AUFTRAGSDATENBEARBEITUNGSVERTRAG («ADV»)

zwischen

sämtlichen Kunden/Mandaten von Fidinter

(bezeichnet als «Auftragsgeber»)

und der Auftragsbearbeiterin

Fidinter Treuhand AG (und/oder) der Fidinter AG

Müllerstrasse 5

CH-8004 Zürich

Schweiz

(ab Oktober 2023: Bellerivestrasse 203, CH-8008 Zürich, Schweiz)

Postanschrift:

Postfach

8021 Zürich

Schweiz

(ab Oktober 2023: Postfach, CH-8034 Zürich, Schweiz)

(bezeichnet als «Fidinter» oder «Auftragsbearbeiter»)

(beide zusammen bezeichnet als «Parteien»)

1. Präambel

Die vorliegende Vereinbarung (nachfolgend «ADV») konkretisiert die Verpflichtungen der Parteien in Bezug auf die Vorgaben aus dem Schweizer Datenschutzgesetz (DSG). Sie ergänzt diesbezüglich den Mandatsvertrag/Vertragsverhältnis und die allgemeinen Geschäftsbedingungen (nachfolgend «AGB») zwischen der Fidinter und dem Auftragsgeber.

Diese ADV gilt nur insofern und insoweit als die nachfolgenden Voraussetzungen erfüllt sind:

  • Der Auftragsgeber ist entweder Verantwortlicher oder Auftragsdatenbearbeiter im Anwendungsbereich des DSG und
  • der Auftragsgeber zieht die Fidinter im Rahmen des Mandatsvertrages/der Zusammenarbeit als Auftragsdatenbearbeiter oder Unter-Auftragsdatenbearbeiter für die Bearbeitung von Personendaten bei, welche vom Anwendungsbereich des DSG erfasst sind.

2. Gegenstand und Dauer der Vereinbarung

Der Auftragsbearbeiter kann u.a. für den Auftragsgeber Treuhand-, Steuer-, Beratungs-, Revisions- und Buchhaltungsdienstleistungen gestützt auf ein separates Vertragsverhältnis bzw. Mandatsvertrag erbringen.

Diese Vereinbarung ermöglicht es den Parteien, ihren Verpflichtungen nach dem anwendbaren Datenschutzrecht (vgl. Datenschutzerklärung [DSE] der Fidinter) nachzukommen, wenn der Auftragsbearbeiter für den Auftragsgeber Personendaten bearbeitet. Sie konkretisiert die Verpflichtungen der Parteien zum Datenschutz, die sich aus dem im separaten Vertrag beschriebenen Mandatsvertrag ergeben.

Die Bestimmungen dieser Vereinbarung finden Anwendung auf alle Tätigkeiten, die mit dem separaten Vertragsverhältnis in Zusammenhang stehen und bei welcher der Auftragsbearbeiter und seine Beschäftigten oder durch den Auftragsbearbeiter Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für dessen Kunden erhoben wurden.

Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des separaten Vertragsverhältnisses, den AGB der Fidinter und kann nur mit diesen zusammen ordentlich oder ausserordentlich gekündigt werden.

3. Art der Bearbeitung und Art der Daten

Der Auftragsbearbeiter erhält Zugriff auf personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im separaten Mandatsvertrag beschrieben werden.

Die Tätigkeiten des Auftragsbearbeiters können dabei u.a. folgendes umfassen:

  • Empfangen, Bearbeitung und Versand von Lohndaten
  • Erstellung und Versand von Lohnabrechnungen
  • Verwaltung von Mitarbeiterstammdaten
  • Erstellung von Bescheinigungen und Meldungen an die Behörden und Versicherungen
  • Zugriff auf und Bearbeitung von Daten beim Auftraggeber oder direkt bei seinem Kunden

Für die Ausführung dieser Tätigkeiten erforderliche Personendaten:

  • Personenstammdaten
  • Mitarbeiterstammdaten
  • Kommunikationsdaten
  • Vertragsstammdaten
  • Lohndaten
  • Sozialversicherungs- und Gesundheitsdaten
  • Abrechnungs- und Zahlungsdaten
  • Allenfalls weitere sich aus den separaten Vertragsverhältnis ergebenden Personendaten

4. Pflichten des Auftragsbearbeiters

Der Auftragsbearbeiter und ihm unterstellten Personen, die Zugang zu den Personendaten haben, dürfen die Daten nur im Rahmen des Auftrags und der Weisungen des Auftraggebers bearbeiten (beschaffen, speichern, aufbewahren, verwenden, verändern, bekanntgeben, archivieren, löschen oder vernichten etc.), ausser es liegt ein Ausnahmefall vor, z.B. bei Ermittlungen von Strafverfolgungsbehörden. In einem solchen Fall teilt der Auftragsbearbeiter dem Auftraggeber diese rechtliche Anordnung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Bei einem Wechsel der weisungsberechtigten Personen oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner der Nachfolger bzw. der Vertreter zu benennen.

Falls eine Weisung des Auftraggebers gegen geltende gesetzliche Vorschriften verstösst, wird der Auftragsbearbeiter den Auftraggeber umgehend darauf hinweisen.

Der Auftragsbearbeiter nutzt die zur Bearbeitung überlassenen Daten ausschliesslich für den vereinbarten Zweck und nicht für eigene Zwecke. Er stellt keine Kopien oder Duplikate der Daten ohne das Wissen des Auftraggebers her, es sei denn, es handelt sich um Sicherungskopien.

Der Auftragsbearbeiter ist nicht berechtigt, im Auftrag bearbeitete Daten eigenmächtig zu löschen oder anderweitig zu vernichten ausser:

  • bei Zutreffen der in den AGBs von Fidinter erwähnten Sachverhalte (vgl. Ziff. 10.2 der AGB)
  • es liegt ein gesetzlicher Grund vor, der eine solche Massnahme erfordert

Die Bearbeitung von Daten ausserhalb des Unternehmensstandorts des Auftragsbearbeiters, wie beispielsweise im Home-Office von Mitarbeitenden, wird hiermit durch den Auftraggeber gestattet. In Fällen, in denen die Datenbearbeitung in einer Privatwohnung stattfindet, sind angemessene Sicherheitsmassnahmen vertraglich sicherzustellen.

Der Auftragsbearbeiter verpflichtet sich dazu, sämtliche Personendaten, die ihm im Rahmen dieses Auftragsdatenbearbeitungsvertrags bekannt werden, vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. Der Auftragsbearbeiter wird sicherstellen, dass alle Personen, die Zugang zu den Personendaten haben oder mit deren Bearbeitung beauftragt sind, über die Vertraulichkeitsverpflichtung informiert und entsprechend vertraglich gebunden sind.

Der Auftragsbearbeiter ist verpflichtet, allfällige Verletzungen des Datenschutzes oder Unregelmässigkeiten unverzüglich dem Auftraggeber zu melden und alle relevanten Details der Verletzung, einschliesslich der Art der Verletzung, der betroffenen Personendaten, der möglichen Auswirkungen sowie der ergriffenen oder geplanten Massnahmen zur Eindämmung des Vorfalls und zur Minimierung eventueller negativer Folgen bekannt zu geben. Eine allfällige gesetzliche notwenige Meldung (https://databreach.edoeb.admin.ch/report) an die Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (nachgenannt «EDÖB») unterliegt dabei nach wie vor beim Auftragsgeber bzw. letzthin Datenverantwortlichen.

Auf Verlangen des Auftraggebers ist der Auftragsbearbeiter verpflichtet, Daten zu berichtigen, sofern sie unrichtig oder unvollständig sind. Sollte eine betroffene Person ihre Rechte, insbesondere ihr Recht auf Auskunft, Herausgabe oder Übertragung der Daten, ihr Widerspruchsrecht, oder ihr Recht auf Berichtigung, Löschung oder Vernichtung der Daten, direkt gegenüber dem Auftragsbearbeiter geltend machen, wird der Auftragsbearbeiter nicht selbständig regieren, sondern die Person unverzüglich an den Auftraggeber verweisen und dessen Weisungen abwarten.

Auskünfte über Personendaten aus dem Auftragsverhältnis an Dritte oder den Betroffenen, darf der Auftragsbearbeiter nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Nach Abschluss der vertraglichen Arbeiten verpflichtet sich der Auftragsbearbeiter dazu, sämtliche Unterlagen und Nutzungsergebnisse, die im Rahmen dieses Auftragsdatenbearbeitungsvertrags entstanden sind, datenschutzgerecht zu löschen bzw. zu vernichten und dem Auftraggeber alle ihm im Rahmen des separaten Vertragsverhältnisses überlassenen Unterlagen, Daten und Datenträger zurückzugeben. Die Löschung bzw. Vernichtung erfolgt, sofern nicht ein gesetzlicher Grund entgegensteht. Es ist zu beachten, dass der Auftragsbearbeiter möglicherweise gesetzlich verpflichtet ist, bestimmte Daten für einen definierten Zeitraum aufzubewahren. Nach Ablauf dieser Frist werden die betreffenden Daten jedoch ebenfalls datenschutzgerecht ohne Voranmeldung gelöscht bzw. vernichtet.

Der Auftragsbearbeiter bestätigt, dass ihm die einschlägigen Datenschutzvorschriften bekannt sind und er sich verpflichtet, diese in vollem Umfang einzuhalten.

5. Technische und organisatorische Massnahmen («TOM»)

Der Auftragsbearbeiter verpflichtet sich dazu, angemessene technische und organisatorische Massnahmen zu treffen, um die Sicherheit der Personendaten zu gewährleisten.

Der Auftragsbearbeiter ergreift geeignete technische Massnahmen, um die Personendaten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Dies umfasst den Einsatz von Firewalls, Verschlüsselungstechnologien, Zugangskontrollen und anderen geeigneten Sicherheitsvorkehrungen.

