Skip to main content

Auftragsverarbeitungsvertrag

Die Open Sourced GmbH (nachfolgend «Open Sourced») erbringt gegenüber ihrer Kundschaft Hosting-Dienstleistungen in Bezug auf eine oder mehrere Websites oder Applikationen der Kundschaft. Bei der Erbringung der Hosting-Dienstleistungen bearbeitet beziehungsweise verarbeitet Open Sourced Personendaten beziehungsweise personenbezogene Daten (nachfolgend einheitlich «Hosting-Daten» und «Verarbeitung») im Auftrag der Kundschaft (nachfolgend «Auftragsverarbeitung»).

Inhaltsverzeichnis

  1. Gegenstand
  2. Pflichten von Open Sourced
  3. Pflichten der Kundschaft
  4. Datensicherheit
  5. Unterstützung für die Kundschaft
  6. Beizug von Unterauftragsverarbeitenden
  7. Informations- und Prüfrechte
  8. Änderungen und Dauer
  9. Schlussbestimmungen

1. Gegenstand

Dieser Auftragsverarbeitungsvertrag (nachfolgend «Vertrag») regelt die Rechte und Pflichten von Open Sourced und der Kundschaft (nachfolgend «Parteien») in Bezug auf die Auftragsverarbeitung. Open Sourced ermöglicht der Kundschaft mit diesem Vertrag die Einhaltung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung.

Art, Gegenstand und Zweck der Auftragsverarbeitung ergeben sich aus den jeweiligen bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien wie insbesondere Allgemeinen Geschäftsbedingungen (AGB) und Vereinbarungen für Hosting-Dienstleistungen.

Die Kundschaft bestätigt und Open Sourced anerkennt, dass die Kundschaft für die Verarbeitung von Hosting-Daten gemäss dem anwendbaren Datenschutzrecht selbst verantwortlich ist. Die Kundschaft ist verantwortlich im datenschutzrechtlichen Sinn. Open Sourced ist Auftragsverarbeiterin im datenschutzrechtlichen Sinn. Die Kundschaft bestimmt über Mittel und Zweck der Auftragsverarbeitung sowie über die Kategorien der verarbeiteten Hosting-Daten und die Kategorien der betroffenen Personen.

Open Sourced verarbeitet Hosting-Daten so, wie es für die Erfüllung von Leistungspflichten und sonstigen Pflichten gemäss vertraglichen Vereinbarungen zwischen den Parteien einschliesslich dieses Vertrages erforderlich ist.

Ist die Kundschaft ihrerseits Auftragsverarbeiterin, weil sie gemäss vertraglichen Vereinbarungen für Hosting-Dienstleistungen berechtigt ist, den Speicherplatz ihren eigenen Kundinnen und Kunden zur Verfügung zu stellen, so bestätigt die Kundschaft, dass ihre eigenen Kundinnen und Kunden sie zur Auftragsverarbeitung und zur Unterauftragsverarbeitung durch Open Sourced ermächtigt haben.

2. Pflichten von Open Sourced

Open Sourced ist verpflichtet, Hosting-Daten ausschliesslich zur Erbringung von Hosting-Dienstleistungen und gemäss vertraglichen Vereinbarungen zwischen den Parteien einschliesslich dieses Vertrages zu verarbeiten. Die Erfüllung gesetzlicher oder regulatorischer Pflichten durch Open Sourced bleibt vorbehalten.

Open Sourced ist bereit, weitergehende, die Auftragsverarbeitung betreffende Weisungen der Kundschaft umzusetzen. Voraussetzungen für diese Bereitschaft sind, dass solche Weisungen für Open Sourced im Rahmen der vertraglichen Vereinbarungen zwischen den Parteien umsetzbar und objektiv zumutbar sind, nicht zu einem geänderten Leistungsumfang führen und keine Mehrkosten verursachen. Die Kundschaft ist verpflichtet, Weisungen in einer Form, die den Nachweis durch Text erlaubt, gegenüber Open Sourced zu dokumentieren.

Open Sourced ist verpflichtet, die Kundschaft zu informieren, wenn Open Sourced feststellt, dass die Verarbeitung von Hosting-Daten in Abweichung von vertraglichen Vereinbarungen zwischen den Parteien oder von Weisungen der Kundschaft erfolgt. Gesetzliche Geheimhaltungspflichten bleiben vorbehalten.

Open Sourced ist verpflichtet, die Kundschaft zu informieren, wenn Open Sourced der Auffassung ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstösst. In diesem Fall ist Open Sourced berechtigt, die betreffende Verarbeitung von Hosting-Daten auszusetzen, bis die Kundschaft die Weisung ausdrücklich und unter vollständiger Freistellung von Open Sourced bestätigt hat. Open Sourced ist nicht verpflichtet, die Einhaltung von anwendbarem Datenschutzrecht durch die Kundschaft zu prüfen.

