skip to main content

Auftragsverarbeitungsvereinbarung

1. Anwendungsbereich

Diese Auftragsverarbeitungsvereinbarung (AVV) ergänzt die allgemeinen Geschäftsbedingungen (AGB) der Büro Föllmi AG und regelt die Auftragsdatenverarbeitung zwischen dem Kunden / der Kundin (im folgenden «Kunde» genannt) und der Büro Föllmi AG (nachfolgend «FIRMA» genannt).

2. Anlass und Zweck

Die FIRMA ist als IT-Dienstleister und Provider tätig. Sie betreibt für ihre Kunden je nach Auftragsverhältnis IT-Plattformen (Clients und Server physisch, virtuell oder im Rechenzentrum) oder Fernmeldedienste (Internet, Telefonie, Mobile, TV, Webhosting).

Die FIRMA erhebt, speichert und bearbeitet nur Daten, die für die Erbringung ihrer Dienstleistungen, für die Abwicklung und Pflege der Kundenbeziehung, namentlich die Gewährleistung einer hohen Dienstleistungsqualität, für die Sicherheit von Betrieb und Infrastruktur sowie für die Rechnungsstellung benötigt werden.

Der Kunde bzw. dessen Endkunde setzt auf den IT-Plattformen seine eigenen Applikationen ein. Im Rahmen des Betriebs der IT-Systeme kann es insbesondere zu Zugriffen auf Personendaten kommen, die auf den Applikationen gespeichert und verarbeitet werden. Solche Zugriffe der FIRMA auf Personendaten sind dabei jedoch lediglich ein Nebeneffekt des vereinbarten Systembetriebs und gehören nicht zu den Hauptverpflichtungen der FIRMA im Rahmen des Vertrags.

3. Daten und Datenkategorien

Folgende Daten und Datenkategorien können im Rahmen der Leistungserbringung durch die FIRMA verarbeitet werden:

  • Persönliche Identifikationsdaten

    • z.B. Vorname, Nachname, Geburtsdatum, Alter, Geschlecht, Nationalität, Adresse und Wohnort

  • Elektronische Identifikationsdaten

    • z.B. IP-Adresse, Cookies, Verbindungs-/Protokolldaten

  • Auftragsdaten

  • Kommunikationsdaten

    • z.B. Telefon, E-Mail, Passwort, Login, PIN

  • Vertragsstammdaten

    • z.B. Bezeichnung, Abrechnungs- und Zahlungsdaten, Produkte

  • Kundenstammdaten

    • z.B. Kundenhistorie

4. Pflichten der FIRMA

Die FIRMA hält bei der Auftragsverarbeitung folgende Pflichten ein:

  • Die FIRMA verarbeitet Daten nur für Zwecke und nur auf dokumentierte Weisung des Kunden. Wird von der FIRMA eine Unzulässigkeit erkannt, erfolgt eine Meldung and en Kunden.

  • Die FIRMA sorgt stets für eine angemessene Datensicherheit gemäss geltendem Datenschutzrecht, mind. die vereinbarten TOMs. Jede Verletzung der Datensicherheit meldet sie ohne Verzug mündlich, schriftlich oder in Textform. Die Mitteilung enthält zumindest eine Beschreibung der Art der Verletzung und vorgeschlagenen Massnahmen.

  • Die FIRMA verpflichtet alle Hilfspersonen und Mitarbeitenden zur Geheimhaltung, soweit sie dies nicht schon von Gesetzes wegen sind.

  • Die FIRMA unterstützt den Kunden bei Bedarf bei der Einhaltung des Datenschutzrechts, insb. zur Erfüllung von Betroffenenrechten und bei Datenschutzfolgenabschätzungen entgeltlich.

  • Nach Beendigung des Auftrags gibt die FIRMA alle Daten zurück und löscht sie soweit ihr erlaubt. Die FIRMA hat für die Herausgabe, Löschung oder Vernichtung einen angemessenen Vergütungsanspruch (Stundensätze) gegenüber dem Kunden.

  • Die FIRMA weist die Einhaltung des AVV nach und der Kunde kann sie umfassend überprüfen. Einer unabhängigen Kontrolle durch Dritte stimmt die FIRMA zu, sofern sie eine Kopie des Auditberichts erhält. Für die Unterstützung bei der Durchführung einer Kontrolle darf die FIRMA eine angemessene Vergütung (Stundensätze) verlangen.

