Datenverarbeitungsvereinbarung

Version 3.0, veröffentlicht am 01.07.2025

‍

‍

Vereinbarung zur Datenverarbeitung

Diese Datenverarbeitungsvereinbarung wird von und zwischen DSwiss und dem Kunden abgeschlossen und tritt mit dem Datum des Inkrafttretens des Dienstleistungsauftrags in Kraft.

Dieses Dokument wird in mehreren Sprachen bereitgestellt. Im Falle von Abweichungen oder Widersprüchen gilt die englische Version als massgeblich und rechtlich bindend.

‍

Präambel

A. Die Parteien haben einen Vertrag über die Erbringung von Dienstleistungen durch DSwiss abgeschlossen.

B. Im Rahmen des Vertrages stellt der Kunde DSwiss personenbezogene Daten zur Verfügung.

C. Um die Einhaltung der geltenden Datenschutzgesetze, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Schweizerischen Bundesgesetzes über den Datenschutz bei der Verarbeitung personenbezogener Daten durch DSwiss zu gewährleisten, schliessen die Parteien diese Datenverarbeitungsvereinbarung ab.

D. Im Rahmen dieser Datenverarbeitungsvereinbarung ist der Kunde der Verantwortliche und DSwiss die Auftragsverarbeiterin im Sinne der anwendbaren Datenschutzgesetze.

In Anbetracht der unten aufgeführten gegenseitigen Verpflichtungen vereinbaren die Parteien Folgendes:

‍

1. Allgemeines

1.1 Vertragsgegenstand: In dieser Datenverarbeitungsvereinbarung regeln die Parteien nur das Verhältnis zwischen den Parteien in Bezug auf die anwendbaren Datenschutzgesetze. Sie beabsichtigen nicht, die im Rahmen der Vereinbarung zu erbringenden Dienstleistungen zu erweitern oder zu beschränken.

1.2 Vorrang: Im Falle von Konflikten zwischen Vertragsteilen gilt die folgende Rangfolge: Diese Datenverarbeitungsvereinbarung hat Vorrang vor ihren Anhängen und die anderen Teile der Vereinbarung haben Vorrang vor dieser Datenverarbeitungsvereinbarung.

1.3 Definitionen: Alle hervorgehobenen Begriffe, die in dieser Datenverarbeitungsvereinbarung nicht anderweitig definiert sind, haben die in der Vereinbarung festgelegte Bedeutung. Rechtsbegriffe wie "personenbezogene Daten" und "Verarbeitung" haben die in den geltenden Datenschutzgesetzen definierte Bedeutung. Definitionen finden Sie unter https://www.dswiss.com/en/legal-definitions.

‍

2. Gegenstand und Dauer der Verarbeitung

2.1. Gegenstand der Verarbeitung: Im Zusammenhang mit den Dienstleistungen verarbeitet DSwiss personenbezogene Daten im Auftrag des Kunden. Der Gegenstand der Datenverarbeitung, ihre Art und ihr Zweck sind in der Vereinbarung festgelegt. Die Kategorien von Personen, die von der Verarbeitung betroffen sind, und die Kategorien der betroffenen personenbezogenen Daten sind in Anhang 1 aufgeführt.

2.2. Andere Dienstleistungen: Soweit DSwiss im Rahmen der Zusammenarbeit weitere Dienstleistungen für den Kunden übernimmt, gilt diese Datenverarbeitungsvereinbarung auch für diese Dienstleistungen.

2.3. Dauer: Diese Datenverarbeitungsvereinbarung beginnt mit dem Datum des Inkrafttretens und endet mit der Kündigung des Vertrages.

2.4. Verantwortung des Kunden: Dem Kunden ist sich bewusst, dass die rechtliche Verantwortung für die Zulässigkeit der Erhebung und sonstigen Verarbeitung der personenbezogenen Daten und für die Erfüllung der Rechte der betroffenen Personen im Zusammenhang mit den von DSwiss zu erbringenden Dienstleistungen beim Kunden liegt.

‍

3. Pflichten von DSwiss

3.1. Einhaltung von Weisungen:

a) DSwiss ist verpflichtet, die personenbezogenen Daten ausschliesslich für die im Rahmen des Vertrags zu erbringenden Dienstleistungen zu verwenden und bei der Verarbeitung die (vertragsgemässen) Weisungen des Kunden zu befolgen, vorbehaltlich abweichender Verpflichtungen aufgrund geltender Gesetze und verbindlicher Anordnungen zuständiger Behörden, über die der Kunde, soweit zulässig, zu informieren ist.

b) Die Weisungen des Auftraggebers werden in Textform erteilt.

