Auftragsverarbeitungsvertrag
1. Gegenstand
- Dieser Vertrag regelt die Rechte und Pflichten der W&W Immo Informatik AG (nachfolgend die «Auftragnehmerin») sowie ihrer einzelnen Kundinnen und Kunden (nachfolgend einheitlich die einzelnen «Auftraggeberinnen» und die jeweilige «Auftraggeberin», gemeinsam die «Parteien») im Zusammenhang mit der datenschutzrechtlichen Auftragsbearbeitung beziehungsweise Auftragsverarbeitung (nachfolgend einheitlich die «Auftragsverarbeitung») von Personendaten beziehungsweise personenbezogener Daten (nachfolgend einheitlich die «Personendaten»).
- Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragnehmerin ganz oder teilweise Personendaten im Auftrag und gemäss Weisungen der jeweiligen verantwortlichen Auftraggeberin bearbeitet beziehungsweise verarbeitet oder bearbeiten beziehungsweise verarbeiten (nachfolgend einheitlich «verarbeiten») lässt.
- Die Auftragnehmerin unterliegt dem schweizerischen Datenschutzrecht, insbesondere gemäss dem Bundesgesetz über den Datenschutz (DSG). Mit diesem Vertrag ermöglicht die Auftragnehmerin der jeweiligen Auftraggeberin die Einhaltung der anwendbaren datenschutzrechtlichen Anforderungen für die Auftragsverarbeitung, insbesondere gemäss dem schweizerischen Datenschutzgesetz (DSG).
2. Art, Gegenstand und Zweck der Auftragsverarbeitung
- Die Auftragsverarbeitung erfolgt gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien. Die Bestimmungen dieses Vertrages haben Vorrang bei einem Widerspruch zwischen den Bestimmungen dieses Vertrages und sonstigen vertraglichen Vereinbarungen zwischen den Parteien.
- Die Auftragsverarbeitung umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Abfragen, Abgleichen, Anpassen, Archivieren, Aufbewahren, Auslesen, Bekanntgeben, Beschaffen, Einschränken, Erfassen, Erheben, Löschen, Offenlegen, Ordnen, Organisieren, Speichern, Verändern, Verknüpfen, Vernichten und Verwenden von Personendaten. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare beziehungsweise identifizierte oder identifizierbare Person beziehen, deren Daten verarbeitet werden. Als Personen gelten natürliche Personen, sofern das anwendbare Datenschutzrecht nicht vorsieht, dass auch juristische Personen als Personen gelten.
- Die Auftragsverarbeitung umfasst die Kategorien von Personendaten gemäss Anhang 1.
- Die Auftragsverarbeitung umfasst die Kategorien betroffener Personen, deren Personendaten verarbeitet werden, gemäss Anhang 2.
3. Pflichten der Parteien
3.1 Weisungen
- Die Auftragnehmerin verarbeitet Personendaten ausschliesslich wie vertraglich vereinbart oder gemäss dokumentierten Weisungen der jeweiligen Auftraggeberin, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch zu einer bestimmten Verarbeitung verpflichtet.
- Die Auftragnehmerin informiert die jeweilige Auftraggeberin unverzüglich, wenn sie der Auffassung ist, dass vertragliche Vereinbarungen oder erteilte Weisungen gegen anwendbare datenschutzrechtliche Anforderungen verstossen.
3.2 Zweckbindung
- Die Auftragnehmerin verarbeitet Personendaten ausschliesslich für den Zweck beziehungsweise die Zwecke gemäss den vertraglichen Vereinbarungen zwischen den Parteien, sofern die Auftragnehmerin keine weiteren dokumentierten Weisungen von der jeweiligen Auftraggeberin erhält.
4. Sicherheit
- Die Auftragnehmerin ergreift mindestens die geeigneten technischen und organisatorischen Massnahmen (TOM) gemäss Anhang 3, um eine dem Risiko angemessene Sicherheit der verarbeiteten Personendaten zu gewährleisten. Diese Massnahmen umfassen insbesondere den Schutz der verarbeiteten Personendaten vor einer Verletzung der Sicherheit, die, jeweils unbeabsichtigt oder unrechtmässig, zur unbefugten Bekanntgabe von Personendaten beziehungsweise zum unbefugten Zugang zu Personendaten oder zur Veränderung, zum Verlust oder zur Vernichtung der Personendaten führt (nachfolgend gemeinsam die «Verletzungen der Datensicherheit»).