5. Weiteren Informationen

5.1 Unterauftragsverarbeiter

  • Die Beauftragung von weiteren Auftragsverarbeitern (z. B. Hinzuziehung oder Ersetzung) zur Verarbeitung von Daten des Kunden ist der FIRMA hiermit allgemein gestattet. Eine aktuelle Liste der beauftragten weiteren Auftragsverarbeiter ist bei der FIRMA erhältlich. Mit deren Beauftragung erklärt sich der Kunde hiermit einverstanden.

  • Die FIRMA informiert den Kunden über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger weiterer Auftragsverarbeiter, wodurch der Kunde die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

  • Erfolgt kein Einspruch des Kunden innerhalb von 7 Tagen, ist er mit der Änderung einverstanden. Erfolgt ein Einspruch innerhalb dieser Frist, ist die Beauftragung des weiteren Auftragsverarbeiters nicht gestattet. In einem solchen Fall werden die Parteien eine einvernehmliche Lösung hinsichtlich des weiteren Auftragsverarbeiters finden. In Notfallsituationen wird der Kunde innerhalb von 1 Tag reagieren und ggf. seinen Einspruch erheben.

  • Die FIRMA trägt dafür Sorge, dass sie die Auftragsverarbeiter sorgfältig auswählt.

  • Eine Beauftragung von weiteren Auftragsverarbeitern in Drittstaaten darf nur erfolgen, wenn die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind (z.B. Angemessenheitsbeschluss, Standarddatenschutzklauseln, genehmigte Verhaltensregeln oder eine andere geeignete Garantie für die Datenübermittlung). Die FIRMA wird dies durch entsprechende Massnahmen sicherstellen. Soweit hingegen eine solche Übermittlung von personenbezogenen Daten durch den Kunden selbst aktiviert wird, obliegt die Einhaltung der entsprechenden Bestimmungen ausschliesslich ihm.

5.2 Technische und organisatorische Massnahmen (TOM)

  • Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen angemessenes Schutzniveau gewährleistet.

  • Dazu werden die Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitung derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemassnahmen das Risiko auf Dauer eingedämmt wird.

  • Eine Liste der durch die FIRMA getroffenen technischen und organisatorischen Massnahmen ist bei der FIRMA erhältlich. Die darin enthaltenen Massnahmen stellen die passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik eingesetzten Massnahmen bei der FIRMA dar.

6. Haftung

  • Für den Ersatz von Schäden, die eine betroffene Person wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen dieser Vereinbarung erleidet, haften Kunde und FIRMA gegenüber dieser betroffenen Person als Gesamtschuldner, sofern dies die anwendbaren Gesetze und Vorschriften zum Datenschutz so vorsehen.

  • Die FIRMA haftet dem Kunden, vorbehaltlich gesondert vereinbarter Haftungsreglungen in den jeweiligen zwischen den Parteien geschlossenen Verträgen, die eine Auftragsdatenverarbeitung beinhalten können, maximal im Umfang von 10% der effektiv bezahlten Vergütung der den Schaden verursachenden Leistung der letzten 12 Monate, jedoch höchstens bis zum Betrag von insgesamt CHF 20'000.-- für direkte Schäden aus Verletzungen seiner Datenschutzverpflichtungen aus dieser Vereinbarung, es sei denn, die FIRMA ist für das den Schaden verursachende Ereignis nicht oder nicht vollständig verantwortlich.

  • Etwaige Haftungsbeschränkungen zwischen dem Kunden und seinen Kunden als Verantwortliche gelten auch zugunsten der FRIMA, so dass sie nicht verpflichtet ist, den Kunden für Beträge zu entschädigen, die er aufgrund solcher Haftungsbeschränkungen nicht zu zahlen hat.

  • Im Übrigen wird eine weitergehende Haftung – soweit gesetzlich zulässig – wegbedungen. Für andere Schäden, nicht verursacht durch eine Verletzung von Datenschutzverpflichtungen dieser Vereinbarung, gelten die in den jeweiligen zwischen den Parteien geschlossenen Verträgen vereinbarten Haftungsregelungen.

7. Schlussbestimmungen

  • Die FIRMA behält sich Änderungen dieser Vereinbarung vor. Änderungen werden dem Kunden mindestens 30 Tage im Voraus schriftlich mitgeteilt oder auf andere Weise bekannt gegeben. Macht der Kunde von seinem ausserordentlichen Kündigungsrecht innert Monatsfrist nach Bekanntgabe keinen Gebrauch, gelten die Änderungen als akzeptiert. Ansprüche hat der Kunde in einem Änderungsfall keine gegenüber der FIRMA.

