Neustadt Treuhand
Auftragsdatenbearbeitungsvertrag (ADV)
1. Gegenstand und Dauer der Vereinbarung
Dieser Vertrag regelt die Rechte und Pflichten der Neustadt Treuhand AG, Winkelriedstrasse 23, 6002 Luzern (nachfolgend «Auftragsbearbeiterin») sowie ihrer einzelnen Kundinnen und Kunden (nachfolgend einheitlich die einzelnen «Auftraggeber», gemeinsam die «Parteien») im Zusammenhang mit der datenschutzrechtlichen Auftragsbearbeitung. Dieser Vertrag ist für alle Tätigkeiten anwendbar, bei denen die Auftragsbearbeiterin ganz oder teilweise Personendaten im Auftrag und gemäss Weisungen des jeweiligen verantwortlichen Auftraggebers bearbeitet oder bearbeiten lässt.
Die Auftragsbearbeiterin erbringt für den Auftraggeber Treuhand- und Buchhaltungsdienstleistungen gestützt auf ein separates Vertragsverhältnis.
Diese Vereinbarung ermöglicht es den Parteien, ihren Verpflichtungen nach dem anwendbaren Datenschutzrecht nachzukommen, wenn die Auftragsbearbeiterin für den Auftraggeber Personendaten bearbeitet. Sie konkretisiert die Verpflichtungen der Parteien zum Datenschutz, die sich aus dem im separaten Vertrag beschriebenen Auftragsbearbeitung ergeben. Die Bestimmungen dieser Vereinbarung finden Anwendung auf alle Tätigkeiten, die mit dem separaten Vertragsverhältnis in Zusammenhang stehen und bei welcher die Auftragsbearbeiterin und seine Beschäftigten oder durch die Auftragsbearbeiterin Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des separaten Vertragsverhältnisses und kann nur mit diesem zusammen ordentlich oder ausserordentlich gekündigt werden.
2. Art der Bearbeitung und Art der Daten
Die Auftragsbearbeiterin erhält Zugriff auf personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im separaten Vertragsverhältnis beschrieben werden.
Die Tätigkeiten der Auftragsbearbeiterin können dabei unter anderem folgendes umfassen:
- Empfangen, Bearbeitung und Versand von Lohndaten
- Erstellung und Versand von Lohnabrechnungen
- Verwaltung von Mitarbeiterstammdaten
- Erstellung von Bescheinigungen und Meldungen an die Behörden und Versicherungen
- Zugriff auf und Bearbeitung von Daten beim Auftraggeber oder direkt bei seinem Kunden
Für die Ausführung dieser Tätigkeiten erforderliche Personendaten:
- Personenstammdaten
- Mitarbeiterstammdaten
- Kommunikationsdaten
- Vertragsstammdaten
- Lohndaten
- Sozialversicherungs- und Gesundheitsdaten
- Abrechnungs- und Zahlungsdaten
- Allenfalls weitere sich aus den separaten Vertragsverhältnis ergebenden Personendaten
3. Pflichten der Auftragsbearbeiterin
3.1. Die Auftragsbearbeiterin und ihr unterstellten Personen, die Zugang zu den Personendaten haben, dürfen die Daten nur im Rahmen des Auftrags und der Weisungen des Auftraggebers bearbeiten (beschaffen, speichern, aufbewahren, verwenden, verändern, bekanntgeben, archivieren, löschen oder vernichten etc.), ausser es liegt ein Ausnahmefall vor, z.B. bei Ermittlungen von Strafverfolgungsbehörden. In einem solchen Fall teilt die Auftragsbearbeiterin dem Auftraggeber diese rechtliche Anordnung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Bei einem Wechsel der weisungsberechtigten Personen oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner der Nachfolger bzw. der Vertreter zu benennen. Falls eine Weisung des Auftraggebers gegen geltende gesetzliche Vorschriften verstösst, wird die Auftragsbearbeiterin den Auftraggeber umgehend darauf hinweisen.
3.2. Die Auftragsbearbeiterin nutzt die zur Bearbeitung überlassenen Daten ausschliesslich für den vereinbarten Zweck und nicht für eigene Zwecke. Er stellt keine Kopien oder Duplikate der Daten ohne das Wissen des Auftraggebers her, es sei denn, es handelt sich um Sicherungskopien.
