Auftragsverabeitungsvertrag

AVV

Download
Version: 1.0
 

Präambel

Dieser Vertrag regelt die Rechte und Pflichten der alldesk AG (nachfolgend die «Auftragnehmerin») sowie ihrer einzelnen Kunden (nachfolgend einheitlich die einzelnen «Auftraggeberinnen» und die jeweilige «Auftraggeberin», gemeinsam die «Parteien») im Zusammenhang mit der datenschutzrechtlichen Auftragsbearbeitung beziehungsweise Auftragsverarbeitung (nachfolgend einheitlich die «Auftragsverarbeitung») von Personendaten beziehungsweise personenbezogener Daten (nachfolgend einheitlich die «Personendaten»).

Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragnehmerin ganz oder teilweise Personendaten im Auftrag und gemäss Weisungen der jeweiligen verantwortlichen Auftraggeberin bearbeitet beziehungsweise verarbeitet oder bearbeiten beziehungsweise verarbeiten (nachfolgend einheitlich «verarbeiten») lässt.

Die Auftragnehmerin unterliegt dem schweizerischen Datenschutzrecht, insbesondere gemäss dem Bundesgesetz über den Datenschutz (DSG). Mit diesem Vertrag ermöglicht die Auftragnehmerin der jeweiligen Auftraggeberin die Einhaltung der anwendbaren datenschutzrechtlichen Anforderungen für die Auftragsverarbeitung, insbesondere gemäss dem schweizerischen Datenschutzgesetz (DSG) nach Massgabe des Art. 9 DSG.

Für die von der Auftragnehmerin angebotenen Dienstleistungen wird jeweils ein entsprechender Rahmenvertrag (nachfolgend der «Rahmenvertrag») abgeschlossen, der je nach Ausgestaltung grundsätzlich als Support-Vertrag, Dienstleistungsvertrag (Consulting-Leistungen) oder Managed-Service-Vertrag, zu qualifizieren ist. Der Rahmenvertrag wird zwischen alldesk AG und der Auftraggeberin geschlossen. Die jeweiligen Rechte und Pflichten sind im Rahmenvertrag geregelt. Darüber hinaus gelten die allgemeinen Geschäftsbedingungen der alldesk AG. Auf diese wird im Rahmenvertrag verwiesen und diese sind auf der Webseite www.alldesk.ch/agbs/ jederzeit abrufbar.

In Fällen, in denen keine spezifischen schriftlichen Verträge bestehen, gelten ausschliesslich die allgemeinen Geschäftsbedingungen (AGB) der alldesk AG für die Erbringung von ICT-Dienstleistungen. Diese Dienstleistungen können – aber nicht ausschliesslich – umfassen:

  • Managed Services (Network, Firewall, Server, Workplace, Backup)
  • Inbetriebnahme
  • Wartung und Support von Hard- und Software
  • Consulting
  • Service Desk
  • Pikett
  • etc.

 

1 Gegenstand

1.1 Verarbeitung personenbezogener Daten

Diese Vereinbarung regelt den Umgang mit personenbezogenen Daten, die der Auftragnehmerin im Rahmen der Erbringung der Leistungen für die Auftraggeberin verarbeitet („Daten“). Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Die Auftragsverarbeitung umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Abfragen, Abgleichen, Anpassen, Archivieren, Aufbewahren, Auslesen, Bekanntgeben, Beschaffen, Einschränken, Erfassen, Erheben, Löschen, Offenlegen, Ordnen, Organisieren, Speichern, Verändern, Verknüpfen, Vernichten und Verwenden von Personendaten. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare beziehungsweise identifizierte oder identifizierbare Person beziehen, deren Daten verarbeitet werden.

1.2 Auftragsverarbeitung

Die Auftragsverarbeitung erfolgt gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien. Die Bestimmungen dieses Vertrages haben Vorrang bei einem Widerspruch zwischen den Bestimmungen dieses Vertrages und sonstigen vertraglichen Vereinbarungen zwischen den Parteien.