  • Änderungen, Ergänzungen dieser Vereinbarung sowie Nebenabreden bedürfen grundsätzlich der Schriftform. Es bedarf des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung, eine Ergänzung bzw. eine Nebenabrede dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

  • Sollten sich einzelne Bestimmungen dieser Vereinbarung als unwirksam oder nichtig erweisen, so hat dies nicht die Unwirksamkeit oder Nichtigkeit der übrigen Bestimmungen zur Folge, sondern diese werden durch solche ersetzt, die dem wirtschaftlichen Zweck der Vereinbarung am nächsten kommen. Das Gleiche gilt bei einer Vertragslücke.

  • Es gelten die Bestimmungen des nDSG.

  • Dieser Vertrag untersteht schweizerischem Recht unter Ausschluss des internationalen Privatrechts. Der Gerichtsstand bestimmt sich nach Art. 34 der Schweizerischen Zivilprozessordnung (ZPO).

Anhänge

1. Liste Unterauftragsverarbeiter

  • Wortmann AG, Deutschland

    • Microsoft 365 CSP-Portal

    • Datenstandort Deutschland

  • TERRA CLOUD GmbH Deutschland

    • Infrastructure as a Service

    • Datenstandort Deutschland / Schweiz

  • Microsoft Corporation, USA

    • Azure-Cloud

    • Microsoft 365

    • Datenstandort EU

  • Exigo AG, Schweiz

    • Webhosting, Domänen, Zertifikate, E-Mail-Konten

    • Datenstandort Schweiz

  • iWay AG, Schweiz

    • Internet, Festnetztelefonie, TV-Abos

    • Datenstandort Schweiz

  • Telecom Liechtenstein AG, Fürstentum Liechtenstein.

    • MVNO-Partner

    • Datenstandort FL

  • Freshworks Inc., USA

    • Ticketsystem

    • Datenstandort EU

  • N‑able Solutions ULC und N‑able Technologies Ltd, USA

    • Remote Monitoring & Management

    • Datenstandort Deutschland

  • Zyxel Communications Corporation, Taiwan

    • Management Portale für Firewall/Netzwerk

    • Datenstandort Irland

  • monday.com Ltd., USA

    • Checklisten

    • Datenstandort USA

  • HTSoft GmbH, Schweiz

    • Interne Prozessoptimierung / Digitalisierung

    • Datenstandort Schweiz

  • Proofpoint Inc., USA

    • E-Mail-Verschlüsselung / Filter

    • Datenstandorte: Frankfurt (Deutschland) und Amsterdam (Niederlande)

2. Liste Technische und organisatorische Massnahmen (TOM)

  • Berechtigungs- und Rollenkonzepte (Verzeichnisdienst)

  • Vergabe minimaler Berechtigungen

  • Authentisierung mit sicheren Passwörtern

  • persönliche Benutzerkonten

  • Passwortregeln mit Komplexität

  • Sperrung bei Fehlversuchen

  • Zwei-Faktor-Authentifizierung bei externen Zugängen

  • Zuordnung von Benutzerrechten

  • Verschlüsselung von Datenträgern von mobilen Arbeitsplätzen

  • Einsatz sicherer VPN-Technologie

  • Einsatz von Anti-Viren-Software

  • Einsatz von sicheren Hard-/Software-Firewalls

  • regelmässige Schulung und Sensibilisierung der Mitarbeitenden

  • Weisungen zur Informationssicherheit und Datenschutz

  • Protokollierung

  • Reduktion der Anzahl Administratoren

  • Backup mit Off-Site-Replikation und Wiederherstellungstests

  • Notfall-Konzept

  • Periodisches aktualisieren / patchen von Systemen

  • SPAM-Filter und E-Mail-Sandboxing

  • Datenschutzkonforme Vernichtung von Datenträgern

  • Clean-Desk-Policy

  • Automatisches Sperren des Endgeräts bei Verlassen des Arbeitsplatzes

  • Unterbrechungsfreie Stromversorgung

  • RAID (Festplattenredundanz bei Serversystemen)

  • Klimaanlage in Serverräumen

  • Feuerlöscher

  • Serverüberwachung (Temperatur, Ereignisse, Speicher, Leistung)

  • Cyber-Seal geprüft

  • Hard- und Software-Inventar

Um unsere Website für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu.

Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.