Open Sourced ist berechtigt und verpflichtet, Hosting-Daten nach Ende der Laufzeit der entsprechenden vertraglichen Vereinbarung über Hosting-Dienstleistungen zu löschen. Es ist Sache der Kundschaft, Hosting-Daten vor Ende der Laufzeit von Hosting-Dienstleistungen herunterzuladen.

Open Sourced ist verpflichtet, für die Einhaltung der Bestimmungen dieses Vertrages durch die mit der Auftragsverarbeitung betrauten Mitarbeitenden und anderen für Open Sourced tätigen Personen, die Zugriff auf Hosting-Daten erhalten, zu sorgen. Open Sourced ist verpflichtet, Personen mit Zugang zu Hosting-Daten zur Wahrung der Geheimhaltung zu verpflichten, sofern nicht bereits eine entsprechende gesetzliche Verpflichtung zur Geheimhaltung besteht.

3. Pflichten der Kundschaft

Die Kundschaft ist verpflichtet, in ihrem Verantwortungsbereich selbstständig geeignete technische und organisatorische Massnahmen zum Schutz der Hosting-Daten zu treffen. Die Kundschaft ist verpflichtet, Open Sourced ohne Verzug zu informieren, wenn die Kundschaft im Zusammenhang mit der Auftragsverarbeitung eine Verletzung von anwendbarem Datenschutzrecht oder von Pflichten gemäss diesem Vertrag feststellt.

4. Datensicherheit

Open Sourced gewährleistet im Interesse der Integrität, Nachvollziehbarkeit, Verfügbarkeit und Vertraulichkeit der Hosting-Daten mit geeigneten technischen und organisatorischen Massnahmen eine dem Risiko angemessene Datensicherheit. Open Sourced implementiert insbesondere Zugangs- und Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung und Bewertung der Wirksamkeit der ergriffenen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt Open Sourced insbesondere die Art der verarbeiteten Hosting-Daten, Art, Umfang, Umstände und Zweck der Auftragsverarbeitung, die hauptsächlichen Gefahren sowie die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen Massnahmen.

Open Sourced informiert die Kundschaft ohne Verzug, wenn Open Sourced Kenntnis von einer Verletzung der Datensicherheit erlangt, die Hosting-Daten betrifft. Dabei teilt Open Sourced der Kundschaft die Art der Verletzung und deren Folgen sowie die ergriffenen oder vorgesehenen Massnahmen mit. Die Parteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der Hosting-Daten sicherzustellen und mögliche Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen zu mildern. Open Sourced stellt der Kundschaft auf Anfrage ausreichende Informationen zur Verfügung, damit die Kundschaft ihre Pflichten gemäss anwendbarem Datenschutzrecht betreffend die Meldung von Verletzungen der Datensicherheit erfüllen kann.

5. Unterstützung für die Kundschaft

Open Sourced unterstützt die Kundschaft auf Anfrage und gegen angemessene separate Vergütung sowie im Rahmen der betrieblichen Möglichkeiten und Ressourcen bei der Erfüllung von datenschutzrechtlichen Ansprüchen betroffener Personen. Richtet sich eine betroffene Person mit datenschutzrechtlichen Ansprüchen, welche die Kundschaft betreffen, direkt an Open Sourced, wird Open Sourced die betroffene Person an die Kundschaft verweisen. Voraussetzung dafür ist, dass Open Sourced eine Zuordnung an die Kundschaft gestützt auf die Angaben der betroffenen Person vornehmen kann.

Open Sourced ist bereit, der Kundschaft auf Anfrage und gegen angemessene separate Vergütung sowie unter Berücksichtigung der betrieblichen Möglichkeiten und Ressourcen bei Datenschutz-Folgenabschätzungen und bei Konsultationen von Datenschutz-Aufsichtsbehörden zu unterstützen.

6. Beizug von Unterauftragsverarbeitenden

Open Sourced ist berechtigt, Dritte für die Erbringung von Hosting-Dienstleistungen beizuziehen. Open Sourced bleibt in diesem Fall gegenüber der Kundschaft Auftragsverarbeiterin und erfüllt die Pflichten gemäss diesem Vertrag. Davon zu unterscheiden sind Fälle, in denen Open Sourced der Kundschaft einen direkten Vertragsschluss mit Dritten vermittelt, und Dritte direkt im Auftrag der Kundschaft tätig werden. In solchen Fällen hat die Kundschaft selbst dafür besorgt zu sein, gemäss anwendbarem Datenschutzrecht allenfalls erforderliche Vereinbarungen mit den Dritten zu treffen.

Open Sourced trifft beim Beizug von Unterauftragsverarbeitenden, beispielsweise für die Dienstleistung «Website Design», im erforderlichen Umfang vertragliche Vereinbarungen, die Open Sourced die Einhaltung der Pflichten gemäss diesem Vertrag ermöglichen.