 

2 Kategorien von Personendaten

Die jeweilige Auftraggeberin bestimmt und kontrolliert im eigenen Ermessen und in eigener Verantwortung, welche Kategorien von Personendaten verarbeitet werden. Die Auftragsverarbeitung kann insbesondere folgende Kategorien von Personendaten umfassen:

2.1 Kategorien betroffener Personen, deren Personendaten verarbeitet werden
  • Ansprechpartner
  • Geschäftspartner
  • Interessenten
  • Kunden einschliesslich potenzieller Kunden
  • Lieferanten
  • Mitarbeiter
  • Nutzer
2.2 Arten der verarbeiteten Personendaten
  • Abo-Daten
  • Allgemeine Daten (Kundennummer, Firma, Name, Vorname, Adresse, PLZ, Ort)
  • Audio- und Sprachdaten
  • Auftragsdaten
  • Bankdaten (Zahlungsverbindung)
  • Behandlungsdaten
  • Betriebliche Daten
  • Bewerbungsdaten
  • Bilddaten / Videodaten
  • Buchhaltungsdaten
  • IT-Nutzungsdaten (z.B. Auccountdaten, UserID, Passwörter und Rollen)
  • Kommunikationsdaten (Benutzername, E-Mailadresse, Festnetznummer, Mobilnummer)
  • Kundenhistorie
  • Leistungsdaten
  • Logindaten
  • Metadaten
  • Nachrichteninhalte
  • Nutzungshistorie
  • Positionsdaten
  • Stammdaten
  • Umsatzdaten
  • Vertragsdaten

Die jeweilige Auftraggeberin informiert die Auftragnehmerin in dokumentierter Form, sofern die Auftragsbearbeitung andere oder zusätzliche Arten von Personendaten umfasst.

 

3 Pflichten der Auftraggeberin

3.1 Auftraggeberin als verantwortliche Person

Die Auftraggeberin bleibt für die Daten die alleinige verantwortliche Person im Sinne des Datenschutzrechts und ist für die Rechtmässigkeit der Datenverarbeitung, inklusive der Zulässigkeit der Auftrags-/Unter-Auftragsverarbeitung, sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich. Soweit erforderlich, hat die Auftraggeberin die betroffenen Personen über die Verarbeitung ihrer Daten zu informieren und/oder deren Einwilligung einzuholen.

3.2 Aufträge / Weisungen

Die Aufträge und Weisungen der Auftraggeberin sind grundsätzlich in dieser Vereinbarung sowie im Rahmenvertrag festgehalten.

Darüberhinausgehende weitere Aufträge und Weisungen der Auftraggeberin an die Auftragnehmerin sind dokumentiert zu erteilen. In Eilfällen können Aufträge und Weisungen mündlich erteilt werden. Diese sind jedoch unverzüglich durch die Auftraggeberin in Textform zu bestätigen. Die Auftraggeberin hat das jederzeitige Recht, solche weiteren Aufträge und Weisungen zu erteilen, sowie diese im Rahmen der im Rahmenvertrag vereinbarten Leistungen durch die Auftragnehmerin umsetzbar und objektiv zumutbar sind. Geht der Inhalt von Aufträgen und Weisungen der Auftraggeberin über dasjenige hinaus, was die Auftragnehmerin der Auftraggeberin gemäss Rahmenvertrag schuldet, sind die entsprechenden Leistungen gesondert schriftlich zu vereinbaren und zu vergüten.

Soweit die Datenverarbeitung durch die Auftragnehmerin im Rahmen einer der Auftraggeberin zur Online-Nutzung zur Verfügung gestellten Software erfolgt, übt die Auftraggeberin ihr Weisungsrecht in der Regel durch die eigene Benutzung dieser Software aus.

3.3 Informationspflicht der Auftraggeberin

Gelangen im Verantwortungsbereich der Auftraggeberin die der Auftragnehmerin gemäss dieser Vereinbarung verarbeiteten Daten der Auftraggeberin zur Kenntnis eines unbefugten Dritten, informiert die Auftraggeberin die Auftragnehmerin hierüber rechtzeitig, so dass die Auftragnehmerin notwendige technische und organisatorische Massnahmen auf ihrer Seite vornehmen kann (soweit ihr dies möglich ist).

3.4 Pflicht zur Freistellung

Machen Dritte (einschliesslich Behörden) gegenüber der Auftragnehmerin Ansprüche geltend, die darauf beruhen, dass die Auftraggeberin gegen ihre Pflichten verstossen hat, so gilt Folgendes: Die Auftraggeberin wird der Auftragnehmerin von diesen Ansprüchen freistellen, die Auftragnehmerin bei der Rechtsverteidigung angemessene Unterstützung bieten und der Auftragnehmerin die angemessenen Kosten der Rechtsverteidigung vergüten.

