Auftrags­verarbeitungs­vertrag

Dieser Auftragsverarbeitungsvertrag (nachfolgend "Vertrag") regelt die Rechte und Pflichten von cyon und der Kundschaft (nachfolgend "Parteien") in Bezug auf die Auftragsverarbeitung. cyon ermöglicht der Kundschaft mit diesem Vertrag die Einhaltung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung.

Art, Gegenstand und Zweck der Auftragsverarbeitung ergeben sich aus den jeweiligen bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien wie insbesondere Allgemeinen Geschäftsbedingungen (AGB) und Vereinbarungen für Hosting-Dienstleistungen.

Die Kundschaft bestätigt und cyon anerkennt, dass die Kundschaft für die Verarbeitung von Hosting-Daten gemäss dem anwendbaren Datenschutzrecht selbst verantwortlich ist. Die Kundschaft ist verantwortlich im datenschutzrechtlichen Sinn. cyon ist Auftragsverarbeiterin im datenschutzrechtlichen Sinn. Die Kundschaft bestimmt über Mittel und Zweck der Auftragsverarbeitung sowie über die Kategorien der verarbeiteten Hosting-Daten und die Kategorien der betroffenen Personen.

cyon verarbeitet Hosting-Daten so, wie es für die Erfüllung von Leistungspflichten und sonstigen Pflichten gemäss vertraglichen Vereinbarungen zwischen den Parteien einschliesslich dieses Vertrages erforderlich ist.

Ist die Kundschaft ihrerseits Auftragsverarbeiterin, weil sie gemäss vertraglichen Vereinbarungen für Hosting-Dienstleistungen berechtigt ist, den Speicherplatz ihren eigenen Kundinnen und Kunden zur Verfügung zu stellen, so bestätigt die Kundschaft, dass ihre eigenen Kundinnen und Kunden sie zur Auftragsverarbeitung und zur Unterauftragsverarbeitung durch cyon ermächtigt haben.

cyon ist verpflichtet, Hosting-Daten ausschliesslich zur Erbringung von Hosting-Dienstleistungen und gemäss vertraglichen Vereinbarungen zwischen den Parteien einschliesslich dieses Vertrages zu verarbeiten. Die Erfüllung gesetzlicher oder regulatorischer Pflichten durch cyon bleibt vorbehalten.

cyon ist bereit, weitergehende, die Auftragsverarbeitung betreffende Weisungen der Kundschaft umzusetzen. Voraussetzungen für diese Bereitschaft sind, dass solche Weisungen für cyon im Rahmen der vertraglichen Vereinbarungen zwischen den Parteien umsetzbar und objektiv zumutbar sind, nicht zu einem geänderten Leistungsumfang führen und keine Mehrkosten verursachen. Die Kundschaft ist verpflichtet, Weisungen in einer Form, die den Nachweis durch Text erlaubt, gegenüber cyon zu dokumentieren.

cyon ist verpflichtet, die Kundschaft zu informieren, wenn cyon feststellt, dass die Verarbeitung von Hosting-Daten in Abweichung von vertraglichen Vereinbarungen zwischen den Parteien oder von Weisungen der Kundschaft erfolgt. Gesetzliche Geheimhaltungspflichten bleiben vorbehalten.

cyon ist verpflichtet, die Kundschaft zu informieren, wenn cyon der Auffassung ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstösst. In diesem Fall ist cyon berechtigt, die betreffende Verarbeitung von Hosting-Daten auszusetzen, bis die Kundschaft die Weisung ausdrücklich und unter vollständiger Freistellung von cyon bestätigt hat. cyon ist nicht verpflichtet, die Einhaltung von anwendbarem Datenschutzrecht durch die Kundschaft zu prüfen.

cyon ist berechtigt und verpflichtet, Hosting-Daten nach Ende der Laufzeit der entsprechenden vertraglichen Vereinbarung über Hosting-Dienstleistungen zu löschen. Es ist Sache der Kundschaft, Hosting-Daten vor Ende der Laufzeit von Hosting-Dienstleistungen herunterzuladen.

cyon ist verpflichtet, für die Einhaltung der Bestimmungen dieses Vertrages durch die mit der Auftragsverarbeitung betrauten Mitarbeitenden und anderen für cyon tätigen Personen, die Zugriff auf Hosting-Daten erhalten, zu sorgen. cyon ist verpflichtet, Personen mit Zugang zu Hosting-Daten zur Wahrung der Geheimhaltung zu verpflichten, sofern nicht bereits eine entsprechende gesetzliche Verpflichtung zur Geheimhaltung besteht.

