1. Präambel und Geltungsbereich

Fairgate AG («Fairgate» oder «Auftragnehmer») und der Kunde («Auftraggeber») haben eine oder mehrere Vereinbarungen („Vertrag“ oder „Verträge“, Auflistung gemäss Fairgate-Modul-Buchungsseite) geschlossen, in denen der Auftragnehmer als Leistungserbringer gegenüber dem Auftraggeber oder dessen Kunden auftritt und die Nutzung von Software (Basis- oder Zusatzmodule) für die Administration von Verbänden und Vereinen via eigene Server oder eigenen Serverplatz ermöglicht. Auftragnehmer und Auftraggeber werden je einzeln «Partei», gemeinsam «Parteien» genannt.

Die Erbringung der Dienstleistungen gemäss Vertrag durch den Auftragnehmer kann als Verarbeitung von personenbezogenen Daten im Sinne des anwendbaren Datenschutzrechts qualifiziert werden. Soweit der Auftragnehmer im Rahmen der Zusammenarbeit als Auftragsverarbeiter oder Unterauftragsverarbeiter personenbezogene Daten des Auftraggebers oder dessen Kunden („Personendaten“) verarbeitet (jeder Umgang mit Personendaten), ergänzt die vorliegende Auftragsverarbeitungsvereinbarung („AVV“ oder „Vereinbarung“) den Vertrag und konkretisiert die Verpflichtungen der Parteien zum Datenschutz. Als anwendbares Datenschutzrecht gilt das Schweizer Datenschutzgesetz sowie die europäische Datenschutzgrundverordnung (DSGVO), sofern und soweit diese anwendbar ist („anwendbares Datenschutzrecht“).

2. Gegenstand, Dauer, Art und Zweck der Vereinbarung

Der Gegenstand des Auftrages sowie Art und Zweck der Verarbeitung ergeben sich aus dem Vertrag, auf den im Anhang 1 referenziert wird.

Der Auftragnehmer stellt diesen AVV in der Modul-Buchungsseite zum Abschluss in Bezug auf die dort aufgeführten Dienstleistungen bereit. Wenn der Kunde den AVV durch Aktivierung des dafür vorgesehenen Bestätigungsfelds zustimmt, wird der AVV für die Vertragsparteien zum verbindlichen Bestandteil der vertraglichen Vereinbarungen.

Die vorliegende AVV tritt mit gegenseitiger Unterzeichnung in Kraft. Die Laufzeit richtet sich nach der Laufzeit des Vertrages (bzw. bei mehreren Verträgen des letzten aktiven Vertrages) zwischen dem Auftraggeber und dem Auftragnehmer, unter welchen der Auftragnehmer für den Auftraggeber Personendaten verarbeitet, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüberhinausgehende Verpflichtungen ergeben. Zudem endet die AVV automatisch, sobald der Auftragnehmer keine Personendaten mehr für den Auftraggeber gemäss dem Vertrag besitzt und verarbeitet oder mit Beendigung des (letzten aktiven) Vertrages.

Die Möglichkeit zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Als wichtiger Grund gelten insbesondere ein wiederholter oder schwerwiegender Verstoss einer Partei gegen die Regelungen des Vertrages, dieser AVV oder gegen anwendbares Datenschutzrecht. Auch das Sonderkündigungsrecht gemäss Ziffer 10 berechtigt zur fristlosen Kündigung. Eine fristlose Kündigung dieser Vereinbarung berechtigt auch zur fristlosen Kündigung des Vertrages.

Soweit sich die Art der verarbeiteten Personendaten, die Art und der Zweck der Datenverarbeitung sowie die Kategorien der durch die Verarbeitung betroffenen Personen nicht bereits aus dem jeweiligen Vertrag ergeben, werden sie in einem oder mehreren Anhängen zu dieser Vereinbarung aufgeführt.

3. Anwendungsbereich und Weisungsrecht

Der Auftragnehmer verarbeitet Personendaten ausschliesslich zweckgebunden gemäss dem jeweiligen Vertrag, dieser AVV oder den dokumentierten Weisungen des Auftraggebers.