Voraussetzung für diese Freistellungspflicht ist, dass die Auftragnehmerin der Auftraggeberin über geltend gemachte Ansprüche unverzüglich in Textform informiert, keine Anerkenntnisse oder damit vergleichbare Erklärungen abgibt und es der Auftraggeberin ermöglicht, auf Kosten der Auftraggeberin – soweit verfahrensrechtlich möglich – alle gerichtlichen und aussergerichtlichen Verhandlungen über diese Ansprüche zu führen.

 

4 Pflichten der Auftragnehmerin

4.1 Bearbeitungspflichten

Die Auftragnehmerin führt den Auftrag ausschliesslich im Rahmen der getroffenen Vereinbarungen und nach Weisungen der Auftraggeberin durch. Der Auftragnehmerin verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben.

Auszüge, Kopien oder Duplikate von Daten oder Datenträgern dürfen ohne Wissen der Auftraggeberin nur hergestellt und verwendet werden, soweit dies für die Ausführung des Auftrages oder zur Gewährleistung einer ordnungsgemässen Datenbearbeitung erforderlich ist oder eine gesetzliche oder sonstige Aufbewahrungspflicht besteht. Eventuell hergestellte Auszüge, Kopien oder Duplikate sind nach Abschluss der Bearbeitung oder Nutzung von der Auftragnehmerin unverzüglich sicher zu löschen bzw. datenschutzgerecht zu vernichten oder der Auftraggeberin auszuhändigen.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenbearbeitung und zu den angewandten Verfahren sind mit der Auftraggeberin abzustimmen. Auskünfte an Dritte oder den Betroffenen darf die Auftragnehmerin nicht oder nur nach Weisung der Auftraggeberin erteilen. Auskünfte an Mitarbeitende der Auftraggeberin darf die Auftragnehmerin nur gegenüber der Auftraggeberin autorisierten Personen erteilen. Die Auftragnehmerin verpflichtet sich, nur solche Software, Daten oder Datenträger einzusetzen, die zuverlässig auf Freiheit von schädlicher Software geprüft sind, um ein Einschleusen von Viren etc. zu vermeiden.

4.2 Duldungspflichten bei Kontrollen

Die Auftragnehmerin verpflichtet sich, in Prüfungen durch die Auftraggeberin die Einhaltung der getroffenen technischen und organisatorischen Massnahmen (TOM) nachzuweisen, Auskünfte zu erteilen und die entsprechenden Unterlagen vorzulegen bzw. Einsicht in die erforderlichen Unterlagen und Systeme zu gewähren und nach vorheriger Abstimmung entsprechende Prüfungen der Auftraggeberin vor Ort zu dulden und zu unterstützen. Sie verpflichtet sich, bei datenschutz- und datensicherheitsrelevanten Vorfällen alle erforderlichen Auskünfte zu erteilen und die Aufklärung derartiger Vorfälle nach Möglichkeit zu unterstützen.

Der Nachweis angemessener technischer und organisatorischer Massnahmen kann auch durch Vorlage von Testaten oder Zertifikaten oder durch eine Zertifizierung bzw. ein Datenschutzaudit einer unabhängigen Einrichtung bzw. eines autorisierten Sachverständigen geführt werden. Unabhängig von diesen Nachweisen ist der Auftragnehmerin verpflichtet, Kontrollen durch die Auftraggeberin gem. Art. 5 dieser Vereinbarung zu dulden.

4.3 Informationspflichten

Der Auftragnehmerin ist verpflichtet, wesentliche Änderungen in den technischen und organisatorischen Verhältnissen, die die Sicherheit und Ordnungsmässigkeit der Durchführung der Auftragsleistungen herabsetzen, unaufgefordert der Auftraggeberin zu melden. Die Auftragnehmerin unterrichtet die Auftraggeberin über Kontrollen des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten für den Datenschutz und über eventuelle Massnahmen und Auflagen zum Schutz der Personendaten. Die Auftragnehmerin verpflichtet sich, der Auftraggeberin auf Anforderung die zur Wahrung ihrer Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Sie informiert die Auftraggeberin unverzüglich über das Erlöschen oder den Widerruf von Zertifikaten oder von Massnahmen gem. Art. 13 DSG. Die Auftragnehmerin teilt der Auftraggeberin Name und Kontaktdaten und Änderungen in der Person des betrieblichen Datenschutzberaters oder, wenn keine Bestellpflicht besteht, den Namen und die Kontaktdaten der sonstigen zuständigen Stelle namentlich die Geschäftsführung.

