CmsboxVereinbarung zur Auftragsverarbeitung (ADV)

Diese ADV-Vereinbarung regelt die Pflichten, Rollen und Zuständigkeiten von CMSBOX GmbH und dem Kunden («Vertragsparteien») in Bezug auf die Auftragsverarbeitung.

Diese ADV-Vereinbarung gilt in Bezug auf Auftragsverarbeitungen im Rahmen der von CMSBOX GmbH erbrachten Hosting-Dienstleistungen.

Diese ADV-Vereinbarung gilt ausdrücklich nicht in Bezug auf Verarbeitungen personenbezogener Daten, bei denen CMSBOX GmbH die Zwecke und Mittel der Verarbeitung bestimmt und somit unter dem Schweizerischen Bundesgesetz über den Datenschutz (DSG) oder allenfalls anwendbaren anderen Datenschutzgesetzen (insbesondere der EU-DSGVO) verantwortlich ist. Solche Verarbeitungen personenbezogener Daten, die CMSBOX GmbH als Verantwortlicher vornimmt (z.B. Verarbeitungen personenbezogener Daten im Rahmen von Domain-Dienstleistungen oder zu Zwecken der Leistungsabrechnung oder der Kommunikation mit dem Kunden) nimmt CMSBOX GmbH in Übereinstimmung mit der Datenschutzerklärung von CMSBOX GmbH (vgl. Link https://www.cmsbox.ch/ueber-uns/datenschutz) und den anwendbaren Datenschutzgesetzen vor.

Gegenstand und Zweck der Auftragsverarbeitung ist die Erbringung von Hosting-Dienstleistungen durch CMSBOX GmbH für den Kunden. Die Auftragsverarbeitung besteht in der Speicherung, Bereitstellung, Übermittlung und Löschung von personenbezogenen Hosting-Daten.

Von der Auftragsverarbeitung betroffen sind personenbezogene Daten, die der Kunde gemäss seiner Wahl auf der von CMSBOX GmbH für die Leistungserbringung eingesetzten Infrastruktur speichert sowie Daten von Personen, denen der Kunde Zugriff auf seine Website oder Applikation gewährt. Dabei handelt es sich insbesondere um personenbezogene Daten, die beim Aufrufen bzw. Ausführen und der Nutzung von Websites und Applikationen üblicherweise erhoben werden. Dazu gehören Protokolldaten, die bei der informatorischen Nutzung einer Website oder einer Applikation automatisiert erhoben werden (z.B. die IP-Adresse und das Betriebssystem des Geräts des Nutzers sowie das Datum und die Zugriffszeit des Browsers), vom Nutzer eingegebene Daten sowie vom Kunden erhobene Nutzungsdaten mit Personenbezug (nachstehend «personenbezogene Hosting-Daten»).

Der Kunde bestätigt und CMSBOX GmbH anerkennt, dass der Kunde für die Verarbeitung der personenbezogenen Hosting-Daten nach anwendbaren Datenschutzgesetzen verantwortlich ist und bleibt. Der Kunde nimmt somit die Rolle des Verantwortlichen (Art. 5 lit. j des Schweizer Datenschutzgesetz DSG) ein. Vorbehalten bleiben Fälle, in denen der Kunde in Bezug auf die personenbezogenen Hosting-Daten selbst Auftragsverarbeiter ist.

CMSBOX GmbH anerkennt, dass der Kunde in der Rolle des Verantwortlichen verpflichtet ist, CMSBOX GmbH bei Inanspruchnahme von Hosting-Dienstleistungen einige seiner Pflichten aus dem Schweizer Datenschutzgesetz (DSG) oder, sofern anwendbar, der Europäischen Datenschutzverordnung (EU-DSGVO) oder anderen allenfalls anwendbaren Datenschutzgesetzen vertraglich zu überbinden.

CMSBOX GmbH nimmt in Bezug auf die Verarbeitung betroffener personenbezogener Daten die Rolle des Auftragsverarbeiters ein.

CMSBOX GmbH verpflichtet sich, die personenbezogenen Hosting-Daten nur zur Erbringung der Hosting-Dienstleistungen gemäss Leistungsvereinbarung sowie gemäss dieser ADV-Vereinbarung zu verarbeiten.

CMSBOX GmbH ist dazu berechtigt, personenbezogene Hosting-Daten des Kunden so zu verarbeiten, wie es die Erfüllung der Leistungspflichten aus der Leistungsvereinbarung sowie dieser ADV-Vereinbarung beinhaltet. Auf entsprechende Anfrage hin ist CMSBOX GmbH bereit, weitergehende, die Auftragsverarbeitung betreffende Weisungen des Kunden umzusetzen. CMSBOX GmbH informiert den Kunden unverzüglich, wenn sie der Meinung ist, eine Weisung verstosse gegen Datenschutzvorschriften. CMSBOX GmbH ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird. CMSBOX GmbH kann die Durchführung der entsprechenden Weisung zudem verweigern, wenn diese für CMSBOX GmbH im Rahmen der vertraglich vereinbarten Hosting-Dienstleistungen nicht umsetzbar oder objektiv nicht zumutbar sind oder zu Mehrkosten oder geändertem Leistungsumfang führen oder wenn CMSBOX GmbH mit der Durchführung ihre gesetzlichen oder regulatorischen Pflichten nicht erfüllen könnte.

