Auftragsverarbeiter-
Vertrag (AVV)

Dieser AVV legt die Rechte und Pflichten der Parteien in Bezug auf Datenschutzaspekte fest, die auf den geltenden Datenschutzgesetzen basieren – insbesondere dem neuen Schweizer Bundesgesetz über den Datenschutz («revDSG») und der Datenschutz-Grundverordnung der Europäischen Union («DSGVO»).

Die in diesem AVV verwendeten Begriffe sind so zu verstehen, wie sie in der DSGVO definiert sind. Dieser AVV gilt, soweit der Kunde (als «Verantwortlicher») personenbezogene Daten durch com4all (als «Auftragsverarbeiter») im Anwendungsbereich des revDSG und der DSGVO verarbeiten lässt.

Dieser AVV ergänzt die bestehende «Hauptvereinbarung» zwischen den Parteien. In Bezug auf die Hauptvereinbarung kann auf den Softwareproduktvertrag und weitere Vereinbarungen zwischen den Parteien verwiesen werden, in denen com4all als Dienstleister für den Kunden tätig ist.

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten, die der Kunde com4all im Zusammenhang mit den Softwareprodukten und Dienstleistungen von com4all zur Verfügung stellt.

Der AVV endet automatisch mit der Beendigung der Hauptvereinbarung.

Die folgenden Daten werden oder können von com4all verarbeitet werden:

Leistung gemäss Hauptvereinbarung	Art der personenbezogenen Daten	Art, Zweck und Dauer der Datenverarbeitung	Kategorien von Datensubjekten
Eagle Suite: CRM	Der Kunde kann personenbezogene Daten an den Dienst übermitteln, deren Kategorien, Umfang und Details vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird IP-Adressen	Com4all verarbeitet personenbezogene Daten des Kunden für die Erbringung der gebuchten Leistung in den Bereichen CRM, während der Laufzeit der Hauptvereinbarung	Kunden, Interessenten, Mitarbeiter, Partner oder Lieferanten des Kunden
com4all VoIP-Manager	Der Kunde kann personenbezogene Daten an den Dienst übermitteln, deren Kategorien, Umfang und Details vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird Telefonnummern IP-Adressen	Com4all verarbeitet personenbezogene Daten des Kunden für die Erbringung der gebuchten Leistung in den Bereichen Telekommunikation, während der Laufzeit der Hauptvereinbarung.	Mitarbeiter des Kunden, Telefonnummern des Kunden
Wartung von IT-Anlagen	Der Kunde kann personenbezogene Daten an com4all übermitteln, deren Kategorien, Umfang und Details vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird	Com4all verarbeitet personenbezogene Daten des Kunden für die Erbringung der gebuchten Leistung in den Bereichen IT, während der Laufzeit der Hauptvereinbarung.	Kunden, Interessenten, Mitarbeiter, Partner oder Lieferanten des Kunden

Eagle Suite CRM und com4all VoIP-Manager speichert und verarbeitet die folgenden persönlich identifizierbaren Informationen in einem Aktivitätenprotokoll, um die Dienstleistungen gemäss der Hauptvereinbarung zu erbringen:

• Die IP-Adresse des Nutzers
• Datum und Uhrzeit der Anfrage
• Titel der aufgerufenen Seite
• URL der aufgerufenen Seite
• User-Agent des verwendeten Browsers (User-Agent-Header). Aus dem User-Agent erkennen wir den Browser, das Betriebssystem, das verwendete Gerät (Desktop, Tablet, Handy, Fernseher, Auto, Konsole, etc.), die Marke und das Modell.

Das Aktivitätenprotokoll löscht automatisch alle Einträge, welche älter als 30 Tage sind.

Com4all verarbeitet personenbezogene Daten im Auftrag des Kunden. Dies umfasst Tätigkeiten, die in Absatz 1 dieser Vereinbarung konkretisiert sind.
com4all verarbeitet die Daten im Auftrag des Kunden. Diese Auftragsverarbeitung umfasst alle in der Leistungsbeschreibung des Hauptvertrags bzw. der gebuchten Softwareprodukte genannten Tätigkeiten.

Der Kunde ist im Rahmen dieses AVV für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an com4all sowie für die Rechtmässigkeit der Datenverarbeitung allein verantwortlich («Verantwortlicher» im Sinne des Art. 4 Nr. 7 DSGVO).

Die Verarbeitung findet in der Schweiz oder innerhalb der Europäischen Union statt.

Ausser in den Fällen, in denen Artikel 28 (3)(a) der DSGVO dies ausdrücklich zulässt, verarbeitet com4all die Daten der betroffenen Personen nur gemäss der Hauptvereinbarung und den dokumentierten Anweisungen des Kunden. Wenn com4all der Ansicht ist, dass eine Anweisung gegen geltendes Recht verstösst, teilt com4all dem Kunden diese Ansicht unverzüglich mit. Com4all ist berechtigt, die Ausführung einer solchen Anweisung auszusetzen, bis der Kunde diese Anweisung bestätigt oder ändert.

Com4all wird die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Com4all wird technische und organisatorische Massnahmen zum angemessenen Schutz der Daten des Kunden treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Com4all hat vor Beginn der Datenverarbeitung technische und organisatorische Massnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen und den Anforderungen von Anlage 1 dieser DSGVO entsprechen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und der Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen zu berücksichtigen. Wesentliche Änderungen der technischen und organisatorischen Massnahmen, die in Anlage 1 dieses AVV festgelegt sind, werden dokumentiert und dem Kunden unverzüglich mitgeteilt.

Wenn die getroffenen Massnahmen nicht mehr den geltenden Datenschutzgesetzen und -vorschriften entsprechen, wird com4all den Kunden unverzüglich informieren und die erforderlichen Änderungen zur Aufrechterhaltung des Datenschutz- und Datensicherheitsniveaus unverzüglich umsetzen. Der Kunde kann die technischen und organisatorischen Massnahmen von com4all jederzeit überprüfen, um sicherzustellen, dass sie vollständig, richtig und notwendig sind. com4all stellt dem Kunden auf dessen Wunsch alle erforderlichen Unterlagen und Informationen zur Verfügung und unterstützt die Bewertung oder Aktualisierung der technischen und organisatorischen Massnahmen. Die Änderungen werden schriftlich festgehalten. com4all sichert zu, dass com4all seinen Verpflichtungen gemäss Artikel 32 (1)(d) der DSGVO nachkommt und ein Verfahren zur regelmässigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung einführt.

Com4all unterstützt, soweit sie dazu in der Lage, ist den Kunden im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.

Com4all gewährleistet, dass es den mit der Verarbeitung der Daten des Kunden befassten Mitarbeiter und andere für com4all tätigen Personen wie etwa Unterauftragsbearbeitern (Anhang A) untersagt ist, die Daten ausserhalb der Weisung des Kunden zu verarbeiten. Ferner gewährleistet com4all, dass sich die zur Verarbeitung der personenbezogenen Daten des Kunden befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages bzw. des AV. fort.

Com4all nennt dem Kunden den Ansprechpartner für im Rahmen des AVV anfallende Datenschutzfragen.

Com4all benachrichtigt den Kunden unverzüglich, wenn com4all von Verstössen gegen den Schutz personenbezogener Daten erfährt. Dies gilt auch bei schwerwiegenden Betriebsstörungen, vermuteten sonstigen Verstössen gegen die Vorschriften zum Schutz personenbezogener Daten oder sonstigen Unregelmässigkeiten im Umgang mit personenbezogenen Daten, die sich auf die betroffene Person oder den Kunden auswirken oder Schaden verursachen könnten. Zu den Verstössen gegen den Datenschutz gehören der Verlust der Vertraulichkeit und der Verlust, die Zerstörung oder die Fälschung von personenbezogenen Daten. Der Auftragsverarbeiter arbeitet mit dem Kunden zusammen und unternimmt angemessene Schritte, um die Folgen einer Verletzung des Schutzes personenbezogener Daten zu mildern und zu beheben.

Bei Beendigung dieses AVV oder jederzeit auf Verlangen des Kunden wird com4all die im Auftrag verarbeiteten Daten nach Wahl des Kunden entweder löschen oder an den Kunden zurückgeben, es sei denn, das Gesetz schreibt die Aufbewahrung der personenbezogenen Daten vor. Alle vorhandenen Kopien der Daten werden ebenfalls vernichtet bzw. gelöscht, es sei denn, es besteht eine gesetzliche Verpflichtung zur Aufbewahrung der Daten. In solchen Fällen sorgt com4all auch für die unverzügliche Rückgabe oder Löschung der Daten von und durch etwaige Unterauftragsverarbeiter.

Nach Beendigung der Vertragsabwicklung und auf Anweisung des Kunden gibt com4all alle Daten, Trägermedien und andere Materialien an den Kunden zurück oder löscht sie.

Com4all gewährleistet, ihren Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmässigen Überprüfung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

Com4all berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Kunde dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt com4all die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Kunden oder gibt diese Datenträger an den Kunden zurück, sofern nicht im Vertrag bereits vereinbart.

Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Kunden entweder herauszugeben oder zu löschen.

Macht eine betroffene Person Ansprüche gegen den Kunden gemäss Artikel 82 der DSGVO geltend, unterstützt com4all den Kunden nach Möglichkeit bei der Bearbeitung dieser Ansprüche. com4all muss sicherstellen, dass diese Verpflichtung auch für seine Unterauftragsverarbeiter gilt.

Der Kunde hat com4all unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmässigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

Der Kunde nennt com4all den Ansprechpartner für im Rahmen des AVV anfallende Datenschutzfragen.

Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an com4all, wird com4all die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden nach Angaben der betroffenen Person möglich ist. Com4all leitet den Antrag der betroffenen Person unverzüglich an den Kunden weiter, ohne der betroffenen Person zuvor zu antworten.