Weisungen sind in der Regel in Textform (d.h. schriftlich, per Fax, per E-Mail oder in einem dokumentierten elektronischen Format) zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. Der Auftraggeber dokumentiert sämtliche Weisungen in Textform.

Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstosse gegen anwendbares Datenschutzrecht. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

Meldungen an die Behörden oder an betroffene Personen bezüglich Datenschutzverletzungen und -verstösse, darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers selbst durchführen.

Vorbehalten bleiben abweichende Pflichten des anwendbaren Rechts (z.B. verbindliche Anordnungen zuständiger Behörden), worüber der Auftraggeber zeitnah zu informieren ist, soweit dies rechtlich zulässig ist.

4. Datensicherheit

Der Auftragnehmer ergreift geeignete technische und organisatorische Massnahmen (TOM), um in seinem Verantwortungsbereich die innerbetriebliche Organisation zu gestalten, zu überprüfen und laufend anzupassen, damit er stets ein angemessenes Datenschutzniveau gemäss anwendbaren Datenschutzrecht, einschliesslich – falls anwendbar – Art. 32 DSGVO, gewährleisten kann, um die Personendaten vor unbeabsichtigter oder unrechtmässigen Zerstörung, Verlust, Veränderung, Weitergabe etc. zu schützen. Der Auftragnehmer berücksichtigt dabei den Stand der Technik, die Implementierungskosten sowie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten von betroffenen Personen.

Die Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Es können alternative oder zusätzliche Massnahmen umgesetzt werden, wenn das Schutzniveau der festgelegten Massnahmen nicht unterschritten wird.

5. Vertraulichkeit

Der Auftragnehmer verpflichtet sich, unter dem Vertrag oder dieser AVV erhaltene Personendaten vertraulich zu behandeln und nur Personen zugänglich zu machen, die für die Erfüllung ihrer Pflichten gegenüber dem Auftragnehmer auf Zugang zu den Personendaten angewiesen sind. Der Auftragnehmer stellt sicher, dass sich die zur Verarbeitung der Personendaten befugten Personen zur Vertraulichkeit/Geheimhaltung verpflichtet haben, soweit sie nicht einer gesetzlichen Verschwiegenheitspflicht unterliegen. Den mit der Verarbeitung der relevanten Personendaten befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen ist es untersagt, die relevanten Personendaten ausserhalb des Vertrags und dieser AVV zu verarbeiten. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung dieser AVV für eine Dauer von fünf Jahren fort.

6. Rechte von betroffenen Personen

Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, Auskunft oder anderen Ansprüchen zu Personendaten direkt an den Auftragnehmer, wird der Auftragnehmer die betroffene Person ohne Verzug, an den Auftraggeber verweisen, sofern eine Zuordnung zum Auftraggeber nach Angaben der betroffenen Person möglich ist.

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Massnahmen dabei, seiner Pflicht nachzukommen, Anträge von betroffenen Personen auf zustehende Rechte gemäss anwendbarem Datenschutzrecht zu beantworten.

Die Unterstützungspflichten des Auftragnehmers gegenüber dem Auftraggeber gemäss dieser Ziffer 7 erfolgen kostenlos. Über weitergehende Unterstützungsleistungen können die Parteien eine Vergütungsregelung treffen.

7. Datenschutzverletzung

Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn:

(i) vom Auftragnehmer oder einem Unterauftragsverarbeiter eine Datenschutzverletzung festgestellt oder vermutet wird. Dabei sind diejenigen Informationen gemäss anwendbarem Datenschutzrecht (u.a. Art, Umfang, Ausmass der Verletzung) zu liefern, damit der Auftraggeber einer eventuellen Meldepflicht an die zuständige Datenschutzbehörde und/oder die betroffenen Personen gemäss anwendbarem Datenschutzrecht nachkommen kann;

(ii) die Personendaten an eine zuständige Behörde weitergegeben werden sollen;

(iii) eine Anfrage, Vorladung oder Antrag auf Einsichtnahme oder Prüfung der Verarbeitung durch eine zuständige Behörde eingeht, ausser die Mitteilung an den Auftraggeber ist gesetzlich untersagt.