CMSBOX GmbH sorgt für die Einhaltung der Bestimmungen dieser ADV-Vereinbarung durch die mit der Auftragsverarbeitung betrauten Mitarbeiter und anderen für CMSBOX GmbH tätigen Personen, die Zugriff auf die personenbezogenen Hosting-Daten erhalten. CMSBOX GmbH verpflichtet sich zudem, Personen mit Zugang zu den personenbezogenen Hosting-Daten zur Wahrung der Vertraulichkeit (auch über die Dauer ihrer Tätigkeit für CMSBOX GmbH hinaus) zu verpflichten.

CMSBOX GmbH verpflichtet sich, im Interesse der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit der personenbezogenen Hosting-Daten angemessene technische und organisatorische Massnahmen zu treffen. CMSBOX GmbH implementiert insbesondere Zugangskontrollen, Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt CMSBOX GmbH den Stand der Technik, die Implementierungskosten sowie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen.

CMSBOX GmbH verpflichtet sich, den Kunden ohne Verzug schriftlich (insbes. per E-Mail oder aber per Brief) zu informieren, wenn CMSBOX GmbH Kenntnis von einer Datensicherheits-Verletzung erlangt, die personenbezogene Hosting-Daten betrifft. Dabei hat CMSBOX GmbH dem Kunden die Art und das Ausmass der Verletzung sowie mögliche Abhilfemassnahmen mitzuteilen. Die Vertragsparteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der personenbezogenen Hosting-Daten sicherzustellen und mögliche nachteilige Folgen für die betroffenen Personen zu mildern. Überdies verpflichtet sich CMSBOX GmbH, dem Kunden auf schriftliche (insbes. per E-Mail oder aber per Brief) Anfrage ausreichende Informationen zur Verfügung zu stellen, damit dieser seinen Pflichten gemäss den anwendbaren Datenschutzgesetzen betreffend die Meldung, Untersuchung und Dokumentation von Datensicherheits-Verletzungen erfüllen kann.

CMSBOX GmbH verpflichtet sich, den Kunden auf schriftlich (insbes. per E-Mail oder aber per Brief) Anfrage und gegen separate angemessene Vergütung sowie im Rahmen der betrieblichen Ressourcen und Möglichkeiten von CMSBOX GmbH bei der Erfüllung von Betroffenenrechten (insbesondere Auskunfts-, Berichtigungs- und Löschungsrechten) durch den Kunden (personenbezogene Hosting-Daten betreffend) gemäss den jeweils anwendbaren Datenschutzgesetzen (DSG und ggf. EU-DSGVO) zu unterstützen.

Richtet sich eine betroffene Person mit Forderungen betreffend die Erfüllung von Betroffenenrechten direkt an CMSBOX GmbH, wird CMSBOX GmbH die betroffene Person an den Kunden verweisen. CMSBOX GmbH ist verpflichtet, den Kunden ohne Verzug schriftlich (insbes. per E-Mail oder aber per Brief) zu benachrichtigen, wenn CMSBOX GmbH eine Anfrage (z.B. ein Auskunfts- oder Löschungsbegehren) von einer betroffenen Person in Bezug auf personenbezogene Hosting-Daten erhält. Voraussetzung ist, dass eine Zuordnung an den Kunden gestützt auf die Angaben der betroffenen Person möglich ist.

CMSBOX GmbH wird die personenbezogenen Hosting-Daten nach Ende der Laufdauer des Hosting-Dienstleistungsvertrags gemäss den Bestimmungen der Leistungsvereinbarung mit dem Kunden herausgeben oder löschen.

Beansprucht der Kunde Dienstleistungen von CMSBOX GmbH, die personenbezogene Hosting-Daten betreffen und durch Dritte erbracht werden, bleibt CMSBOX GmbH gegenüber dem Kunden Auftragsverarbeiter und erfüllt die diesbezüglichen Pflichten aus der ADV-Vereinbarung. Der Anbieter der Drittdienstleistung, die in der Dienstleistung von CMSBOX GmbH integriert wird, ist Unter-Auftragsverarbeiter (Subakkordant) von CMSBOX GmbH. Davon zu unterscheiden sind Fälle, in denen CMSBOX GmbH dem Kunden einen direkten Vertragsschluss mit dem Drittdienstleister vermittelt und der Drittdienstleister direkt Auftragsverarbeiter des Kunden wird. In solchen Fällen hat der Kunde selbst dafür besorgt zu sein, unter anwendbaren Datenschutzgesetzen allenfalls notwendige Vereinbarungen mit dem Drittdienstleister zu treffen.

