Auftragsdatenbearbeitungsvertrag (ADV)

1. Gegenstand und Dauer der Vereinbarung

Dieser Vertrag regelt die Rechte und Pflichten der medPartner Treuhand AG, Stockerstrasse 56, 8002 Zürich  (nachfolgend «Auftragsbearbeiter») sowie ihrer einzelnen Kundinnen und Kunden (nachfolgend einheitlich die einzelnen «Auftraggeber», gemeinsam die «Parteien») im Zusammenhang mit der datenschutzrechtlichen Auftragsbearbeitung. Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen der Auftragsbearbeiter ganz oder teilweise Personendaten im Auftrag und gemäss Weisungen des jeweiligen verantwortlichen Auftraggebers bearbeitet oder bearbeiten lässt.

 Der Auftragsbearbeiter erbringt für den Auftraggeber Treuhand- und Buchhaltungsdienstleistungen gestützt auf ein separates Vertragsverhältnis.

Diese Vereinbarung ermöglicht es den Parteien, ihren Verpflichtungen nach dem anwendbaren Datenschutzrecht nachzukommen, wenn der Auftragsbearbeiter für den Auftraggeber Personendaten bearbeitet. Sie konkretisiert die Verpflichtungen der Parteien zum Datenschutz, die sich aus dem im separaten Vertrag beschriebenen Auftragsbearbeitung ergeben.

Die Bestimmungen dieser Vereinbarung finden Anwendung auf alle Tätigkeiten, die mit dem separaten Vertragsverhältnis in Zusammenhang stehen und bei welcher der Auftragsbearbeiter und seine Beschäftigten oder durch den Auftragsbearbeiter Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des separaten Vertragsverhältnisses und kann nur mit diesem zusammen ordentlich oder ausserordentlich gekündigt werden.

2. Art der Bearbeitung und Art der Daten

Der Auftragsbearbeiter erhält Zugriff auf personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im separaten Vertragsverhältnis beschrieben werden.

Die Tätigkeiten des Auftragsbearbeiters können dabei u.a. folgendes umfassen:

  • Empfangen, Bearbeitung und Versand von Lohndaten

  • Erstellung und Versand von Lohnabrechnungen

  • Verwaltung von Mitarbeiterstammdaten

  • Erstellung von Bescheinigungen und Meldungen an die Behörden und Versicherungen

  • Zugriff auf und Bearbeitung von Daten beim Auftraggeber oder direkt bei seinem Kunden

 Für die Ausführung dieser Tätigkeiten erforderliche Personendaten:

  • Personenstammdaten

  • Mitarbeiterstammdaten

  • Kommunikationsdaten

  • Vertragsstammdaten

  • Lohndaten

  • Sozialversicherungs- und Gesundheitsdaten

  • Abrechnungs- und Zahlungsdaten

  • Allenfalls weitere sich aus den separaten Vertragsverhältnis ergebenden Personendaten

3. Pflichten des Auftragsbearbeiters

3.1.  Der Auftragsbearbeiter und ihm unterstellten Personen, die Zugang zu den Personendaten haben, dürfen die Daten nur im Rahmen des Auftrags und der Weisungen des Auftraggebers bearbeiten (beschaffen, speichern, aufbewahren, verwenden, verändern, bekanntgeben, archivieren, löschen oder vernichten etc.), ausser es liegt ein Ausnahmefall vor, z.B. bei Ermittlungen von Strafverfolgungsbehörden. In einem solchen Fall teilt der Auftragsbearbeiter dem Auftraggeber diese rechtliche Anordnung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Bei einem Wechsel der weisungsberechtigten Personen oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner der Nachfolger bzw. der Vertreter zu benennen.

Falls eine Weisung des Auftraggebers gegen geltende gesetzliche Vorschriften verstösst, wird der Auftragsbearbeiter den Auftraggeber umgehend darauf hinweisen.

3.2. Der Auftragsbearbeiter nutzt die zur Bearbeitung überlassenen Daten ausschliesslich für den vereinbarten Zweck und nicht für eigene Zwecke. Er stellt keine Kopien oder Duplikate der Daten ohne das Wissen des Auftraggebers her, es sei denn, es handelt sich um Sicherungskopien.

