Diese Vereinbarung zur Auftragsdatenbearbeitung („ADV Vereinbarung“) regelt die Pflichten, Rollen und Zuständigkeiten von Xelon und dem Kunden („Vertragsparteien“) in Bezug auf die Auftragsdatenbearbeitung.

Aus dem Vertrag bzw. den SLA ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Bearbeitung. Bestehen mehrere Verträge, gilt diese ADV-Vereinbarung für alle. Sie gilt für die gesamte Dauer des Vertrags und gegebenenfalls darüber hinaus bis zur Löschung der von der Auftragsdatenbearbeitung betroffenen personenbezogenen Daten (vgl. Ziff. 4.2) durch Xelon.

Die Bestimmungen dieser ADV-Vereinbarung ergänzen die Be-stimmungen des Vertrags als integrierender Bestandteil und gelten mit Abschluss des Vertrags als durch den Kunden akzeptiert. Sie schränken die Rechte und Pflichten der Vertragsparteien in Bezug auf die Erbringung bzw. die Inanspruchnahme der Dienstleistungen nicht ein. Ihren Regelungsgegenstand betreffend gehen die Bestimmungen dieser ADV-Vereinbarung indes (sofern im Vertrag nicht ausdrücklich anders vereinbart) den Bestimmungen des Vertrags vor.

Diese ADV-Vereinbarung gilt – sobald ihr der Kunde durch Abschluss des Vertrags zugestimmt hat – in Bezug auf Auftragsdatenbearbeitungen im Rahmen der von Xelon gemäss Vertrag erbrachten Dienstleistungen.

Diese ADV-Vereinbarung gilt ausdrücklich nicht in Bezug auf die Bearbeitungen personenbezogener Daten, bei denen Xelon die Zwecke und Mittel der Bearbeitung bestimmt und somit unter dem Schweizerischen Bundesgesetz über den Datenschutz (DSG) oder weiteren allenfalls anwendbaren Datenschutzgesetzen (insbesondere der EU-DSGVO) verantwortlich ist. Solche Bearbeitungen personen-bezogener Daten, die Xelon als Verantwortlicher vornimmt (z.B. Bearbeitungen personenbezogener Daten im Rahmen von Domain-Dienstleistungen oder zu Zwecken der Leistungsabrechnung oder der Kommunikation mit dem Kunden) nimmt Xelon in Übereinstimmung mit der Datenschutzerklärung von Xelon und den anwendbaren Datenschutzgesetzen vor.

Gegenstand und Zweck der Auftragsdatenbearbeitung ist die Erbringung von MSP- und/oder Provider-Dienstleistungen gemäss Vertrag bzw. SLA durch Xelon für den Kunden. Die Auftragsdatenbearbeitung besteht in der Speicherung, Bereitstellung, Übermittlung und Löschung von personenbezogenen Daten gemäss den Bestimmungen des Vertrags.

• Von der Auftragsdatenbearbeitung betroffen sind bei den

• MSP-Dienstleistungen personenbezogene Daten, die Xelon für die Leistungserbringung gegenüber dem Kunden in dessen Auftrag bearbeitet.
• Provider-Dienstleistungen personenbezogene Daten, die der Kunde gemäss seiner Wahl, auf der von Xelon für die Leistungserbringung eingesetzten Infrastruktur speichert, sowie Daten von Personen, denen der Kunde Zugriff auf seine Website oder Applikation ge-währt. Dabei handelt es sich insbesondere um personenbezogene Daten, die beim Aufrufen bzw. Ausführen und der Nutzung von Websites und Applikationen üblicherweise erhoben werden. Dazu gehören Protokolldaten, die bei der informatorischen Nutzung einer Website oder einer Applikation automatisiert erhoben werden (z.B. die IP- Adresse und des Betriebssystems des Geräts des Nutzers sowie das Datum und die Zugriffszeit des Browsers), vom Nutzer eingegebene Daten sowie vom Kunden erhobene Nutzungsdaten mit Personenbezug (nachstehend „personenbezogene Daten“).