Die Kundschaft ist verpflichtet, in ihrem Verantwortungsbereich selbstständig geeignete technische und organisatorische Massnahmen zum Schutz der Hosting-Daten zu treffen.

Die Kundschaft ist verpflichtet, cyon ohne Verzug zu informieren, wenn die Kundschaft im Zusammenhang mit der Auftragsverarbeitung eine Verletzung von anwendbarem Datenschutzrecht oder von Pflichten gemäss diesem Vertrag feststellt.

cyon gewährleistet im Interesse der Integrität, Nachvollziehbarkeit, Verfügbarkeit und Vertraulichkeit der Hosting-Daten mit geeigneten technischen und organisatorischen Massnahmen eine dem Risiko angemessene Datensicherheit. cyon implementiert insbesondere Zugangs- und Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung und Bewertung der Wirksamkeit der ergriffenen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt cyon insbesondere die Art der verarbeiteten Hosting-Daten, Art, Umfang, Umstände und Zweck der Auftragsverarbeitung, die hauptsächlichen Gefahren sowie die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen Massnahmen.

cyon informiert die Kundschaft ohne Verzug, wenn cyon Kenntnis von einer Verletzung der Datensicherheit erlangt, die Hosting-Daten betrifft. Dabei teilt cyon der Kundschaft die Art der Verletzung und deren Folgen sowie die ergriffenen oder vorgesehenen Massnahmen mit. Die Parteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der Hosting-Daten sicherzustellen und mögliche Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen zu mildern. cyon stellt der Kundschaft auf Anfrage ausreichende Informationen zur Verfügung, damit die Kundschaft ihre Pflichten gemäss anwendbarem Datenschutzrecht betreffend die Meldung von Verletzungen der Datensicherheit erfüllen kann.

cyon unterstützt die Kundschaft auf Anfrage und gegen angemessene separate Vergütung sowie im Rahmen der betrieblichen Möglichkeiten und Ressourcen bei der Erfüllung von datenschutzrechtlichen Ansprüchen betroffener Personen. Richtet sich eine betroffene Person mit datenschutzrechtlichen Ansprüchen, welche die Kundschaft betreffen, direkt an cyon, wird cyon die betroffene Person an die Kundschaft verweisen. Voraussetzung dafür ist, dass cyon eine Zuordnung an die Kundschaft gestützt auf die Angaben der betroffenen Person vornehmen kann.

cyon ist bereit, der Kundschaft auf Anfrage und gegen angemessene separate Vergütung sowie unter Berücksichtigung der betrieblichen Möglichkeiten und Ressourcen bei Datenschutz-Folgenabschätzungen und bei Konsultationen von Datenschutz-Aufsichtsbehörden zu unterstützen.

cyon ist berechtigt, Dritte für die Erbringung von Hosting-Dienstleistungen beizuziehen. cyon bleibt in diesem Fall gegenüber der Kundschaft Auftragsverarbeiterin und erfüllt die Pflichten gemäss diesem Vertrag. Davon zu unterscheiden sind Fälle, in denen cyon der Kundschaft einen direkten Vertragsschluss mit Dritten vermittelt, und Dritte direkt im Auftrag der Kundschaft tätig werden. In solchen Fällen hat die Kundschaft selbst dafür besorgt zu sein, gemäss anwendbarem Datenschutzrecht allenfalls erforderliche Vereinbarungen mit den Dritten zu treffen.

cyon trifft beim Beizug von Unterauftragsverarbeitenden, beispielsweise für die Dienstleistung "Sitebuilder", im erforderlichen Umfang vertragliche Vereinbarungen, die cyon die Einhaltung der Pflichten gemäss diesem Vertrag ermöglichen.

cyon stellt bei Dritten in Ländern, deren Gesetzgebung keinen angemessenen Datenschutz gewährleistet, sicher, dass ein geeigneter Datenschutz gemäss den Vorgaben des anwendbaren Datenschutzrechts gewährleistet wird. cyon vereinbart insbesondere genehmigte Standarddatenschutzklauseln oder verwendet andere geeignete Garantien.

cyon führt eine Liste der Unterauftragsverarbeitenden. cyon informiert die Kundschaft vorab per E-Mail oder auf andere geeignete Weise, wenn cyon im Zusammenhang mit Hosting-Daten neue Unterauftragsverarbeitende beizieht. Wenn die Kundschaft einem neuen Unterauftragsverarbeitenden nicht innerhalb von 30 Tagen nach dem Datum der Information aus wichtigen datenschutzrechtlichen Gründen widerspricht, gilt der neue Unterauftragsverarbeitende als genehmigt. Sofern cyon nach einem Widerspruch nicht bereit ist, auf den neuen Unterauftragsverarbeitenden zu verzichten oder der Kundschaft eine andere Lösung anzubieten, ist die Kundschaft berechtigt, die entsprechende Vereinbarung über Hosting-Dienstleistungen ausserordentlich und fristlos zu kündigen, sofern der neue Unterauftragsverarbeitende definitiv nicht akzeptiert wird.