3.3. Der Auftragsbearbeiter ist nicht berechtigt, im Auftrag bearbeitete Daten eigenmächtig zu löschen oder anderweitig zu vernichten. Jegliche Löschung oder Vernichtung der Daten darf ausschliesslich aufgrund einer schriftlichen Weisung des Auftraggebers erfolgen, es sei denn, es liegt ein gesetzlicher Grund vor, der eine solche Massnahme erfordert.

3.4. Die Bearbeitung von Daten ausserhalb des Unternehmensstandorts des Auftragsbearbeiters, wie beispielsweise im Home Office von Mitarbeitenden, wird hiermit durch den Auftraggeber gestattet. In Fällen, in denen die Datenbearbeitung in einer Privatwohnung stattfindet, sind angemessene Sicherheitsmassnahmen sicherzustellen.

3.5.  Der Auftragsbearbeiter verpflichtet sich dazu, sämtliche Personendaten, die ihm im Rahmen dieses Auftragsdatenbearbeitungsvertrags bekannt werden, vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. Der Auftragsbearbeiter wird sicherstellen, dass alle Personen, die Zugang zu den Personendaten haben oder mit deren Bearbeitung beauftragt sind, über die Vertraulichkeitsverpflichtung informiert und entsprechend vertraglich gebunden sind.

3.6. Der Auftragsbearbeiter ist verpflichtet, allfällige Verletzungen des Datenschutzes oder Unregelmässigkeiten unverzüglich dem Auftraggeber zu melden und alle relevanten Details der Verletzung, einschliesslich der Art der Verletzung, der betroffenen Personendaten, der möglichen Auswirkungen sowie der ergriffenen oder geplanten Massnahmen zur Eindämmung des Vorfalls und zur Minimierung eventueller negativer Folgen bekannt zu geben.

3.7. Auf Verlangen des Auftraggebers ist der Auftragsbearbeiter verpflichtet, Daten zu berichtigen, sofern sie unrichtig oder unvollständig sind. Sollte eine betroffene Person ihre Rechte, insbesondere ihr Recht auf Auskunft, Herausgabe oder Übertragung der Daten, ihr Widerspruchsrecht, oder ihr Recht auf Berichtigung, Löschung oder Vernichtung der Daten, direkt gegenüber dem Auftragsbearbeiter geltend machen, wird der Auftragsbearbeiter nicht selbständig reagieren, sondern die Person unverzüglich an den Auftraggeber verweisen und dessen Weisungen abwarten.

3.8. Auskünfte über Personendaten aus dem Auftragsverhältnis an Dritte oder den Betroffenen, darf der Auftragsbearbeiter nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

3.9. Nach Abschluss der vertraglichen Arbeiten verpflichtet sich der Auftragsbearbeiter dazu, sämtliche Unterlagen und Nutzungsergebnisse, die im Rahmen dieses Auftragsdatenbearbeitungsvertrags entstanden sind, datenschutzgerecht zu löschen bzw. zu vernichten und dem Auftraggeber alle ihm im Rahmen des separaten Vertragsverhältnisses überlassenen Unterlagen, Daten und Datenträger zurückzugeben. Die Löschung bzw. Vernichtung erfolgt, sofern nicht ein gesetzlicher Grund entgegensteht. Es ist zu beachten, dass der Auftragsbearbeiter möglicherweise gesetzlich verpflichtet ist, bestimmte Daten für einen definierten Zeitraum aufzubewahren. Nach Ablauf dieser Frist werden die betreffenden Daten jedoch ebenfalls datenschutzgerecht gelöscht bzw. vernichtet.

3.10. Der Auftragsbearbeiter bestätigt, dass ihm die einschlägigen Datenschutzvorschriften bekannt sind und er sich verpflichtet, diese in vollem Umfang einzuhalten.

4. Technische und organisatorische Massnahmen

4.1. Der Auftragsbearbeiter verpflichtet sich dazu, angemessene technische und organisatorische Massnahmen zu treffen, um die Sicherheit der Personendaten zu gewährleisten.

4.2.  Der Auftragsbearbeiter ergreift geeignete technische Massnahmen, um die Personendaten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Dies umfasst den Einsatz von Firewalls, Verschlüsselungstechnologien, Zugangskontrollen und anderen geeigneten Sicherheitsvorkehrungen.

4.3. Darüber hinaus implementiert der Auftragsbearbeiter angemessene, innerbetriebliche organisatorische Massnahmen, um sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff auf die Personendaten haben. Hierzu gehören unter anderem auch die Schulung der Mitarbeiter in Datenschutzbestimmungen und die Implementierung von Zugriffsbeschränkungen.

