Diese Vereinbarung zur Auftragsdatenverarbeitung (ADV) regelt verbindlich die Bearbeitung von Personendaten im Auftrag gemäss revidiertem Schweizer Datenschutzrecht (revDSG). Sie gilt für alle Kundenverträge mit RisConnect, sofern Leistungen mit Auftragsbearbeitung erbracht werden.
Die ADV ergänzt den jeweiligen Hauptvertrag und gilt für bestehende sowie künftige Vertragsverhältnisse, in denen RisConnect im datenschutzrechtlichen Sinne als Auftragsbearbeiter tätig wird.
1. Vertragsparteien
Auftragsbearbeiter
RisConnect
Steigenweg 5
4223 Blauen
Schweiz
Auftraggeber
Jeweilige Kundin / jeweiliger Kunde gemäss Hauptvertrag.
Die ADV wird als integrierter Bestandteil des Hauptvertrags online akzeptiert (z. B. bei Offert-/Vertragsannahme oder aktiver Zustimmung zu Vertragsbedingungen).
2. Gegenstand und Dauer
Der Auftragsbearbeiter bearbeitet Personendaten ausschliesslich im Auftrag und nach Weisung des Auftraggebers, soweit dies für die vertraglich vereinbarten Leistungen erforderlich ist.
Die ADV gilt für die Dauer des Hauptvertrags sowie für allfällige gesetzliche Aufbewahrungsfristen.
3. Art und Zweck der Bearbeitung
Die Bearbeitung erfolgt zur Erbringung folgender Leistungen: Webhosting, Cloudserver-Dienste, E-Mail-/Kommunikationsleistungen, Kontaktformular-/Supportbearbeitung, WhatsApp Business Support sowie Rechnungsstellung, Aboverwaltung und Buchhaltungsprozesse.
Bearbeitet werden insbesondere folgende Datenkategorien, soweit für die Leistungserbringung erforderlich:
- Stammdaten (z. B. Name, Firma, Adresse)
- Kontaktdaten (z. B. E-Mail, Telefon)
- Vertrags- und Leistungsdaten
- Kommunikations- und Supportinhalte
- Abrechnungs- und Buchhaltungsdaten
- Technische Daten (z. B. IP-Adresse, Zeitstempel, Logdaten)
Besonders schützenswerte Personendaten können im Einzelfall vorkommen und werden, falls betroffen, mit erhöhter Sorgfalt und angemessenen Schutzmassnahmen bearbeitet.
4. Weisungsgebundenheit
Der Auftragsbearbeiter bearbeitet Personendaten nur gemäss dokumentierten Weisungen des Auftraggebers, sofern keine gesetzliche Pflicht zur anderweitigen Bearbeitung besteht.
Offensichtlich rechtswidrige Weisungen werden durch den Auftragsbearbeiter beanstandet; bis zur Klärung kann die betroffene Bearbeitung ausgesetzt werden.
4a. Rechte und Pflichten des Auftraggebers
Der Auftraggeber ist für die Rechtmässigkeit der Datenbearbeitung, die Informationspflichten gegenüber betroffenen Personen sowie die Wahrung der Betroffenenrechte verantwortlich.
Der Auftraggeber stellt sicher, dass für die beauftragte Datenbearbeitung eine gültige Rechtsgrundlage besteht und erteilt Weisungen in nachvollziehbarer Form.
5. Vertraulichkeit und Zugriff
Der Auftragsbearbeiter verpflichtet alle mit der Bearbeitung befassten Personen zur Vertraulichkeit. Zugriffe erfolgen nach dem Need-to-know-Prinzip.
6. Technische und organisatorische Massnahmen (TOM)
Der Auftragsbearbeiter trifft angemessene technische und organisatorische Massnahmen zum Schutz der Personendaten, insbesondere gegen unbefugten Zugriff, Verlust, Veränderung und unrechtmässige Offenlegung.
7. Unterauftragsbearbeiter
Der Einsatz von Unterauftragsbearbeitern ist zulässig, soweit dies zur Leistungserbringung erforderlich ist und ein angemessenes Datenschutzniveau vertraglich sichergestellt wird.
Aktuell eingesetzte Unterauftragsbearbeiter:
- Hosttech (Webhosting)
- ServerBase AG (Cloudserver-Dienste)
- Microsoft 365 / Microsoft Corporation (E-Mail und Kommunikation)
- WhatsApp / Meta (Kommunikation via WhatsApp Business)
- Swiss21.org AG / Abaninja (Rechnungsstellung, Aboverwaltung, Buchhaltungsangelegenheiten)
Der Auftragsbearbeiter bleibt gegenüber dem Auftraggeber für die datenschutzkonforme Auftragsbearbeitung verantwortlich.
Änderungen bei Unterauftragsbearbeitern werden dem Auftraggeber in geeigneter Form mitgeteilt. Erfolgt kein begründeter Widerspruch innert angemessener Frist, gilt die Änderung als akzeptiert.
8. Bekanntgabe ins Ausland
Eine Bekanntgabe von Personendaten ins Ausland erfolgt nur unter Einhaltung der gesetzlichen Vorgaben. Falls erforderlich, werden geeignete Garantien (z. B. Standardvertragsklauseln) eingesetzt.
Der Auftraggeber wird darauf hingewiesen, dass einzelne Unterauftragsbearbeiter Daten auch ausserhalb der Schweiz oder des EWR bearbeiten können.
9. Unterstützung des Auftraggebers
Der Auftragsbearbeiter unterstützt den Auftraggeber angemessen bei der Erfüllung von Betroffenenrechten, bei Datenschutzverletzungen sowie bei Anfragen von Aufsichtsbehörden, soweit die Bearbeitung betroffen ist.
10. Meldung von Datenschutzvorfällen
Der Auftragsbearbeiter informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung der Datensicherheit, soweit Personendaten des Auftraggebers betroffen sind.
Die Meldung enthält, soweit möglich, Angaben zur Art des Vorfalls, betroffenen Datenkategorien, möglichen Auswirkungen sowie bereits getroffenen oder geplanten Abhilfemassnahmen.
11. Rückgabe und Löschung
Nach Beendigung der Leistungen werden Personendaten gemäss Weisung des Auftraggebers und unter Berücksichtigung gesetzlicher Aufbewahrungspflichten gelöscht, anonymisiert oder zurückgegeben.
12. Nachweis und Kontrolle
Der Auftragsbearbeiter weist auf angemessene Anfrage die Einhaltung dieser Vereinbarung durch geeignete Dokumentation und Selbstauskunft nach.
Direkte Vor-Ort-Audits sind nicht vorgesehen; der Nachweis erfolgt primär über dokumentierte Prozesse, Sicherheitsnachweise und Auskünfte.
13. Schlussbestimmungen
Diese ADV ergänzt den Hauptvertrag. Bei Widersprüchen gehen die datenschutzrelevanten Regelungen dieser ADV vor.
Es gilt Schweizer Recht. Gerichtsstand ist, soweit zulässig, der Sitz des Auftragsbearbeiters.
Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Kontakt
Für die Unterzeichnung einer kundenspezifischen ADV-Version kontaktiere uns bitte über die Kontaktseite oder per E-Mail an Mail.