Zum Inhalt springen
Swiss Cloud Normal
Swiss Cloud Normal
Swiss Cloud Information
Swiss Cloud Störung
Perigon Services NormalPerigon Services Normal
Perigon Services InformationPerigon Services Information
Perigon Services StörungPerigon Services Störung
Teamviewer Support FERNWARTUNG STARTEN
Swiss Cloud NormalSwiss Cloud Normal
Swiss Cloud Normal
Swiss Cloud InformationSwiss Cloud Information
Swiss Cloud StörungSwiss Cloud Störung
Perigon Services NormalPerigon Services Normal
Perigon Services NormalPerigon Services Normal
Perigon Services InformationPerigon Services Information
Perigon Services StörungPerigon Services Störung
Stand 01.08.2023 І Version [03]

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV) zwischen der anbietenden Ro-ot Service AG, UID: CHE-104.695.341,  Wydenstrasse 29, CH-8575 Bürglen («Auftragnehmer») und dem Nutzer («Auftraggeber») der Services  «Perigon», dem «Modern Workplace», der «Swiss Cloud» sowie weiterer gegenständlicher Services. Einzeln  als «Partei» oder gemeinsam als «Parteien» bezeichnet.

I Präambel

01. Der Auftraggeber beauftragt den Auftragnehmer mit separater Erklärung, Auftragsbestätigung, in  Verträgen und dgl. (nachfolgend: «Hauptvertrag», «Hauptverträge») mit Aufgaben, welche die  bearbeitung (EU-DSGVO: Verarbeitung) von personenbezogenen Daten beinhalten können. Dabei kann  der Auftragnehmer Auftragsbearbeiter oder weiterer Auftragsbearbeiter im Anwendungsbereich des  Schweizer Datenschutzgesetzes (DSG), der Datenschutzgrundverordnung der EU (EU-DSGVO) oder  anderer allenfalls anwendbarer Datenschutzgesetze, im nachfolgenden «anwendbares  Datenschutzrecht», sein. Solche Bearbeitungen können im Rahmen von Supportanfragen,  Wartungsarbeiten oder sonstiger Aufgaben stattfinden, in denen der Auftragnehmer Zugriff (auch mittels  «Fernzugriff») auf Daten erhält oder auf andere Weise durch den Auftraggeber oder seine Kunden zur Verfügung gestellt bekommt oder zur Kenntnis nehmen kann. Bei der Erbringung solcher Aufgaben  speichert der Auftragnehmer personenbezogene Daten im Auftrage und Zwecke des Kunden.

II Gegenstand der Vereinbarung und Verantwortlichkeit

02. Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die Verpflichtungen der Parteien in Bezug  auf die Vorgaben aus dem anwendbaren Datenschutzrecht. Dieser AVV findet Anwendung auf alle  Tätigkeiten, die mit zwischen den Parteien geschlossenen Hauptverträgen in Zusammenhang stehen, bei denen Mitarbeitende des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten des Auftraggebers (dazu gehören auch personenbezogene Daten seiner Kunden) bearbeiten.  Darüber hinaus gilt dieser AVV für sämtliche zukünftigen Verträge, die eine Auftragsdatenbearbeitung  vorsehen, welche die Parteien miteinander abschliessen.

03. Aus den jeweiligen zwischen den Parteien geschlossenen Hauptverträgen, die eine  Auftragsdatenbearbeitung beinhalten können, ergeben sich Gegenstand dieses AVV sowie ihre Art samt Umfang und ihr Zweck, auf die hier verwiesen wird. Die Bestimmungen dieses AVV ergänzen die Bestimmungen der Hauptverträge zwischen den Parteien. Sie schränken die Rechte und Pflichten der Vertragsparteien in Bezug auf den vereinbarten Leistungsgegenstand nicht ein. Ihren Regelungsgegenstand betreffend gehen die Bestimmungen dieses AVV den jeweiligen zwischen den Parteien geschlossenen Hauptverträgen vor.