Der Kunde entscheidet je nach Dienstleistungsmodell selbst, ob und welche Art von Daten er auf den Systemen von Xelon bearbeitet, welche Kategorien betroffener Personen und zu welchem Zweck. Folgende Datenarten oder -kategorien können Gegenstand der Auftragsdatenbearbeitung sein: Personenstammdaten (z.B. Name, Adresse, Geburtsdatum, Arbeitgeber, Position), Kundenstammdaten (z.B. Name, Adresse, Geburtsdatum), Kommunikationsdaten (z.B. Telefonnummern, E-Mail-Adressen), Unternehmensdaten (z.B. Mitarbeiter, Adressen, Bankverbindungen, Geschäftsberichte), Lieferanten-stammdaten (z.B. Mitarbeiter, Adressen, Bankverbindungen, Bewertungen), Vertragsstammdaten (z.B. Ansprechpartner, Vertragsbeziehungen), vertragsbezogene Dokumente (AGB, Verträge, Bestellungen, Rechnungen) etc.

Der Kunde bestätigt und Xelon anerkennt, dass der Kunde für die Bearbeitung der personenbezogenen Daten nach anwendbaren Datenschutzgesetzen verantwortlich ist und bleibt. Der Kunde nimmt somit die Rolle des Verantwortlichen ein. Vorbehalten bleiben Fälle, in denen der Kunde in Bezug auf die personenbezogenen Daten selbst Auftragsdatenbearbeiter ist (vgl. Ziff. 5.4).

Xelon anerkennt, dass der Kunde in der Rolle des Verantwortlichen verpflichtet ist, Xelon bei Inanspruchnahme von Dienstleistungen einige seiner Pflichten aus dem DSG oder allenfalls der EU-DSGVO (oder anderen allenfalls anwendbaren Datenschutzgesetzen) vertraglich zu überbinden.

Xelon nimmt in Bezug auf die Bearbeitung betroffener personenbezogener Daten die Rolle des Auftragsdatenbearbeiters ein. Sofern Xelon für diese Auftragsdatenbearbeitung neben dem DSG nicht zusätzlich ebenfalls der EU-DSGVO (oder anderen allenfalls anwendbaren Datenschutzgesetzen) untersteht, so nimmt Xelon diese Rolle nur auf der Grundlage der vertraglichen Pflichten von Xelon gemäss dieser ADV-Vereinbarung ein und wird nicht allein deswegen unter der EU-DSGVO (oder anderen allenfalls anwendbaren Datenschutzgesetzen) verpflichtet.

Ist der Kunde seinerseits Auftragsdatenbearbeiter (d.h. wenn der Kunde gemäss Vertrag berechtigt ist, den Speicherplatz seinen Kunden zur Verfügung zu stellen), so bestätigt er, dass sein Kunde (d.h. der Verantwortliche) ihn gemäss separater Vereinbarung zur Unter-Auftragsbearbeitung und Erteilung allfälliger Weisungen an Xelon ermächtigt hat.

Xelon verpflichtet sich, die personenbezogenen Daten nur zur Erbringung der Dienstleistungen gemäss Leistungsbeschrieb und vertraglichen Pflichten sowie gemäss dieser ADV-Vereinbarung zu bearbeiten.

Xelon ist berechtigt, personenbezogene Daten des Kunden so zu bearbeiten, wie es die Erfüllung der Leistungspflichten aus dem Vertrag sowie dieser ADV-Vereinbarung beinhaltet. Auf entsprechende Anfrage ist Xelon bereit, weitergehende, die Auftragsdatenbearbeitung betreffende Weisungen des Kunden umzusetzen. Voraussetzung dafür ist, dass diese für Xelon im Rahmen der vertraglich vereinbarten Dienstleistungen umsetzbar und objektiv zumutbar sind und nicht zu Mehrkosten oder geändertem Leistungsumfang führen. Vorbehalten bleibt in jedem Fall die Erfüllung gesetzlicher oder regulatorischer Pflichten, denen Xelon unterliegt.

Xelon sorgt für die Einhaltung der Bestimmungen dieser ADV-Vereinbarung durch die mit der Auftragsdatenbearbeitung betrauten Mitarbeiter und anderen für Xelon tätigen Personen, die Zugriff auf die personenbezogenen Daten erhalten. Xelon verpflichtet sich zudem, Personen mit Zugang zu den personenbezogenen Daten zur Wahrung der Vertraulichkeit zu verpflichten, auch über die Dauer ihrer Tätigkeit für Xelon hinaus.

Xelon verpflichtet sich, im Interesse der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit der personenbezogenen Daten angemessene technische und organisatorische Massnahmen zu treffen. Xelon implementiert insbesondere Zugangskontrollen, Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt Xelon den Stand der Technik, die Implementierungs-kosten sowie die Art, den Umfang, die Umstände und die Zwecke der Bearbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen. Die jeweils geltenden Massnahmen ergeben sich aus den aktuellen Leistungsbeschrieben von Xelon sowie dem Anhang TOM – Technische und organisatorische Sicherheitsmassnahmen. Technische und organisatorische Massnahmen unterliegen dem technischen Fortschritt. Insoweit ist es Xelon gestattet, alternative adäquate Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in den aktuellen Leistungsbeschrieben festgelegten Massnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

Xelon verpflichtet sich, den Kunden ohne Verzug schriftlich zu informieren, wenn Xelon Kenntnis von einer Datensicherheits-verletzung erlangt. Dabei hat Xelon dem Kunden die Art und das Ausmass der Verletzung sowie mögliche Abhilfemassnahmen mitzuteilen. Die Vertragsparteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der personenbezogenen Daten sicherzustellen und mögliche nachteilige Folgen für die betroffenen Personen zu mildern. Überdies verpflichtet sich Xelon, dem Kunden auf schriftliche Anfrage ausreichende Informationen zur Verfügung zu stellen, damit dieser seinen Pflichten gemäss DSG, EU-DSGVO oder anderen anwendbaren Datenschutzgesetzen betreffend die Meldung, Untersuchung und Dokumentation von Datensicherheitsverletzungen erfüllen kann.

Xelon verpflichtet sich, den Kunden auf schriftliche Anfrage und gegen separate angemessene Vergütung sowie im Rahmen der betrieblichen Ressourcen und Möglichkeiten von Xelon bei der Erfüllung von Betroffenenrechten (insbesondere Auskunfts-, Berichtigungs- und Löschrechten) durch den Kunden zu unterstützen. Richtet sich eine betroffene Person mit Forderungen betreffend die Erfüllung von Betroffenenrechten direkt an Xelon, wird Xelon die betroffene Person an den Kunden verweisen. Voraussetzung dafür ist, dass Xelon eine solche Zuordnung an den Kunden gestützt auf die Angaben der betroffenen Person vornehmen kann.

Xelon ist verpflichtet, den Kunden ohne Verzug schriftlich zu benachrichtigen, wenn Xelon eine Anfrage (z.B. ein Auskunfts- oder Löschungsbegehren) von einer betroffenen Person in Bezug auf personenbezogene Daten erhält; vorausgesetzt eine Zuordnung an den Kunden ist gestützt auf die Angaben der betroffenen Person möglich.

Xelon ist auf schriftliche Anfrage des Kunden und gegen separate angemessene Vergütung sowie unter Berücksichtigung der betrieblichen Ressourcen und Möglichkeiten von Xelon bereit, den Kunden bei Datenschutz-Folgenabschätzungen und bei Konsultationen der Aufsichtsbehörden zu unterstützen.

Xelon wird die personenbezogenen Daten nach Ende der Laufdauer des Vertrags gemäss den Bestimmungen des Vertrags herausgeben oder unverzüglich löschen.

Beansprucht der Kunde Dienstleistungen von Xelon, die personenbezogenen Daten betreffen und durch Dritte erbracht werden, bleibt Xelon gegenüber dem Kunden Auftragsdatenbearbeiter und erfüllt die diesbezüglichen Pflichten aus der ADV-Vereinbarung. Der Anbieter der Drittdienstleistung, die in der Dienstleistung von Xelon integriert wird, ist Unter-Auftragsdatenbearbeiter von Xelon. Davon zu unterscheiden sind Fälle, in denen Xelon dem Kunden einen direkten Vertragsschluss mit dem Drittdienstleister vermittelt und der Drittdienstleister direkt Auftragsdatenbearbeiter des Kunden wird. In solchen Fällen hat der Kunde selbst dafür besorgt zu sein, unter anwendbaren Datenschutzgesetzen allenfalls notwendige Vereinbarungen mit dem Drittdienstleister zu treffen.

Xelon ist berechtigt, Unter-Auftragsdatenbearbeiter im Rahmen der Erbringung der Service-Dienstleistungen von Xelon beizuziehen (z.B. im Rahmen von Supportdienstleistungen von Lieferanten und Providern, oder bei externen Services wie Domain Registrierungen oder anderen Diensten). Xelon ist in solchen Fällen verpflichtet, mit Unter-Auftragsdatenbearbeitern im erforderlichen Umfang eine Vereinbarung zu treffen, die Xelon die Einhaltung der Bestimmungen dieser ADV-Vereinbarung ermöglicht.

Xelon wird den Kunden vorab in geeigneter Weise informieren, wenn Xelon nach Inkrafttreten dieser ADV-Vereinbarung in Bezug auf bestehende Dienstleistungen neue Unter-Auftragsdatenbearbeiter beizieht oder bestehende austauscht. Wenn der Kunde dem nicht innerhalb von dreissig (30) Tagen nach dem Datum der Mitteilung aus wichtigen datenschutzrechtlichen Gründen widerspricht, gilt der neue oder ausgetauschte Unter-Auftragsdatenbearbeiter als genehmigt.

Wenn die Unter-Auftragsdatenbearbeitung eine Übermittlung von personenbezogenen Daten an einen anderen Ort beinhaltet, stellt Xelon sicher, dass die anwendbaren datenschutzrechtlichen Anforderungen durch geeignete rechtliche, technische oder organisatorische Massnahmen eingehalten werden (siehe Anhang). Eine Beauftragung von Unter-Auftragsdatenbearbeitern in Drittstaaten erfolgt grundsätzlich nur, wenn ein genügender Schutz der Personendaten besteht.

Der Kunde ist für die Rechtmässigkeit der Bearbeitung der personenbezogenen Daten, einschliesslich der Zulässigkeit der Auftrags-bzw. Unter-Auftragsdatenbearbeitung, verantwortlich.

Der Kunde trifft in seinem Verantwortungsbereich (z.B. auf seinen eigenen Systemen und Applikationen sowie je nach Vereinbarung mit Xelon in Vertrag oder SLA) selbstständig nach jeweils aktuellem Stand der Technik angemessene technische und organisatorische Massnahmen zum Schutz der personenbezogenen Daten.

Der Kunde verpflichtet sich, Xelon unverzüglich zu informieren, wenn der Kunde in der Leistungserbringung von Xelon Verletzungen von anwendbaren Datenschutzgesetzen feststellt.

Der Kunde erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich durch den Auftragnehmer schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. Wenn Xelon der Meinung ist, eine Weisung verstosse gegen Datenschutzvorschriften, informiert sie den Kunden unverzüglich. Xelon ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird.

Xelon ist verpflichtet, dem Kunden auf schriftliche Anfrage alle Informationen zur Verfügung zu stellen, die dieser vernünftigerweise zum Nachweis der Einhaltung dieser ADV-Vereinbarung gegenüber betroffenen Personen oder Datenschutzaufsichtsbehörden benötigt.

Xelon ermöglicht dem Kunden oder einem vom Kunden beauftragten und zur Vertraulichkeit verpflichteten Prüfer, die Einhaltung dieser ADV-Vereinbarung durch Xelon zu prüfen. Werden nach Vorlage entsprechender Nachweise Verletzungen der ADV-Vereinbarung durch Xelon festgestellt, hat Xelon unverzüglich und kostenlos geeignete Korrekturmassnahmen zu implementieren.

Die vorstehenden Informations- und Prüfungsrechte des Kunden bestehen nur insoweit, als der Vertrag dem Kunden keine anderen Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen der anwendbaren Datenschutzgesetze entsprechen. Weiter stehen diese Informations- und Prüfungsrechte unter dem Vorbehalt des Verhältnismässigkeitsgebots und der Wahrung der schutzwürdigen Interessen (insbesondere Sicherheits- oder Geheimhaltungsinteressen) von Xelon. Vorbehältlich einer anderslautenden Vereinbarung zwischen den Vertragsparteien trägt der Kunde sämtliche Kosten der Information und Prüfung, einschliesslich nachgewiesener interner Kosten von Xelon.

Xelon behält sich vor, diese ADV-Vereinbarung zu ändern, (a), wenn dies zur Anpassung an Rechtsentwicklungen erforderlich ist oder (b) wenn dies nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsbearbeitung führt und sich (nach Ermessen von Xelon) nicht erheblich nachteilig auf die Rechte der von der Auftragsbearbeitung betroffenen Personen auswirkt.

Xelon teilt dem Kunden beabsichtigte Änderungen dieser ADV-Vereinbarung gemäss Ziff. 10.1 spätestens dreissig (30) Tage vor Wirksamwerden mit. Wenn der Kunde der Änderung widersprechen möchte, kann er die ADV -Vereinbarung innerhalb von dreissig (30) Tagen ab Datum der Mitteilung per Supportticket im Kundenportal. Ohne Widerspruch innerhalb dieser Frist gilt die Änderung als genehmigt.

In Abweichung allfälliger zwischen im Vertrag vereinbarter Schriftformvorbehalte kann die ADV-Vereinbarung auf elektronischem Weg zwischen den Vertragsparteien vereinbart oder geändert werden.

Verlangt diese ADV-Vereinbarung eine schriftliche Aufforderung oder Mitteilung, so genügt (für Mitteilungen an den Kunden) eine E-Mail an die im Kundenportal angegebene Adresse des Kunden bzw. (für Mitteilungen an Xelon) eine E-Mail an support@xelon.ch dem Schriftformerfordernis.

Datenschutzrechtliche Begriffe wie „personenbezogene Daten“, „verarbeiten“, „Verantwortlicher“, „Auftragsdatenbearbeiter“, „Datenschutz-Folgenabschätzung“, etc. haben die ihnen im DSG oder in der EU-DSGVO zugeschriebene Bedeutung. „Datensicherheitsverletzung“, meint „Verletzung des Schutzes personenbezogener Daten“ (englisch: „Personal Data Breach“).

Der Kunde bestätigt, dass er Verantwortlicher bleibt. Xelon haftet ausschliesslich für Vorsatz und grobe Fahrlässigkeit.

Die Vertragsparteien unterwerfen sich hiermit der im Vertrag festgelegten Rechts- und Gerichtsstands Wahl für sämtliche Streitigkeiten sowie Ansprüche aus oder im Zusammenhang mit dieser ADV-Vereinbarung.

Sollten einzelne oder mehrere Bestimmungen der ADV-Vereinbarung unwirksam oder nichtig sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder nichtigen Bestimmungen tritt diejenige Regelung, welche die Vertragsparteien bei Kenntnis des Mangels zum Zeitpunkt des Abschlusses der ADV-Vereinbarung nach Treu und Glauben sowie nach wirtschaftlicher Betrachtungsweise getroffen hätten. Entsprechendes gilt im Fall etwaiger Lücken der ADV-Vereinbarung.

Hier herunterladen