4.4 Weisungsgebundenheit

Die Auftragnehmerin verarbeitet die Daten ausschliesslich im Rahmen und zum Zwecke der Erbringung der Leistungen für die Auftraggeberin und nach dessen dokumentierten Weisungen. Der Auftragnehmerin verarbeitet die personenbezogenen Daten auf keine andere Weise und für keine anderen Zwecke, sofern sie hierzu nicht gemäss dem Recht, dem die Auftragnehmerin unterliegt, verpflichtet ist. In einem solchen Fall teilt die Auftragnehmerin der Auftraggeberin diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

4.5 Mitwirkungs- und Unterstützungspflichten

Der Auftragnehmerin verpflichtet sich, im Rahmen des Art. 9 DSG, die für das Verzeichnis von Bearbeitungstätigkeiten sowie für die Risikoermittlung und eventuelle Datenschutzfolgenabschätzung erforderlichen Informationen unverzüglich zur Verfügung zu stellen und, soweit es ihren Verantwortungsbereich betrifft, im erforderlichen Umfang bei der Ermittlung der Risiken und einer eventuellen Datenschutzfolgenabschätzung mitzuwirken sowie der Auftraggeberin bei der Erfüllung der Rechte der Betroffenen zu unterstützen.

4.6 Organisationspflichten

Der Auftragnehmerin verpflichtet sich zur Einrichtung von Massnahmen und Dokumentationen, die eine Kontrolle und Nachvollziehbarkeit aller mit der Auftragsbearbeitung zusammenhängenden Tätigkeiten und Bearbeitungsprozesse im Sinne einer Auftragskontrolle und der Ordnungsmässigkeit der Datenbearbeitung ermöglichen. Datenschutzvorfälle und sonstige sicherheitsrelevante Störungen der Bearbeitung sind einschliesslich ihrer Auswirkungen und der ergriffenen Abhilfemassnahmen zu dokumentieren und der Auftraggeberin zu melden. Die Dokumentation ist der Auftraggeberin unverzüglich zur Verfügung zu stellen. Wird die Bearbeitung von Privatwohnungen oder von einem dritten Ort aus durchgeführt, ist die Auftraggeberin darüber zu informieren. Die Auftragnehmerin verpflichtet sich, durch geeignete Regelungen und Sicherheitsvorkehrungen die Wahrung der Vertraulichkeit der Daten sowie die Sicherheit und Kontrollierbarkeit der Bearbeitung im gleichen Masse zu gewährleisten, wie dies bei einer Durchführung der Serviceleistung vom Ort der Auftragnehmerin aus der Fall ist. Soll davon abgewichen werden, bedarf dies einer gesonderten schriftlichen Zustimmung der Auftraggeberin.

4.7 Berichtigung, Löschung und Sperrung

Sind personenbezogene Daten zu berichtigen, zu löschen oder zu sperren, nimmt dies die Auftraggeberin durch Nutzung der entsprechenden Funktionen der bereitgestellten Software selbst vor. Ist dies nicht möglich, übernimmt die Auftragnehmerin die Berichtigung, Löschung oder Sperrung nach den Weisungen der Auftraggeberin. Für die Löschung der Daten bei Vertragsbeendigung gilt Ziffer 8.2. Dabei können Kosten zu Lasten der Auftraggeberin anfallen.

4.8 Ort der Datenverarbeitung

Die Verarbeitung der Daten findet in der Schweiz, im Gebiet der Europäischen Union (EU) und/oder in Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt, sofern die Auftraggeberin der Auftragnehmerin nicht im Rahmenvertrag, in dieser Vereinbarung oder in sonstiger dokumentierter Weise eine Verarbeitung in einem Land ausserhalb der Schweiz, der EU und des EWR gestattet.

Sofern personenbezogene Daten in Länder außerhalb der Schweiz, der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) (sogenannte Drittländer) übermittelt werden, erfolgt dies ausschließlich auf Grundlage der von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (Standard Contractual Clauses, SCC) in der jeweils geltenden Fassung.

