Version des Dokuments: März 2024
1. Anwendungsbereich und Vertragsbestandteile
Zwischen der KKD Kommunikation GmbH (“Das-Aktienregister.ch” oder “Auftragsverarbeiter”) und dem Kunden von KKD Kommunikation GmbH (“Kunde” oder “Verantwortlicher”, einzeln je eine “Partei” und zusammen die “Parteien”) besteht ein Vertrag in Bezug auf gewisse IT-Dienstleistungen (die “AGB”). Im Rahmen der Erfüllung der AGB verarbeitet Das-Aktienregister.ch personenbezogene Daten (die “Daten”) im Auftrag des Kunden.
Dieser Auftragsverarbeitungsvertrag (“AVV”) regelt die Verarbeitung der Daten des Kunden durch Das-Aktienregister.ch im Sinne von Art. 28 der EU Datenschutz-Grundverordnung (DSGVO) sowie des Schweizerischen Bundesgesetzes über den Datenschutz (DSG).
2. Gegenstand und Dauer der Auftragsverarbeitung
Die Art der Daten, die Kategorien der betroffenen Personen sowie Dauer und Zweck der Verarbeitung sind, soweit in den AGB nicht ausdrücklich anders geregelt, wie folgt:
Art der Daten: Die verarbeiteten Daten umfassen Personenstammdaten, Aktienbesitzdaten, Kommunikationsdaten (z.B. E-Mail, Chat), Anmeldedaten, Dokumente und andere Daten in elektronischer Form, die der Auftragsverarbeiter im Zusammenhang mit den vertraglichen Leistungen für den Verantwortlichen verarbeitet. Der Verantwortliche gewährleistet, keine besonders schützenswerte Daten ohne vorgängige Absprache zur Verarbeitung zu übermitteln.
Kategorien betroffener Personen sind Mitarbeiter, Aktionäre, wirtschaftlich Berechtigte und etwaige weitere mit dem Verantwortlichen verbundene Personen, deren Daten der Verantwortliche dem Auftragsverarbeiter im Rahmen der AGB übermittelt.
Dauer und Zweck: Die Dauer dieses AVV richtet sich nach der Dauer der AGB. Der Zweck ist beschränkt auf die Erbringung der Dienstleistungen im Rahmen der AGB.
Dieser AVV gilt ausschliesslich für die Verarbeitung der Daten durch den Auftragsverarbeiter und dessen Subunternehmern. Beauftragt der Kunde den Auftragsverarbeiter mit der Verarbeitung von Daten auf Infrastruktur oder mit Software von Dritten, so ist der Kunde für die Einhaltung der Datenschutzbestimmungen durch diesen Dritten verantwortlich.
3. Verantwortung und Weisungen
Der Verantwortliche ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmässigkeit der Datenverarbeitung und den Weisungen allein verantwortlich (‘Verantwortlicher’ im Sinne von Art. 4 Nr. 7 DSGVO bzw. Art. 5 lit f) DSG).
Der Auftragsverarbeiter verarbeitet die Daten ausschliesslich für die Zwecke der AGB und gemäss den dokumentierten Weisungen des Verantwortlichen. Weisungen müssen stets schriftlich oder in elektronischer Form erfolgen. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Dies beinhaltet auch die Verarbeitung von Daten, welche durch externe Datenquellen ausgelöst werden.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstösst. Der Auftragsverarbeiter darf die Umsetzung der Weisung solange aussetzen, bis sie vom Verantwortlichen bestätigt oder abgeändert wurde.
Werden Daten aufgrund gesetzlicher Vorschriften und entgegen den Weisungen des Verantwortlichen verarbeitet, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen vorgängig über die betreffende Verarbeitung und Rechtmässigkeit der Bearbeitung zu informieren, sofern dem nicht ein wichtiges öffentliches Interesse entgegensteht.
4. Pflichten des Verantwortlichen
Der Verantwortliche ist verantwortlich für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen. Der Verantwortliche gewährleistet, dass die Verarbeitung der Daten durch den Auftragsverarbeiter gemäss diesem AVV und den Weisungen keine anwendbaren gesetzliche Bestimmungen verletzt.
Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmässigkeiten bei Prüfung der Auftragsverarbeitung feststellt.
Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen des Auftragsverarbeiters vertraulich zu behandeln.
Der Verantwortliche ist verpflichtet, seine Weisungen an den Auftragsverarbeiter zu dokumentieren.
5. Technische und organisatorische Massnahmen
Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der Daten befugten Personen (z.B. Mitarbeiter, Subunternehmer, etc.) sich vertraglich zur Wahrung der Vertraulichkeit und Sicherheit verpflichtet haben oder einer geeigneten gesetzlichen Vertraulichkeits- und Sicherheitsverpflichtung unterliegen.
Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragsverarbeiter hat angemessene technische und organisatorische Massnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen und die den Anforderungen der DSGVO und des DSG genügen.
Die derzeitigen technischen und organisatorischen Massnahmen sowie das Verfahren zur Überprüfung, Bewertung und Evaluierung derer Wirksamkeit sind in Anlage 1 beschrieben. Dem Verantwortlichen sind diese technischen und organisatorischen Massnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Der Auftragsverarbeiter kann die Massnahmen im Laufe des Auftragsverhältnisses den technischen und organisatorischen Weiterentwicklungen anpassen – diese dürfen die vereinbarten Standards jedoch nicht unterschreiten.
6. Subunternehmer, Telearbeit und Ort der Verarbeitung
Aufträge an Subunternehmer zur Verarbeitung der vertragsgegenständlichen personenbezogenen Daten dürfen nur nach vorheriger schriftlicher Genehmigung (einschliesslich Textform) durch den Verantwortlichen vergeben werden.
Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung, Subunternehmer gemäss den Bestimmungen dieses AVV beizuziehen. Die bestehenden Subunternehmer des Auftragsverarbeiters finden sich unter www.Das-Aktienregister.ch/avv/partner/. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer in geeigneter Form und mit angemessener Frist. Der Verantwortliche kann gegen die Änderung innerhalb von 30 Tagen aus wichtigem Grund Einspruch erheben. Der Einspruch muss schriftlich erfolgen und die speziellen Gründe für den Einspruch sowie ggf. Kompromissmöglichkeiten beinhalten. Eine weitere Auslagerung durch den Subunternehmer bedarf der ausdrücklichen Zustimmung des Verantwortlichen (mind. Textform).
Der Auftragsverarbeiter ist verpflichtet, genehmigten Subunternehmern mit jenen dieser Vereinbarung im Wesentlichen vergleichbare Datenschutzverpflichtungen aufzuerlegen, bevor personenbezogene Daten des Verantwortlichen durch den Unterauftragsverarbeiter verarbeitet werden.
Als Subunternehmer im Sinne dieser Regelung sind solche Dienstleister zu verstehen, deren Leistungen sich unmittelbar auf die Erbringung der Hauptleistung im Rahmen der AGB beziehen und die Verarbeitung von Daten betrifft. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Massnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmassnahmen zu ergreifen.
Der Auftragsverarbeiter bzw. dessen Subunternehmer verarbeiten die Daten vorwiegend in der Schweiz. Der Verantwortliche stimmt zu, dass die Daten auch ausserhalb der Schweiz verarbeitet werden, sofern der Auftragsverarbeiter sicherstellt, dass die Voraussetzungen für die Übermittlung der Daten in Drittländer gemäss DSGVO und DSG eingehalten werden und der Verantwortliche zuvor über den Datenexport in ein Drittland in Kenntnis gesetzt wird. Der Auftragsverarbeiter weist die Einhaltung auf Verlangen nach.
7. Melde- und Unterstützungspflichten des Auftragsverarbeiters
Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III DSGVO und des DSGbzw. Kapitel IV und V DSG sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO bzw. Art. 19 bis 24 DSG genannten Pflichten. Für die Umsetzung der Betroffenenrechte ist grundsätzlich der Verantwortliche zuständig. Der Auftragsverarbeiter setzt die dokumentierten Weisungen des Verantwortlichen in Bezug auf Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft um. Für die Umsetzung vergütet der Verantwortliche den Auftragsverarbeiter angemessen, soweit dies nicht ausdrücklich zu den Leistungen im Rahmen der AGB gehört.
Der Auftragsverarbeiter leitet allfällige Anfragen von betroffenen Personen, soweit die Anfrage dem Verantwortlichen zugeordnet werden kann, an den Verantwortlichen weiter.
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn ihm Verletzungen des Schutzes der Daten des Verantwortlichen bekannt werden.
8. Nachweis der Einhaltung
Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
Sollten im Einzelfall Inspektionen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Den berechtigten Geheimhaltungsinteressen sowie gesetzlichen sowie vertraglichen Geheimhaltungspflichten ist bei der Inspektion angemessen Rechnung zu tragen. Die prüfenden Personen müssen vor der Inspektion eine Verschwiegenheitserklärung hinsichtlich der Daten des Auftragsverarbeiters sowie anderer Kunden und der eingerichteten technischen und organisatorischen Massnahmen unterzeichnen.
Alle Kosten des Auftragsverarbeiters (inkl. jene für den beizustellenden Mitarbeiter) sind durch den Verantwortlichen zu tragen.
9. Nachvertragliche Verpflichtungen
Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz personenbezogenen Daten, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten oder vollständig zu anonymisieren. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
10. Haftung und Schadenersatz
Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO bzw. im DSG getroffenen Regelung. Im Innenverhältnis zwischen den Parteien haftet der Auftragsverarbeiter für den durch eine Verarbeitung verursachten Schaden jedoch nur, wenn er (i) seinen ihm speziell durch die DSGVO bzw. DSG auferlegten Pflichten nicht nachgekommen ist, oder (ii) unter Nichtbeachtung der rechtmässig erteilten Anweisungen des Verantwortlichen oder gegen dessen Anweisungen gehandelt hat.
Weiter gelten die Haftungsbeschränkungen gemäss AGB.
11. Schlussbestimmungen
Das-Aktienregister.ch behält sich vor, diesen AVV jederzeit anzupassen und informiert die Kunden in geeigneter Weise (auch in elektronischer Form) vorgängig über die Änderungen. Änderungen oder Ergänzungen dieses AVV werden zum Vertragsbestandteil, wenn der Kunde nicht innert 30 Tagen seit Kenntnisnahme der geänderten Bestimmungen widerspricht.
Sollten eine oder mehrere Bestimmungen dieses AVV oder des restlichen Vertrags ungültig, unwirksam oder nichtig sein oder werden, so wird diese Bestimmung durch eine gültige und wirksame Bestimmung ersetzt, welche dem Sinn der ursprünglichen Bestimmung am nächsten kommt und dem wirtschaftlichen Gleichgewicht der Parteien entspricht.
Der vorliegende Vertrag und sämtliche sich daraus ergebenden Streitigkeiten unterliegen ausschliesslich materiellem Schweizer Recht unter Ausschluss des Kollisionsrechts und des UN-Kaufrechts. Ausschliesslicher Gerichtsstand ist Zürich.