AVV

Auftragsverarbeitungsvertrag

Die Travelnews AG (nachfolgend "TN") erbringt gegenüber ihrer Kundschaft im Rahmen von Wettbewerbsausschreibungen Dienstleistungen der Auftragsdatenverarbeitung. Bei der Erbringung dieser Dienstleistung bearbeitet beziehungsweise verarbeitet TN Personendaten beziehungsweise personenbezogene Daten (nachfolgend einheitlich "Personendaten") im Auftrag der Kundschaft (nachfolgend "Auftragsverarbeitung").

Inhaltsverzeichnis

  1. Gegenstand
  2. Pflichten von Travelnews
  3. Pflichten der Kundschaft
  4. Datensicherheit
  5. Unterstützung für die Kundschaft
  6. Beizug von Unterauftragsverarbeitenden
  7. Änderungen und Dauer
  8. Schlussbestimmungen

1. Gegenstand

Dieser Auftragsverarbeitungsvertrag (nachfolgend "Vertrag") regelt die Rechte und Pflichten von TN und der Kundschaft (nachfolgend "Parteien") in Bezug auf die Auftragsverarbeitung. TN ermöglicht der Kundschaft mit diesem Vertrag die Einhaltung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung.

Art, Gegenstand und Zweck der Auftragsverarbeitung ergeben sich aus den jeweiligen bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen und Aufträgen zwischen den Parteien wie insbesondere Allgemeinen Geschäftsbedingungen (AGB) und Vereinbarungen für Hosting-Dienstleistungen.

Die Kundschaft bestätigt und TN anerkennt, dass die Kundschaft im datenschutzrechtlichen Sinn verantwortlich ist. TN ist Auftragsverarbeiterin im datenschutzrechtlichen Sinn. Die Kundschaft bestimmt über Mittel und Zweck der Auftragsverarbeitung sowie über die Kategorien der verarbeiteten Daten und die Kategorien der betroffenen Personen.

2. Pflichten von Travelnews

TN ist verpflichtet, verarbeitete Personendaten ausschliesslich gemäss vertraglichen Vereinbarungen zwischen den Parteien zu verarbeiten.

TN ist verpflichtet, die Kundschaft zu informieren, wenn feststellt wird, dass die Verarbeitung von Personendaten in Abweichung von vertraglichen Vereinbarungen zwischen den Parteien oder von Weisungen der Kundschaft erfolgt. Gesetzliche Geheimhaltungspflichten bleiben vorbehalten.

TN ist verpflichtet, die Kundschaft zu informieren, wenn TN der Auffassung ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstösst. In diesem Fall ist TN berechtigt, die betreffende Verarbeitung von personenbezogenen Daten auszusetzen, bis die Kundschaft die Weisung ausdrücklich und unter vollständiger Freistellung von TN bestätigt hat. TN ist nicht verpflichtet, die Einhaltung von anwendbarem Datenschutzrecht durch die Kundschaft zu prüfen.

TN ist berechtigt und verpflichtet, personenbezogene Daten nach Ende der Laufzeit der entsprechenden vertraglichen Vereinbarung (in der Regel 30 Tage nach Beendigung des Wettbewerbs) zu löschen. Nach Beendigung der der Datenverarbeiter besteht kein Recht auf Wiederherstellung allfällig bereits gelöschter Daten.

TN ist verpflichtet, für die Einhaltung der Bestimmungen dieses Vertrages durch die mit der Auftragsverarbeitung betrauten Mitarbeitenden und anderen für TN tätigen Personen, die Zugriff auf entsprechende Daten erhalten, zu sorgen. TN ist verpflichtet, Personen mit Zugang zu personenbezogenen Daten zur Wahrung der Geheimhaltung zu verpflichten, sofern nicht bereits eine entsprechende gesetzliche Verpflichtung zur Geheimhaltung besteht.

3. Pflichten der Kundschaft

Die Kundschaft ist verpflichtet, in ihrem Verantwortungsbereich selbstständig geeignete technische und organisatorische Massnahmen zum Schutz der Personendaten zu treffen.

Die Kundschaft ist verpflichtet, TN ohne Verzug zu informieren, wenn die Kundschaft im Zusammenhang mit der Auftragsverarbeitung eine Verletzung von anwendbarem Datenschutzrecht oder von Pflichten gemäss diesem Vertrag feststellt.

