Auftragsverarbeitungsvertrag (AVV)

Unser Auftragsverarbeitungsvertrag (AVV) legt Deine und unsere Rechte und Pflichten in Bezug auf Datenschutzaspekte fest – basierend auf dem neuen Schweizer «Bundesgesetz über den Datenschutz» (nDSG) und der Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Er wird in der Schweiz auch Auftragsbearbeitungsvertrag (ABV) genannt.

Wenn Du ein Kunde von uns bist, kannst Du gerne einen AVV mit uns abschliessen. Kontaktiere uns dazu bitte.

Dieser Auftragsverarbeitungsvertrag («AVV)» wird geschlossen zwischen der

(Name und Anschrift des Kunden)

(nachfolgend «Kunde» genannt)

Friendly GmbH
Werkhofstrasse 5
6052 Hergiswil
Schweiz

(nachfolgend «Friendly» genannt).

Einführung

Dieser AVV legt die Rechte und Pflichten der Parteien in Bezug auf Datenschutzaspekte fest, die auf den geltenden Datenschutzgesetzen basieren – insbesondere dem neuen Schweizer Bundesgesetz über den Datenschutz («revDSG») und der Datenschutz-Grundverordnung der Europäischen Union («DSGVO»).

Die in diesem AVV verwendeten Begriffe sind so zu verstehen, wie sie in der DSGVO definiert sind. Dieser AVV gilt, soweit der Kunde (als «Verantwortlicher») personenbezogene Daten durch Friendly (als «Auftragsverarbeiter») im Anwendungsbereich des revDSG und der DSGVO verarbeiten lässt.

Dieser AVV ergänzt die bestehende «Hauptvereinbarung» zwischen den Parteien. In Bezug auf die Hauptvereinbarung kann auf den Softwareproduktvertrag und weitere Vereinbarungen zwischen den Parteien verwiesen werden, in denen Friendly als Dienstleister für den Kunden tätig ist.

1. Gegenstand, Dauer und Beschreibung der vertraglichen Datenverarbeitung

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten, die der Kunde Friendly im Zusammenhang mit den Softwareprodukten von Friendly zur Verfügung stellt.

Der AVV endet automatisch mit der Beendigung der Hauptvereinbarung.

Die folgenden Daten werden oder können von Friendly verarbeitet werden:

Leistung gemäss Haupt­vereinbarungArt der personenbezogenen DatenArt, Zweck und Dauer der DatenverarbeitungKategorien von Datensubjekten
Friendly Automate: CRM, Marketing Automation und E-Mail-MarketingDer Kunde kann personenbezogene Daten an den Dienst übermitteln, deren Kategorien, Umfang und Details vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wirdFriendly verarbeitet personenbezogene Daten des Kunden für die Erbringung der gebuchten Leistung in den Bereichen CRM, Marketing Automation und E-Mail-Marketing während der Laufzeit der Hauptvereinbarung.Kunden, Interessenten, Mitarbeiter, Partner oder Lieferanten des Kunden
Friendly Automate: Website-Tracking (optional)IP-AdressenAnreicherung der Kontaktdaten des Kunden sowie der Profile anonymer Website-Besucher mit Informationen zum Verhalten auf der WebsiteWebsite-Besucher des Kunden  
Friendly Automate:
E-Mail-Tracking (optional)		E-Mail-AdressenAnreicherung der Kontaktdaten des Kunden mit Informationen zum Verhalten in E-Mails (Öffnung und Klicks)E-Mail-Empfänger des Kunden
Friendly AnalyticsKeine personenbezogenen Daten werden gespeichert und verarbeitetBereitstellung von anonymisierten Website-Nutzungs-AnalysenWebsite-Besucher des Kunden

Friendly Analytics speichert und verarbeitet die folgenden nicht persönlich identifizierbaren Informationen, um die Dienstleistungen gemäss der Hauptvereinbarung zu erbringen:

  • Die anonymisierte IP-Adresse des Website-Besuchers. Die letzten zwei Bytes sind anonymisiert, daher werden diese Daten nicht als personenbezogen angesehen
  • Datum und Uhrzeit der Anfrage
  • Titel der aufgerufenen Seite
  • URL der aufgerufenen Seite
  • URL der Seite, die vor der aktuellen Seite aufgerufen wurde («Referrer»). Aus Datenschutzgründen verarbeiten wir nur die Domain ohne Pfad und Query String.
  • Bildschirmauflösung des Geräts
  • Uhrzeit in der lokalen Zeitzone des Benutzers
  • Dateien, die angeklickt und heruntergeladen wurden
  • Links zu einer externen Domain, die angeklickt wurden
  • Seitengenerierungszeit (die Zeit, die es dauert, bis Webseiten vom Webserver generiert und dann vom Benutzer heruntergeladen werden)
  • Land, Region, Stadt, ungefähre geografische Breite und Länge (Geolocation)
  • Hauptsprache des verwendeten Browsers (Accept-Language-Header)
  • User-Agent des verwendeten Browsers (User-Agent-Header). Aus dem User-Agent erkennen wir den Browser, das Betriebssystem, das verwendete Gerät (Desktop, Tablet, Handy, Fernseher, Auto, Konsole, etc.), die Marke und das Modell.

