Version: Mai 2024
Autragsverarbeitungsvertrag (AVV)
Zwischen dem
Nutzer von Atlanto (nachfolgend der Auftraggeber)
und
Atlanto AG (nachfolgend der Auftragnehmer)
Dufourstrasse 40
CH – 9001 St. Gallen
über die Auftragsverarbeitung.
Auftragsverarbeitung
Der Auftragnehmer verarbeitet im Rahmen seiner Dienstleistungen als Plattformbetreiber Personendaten (Auftragsdaten) im Auftrag des Auftraggebers unter Beachtung der jeweils anwendbaren Datenschutzgesetze (anwendbares Datenschutzrecht) sowie der Datenschutz- und Nutzungsbedingungen von Atlanto. Unter Datenverarbeitung fällt jeder Umgang mit Personendaten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, die Archivierung, das Löschen oder die Vernichtung.
Gegenstand und Dauer
a) Gegenstand, Art und Zweck
Einzelheiten in Bezug auf die Dienstleistung des Auftragnehmers sind in dem jeweiligen Vertrag zwischen Auftragnehmer und Auftraggeber (nachfolgend „Vertrag“) geregelt.
Dieser Vertrag besteht aus den Nutzungs- und Datenschutzbestimmungen des Auftragnehmers. Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung, sofern in diesem Auftragsverarbeitungsvertrag nichts
Abweichendes aufgeführt ist.
b) Arten von Personendaten
Vgl. nicht abschliessende Liste im Anhang A.
c) Kategorien der betroffenen Personen
Vgl. nicht abschliessende Liste im Anhang A.
d) Dauer
Die Auftragsverarbeitung beginnt mit Unterzeichnung dieser Vereinbarung und richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser Anlage nicht darüberhinausgehende Verpflichtungen ergeben.
e) Beendigung
Der Auftraggeber kann die Auftragsverarbeitung jederzeit ohne Einhaltung einer Frist kündigen und, wenn ein schwerwiegender Verstoss der Auftragnehmerin gegen die Bestimmungen dieser Vereinbarung vorliegt, die Auftragnehmerin eine vertragskonforme Weisung des Auftraggebers nicht ausführen kann oder will oder die Auftragnehmerin vertragswidrig die Prüfrechte des Auftraggebers verweigert.
f) Verantwortung
Der Auftraggeber ist im Rahmen der Auftragsverarbeitung für die Einhaltung des anwendbaren Datenschutzrechts, insbesondere für die Rechtmässigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmässigkeit der Datenverarbeitung verantwortlich.
Pflichten des Auftragnehmers
a) Befolgung von Weisungen
(i) Der Auftragnehmer ist verpflichtet, die Auftragsdaten ausschliesslich für die Dienstleistungen zu verwenden und bei ihrer Verarbeitung den ausschliesslich schriftlich erteilten und dokumentierten Weisungen des Auftraggebers zu folgen. Vorbehalten sind abweichende Pflichten des anwendbaren Rechts (z.B. verbindliche Anordnungen zuständiger Behörden), über die der Auftraggeber möglichst frühzeitig zu informieren ist, soweit das rechtlich zulässig ist. Der Auftraggeber nennt dem Auftragnehmer mindestens eine weisungs- und empfangsberechtigte Person in Textform. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Auftragnehmer unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt.
(ii) Das Weisungsrecht des Auftraggebers ist durch die vorliegende Vereinbarung konkretisiert. Darüberhinausgehende Weisungen sind für den Auftragnehmer nur verbindlich, wenn sie zur Einhaltung zwingender datenschutzrechtlicher Anforderungen erforderlich sind.
(iii) Der Auftragnehmer weist den Auftraggeber darauf hin, wenn er der Ansicht ist, eine Weisung verstosse gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.
b) Vertraulichkeit
Der Auftragnehmer verpflichtet sich, Auftragsdaten vertraulich zu behandeln und nur Personen zugänglich zu machen, die für die Erfüllung ihrer Pflichten auf Zugang zu den Auftragsdaten angewiesen sind. Er stellt sicher, dass alle Personen mit Zugang zu Auftragsdaten einer gesetzlichen oder vertraglichen Vertraulichkeitspflicht unterstehen.
c) Ort der Datenverarbeitung
Die Verarbeitung und Nutzung der Auftragsdaten durch den Auftragnehmer finden ausschliesslich im EWR statt. Die Verarbeitung von Auftragsdaten ausserhalb dieses Gebietes ist nur mit ausdrücklicher Zustimmung des Auftraggebers in Textform und in Übereinstimmung mit den anwendbaren gesetzlichen Bestimmungen zulässig. Der Auftragnehmer verpflichtet sich für den Fall einer erlaubten Datenbekanntgabe in einen Staat ohne angemessenes Datenschutzniveau insbesondere, mit dem Auftraggeber einen Zusatzvertrag auf der Basis der aktuellen EU-Standardvertragsklauseln zu schliessen.
d) Verarbeitungsverzeichnisse
Der Auftragnehmer führt ein Verarbeitungsverzeichnis, welches dem Auftraggeber auf Anfrage hin herauszugeben ist. Zudem hat der Auftragnehmer dem Auftraggeber bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten über die Auftragsdaten zu unterstützen.
e) Rückgabe- und Löschpflicht
(i) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder auf dessen Verlangen alle ihm überlassenen Unterlagen und Daten bereitstellen oder auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Solche Dokumentationen sind vom Auftragsnehmer entsprechend der Aufbewahrungsfristen aufzubewahren. Die Bereitstellung der Daten in einem vom Auftraggeber bestimmten, maschinenlesbaren Format ist nach gesonderter Prüfung durch den Auftragsnehmer ggfs. gegen zusätzliche Vergütung möglich.
(ii) Der Auftragnehmer wird auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich behandeln.
f) Datenschutz-Folgenabschätzung:
Der Auftragnehmer unterstützt den Auftraggeber bei der Erstellung einer DatenschutzFolgenabschätzung, sofern gesetzlich vorgeschrieben oder auf Anfrage hin im erforderlichen Umfang.
Datensicherheit
a) Sicherheitsmassnahmen
Der Auftragnehmer ergreift die in Anhang B referenzierten, technischen und organisatorischen Massnahmen zum Schutz der Auftragsdaten vor unbeabsichtigter oder unrechtmässiger Zerstörung, Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugriff und hält diese Massnahmen aufrecht, soweit dies gemäss dem anwendbaren Datenschutzrecht, erforderlich ist (Sicherheitsmassnahmen). Dabei umfassen die Sicherheitsmassnahmen Massnahmen zur Verschlüsselung personenbezogener Daten, zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste des Auftragnehmers, zur rechtzeitigen Wiederherstellung von Auftragsdaten nach einem Vorfall und zur regelmässigen Überprüfung der Wirksamkeit dieser Massnahmen.
b) Personal
Der Auftragnehmer ergreift geeignete Massnahmen, um die Einhaltung der Sicherheitsmassnahmen durch seine Mitarbeiter, Auftragnehmer und Unterauftragnehmer in dem für ihren Leistungsumfang geltenden Umfang sicherzustellen, einschliesslich der Sicherstellung, dass alle zur Verarbeitung der Auftragsdaten berechtigten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
c) Stand der Technik
Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer stellt den adäquaten Stand der Technik sicher.
d) Mitteilungspflichten
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn:
(i) er eine Anfrage, eine Vorladung oder einen Antrag auf Einsichtnahme oder Prüfung von einer für die Verarbeitung zuständigen Behörde erhält, es sei denn, dem Auftragnehmer ist eine solche Offenlegung gesetzlich untersagt;
(ii) er beabsichtigt, Auftragsdaten an eine zuständige Behörde weiterzugeben; oder
(iii) er erkennt oder vermutet, dass eine Verletzung des Schutzes der Auftragsdaten vorliegt, d.h. eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt.
Unterauftragsverarbeitung
Schaltet der Auftragnehmer Unterauftragsverarbeiter oder freie Mitarbeiter aus der EU/ dem EWR ein, die ihre Dienstleistung in der EU/ dem EWR erbringen, so bedarf dies der vorherigen Information des Auftraggebers in Textform.
Für die Beauftragung von Unterauftragsverarbeitern oder freien Mitarbeitern, die ihren Sitz außerhalb EU/ dem EWR haben bzw. ihre Dienstleistung außerhalb der EU/ dem EWR erbringen, ist die vorherige Zustimmung des Auftraggebers in Textform erforderlich. Der Auftraggeber darf seine Zustimmung nicht willkürlich verweigern. Die verweigerte Zustimmung stellt einen ausserordentlichen Kündigungsgrund dar.
Für die zum Zeitpunkt des Vertragsschlusses in Anhang C genannten Unterauftragsverarbeiter und deren Aufgabenbereiche gilt in jedem Fall die Zustimmung des Auftraggebers mit Vertragsschluss als erteilt. Der Auftragnehmer stellt sicher, dass diese Unterauftragsverarbeiter die technischen und organisatorischen Anforderungen gemäß Ziffer 2 des Anhang B ebenso einhalten wie der Auftragnehmer selbst
Kontrollbefugnisse des Auftraggebers
a) Kontrollbefugnisse
Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen und vertraglichen Pflichten im Zusammenhang mit der Verarbeitung von Auftragsdaten durch den Auftragnehmer zu prüfen. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Von Vor-Ort-Kontrollen ist abzusehen sofern die Einhaltung der datenschutzrechtlichen Anforderungen durch den Auftragnehmer schriftlich, bspw. durch Zertifikate oder Testate nachgewiesen werden kann.
b) Externe Prüfstelle
Der Auftraggeber hat das Recht, Prüfungen nach Ziffer 6.a durch eine externe, fachkundige und zur Vertraulichkeit verpflichtete Stelle durchführen zu lassen. Die Kosten der externen Prüfstelle nach Ziffer 6.a trägt der Auftraggeber. Wird die Überprüfung durch die Verletzung dieser Vereinbarung seitens des Auftragnehmers verursacht oder bringt die Überprüfung eine solche Pflichtverletzung zu Tage, so werden die Kosten vollumfänglich vom Auftragnehmer getragen.
Unterstützung
a) Datensicherheit, Datenschutzverletzungen und Datenschutz-Folgeabschätzungen
Der Auftragnehmer unterstützt den Auftraggeber vollumfänglich bei der Einhaltung gesetzlicher Pflichten zur Gewährleistung einer angemessenen Datensicherheit, zur Meldung von Datenschutzverletzungen und zur Durchführung von Datenschutz-Folgenabschätzungen. Im Fall einer Datenschutzverletzung mit Bezug auf Auftragsdaten informiert der Auftragnehmer den Auftraggeber unverzüglich, auf jeden Fall aber innerhalb von 24 Stunden, sobald er von der Datenschutzverletzung Kenntnis hat oder eine solche vermutet (siehe Ziffer 4 d) (iii)). Der Auftragnehmer ergreift ferner unverzüglich alle erforderlichen Massnahmen, um die Auswirkungen der Datenschutzverletzung zu mildern. Der Auftragnehmer unterstützt den Auftraggeber vollumfänglich bei der Entwicklung und Durchführung eines Reaktionsplans sowie, auf deren Instruktion hin, bei der Information der betroffenen Personen und/oder der zuständigen Behörde.
b) Betroffenenrechte
Soweit ein Betroffener sich im Zusammenhang mit datenschutzrechtlichen Ansprüchen (z.B. mit einem Auskunfts- oder Löschbegehren) an den Auftragnehmer wendet, leitet der Auftragnehmer das entsprechende Begehren unverzüglich an den Auftraggeber weiter. Sie unterstützt der Auftragnehmer bei der Verarbeitung solcher Begehren. Dazu gehört bei Bedarf die Unterstützung bei der Zusammenstellung der erforderlichen Daten und Informationen.
c) Informationspflicht
Der Auftragnehmer meldet dem Auftraggeber umgehend Kontrollhandlungen und andere Massnahmen von Datenschutzaufsichtsbehörden, Gerichten und anderen Behörden, wenn sie die Auftragsdaten oder für die Verarbeitung von Auftragsdaten verwendete Systeme betreffen. Der Auftragnehmer wird alle Behörden und Gerichte unverzüglich darüber informieren, dass die Hoheit über die Daten beim Auftraggeber liegt.
d) Datenschutzbeauftragter
Der Auftragnehmer bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat. Die Kontaktdaten des Datenschutzbeauftragten sind:
Helvetia Versicherungen, Fachstelle Datenschutz
Steinengraben 41, 4052 Basel, Schweiz
datenschutz@helvetia.ch
Schlussbestimmungen
a) Anwendbares Recht und Gerichtsstand
Diese Vereinbarung untersteht – vorbehaltlich einer anderslautenden Regelung im dazugehörigen Vertragswerk – ausschliesslich dem Schweizerischen Recht unter Ausschluss von internationalprivatrechtlichen Kollisionsnormen und internationalen Abkommen. Ausschliesslicher Gerichtsstand für alle Streitigkeiten ist – vorbehaltlich einer anderslautenden Regelung im dazugehörigen Vertragswerk – St. Gallen.
b) Salvatorische Klausel
Im Übrigen gelten die Regelungen des Vertrags. Bei etwaigen Widersprüchen zwischen Regelungen dieser Anlage und den Regelungen des Vertrages geht diese Anlage vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit des Vertrags und der Anlage im Übrigen nicht.
c) Weiteres
Die Anhänge A, B und C sind wesentlicher Bestandteil des Auftragsverarbeitungsvertrags.