4. Datensicherheit

TN gewährleistet im Interesse der Integrität, Nachvollziehbarkeit, Verfügbarkeit und Vertraulichkeit der Hosting-Daten mit geeigneten technischen und organisatorischen Massnahmen eine dem Risiko angemessene Datensicherheit. Bei der Auswahl der Massnahmen berücksichtigt TN insbesondere die Art der verarbeiteten Personendaten, Art, Umfang, Umstände und Zweck der Auftragsverarbeitung, die hauptsächlichen Gefahren sowie die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen Massnahmen.

TN informiert die Kundschaft ohne Verzug, wenn TN Kenntnis von einer Verletzung der Datensicherheit erlangt, die Personendaten der Kundschaft betrifft. Dabei teilt TN der Kundschaft die Art der Verletzung und deren Folgen sowie die ergriffenen oder vorgesehenen Massnahmen mit. Die Parteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der Personendaten sicherzustellen und mögliche Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen zu mildern. TN stellt der Kundschaft auf Anfrage ausreichende Informationen zur Verfügung, damit die Kundschaft ihre Pflichten gemäss anwendbarem Datenschutzrecht betreffend die Meldung von Verletzungen der Datensicherheit erfüllen kann.

5. Unterstützung für die Kundschaft

TN unterstützt die Kundschaft auf Anfrage und gegen angemessene separate Vergütung sowie im Rahmen der betrieblichen Möglichkeiten und Ressourcen bei der Erfüllung von datenschutzrechtlichen Ansprüchen betroffener Personen. Richtet sich eine betroffene Person mit datenschutzrechtlichen Ansprüchen, welche die Kundschaft betreffen, direkt an TN, wird TN die betroffene Person an die Kundschaft verweisen. Voraussetzung dafür ist, dass TN eine Zuordnung an die Kundschaft gestützt auf die Angaben der betroffenen Person vornehmen kann.

6. Beizug von Unterauftragsverarbeitenden

TN ist berechtigt, Dritte für die Erbringung von Hosting-Dienstleistungen beizuziehen. TN bleibt in diesem Fall gegenüber der Kundschaft Auftragsverarbeiterin und erfüllt die Pflichten gemäss diesem Vertrag.

TN trifft beim Beizug von Unterauftragsverarbeitenden, beispielsweise für die Dienstleistung "Hosting", im erforderlichen Umfang vertragliche Vereinbarungen, die TN die Einhaltung der Pflichten gemäss diesem Vertrag ermöglichen.

TN stellt bei Dritten in Ländern, deren Gesetzgebung keinen angemessenen Datenschutz gewährleistet, sicher, dass ein geeigneter Datenschutz gemäss den Vorgaben des anwendbaren Datenschutzrechts gewährleistet wird. TN vereinbart insbesondere genehmigte Standarddatenschutzklauseln oder verwendet andere geeignete Garantien.

TN führt eine Liste der Unterauftragsverarbeitenden. TN informiert die Kundschaft vorab per E-Mail oder auf andere geeignete Weise, wenn TN im Zusammenhang mit Personendaten neue und für den Auftrag relevante Unterauftragsverarbeitende beizieht.

7. Dauer und Beendigung

Dieser Vertrag gilt während der Laufzeit jeder Auftragsverarbeitung gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen und Aufträgen zwischen den Parteien.

Dieser Vertrag endet automatisch mit der letzten Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.

8. Schlussbestimmungen

Hier verwendete datenschutzrechtliche Begriffe entsprechen in ihrer Bedeutung der im anwendbaren Datenschutzrecht verwendeten Terminologie, beispielsweise "personenbezogene Daten" und "Personendaten".

Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder nichtig sein oder werden, berührt dieser Umstand die Wirksamkeit oder Gültigkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder nichtigen Bestimmungen treten diejenigen Bestimmungen, welche die Parteien bei Kenntnis des Mangels beim Vertragsschluss nach Treu und Glauben sowie nach wirtschaftlicher Betrachtungsweise getroffen hätten. Entsprechendes gilt im Fall etwaiger Lücken in diesem Vertrag.

Auf allfällige aus oder im Zusammenhang mit diesem Vertrag entstehende Streitigkeiten ist ausschliesslich schweizerisches Recht anwendbar, unter Ausschluss der kollisionsrechtlichen Bestimmungen.

Ausschliesslicher Gerichtsstand bilden die ordentlichen Gerichte am Sitz von TN. Alternativ ist TN berechtigt, die Kundschaft an deren Sitz zu belangen.

Anhang

back to top