Auftragsverarbeitungsvereinbarung
Diese Auftragsverarbeitungsvereinbarung (nachfolgend “AVV”) regelt die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem zwischen den Parteien geschlossenen Vertrag (Allgemeine Geschäftsbedingungen des Betreibers) ergeben.
1. Gegenstand und Laufzeit
- Die Einzelheiten in Bezug auf die Dienstleistungen des Betreibers sind im Vertrag zwischen Betreiber und Kunde (nachfolgend “Vertrag”) geregelt. Dieser Vertrag besteht aus den Allgemeinen Geschäftsbedingungen des Betreibers.
- Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Zweck und Art der Verarbeitung.
- Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.
2. Anwendungsbereich
- Diese AVV gilt in Bezug auf die Auftragsverarbeitung im Rahmen der vom Betreiber gemäss Vertrag erbrachten Dienstleistungen.
- Diese AVV gilt ausdrücklich nicht in Bezug auf die Verarbeitung personenbezogener Daten, bei denen der Betreiber die Zwecke und Mittel der Verarbeitung bestimmt und somit unter dem Schweizerischen Bundesgesetz über den Datenschutz oder allenfalls anwendbaren anderen Datenschutzgesetzen verantwortlich ist. Die Verarbeitung solcher personenbezogener Daten, die der Betreiber als Verantwortlicher vornimmt, nimmt der Betreiber in Übereinstimmung mit der Datenschutzerklärung des Betreibers und den anwendbaren Datenschutzgesetzen vor.
3. Auftragsverarbeitung
- Die Auftragsverarbeitung besteht in der Speicherung, Bereitstellung, Übermittlung und Löschung von personenbezogenen Daten auf der Infrastruktur des Betreibers gemäss den Bestimmungen des Vertrages.
- Von der Auftragsverarbeitung betroffen sind personenbezogene Daten, die der Kunde gemäss seiner Wahl auf der vom Betreiber für die Dienstleistung eingesetzten Infrastruktur speichert (siehe Punkt 3.3) sowie vom Betreiber erhobene Daten von Personen, denen der Kunde Zugriff auf sein Konto gewährt (siehe Punkt 3.4).
-
Im Rahmen der Nutzung der zur Verfügung gestellten Dienstleistungen entscheidet der Kunde selber, ob und welche Art von Daten er auf der Infrastruktur des Betreibers verarbeitet, von welchen Kategorien betroffener Personen, und zu welchem Zweck. Die vom Betreiber zur Verfügung gestellten Dienstleistungen erlauben grundsätzlich die Verarbeitung folgender Daten mit folgend genanntem Zweck.
Art und Zweck der personenbezogenen Daten
Nutzung von Dienstleistungen im Bereich Personalwesen, Zeiterfassung, Absenzenverwaltung, Spesenerfassung und Rechnungsstellung.Art der personenbezogenen Daten
- Personalstammdaten (z.B. Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, Nationalität, E-Mail-Adresse)
- Anstellungsdaten (z.B. Position, Abteilung, Team, Eintrittsdatum, Kündigungsfrist, Probezeit)
- Zeiterfassungdaten (z.B. Tägliche Arbeitzeit und Pausen, Lage der Arbeitsblöcke und Pausen)
- Absenzdaten (z.B. Zeitraum, Dauer, Grund der Abwesenheit)
- Spesendaten (z.B. Datum, Zweck, Betrag, Anhänge)Kategorien betroffener Personen
Die Kategorien der betroffenen Personen umfasst die Mitarbeitenden des Kunden sowie die Kontaktdaten von Kunden des Kunden.Löschung, Sperrung und Berichtigung von Daten
Anfragen zur Löschung, Sperrung und Berichtigung sind an den Kunden zu richten; im Übrigen gelten die Regelungen des Vertrages. - Der Betreiber erhebt zudem personenbezogene Daten, die beim Aufrufen bzw. Ausführen und der Nutzung von Dienstleistungen üblicherweise erhoben werden. Dazu gehören Protokolldaten, die bei der Nutzung der Dienstleistung erhoben werden (z.B. die IP-Adresse und das Betriebssystem des Geräts des Nutzers sowie der Zeitpunkt des Zugriffs), vom Nutzer eingegebene Daten sowie vom Kunden erhobene Nutzungsdaten mit Personenbezug.
4. Rollen und Zuständigkeiten
- Der Kunde ist und bleibt für die Verarbeitung der personenbezogenen Daten nach anwendbaren Datenschutzgesetzen verantwortlich. Der Kunde nimmt somit die Rolle des Verantwortlichen ein. Vorbehalten bleiben Fälle, in denen der Kunde in Bezug auf die personenbezogenen Daten selber Auftragsverarbeiter ist (siehe Punkt 4.3).