Anhang A zum Auftragsverarbeitungsvertrag
Gegenstand des Auftrags | Verarbeitung von personenbezogenen Daten des Auftraggebers im Rahmen seiner Nutzung der Leistungen des Providers als Software as a Service. |
Art und Zweck der vorgesehenen Verarbeitung von Daten: | Die vom Auftraggeber verarbeiteten personenbezogenen Daten werden an den Auftragnehmer im Rahmen der Software as a Service Leistungen übertragen. Der Auftragnehmer verarbeitet diese Daten ausschliesslich nach der getroffenen Vereinbarung (u.a. Auftragsverwaltung, Kontaktverwaltung (CRM), Buchhaltung, E-Banking, Lohnbuchhaltung, Lagerverwaltung, Projektverwaltung). |
Art der personenbezogenen Daten: | Die Datenarten hängen von den durch den Auftraggeber übermittelten Daten ab. Diese sind insbesondere (abhängig vom Auftrag): · Auftragsverwaltungsdaten · Kontaktverwaltungsdaten · Buchhaltungsdaten · E-Banking Daten · Lohnbuchhaltungsdaten · Lagerverwaltungsdaten · Projektverwaltungsdaten |
Kategorien betroffener Personen: | Die Kategorien der betroffenen Personen hängen von den durch den Auftraggeber bezogenen Leistungen und übermittelten Daten ab. Diese sind insbesondere (abhängig vom Auftrag): · Mitarbeitende (einschliesslich Bewerber und ehemaligen Mitarbeitenden) des Auftraggebers, · Kunden des Auftraggebers · Interessenten des Auftraggebers · Dienstleister des Auftraggebers · Kontaktdaten zu Ansprechpartnern |
Löschung, Sperrung und Berichtigung von Daten: | Anfragen zur Löschung, Sperrung und Berichtigung sind an den Auftraggeber zu richten; im Übrigen gelten die Regelungen des Vertrages. |
Anhang B: Technische und Organisatorische Massnahmen (TOMs)
1 Allgemeines
Je nach Klassifizierung der Informationen von Atlanto sind die entsprechenden technischen und organisatorischen Massnahmen (Technical and Organizational Measures, TOMs) zu befolgen.
- Die in diesem Dokument beschriebenen TOMs gelten ausschliesslich für Informationen von Atlanto, die als «öffentlich» oder «intern» klassifiziert sind.
- Soll der externe Partner ausserdem Informationen von Atlanto verwalten, die als «vertraulich» oder «geheim» klassifiziert sind, so müssen dafür die TOMs für als «vertraulich» oder «geheim» klassifizierte Informationen von Atlanto befolgt werden.
2 Technische und organisatorische Massnahmen
Der externe Partner stellt sicher, dass die folgenden TOMs befolgt werden:
- Die Systeme, auf denen Daten von Atlanto gespeichert werden, sind sicher:
- Befolgung der branchenüblichen sicherheitsbezogenen Best Practices für die Systemkonfiguration.
- Erkennungs-, Präventions- und Wiederherstellungskontrollen für den Schutz vor Malware sind implementiert.
- Die Netzsicherheit durch eine Beschränkung und Kontrolle der Netzwerkports, -protokolle und -dienste ist implementiert.
- Unberechtigte Zugriffe auf Datenverarbeitungssysteme, auf denen Daten von Atlanto verarbeitet werden, wird verhindert:
- Schutz des Informationszugriffs durch physische und logische Zugriffskontrollmassnahmen.
- Identifizierung und Authentifizierung der Benutzer, bevor sie Zugriff auf Daten von Atlanto erhalten.
- Einrichtung von Verfahren für ein aktives Management des Lebenszyklus der Benutzer-, System- und Applikationskonten – deren Erstellung, Nutzung, Inaktivität und Löschung.