Open Sourced informiert die Kundschaft vorab per E-Mail oder auf andere geeignete Weise, wenn Open Sourced im Zusammenhang mit Hosting-Daten neue Unterauftragsverarbeitende beizieht. Wenn die Kundschaft einem neuen Unterauftragsverarbeitenden nicht innerhalb von 30 Tagen nach dem Datum der Information aus wichtigen datenschutzrechtlichen Gründen widerspricht, gilt der neue Unterauftragsverarbeitende als genehmigt. Sofern Open Sourced nach einem Widerspruch nicht bereit ist, auf den neuen Unterauftragsverarbeitenden zu verzichten oder der Kundschaft eine andere Lösung anzubieten, ist die Kundschaft berechtigt, die entsprechende Vereinbarung über Hosting-Dienstleistungen ausserordentlich und fristlos zu kündigen, sofern der neue Unterauftragsverarbeitende definitiv nicht akzeptiert wird.

7. Informations- und Prüfrechte

Open Sourced stellt der Kundschaft auf Anfrage alle Informationen zur Verfügung, welche die Kundschaft vernünftigerweise zum Nachweis der Einhaltung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung gegenüber betroffenen Personen oder Datenschutz-Aufsichtsbehörden benötigt.

Open Sourced ermöglicht der Kundschaft oder einer von der Kundschaft beauftragten und zur Vertraulichkeit verpflichteten Prüfperson, die Einhaltung dieses Vertrages durch Open Sourced zu prüfen. Die Prüfung hat mit vorheriger Anmeldung zu erfolgen, sofern eine Prüfung ohne vorherige Anmeldung nicht erforderlich erscheint, weil andernfalls der Prüfzweck gefährdet ist.

Bei nachgewiesenen Verletzungen von Pflichten gemäss diesem Vertrag implementiert Open Sourced ohne Mehrkosten für die Kundschaft und ohne Verzug geeignete Korrekturmassnahmen.

Die vorstehenden Informations- und Prüfrechte der Kundschaft bestehen nur insoweit, als die vertraglichen Vereinbarungen der Kundschaft keine anderen Informations- und Prüfmöglichkeiten einräumen. Weiter stehen die Informations- und Prüfrechte unter dem Vorbehalt der Verhältnismässigkeit und der Wahrung der schutzwürdigen Interessen wie insbesondere Geheimhaltungs- und Sicherheitsinteressen von Open Sourced. Die Kundschaft trägt vorbehältlich anderslautender Vereinbarungen zwischen den Parteien sämtliche Kosten von Information und Prüfung einschliesslich der Kosten von Open Sourced.

8. Änderungen und Dauer

Dieser Vertrag gilt während der Laufzeit jeder Auftragsverarbeitung gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien.

Open Sourced ist jederzeit berechtigt, diesen Vertrag zu ändern. Open Sourced informiert die Kundschaft vorab in geeigneter Weise, wenn Open Sourced beabsichtigt, diesen Vertrag zu ändern. Wenn die Kundschaft der Änderung nicht innerhalb von 30 Tagen nach dem Datum der Information widerspricht, gilt die Änderung als genehmigt. Sofern Open Sourced nach einem Widerspruch nicht bereit ist, auf die Änderung zu verzichten oder der Kundschaft eine andere Lösung anzubieten, ist die Kundschaft berechtigt, die entsprechende Vereinbarung über Hosting-Dienstleistungen ausserordentlich und fristlos zu kündigen, sofern die Änderung nicht akzeptiert wird.

Dieser Vertrag gilt für unbestimmte Dauer. Dieser Vertrag endet automatisch mit der letzten Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.

9. Schlussbestimmungen

Hier verwendete datenschutzrechtliche Begriffe entsprechen in ihrer Bedeutung der im anwendbaren Datenschutzrecht verwendeten Terminologie, beispielsweise «personenbezogene Daten» und «Personendaten».

Die Kommunikation gemäss diesem Vertrag ist an die E-Mail-Adresse der Kundschaft beziehungsweise für Open Sourced an support@opensourced.ch zu richten.

Die Bestimmungen dieses Vertrages gehen bei Widersprüchen den Bestimmungen in sonstigen vertraglichen Vereinbarungen zwischen den Parteien vor.

Die Parteien können im gegenseitigen Einvernehmen jederzeit Abweichungen von diesem Vertrag vereinbaren.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder nichtig sein oder werden, berührt dieser Umstand die Wirksamkeit oder Gültigkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder nichtigen Bestimmungen treten diejenigen Bestimmungen, welche die Parteien bei Kenntnis des Mangels beim Vertragsschluss nach Treu und Glauben sowie nach wirtschaftlicher Betrachtungsweise getroffen hätten. Entsprechendes gilt im Fall etwaiger Lücken in diesem Vertrag.

Auf allfällige aus oder im Zusammenhang mit diesem Vertrag entstehende Streitigkeiten ist ausschliesslich schweizerisches Recht anwendbar, unter Ausschluss der kollisionsrechtlichen Bestimmungen.

Ausschliesslicher Gerichtsstand bilden die ordentlichen Gerichte am Sitz von Open Sourced. Alternativ ist Open Sourced berechtigt, die Kundschaft an deren Sitz zu belangen.