4.4. Diese technischen und organisatorischen Massnahmen werden regelmässig überprüft und bei Bedarf aktualisiert, um den aktuellen technologischen Standards und den geltenden Datenschutzbestimmungen zu entsprechen.

5. Ort der Datenbearbeitung

5.1. Die Bearbeitung der Daten findet ausschliesslich in der Schweiz oder in einem Drittland statt, das die gesetzlichen Datenschutzvoraussetzungen erfüllt.

5.2.   Sofern eine Datenbearbeitung im Ausland bzw. eine Weitergabe von Daten ins Ausland erfolgt, wird vorgängig sichergestellt, dass die datenschutzrechtlichen Anforderungen eingehalten werden:

  • Die Auslagerung an einen Unterbeauftragten in einem Mitgliedsstaat der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) oder in einem Land, das gemäss dem geltenden DSG über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass eine vertragliche Vereinbarung gemäss DSG abgeschlossen wird (sog. Auftragsbearbeitungsvertrag).

  • Die Auslagerung an einen Unterbeauftragten in einem Land, welches nicht über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass der Auftragsbearbeiter und der Unterbeauftragte eine vertragliche Vereinbarung nach Massgabe des DSG abschliessen (sog. Auftragsbearbeitungsvertrag, ADV) und die besonderen Voraussetzungen des DSG erfüllt sind, insbesondere:

  • Weil der Auftragsbearbeiter den angemessenen Datenschutz durch den Abschluss von Standarddatenschutzklauseln mit dem Unterauftragnehmer sicherstellt, welche der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat

    und

  • im Bedarfsfall in Ergänzung zu den Standarddatenschutzklauseln zusätzliche Massnahmen vereinbart und umgesetzt worden sind.

6. Unterauftragsverhältnisse mit Subunternehmen

6.1. Der Auftragsbearbeiter erbringt seine Leitungen grundsätzlich selbst. Der Einsatz von Subunternehmen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers zulässig.

6.2. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragsbearbeiter weitere Auftragsbearbeiter mit der Erbringung sämtlicher oder eines Teils der im Vertrag vereinbarten Leistungen beauftragt.

6.3. Der Auftragsbearbeiter ist verpflichtet, Änderungen im Zusammenhang mit dem Subunternehmen, wie beispielsweise die Hinzuziehung oder Ersetzung eines Subunternehmens, dem Auftraggeber schriftlich zu melden.

6.4. Der Subunternehmer ist sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Eine Beauftragung von weiteren Auftragsbearbeiter in Drittstaaten darf nur erfolgen, wenn die gesetzlichen Datenschutzvoraussetzungen erfüllt sind.

6.5. Der Auftragsbearbeiter ist verpflichtet, alle datenschutzrechtlichen Pflichten gemäss dem Vertrag auf den Subunternehmer vertraglich zu übertragen und sicherzustellen, dass der Subunternehmer in vollem Umfang den Datenschutzbestimmungen und vertraglichen Anforderungen entspricht.

7. Haftung

7.1. Für den Ersatz von Schäden oder anderen Ansprüchen, die im Zusammenhang mit der Bearbeitung von Personendaten entstehen, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Ein direkter Rückgriff auf den Auftragsbearbeiter ist nur dann zulässig, wenn der Auftragsbearbeiter grob fahrlässig gehandelt oder vorsätzlich gegen die Bestimmungen dieses Vertrags verstossen hat.

8. Schlussbestimmungenten

8.1.  Änderungen oder Ergänzungen dieses Vertrags oder von Teilen davon bedürfen der Schriftform.

8.2.  Sollte eine Bestimmung dieses Vertrags ungültig oder nicht durchsetzbar sein, oder sollte dieser Vertrag eine Lücke aufweisen, so wird hierdurch die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen des Vertrags nicht berührt. Die ungültige oder nicht durchsetzbare Bestimmung bzw. die Lücke wird durch eine gültige und durchsetzbare Regelung ersetzt, die aus der Sicht der Parteien wirtschaftlich der Zielsetzung, die mit der ungültigen oder nicht durchsetzbaren Bestimmung verbunden war, am nächsten kommt.

8.3.  Diese Vereinbarung unterliegt ausschliesslich schweizerischem Recht, unter Ausschluss des Kollisionsrechts. Der Gerichtsstand ist Zürich.