cyon stellt der Kundschaft auf Anfrage alle Informationen zur Verfügung, welche die Kundschaft vernünftigerweise zum Nachweis der Einhaltung ihrer datenschutzrechtlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung gegenüber betroffenen Personen oder Datenschutz-Aufsichtsbehörden benötigt.

cyon ermöglicht der Kundschaft oder einer von der Kundschaft beauftragten und zur Vertraulichkeit verpflichteten Prüfperson, die Einhaltung dieses Vertrages durch cyon zu prüfen. Die Prüfung hat mit vorheriger Anmeldung zu erfolgen, sofern eine Prüfung ohne vorherige Anmeldung nicht erforderlich erscheint, weil andernfalls der Prüfzweck gefährdet ist.

Bei nachgewiesenen Verletzungen von Pflichten gemäss diesem Vertrag implementiert cyon ohne Mehrkosten für die Kundschaft und ohne Verzug geeignete Korrekturmassnahmen.

Die vorstehenden Informations- und Prüfrechte der Kundschaft bestehen nur insoweit, als die vertraglichen Vereinbarungen der Kundschaft keine anderen Informations- und Prüfmöglichkeiten einräumen. Weiter stehen die Informations- und Prüfrechte unter dem Vorbehalt der Verhältnismässigkeit und der Wahrung der schutzwürdigen Interessen wie insbesondere Geheimhaltungs- und Sicherheitsinteressen von cyon. Die Kundschaft trägt vorbehältlich anderslautender Vereinbarungen zwischen den Parteien sämtliche Kosten von Information und Prüfung einschliesslich der Kosten von cyon.

Dieser Vertrag gilt während der Laufzeit jeder Auftragsverarbeitung gemäss bestehenden oder noch zu schliessenden vertraglichen Vereinbarungen zwischen den Parteien.

cyon ist jederzeit berechtigt, diesen Vertrag zu ändern. cyon informiert die Kundschaft vorab in geeigneter Weise, wenn cyon beabsichtigt, diesen Vertrag zu ändern. Wenn die Kundschaft der Änderung nicht innerhalb von 30 Tagen nach dem Datum der Information widerspricht, gilt die Änderung als genehmigt. Sofern cyon nach einem Widerspruch nicht bereit ist, auf die Änderung zu verzichten oder der Kundschaft eine andere Lösung anzubieten, ist die Kundschaft berechtigt, die entsprechende Vereinbarung über Hosting-Dienstleistungen ausserordentlich und fristlos zu kündigen, sofern die Änderung nicht akzeptiert wird.

Dieser Vertrag gilt für unbestimmte Dauer. Dieser Vertrag endet automatisch mit der letzten Vereinbarung zwischen den Parteien, die eine Auftragsverarbeitung betrifft.

Hier verwendete datenschutzrechtliche Begriffe entsprechen in ihrer Bedeutung der im anwendbaren Datenschutzrecht verwendeten Terminologie, beispielsweise "personenbezogene Daten" und "Personendaten".

Die Kommunikation gemäss diesem Vertrag ist an die E-Mail-Adresse der Kundschaft gemäss my.cyon beziehungsweise für cyon an [email protected] zu richten.

Die Bestimmungen dieses Vertrages gehen bei Widersprüchen den Bestimmungen in sonstigen vertraglichen Vereinbarungen zwischen den Parteien vor.

Die Parteien können im gegenseitigen Einvernehmen jederzeit Abweichungen von diesem Vertrag vereinbaren.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder nichtig sein oder werden, berührt dieser Umstand die Wirksamkeit oder Gültigkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder nichtigen Bestimmungen treten diejenigen Bestimmungen, welche die Parteien bei Kenntnis des Mangels beim Vertragsschluss nach Treu und Glauben sowie nach wirtschaftlicher Betrachtungsweise getroffen hätten. Entsprechendes gilt im Fall etwaiger Lücken in diesem Vertrag.

Auf allfällige aus oder im Zusammenhang mit diesem Vertrag entstehende Streitigkeiten ist ausschliesslich schweizerisches Recht anwendbar, unter Ausschluss der kollisionsrechtlichen Bestimmungen.

Ausschliesslicher Gerichtsstand bilden die ordentlichen Gerichte am Sitz von cyon. Alternativ ist cyon berechtigt, die Kundschaft an deren Sitz zu belangen.