Dieser Auftragsverarbeitungsvertrag (nachfolgend "Vertrag") regelt die Rechte und Pflichten von OFFLINE und Kundschaft (nachfolgend "Parteien") in Bezug auf die Auftragsverarbeitung. OFFLINE ermöglicht der Kundschaft mit diesem Vertrag die Einhaltung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung.
Auftragsverarbeitungsvertrag
Die OFFLINE GmbH (nachfolgend "OFFLINE") erbringt gegenüber Distributoren Diensteistungen für den Weiterverkauf, Lizenzierung und Unterhalt der Software CareSuite (nachfolgend "CareSuite") und ebenfalls an die Endnutzer der CareSuite. Bei der Erbringung dieser Dienstlesitungen bearbeitet beziehungsweise verarbeitet OFFLINE Personendaten beziehungsweise personenbezogene Daten (nachfolgend einheitlich "Installations-Daten" und "Verarbeitung") im Auftrag der Distributoren und Endkunden (nachfolgend "Kundschaft").
Gegenstand
Art, Gegenstand und Zweck der Auftragsverarbeitung ergeben sich aus den jeweiligen bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien wie insbesondere dem Distributionsvertrag und der Endnutzer-Lizenzvereinbarung.
Die Kundschaft bestätigt und OFFLINE anerkennt, dass die Kundschaft für die Verarbeitung von Installations-Daten gemäss dem anwendbaren Datenschutzrecht selbst verantwortlich ist. Die Kundschaft ist verantwortlich im datenschutzrechtlichen Sinn. OFFLINE ist Auftragsverarbeiterin im datenschutzrechtlichen Sinn.
OFFLINE verarbeitet Installations-Daten so, wie es für die Erfüllung von Leistungspflichten und sonstigen Pflichten gemäss vertraglichen Vereinbarungen zwischen den Parteien einschliesslich dieses Vertrages erforderlich ist.
Die Distributoren sind ihrerseits Auftragsverarbeiter, weil sie gemäss vertraglichen Vereinbarungen berechtigt sind, die Software an Endkundinnen und Endkunden zur Verfügung zu stellen, so bestätigt die Distributorin, dass ihre eigenen Endkundinnen und Endkunden sie zur Auftragsverarbeitung und zur Unterauftragsverarbeitung durch OFFLINE ermächtigt haben.
Pflichten von OFFLINE
OFFLINE ist verpflichtet, Installations-Daten ausschliesslich zur Erbringung von Dienstleistungen und gemäss vertraglichen Vereinbarungen zwischen den Parteien einschliesslich dieses Vertrages zu verarbeiten. Die Erfüllung gesetzlicher oder regulatorischer Pflichten durch OFFLINE bleibt vorbehalten.
OFFLINE ist verpflichtet, die Kundschaft zu informieren, wenn OFFLINE feststellt, dass die Verarbeitung von Installations-Daten in Abweichung von vertraglichen Vereinbarungen zwischen den Parteien erfolgt. Gesetzliche Geheimhaltungspflichten bleiben vorbehalten.
OFFLINE ist verpflichtet, die Kundschaft zu informieren, wenn OFFLINE der Auffassung ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstösst. In diesem Fall ist OFFLINE berechtigt, die betreffende Verarbeitung von Installations-Daten auszusetzen, bis die Kundscahft die Weisung ausdrücklich und unter vollständiger Freistellung von OFFLINE bestätigt hat. OFFLINE ist nicht verpflichtet, die Einhaltung von anwendbarem Datenschutzrecht durch die Kundschaft zu prüfen.
OFFLINE ist berechtigt und verpflichtet, Installations-Daten nach Ende der Laufzeit der entsprechenden vertraglichen Vereinbarung über Leistungen zu löschen.
OFFLINE ist verpflichtet, für die Einhaltung der Bestimmungen dieses Vertrages durch die mit der Auftragsverarbeitung betrauten Mitarbeitenden und anderen für OFFLINE tätigen Personen, die Zugriff auf Installations-Daten erhalten, zu sorgen. OFFLINE ist verpflichtet, Personen mit Zugang zu Installations-Daten zur Wahrung der Geheimhaltung zu verpflichten, sofern nicht bereits eine entsprechende gesetzliche Verpflichtung zur Geheimhaltung besteht.