04. Der Auftraggeber bestätigt und der Auftragnehmer anerkennt, dass der Auftraggeber für die Bearbeitung der personenbezogenen Daten nach anwendbarem Datenschutzrecht verantwortlich ist und  bleibt. Der Auftraggeber nimmt somit die Rolle des Verantwortlichen ein. Der Auftragnehmer nimmt in  Bezug auf die Bearbeitung betroffener personenbezogener Daten die Rolle des Auftragsbearbeiters ein.

05. Dieser AVV gilt nicht in Bezug auf Bearbeitungen personenbezogener Daten, bei denen der Auftragnehmer die Zwecke und Mittel der Bearbeitung bestimmt und somit Verantwortlicher ist (z.B.  Leistungsabrechnung gegenüber Auftraggeber).

06. Im Übrigen gelten die allgemeinen Geschäftsbedingungen des Auftragnehmers in der jeweils publizierten Fassung, abrufbar auf: https://web.root.ch/agb. Die jeweils aktuelle Datenschutzerklärung des  uftragnehmers kann jederzeit eingesehen werden auf: https://web.root.ch/datenschutz.

III Dauer der Vereinbarung

07. Dieser AVV gilt, sobald der Auftraggeber diesem zugestimmt hat.

08. Die Laufzeit dieses AVV richtet sich nach der Laufzeit der Hauptverträge, die eine Auftragsdatenbearbeitung zwischen den Parteien zum Gegenstand haben, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben, sowie gegebenenfalls darüber hinaus bis zur Löschung der von der Auftragsbearbeitung betroffenen personenbezogenen Daten durch den Auftragnehmer.

IV Ort der Datenbearbeitung, Bekanntgabe ins Ausland

09. Die Auftragsdatenbearbeitung für die Services «Perigon» und «Swiss Cloud» wird durch den Auftragnehmer in der Schweiz oder der EU erbracht.

10. Die Auftragsdatenbearbeitung für den Service «Modern Workplace» findet nach Möglichkeit in der Schweiz oder der EU statt. Die eingesetzten Produkte von Microsoft sind jedoch nicht durchgängig in der Schweiz verfügbar. Hier wird auf das Trust Center von Microsoft verwiesen.

11. Die Bearbeitung in einem Drittland erfolgt erst nach einer erteilten Zustimmung des Auftraggebers. Sofern die Daten unter ein Berufs- oder Amtsgeheimnis fallen oder sonstige vertragliche Geheimhaltungspflichten oder vertragliche Abmachungen eine Bearbeitung in einem Drittland  ausschliessen würden, teilt der Auftraggeber dies dem Auftragnehmer vor der Bearbeitung durch den  Auftragnehmer schriftlich mit, damit das weitere Vorgehen zwischen den Parteien abgesprochen werden kann. Erfolgt keine schriftliche Mitteilung, darf der Auftragnehmer davon ausgehen, dass eine  bearbeitung in einem Drittland erfolgen darf. Der Auftraggeber ist allein dafür verantwortlich, dass  erforderliche Rechtsgrundlagen für eine rechtmässige Datenbearbeitung ausserhalb der Schweiz  vorliegen.

12. Jede Verlagerung der Auftragsdatenbearbeitung oder von Teilarbeiten dazu in weitere Drittstaaten erfolgt nur, wenn die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind (z.B.  Angemessenheitsbeschluss, Standarddatenschutzklauseln, genehmigte Verhaltensregeln oder eine  andere geeignete Garantie für die Datenübermittlung).

V Art und Zweck der Bearbeitung, Art der Daten sowie Kategorien betroffener Personen

13. Die Tätigkeiten des Auftragnehmers umfassen Leistungen, die im Zusammenhang mit der Erfüllung  der in den jeweiligen, zwischen den Parteien geschlossenen Hauptverträgen beschriebenen  Vertragsprodukten stehen und bei denen eine Auftragsdatenbearbeitung durch den Auftragnehmer  möglich ist.