Friendly speichert vollständige IP-Adressen in den Server-Logs für maximal 24 Stunden. Gemäss Art. 32 der DSGVO (Sicherheit der Verarbeitung) wird empfohlen, vollständige Zugriffsprotokolle für eine bestimmte Zeit aufzubewahren, um DDoS-Angriffe abwehren zu können, Anomalien zu erkennen und die Ausfallsicherheit der Verarbeitungssysteme und Dienste zu gewährleisten. Nach Ablauf dieser Frist anonymisiert Friendly automatisiert die IP-Adressen in den Server-Logs.

2. Anwendungsbereich und Verantwortlichkeit

  1. Friendly verarbeitet personenbezogene Daten im Auftrag des Kunden. Dies umfasst Tätigkeiten, die in Absatz 1 dieser Vereinbarung konkretisiert sind.
    Friendly verarbeitet die Daten im Auftrag des Kunden. Diese Auftragsverarbeitung umfasst alle in der Leistungsbeschreibung des Hauptvertrags bzw. der gebuchten Softwareprodukte genannten Tätigkeiten.
  2. Der Kunde ist im Rahmen dieses AVV für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an Friendly sowie für die Rechtmässigkeit der Datenverarbeitung allein verantwortlich («Verantwortlicher» im Sinne des Art. 4 Nr. 7 DSGVO).

3. Ort der Verarbeitung

  1. Die Verarbeitung findet ausschliesslich in der Schweiz statt.
  2. Für die Verarbeitung zieht Friendly ausschliesslich Unterauftragsverarbeiter hinzu, die ihren Hauptsitz in der Schweiz haben. Die einzige Ausnahme davon ist der Versand von E-Mails. Dafür zieht Friendly Unterauftragsverarbeiter mit Sitz in der EU und Verarbeitung in der EU hinzu.