Com4all unterstützt den Kunden, soweit dies möglich ist, auf der Grundlage der Anweisungen des Kunden, soweit dies vereinbart wurde. Auf Verlangen des für die Verarbeitung Verantwortlichen wird com4all die personenbezogenen Daten korrigieren, einschränken (z. B. sperren), begrenzen oder löschen oder bei der Datenübertragbarkeit helfen. Com4all haftet nicht, wenn der Kunde auf die Anfrage der betroffenen Person nicht vollständig, korrekt oder rechtzeitig reagiert.

Der Kunde hat das Recht, die Einhaltung zu überprüfen. Com4all wird die Einhaltung der in diesem AVV vereinbarten Verpflichtungen durch geeignete Massnahmen dokumentieren und gegenüber dem Kunden nachweisen.

Wenn im Einzelfall Prüfungen und Inspektionen durch den Kunden oder einen von ihm beauftragten Prüfer verlangt werden, werden diese nach vorheriger Ankündigung und unter Einhaltung einer angemessenen Frist während der regulären Geschäftszeiten und ohne Beeinträchtigung des Betriebs von com4all durchgeführt. Com4all darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Kunden beauftragte Prüfer in einem Wettbewerbsverhältnis zu com4all stehen, hat com4all gegen diesen ein Einspruchsrecht. Der Kunde stimmt der Benennung eines unabhängigen externen Prüfers durch com4all zu, sofern com4all eine Kopie des Auditberichts zur Verfügung stellt. Der Aufwand einer Inspektion ist für com4all grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Kunden eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoss nach dem Strafgesetzbuch strafbewehrt ist.

Der Kunde stimmt zu, dass com4all Unterauftragsverarbeiter hinzuzieht. Com4all wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmassnahmen zu gewährleisten.

Com4all stellt dem Kunden die aktuelle Liste der Unterauftragsverarbeiter für die Dienste von com4all zur Verfügung. Diese Liste der Unterauftragsverarbeiter muss die Identität dieser Unterauftragsverarbeiter und das Land, in dem sie ansässig sind, enthalten. In der Anlage 2 dieses AVV findet sich eine Stichtagsliste mit allen Unterauftragsverarbeitern, die com4all zum Zeitpunkt des Abschlusses dieses AVV beauftragt hat.

Beabsichtigt com4all den Einsatz weiterer Unterauftragsverarbeiter, wird com4all dies dem Kunden rechtzeitig – spätestens jedoch zwei Wochen – vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen. Der Kunde hat nach dieser Mitteilung zwei Wochen Zeit, der Hinzuziehung des / der Unterauftragsverarbeiter zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung des / der Unterauftragsverarbeiter(s) als genehmigt. In dringenden Fällen (z.B. bei kurzfristig benötigten Fehleranalysen oder Mängelbeseitigungen), kann com4all die Anzeige- und Widerspruchsfrist für Unterauftragsverarbeiter angemessen verkürzen. Erfolgt ein fristgerechter Widerspruch, dürfen die betroffenen Unterauftragsverarbeiter nicht eingesetzt werden. Widersprüche sind nur zulässig, wenn der Kunde begründete Anhaltspunkte dafür hat, dass durch den Einsatz des Unterauftragsverarbeiters die Datensicherheit oder der Datenschutz eingeschränkt würde, die Einhaltung gesetzlicher oder vertraglicher Bestimmungen gefährdet wäre und / oder sonstige berechtigte Interessen des Kunden entgegenstehen; die entsprechenden Verdachtsmomente sind dem Widerspruch beizufügen.

Kunde und com4all haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

Die Vergütung von com4all in Bezug auf diesen AVV ist in diesem AVV abschliessend geregelt. Eine zusätzliche oder gesonderte Vergütung oder Kostenerstattung im Rahmen diesem AVV oder für damit verbundene Aufwendungen erfolgt nicht.

Alle Änderungen und Zusätze zu diesem AVV müssen schriftlich erfolgen. Jede Hinzufügung, Streichung oder Änderung einer Bestimmung dieses AVV gilt als Änderung oder Hinzufügung.

Im Falle von Widersprüchen zwischen den Bestimmungen dieses AVV und anderen Vereinbarungen zwischen den Parteien, einschliesslich der Hauptvereinbarung und einschliesslich (sofern nicht ausdrücklich anders schriftlich vereinbart und im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses AVV abgeschlossen wurden oder angeblich abgeschlossen wurden, haben die Bestimmungen dieses AVV Vorrang.

Die folgenden Anlagen sind integraler Bestandteil dieses AV:

• Anhang A: Technische und organisatorische Massnahmen (TOM)
• Anhang B: Unterauftragsverarbeiter

Sollte eine Bestimmung dieses AVV ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieses AVV gültig und in Kraft. Die unwirksame oder undurchsetzbare Bestimmung ist entweder (i) so zu ändern, dass ihre Wirksamkeit und Durchsetzbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich erhalten bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der unwirksame oder undurchsetzbare Teil nie enthalten gewesen wäre.

Für das anwendbare Recht und den Gerichtsstand gelten die gleichen Bestimmungen wie in der Hauptvereinbarung.