Im Falle einer Datenschutzverletzung beim Auftragnehmer oder einem Unterauftragsverarbeiter, trifft der Auftragnehmer auf eigene Kosten die vernünftigerweise zumutbaren Massnahmen, um die Ursache der Datenschutzverletzung zu ermitteln sowie zur Sicherung des Schutzes der Personendaten und zur Minderung möglicher nachteiligen Folgen für die betroffenen Personen.

Die Unterstützungspflichten des Auftragnehmers gegenüber dem Auftraggeber gemäss dieser Ziffer 8 erfolgen kostenlos. Über weitergehende Unterstützungsleistungen können die Parteien eine Vergütungsregelung treffen.

8. Herausgabe und Löschung von Personendaten

Der Auftragnehmer gibt alle Daten, Datenträger sowie sonstige Materialien auf erste Instruktion des Auftraggebers hin unverzüglich an den Auftraggeber zurück. Der Auftragnehmer darf Daten nicht länger aufbewahren, als dies für die Erfüllung seiner Verpflichtungen gemäss dem Vertrag erforderlich ist, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Bei Beendigung des Vertrages sind die unter dem Vertrag oder dieser AVV erhaltenen Personendaten gemäss den vertraglichen Bestimmungen, entweder dem Auftraggeber herauszugeben oder zu löschen; falls eine solche Bestimmung fehlt, sind nach Wahl des Auftraggebers die Personendaten entweder dem Auftraggeber herauszugeben und bestehende Kopien zu löschen oder sie sind zu löschen, sofern nicht von Gesetzes wegen eine Verpflichtung des Auftragnehmers besteht, die Personendaten aufzubewahren oder zu speichern. Bis zur Löschung oder Herausgabe stellt der Auftragnehmer weiterhin die Einhaltung dieser AVV sicher.

9. Beizug von Unterauftragsverarbeitern

Der Auftragnehmer erhält hiermit eine vorherige allgemeine schriftliche Genehmigung, für die Verarbeitung von Personendaten Unterauftragsverarbeiter beizuziehen. Soweit sich die zulässigen Unterauftragsverarbeiter nicht bereits aus dem Vertrag ergeben, sind sie in Anhang 1 aufzuführen. Die Liste der Unterauftragsverarbeiter ist laufend auf dem aktuellen Stand zu halten.

Ein Hinzufügen sowie der Austausch von Unterauftragsverarbeitern durch den Auftragnehmer erfolgen nach dem Ermessen des Auftragnehmers. Der Auftraggeber wird im Voraus mit angemessener Ankündigungsfrist über die geplante Änderung der Liste der Unterauftragsverarbeitern informiert. Sofern der Auftraggeber gemäss anwendbarem Datenschutzrecht einen objektiv zwingenden Grund hat, ist dieser berechtigt, innert zwanzig Tagen seit der Mitteilung des Auftragnehmers Einspruch gegen die Verarbeitung von Personendaten durch einen neuen Unterauftragsverarbeiter einzulegen. Erfolgt kein Einspruch innerhalb dieser Frist, so gilt der neue Unterauftragsverarbeiter als vom Auftraggeber genehmigt. Liegt ein objektiv zwingender datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Auftragsverarbeiter ein Sonderkündigungsrecht (Recht zur fristlosen Kündigung) eingeräumt.

Der Auftragnehmer ist verpflichtet, die erforderlichen Vereinbarungen mit dem Unterauftragsverarbeiter abzuschliessen, um sicherzustellen, dass der Unterauftragsverarbeiter denselben Verpflichtungen unterliegt, wie sie dem Auftragnehmer auf Grund vorliegender AVV und des jeweiligen Vertrages obliegen. Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf seine Anforderung hin Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen durch den Unterauftragsverarbeiter zu erteilen.

Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für etwaige Verstösse durch den Unterauftragsverarbeiter gemäss den Bestimmungen dieser AVV.