4. Pflichten von Friendly

  1. Ausser in den Fällen, in denen Artikel 28 (3)(a) der DSGVO dies ausdrücklich zulässt, verarbeitet Friendly die Daten der betroffenen Personen nur gemäss der Hauptvereinbarung und den dokumentierten Anweisungen des Kunden. Wenn Friendly der Ansicht ist, dass eine Anweisung gegen geltendes Recht verstösst, teilt Friendly dem Kunden diese Ansicht unverzüglich mit. Friendly ist berechtigt, die Ausführung einer solchen Anweisung auszusetzen, bis der Kunde diese Anweisung bestätigt oder ändert.
  2. Friendly wird die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Friendly wird technische und organisatorische Massnahmen zum angemessenen Schutz der Daten des Kunden treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Friendly hat vor Beginn der Datenverarbeitung technische und organisatorische Massnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen und den Anforderungen von Anlage 1 dieses AVV entsprechen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und der Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen zu berücksichtigen. Wesentliche Änderungen der technischen und organisatorischen Massnahmen, die in Anlage 1 dieses AVV festgelegt sind, werden dokumentiert und dem Kunden unverzüglich mitgeteilt.
  3. Wenn die getroffenen Massnahmen nicht mehr den geltenden Datenschutzgesetzen und -vorschriften entsprechen, wird Friendly den Kunden unverzüglich informieren und die erforderlichen Änderungen zur Aufrechterhaltung des Datenschutz- und Datensicherheitsniveaus unverzüglich umsetzen. Der Kunde kann die technischen und organisatorischen Massnahmen von Friendly jederzeit überprüfen, um sicherzustellen, dass sie vollständig, richtig und notwendig sind. Friendly stellt dem Kunden auf dessen Wunsch alle erforderlichen Unterlagen und Informationen zur Verfügung und unterstützt die Bewertung oder Aktualisierung der technischen und organisatorischen Massnahmen. Die Änderungen werden schriftlich festgehalten. Friendly sichert zu, dass Friendly seinen Verpflichtungen gemäss Artikel 32 (1)(d) der DSGVO nachkommt und ein Verfahren zur regelmässigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung einführt.
  4. Friendly unterstützt, soweit sie dazu in der Lage, ist den Kunden im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.
  5. Friendly gewährleistet, dass es den mit der Verarbeitung der Daten des Kunden befassten Mitarbeiter und andere für Friendly tätigen Personen wie etwa Unterauftragsverarbeitern untersagt ist, die Daten ausserhalb der Weisung des Kunden zu verarbeiten. Ferner gewährleistet Friendly, dass sich die zur Verarbeitung der personenbezogenen Daten des Kunden befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages bzw. des AV. fort.
  6. Friendly nennt dem Kunden den Ansprechpartner für im Rahmen des AVV anfallende Datenschutzfragen.
  7. Friendly benachrichtigt den Kunden unverzüglich, wenn Friendly von Verstössen gegen den Schutz personenbezogener Daten erfährt. Dies gilt auch bei schwerwiegenden Betriebsstörungen, vermuteten sonstigen Verstössen gegen die Vorschriften zum Schutz personenbezogener Daten oder sonstigen Unregelmässigkeiten im Umgang mit personenbezogenen Daten, die sich auf die betroffene Person oder den Kunden auswirken oder Schaden verursachen könnten. Zu den Verstössen gegen den Datenschutz gehören der Verlust der Vertraulichkeit und der Verlust, die Zerstörung oder die Fälschung von personenbezogenen Daten. Der Auftragsverarbeiter arbeitet mit dem Kunden zusammen und unternimmt angemessene Schritte, um die Folgen einer Verletzung des Schutzes personenbezogener Daten zu mildern und zu beheben.
  8. Bei Beendigung dieses AVV oder jederzeit auf Verlangen des Kunden wird Friendly die im Auftrag verarbeiteten Daten nach Wahl des Kunden entweder löschen oder an den Kunden zurückgeben, es sei denn, das Gesetz schreibt die Aufbewahrung der personenbezogenen Daten vor. Alle vorhandenen Kopien der Daten werden ebenfalls vernichtet bzw. gelöscht, es sei denn, es besteht eine gesetzliche Verpflichtung zur Aufbewahrung der Daten. In solchen Fällen sorgt Friendly auch für die unverzügliche Rückgabe oder Löschung der Daten von und durch etwaige Unterauftragsverarbeiter.
  9. Nach Beendigung der Vertragsabwicklung und auf Anweisung des Kunden gibt Friendly alle Daten, Trägermedien und andere Materialien an den Kunden zurück oder löscht sie.
  10. Friendly gewährleistet, ihren Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmässigen Überprüfung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
  11. Friendly berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Kunde dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt Friendly die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Kunden oder gibt diese Datenträger an den Kunden zurück, sofern nicht im Vertrag bereits vereinbart.
  12. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Kunden entweder herauszugeben oder zu löschen.
  13. Macht eine betroffene Person Ansprüche gegen den Kunden gemäss Artikel 82 der DSGVO geltend, unterstützt Friendly den Kunden nach Möglichkeit bei der Bearbeitung dieser Ansprüche. Friendly muss sicherstellen, dass diese Verpflichtung auch für seine Unterauftragsverarbeiter gilt.

5. Pflichten des Kunden

  1. Der Kunde hat Friendly unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmässigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  2. Der Kunde nennt Friendly den Ansprechpartner für im Rahmen des AVV anfallende Datenschutzfragen.

6. Anfragen betroffener Personen

  1. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an Friendly, wird Friendly die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden nach Angaben der betroffenen Person möglich ist. Friendly leitet den Antrag der betroffenen Person unverzüglich an den Kunden weiter, ohne der betroffenen Person zuvor zu antworten.
  2. Friendly unterstützt den Kunden, soweit dies möglich ist, auf der Grundlage der Anweisungen des Kunden, soweit dies vereinbart wurde. Auf Verlangen des für die Verarbeitung Verantwortlichen wird Friendly die personenbezogenen Daten korrigieren, einschränken (z. B. sperren), begrenzen oder löschen oder bei der Datenübertragbarkeit helfen. Friendly haftet nicht, wenn der Kunde auf die Anfrage der betroffenen Person nicht vollständig, korrekt oder rechtzeitig reagiert.