4.9 Vertraulichkeit und Datengeheimnis

Der Auftragnehmerin wird, die ihrerseits mit der Verarbeitung der Daten betrauten Personen mit den massgebenden Bestimmungen des Datenschutzes vertraut machen und sie schriftlich zur Vertraulichkeit und auf das Datengeheimnis verpflichten. Insbesondere gilt diese Verschwiegen-heitspflicht der mit der Verarbeitung der Daten betrauten Personen auch für die Daten von juristischen Personen oder Personenvereinigungen und bleibt auch nach der Beendigung ihrer Tätigkeit für den Auftragnehmerin bestehen.

4.10 Informationspflicht der Auftragnehmerin

Gelangen die Daten unrechtmässig, d.h. unter Verstoss gegen anwendbares Datenschutzrecht, diese Vereinbarung oder Weisungen der Auftraggeberin, zur Kenntnis eines unbefugten Dritten, informiert die Auftragnehmerin die Auftraggeberin hierüber unverzüglich.

4.11 Technische und organisatorische Massnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen trifft die Auftragnehmerin alle erforderlichen technischen und organisatorischen Massnahmen, die geeignet sind, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Auftragnehmerin trifft in ihrem Verantwortungsbereich insbesondere die in der Anlage 1 zu dieser Vereinbarung genannten technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

4.12 Bekanntgabe des Datenschutz-Ansprechpartners

Der Auftragnehmerin gibt der Auftraggeberin den Ansprechpartner für im Rahmen des Rahmenvertrages anfallende Datenschutzfragen sowie, falls gesetzlich vorgeschrieben, den Datenschutzbeauftragten bekannt.

5 Kontroll- und Auditrechte der Auftraggeberin

Für die Beurteilung der Zulässigkeit der Bearbeitung der Personendaten sowie für die Ausführung der Rechte der Betroffenen ist allein die Auftraggeberin verantwortlich. Bei einer Datenbearbeitung im Auftrag arbeitet die Auftraggeberin gem. Art. 9 DSG nur mit Auftragsbearbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Massnahmen zur Erfüllung der Anforderungen des DSG eingerichtet sind.

Die Auftraggeberin ist danach verpflichtet und befugt, vor Beginn der Datenbearbeitung und nach seinem Ermessen auch wiederholt nach vorheriger Abstimmung während der üblichen Geschäftszeiten im erforderlichen Umfang die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen, insbesondere der von der Auftragnehmerin getroffenen technischen und organisatorischen Massnahmen, zu kontrollieren. Die Auftraggeberin ist hierzu befugt, schriftliche Auskünfte und die Vorlage von Nachweisen über die eingerichteten Datenschutzmassnahmen sowie über die Art und Weise ihrer technischen und organisatorischen Umsetzung zu verlangen. Dazu gehören auch Nachweise über die Verpflichtung der Mitarbeitenden auf die Wahrung der Vertraulichkeit und technische und organisatorische Konzepte, z.B. Datenschutzhandbuch, einschlägige Verfahrensanweisungen und auch Verträge mit Unterauftragsverarbeitern. Auch Beauftragte der Auftraggeberin besitzen die gleichen Rechte, z.B. Gutachter oder Sachverständige, soweit sie besonders zur Verschwiegenheit verpflichtet sind oder strafbewehrten berufsständischen Schweigepflichten unterliegen.

 

6 Subunternehmer (Unterauftragsverarbeitung)

6.1 Zulässigkeit

Subunternehmer sind natürliche oder juristische Personen, welche die Auftragnehmerin zur Auftragsbearbeitung beizieht (Unterauftragsverarbeiter). Die Auftragnehmerin ist berechtigt, Unterauftragsverarbeiter zur Bearbeitung der Vertragsgegenständlichen Personendaten beizuziehen. Die Auftragnehmerin ist in solchen Fällen verpflichtet, mit Unterauftragsverarbeitern im erforderlichen Umfang eine Vereinbarung zu treffen, welche der Auftragnehmerin die Einhaltung der Bestimmungen der vorliegenden Vereinbarung zwischen Auftragnehmerin und Auftraggeberin ermöglicht. Dies beinhaltet auch die Sicherstellung der Geheimhaltung der Vertragsgegenständlichen Personendaten durch den Unterauftragsverarbeiter.