14. Die Tätigkeiten des Auftragnehmers können dabei u.a. folgendes umfassen:

    • Installation und Test der Vertragsprodukte beim Auftraggeber oder seiner Kunden;
    • Nachbesserungen an den Vertragsprodukten;
    • Wartung, Installation und Test von bereitgestellten Hotfixes, Service-Packs sowie neuen Versionen  der Vertragsprodukte;
    • Tätigkeiten im Rahmen des Supports;
    • Zugriff auf und Bearbeitung von Daten beim Auftraggeber oder direkt bei seinen Kunden;
    • Hosting von Applikationen, Software-Lösungen und Daten.


15. Dabei sind folgende Arten der Auftragsdatenbearbeitung möglich:

    • Speichern, Aufbewahren, Archivieren, Organisation oder Ordnen;
    • Auslesen, Abfragen, Verwendung sowie Offenlegung durch Übermittlung;
    • Verbreitung oder andere Form der Bereitstellung, des Abgleichs oder der Verknüpfung;
    • Einschränkung, Löschen oder Vernichtung.


16. Die Art der dabei bearbeiteten Daten sowie die Kategorien betroffener Personen ergeben sich aus dem jeweiligen Hauptvertragsgegenstand und den Vertragsprodukten. Eine aktuelle Liste der Vertragsprodukte, sowie die Angabe der Daten und der Kategorien von betroffenen Personen, die im  Rahmen der Auftragsdatenbearbeitung bearbeitet werden können, ist beim Auftragnehmer erhältlich. In  der Anlage dieses AVV findet sich eine Stichtagsliste der «Vertragsprodukte samt Angabe der Daten und der Kategorien von betroffenen Personen» zum Zeitpunkt des Abschlusses dieses AVV.

17. In jedem Fall von der Auftragsbearbeitung betroffen sind personenbezogene Daten, die der  Auftraggeber nach seiner Wahl auf der vom Auftragnehmer für die Leistungserbringung eingesetzten  Infrastruktur und angebotenen Services speichert sowie Protokolldaten und nicht persönlich  identifizierbaren Informationen, die automatisiert erhoben werden.

18. Änderungen des Bearbeitungsgegenstandes und Verfahrensänderungen können gemeinsam wischen Auftraggeber und Auftragnehmer abgestimmt und schriftlich oder in einem dokumentierten  elektronischen Format festgelegt werden.

VI Pflichten des Auftraggebers

19. Der Auftraggeber trifft in seinem Verantwortungsbereich, insbesondere auf seinen eigenen Systemen  und Applikationen, selbstständig angemessene technische und organisatorische Massnahmen (TOM)  zum Schutz personenbezogener Daten.

20. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Verletzungen von  anwendbaren Datenschutzrecht, der Datensicherheit, Fehler oder Unregelmässigkeiten bei der Prüfung  der Auftragsergebnisse feststellt oder ihm solche bekannt werden.

21. Für die Rechtmässigkeit und die Beurteilung der Zulässigkeit der Bearbeitung personenbezogener  Daten, einschliesslich der Zulässigkeit der Auftrags- bzw. Unter-Auftragsbearbeitung, sowie für die  Wahrung der Rechte der betroffenen Personen ist allein der Auftraggeber bzw. seine Kunden als  Verantwortliche im Sinne des anwendbaren Datenschutzrechts verantwortlich. Der Auftraggeber  gewährleistet, dass sämtliche Daten auf rechtmässige Weise bearbeitet wurden (Informationspflichten,  Rechtsgrundlage, Einhaltung von anwendbarem Datenschutzrecht, etc.) und durch ihn weiterhin  bearbeitet werden dürfen.

22. Der Auftraggeber bezeichnet dem Auftragnehmer seinen Ansprechpartner für im Rahmen dieses AVV  anfallende Datenschutzfragen sowie für die gesetzlich vorgeschriebenen Fälle. Der Auftraggeber  hält  eine Kontaktdaten samt E-Mail-Adresse gegenüber dem Auftragnehmer stets aktuell (wo vorhanden  im zur Verfügung gestelltem Cockpit oder aktiv via Mitteilung).