- Die Auftragnehmerin gewährt ihren Hilfspersonen nur insoweit Zugang zu Personendaten der jeweiligen Auftraggeberin, als ein solcher Zugang für die Durchführung, Überwachung und Verwaltung dieses Vertrages erforderlich ist. Die Auftragnehmerin gewährleistet, dass sich die zur Auftragsverarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5. Dokumentation und Prüfmöglichkeiten
- Die Parteien müssen die Einhaltung dieses Vertrages nachweisen können.
- Die Auftragnehmerin bearbeitet in angemessener Weise und möglichst zeitnah Anfragen der jeweiligen Auftraggeberin zur Auftragsverarbeitung gemäss diesem Vertrag.
- Die Auftragnehmerin stellt der jeweiligen Auftraggeberin auf Anfrage alle vorhandenen Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesem Vertrag festgelegten und unmittelbar aus den anwendbaren datenschutzrechtlichen Bestimmungen hervorgehenden Anforderungen erforderlich sind.
- Die Auftragnehmerin ermöglicht der jeweiligen Auftraggeberin auf Verlangen die Prüfung der Auftragsverarbeitung gemäss diesem Vertrag in angemessenen Abständen oder bei dokumentierten Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei.
- Die jeweilige Auftraggeberin kann eine Prüfung selbst durchführen oder durch eine unabhängige Prüferin beziehungsweise einen unabhängigen Prüfer durchführen lassen. Solche Prüfungen sind auf einen Tag pro Kalenderjahr beschränkt. Eine Prüfung kann auch Inspektionen in den physischen Einrichtungen oder Räumlichkeiten der Auftragnehmerin umfassen, sofern solche Inspektionen erforderlich sind, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs stattfinden und die Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit erfolgt. Solche Inspektionen sind im Übrigen nur zulässig, sofern und soweit die Prüfung nicht durch geeignete Nachweise wie Bestätigungen, Dokumentationen und Zertifikate oder Zertifizierungen erfolgen kann, insbesondere bei Rechenzentren.
- Die jeweilige Auftraggeberin trägt die Kosten der Auftragnehmerin für solche Prüfungen.
- Die Parteien stellen einer zuständigen Aufsichtsbehörde beziehungsweise zuständigen Aufsichtsbehörden die oben genannten Informationen, einschliesslich Ergebnisse von Prüfungen, auf Anfrage zur Verfügung, sofern die Zurverfügungstellung nicht aus gesetzlichen Gründen verboten ist.
6. Unterauftragsverarbeitung
- Die jeweilige Auftraggeberin erteilt der Auftragnehmerin die allgemeine Genehmigung für die Beauftragung von Unterauftragsverarbeitern, die in der Liste gemäss Anhang 4 aufgeführt sind.
- Die Auftragnehmerin unterrichtet die jeweilige Auftraggeberin mindestens 30 Tage im Voraus in elektronischer oder schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Ersetzen oder Hinzufügen von Unterauftragsverarbeitern. Die Auftragnehmerin räumt der jeweiligen Auftraggeberin damit ausreichend Zeit ein, um vor der Beauftragung allfällige Einwände gegen die beabsichtigten Änderungen erheben zu können.
- Erfolgt kein fristgerechter Widerspruch, gelten die beabsichtigten Änderungen als genehmigt. Ist bei einem Widerspruch keine einvernehmliche Klärung zwischen den Parteien über die geplanten Änderungen möglich und ist die jeweilige Auftraggeberin nicht bereit, auf ihren Widerspruch zu verzichten, sind die Parteien berechtigt, diesen Vertrag ausserordentlich auf den Zeitpunkt der geplanten Änderungen zu kündigen.
- Die Auftragnehmerin muss Unterauftragsverarbeitern, die zur Durchführung der Auftragsverarbeitung beauftragt werden, vertraglich im Wesentlichen die gleichen Pflichten auferlegen wie diejenigen, die für die Auftragnehmerin gemäss diesem Vertrag gelten. Die Auftragnehmerin stellt sicher, dass jeder Unterauftragsverarbeiter die Pflichten erfüllt, denen die Auftragnehmerin gemäss diesem Vertrag und gemäss den anwendbaren datenschutzrechtlichen Anforderungen unterliegt.
7. Export von Personendaten
- Jeder Export von Personendaten in ein Land ausserhalb der Schweiz und der Mitgliedstaaten des Europäischen Wirtschaftsraumes (EWR) oder an eine internationale Organisation erfolgt ausschliesslich wie vertraglich vereinbart oder gemäss dokumentierten Weisungen der jeweiligen Auftraggeberin, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch zu einem bestimmten Daten-Export verpflichtet.