3.2. Register zur Verarbeitungstätigkeiten: DSwiss verpflichtet sich, ein Register bzgl. Verarbeitungstätigkeiten in Bezug auf die personenbezogenen Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen zu führen. DSwiss gewährt dem Kunden auf Anfrage hin jederzeit Zugang zu diesem Register.

3.3. Ort der Verarbeitung: Die Verarbeitung und Nutzung der Personendaten erfolgt ausschliesslich in der Schweiz und in der EU. Eine Bearbeitung von Personendaten ausserhalb der Schweiz oder der EU (einschliesslich der Gewährung von Zugriffsrechten auf Personendaten) ist nur mit vorgängiger Zustimmung des Kunden und in Übereinstimmung mit den anwendbaren gesetzlichen und vertraglichen Bestimmungen zulässig.

3.4. Pflicht zur Rückgabe und Löschung:

a) Nach Kündigung des Vertragsverhältnisses hat DSwiss die Personendaten zu löschen. Die Löschung der Daten muss unwiderrufbar sein und dem Kunden auf Verlangen bestätigt werden.

b) Ist DSwiss aufgrund gesetzlicher Vorschriften zur Aufbewahrung personenbezogener Daten verpflichtet, so hat sie den Kunden hierüber frühzeitig zu informieren, wobei die betreffenden personenbezogenen Daten nur so lange wie nötig und angemessen gesichert auf den entsprechenden Systemen gespeichert werden dürfen.

‍

4. Datensicherheit

4.1. Sicherheitsmassnahmen: DSwiss ergreift geeignete, jedenfalls aber mindestens die in Anhang 2 beschriebenen technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten. Die Auftragsverarbeiterin ist berechtigt, die Sicherheitsmassnahmen während der Laufzeit des Vertrages anzupassen, sofern das Sicherheitsniveau nicht gesenkt wird, und ist verpflichtet, die Sicherheitsmassnahmen anzupassen, soweit dies zur Aufrechterhaltung des Schutzniveaus gemäss den geltenden Datenschutzgesetzen erforderlich ist.

4.2. Meldung von Verstössen:

a) Bei konkreten Sicherheitsverletzungen, die zur Zerstörung, zum Verlust, zur Veränderung oder zur Offenlegung von Personendaten führen, informiert DSwiss den Kunden unverzüglich, spätestens aber innerhalb der in den anwendbaren Datenschutzgesetzen festgelegten Fristen.

b) DSwiss ist verpflichtet, dem Kunden auf Anfrage weitere relevante Informationen über die Sicherheitsverletzung zu geben, soweit dies ohne Verletzung der vertraglichen oder gesetzlichen Geheimhaltungspflichten von DSwiss möglich ist.

‍

5. Unterauftragsverarbeiter

5.1. Zulässigkeit:

a) DSwiss ist berechtigt, für die Erbringung der Dienstleistungen nach eigenem Ermessen personenbezogene Daten an Unterauftragsverarbeiter zu übermitteln, sofern DSwiss diesen Abschnitt 5 einhält und mit den betreffenden Unterauftragsverarbeitern Verträge abgeschlossen hat, die mindestens ebenso strenge Bestimmungen wie dieser Datenverarbeitungsvertrag enthalten.

b) Ein Unterauftragsverarbeiter im Sinne dieser Datenverarbeitungsvereinbarung ist jeder Dienstleister, dessen Leistungen sich direkt auf die Verarbeitung personenbezogener Daten beziehen. Bei ausgelagerten Nebenleistungen ist DSwiss zudem verpflichtet, angemessene und gesetzeskonforme vertragliche Vereinbarungen zur Gewährleistung des Datenschutzes und der Datensicherheit für den Kunden zu treffen, Kontrollmassnahmen zu ergreifen und diese Massnahmen dem Kunden auf Verlangen hin zu dokumentieren.

5.2. Genehmigung von Unterauftragsverarbeitern:

a) Eine Liste der Unterauftragsverarbeiter, die zum Zeitpunkt des Inkrafttretens Zugriff auf personenbezogene Daten haben und hiermit vom Kunden als genehmigt gelten findet sich in Anlage 3. Vor dem Wechsel eines Unterauftragsverarbeiters ist der Kunde zu informieren. Erklärt der Kunde nicht innerhalb von 20 Kalendertagen nach Erhalt der entsprechenden Mitteilung schriftlich, dass er mit der Änderung nicht einverstanden ist, so gilt der betreffende Unterauftragsverarbeiter als vom Kunden genehmigt.

b) Im Falle einer fristgerechten Ablehnung des Unterauftragsverarbeiters durch den Kunden gemäss dem vorstehenden Absatz werden die Parteien versuchen, sich auf eine alternative, wirtschaftlich angemessene Lösung zu einigen. Die Ablehnung des Kunden muss auf schwerwiegenden Gründen beruhen, die sich aus der möglichen Beeinträchtigung des Datenschutzes ergeben und die DSwiss spätestens zum Zeitpunkt der Ablehnung mitgeteilt werden müssen. Erzielen die Parteien innerhalb von 30 Tagen nach der Ablehnung durch den Kunden keine Einigung, so ist jede Partei berechtigt, den Vertrag mit sofortiger Wirkung zu kündigen.

