Auftragsdatenbearbeitungsvertrag (ADV)

1. Gegenstand und Dauer der Vereinbarung

Dieser Vertrag regelt die Rechte und Pflichten der SETZ TREUHAND, Bahnhofstrasse 3, 5600 Lenzburg (nachfolgend «Auftragsbearbeiterin») sowie ihrer einzelnen Kundinnen und Kunden (nachfolgend einheitlich die einzelnen «Auftraggeber», gemeinsam die «Parteien») im Zusammenhang mit der datenschutzrechtlichen Auftragsbearbeitung.

Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragsbearbeiterin ganz oder teilweise Personendaten im Auftrag und gemäss Weisungen des jeweiligen verantwortlichen Auftraggebers bearbeitet oder bearbeiten lässt.

Die Auftragsbearbeiterin erbringt für den Auftraggeber Treuhand- und Buchhaltungsdienstleistungen.

Diese Vereinbarung ermöglicht es den Parteien, ihren Verpflichtungen nach dem anwendbaren Datenschutzrecht nachzukommen, wenn die Auftragsbearbeiterin für den Auftraggeber Personendaten bearbeitet. Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragsbearbeiterin ganz oder teilweise Personendaten im Auftrag und gemäss Weisungen des Auftraggebers bearbeitet oder bearbeiten lässt.

Diese Vereinbarung gilt für die Dauer des Auftragsverhältnisses zwischen Auftraggeber und Auftragsbearbeiter.


2. Art der Bearbeitung und Art der Daten

Die Auftragsbearbeiterin erhält Zugriff auf personenbezogene Daten im Auftrag des Auftraggebers, welche dieser im Rahmen seiner Kunden- und Vertragsbeziehungen mit Geschäftspartnern von diesen und weiteren beteiligten Personen erhält.

Die Tätigkeiten der Auftragsbearbeiterin können dabei u.a. folgendes umfassen:

  • Empfangen, Bearbeitung und Versand von Lohndaten
  • Erstellung und Versand von Lohnabrechnungen
  • Verwaltung von Mitarbeiterstammdaten
  • Erstellung von Bescheinigungen und Meldungen an die Behörden und Versicherungen
  • Zugriff auf und Bearbeitung von Daten beim Auftraggeber oder direkt bei seinen Kunden

Für die Ausführung dieser Tätigkeiten erforderliche Personendaten:

  • Personenstammdaten
  • Mitarbeiterstammdaten
  • Kommunikationsdaten
  • Vertragsstammdaten
  • Lohndaten
  • Sozialversicherungs- und Gesundheitsdaten
  • Abrechnungs- und Zahlungsdaten
  • Allenfalls weitere notwendige Personendaten, insbesondere Kontaktinformationen von Kunden


3. Pflichten des Auftragsbearbeiters

3.1. Die Auftragsbearbeiterin und ihr unterstellte Personen, die Zugang zu den Personendaten haben, dürfen die Daten nur im Rahmen des Auftrags und der Weisungen des Auftraggebers bearbeiten (beschaffen, speichern, aufbewahren, verwenden, verändern, bekanntgeben, archivieren, löschen oder vernichten etc.), ausser es liegt ein Ausnahmefall vor, z.B. bei Ermittlungen von Strafverfolgungsbehörden. In einem solchen Fall teilt die Auftragsbearbeiterin dem Auftraggeber diese rechtliche Anordnung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Bei einem Wechsel der weisungsberechtigten Personen oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner der Nachfolger bzw. der Vertreter zu benennen.

Falls eine Weisung des Auftraggebers gegen geltende gesetzliche Vorschriften verstösst, wird die Auftragsbearbeiterin den Auftraggeber umgehend darauf hinweisen.

3.2. Die Auftragsbearbeiterin nutzt die zur Bearbeitung überlassenen Daten ausschliesslich für den vereinbarten Zweck und nicht für eigene Zwecke. Sie stellt keine Kopien oder Duplikate der Daten ohne das Wissen des Auftraggebers her, es sei denn, es handelt sich um Sicherungskopien.

3.3. Die Auftragsbearbeiterin ist nicht berechtigt, im Auftrag bearbeitete Daten eigenmächtig zu löschen oder anderweitig zu vernichten. Jegliche Löschung oder Vernichtung der Daten darf ausschliesslich aufgrund einer schriftlichen Weisung des Auftraggebers erfolgen, es sei denn, es liegt ein gesetzlicher Grund vor, der eine solche Massnahme erfordert.