- Der Betreiber anerkennt, dass der Kunde in der Rolle des Verantwortlichen verpflichtet ist, dem Betreiber bei Inanspruchnahme von Dienstleistungen einige seiner Pflichten aus anwendbaren Datenschutzgesetzen vertraglich zu übertragen. Der Betreiber nimmt in Bezug auf die Verarbeitung betroffener Daten die Rolle des Auftragsverarbeiters ein.
- Ist der Kunde seinerseits Auftragsverarbeiter, so bestätigt er, dass sein Kunde (d.h. der Verantwortliche) ihn zur Unter-Auftragsverarbeitung und Erteilung allfälliger Weisungen an den Betreiber ermächtigt hat.
5. Pflichten des Betreibers
- Der Betreiber verpflichtet sich, die personenbezogenen Daten nur zur Erbringung der Dienstleistungen gemäss Vertrag sowie gemäss dieser AVV zu verarbeiten.
- Der Betreiber darf personenbezogene Daten des Kunden so zu verarbeiten, wie es die Erfüllung der Leistungspflichten aus dem Vertrag sowie dieser AVV beinhaltet. Auf entsprechende Anfrage ist der Betreiber bereit, weitergehende, die Auftragsverarbeitung betreffende Weisungen des Kunden umzusetzen. Voraussetzung dafür ist, dass diese für den Betreiber im Rahmen der vertraglich vereinbarten Dienstleistungen umsetzbar und objektiv zumutbar sind und nicht zu Mehrkosten oder geändertem Leistungsumfang führen. Vorbehalten bleibt in jedem Fall die Erfüllung gesetzlicher oder regulatorischer Pflichten, denen der Betreiber unterliegt.
- Der Betreiber sorgt für die Einhaltung der Bestimmungen dieser AVV durch die mit der Auftragsverarbeitung betrauten Mitarbeiter und anderen für den Betreiber tätigen Personen, die Zugriff auf die personenbezogenen Daten erhalten. Der Betreiber verpflichtet sich zudem, Personen mit Zugang zu den personenbezogenen Daten zur Wahrung der Vertraulichkeit (auch über die Dauer ihrer Tätigkeit für den Betreiber hinaus) zu verpflichten.
- Der Betreiber verpflichtet sich, im Interesse der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit der personenbezogenen Daten angemessene technische und organisatorische Massnahmen zu treffen. Der Betreiber implementiert insbesondere Zugangskontrollen, Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt der Betreiber den Stand der Technik, die Implementierungskosten sowie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen. Die jeweils geltenden Massnahmen ergeben sich aus den aktuellen Leistungsbeschrieben des Betreibers.
- Der Betreiber unterrichtet den Kunden unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Kunden bekannt werden. Der Betreiber trifft die erforderlichen Massnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Kunden ab.
- Der Betreiber verpflichtet sich, den Kunden auf schriftliche Anfrage und gegen separate angemessene Vergütung sowie im Rahmen der betrieblichen Ressourcen und Möglichkeiten des Betreibers bei der Erfüllung von Betroffenenrechten (insbesondere Auskunfts-, Berichtigungs- und Löschungsrechten) durch den Kunden (betreffend personenbezogener Daten) gemäss Bestimmungen der anwendbaren Datenschutzgesetze zu unterstützen. Richtet sich eine betroffene Person mit Forderungen betreffend die Erfüllung von Betroffenenrechten direkt an den Betreiber, wird der Betreiber die betroffene Person an den Kunden verweisen. Voraussetzung dafür ist, dass der Betreiber eine solche Zuordnung an den Kunden gestützt auf die Angaben der betroffenen Person vornehmen kann.
- Der Betreiber wird die Daten bei Auflösung des Vertrags gemäss den darin festgehaltenen Bestimmungen herausgeben oder löschen.
6. Unter-Auftragsverarbeiter
- Beansprucht der Kunde Dienstleistungen vom Betreiber, die personenbezogene Daten betreffen und durch Dritte erbracht werden, bleibt der Betreiber gegenüber dem Kunden Auftragsverarbeiter und erfüllt die diesbezüglichen Pflichten aus dieser AVV. Der Anbieter der Drittdienstleistung, die in der Dienstleistung des Betreibers integriert wird, ist Unter-Auftragsverarbeiter des Betreibers.
- Der Betreiber ist berechtigt, Unter-Auftragsverarbeiter im Rahmen der Erbringung der Dienstleistungen beizuziehen. Der Betreiber ist in solchen Fällen verpflichtet, mit Unter-Auftragsverarbeitern im erforderlichen Umfang eine Vereinbarung zu treffen, die dem Betreiber die Einhaltung der Bestimmungen dieser AVV ermöglicht. Eine Liste der aktuellen Unter-Auftragsverarbeiter wird auf der Webseite des Betreibers veröffentlicht.
- Der Betreiber wird den Kunden per E-Mail an die im Kundenkonto hinterlegte E-Mail-Adresse informieren, wenn der Betreiber nach Inkrafttreten dieser AVV in Bezug auf bestehende Dienstleistungen neue Unter-Auftragsverarbeiter beizieht oder bestehende austauscht. Wenn der Kunde dem nicht innerhalb von 30 Tagen nach dem Datum der Mitteilung aus wichtigen datenschutzrechtlichen Gründen widerspricht, gilt der neue oder ausgetauschte Unter-Auftragsverarbeiter als genehmigt.