- Jeder Export von Personendaten in ein Land ausserhalb der Schweiz und der Mitgliedstaaten des EWR erfolgt grundsätzlich ausschliesslich, wenn das Datenschutzrecht im jeweiligen Land sowohl gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) beziehungsweise dem Schweizerischen Bundesrat als auch gemäss der Europäischen Kommission aus schweizerischer und europäischer Sicht ein angemessenes Schutzniveau für Personendaten gewährleistet.
- Der Export von Personendaten in ein Land ausserhalb der Schweiz und der Mitgliedstaaten des EWR, dessen Datenschutzrecht kein angemessenes Schutzniveau von Personendaten gewährleistet, darf ausnahmsweise erfolgen, wenn aus anderen Gründen ein angemessenes Schutzniveau gemäss den anwendbaren datenschutzrechtlichen Anforderungen gewährleistet ist, insbesondere gemäss zwischenstaatlichen Vereinbarungen oder auf Grundlage von geltenden Standardvertragsklauseln, die von der Europäischen Kommission erlassen wurden. Die Auftragnehmerin ist berechtigt, solche europäischen Standardvertragsklauseln gemäss Empfehlungen des EDÖB so anzupassen und zu ergänzen, dass die Standardvertragsklauseln auch den anwendbaren datenschutzrechtlichen Anforderungen in der Schweiz entsprechen und damit geeignet sind, ein angemessenes Datenschutzniveau beim Daten-Export aus der Schweiz zu gewährleisten.
8. Unterstützung von Auftraggeberinnen
- Die Auftragnehmerin informiert die jeweilige Auftraggeberin unverzüglich über jede Anfrage, die sie von einer betroffenen Person erhalten hat, und welche die Auftragsverarbeitung betrifft. Die Auftragnehmerin ist berechtigt, der betroffenen Person den Erhalt zu bestätigen, beantwortet die Anfrage im Übrigen aber nicht selbst, es sei denn, die Beantwortung wurde mit der jeweiligen Auftraggeberin vereinbart.
- Die Auftragnehmerin unterstützt die jeweilige Auftraggeberin unter Berücksichtigung der Art der Auftragsverarbeitung bei der Erfüllung ihrer Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei dieser Unterstützung befolgt die Auftragnehmerin die Weisungen der jeweiligen Auftraggeberin.
- Die Auftragnehmerin unterstützt die jeweilige Auftraggeberin ferner unter Berücksichtigung der Art der Auftragsverarbeitung und der ihr zur Verfügung stehenden Informationen bei der Einhaltung der folgenden Pflichten:
- Führung eines allfälligen Verzeichnisses der Verarbeitungstätigkeiten;
- Durchführung einer Datenschutz-Folgenabschätzung, wenn eine geplante Verarbeitung von Personendaten durch die jeweilige Auftraggeberin voraussichtlich ein hohes Risiko für die Grundrechte oder die Persönlichkeit der betroffenen Personen mit sich bringen kann;
- Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung von Personendaten, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die geplante Verarbeitung trotz der vorgesehenen Massnahmen ein hohes Risiko für die Grundrechte oder die Persönlichkeit der betroffenen Personen mit sich bringt.
- Die jeweilige Auftraggeberin trägt die Kosten der Auftragnehmerin für diese Unterstützung.
9. Meldung von Verletzungen der Datensicherheit
- Die Auftragnehmerin arbeitet im Fall einer Verletzung der Datensicherheit mit der jeweiligen Auftraggeberin zusammen. Die Auftragnehmerin unterstützt die jeweilige Auftraggeberin bei der Erfüllung ihrer Pflichten zur Meldung von Verletzungen der Datensicherheit an die zuständige(n) Aufsichtsbehörde(n) beziehungsweise zur Benachrichtigung der von Verletzungen der Datensicherheit betroffenen Personen, wobei die Auftragnehmerin die Art der Auftragsverarbeitung und die ihr zur Verfügung stehenden Informationen berücksichtigt.
9.1 Verletzungen der Sicherheit der von einer Auftraggeberin verarbeiteten Personendaten
- Die Auftragnehmerin unterstützt im Fall einer Verletzung der Datensicherheit im Zusammenhang mit den von der jeweiligen Auftraggeberin verarbeiteten Personendaten die jeweilige Auftraggeberin wie folgt:
- Bei der Meldung der Verletzung der Datensicherheit an die zuständige(n) Aufsichtsbehörde(n);
- Bei der Benachrichtigung der von Verletzungen der Datensicherheit betroffenen Personen gemäss den anwendbaren datenschutzrechtlichen Anforderungen.