3.4. Die Bearbeitung von Daten ausserhalb des Unternehmensstandorts des Auftragsbearbeiters, wie beispielsweise im Home Office von Mitarbeitenden, wird hiermit durch den Auftraggeber gestattet.

3.5. Die Auftragsbearbeiterin verpflichtet sich dazu, sämtliche Personendaten, die ihr im Rahmen dieses Auftragsdatenbearbeitungsvertrags bekannt werden, vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. Die Auftragsbearbeiterin wird sicherstellen, dass alle Personen, die Zugang zu den Personendaten haben oder mit deren Bearbeitung beauftragt sind, über die Vertraulichkeitsverpflichtung informiert und entsprechend vertraglich gebunden sind.

3.6. Die Auftragsbearbeiterin ist verpflichtet, allfällige Verletzungen des Datenschutzes oder Unregelmässigkeiten unverzüglich dem Auftraggeber zu melden und alle relevanten Details der Verletzung, einschliesslich der Art der Verletzung, der betroffenen Personendaten, der möglichen Auswirkungen sowie der ergriffenen oder geplanten Massnahmen zur Eindämmung des Vorfalls und zur Minimierung eventueller negativer Folgen bekannt zu geben.

3.7. Auf Verlangen des Auftraggebers ist die Auftragsbearbeiterin verpflichtet, Daten zu berichtigen, sofern sie unrichtig oder unvollständig sind. Sollte eine betroffene Person ihre Rechte, insbesondere ihr Recht auf Auskunft, Herausgabe oder Übertragung der Daten, ihr Widerspruchsrecht, oder ihr Recht auf Berichtigung, Löschung oder Vernichtung der Daten, direkt gegenüber der Auftragsbearbeiterin geltend machen, wird die Auftragsbearbeiterin nicht selbständig reagieren, sondern die Person unverzüglich an den Auftraggeber verweisen und dessen Weisungen abwarten.

3.8. Auskünfte über Personendaten aus dem Auftragsverhältnis an Dritte oder den Betroffenen, darf die Auftragsbearbeiterin nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

3.9. Nach Abschluss der vertraglichen Arbeiten verpflichtet sich die Auftragsbearbeiterin dazu, sämtliche Unterlagen und Nutzungsergebnisse, die im Rahmen dieses Auftrags¬daten-bearbeitungsvertrags entstanden sind, datenschutzgerecht zu löschen bzw. zu vernichten und dem Auftraggeber alle ihm im Rahmen des separaten Vertragsverhältnisses überlassenen Unterlagen, Daten und Datenträger zurückzugeben. Die Löschung bzw. Vernichtung erfolgt, sofern nicht ein gesetzlicher Grund entgegensteht. Es ist zu beachten, dass die Auftragsbearbeiterin möglicherweise gesetzlich verpflichtet ist, bestimmte Daten für einen definierten Zeitraum aufzubewahren. Nach Ablauf dieser Frist werden die betreffenden Daten jedoch ebenfalls datenschutzgerecht gelöscht bzw. vernichtet.

3.10. Die Auftragsbearbeiterin bestätigt, dass ihr die einschlägigen Datenschutzvorschriften bekannt sind und sie sich verpflichtet, diese in vollem Umfang einzuhalten.


4. Technische und organisatorische Massnahmen

4.1. Die Auftragsbearbeiterin verpflichtet sich dazu, angemessene technische und organisatorische Massnahmen zu treffen, um die Sicherheit der Personendaten zu gewährleisten.

4.2. Die Auftragsbearbeiterin ergreift geeignete technische Massnahmen, um die Personendaten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Dies umfasst den Einsatz von Firewalls, Verschlüsselungstechnologien, Zugangskontrollen und anderen geeigneten Sicherheits¬vorkehrungen.

4.3. Darüber hinaus implementiert die Auftragsbearbeiterin angemessene, innerbetriebliche organisatorische Massnahmen, um sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff auf die Personendaten haben. Hierzu gehören unter anderem auch die Schulung der Mitarbeiter in Datenschutzbestimmungen und die Implementierung von Zugriffsbeschränkungen.