Pflichten der Kundschaft
Die Kundschaft ist verpflichtet, in ihrem Verantwortungsbereich selbstständig geeignete technische und organisatorische Massnahmen zum Schutz der Installations-Daten zu treffen.
Die Kundschaft ist verpflichtet. OFFLINE ohne Verzug zu informieren, wenn die Distributoren im Zusammenhang mit der Auftragsverarbeitung eine Verletzung von anwendbarem Datenschutzrecht oder von Pflichten gemäss diesem Vertrag feststellt.
Datensicherheit
OFFLINE gewährleistet im Interesse der Integrität, Nachvollziehbarkeit, Verfügbarkeit und Vertraulichkeit der Installations-Daten mit geeigneten technischen und organisatorischen Massnahmen eine dem Risiko angemessene Datensicherheit. OFFLINE implementiert insbesondere Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung und Bewertung der Wirksamkeit der ergriffenen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt OFFLINE insbesondere die Art der verarbeiteten Installations-Daten, Art, Umfang, Umstände und Zweck der Auftragsverarbeitung, die hauptsächlichen Gefahren sowie die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen Massnahmen.
OFFLINE informiert die Kundschaft ohne Verzug, wenn OFFLINE Kenntnis von einer Verletzung der Datensicherheit erlangt, die Installations-Daten betrifft. Dabei teilt OFFLINE der Distributorin die Art der Verletzung und deren Folgen sowie die ergriffenen oder vorgesehenen Massnahmen mit. Die Parteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der Installations-Daten sicherzustellen und mögliche Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen zu mildern. OFFLINE stellt der Kundschaft auf Anfrage ausreichende Informationen zur Verfügung, damit die Kundschaft ihre Pflichten gemäss anwendbarem Datenschutzrecht betreffend die Meldung von Verletzungen der Datensicherheit erfüllen kann.
Beizug von Unterauftragsverarbeitenden
OFFLINE ist berechtigt, Dritte für die Erbringung von SaaS-Dienstleistungen beizuziehen. OFFLINE bleibt in diesem Fall gegenüber der Kundschaft Auftragsverarbeiterin und erfüllt die Pflichten gemäss diesem Vertrag.
OFFLINE trifft beim Beizug von Unterauftragsverarbeitenden, beispielsweise für die Dienstleistung "Hosting", im erforderlichen Umfang vertragliche Vereinbarungen, die OFFLINE die Einhaltung der Pflichten gemäss diesem Vertrag ermöglichen.
OFFLINE stellt bei Dritten in Ländern, deren Gesetzgebung keinen angemessenen Datenschutz gewährleistet, sicher, dass ein geeigneter Datenschutz gemäss den Vorgaben des anwendbaren Datenschutzrechts gewährleistet wird.
OFFLINE führt eine Liste der Unterauftragsverarbeitenden. OFFLINE informiert die Kundschaft vorab per E-Mail oder auf andere geeignete Weise, wenn OFFLINE im Zusammenhang mit Installations-Daten neue Unterauftragsverarbeitende beizieht. Wenn die Distributorin einem neuen Unterauftragsverarbeitenden nicht innerhalb von 30 Tagen nach dem Datum der Information aus wichtigen datenschutzrechtlichen Gründen widerspricht, gilt der neue Unterauftragsverarbeitende als genehmigt. Sofern OFFLINE nach einem Widerspruch nicht bereit ist, auf den neuen Unterauftragsverarbeitenden zu verzichten oder der Kundschaft eine andere Lösung anzubieten, ist die Kundschaft berechtigt, die entsprechende Vereinbarung über SaaS-Dienstleistungen ausserordentlich und fristlos zu kündigen, sofern der neue Unterauftragsverarbeitende definitiv nicht akzeptiert wird.
Informations- und Prüfrechte
OFFLINE stellt der Kundschaft auf Anfrage alle Informationen zur Verfügung, welche die Distributorin, vernünftigerweise zum Nachweis der Einhaltung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung gegenüber betroffenen Personen oder Datenschutz-Aufsichtsbehörden benötigt.