- Personen, die zur Nutzung der Datenverarbeitungsverfahren berechtigt sind, können nur auf jene Daten von Atlanto zugreifen, für die sie die Berechtigung besitzen:
- Autorisierung der Benutzer durch funktionsabhängige Zugriffskontrollen, indem das «Least-Privilege-Prinzip» (Beschränkung auf absolut notwendige Berechtigungen) und das «Need-to-Know-Prinzip» (Beschränkung auf absolut notwendige Informationen) befolgt werden.
- Minimierung der administrativen Berechtigungen sowie Verwendung administrativer Konten nur, wenn dies nötig ist.
- Die Daten von Atlanto können während der elektronischen Übertragung oder während des Transports oder der Speicherung auf einem Datenträger von Unbefugten weder gelesen, kopiert, verändert noch entfernt werden:
- Die Informationen werden während der Übertragung oder des Transports durch Verschlüsselung geschützt.
- Es ist überprüfbar und feststellbar, zu welchen Punkten Daten von Atlanto mittels Datenübertragungseinrichtungen übertragen werden.
- Es ist überprüfbar und feststellbar, ob und durch wen Daten von Atlanto in Datenverarbeitungssystemen eingegeben, modifiziert oder entfernt wurden:
- Die Protokolldaten werden gemäss den rechtlichen Vorschriften gespeichert.
- Die Daten von Atlanto sind gegen versehentliche Vernichtung und Verlust geschützt:
- Erstellung eines Backup-Plans für die Datensicherung.
- Erstellung eines Wiederherstellungsplans, der regelmässig getestet wird.
- Für unterschiedliche Zwecke erfasste Daten lassen sich gesondert verarbeiten.
- Die Daten von Atlanto werden mittels formeller Verfahren sicher vernichtet, wenn sie nicht mehr gebraucht werden.
3 Organisatorische Massnahmen
Der externe Partner stellt sicher, dass die folgenden Anforderungen erfüllt sind:
- Es werden Managementverantwortlichkeiten und Verfahren festgelegt,
- um bestehende Bedrohungen, deren Auswirkungen auf die Geschäftstätigkeit und entsprechende Schutzmassnahmen zu evaluieren;
- um eine schnelle, wirksame und ordnungsgemässe Reaktion auf informationssicherheitsrelevante Vorfälle sicherzustellen.
- Mitarbeitende und alle sonstigen Personen, die in die Verarbeitung der Daten von Atlanto involviert sind, werden sorgfältig und angemessen ausgewählt, instruiert und überwacht.
- Es werden geeignete Datenschutz- und Vertraulichkeitsverpflichtungen gemäss Anweisungen implementiert, überprüft und durchgesetzt.
- Mitarbeitende und sonstige Personen, die in die Verarbeitung der Daten von Atlanto involviert sind, werden regelmässig zum Datenschutz geschult.
4 Wirksamkeit der technischen und organisatorischen Massnahmen
- Der externe Partner stellt sicher, dass er die Wirksamkeit der technischen und organisatorischen Massnahmen regelmässig überprüft und auswertet:
- Einrichtung von Verfahren zur Überprüfung der Wirksamkeit des Schwachstellen- und Patch-Managements.
- Festlegung der Managementverantwortlichkeiten und Verfahren zur regelmässigen Überprüfung der implementierten Informationssicherheitsmassnahmen im Hinblick auf Verbesserungen.
- Der externe Partner stellt sicher, dass er die Ergebnisse dieser Prüfungen dokumentiert und festgestellte Mängel unverzüglich und angemessen behebt.
Anhang C: Unterauftragnehmer
Firma, Adresse | Beschreibung Leistung |
Institut für Jungunternehmen AG Schützengasse 10 9000 St. Gallen | Content-Erstellung für die Webseite und Plattform, Lizenzvergabe Business Plan Tool inkl. beratende Funktion |
Comitas AG Wiesenstrasse 5 8952 Schlieren | Erbringung von IT-Dienstleistungen u.a. Software- und Plattform-Entwicklung, Betrieb Software inkl. Wartung und Weiterentwicklung der Plattform, Verantwortung technische Integration, Endkundensupport für die Plattform |
Helvetia Schweizerische Versicherungsgesellschaft AG Dufourstrasse 40 9001 St.Gallen | Erbringung von Endkunden-Support-Dienstleistungen im Bereich der Infrastruktur und Dienste |
Amazon Web Services EMEA SARL Avenue John F. Kennedy 38 Luxembourg | Erbringung von Cloud Dienstleistungen |
Swisscom AG Alten Tiefenaustrasse 6 3050 Bern | Erbringung von Backup Dienstleistungen |