Zum Zeitpunkt des Vertragsschlusses hat CMSBOX GmbH keine Unter-Auftragsverarbeiter beigezogen. CMSBOX GmbH ist aber grundsätzlich berechtigt, Unter-Auftragsverarbeiter im Rahmen der Erbringung der Hosting-Dienstleistungen von CMSBOX GmbH beizuziehen und diese auf ihrer Webseite auf einer gesonderten Liste auszuweisen.

Will CMSBOX GmbH Unter-Auftragsverarbeiter beiziehen oder zukünftig beigezogene Unter-Auftragsverarbeiter auswechseln, so teilt sie dies dem Kunden in geeigneter Weise mindestens sechzig (60) Tage im Voraus schriftlich (insbes. per E-Mail oder aber per Brief) mit. Der Kunde kann einer Erweiterung oder Anpassung der Liste der Unter-Auftragsverarbeiter innert fünfzehn (15) Tagen schriftlich widersprechen; er wird dies nur aus datenschutzrechtlichen und berechtigten Gründen tun; können sich die Parteien nicht innert fünfzehn (15) Tagen einigen, kann der Kunde die Auftragsbearbeitung und die davon betroffene Leistung des Hosting-Dienstleistungsvertrags ausserordentlich kündigen.

CMSBOX GmbH wird die Bearbeitung personenbezogener Hosting-Daten nur an solche Unter-Auftragsverarbeiter delegieren, die sich nach den Vorgaben zur Auftragsbearbeitung gemäss DSG und ggf. der EU DSGVO verpflichtet haben.

CMSBOX GmbH ist verpflichtet, keine Personendaten ins Ausland bekanntzugeben oder zu übermitteln, ausser an den Kunden selbst, seine verbundenen Unternehmen oder an Dritte in Erfüllung einer Anweisung des Kunden.

Der Kunde ist für die Rechtmässigkeit der Verarbeitung der personenbezogenen Hosting-Daten, einschliesslich der Zulässigkeit der Auftrags- bzw. Unter-Auftragsverarbeitung, verantwortlich.

Der Kunde trifft in seinem Verantwortungsbereich (z.B. auf seinen eigenen Systemen und Applikationen) selbstständig angemessene technische und organisatorische Massnahmen zum Schutz der personenbezogenen Hosting-Daten.

Der Kunde verpflichtet sich, CMSBOX GmbH unverzüglich zu informieren, wenn der Kunde in der Leistungserbringung von CMSBOX GmbH Verletzungen von anwendbaren Datenschutzgesetzen feststellt.

CMSBOX GmbH ist verpflichtet, dem Kunden auf schriftliche Anfrage alle Informationen zur Verfügung zu stellen, die dieser vernünftigerweise zum Nachweis der Einhaltung dieser ADV-Vereinbarung gegenüber betroffenen Personen oder Datenschutz- oder sonstigen Aufsichtsbehörden benötigt.

CMSBOX GmbH ermöglicht dem Kunden oder einem vom Kunden beauftragten und zur Vertraulichkeit verpflichteten Prüfer, die Einhaltung dieser ADV-Vereinbarung durch CMSBOX GmbH zu prüfen. Werden nach Vorlage entsprechender Nachweise Verletzungen der ADV-Vereinbarung durch CMSBOX GmbH festgestellt, hat CMSBOX GmbH unverzüglich und kostenlos geeignete Korrekturmassnahmen zu implementieren.

Diese Informations- und Prüfungsrechte bestehen unter dem Vorbehalt des Verhältnismässigkeitsgebots und der Wahrung der schutzwürdigen Interessen (insbesondere Sicherheits- oder Geheimhaltungsinteressen) von CMSBOX GmbH. Vorbehältlich einer anderslautenden Vereinbarung zwischen den Vertragsparteien trägt der Kunde sämtliche Kosten der Information und Prüfung, einschliesslich nachgewiesener interner Kosten von CMSBOX GmbH.

Datenschutzrechtliche Begriffe wie «personenbezogene Daten», «verarbeiten», «Verantwortlicher», «Auftragsverarbeiter», «Datenschutz-Folgenabschätzung» etc. haben die ihnen im Datenschutzrecht (insbes. dem DSG, ggf. der EU-DSGVO zugeschriebene Bedeutung. «Datensicherheits-Verletzung" meint «Verletzung des Schutzes personenbezogener Daten" (englisch: «Personal Data Breach»).

Soweit hiervor nicht ausdrücklich abweichend geregelt, finden auf die vorliegende ADV-Vereinbarung die Bestimmungen der allgemeinen Geschäftsbedingungen der CMSBOX GmbH auf ihrer Webseite unter dem Link [https://www.cmsbox.ch/adv] Anwendung.