4.4. Diese technischen und organisatorischen Massnahmen werden regelmässig überprüft und bei Bedarf aktualisiert, um den aktuellen technologischen Standards und den geltenden Daten-schutzbestimmungen zu entsprechen.


5. Ort der Datenbearbeitung

5.1. Die Bearbeitung der Daten findet ausschliesslich in der Schweiz oder in einem Drittland statt, das die gesetzlichen Datenschutzvoraussetzungen erfüllt.

5.2. Sofern eine Datenbearbeitung im Ausland bzw. eine Weitergabe von Daten ins Ausland erfolgt, wird vorgängig sichergestellt, dass die datenschutzrechtlichen Anforderungen eingehalten werden:

Die Auslagerung an einen Unterbeauftragten in einem Mitgliedsstaat der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) oder in einem Land, das gemäss dem geltenden DSG über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass eine vertragliche Vereinbarung gemäss DSG abgeschlossen wird (sog. Auftragsbearbeitungsvertrag).

Die Auslagerung an einen Unterbeauftragten in einem in einem Land, welches nicht über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass die Auftragsbearbeiterin und der Unterbeauftragte eine vertragliche Vereinbarung nach Massgabe des DSG abschliessen (sog. Auftragsbearbeitungsvertrag, ADV) und die besonderen Voraussetzungen des DSG erfüllt sind, insbesondere:

Weil die Auftragsbearbeiterin den angemessenen Datenschutz durch den Abschluss von Standarddatenschutzklauseln mit dem Unterauftragnehmer sicherstellt, welche der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat und im Bedarfsfall in Ergänzung zu den Standarddatenschutzklauseln zusätzliche Massnahmen verein-bart und umgesetzt worden sind.


6. Unterauftragsverhältnisse mit Subunternehmen

6.1. Die Auftragsbearbeiterin erbringt seine Leitungen grundsätzlich selbst. Der Einsatz von Subunter-nehmen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers zulässig.

6.2. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn die Auftragsbearbeiterin weitere Auftragsbearbeiter mit der Erbringung sämtlicher oder eines Teils der vereinbarten Leistungen beauftragt.

6.3. Die Auftragsbearbeiterin ist verpflichtet, Änderungen im Zusammenhang mit dem Sub-unternehmen, wie beispielsweise die Hinzuziehung oder Ersetzung eines Subunternehmens, dem Auftraggeber schriftlich zu melden.

6.4. Der Subunternehmer ist sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Eine Beauftragung von weiteren Auftragsbearbeiter in Drittstaaten darf nur erfolgen, wenn die gesetzlichen Datenschutzvoraussetzungen erfüllt sind.

6.5. Die Auftragsbearbeiterin ist verpflichtet, alle datenschutzrechtlichen Pflichten gemäss dem Vertrag auf den Subunternehmer vertraglich zu übertragen und sicherzustellen, dass der Subunternehmer in vollem Umfang den Datenschutzbestimmungen und vertraglichen Anforderungen entspricht.


7. Haftung

7.1. Für den Ersatz von Schäden oder anderen Ansprüchen, die im Zusammenhang mit der Bearbeitung von Personendaten entstehen, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Ein direkter Rückgriff auf die Auftragsbearbeiterin ist nur dann zulässig, wenn die Auftragsbearbeiterin grob fahrlässig gehandelt oder vorsätzlich gegen die Bestimmungen dieses Vertrags verstossen hat.


8. Schlussbestimmungen

8.1. Änderungen oder Ergänzungen dieses Vertrags oder von Teilen davon bedürfen der Schriftform.

8.2. Sollte eine Bestimmung dieses Vertrags ungültig oder nicht durchsetzbar sein, oder sollte dieser Vertrag eine Lücke aufweisen, so wird hierdurch die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen des Vertrags nicht berührt. Die ungültige oder nicht durchsetzbare Bestimmung bzw. die Lücke wird durch eine gültige und durchsetzbare Regelung ersetzt, die aus der Sicht der Parteien wirtschaftlich der Zielsetzung, die mit der ungültigen oder nicht durchsetzbaren Bestimmung verbunden war, am nächsten kommt.

8.3. Diese Vereinbarung unterliegt ausschliesslich schweizerischem Recht, unter Ausschluss des Kollisionsrechts. Der Gerichtsstand ist Lenzburg.