6.2 Information über Änderungen

Die Auftragnehmerin wird der Auftraggeberin auf Anfrage die Identität und den Ort (Land) der Datenbearbeitung der von der Auftragnehmerin zum Zeitpunkt des Inkrafttretens dieser Vereinbarung beigezogenen Unterauftragsverarbeiter mitteilen. Die Auftragnehmerin wird die Auftraggeberin vorab in elektronischer oder schriftlicher Form informieren, wenn die Auftraggeberin nach Inkrafttreten dieser Vereinbarung neue Unterauftragsverarbeiter beizieht oder bestehende austauscht. Wenn die Auftraggeberin dem nicht innerhalb von dreissig (30) Tagen nach dem Datum der Mitteilung aus wichtigen datenschutzrechtlichen Gründen widerspricht, gilt der neue oder ausgetauschte Unterauftragsverarbeiter als genehmigt. Ist bei einem Widerspruch keine einvernehmliche Klärung zwischen den Parteien über die geplanten Änderungen möglich und ist die jeweilige Auftraggeberin nicht bereit, auf ihren Widerspruch zu verzichten, sind die Parteien berechtigt, diesen Vertrag ausserordentlich auf den Zeitpunkt der geplanten Änderungen zu kündigen.

6.3 Auftragsverarbeiter ausserhalb der Schweiz

Der Einsatz von Auftragsverarbeitern ausserhalb der Schweiz oder der EU/EWR ist nur mit Zustimmung des Auftraggebers zulässig und setzt voraus, dass gemäss Art. 16 DSG ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Angemessenheitsbeschluss oder geeignete Garantien).

 

7 Haftung

Die Haftung richtet sich nach einer allfälligen Haftungsregelung gemäss den vertraglichen Vereinbarungen zwischen den Parteien.

 

8 Vertragsdauer und Beendigung

8.1 Vertragsdauer

Die Vertragsdauer dieser Vereinbarung entspricht der Vertragsdauer des Rahmenvertrages zuzüglich weiterer 30 Tage. Das Recht zur Kündigung aus wichtigem Grund bleibt vorbehalten.

8.2 Umgang mit Daten bei Vertragsbeendigung

Innert 30 Tagen nach Beendigung des Rahmenvertrags wird der Auftragnehmerin die Daten der Auftraggeberin von ihren Datenträgern löschen und entsprechende Unterlagen vernichten, sofern sie nicht gesetzlich zur weiteren Aufbewahrung verpflichtet ist. Die vorstehende Löschungspflicht gilt nicht für Datenkopien, die in regelmässig erstellten Sicherungskopien von umfassenden Datenbeständen der Auftragnehmerin enthalten sind, deren isolierte Löschung für die Auftragnehmerin einen erheblichen Aufwand bedeuten würde und die im Rahmen der Auftragnehmerin angewandten Sicherungs-Zyklus automatisch gelöscht oder ersetzt werden. Die Wiederherstellung und jede sonstige Nutzung solcher Kopien bis zu ihrer automatischen Löschung bzw. Überschreibung ist nach Vertragsbeendigung unzulässig.

Die Auftraggeberin ist grundsätzlich selbst dafür verantwortlich, Daten rechtzeitig vor Ablauf dieser Frist zu exportieren und zur weiteren eigenen Verwendung zu sichern. Eine Herausgabe oder ein Export von Daten, der nicht über die im Rahmen der Leistungen enthaltenen Standardfunktionen möglich ist (z.B. Download von Dateien), hat die Auftraggeberin rechtzeitig gesondert bei der Auftragnehmerin zu beauftragen und zu vergüten.

 

9 Schlussbestimmungen

9.1 Teilunwirksamkeit

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Statt der unwirksamen Bestimmung gilt dasjenige, was die Parteien nach dem ursprünglich angestrebten Zweck unter wirtschaftlicher Betrachtungsweise redlicherweise vereinbart hätten. Das Gleiche gilt im Falle einer Vertragslücke.

9.2 Anwendbares Recht und Gerichtsstand

Soweit sich nicht aus dem Rahmenvertrag eine andere Rechtswahl ergibt, findet auf dieser Vereinbarung ausschliesslich materielles Schweizer Recht Anwendung. Die Parteien erklären die Kollisionsnormen des internationalen Privatrechts und das Übereinkommen der Vereinten Nationen über den internationalen Warenkauf vom 11. April 1980 für nicht anwendbar.

Soweit sich nicht aus dem Rahmenvertrag ein anderer Gerichtsstand ergibt, wird als ausschliesslicher Gerichtsstand für allfällige Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung St. Gallen, Schweiz vereinbart.