3.3. Die Auftragsbearbeiterin ist nicht berechtigt, im Auftrag bearbeitete Daten eigenmächtig zu löschen oder anderweitig zu vernichten. Jegliche Löschung oder Vernichtung der Daten darf ausschliesslich aufgrund einer schriftlichen Weisung des Auftraggebers erfolgen, es sei denn, es liegt ein gesetzlicher Grund vor, der eine solche Massnahme erfordert.
3.4. Die Bearbeitung von Daten ausserhalb des Unternehmensstandorts die Auftragsbearbeiterin, wie beispielsweise im Homeoffice von Mitarbeitenden, wird hiermit durch den Auftraggeber gestattet. In Fällen, in denen die Datenbearbeitung in einer Privatwohnung stattfindet, sind angemessene Sicherheitsmassnahmen vertraglich sicherzustellen.
3.5. Die Auftragsbearbeiterin verpflichtet sich dazu, sämtliche Personendaten, die ihm im Rahmen dieses Auftragsdatenbearbeitungsvertrags bekannt werden, vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. Die Auftragsbearbeiterin wird sicherstellen, dass alle Personen, die Zugang zu den Personendaten haben oder mit deren Bearbeitung beauftragt sind, über die Vertraulichkeitsverpflichtung informiert und entsprechend vertraglich gebunden sind.
3.6. Die Auftragsbearbeiterin ist verpflichtet, allfällige Verletzungen des Datenschutzes oder Unregelmässigkeiten unverzüglich dem Auftraggeber zu melden und alle relevanten Details der Verletzung, einschliesslich der Art der Verletzung, der betroffenen Personendaten, der möglichen Auswirkungen sowie der ergriffenen oder geplanten Massnahmen zur Eindämmung des Vorfalls und zur Minimierung eventueller negativer Folgen bekannt zu geben.
3.7. Auf Verlangen des Auftraggebers ist die Auftragsbearbeiterin verpflichtet, Daten zu berichtigen, sofern sie unrichtig oder unvollständig sind. Sollte eine betroffene Person ihre Rechte, insbesondere ihr Recht auf Auskunft, Herausgabe oder Übertragung der Daten, ihr Widerspruchsrecht, oder ihr Recht auf Berichtigung, Löschung oder Vernichtung der Daten, direkt gegenüber der Auftragsbearbeiterin geltend machen, wird die Auftragsbearbeiterin nicht selbständig regieren, sondern die Person unverzüglich an den Auftraggeber verweisen und dessen Weisungen abwarten.
3.8. Auskünfte über Personendaten aus dem Auftragsverhältnis an Dritte oder den Betroffenen, darf die Auftragsbearbeiterin nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.
3.9. Nach Abschluss der vertraglichen Arbeiten verpflichtet sich die Auftragsbearbeiterin dazu, sämtliche Unterlagen und Nutzungsergebnisse, die im Rahmen dieses Auftragsdatenbearbeitungsvertrags entstanden sind, datenschutzgerecht zu löschen bzw. zu vernichten und dem Auftraggeber alle ihm im Rahmen des separaten Vertragsverhältnisses überlassenen Unterlagen, Daten und Datenträger zurückzugeben. Die Löschung bzw. Vernichtung erfolgt, sofern nicht ein gesetzlicher Grund entgegensteht. Es ist zu beachten, dass die Auftragsbearbeiterin möglicherweise gesetzlich verpflichtet ist, bestimmte Daten für einen definierten Zeitraum aufzubewahren. Nach Ablauf dieser Frist werden die betreffenden Daten jedoch ebenfalls datenschutzgerecht gelöscht bzw. vernichtet.
3.10.Die Auftragsbearbeiterin bestätigt, dass ihm die einschlägigen Datenschutzvorschriften bekannt sind und er sich verpflichtet, diese in vollem Umfang einzuhalten.
4. Technische und organisatorische Massnahmen
4.1. Die Auftragsbearbeiterin verpflichtet sich dazu, angemessene technische und organisatorische Massnahmen zu treffen, um die Sicherheit der Personendaten zu gewährleisten.
4.2. Die Auftragsbearbeiterin ergreift geeignete technische Massnahmen, um die Personendaten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Dies umfasst den Einsatz von Firewalls, Verschlüsselungstechnologien, Zugangskontrollen und anderen geeigneten Sicherheitsvorkehrungen.
4.3. Darüber hinaus implementiert die Auftragsbearbeiterin angemessene, innerbetriebliche organisatorische Massnahmen, um sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff auf die Personendaten haben. Hierzu gehören unter anderem auch die Schulung der Mitarbeiter in Datenschutzbestimmungen und die Implementierung von Zugriffsbeschränkungen.
