Datenschutzgesetze dar.
   3. Die Regelungen dieser Vereinbarung sollen, soweit sie spezifische datenschutzrechtliche Regelungen betreffen, den Bestimmungen sonstiger Vereinbarungen zwischen den Parteien vorgehen, während in allen übrigen Fällen die Bestimmungen der jeweils spezifischen Vereinbarung, soweit eine solche besteht, Vorrang haben.
2. Feststellungen
   1. Aufgrund der Tatsache, dass die im Rahmen der Dienstleistungserbringung erhobenen und verarbeiteten Daten auch natürlichen Personen individuell zugeordnet werden können und damit "Personendaten" oder "personenbezogene Daten" im Sinne der einschlägigen Datenschutzgesetze darstellen können ("Personendaten" oder "personenbezogene Daten" oder "Daten"),
      1. ist die Auftraggeberin die für diese Daten "Verantwortliche";
      2. liegt eine Auftragsverarbeitung durch die Auftragsverarbeiterin im Sinne der anwendbaren Datenschutzgesetze vor.
   2. Die von der Auftragsverarbeiterin im Auftrag der Auftraggeberin verarbeiteten personenbezogenen Daten können einen hinreichenden Bezug zur Europäischen Union bzw. dem Europäischen Wirtschaftsraum aufweisen, womit neben dem Schweizer Bundesgesetz über den Datenschutz ("DSG") auch die Verordnung (EU) 2016/679 (Datenschutzgrundverordnung, "DSGVO") Anwendung verlangt. In diesem Fall liegt eine Auftragsverarbeitung im Sinne von Art. 9 DSG bzw. Art. 28 DSGVO vor.
3. Gegenstand der Auftragsverarbeitung und Auftragsinhalt
   1. Die Auftragsverarbeitung betrifft die in Ziffer 1.1 hiervor aufgeführten Leistungen, soweit sie von den Parteien vereinbart wurden, welche die Auftragsverarbeiterin der Auftraggeberin nach den anwendbaren Bestimmungen des Schweizer Obligationenrechts erbringt.
   2. Die Verarbeitung von Daten durch die Auftragsverarbeiterin erfolgt im Rahmen des zur Erbringung der Dienstleistungen Notwendige und bezweckt die Bereitstellung von Leistungen und Dokumentationen, zu deren Erstellung und Erbringung die Auftraggeberin ihrerseits beauftragt und/oder ermächtigt ist, bzw. die im berechtigten Interesse der Auftraggeberin liegen ("Auftragsverarbeitung").
   3. Im Rahmen der Erbringung der Dienstleistung bearbeitet die Auftragsverarbeiterin folgende Personendaten:
      1. Hosting: IP-Adresse, Stammdaten, Adressdaten, Standortdaten, technische Daten sowie alle weiteren Personendaten, welche durch den Nutzer der Homepage durch sein/ihr Verhalten auf der Webseite oder durch Interaktion, z.B. in Kontaktformularen, geschaffen wurden.
      2. Soziale Netzwerke: IP-Adresse, Stammdaten, Adressdaten, Standortdaten, technische Daten sowie alle weiteren Personendaten, welche durch den Nutzer des sozialen Netzwerks durch sein/ihr Verhalten auf dem Konto oder durch Interaktion, z.B. in Kontaktformularen/privaten Nachrichten, geschaffen wurden
      3. Newsletterversand: Stammdaten, Adressdaten, E-Mail, IP-Adresse, Öffnungsrate und allgemeine Daten zum Nutzererlebnis im Zusammenhang mit dem Newsletter.
   4. Die Empfänger der Daten, welche durch die Auftragsverarbeiterin verarbeitet werden, sind die Auftraggeberin, welche die Daten betreffen, sowie die Unterauftragnehmer der Auftragsverarbeiterin.
   5. Die Auftragsverarbeiterin verarbeitet die personenbezogenen Daten, soweit dies zur Erbringung der Leistungen notwendig ist, sowie nach den ggf. weiteren Weisungen der Auftraggeberin.
   6. Die Erbringung der Dienstleistung findet grundsätzlich in der Schweiz statt, sofern die Auftragsverarbeiterin nicht auf Unterauftragnehmer aus anderen Rechtsordnungen zurückgreift. Diese Unterauftragnehmer sind im Anhang aufgeführt.
   7. Die durch die Verarbeitung betroffenen Personen sind Kunden der Auftraggeberin oder weitere Drittpersonen.
4. Vergütung
   1. Die Vergütung der Auftragsverarbeiterin ist durch die bestehende Vereinbarung zwischen den Parteien zur Erbringung der Dienstleistungen durch die Auftragsverarbeiterin geregelt. Eine darüber hinausgehende Vergütung zur Auftragsverarbeitung wird nicht vereinbart.
5. Technisch-organisatorische Massnahmen
   1. Die Auftragsverarbeiterin gewährleistet jederzeit die Datensicherheit und ein dem Risiko angemessenes Schutzniveau. Die technisch-organisatorischen Massnahmen sind zu dokumentieren.
   2. Die aktuell umgesetzten technischen und organisatorischen Massnahmen werden können von der Auftraggeberin auf Anfrage jederzeit eingesehen werden. Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es der Auftragsverarbeiterin gestattet, alternative adäquate Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
6. Berichtigung, Einschränkung und Löschung von Personendaten
   1. Die Auftragsverarbeiterin wird Daten, die der Auftraggeberin zuzurechnen sind, weder unaufgefordert berichtigen, noch löschen noch deren Bearbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an die Auftragsverarbeiterin wendet, wird sie dieses Ersuchen unverzüglich an die Auftraggeberin zur Erledigung weiterleiten.
7. Qualitätssicherung und sonstige Pflichten der Auftragsverarbeiterin
   1. Die Auftragsverarbeiterin ist nicht zur Bestellung eines Datenschutzbeauftragten im Sinne von Art. 38 f. DSGVO bzw. eines Datenschutzberaters nach Art. 10 DSG verpflichtet. Als Ansprechpersonen bei der Auftragsverarbeiterin dienen der Auftraggeberin die von Zeit zu Zeit kommunizierten Kontaktpersonen.
   2. Die Auftragsverarbeiterin setzt bei der Erbringung von Dienstleistungen nur Mitarbeiter ein, die mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Jede der Auftragsverarbeiterin unterstellte Person, die Zugang zu Daten hat, darf diese Daten ausschliesslich entsprechend der in diesem Vertrag eingeräumten Befugnisse verarbeiten.
   3. Die Parteien arbeiten auf Anfrage mit den zuständigen Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben zusammen. Die Auftragsverarbeiterin informiert die Auftraggeberin ebenfalls über jegliche Massnahmen der zuständigen Aufsichtsbehörde, soweit die Massnahmen sich auf die Verarbeitung von Daten bei der Auftragsverarbeitung beziehen.
8. Unterauftragsverhältnisse
   1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Dienstleistung beziehen. Die Erbringung von Leistungen durch Dritte, bei welchen die Datenverarbeitung lediglich eine notwendige Nebenleistung sind (z.B. Post- und Kurierdienste, Übersetzer, etc.), fallen nicht unter die "Unterauftragnehmer" im Sinne dieses Vertrags.
   2. Die aktuell von der Auftragsverarbeiterin eingesetzte Unterauftragnehmer werden im Anhang dieses Vertrags aufgeführt.
   3. Mit dem Unterauftragsverarbeitern schliesst die Auftragsverarbeiterin Vereinbarungen ab, welche mit dem vorliegenden Vertrag datenschutzrechtlich wenigstens gleichwertig sind.
   4. Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen schriftlichen Zustimmung mindestens der Auftraggeberin.
9. Kontrollrechte der Auftraggeberin
   1. Die Auftragsverarbeiterin verpflichtet sich, der Auftraggeberin auf dessen Antrag die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Massnahmen nachzuweisen.
10. Mitteilung bei Verstössen
    1. Die Auftragsverarbeiterin unterstützt die Auftraggeberin bei der Einhaltung der datenschutzrechtlichen Pflichten zur Sicherheit von Daten, Meldepflichten bei Datenpannen und vorherigen Konsultationen.
11. Weisungen der Auftraggeberin
    1. Die Auftragsverarbeiterin nimmt Weisungen der Auftraggeberin in Bezug auf Daten nur schriftlich oder in Textform (z.B. E-Mail) entgegen.
12. Aufbewahrungspflicht
    1. Kopien oder Duplikate der Daten werden ohne Wissen der Auftraggeberin nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
    2. Nicht mehr benötigte Dokumente werden gelöscht. Ausgenommen sind Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen.
13. Schlussbestimmungen
    1. Die Auftragsverarbeiterin ist berechtigt, die vorliegende Vereinbarung jederzeit zu aktualisieren und anzupassen, solche Anpassungen werden der Auftraggeberin in geeigneter Weise kommuniziert und treten mit der entsprechenden Kommunikation in Kraft.