Auftragsverarbeitungsvertrag (AVV)

zwischen

[Auftraggeber/in] [Firma/Organisation] [Adresse Auftraggeber/in] (nachfolgend «Verantwortliche»)

und

le dot E-Solution Stanic, Mirko Stanic Birmensdorferstrasse 240, 8003 Zürich UID: CHE-130.745.803 E-Mail: mail@le-dot.com (nachfolgend «Auftragsbearbeiterin»)

(gemeinsam «die Parteien»)

---

Art. 1 — Gegenstand und Dauer

1.1 Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Bearbeitung von Personendaten durch die Auftragsbearbeiterin im Auftrag der Verantwortlichen.

1.2 Dieser AVV ist Bestandteil des Hauptvertrags vom [Datum] (nachfolgend «Hauptvertrag») und gilt für dessen gesamte Laufzeit.

1.3 Rechtsgrundlage ist Art. 9 des Bundesgesetzes über den Datenschutz (DSG) sowie die Verordnung über den Datenschutz (VDSG).

Art. 2 — Art und Zweck der Bearbeitung

2.1 Die Auftragsbearbeiterin bearbeitet Personendaten ausschliesslich im Rahmen und zum Zweck der im Hauptvertrag vereinbarten Leistungen, insbesondere:

• [Beschreibung, z.B. Hosting und Betrieb von Webanwendungen]
• [z.B. IT-Support und Fehlerbehebung]
• [z.B. Softwareentwicklung und Testing]

2.2 Die Art der Bearbeitung umfasst: Erheben, Speichern, Verändern, Abfragen, Übermitteln, Löschen.

Art. 3 — Kategorien betroffener Personen

3.1 Die Bearbeitung betrifft Personendaten folgender Kategorien betroffener Personen:

• [z.B. Mitarbeitende der Verantwortlichen]
• [z.B. Kundschaft der Verantwortlichen]
• [z.B. Besuchende der Website der Verantwortlichen]

Art. 4 — Kategorien von Personendaten

4.1 Folgende Kategorien von Personendaten werden bearbeitet:

• [z.B. Kontaktdaten (Name, E-Mail, Telefon)]
• [z.B. Nutzungsdaten (IP-Adresse, Zugriffszeiten)]
• [z.B. Vertragsdaten (Bestellungen, Rechnungen)]

4.2 Besonders schützenswerte Personendaten im Sinne von DSG Art. 5 lit. c werden nur bearbeitet, wenn dies im Hauptvertrag ausdrücklich vorgesehen ist.

Art. 5 — Pflichten der Verantwortlichen

5.1 Die Verantwortliche ist für die Rechtmässigkeit der Datenbearbeitung verantwortlich (DSG Art. 6).

5.2 Die Verantwortliche erteilt der Auftragsbearbeiterin Weisungen bezüglich Art, Umfang und Verfahren der Datenbearbeitung.

5.3 Die Verantwortliche informiert die Auftragsbearbeiterin unverzüglich, wenn Fehler oder Unregelmässigkeiten im Zusammenhang mit der Bearbeitung von Personendaten festgestellt werden.

Art. 6 — Pflichten der Auftragsbearbeiterin

6.1 Die Auftragsbearbeiterin bearbeitet Personendaten ausschliesslich gemäss den Weisungen der Verantwortlichen (DSG Art. 9 Abs. 1).

6.2 Die Auftragsbearbeiterin stellt sicher, dass die zur Bearbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

6.3 Die Auftragsbearbeiterin unterstützt die Verantwortliche im Rahmen des Zumutbaren bei:

• a) der Beantwortung von Auskunftsbegehren betroffener Personen (DSG Art. 25–27);
• b) der Gewährleistung der Datensicherheit (DSG Art. 8);
• c) der Meldung von Datenschutzverletzungen (DSG Art. 24);
• d) der Durchführung von Datenschutz-Folgenabschätzungen.

6.4 Die Auftragsbearbeiterin informiert die Verantwortliche, wenn eine Weisung nach Auffassung der Auftragsbearbeiterin gegen Datenschutzvorschriften verstösst.

Art. 7 — Technische und organisatorische Massnahmen (TOMs)

7.1 Die Auftragsbearbeiterin trifft angemessene technische und organisatorische Massnahmen zum Schutz der Personendaten gemäss DSG Art. 8 und VDSG Art. 1–4, insbesondere:

Vertraulichkeit:

• a) Zugriffskontrolle: Zugang zu Personendaten ist auf autorisierte Personen beschränkt;
• b) Authentifizierung: Multi-Faktor-Authentifizierung für Systemzugriffe;
• c) Verschlüsselung: Transport- und Speicherverschlüsselung nach aktuellem Stand der Technik.

Integrität:

• d) Eingabekontrolle: Protokollierung, wer Personendaten eingegeben, verändert oder gelöscht hat;
• e) Weitergabekontrolle: Sichere Übertragungswege für Personendaten.

Verfügbarkeit:

• f) Backup: Regelmässige Datensicherung mit dokumentiertem Wiederherstellungsverfahren;
• g) Wiederherstellung: Fähigkeit zur raschen Wiederherstellung bei technischen Zwischenfällen.

Nachvollziehbarkeit:

• h) Protokollierung: Protokollierung von Zugriffen und Bearbeitungsvorgängen gemäss VDSG Art. 4.

7.2 Die Massnahmen werden regelmässig überprüft und dem Stand der Technik angepasst. Die aktuelle Beschreibung der TOMs ist als Anhang C beigefügt.

Art. 8 — Unterauftragsbearbeiter

8.1 Die Auftragsbearbeiterin darf Unterauftragsbearbeiter nur mit vorgängiger schriftlicher Genehmigung der Verantwortlichen beiziehen (DSG Art. 9 Abs. 3).

8.2 Die zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsbearbeiter sind im Anhang D aufgeführt.

8.3 Die Auftragsbearbeiterin informiert die Verantwortliche rechtzeitig über beabsichtigte Änderungen. Die Verantwortliche kann innert 30 Tagen Einspruch erheben.

8.4 Die Auftragsbearbeiterin stellt vertraglich sicher, dass Unterauftragsbearbeiter gleichwertige Datenschutzpflichten einhalten.

Art. 9 — Meldepflicht bei Datenschutzverletzungen

9.1 Die Auftragsbearbeiterin meldet der Verantwortlichen Verletzungen der Datensicherheit unverzüglich, spätestens innert 48 Stunden nach Kenntnisnahme (DSG Art. 24 Abs. 1).

9.2 Die Meldung enthält mindestens:

• a) Beschreibung der Art der Verletzung;
• b) Kategorien und ungefähre Anzahl betroffener Personen;
• c) wahrscheinliche Folgen;
• d) ergriffene oder vorgeschlagene Massnahmen.

9.3 Die Auftragsbearbeiterin unterstützt die Verantwortliche bei der Erfüllung der Meldepflicht gegenüber dem EDÖB und den betroffenen Personen.

Art. 10 — Löschung und Rückgabe

10.1 Nach Beendigung des Hauptvertrags löscht die Auftragsbearbeiterin sämtliche Personendaten oder gibt sie der Verantwortlichen zurück — nach Wahl der Verantwortlichen.

10.2 Die Löschung ist der Verantwortlichen schriftlich zu bestätigen.

10.3 Gesetzliche Aufbewahrungspflichten bleiben vorbehalten. In diesem Fall werden die betreffenden Daten gesperrt und nach Ablauf der Aufbewahrungsfrist gelöscht.

Art. 11 — Kontrollrechte

11.1 Die Verantwortliche ist berechtigt, die Einhaltung der Bestimmungen dieses AVV zu überprüfen, insbesondere durch:

• a) Einsicht in relevante Dokumentationen und Protokolle;
• b) Audits vor Ort mit angemessener Vorankündigung (mindestens 10 Arbeitstage);
• c) Anforderung von Nachweisen oder Zertifizierungen.

11.2 Die Auftragsbearbeiterin unterstützt die Verantwortliche bei der Durchführung von Kontrollen im Rahmen des Zumutbaren.

Art. 12 — Haftung

12.1 Die Haftung der Parteien richtet sich nach den Bestimmungen des Hauptvertrags.

12.2 Jede Partei haftet für Schäden, die sie durch eine Verletzung der datenschutzrechtlichen Bestimmungen verursacht.

Art. 13 — Schlussbestimmungen

13.1 Schriftform: Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform und der Unterschrift beider Parteien.

13.2 Vorrang: Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV in Bezug auf den Datenschutz vor.

13.3 Salvatorische Klausel: Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen dadurch nicht berührt.

13.4 Anwendbares Recht: Dieser AVV untersteht ausschliesslich schweizerischem Recht.

13.5 Gerichtsstand: Ausschliesslicher Gerichtsstand ist Zürich.

---

Unterschriften

	Verantwortliche	Auftragsbearbeiterin
Firma	[Firma/Organisation]	le dot E-Solution Stanic, Mirko Stanic
Name	[Auftraggeber/in]	Mirko Stanic
Ort, Datum	__	Zürich, [Datum]
Unterschrift	__	__

---

Anhänge

• Anhang C: Technische und organisatorische Massnahmen (TOMs)
• Anhang D: Liste der genehmigten Unterauftragsbearbeiter

---

Quellenverzeichnis

• DSG Art. 5 — Begriffe (besonders schützenswerte Personendaten)
• DSG Art. 6 — Grundsätze der Datenbearbeitung
• DSG Art. 8 — Datensicherheit
• DSG Art. 9 — Bearbeitung durch Auftragsbearbeiter
• DSG Art. 24 — Meldung von Verletzungen der Datensicherheit an den EDÖB
• DSG Art. 25–27 — Auskunftsrecht und Rechte der betroffenen Personen
• VDSG Art. 1–4 — Anforderungen an die Datensicherheit (technische und organisatorische Massnahmen)
• VDSG Art. 8 — Auftragsbearbeitung