10. Dokumentation, Verarbeitungsverzeichnis

Jede Partei ist für die Einhaltung ihrer Dokumentationspflichten verantwortlich, insbesondere für die Führung von Verarbeitungsverzeichnissen, soweit dies nach dem anwendbaren Datenschutzrecht erforderlich ist. Jede Partei unterstützt die andere Partei in angemessener Weise bei der Erfüllung von deren Dokumentationspflichten, einschliesslich der Bereitstellung der Informationen, die die andere Partei von ihr benötigt, in einer von der anderen Partei in angemessener Weise angeforderten Form (z.B. durch die Verwendung eines elektronischen Systems), damit die andere Partei den Verpflichtungen im Zusammenhang mit der Führung von Verarbeitungsverzeichnissen nachkommen kann.

11.Datenschutz-Folgenabschätzung

Wenn der Auftraggeber gemäss anwendbarem Datenschutzrecht verpflichtet ist, eine Datenschutz-Folgenabschätzung oder eine vorherige Konsultation mit einer Aufsichtsbehörde durchzuführen, stellt der Auftragnehmer auf Wunsch des Auftraggebers diejenigen Dokumente kostenlos zur Verfügung, die für die Dienstleistungen des jeweiligen Vertrages allgemein verfügbar sind (z.B. diese AVV, der Vertrag, Auditberichte oder Zertifizierungen). Jede zusätzliche Unterstützung wird zwischen den Parteien einvernehmlich vereinbart.

12.Nachweispflichten und Auditrecht

Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser AVV festgehaltenen Pflichten mit geeigneten Mitteln (z.B. Zertifikate) nach.

Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen oder vertraglichen Pflichten in Bezug auf die Verarbeitung von Personendaten selbst oder durch von ihm beauftragten Prüfer, welche zum Schutz des Auftragnehmers unter strikter Vertraulichkeit und nicht in unmittelbarem Wettbewerbsverhältnis mit dem Auftragnehmer stehen, mittels Inspektionen oder Audits zu prüfen, wenn

(i) der Auftragnehmer keinen ausreichenden Nachweis (u.a. Zertifikat, Auditbericht) über die Einhaltung der technischen und organisatorischen Massnahmen über den Schutz der eingesetzten Systeme und Verarbeitungsprozesse erbringt;

(ii) eine Verletzung des Schutzes von Personendaten vorliegt;

(iii) eine Prüfung offiziell durch eine Aufsichtsbehörde des Auftraggebers verlangt wird; oder

(iv) der Auftraggeber gemäss zwingendem, anwendbarem Datenschutzrecht über ein direktes Auditrecht verfügt.

Der Auftragnehmer ist verpflichtet, bei einem Audit angemessen mitzuwirken. Die Parteien einigen sich im Vorfeld über Zeitpunkt, Dauer und Gegenstand der Prüfungen und über anwendbare Sicherheits- und Vertraulichkeitsbestimmungen, sofern nicht eine Prüfung ohne vorherige Anmeldung erforderlich erscheint, weil andernfalls der Prüfzweck gefährdet wäre. Das Audit ist so durchzuführen, dass keine Betriebsabläufe des Auftragnehmers übermässig gestört werden. Audits und Inspektionen des Auftraggebers sind grundsätzlich auf drei Werktage pro Jahr beschränkt.

Jede Partei trägt die bei ihr anfallenden Kosten und Ausgaben im Zusammenhang mit dem Audit oder der Inspektion selber. Bei einem über drei Werktage hinausgehenden Aufwand kann der Auftragnehmer für die Unterstützung bei der Durchführung einer vom Auftraggeber veranlassten Inspektion bzw. Audit vom Auftraggeber eine Vergütung verlangen.

Werden nach Vorlage von Nachweisen oder Berichten oder im Rahmen eines Audits wesentliche Verletzungen dieser AVV oder Mängel bei der Umsetzung der Pflichten des Auftragnehmers festgestellt, so hat der Auftragnehmer umgehend und kostenlos geeignete Korrekturmassnahmen zu implementieren.