OFFLINE ermöglicht der Kundschaft oder einer von der Kundschaft beauftragten und zur Vertraulichkeit verpflichteten Prüfperson, die Einhaltung dieses Vertrages durch OFFLINE zu prüfen. Die Prüfung hat mit vorheriger Anmeldung zu erfolgen, sofern eine Prüfung ohne vorherige Anmeldung nicht erforderlich erscheint, weil andernfalls der Prüfzweck gefährdet ist.
Bei nachgewiesenen Verletzungen von Pflichten gemäss diesem Vertrag implementiert OFFLINE ohne Mehrkosten für die Kundschaft und ohne Verzug geeignete Korrekturmassnahmen.
Die vorstehenden Informations- und Prüfrechte der Kundschaft bestehen nur insoweit, als die vertraglichen Vereinbarungen der Distributorin keine anderen Informations- und Prüfmöglichkeiten einräumen. Weiter stehen die Informations- und Prüfrechte unter dem Vorbehalt der Verhältnismässigkeit und der Wahrung der schutzwürdigen Interessen wie insbesondere Geheimhaltungs- und Sicherheitsinteressen von OFFLINE. Die Distributorin trägt vorbehältlich anderslautender Vereinbarungen zwischen den Parteien sämtliche Kosten von Information und Prüfung einschliesslich der Kosten von OFFLINE.
Änderungen und Dauer
Dieser Vertrag gilt während der Laufzeit jeder Auftragsverarbeitung gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien.
OFFLINE ist jederzeit berechtigt, diesen Vertrag zu ändern. OFFLINE informiert die Kundschaft vorab in geeigneter Weise, wenn OFFLINE beabsichtigt, diesen Vertrag zu ändern. Wenn die Kundschaft der Änderung nicht innerhalb von 30 Tagen nach dem Datum der Information widerspricht, gilt die Änderung als genehmigt. Sofern OFFLINE nach einem Widerspruch nicht bereit ist, auf die Änderung zu verzichten oder der Kundschaft eine andere Lösung anzubieten, ist die Kundschaft berechtigt, die entsprechende Vereinbarung über Dienstleistungen ausserordentlich und fristlos zu kündigen, sofern die Änderung nicht akzeptiert wird.
Dieser Vertrag gilt für unbestimmte Dauer. Dieser Vertrag endet automatisch mit der letzten Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.
Schlussbestimmungen
Hier verwendete datenschutzrechtliche Begriffe entsprechen in ihrer Bedeutung der im anwendbaren Datenschutzrecht verwendeten Terminologie, beispielsweise "personenbezogene Daten" und "Personendaten".
Die Kommunikation gemäss diesem Vertrag ist an die E-Mail-Adresse der Kundschaft gemäss Partner-Portal beziehungsweise für OFFLINE an info@offline.ch zu richten.
Die Bestimmungen dieses Vertrages gehen bei Widersprüchen den Bestimmungen in sonstigen vertraglichen Vereinbarungen zwischen den Parteien vor.
Die Parteien können im gegenseitigen Einvernehmen jederzeit Abweichungen von diesem Vertrag vereinbaren.
Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder nichtig sein oder werden, berührt dieser Umstand die Wirksamkeit oder Gültigkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder nichtigen Bestimmungen treten diejenigen Bestimmungen, welche die Parteien bei Kenntnis des Mangels beim Vertragsschluss nach Treu und Glauben sowie nach wirtschaftlicher Betrachtungsweise getroffen hätten. Entsprechendes gilt im Fall etwaiger Lücken in diesem Vertrag.
Auf allfällige aus oder im Zusammenhang mit diesem Vertrag entstehende Streitigkeiten ist ausschliesslich schweizerisches Recht anwendbar, unter Ausschluss der kollisionsrechtlichen Bestimmungen.
Ausschliesslicher Gerichtsstand bilden die ordentlichen Gerichte am Sitz von OFFLINE. Alternativ ist OFFLINE berechtigt, die Kundschaft an deren Sitz zu belangen.