Auftragsverarbeitungsvertrag AVV

Auftragsverarbeitungsvertrag (AVV)

AUFTRAGSVERARBEITUNGSVERTRAG (MASTER)

zwischen

[Kunde] (nachfolgend Verantwortlicher),

und

CouponPlus AG, Hardturmstrasse 133, 8005 Zürich (nachfolgend "Dienstleister")

zusammen "die Parteien".

Präambel
Der Dienstleister erbringt für den Verantwortlichen gestützt auf ein separates Vertragsverhältnis Dienstleistungen auf der Online Marketing- und Transaktions-Plattform CouponPlus.
Dieser Vertrag ermöglicht es den Parteien, ihren Verpflichtungen nach Art. 9 des Schweizer Datenschutzgesetzes und sofern anwendbar Art. 28 der EU-Datenschutzgrundverordnung nachzukommen, wenn der Dienstleister für den Verantwortlichen Personendaten bearbeitet.

1. Angaben zur Datenverarbeitung und Dauer des Auftrags
Kategorien von Daten:

Allgemeine Personendaten wie Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse
Online-Daten wie Cookies, IP-Adressen, Standortdaten

Kategorien der Betroffenen:

Kunden und potentielle Kunden welche die Online Marketing- und Transaktions-Plattform CouponPlus nutzen

Die Dauer der Auftragsverarbeitung richtet sich nach der Laufzeit des zugrundeliegenden Vertragsverhältnisses und kann nur mit diesem zusammen ordentlich oder ausserordentlich gekündigt werden.

2. Ort der Datenverarbeitung
Die Verarbeitung der Daten findet in der Schweiz statt. Hostingpartner ist Nine Internet Solutions AG, welche nach ISO/IEC 27001 zertifiziert ist.
Der Dienstleister kann Informatikanwendungen (u.a. Web Tools, Cookies und Social Media Plugins) verwenden, bei welchen Daten der Webseitenbesucher in ein Drittland übermittelt werden können. Erfolgt die Übermittlung in einen Staat, welcher über keinen angemessenen Datenschutz verfügt, verwendet der Dienstleister Standardvertragsklauseln, um einen geeigneten Datenschutz zu gewährleisten.
Darüber hinaus werden personenbezogene Daten nur bei vorheriger Zustimmung des Verantwortlichen und bei Vorliegen der gesetzlichen Voraussetzungen in ein Drittland oder an eine internationale Organisation übermittelt.

3. Pflichten des Partners als Auftragsverarbeiter
Der Dienstleister und ihm unterstellte Personen, die Zugang zu den personenbezogenen Daten haben, bearbeiten die personenbezogenen Daten ausschliesslich auf Weisung des Verantwortlichen. Gesetzliche Bearbeitungspflichten bleiben vorbehalten.
Der Dienstleister führt ein Verzeichnis der Bearbeitungstätigkeiten, sofern er vom Verantwortlichen dazu beauftragt wird.
Der Dienstleister führt die Datenbearbeitung mittels geeigneter technischer und organisatorischer Massnahmen gemäss Art. 8 DSG durch (vgl. Ziffer 4 hiernach)
Der Dienstleister unterstützt den Verantwortlichen nach Möglichkeit dabei, dass dieser seinen Pflichten hinsichtlich der Betroffenenrechte gemäss Art. 25 ff. DSG nachkommen kann.
Der Dienstleister verwendet die zur Bearbeitung überlassenen personenbezogenen Daten für keine anderen als die vereinbarten, insbesondere nicht für eigene Zwecke.
Der Dienstleister verpflichtet sich, alle im Rahmen des Vertragsverhältnisses bearbeiteten Personendaten vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des Vertrags bestehen.

4. Datensicherheit
Der Dienstleister hat angemessene technische und organisatorische Massnahmen zu ergreifen und aufrechtzuerhalten, so dass die Bearbeitung den Anforderungen der anwendbaren Datenschutzgesetze (insbesondere Art. 9 DSG) entspricht und der Schutz der Betroffenenrechte gewährleistet ist.
Die Massnahmen müssen ein Datensicherheitsniveau sicherstellen, das den Risiken für die Rechte und Freiheiten der betroffenen Personen angemessen ist und Schutz vor versehentlicher oder unrechtmässiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig bearbeitete Personendaten bieten. Unbefugten ist der Zutritt zu Datenbearbeitungsanlagen, mit denen Personendaten bearbeitet werden, zu verwehren (Zutrittskontrolle). Es ist zu verhindern, dass Datenbearbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). Es ist zu gewährleisten, dass die zur Benutzung eines Datenbearbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Personendaten bei der Bearbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle). Es ist zu gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Personendaten vorgesehen ist (Weitergabekontrolle). Es ist sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenbearbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). Es ist zu gewährleisten, dass Personendaten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Es ist auch zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt bearbeitet werden können (Trennungskontrolle)

5. Unterauftragsverarbeiter
Die nachfolgenden Unterauftragsbearbeiter bearbeiten im Auftrag des Dienstleisters bereits bei Vertragsabschluss Personendaten, welche dem Dienstleister vom Verantwortlichen zur Bearbeitung zur Verfügung gestellt worden sind, wozu der Verantwortliche hiermit die Zustimmung erteilt:

Payment:
Payrexx, Burgstrasse 20, 3600 Thun, Schweiz
www.payrexx.ch/de/rechtliches/
Hosting:
Nine Internet Solutions AG, Badenerstrasse 47, 8004 Zürich, Schweiz

docs.nine.ch/de/docs/category/legal-documents?

Der Dienstleister informiert den Verantwortlichen schriftlich oder per E-Mail über jeden beabsichtigten Beizug eines zusätzlichen Unterauftragsverarbeiters. Der Verantwortliche hat das Recht, beim Dienstleister gegen einen solchen Beizug innert 10 Kalendertagen schriftlich oder per E-Mail Einspruch zu erheben. Im Falle eines solchen Einspruchs darf der Dienstleister den vorgesehenen Unterauftragsverarbeiter nicht beauftragen.
Der Dienstleister hat alle involvierten Unterauftragsverarbeiter zur Einhaltung des Datenschutzes nach diesem Vertrag zu verpflichten. Der Dienstleister haftet gegenüber dem Verantwortlichen für die Einhaltung dieser Datenschutzpflichten durch die Unterauftragsverarbeiter.

6. Unterstützungs- und Informationspflichten
Der Dienstleister teilt dem Verantwortlichen Störungen, Verstösse, Unregelmässigkeiten oder Verletzungen der Datensicherheit und damit zusammenhängende Umstände (inkl. Ermittlungen und Massnahmen der Aufsichtsbehörden) unverzüglich mit, ohne diese vorher Dritten bekannt zu geben. Ebenso informiert der Dienstleister den Verantwortlichen umgehend, falls die Regelungen dieses Vertrags oder Weisungen in Zusammenhang damit nicht eingehalten werden können, es sei denn, der Dienstleister ist gesetzlich daran gehindert, entsprechend zu informieren. Der Dienstleister unterstützt den Verantwortlichen ausserdem angemessen bei der Erfüllung sämtlicher Rechte der von einer Datenbearbeitung betroffenen Person (z.B. Auskunft) und bei der Erfüllung besonderer Pflichten (z.B. Meldungen von Verletzungen der Datensicherheit). Der Dienstleister wird alle Anfragen des Verantwortlichen im Zusammenhang mit der Bearbeitung der Personendaten unverzüglich und ordnungsgemäss beantworten. Reichen die Antworten des Partners nicht aus zum Nachweis der Einhaltung der gesetzlichen und vertraglichen Pflichten, ist der Verantwortliche berechtigt, beim Dienstleister Überprüfungen (einschliesslich Inspektionen) selbst oder durch beauftragte Prüfer vorzunehmen.

7. Berichtigung, Einschränkung und Löschung von Daten
Der Dienstleister darf die von ihm verarbeiteten Daten nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Dienstleister wendet, wird der Dienstleister dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
Kopien oder Duplikate der Daten dürfen nur mit Zustimmung des Verantwortlichen erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer gesetzmässigen Datenverarbeitung erforderlich sind, sowie Kopien, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Nach Abschluss der Erbringung der Verarbeitungsleistung muss der Dienstleister sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Verarbeitungsvertrag stehen, nach Wahl des Verantwortlichen entweder löschen oder diesem zurückgeben; vorbehalten bleibt eine gesetzliche Aufbewahrungspflicht. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen und dauerhaft zu speichern.

8. Änderungen des AVV
Wir behalten uns vor, diesen AVV jederzeit zu ändern.