VII Pflichten des Auftragnehmers

23. Der Auftragnehmer bearbeitet Daten ausschliesslich im Rahmen der getroffenen Vereinbarungen und  nach dokumentierten Weisungen des Auftraggebers, sofern er nicht zu einer anderen Bearbeitung durch  das jeweils anzuwendende Recht hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder  Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese  rechtlichen Anforderungen möglichst vor der Bearbeitung mit, sofern das betreffende Recht eine solche  Mitteilung nicht verbietet.

24. Der Auftragnehmer ist dazu berechtigt, personenbezogene Daten des Auftraggebers so zu  bearbeiten, wie es die Erfüllung seiner Leistungspflichten beinhaltet. Voraussetzung jeder  Datenbearbeitung und Leistungserbringung ist, dass diese für den Auftragnehmer im Rahmen der  vertraglich vereinbarten Dienstleistungen umsetzbar und objektiv zumutbar sind und nicht zu  Mehrkosten oder geändertem Leistungsumfang führen. Vorbehalten bleibt in jedem Fall die Erfüllung  gesetzlicher oder regulatorischer Pflichten, denen der Auftragnehmer unterliegt.

25. Der Auftragnehmer wird den Auftraggeber darauf aufmerksam machen, wenn er der Ansicht ist, dass  eine vom Auftraggeber erteilte Weisung gegen gesetzliche Vorschriften verstösst. Der Auftragnehmer ist  berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den  Verantwortlichen oder den Auftraggeber nach Überprüfung zur Zufriedenheit des Auftragnehmers  bestätigt oder in eine zulässige Weisung geändert wird. Sofern der Auftragnehmer geltend macht, dass  eine Bearbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers führen könnte,  steht dem Auftragnehmer ohne Weiteres das Recht frei, die weitere Bearbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

26. Der Auftragnehmer verwendet die zur Bearbeitung überlassenen Daten für keine anderen,  insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der Daten werden nicht ohne Wissen des Auftraggebers erstellt. Hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenbearbeitung oder Leistungserbringung erforderlich sind, sowie Daten, die  im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

27. Der Auftragnehmer darf im Auftrag bearbeitete Daten nicht eigenmächtig, sondern nur nach  dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Bearbeitung einschränken.

28. Der Auftragnehmer verpflichtet sich, bei der auftragsgemässen Datenbearbeitung die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung der vertraglichen Beziehung fort. Er wird ggf. auch relevante Geheimnisschutzregeln beachten, die dem Auftraggeber obliegen.

29. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten und überwachen, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

30. Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers  durchgeführten Tätigkeiten der Bearbeitung, welches alle erforderlichen Angaben eines Bearbeitungsverzeichnisses enthält. Der Auftragnehmer wird dem Auftraggeber auf Anfrage Einblick in die Teile dieses Bearbeitungsverzeichnisses gewähren, die von der Leistungserbringung des  Auftragnehmers ihm gegenüber betroffen sind.

31. Die für den Auftraggeber bearbeiteten Daten werden von sonstigen Datenbeständen strikt getrennt.  Eine physische Trennung ist nicht erforderlich.

32. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.

33. Der Auftragnehmer hat die bei Durchführung der Auftragsdatenbearbeitung beschäftigten Mitarbeitenden und andere für den Auftragnehmer tätigen Personen vor Aufnahme der Tätigkeit mit den  für sie massgebenden Bestimmungen des Datenschutzes vertraut gemacht und für die Zeit ihrer  Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur  Verschwiegenheit verpflichtet. Diesen ist untersagt, die Daten ausserhalb der Weisung des Auftraggebers  zu bearbeiten, es sei denn, dass sie gesetzlich zur Bearbeitung verpflichtet sind. Die  Datenbearbeitung ausserhalb der Betriebsstätte des Auftragnehmers, beispielsweise im Homeoffice von  Mitarbeitenden, vorausgesetzt die Datenverbindungen sind nach dem Stand der Technik verschlüsselt  und es werden keine Daten des Auftraggebers auf lokalen Rechnern ausserhalb der Betriebsstätte des  Auftragnehmers abgelegt, ist hiermit durch den Auftraggeber gestattet.

34. Bei der Erfüllung von Betroffenenrechten (insbesondere Auskunft, Berichtigung, Löschung) gemäss  anwendbarem Datenschutzrecht durch den Auftraggeber, der Sicherheit der Bearbeitung, der Meldung  von Datenschutzverletzungen sowie bei erforderlichen Datenschutz-Folgeabschätzungen des  Auftraggebers wird der Auftragnehmer im notwendigen Umfang mitwirken und den Auftraggeber, soweit  möglich und im Rahmen der betrieblichen Ressourcen und Möglichkeiten des Auftragnehmers,  angemessen unterstützen.

35. Beim Auftragnehmer ist ein Beauftragter für den Datenschutz bestellt (Datenschutzbeauftragter (DSGVO) bzw. Datenschutzberater [CH]). Die jeweils aktuellen Kontaktdaten sind auf der Website des  Auftragsnehmers leicht zugänglich veröffentlicht.

VIII Mitteilungspflichten bei Verletzungen des Datenschutzes und der Datensicherheit

36. Wenn dem Auftragnehmer eine Datenschutzverletzung betreffend personenbezogener Daten oder der  Datensicherheit bekannt wird, meldet er diese dem Auftraggeber unverzüglich (E-Mail ausreichend).

37. Die Mitteilung an den Auftraggeber enthält zumindest folgende Informationen:

    • eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der  ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der  betroffenen personenbezogenen Datensätze;
    • eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Massnahmen zur  Behebung der Verletzung und gegebenenfalls Massnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

38. Die Vertragsparteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der personenbezogenen Daten sicherzustellen und mögliche nachteilige Folgen für die betroffenen Personen zu mildern. Für den Fall, dass eine Informationspflicht gegenüber Dritten (wie z.B. den betroffenen  personen) oder eine sonstige, für den Auftraggeber oder einen Verantwortlichen geltende gesetzliche Meldepflicht (z.B. bei einer Aufsichtsbehörde) besteht, ist der Auftraggeber bzw. der Verantwortliche für  deren Einhaltung verantwortlich. Der Auftraggeber wird auf schriftliche Anfrage Informationen zur  Verfügung zu stellen, damit der Auftraggeber seinen Pflichten gemäss anwendbarem Datenschutzrecht  betreffend die Meldung, Untersuchung und Dokumentation von Datensicherheitsverletzungen erfüllen  kann.

IX Unterauftragsbearbeiter

39. Der Auftraggeber stimmt hiermit zu, dass der Auftragnehmer Unterauftragsbearbeiter hinzuzieht, sofern der Hauptvertrag keine Einschränkung zum Beizug Dritter enthält. Der Auftragnehmer wird mit  diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und  Informationssicherheitsmassnahmen zu gewährleisten.

40. Der Auftragnehmer stellt dem Auftraggeber die aktuelle Liste der Unterauftragsbearbeiter auf Anfrage  zur Verfügung. Diese Liste muss die Identität dieser Unterauftragsbearbeiter und das Land, in  dem sie ansässig sind, enthalten. In der Anlage dieses AVV findet sich eine Stichtagsliste mit allen  Unterauftragsbearbeitern, die der Auftragnehmer zum Zeitpunkt des Abschlusses dieses AVV beauftragt hat.

41. Beabsichtigt der Auftragnehmer den Einsatz weiterer Unterauftragsbearbeiter, wird er dies dem  Auftraggeber möglichst 30 Kalendertage vor deren Einsatz in schriftlicher oder elektronischer Form  anzeigen. Der Auftraggeber hat nach dieser Mitteilung 10 Kalendertage Zeit, der Hinzuziehung des  Unterauftragsbearbeiters zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die  Hinzuziehung des Unterauftragsbearbeiters als genehmigt. In dringenden Fällen kann der Auftragnehmer  die Anzeige- und Widerspruchsfrist für Unterauftragsbearbeiter angemessen verkürzen. Widersprüche  sind zulässig, wenn der Auftraggeber stichhaltig begründete Anhaltspunkte dafür hat, dass durch den  Einsatz des Unterauftragsbearbeiters die Datensicherheit oder der Datenschutz  eingeschränkt würde, die Einhaltung gesetzlicher oder vertraglicher Bestimmungen gefährdet wäre oder sonstige berechtigte Interessen des Auftraggebers entgegenstehen. Erhebt der Auftraggeber Widerspruch, ist der  Auftragnehmer berechtigt, den Hauptvertrag und diesen AVV mit einer Frist von drei Monaten auf ein  Monatsende zu kündigen.

42. Keiner Genehmigung bedarf die Einschaltung von Unterauftragsbearbeitern, bei denen der  Unterauftragsbearbeiter lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Daten des Auftraggebers nicht ausgeschlossen werden kann; dazu zählen insbesondere Telekommunikationsleistungen, Post- oder Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie  sonstige Massnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität,  Nachvollziehbarkeit und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Der  Auftragnehmer wird mit solchen Unterauftragsbearbeiter branchenübliche  Geheimhaltungsvereinbarungen treffen.

X Technische und organisatorische Massnahmen (TOM)

43. Der Auftragsbearbeiter ergreift alle erforderlichen Massnahmen zur Gewährleistung der Sicherheit  der Bearbeitung nach dem anwendbaren Datenschutzrecht. Die Massnahmen gewährleisten ein dem  Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit, der  Nachvollziehbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Art und  der Umfang der Datenbearbeitung sowie das Risiko, das die Bearbeitung für die Persönlichkeit oder
die Grundrechte der betroffenen Personen mit sich bringt, sowie die Eintrittswahrscheinlichkeit berücksichtigt.

44. Der Auftragnehmer stellt dem Auftraggeber die aktuelle Liste der getroffenen TOM auf Anfrage zur  Verfügung. In der Anlage dieses AVV findet sich eine Stichtagsliste der getroffenen TOM, die der  Auftragnehmer zum Zeitpunkt des Abschlusses dieses AVV getroffen hat. Der Auftragnehmer darf die  vereinbarten TOM jederzeit anpassen, solange das vereinbarte Schutzniveau nicht unterschritten wird.  Wesentliche Änderungen der TOM werden dokumentiert und dem Auftraggeber mitgeteilt.

45. Der Aufragnehmer gewährleistet, seinen Pflichten nach dem anwendbaren Datenschutzrecht  nachzukommen und ein Verfahren zur regelmässigen Überprüfung der Wirksamkeit der TOM zur  Gewährleistung der Sicherheit der Bearbeitung einzusetzen.

46. Soweit die getroffenen TOM den Anforderungen des Verantwortlichen nicht oder nicht mehr genügen, benachrichtigt Letzterer den Auftragnehmer.

XI Anfragen betroffener Personen

47. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten TOM bei der  Erfüllung von dessen Pflichten in Bezug auf Anfragen und Ansprüche der betroffenen Personen.

48. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Sperrung, Löschung oder  Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber  verweisen, sofern und soweit der Auftragnehmer eine Zuordnung an den Auftraggeber gestützt auf die  Angaben der betroffenen Person vornehmen kann, und wartet dessen Weisungen ab.

49. Auskünfte an Dritte über Daten aus dem Auftragsverhältnis darf der Auftragnehmer nur nach  vorheriger Weisung oder mit Zustimmung durch den Auftraggeber erteilen.

50. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber bzw.  seinen Kunden als Verantwortliche nicht, nicht richtig, nicht vollständig oder nicht fristgerecht  beantwortet wird.

XII Kontrollen und Überprüfungen

51. Der Auftragnehmer überprüft in regelmässigen Abständen, die internen Prozesse und erklärt sich  damit einverstanden, dass ein vom Auftraggeber beauftragter und zur Vertraulichkeit verpflichteter  externer Prüfer vor Beginn der Bearbeitung und während der Vertragsdauer berechtigt ist, die Einhaltung  der Vorschriften über Datenschutz und Datensicherheit im angemessenen Umfang zu überprüfen. Das  Prüfungsrecht des Auftraggebers steht unter dem Vorbehalt des Verhältnismässigkeitsgebots und der  Wahrung schutzwürdiger Interessen des Auftragnehmers, seiner Mitarbeitenden und Kunden. Der  Auftragnehmer ist insbesondere berechtigt, nach eigenem Ermessen unter Berücksichtigung der  gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im  Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren  Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstossen würde. Der  Auftragnehmer darf die Überprüfung von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich Daten anderer Kunden und der eingerichteten TOM abhängig machen. Der Auftragnehmer  wird, soweit erforderlich, bei diesen Überprüfungen unterstützend mitwirken. Der Aufwand einer  Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt. Die Kosten  für die Durchführung der Kontrolle trägt der Auftraggeber. Das Ergebnis der Prüfung wird dem  Auftragnehmer in geeigneter Form (Gutachten, Testat, Berichte, Berichtsauszüge, etc.) zur Verfügung gestellt.

52. Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der TOM anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder  Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheitsoder Datenschutzaudit (z.B. nach BSI-Grundschutz, ISO-27001), einer Bestätigung der  Einhaltung genehmigter Verhaltensregeln oder der Zertifizierung nach einem genehmigten  Zertifizierungsverfahren gemäss anwendbarem Datenschutzrecht erbracht werden, wenn diese  Prüfungsberichte es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der TOM zu überzeugen.

53. Sollten Korrekturmassnahmen erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt.

XIII Verpflichtung des Auftragnehmers nach Beendigung des Auftrags

54. Nach Abschluss der vertraglichen Arbeiten oder jederzeit auf Anforderung des Auftraggebers hat der  Auftragnehmer sämtliche in seinen Besitz gelangte Daten und Datenbestände des Auftraggebers, die im  Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber nach seiner Weisung  auszuhändigen oder datenschutzgerecht zu löschen bzw. zu vernichten oder vernichten zu lassen  (sofern dem keine gesetzliche Aufbewahrungspflicht entgegensteht). Gleiches gilt für Datensicherungen,  Test- und Ausschussmaterialien.

55. Der Auftragnehmer kann den Nachweis der ordnungsgemässen Löschung noch vorhandener Daten  auf Anfrage des Auftraggebers führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter zu  vernichten. Zu entsorgende Datenträger sind entsprechend ihrer Sicherheitsklassifizierung zu vernichten.  Die Löschung bzw. Vernichtung können dem Auftraggeber mit Datumsangabe schriftlich oder in einem  dokumentierten elektronischen Format auf Anfrage bestätigt werden.

XIV Haftung und Schadenersatz

56. Soweit gesetzlich zulässig haftet der Auftragnehmer dem Auftraggeber maximal im Umfang von
10% der effektiv bezahlten Vergütung der den Schaden verursachenden Leistung der letzten 12 Monate,  jedoch – soweit gesetzlich zulässig – höchstens bis zum Betrag von insgesamt CHF 50’000.00 für  direkte Schäden aus Verletzungen seiner Datenschutzverpflichtungen. Im Übrigen wird jede  weitergehende Haftung – soweit gesetzlich zulässig – wegbedungen.

57. Etwaige Haftungsbeschränkungen zwischen dem Auftraggeber und seinen Kunden als Verantwortliche gelten auch zugunsten des Auftragnehmers, so dass der Auftragnehmer nicht verpflichtet ist, den Auftraggeber für Beträge zu entschädigen, die der Auftraggeber aufgrund solcher  Haftungsbeschränkungen nicht zu zahlen hat.

58. Eine zwischen den Parteien im Hauptvertrag allenfalls vereinbarte Haftungsregelung gilt auch für die  Auftragsbearbeitung, sofern und soweit dies zu einer tieferen Haftung des Auftragnehmers führt.

XV Vergütung

59. Leistungen des Auftragnehmers und Weisungen des Auftraggebers, die im jeweiligen Hauptvertrag  nicht vorgesehen sind, werden als Antrag auf eine Leistungsänderung behandelt und sind durch den  Auftraggeber zu vergüten. Ebenso sind Unterstützungsleistungen durch den Auftragnehmer (z.B. bei  Unterstützung bei der Durchführung einer Kontrolle) sowie Leistungen im Zusammenhang mit  Herausgabe, Löschung oder Vernichtung nach den tatsächlich angefallenen Aufwendungen durch den  Auftraggeber zu vergüten. Es gelten die üblichen Stundensätze des Auftragnehmers

XVI Diverse Bestimmungen

60. Der Auftragnehmer behält sich jederzeit Änderungen dieses AVV vor. Änderungen werden dem  Auftraggeber in geeigneter Weise bekanntgegeben (E-Mail an zuletzt hinterlegte Adresse des  Auftragnehmers ausreichend). Wenn der Auftraggeber nicht innerhalb von 30 Kalendertagen ab Datum  der Mitteilung schriftlich widerspricht, gelten die Änderungen als akzeptiert. Ansprüche gegen den  Auftragnehmer in einem Änderungsfall bestehen nicht.

61. Änderungen, Ergänzungen dieser Vereinbarung sowie Nebenabreden bedürfen grundsätzlich der  Schriftform oder es ist ein dokumentiertes elektronisches Format erforderlich. Es bedarf des  ausdrücklichen Hinweises darauf, dass es sich um eine Änderung, eine Ergänzung bzw. eine  Nebenabrede dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
Ausgenommen von diesem Formerfordernis bleiben einseitige Änderungen und Ergänzungen dieses AVV  und seiner Anlagen durch den Auftragnehmer.

62. Sollte das Eigentum oder die zu bearbeitenden Daten des Auftraggebers beim Auftragnehmer durch  Massnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder  Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den  Auftraggeber unverzüglich zu verständigen, sofern ihm dies nicht durch gerichtliche oder behördliche  Anordnung untersagt ist. Der Auftragnehmer wird alle in ziesem Zusammenhang zuständigen Stellen  unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschliesslich beim  Auftraggeber bzw. seinen Kunden als Verantwortliche liegen.

63. Die Einrede des Zurückbehaltungsrechts wird hinsichtlich der für den Auftraggeber bearbeiteten
Daten und der zugehörigen Datenträger ausgeschlossen.

XVII Schlussbestimmungen

64. Sollten sich einzelne Bestimmungen dieses AVV als unwirksam oder nichtig erweisen, so hat dies  nicht die Unwirksamkeit oder Nichtigkeit der übrigen Bestimmungen zur Folge, sondern diese werden  durch solche ersetzt, die dem wirtschaftlichen Zweck der Vereinbarung am nächsten kommen. Das  Gleiche gilt bei einer Vertragslücke.

65. Ausschliesslicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz des Auftragnehmers. Der Auftragnehmer ist jedoch berechtigt, eine Streitigkeit auch  bei dem für den Sitz des Auftraggebers zuständigen Gericht anhängig zu machen.

66. Dieser Vertrag untersteht schweizerischem Recht unter Ausschluss des internationalen Privatrechts.

XVIII Anlagen

67. Folgende Anlagen sind integrale Bestandteile dieses AVV:

68. Die jeweils aktuellen Listen sind beim Auftragnehmer auf Anfrage erhältlich.