5.3. Unterauftragsverarbeiter ausserhalb der Schweiz und der EU: Werden im Zusammenhang mit der autorisierten Einbeziehung eines Unterauftragsverarbeiters Personendaten in ein Land ohne angemessenes Datenschutzniveau übermittelt oder von dort empfangen, ist DSwiss verpflichtet, vor der ersten Weitergabe von Personendaten an den betreffenden Unterauftragsverarbeiter angemessene Garantien gemäss dem anwendbaren Datenschutzrecht (z.B. die anwendbaren EU-Standardvertragsklauseln) einzuholen.

5.4. Haftung: DSwiss haftet gegenüber dem Kunden für die Einhaltung der Verpflichtungen der Unterauftragsverarbeiter gemäss den Bestimmungen des Vertrags.

‍

6. Einsichtsrechte

6.1. Einsichtsrechte: Der Kunde hat das Recht, die Einhaltung der gesetzlichen und vertraglichen Verpflichtungen im Zusammenhang mit diesem Datenverarbeitungsvertrag durch DSwiss und/oder ihre Unterauftragsverarbeiter jederzeit, jedoch höchstens einmal pro Kalenderjahr, zu überprüfen, sofern solche Überprüfungen DSwiss innerhalb von 21 Tagen mitgeteilt werden. Das Verfahren der Kontrolle wird vorher mit DSwiss vereinbart. DSwiss ist verpflichtet, bei jeder Inspektion in angemessener Weise mitzuwirken. Alle Inspektionen müssen im Voraus mit DSwiss vereinbart werden. Bei der Planung und Durchführung der Inspektion berücksichtigt der Kunde die Bedürfnisse und Sicherheitsanforderungen von DSwiss und respektiert die Geheimhaltungspflichten von DSwiss.

6.2. Einsichtnahme durch externe Partner: Der Kunde hat das Recht, die Prüfung gemäss Ziffer 6.1 durch einen externen, kompetenten und zur Verschwiegenheit verpflichteten Partner durchführen zu lassen. Die Kosten des externen Partners gemäss dieser Ziffer 6.2 gehen zu Lasten des Kunden.

‍

7. Unterstützungsverpflichtungen

7.1. Datensicherheit: DSwiss unterstützt den Kunden in angemessener Weise bei der Erfüllung seiner gesetzlichen Pflichten zur Gewährleistung einer angemessenen Datensicherheit und zur Meldung von Datenschutzverletzungen sowie bei der Durchführung von Datenschutz-Folgenabschätzungen.

7.2. Rechte betroffener Personen: Wendet sich eine betroffene Person im Zusammenhang mit datenschutzrechtlichen Ansprüchen (z.B. mit einem Auskunfts- oder Löschungsbegehren) an DSwiss und stehen diese Ansprüche im Zusammenhang mit den Dienstleistungen, leitet DSwiss das entsprechende Begehren unverzüglich an den Kunden weiter. DSwiss wird den Kunden bei der Bearbeitung solcher Anfragen angemessen unterstützen.

7.3. Verpflichtung zur Information: Überprüfungen und sonstige Massnahmen von Datenschutzaufsichtsbehörden sind dem Kunden im zulässigen Umfang rechtzeitig mitzuteilen, wenn sie die personenbezogenen Daten oder die zur Verarbeitung der personenbezogenen Daten eingesetzten Systeme betreffen.

7.4. Kontaktinformationen: Bei Fragen zum Datenschutz ist in erster Linie die folgende Person zu kontaktieren: Kunde: Der Kunde legt schriftlich fest, an wen sich DSwiss in erster Instanz wenden soll. Wenn der Kunde keine schriftliche Mitteilung an DSwiss übermittelt, ist davon auszugehen, dass der Unterzeichner des Dienstleistungsauftrags der erste Ansprechpartner ist. DSwiss: CISO, security@dswiss.com

‍

8. Vertraulichkeit

8.1. Persönliche Daten: DSwiss verpflichtet sich, Personendaten streng vertraulich zu behandeln und sie innerhalb und ausserhalb der Organisation nur denjenigen Personen zugänglich zu machen, die zur Erfüllung ihrer Aufgaben Zugang zu den Personendaten benötigen. Vorbehalten bleibt Ziffer 5 oben. DSwiss stellt sicher, dass alle Personen, die Zugang zu Personendaten haben, einer gesetzlichen oder vertraglichen Geheimhaltungspflicht in Bezug auf die Personendaten unterstehen.

