Auftragsverarbeitungsvertrag
Letzte Änderung: 13. November 2024
1. Parteien
- Auftragnehmer: Rush Agency GmbH
- Auftraggeber
2. Geltungsbereich, gesetzliche Grundlage
- Soweit nicht anders vereinbart, ergänzt dieser AVV unsere AGB und gilt als integrierter Bestandteil bei jedem Auftrag.
- Der Auftragsverarbeitungsvertrag regelt die Bearbeitung von Personendaten durch den Auftragnehmer und die involvierten Subunternehmen.
- Die Bearbeitung von Personendaten erfolgt primär nach dem schweizerischen Datenschutzgesetz (DSG) und der Verordnung über den Datenschutz (DSV).
- Sollen auch die Daten von Personen aus der EU / dem EWR bearbeitet werden, muss dies der Auftraggeber dem Auftragnehmer mitteilen oder der Auftragnehmer weist den Auftraggeber darauf hin. In diesem Fall dient punktuell auch die Datenschutzgrundverordnung (DSGVO) der EU / des EWR als gesetzliche Grundlage.
3. Art und Dauer der Bearbeitung
- Die Datenbearbeitung erfolgt aus dem Auftrag und wird in den AGB geregelt. Bezogen auf Personendaten sind dies beispielsweise: Website-Management (führt zu Zugriff auf sämtliche Daten, die via Admin zugänglich sind), Unterstützung beim Versand von Newsletter (Zugang zu Adresslisten), E-Mail (Daten, die uns per E-Mail zugänglich gemacht werden).
- Die Dauer für die Bearbeitung von Personendaten ergibt sich aus der Dauer des Auftrags.
4. Bearbeitung von Personendaten
- Die Bearbeitung betrifft alle Personendaten, auf welche der Auftraggeber dem Auftragnehmer über seine Systeme Zugriff gibt oder ihm in Datenform zustellt. Beispielsweise: Website/CMS, CRM, Newsletter-Tool, Cloud, Download-Link, E-Mail.
- Dies betrifft folgende Personengruppen des Auftraggebers: Website-Besucher, Interessenten (Leads), Kunden, Mitarbeitende, Lieferanten, Partner, Netzwerk.
- Folgende Datenkategorien werden durch den Auftragnehmer bearbeitet: Personenstammdaten, Zahlungsdaten, Kommunikationsdaten, Adressdaten, Verhaltensdaten, Bild- und Videodaten.
5. Pflichten des Auftragnehmers
- Der Auftragnehmer darf die Daten nur nach dokumentierter Weisung des Auftraggebers für die genannten Zwecke bearbeiten. Vermutet der Auftragnehmer eine unzulässige Datenbearbeitung, teilt er dies dem Auftraggeber mit.
- Der Auftragnehmer stellt die Geheimhaltung bei allen Mitarbeitenden und Hilfspersonen sicher, soweit dies nicht schon von Gesetzes wegen gegeben ist.
- Der Auftragnehmer exportiert keine Personendaten (z. B. zusätzliche Speicherung, Weitergabe an Dritte), ohne die Erlaubnis des Auftraggebers. Wenn diese vorliegt, muss das geltende Datenschutzrecht eingehalten werden.
- Der Auftragnehmer unterstützt den Auftraggeber bei Anfragen von betroffenen Personen und insgesamt bei der Einhaltung des Datenschutzrechts, soweit es dem Auftragnehmer möglich ist.
- Nach Beendigung der Auftragsverarbeitung gibt der Auftragnehmer sämtliche Daten zurück und/oder löscht sie, soweit dies gesetzlich erlaubt ist.
- Der Auftragnehmer kann nachweisen, dass er den Auftragsverarbeitungsvertrag einhält, der Auftraggeber kann dies umfassend prüfen.
- Der Auftragnehmer sorgt stets dafür, eine angemessene Datensicherheit einzuhalten, die dem geltenden Datenschutzrecht entspricht. Die technischen und organisatorischen Massnahmen (TOM) werden aus Sicherheitsgründen nur auf Anfrage bereitgestellt. Bitte kontaktieren Sie uns via [email protected]
- Der Auftragnehmer darf Subunternehmen (siehe Art. 7) nur mit Genehmigung des Auftraggebers einsetzen. Werden später weitere hinzugezogen, informiert der Auftragnehmer den Auftraggeber darüber. Ohne Widerspruch innert 30 Tagen gelten sie als genehmigt. Die Subunternehmen müssen das geltende Datenschutzrecht einhalten und werden wie der Auftragnehmer vertraglich verpflichtet.
6. Pflichten des Auftraggebers
- Der Auftraggeber verpflichtet sich, dem Auftragnehmer keinen Zugriff auf «besonders schützenswerte Personendaten» zu ermöglichen, ohne vorgängig eine gesonderte, schriftliche Vereinbarung zu treffen. Beispiele von besonders schützenswerten Daten: Gesundheitsdaten, genetische oder biometrische Daten, religiöse oder politische Ansichten oder Tätigkeiten.
- Der Auftraggeber trägt sämtliche Kosten für Abklärungen und Überprüfungen in seinem Auftrag. Beispielsweise: Auskunftspflicht, Überprüfungen von Massnahmen.
7. Subunternehmen
- Mit folgenden Subunternehmen wurden Auftragsverarbeitungsverträge abgeschlossen und gegebenenfalls mit Standardvertragsklauseln abgesichert: https://rush.ch/legal/subunternehmen
- Mit dem Akzeptieren der AGB gelten die aufgeführten Subunternehmen als genehmigt.
- Neue Subunternehmen werden dieser Liste hinzugefügt und dem Auftraggeber via E-Mail kommuniziert.