- Wenn die Unter-Auftragsverarbeitung eine Übermittlung von personenbezogenen Daten in ein Land ausserhalb der Schweiz beinhaltet, stellt der Betreiber sicher, dass die Bestimmungen der anwendbaren Datenschutzgesetze betreffend der Datenübermittlung in ein Drittland eingehalten werden (z.B. durch Auswahl eines entsprechenden Unter-Auftragsverarbeiters, oder durch Miteinbezug anerkannter Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer).
7. Pflichten des Kunden
- Der Kunde ist für die Rechtmässigkeit der Verarbeitung der personenbezogenen Daten, einschliesslich der Zulässigkeit der Auftrags- bzw. Unter-Auftragsverarbeitung, verantwortlich.
- Der Kunde trifft in seinem Verantwortungsbereich (z.B. auf seinen eigenen Systemen und Applikationen) selbstständig angemessene technische und organisatorische Massnahmen zum Schutz der personenbezogenen Daten.
- Der Kunde verpflichtet sich, den Betreiber unverzüglich zu informieren, wenn der Kunde in der Erbringung der Dienstleistungen durch den Betreiber Verletzungen von anwendbaren Datenschutzgesetzen feststellt.
8. Nachweismöglichkeiten
- Der Betreiber ist verpflichtet, dem Kunden auf schriftliche Anfrage alle Informationen zur Verfügung zu stellen, die dieser vernünftigerweise zum Nachweis der Einhaltung dieser AVV gegenüber betroffenen Personen oder Datenschutzaufsichtsbehörden benötigt.
- Der Betreiber ermöglicht dem Kunden oder einem vom Kunden beauftragten und zur Vertraulichkeit verpflichteten Prüfer, die Einhaltung dieser AVV durch den Betreiber zu prüfen. Werden nach Vorlage entsprechender Nachweise Verletzungen der AVV durch den Betreiber festgestellt, hat der Betreiber unverzüglich und kostenlos geeignete Korrekturmassnahmen zu implementieren.
- Die vorstehenden Informations- und Prüfungsrechte des Kunden bestehen nur insoweit, als der Vertrag dem Kunden keine anderen Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen der anwendbaren Datenschutzgesetze entsprechen. Weiter stehen diese Informations- und Prüfungsrechte unter dem Vorbehalt des Verhältnismässigkeitsgebots und der Wahrung der schutzwürdigen Interessen (insbesondere Sicherheits- oder Geheimhaltungsinteressen) des Betreibers. Vorbehältlich einer anderslautenden Vereinbarung zwischen den Vertragsparteien trägt der Kunde sämtliche Kosten der Information und Prüfung, einschliesslich nachgewiesener interner Kosten des Betreibers.
9. Änderungen an dieser AVV
- Der Betreiber behält sich vor, diese AVV zu ändern, (a) wenn dies zur Anpassung an Rechtsentwicklungen erforderlich ist oder (b) wenn dies nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeitung führt und sich (nach Ermessen des Betreibers) nicht erheblich nachteilig auf die Rechte der von der Auftragsverarbeitung betroffenen Personen auswirkt.
- Die neuen Bedingungen werden dem Kunden per E-Mail an die im Kundenkonto hinterlegte E-Mail-Adresse bekanntgegeben. Wenn der Kunde der Änderung widersprechen möchte, kann er dies innerhalb von 30 Tagen ab Datum der Mitteilung tun. Ohne Widerspruch innerhalb dieser Frist gilt die Änderung als genehmigt.
10. Generelle Bestimmungen
- Verlangt diese AVV eine schriftliche Aufforderung oder Mitteilung, so genügt (für Mitteilungen an den Kunden) eine E-Mail an die im Kundenkonto hinterlegte E-Mail-Adresse des Kunden bzw. (für Mitteilungen an den Betreiber) eine E-Mail an hallo@hakuna.ch dem Schriftformerfordernis.
- Die Vertragsparteien unterwerfen sich hiermit der im Vertrag festgelegten Gerichtsstands-Wahl für sämtliche Streitigkeiten sowie Ansprüche aus oder im Zusammenhang mit dieses AVV.
- Sollten einzelne oder mehrere Bestimmungen der AVV unwirksam oder nichtig sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder nichtigen Bestimmungen tritt diejenige Regelung, welche die Vertragsparteien bei Kenntnis des Mangels zum Zeitpunkt des Abschlusses der AVV nach Treu und Glauben sowie nach wirtschaftlicher Betrachtungsweise getroffen hätten. Entsprechendes gilt im Fall etwaiger Lücken in dieser AVV.
Diese AVV gilt ab dem 04.11.2021 und ersetzt alle vorherigen Publikationen.