7. Dokumentation und Nachweise

  1. Der Kunde hat das Recht, die Einhaltung zu überprüfen. Friendly wird die Einhaltung der in diesem AVV vereinbarten Verpflichtungen durch geeignete Massnahmen dokumentieren und gegenüber dem Kunden nachweisen.
  2. Wenn im Einzelfall Prüfungen und Inspektionen durch den Kunden oder einen von ihm beauftragten Prüfer verlangt werden, werden diese nach vorheriger Ankündigung und unter Einhaltung einer angemessenen Frist während der regulären Geschäftszeiten und ohne Beeinträchtigung des Betriebs von Friendly durchgeführt. Friendly darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Kunden beauftragte Prüfer in einem Wettbewerbsverhältnis zu Friendly stehen, hat Friendly gegen diesen ein Einspruchsrecht. Der Kunde stimmt der Benennung eines unabhängigen externen Prüfers durch Friendly zu, sofern Friendly eine Kopie des Auditberichts zur Verfügung stellt. Der Aufwand einer Inspektion ist für Friendly grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
  3. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Kunden eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoss nach dem Strafgesetzbuch strafbewehrt ist.

8. Unterauftragsverarbeiter

  1. Der Kunde stimmt zu, dass Friendly Unterauftragsverarbeiter hinzuzieht.
  2. Die mit diesen Dritten getroffenen Vereinbarungen müssen den Regelungen dieses AVV mindestens gleichwertig sein, um angemessene Datenschutz- und Informationssicherheitsmassnamen zu gewährleisten.
  3. Friendly stellt dem Kunden die aktuelle Liste der Unterauftragsverarbeiter für die Dienste von Friendly zur Verfügung. Diese Liste der Unterauftragsverarbeiter muss die Identität dieser Unterauftragsverarbeiter und das Land, in dem sie ansässig sind, enthalten. In der Anlage 2 dieses AVV findet sich eine Stichtagsliste mit allen Unterauftragsverarbeitern, die Friendly zum Zeitpunkt des Abschlusses dieses AVV beauftragt hat.
  4. Beabsichtigt Friendly den Einsatz weiterer Unterauftragsverarbeiter, wird Friendly dies dem Kunden rechtzeitig – spätestens jedoch zwei Wochen – vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen. Der Kunde hat nach dieser Mitteilung zwei Wochen Zeit, der Hinzuziehung des / der Unterauftragsverarbeiter zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung des / der Unterauftragsverarbeiter(s) als genehmigt. In dringenden Fällen (z.B. bei kurzfristig benötigten Fehleranalysen oder Mängelbeseitigungen), kann Friendly die Anzeige- und Widerspruchsfrist für Unterauftragsverarbeiter angemessen verkürzen. Erfolgt ein fristgerechter Widerspruch, dürfen die betroffenen Unterauftragsverarbeiter nicht eingesetzt werden. Widersprüche sind nur zulässig, wenn der Kunde begründete Anhaltspunkte dafür hat, dass durch den Einsatz des Unterauftragsverarbeiters die Datensicherheit oder der Datenschutz eingeschränkt würde, die Einhaltung gesetzlicher oder vertraglicher Bestimmungen gefährdet wäre und / oder sonstige berechtigte Interessen des Kunden entgegenstehen; die entsprechenden Verdachtsmomente sind dem Widerspruch beizufügen.

9. Haftung und Schadensersatz

  1. Kunde und Friendly haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

10. Vergütung

Die Vergütung von Friendly in Bezug auf diesen AVV ist in diesem AVV abschliessend geregelt. Eine zusätzliche oder gesonderte Vergütung oder Kostenerstattung im Rahmen diesem AVV oder für damit verbundene Aufwendungen erfolgt nicht.

11. Änderungen und Ergänzungen

Alle Änderungen und Zusätze zu diesem AVV müssen schriftlich erfolgen. Jede Hinzufügung, Streichung oder Änderung einer Bestimmung dieses AVV gilt als Änderung oder Hinzufügung.

12. Integration von Vertragsbestandteilen

  1. Im Falle von Widersprüchen zwischen den Bestimmungen dieses AVV und anderen Vereinbarungen zwischen den Parteien, einschliesslich der Hauptvereinbarung und einschliesslich (sofern nicht ausdrücklich anders schriftlich vereinbart und im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses AVV abgeschlossen wurden oder angeblich abgeschlossen wurden, haben die Bestimmungen dieses AVV Vorrang.
  2. Die folgenden Anlagen sind integraler Bestandteil dieses AVV:

13. Salvatorische Klausel

Sollte eine Bestimmung dieses AVV ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieses AVV gültig und in Kraft. Die unwirksame oder undurchsetzbare Bestimmung ist entweder (i) so zu ändern, dass ihre Wirksamkeit und Durchsetzbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich erhalten bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der unwirksame oder undurchsetzbare Teil nie enthalten gewesen wäre.

14. Anwendbares Recht und Gerichtsstand

Für das anwendbare Recht und den Gerichtsstand gelten die gleichen Bestimmungen wie in der Hauptvereinbarung.