4.4. Diese technischen und organisatorischen Massnahmen werden regelmässig überprüft und bei Bedarf aktualisiert, um den aktuellen technologischen Standards und den geltenden Datenschutzbestimmungen zu entsprechen.
5. Ort der Datenbearbeitung
5.1. Die Bearbeitung der Daten findet ausschliesslich in der Schweiz oder in einem Drittland statt, das die gesetzlichen Datenschutzvoraussetzungen erfüllt.
5.2. Sofern eine Datenbearbeitung im Ausland bzw. eine Weitergabe von Daten ins Ausland erfolgt, wird vorgängig sichergestellt, dass die datenschutzrechtlichen Anforderungen eingehalten werden:
Die Auslagerung an einen Unterbeauftragten in einem Mitgliedsstaat der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) oder in einem Land, das gemäss dem geltenden DSG über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass eine vertragliche Vereinbarung gemäss DSG abgeschlossen wird (sog. Auftragsbearbeitungsvertrag).
Die Auslagerung an einen Unterbeauftragten in einem in einem Land, welches nicht über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass die Auftragsbearbeiterin und der Unterbeauftragte eine vertragliche Vereinbarung nach Massgabe des DSG abschliessen (sog. Auftragsbearbeitungsvertrag, ADV) und die besonderen Voraussetzungen des DSG erfüllt sind, insbesondere:
Weil die Auftragsbearbeiterin den angemessenen Datenschutz durch den Abschluss von Standarddatenschutzklauseln mit dem Unterauftragnehmer sicherstellt, welche der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat und
im Bedarfsfall in Ergänzung zu den Standarddatenschutzklauseln zusätzliche Massnahmen vereinbart und umgesetzt worden sind.
6. Unterauftragsverhältnisse mit Subunternehmen
6.1. Die Auftragsbearbeiterin erbringt seine Leitungen grundsätzlich selbst. Der Einsatz von Subunternehmen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers zulässig.
6.2. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn die Auftragsbearbeiterin weitere Auftragsbearbeiter mit der Erbringung sämtlicher oder eines Teils der im Vertrag vereinbarten Leistungen beauftragt.
6.3. Die Auftragsbearbeiterin ist verpflichtet, Änderungen im Zusammenhang mit dem Subunternehmen, wie beispielsweise die Hinzuziehung oder Ersetzung eines Subunternehmens, dem Auftraggeber schriftlich zu melden.
6.4. Der Subunternehmer ist sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Eine Beauftragung von weiteren Auftragsbearbeiter in Drittstaaten darf nur erfolgen, wenn die gesetzlichen Datenschutzvoraussetzungen erfüllt sind.
6.5. Die Auftragsbearbeiterin ist verpflichtet, alle datenschutzrechtlichen Pflichten gemäss dem Vertrag auf den Subunternehmer vertraglich zu übertragen und sicherzustellen, dass der Subunternehmer in vollem Umfang den Datenschutzbestimmungen und vertraglichen Anforderungen entspricht.
7. Haftung
7.1. Für den Ersatz von Schäden oder anderen Ansprüchen, die im Zusammenhang mit der Bearbeitung von Personendaten entstehen, ist die Auftraggeber gegenüber dem Betroffenen verantwortlich. Ein direkter Rückgriff auf die Auftragsbearbeiterin ist nur dann zulässig, wenn die Auftragsbearbeiterin grob fahrlässig gehandelt oder vorsätzlich gegen die Bestimmungen dieses Vertrags verstossen hat.
8. Schlussbestimmungen
8.1. Änderungen oder Ergänzungen dieses Vertrags oder von Teilen davon bedürfen der Schriftform.
8.2. Sollte eine Bestimmung dieses Vertrags ungültig oder nicht durchsetzbar sein, oder sollte dieser Vertrag eine Lücke aufweisen, so wird hierdurch die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen des Vertrags nicht berührt. Die ungültige oder nicht durchsetzbare Bestimmung bzw. die Lücke wird durch eine gültige und durchsetzbare Regelung ersetzt, die aus der Sicht der Parteien wirtschaftlich der Zielsetzung, die mit der ungültigen oder nicht durchsetzbaren Bestimmung verbunden war, am nächsten kommt.
8.3. Diese Vereinbarung unterliegt ausschliesslich schweizerischem Recht, unter Ausschluss des Kollisionsrechts. Der Gerichtsstand ist Luzern.