- Die jeweilige Auftraggeberin trägt die Kosten der Auftragnehmerin für diese Unterstützung.
9.2 Verletzungen der Sicherheit der von der Auftragnehmerin verarbeiteten Personendaten
- Die Auftragnehmerin informiert bei einer Verletzung der Datensicherheit im Zusammenhang mit den von ihr verarbeiteten Personendaten unverzüglich nach Bekanntwerden der Verletzung die jeweilige Auftraggeberin.
- Die Auftragnehmerin liefert der jeweiligen Auftraggeberin im Rahmen dieser Information – jeweils sobald verfügbar – jene Angaben, welche die jeweilige Auftraggeberin gemäss den anwendbaren datenschutzrechtlichen Anforderungen benötigt, insbesondere:
- Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
- Kontaktdaten einer Anlaufstelle, bei welcher durch die jeweilige Auftraggeberin weitere Informationen über die Verletzung der Datensicherheit eingeholt werden können;
- Voraussichtliche Folgen der Verletzung der Datensicherheit sowie ergriffene oder vorgeschlagene Massnahmen zur Behebung der Verletzung der Datensicherheit, einschliesslich Massnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen der Verletzung der Datensicherheit.
- Die Auftragnehmerin trägt die Kosten für diese Information.
10. Aussetzung der Auftragsverarbeitung
- Für den Fall, dass die Auftragnehmerin ihren Pflichten gemäss diesem Vertrag nicht nachkommt, kann die jeweilige Auftraggeberin die Auftragnehmerin anweisen, die Auftragsverarbeitung auszusetzen, bis die Auftragnehmerin diesen Vertrag einhält oder dieser Vertrag beendet ist. Die Auftragnehmerin informiert die jeweilige Auftraggeberin unverzüglich, wenn sie – aus welchen Gründen auch immer – nicht in der Lage ist, diesen Vertrag einzuhalten.
11. Haftung
- Die Haftung richtet sich nach einer allfälligen Haftungsregelung gemäss den vertraglichen Vereinbarungen zwischen den Parteien.
12. Dauer und Kündigung
- Die Auftragnehmerin verarbeitet Personendaten auf unbestimmte Zeit bis zur Kündigung dieses Vertrages oder der letzten vertraglichen Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.
- Die jeweilige Auftraggeberin ist berechtigt, diesen Vertrag ausserordentlich und fristlos zu kündigen, wenn:
- die jeweilige Auftraggeberin die Auftragsverarbeitung ausgesetzt hat und die Einhaltung dieses Vertrages nicht innerhalb einer angemessenen Frist, in jedem Fall aber nicht innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
- die Auftragnehmerin in erheblichem Umfang oder fortdauernd gegen diesen Vertrag verstösst;
- die Auftragnehmerin der bindenden Entscheidung einer zuständigen Aufsichtsbehörde oder eines zuständigen Gerichts, welche Pflichten der Auftragnehmerin gemäss den anwendbaren datenschutzrechtlichen Anforderungen zum Gegenstand hat, nicht nachkommt.
- Die Auftragnehmerin ist berechtigt, diesen Vertrag ausserordentlich und fristlos zu kündigen, wenn die jeweilige Auftraggeberin auf der Erfüllung einer vertraglichen Vereinbarung oder Weisung besteht, nachdem sie von der Auftragnehmerin darüber in Kenntnis gesetzt wurde, dass die vertragliche Vereinbarung oder Weisung gegen anwendbare datenschutzrechtliche Anforderungen verstösst.
- Die Parteien sind berechtigt, diesen Vertrag mit einer Frist von drei Monaten per Ende Monat zu kündigen, sofern vertragliche Vereinbarungen zwischen den Parteien keine oder keine andere Kündigungsfrist vorsehen.
- Nach Beendigung dieses Vertrages löscht die Auftragnehmerin alle im Auftrag der jeweiligen Auftraggeberin verarbeiteten Personendaten, es sei denn, die Auftragnehmerin ist gesetzlich oder regulatorisch berechtigt oder verpflichtet, die Personendaten zu speichern. Bis zur Löschung der Personendaten gewährleistet die Auftragnehmerin die Einhaltung dieses Vertrages.
13. Schlussbestimmungen
- Dieser Vertrag kann in elektronischer oder schriftlicher Form geschlossen werden. Anpassungen dieses Vertrages können in elektronischer Form erfolgen.
- Die Parteien informieren sich gegenseitig über eine allfällige Datenschutzberaterin oder über einen allfälligen Datenschutzberater beziehungsweise über eine allfällige Datenschutzbeauftragte oder über einen allfälligen Datenschutzbeauftragten gemäss den anwendbaren datenschutzrechtlichen Anforderungen.
- Die Parteien sind verpflichtet, alle im Rahmen dieses Vertrages erlangten Kenntnisse von Geschäftsgeheimnissen der jeweils anderen Partei sowie über Personendaten, auch über die Beendigung dieses Vertrages hinaus, dauerhaft vertraulich zu behandeln, es sei denn, eine Partei ist gesetzlich zu einer bestimmten Offenlegung verpflichtet. In einem solchen Fall informiert die verpflichtete Partei die jeweils andere Partei über diese gesetzliche Verpflichtung, sofern, solange und soweit eine solche Information nicht aus gesetzlichen Gründen verboten ist. Bestehen bei einer Partei Zweifel, ob eine Information dieser Geheimhaltungspflicht unterliegt, ist die Information bis zur ausdrücklichen Freigabe durch die jeweils andere Partei vertraulich zu behandeln.
- Sollten einzelne Bestimmungen dieses Vertrages unerfüllbar, ungültig oder unwirksam sein, so berührt dies die Erfüllbarkeit, Gültigkeit oder Wirksamkeit der übrigen Bestimmungen nicht und die Parteien ersetzen die einzelne Bestimmung mit einer erfüllbaren, gültigen oder wirksamen Bestimmung, die dem angestrebten datenschutzrechtlichen Ergebnis der einzelnen Bestimmung möglichst nahekommt.
- Für diesen Vertrag gilt ausschliesslich schweizerisches Recht. Das Kollisionsrecht und das UN‑Kaufrecht sind ausgeschlossen. Ausschliesslicher Gerichtsstand ist am Sitz der Auftragnehmerin.
Anhang 1 – Kategorien der verarbeiteten Personendaten
Die jeweilige Auftraggeberin bestimmt und kontrolliert im eigenen Ermessen und in eigener Verantwortung, welche Kategorien von Personendaten verarbeitet werden. Die Auftragsverarbeitung kann insbesondere folgende Kategorien von Personendaten umfassen:
- Inhaltsdaten
- Kommunikationsdaten
- Kontaktdaten
- Nutzungsdaten
- Stammdaten
- Vertragsdaten
- Zahlungsdaten
Die jeweilige Auftraggeberin informiert die Auftragnehmerin in dokumentierter Form, sofern die Auftragsbearbeitung andere oder zusätzliche Kategorien von Personendaten umfasst.
Anhang 2 – Kategorien betroffener Personen, deren Personendaten verarbeitet werden
Die jeweilige Auftraggeberin bestimmt und kontrolliert im eigenen Ermessen und in eigener Verantwortung die Kategorien betroffener Personen, deren Personendaten verarbeitet werden. Die Auftragsverarbeitung kann insbesondere folgende Kategorien von Personendaten umfassen:
- Ansprechpartner
- Kunden einschliesslich potenzieller Kunden
- Geschäftspartner
- Interessenten
- Lieferanten
- Mitarbeiter
- Nutzer
Die jeweilige Auftraggeberin informiert die Auftragnehmerin in dokumentierter Form, sofern die Auftragsbearbeitung andere oder zusätzliche Kategorien von Personendaten umfasst.
Anhang 3 – Technische und organisatorische Massnahmen (TOM)
Die Auftragnehmerin hat die technischen und organisatorischen Massnahmen (TOM) unter nachfolgender Internet-Adresse (URL) veröffentlicht:
https://www.wwimmo.ch/technische-und-organisatorische-massnahmen
Anhang 4 – Liste der Unterauftragsverarbeiter
Die Auftragnehmerin veröffentlicht folgende Liste der Unterauftragsverarbeiter:
Name | Adresse | Land |
Microsoft Ireland Operations Limited |
South County Business Park |
Irland |
iSource AG |
Europastrasse 3 |
Schweiz |
Dom Data AG |
Aleje Solidarności 46 |
Polen |
Smoca AG |
Technoparkstrasse 2 |
Schweiz |
SendGrid |
Twilio Inc., 101 Spear Street, Ste 500, |
USA |
Sentry | Sentry, 45 Fremont Street, 8th Floor San Francisco, CA 94105 |
USA |
Die Bekanntgabe von Daten an Dritte im Auftrag der jeweiligen Auftraggeberin, insbesondere über Schnittstellen, stellt keine Unterauftragsverarbeitung dar, sondern erfolgt in Verantwortung der jeweiligen Auftraggeberin.
Download W&W Auftragsverarbeitungsvertrag
Download technische und organisatorische Massnahmen W&W