8.2. Sonstige Informationen: Beide Parteien unterliegen auch den auf die Parteien anwendbaren gesetzlichen Geheimhaltungspflichten und den zwischen ihnen im Vertrag vereinbarten Geheimhaltungspflichten in Bezug auf die im Rahmen dieser Datenverarbeitungsvereinbarung wahrgenommenen Personendaten.

‍

9. Sonstiges

9.1. Haftung: Für die Haftung bei Verstössen gegen diese Datenverarbeitungsvereinbarung gelten die einschlägigen Bestimmungen des Vertrages.

9.2. Benachrichtigungen: Die in dieser Datenverarbeitungsvereinbarung vorgesehenen Mitteilungen müssen ausdrücklich und in Textform (z.B. per E-Mail oder Post) erfolgen, sofern nichts anderes schriftlich vereinbart ist.

9.3. Anhänge: Die Anhänge zu dieser Datenverarbeitungsvereinbarung sind integraler Bestandteil dieser Datenverarbeitungsvereinbarung.

9.4. Ergänzungen: Ergänzungen und sonstige Änderungen dieser Datenverarbeitungsvereinbarung bedürfen zu ihrer Gültigkeit der Unterschrift beider Vertragsparteien.

9.5. Beilegung von Streitigkeiten: Das anwendbare Recht und der Gerichtsstand im Falle von Streitigkeiten werden in der Vereinbarung festgelegt.

‍

Anhang 1: Spezifikation der Datenverarbeitungsvereinbarung

1. Kategorien von Daten

Daten, die direkt oder indirekt die Identifizierung von natürlichen Personen ermöglichen, wie z.B.:

• Kontaktdaten (z. B. Name, Anschrift, E-Mail-Adresse, Telefonnummern, Benutzernamen usw.)
• Online-Identifikatoren (z. B. IP-Adressen, Cookie-Daten, übertragene Datenmenge, Browser, Betriebssysteme, Informationen über den Besuch der Website usw.)

‍

2. Kategorien von betroffenen Personen

Daten des Kunden, der Endnutzer oder des Kunden und der Partner des Kunden.

• Mitarbeiter
• Kunden
• Endnutzer des Kunden
• Partner des Kunden
• Website-Besucher/Benutzer
• Job-Bewerber

‍

Anhang 2: Sicherheitsmassnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b GDPR)

• Physische Zugangskontrolle
  Kein unbefugter Zugriff auf Datenverarbeitungssysteme, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz oder Pförtner, Alarmanlagen, Videosysteme;
• Elektronische Zugangskontrolle
  Keine unberechtigte Systemnutzung, z.B.: (starke) Passwörter, automatische Schliessmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
• Interne Zugangskontrolle
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
• Trennungskontrolle
  Getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten, z.B. Multi-Client-Fähigkeit, Sandboxing;
• Pseudonymisierung (Art. 32 Abs. 1 lit. a GDPR; Art. 25 (1) GDPR)
  Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und geeigneten technischen und organisatorischen Massnahmen unterliegen.

‍

2. Integrität (Art. 32 Abs. 1 lit. b GDPR)

• Kontrolle der Übertragung
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen während der elektronischen Übertragung oder des Transports, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
• Eingabekontrolle
  Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B. Protokollierung, Dokumentenmanagement.

‍

3. Verfügbarkeit und Ausfallsicherheit (Art. 32 Abs. 1 lit. b GDPR)

• Prüfung der Verfügbarkeit
  Schutz gegen zufällige oder vorsätzliche Zerstörung oder Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbruchfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
• Schnelle Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c GDPR).

‍

4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d GDPR; Art. 25 (1) GDPR)

• Datenschutz-Management;
• Vorfallreaktionsmanagement;
• Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 GDPR);
• Auftragskontrolle
  Keine Auftragsdatenverarbeitung i.S.d. Art. 28 DSGVO ohne entsprechende Weisungen des Auftraggebers, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Pflicht zur Vorab-Überzeugung, Nachkontrollen.

‍

Anhang 3: Zugelassene Unterauftragsverarbeiter

Als zugelassene Unterauftragsverarbeiter im Sinne dieser Datenverarbeitungsvereinbarung gelten zum Zeitpunkt des Inkrafttretens die folgenden Personen: