Auftragsbearbeitungsvertrag

zwischen dem Verantwortlichen beim Auftraggeber,
und
Imago Werbung GmbH, als Dienstleister/Bearbeiter,
zusammen die Parteien.

Präambel

Der Dienstleister erbringt für den Verantwortlichen gestützt auf ein separates Vertragsverhältnis Dienstleistungen als Webagentur in den Bereichen Website Programmierung, Support, Datenbearbeitung und Datenhandling. Dieser Vertrag ermöglicht es den Parteien, ihren Verpflichtungen nach dem anwendbaren Datenschutzrecht nachzukommen, wenn der Dienstleister für den Verantwortlichen Personendaten bearbeitet.

1. Angaben zur Datenbearbeitung und Dauer des Auftrags

Gegenstand der Bearbeitung: Website Programmierung, Support, Datenbearbeitung und Datenhandling.
Art der Bearbeitung: Download und Weiterleitung von Datensätzen, Bearbeitung von Mailinglisten und weiteren Daten im Zusammenhang mit dem Betrieb einer Website oder eines Onlineshops, Bearbeitung der Datenbank.
Zweck der Bearbeitung: Unterstützung des Verantwortlichen, allgemeine Vertragserfüllung gegenüber dem Verantwortlichen
Art der Daten: Personenbezogene Daten wie Kontakt- und Kommunikationsdaten, IP-Adressen, Personenstammdaten, Bewerbungsdaten, Vertragsstammdaten, Bestelldaten, UserID, Passwörter und Rollen, Kontoverbindungen und Kreditkartennummern, Anfragetexte von Kontaktformularen
Kategorien der Betroffenen: Nutzer der Website

Die Dauer der Auftragsbearbeitung richtet sich nach der Laufzeit des zugrundeliegenden Vertrags- resp. Auftrags zum Unterhalt der Website und Bearbeitung der damit im Zusammenhang stehenden personenbezogenen Daten und kann nur mit diesem zusammen ordentlich oder ausserordentlich gekündigt werden.

2. Ort der Datenbearbeitung

Die Bearbeitung der Daten findet ausschliesslich in der Schweiz statt. Die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation bedarf der vorherigen Zustimmung des Verantwortlichen.

3. Pflichten des Partners (Dienstleisters) als Auftragsbearbeiter

Der Dienstleister und ihm unterstellte Personen, die Zugang zu den personenbezogenen Daten haben, werden die personenbezogenen Daten ausschliesslich auf Weisung des Verantwortlichen bearbeiten, es sei denn, sie sind gesetzlich zur Bearbeitung verpflichtet. Der Dienstleister hat von den von ihm durchgeführten Bearbeitungstätigkeiten ein Verzeichnis zu führen. Der Dienstleister führt die Datenbearbeitung mittels geeigneter technischer und organisatorischer Massnahmen durch (vgl. Ziffer 4 hiernach). Der Dienstleister unterstützt den Verantwortlichen nach Möglichkeit dabei, dass dieser seinen Pflichten hinsichtlich der Rechte der betroffenen Personen nachkommen kann. Der Dienstleister verwendet die zur Bearbeitung überlassenen personenbezogenen Daten für keine anderen als die vereinbarten, insbesondere nicht für eigene Zwecke. Der Dienstleister verpflichtet sich, alle im Rahmen des Vertragsverhältnisses bearbeiteten Personendaten vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des Vertrags bestehen.

4. Datensicherheit

Der Dienstleister hat angemessene technische und organisatorische Massnahmen zu ergreifen und aufrechtzuerhalten, so dass die Bearbeitung den Anforderungen der anwendbaren Datenschutzgesetze entspricht und den Schutz der Rechte der betroffenen Personen gewährleistet. Die Massnahmen müssen ein Datensicherheitsniveau sicherstellen, das den Risiken für die Rechte und Freiheiten der betroffenen Personen angemessen ist, und Schutz vor versehentlicher oder unrechtmässiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig bearbeitete Personendaten bieten. Unbefugten ist der Zutritt zu Datenbearbeitungsanlagen, mit denen Personendaten bearbeitet werden, zu verwehren (Zutrittskontrolle). Es ist zu verhindern, dass Datenbearbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). Es ist zu gewährleisten, dass die zur Benutzung eines Datenbearbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Personendaten bei der Bearbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle). Es ist zu gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Personendaten vorgesehen ist (Weitergabekontrolle). Es ist sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenbearbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). Es ist zu gewährleisten, dass Personendaten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Es ist auch zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt bearbeitet werden können (Trennungskontrolle).

5. Unterauftragsbearbeiter

Bei Vertragsschluss bestehen keine Unterauftragsbearbeitungsverträge. Der Dienstleister informiert den Verantwortlichen schriftlich oder per E-Mail über jeden beabsichtigten Beizug eines zusätzlichen Unterauftragsbearbeiters. Der Verantwortliche hat das Recht, beim Dienstleister gegen einen solchen Beizug innert 10 Kalendertagen schriftlich oder per E-Mail Einspruch zu erheben. Im Falle eines solchen Einspruchs darf der Dienstleister den vorgesehenen Unterauftragsbearbeiter nicht beauftragen. Der Dienstleister hat alle involvierten Unterauftragsbearbeiter zur Einhaltung des Datenschutzes nach diesem Vertrag zu verpflichten. Der Dienstleister haftet gegenüber dem Verantwortlichen für die Einhaltung dieser Datenschutzpflichten.

6. Unterstützungs- und Informationspflichten

Der Dienstleister teilt dem Verantwortlichen Störungen, Verstösse, Unregelmässigkeiten oder Verletzungen der Datensicherheit und damit zusammenhängende Umstände (inkl. Ermittlungen und Massnahmen der Aufsichtsbehörde) unverzüglich mit, ohne diese vorher Dritten bekannt zu geben. Ebenso informiert der Dienstleister den Verantwortlichen umgehend, falls die Regelungen dieses Vertrags oder Weisungen in Zusammenhang damit nicht eingehalten werden können, es sei denn, der Dienstleister ist gesetzlich daran gehindert, entsprechend zu informieren. Der Dienstleister unterstützt den Verantwortlichen ausserdem angemessen bei der Erfüllung sämtlicher Rechte der von einer Datenbearbeitung betroffenen Person (z.B. Auskunft) und bei der Erfüllung besonderer Pflichten (z.B. Meldungen von Verletzungen der Datensicherheit). Der Dienstleister wird alle Anfragen des Verantwortlichen im Zusammenhang mit der Bearbeitung der Personendaten unverzüglich und ordnungsgemäss beantworten. Reichen die Antworten des Dienstleisters nicht aus zum Nachweis der Einhaltung der gesetzlichen und vertraglichen Pflichten, ist der Verantwortliche berechtigt, beim Dienstleister Überprüfungen (einschliesslich Inspektionen) selber oder durch beauftragte Prüfer vorzunehmen.

7. Berichtigung, Einschränkung und Löschung von Daten

Der Dienstleister darf die von ihm verarbeiteten Daten nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Bearbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Dienstleister wendet, wird der Dienstleister dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. Kopien oder Duplikate der Daten dürfen nur mit Zustimmung des Verantwortlichen erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenbearbeitung erforderlich sind, sowie Kopien, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Nach Abschluss der Erbringung der Bearbeitungsleistung muss der Dienstleister sämtliche in seinen Besitz gelangten Unterlagen, erstellte Bearbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Bearbeitungsvertrag stehen, nach Wahl des Verantwortlichen entweder löschen oder diesem zurückgeben; vorbehalten bleibt eine gesetzliche Aufbewahrungspflicht. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen und dauerhaft zu speichern. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenbearbeitung dienen, sind durch den Dienstleister entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.

Weitere Bestimmungen

Eine gesonderte Vergütung oder Kostenerstattung an den Dienstleister aufgrund der ihm gestützt auf diesen Vertrag auferlegten Pflichten (und damit zusammenhängenden Kostenfolgen) erfolgt nicht. Dieser Vertrag geht anderslautenden Allgemeinen Geschäftsbedingungen des Dienstleisters oder anderen Abmachungen zwischen den Parteien vor.

Gerichtsstand und anwendbares Recht

Auf diesen Vertrag ist schweizerisches Recht anwendbar. Ausschliesslicher Gerichtsstand ist der Geschäftssitz des Bearbeiters.