Darüber hinaus implementiert der Auftragsbearbeiter angemessene, innerbetriebliche organisatorische Massnahmen, um sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff auf die Personendaten haben. Hierzu gehören unter anderem auch die Schulung der Mitarbeiter in Datenschutzbestimmungen und die Implementierung von Zugriffsbeschränkungen.

Diese technischen und organisatorischen Massnahmen werden regelmässig überprüft und bei Bedarf aktualisiert, um den aktuellen technologischen Standards und den geltenden Datenschutzbestimmungen zu entsprechen.

6. Ort der Datenbearbeitung

Die Bearbeitung der Daten findet ausschliesslich in der Schweiz oder in einem Drittland statt, das die gesetzlichen Datenschutzvoraussetzungen erfüllt.

Sofern eine Datenbearbeitung im Ausland bzw. eine Weitergabe von Daten ins Ausland erfolgt, wird vorgängig sichergestellt, dass die datenschutzrechtlichen Anforderungen eingehalten werden:

  • Die Auslagerung an einen Unterbeauftragten in einem Mitgliedsstaat der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) oder in einem Land, das gemäss dem geltenden DSG über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass eine vertragliche Vereinbarung gemäss DSG abgeschlossen wird (sog. Auftragsbearbeitungsvertrag).
  • Die Auslagerung an einen Unterbeauftragten in einem Land, welches nicht über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass der Auftragnehmer und der Unterbeauftragte eine vertragliche Vereinbarung nach Massgabe des DSG abschliessen (sog. Auftragsbearbeitungsvertrag [ADV]) und die besonderen Voraussetzungen des DSG erfüllt sind, insbesondere:
  • Weil der Auftragnehmer den angemessenen Datenschutz durch den Abschluss von Standarddatenschutzklauseln mit dem Unterauftragnehmer sicherstellt, welche der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat

und

  • im Bedarfsfall in Ergänzung zu den Standarddatenschutzklauseln zusätzliche Massnahmen vereinbart und umgesetzt worden sind.

7. Unterauftragsverhältnisse mit Subunternehmen

Der Auftragsbearbeiter erbringt seine Leitungen grundsätzlich selbst. Der Einsatz von Subunternehmen ist grundsätzlich zulässig.

Der Subunternehmer ist sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Eine Beauftragung von weiteren Auftragsbearbeiter in Drittstaaten darf nur erfolgen, wenn die gesetzlichen Datenschutzvoraussetzungen erfüllt sind.

Der Auftragsbearbeiter ist verpflichtet, alle datenschutzrechtlichen Pflichten gemäss dem Vertrag auf den Subunternehmer vertraglich zu übertragen und sicherzustellen, dass der Subunternehmer in vollem Umfang den Datenschutzbestimmungen und vertraglichen Anforderungen entspricht.

8. Haftung

Für den Ersatz von Schäden oder anderen Ansprüchen, die im Zusammenhang mit der Bearbeitung von Personendaten entstehen, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Ein direkter Rückgriff auf den Auftragsbearbeiter ist nur dann zulässig, wenn der Auftragsbearbeiter grob fahrlässig gehandelt oder vorsätzlich gegen die Bestimmungen dieses Vertrags verstossen hat. Für die (grob) fahrlässige Verletzung der Verpflichtung ist die Haftung soweit gesetzlich zulässig auf maximal das Dreifache des Honorars für den betroffenen Auftrag beschränkt.

9. Schlussbestimmungen

Sollte eine Bestimmung dieses Vertrags ungültig oder nicht durchsetzbar sein, oder sollte dieser Vertrag eine Lücke aufweisen, so wird hierdurch die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen des Vertrags nicht berührt. Die ungültige oder nicht durchsetzbare Bestimmung bzw. die Lücke wird durch eine gültige und durchsetzbare Regelung ersetzt, die aus der Sicht der Parteien wirtschaftlich der Zielsetzung, die mit der ungültigen oder nicht durchsetzbaren Bestimmung verbunden war, am nächsten kommt.

Diese Vereinbarung unterliegt ausschliesslich schweizerischem Recht, unter Ausschluss des Kollisionsrechts. Der Gerichtsstand ist der Sitz von Fidinter (aktuell) Zürich.

In Abweichung allfälliger Schriftformvorbehalte im Mandatsvertrag kann die vorliegende ADV auch auf elektronischem Weg zwischen den Parteien vereinbart werden.

Die Pflichten aus dieser ADV gelten zusätzlich zu den im Mandatsvertrag festgelegten Pflichten, den AGB von Fidinter und schränken letztere beiden Punkte nicht ein.

Im Übrigen gelten die Bestimmungen in den AGB, in allfälligen ergänzenden Mandatsverträgen und in der Datenschutzerklärung (DSE). Bei etwaigen Widersprüchen zwischen dieser Vereinbarung und den AGB oder allfälligen ergänzenden Mandatsverträgen gehen zunächst die Bestimmungen in ergänzenden Mandatsverträgen und sekundär diejenigen in den AGB vor.

Gültig ab 01. September 2023

 

Download ADV