13. Datenverarbeitung in Drittstaaten

Die Verarbeitung der Daten findet ausschliesslich in der Schweiz, in einem Mitgliedsstaat der Europäischen Union (EU), in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) oder in einem Land, welches gemäss Angemessenheitsbeschluss der Europäischen Kommission oder des Eidgenössischen Datenschutzbeauftragten über einen angemessenen Schutzniveau verfügt, statt. Die Verarbeitung von Daten ausserhalb dieses Gebietes ist nur nach schriftlicher Information an den Auftraggeber und in Übereinstimmung mit den anwendbaren gesetzlichen Bestimmungen zulässig. Der Auftragnehmer verpflichtet sich für den Fall einer Datenbekanntgabe in einen Staat ohne angemessenes Datenschutzniveau insbesondere, mit den Datenempfängern einen Zusatzvertrag auf der Basis der aktuellen EU-Standardvertragsklauseln (wo notwendig angepasst auf die Schweiz) abzuschliessen sowie zusätzlich angemessene rechtliche, technische oder organisatorische Massnahmen zu treffen.

14. Haftung

Der Auftragnehmer haftet gegenüber dem Auftraggeber für schuldhafte Verletzungen dieser AVV. Der Auftragnehmer haftet für ein Verschulden seiner Unterauftragsverarbeiter wie für eigene Handlungen. Der Umfang der Haftung der Parteien unter diesem AVV richtet sich nach den Haftungsbestimmungen und -beschränkungen unter dem Vertrag bzw. bei mehreren Verträgen unter dem betroffenen Vertrag. Weitergehende gesetzliche Haftungsansprüche bleiben vorbehalten.

15. Schlussbestimmungen

15.1 Vereinbarungsinhalt

Diese AVV und deren Anhänge regeln die Beziehungen zwischen den Parteien in Bezug auf die Verarbeitung von Personendaten abschliessend und ersetzen die vor Abschluss dieser AVV geführten Verhandlungen und Korrespondenzen.

Im Falle von Widersprüchen zwischen dem Vertrag und dieser AVV, geht die AVV den Bestimmungen des Vertrages vor, wenn und soweit die Verarbeitung von Personendaten durch den Auftragnehmer im Rahmen des betreffenden Vertrages betroffen ist.

Im Falle von Widersprüchen geht ein Anhang dieser Vereinbarung vor; im Falle von mehreren Anhängen gehen die jeweils letzten gültig zustande gekommenen Bestimmungen der Anhänge den widersprüchlichen Bedingungen in einem älteren Anhang vor.

15.2 Änderungen

Sollte eine der Parteien zum Schluss kommen, dass diese AVV den Anforderungen des Datenschutzrechts nicht mehr genügt, werden sie diesen AVV in guten Treuen einvernehmlich anpassen.

15.3 Teilnichtigkeit

Sollten sich einzelne Bestimmungen oder Teile dieser Vereinbarung bzw. eines Anhanges als nichtig oder unwirksam erweisen, so wird dadurch die Gültigkeit der Vereinbarung im Übrigen nicht berührt. Die Parteien werden in einem solchen Fall die Vereinbarung so anpassen, dass der mit dem nichtigen oder unwirksam gewordenen Teil angestrebte Zweck so weit wie möglich erreicht wird.

15.4 Abtretung und Übertragung

Diese Vereinbarung darf nur nach vorgängiger schriftlicher Zustimmung der anderen Partei an Dritte abgetreten oder auf sie übertragen werden, wobei die Zustimmung nur aus wichtigem Grund verweigert werden darf.

15.5 Streiterledigung

Beide Parteien verpflichten sich, im Falle von Meinungsverschiedenheiten im Zusammenhang mit dieser Vereinbarung in guten Treuen eine einvernehmliche Regelung anzustreben.

15.6 Anwendbares Recht und Gerichtsstand

Wenn trotz der Bemühungen der Parteien auf gütlichem Wege keine Einigung zustande kommt, wird eine rechtliche Auseinandersetzung gemäss den Bestimmungen im jeweiligen Vertrag (anwendbares Recht und Gerichtsstand) geführt.