1. Gegenstand und Dauer der Allgemeinen Geschäftsbedingungen
Diese Allgemeinen Geschäftsbedingungen (AGB zur ADV) regeln die Rechte und Pflichten der Lenz & Dudli Treuhandgesellschaft AG Gossau (nachfolgend «Auftragsbearbeiterin») sowie ihrer einzelnen Kundinnen und Kunden (nachfolgend einheitlich die einzelnen «Auftraggeber», gemeinsam die «Parteien») im Zusammenhang mit der datenschutzrechtlichen Auftragsbearbeitung. Diese AGB zur ADV sind für alle Tätigkeiten anwendbar, bei denen die Auftragsbearbeiterin ganz oder teilweise Personendaten im Auftrag und gemäss Weisungen des jeweiligen verantwortlichen Auftraggebers bearbeitet oder bearbeiten lässt.
Die Auftragsbearbeiterin erbringt für den Auftraggeber Treuhand- und Buchhaltungsdienstleistungen sowie Steuer- und Unternehmensberatungsdienstleistungen gestützt auf ein separates Vertragsverhältnis. Diese AGB zur ADV sind somit Bestandteil dieses Vertragsverhältnisses. Sie werden in der Folge mit AGB oder mit Auftragsdatenbearbeitungsvertrag oder -Vereinbarung bezeichnet.
Diese AGB ermöglichen es den Parteien, ihren Verpflichtungen nach dem anwendbaren Datenschutzrecht nachzukommen, wenn die Auftragsbearbeiterin für
den Auftraggeber Personendaten bearbeitet. Sie konkretisiert die Verpflichtungen der Parteien zum Datenschutz, die sich aus der im separaten Vertrag beschriebenen Auftragsbearbeitung ergeben. Die Bestimmungen dieser AGB finden Anwendung auf alle Tätigkeiten, die mit dem separaten Vertragsverhältnis in Zusammenhang stehen und bei welcher die Auftragsbearbeiterin und seine Beschäftigten oder durch die Auftragsbearbeiterin Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
Die Laufzeit dieser AGB richtet sich nach der Laufzeit des separaten Vertragsverhältnisses und kann nur mit diesem zusammen ordentlich oder ausserordentlich gekündigt werden.
2. Art der Bearbeitung und Art der Daten
Die Auftragsbearbeiterin erhält Zugriff auf personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im separaten Vertragsverhältnis beschrieben werden.
Die Tätigkeiten der Auftragsbearbeiterin können dabei unter anderem folgendes
umfassen:
- Empfangen, Bearbeitung und Versand von Lohndaten
- Erstellung und Versand von Lohnabrechnungen
- Verwaltung von Mitarbeiterstammdaten
- Erstellung von Bescheinigungen und Meldungen an die Behörden und Versicherungen
- Zugriff auf und Bearbeitung von Daten beim Auftraggeber oder direkt bei seinem Kunden
- Empfangen, Bearbeiten und Versand von Buchhaltungsunterlagen insbesondere Rechnungen, Verträge, Korrespondenz, Belege und Journale usw.
- Empfang, Bearbeiten und Versand von Steuerunterlagen insbesondere Rechnungen, Lohnausweise, Bankbelege, Versicherungsbelege, Bescheinigungen, usw.
Für die Ausführung dieser Tätigkeiten erforderliche Personendaten:
- Personenstammdaten
- Mitarbeiterstammdaten
- Kommunikationsdaten
- Vertragsstammdaten
- Lohndaten
- Sozialversicherungs- und Gesundheitsdaten
- Abrechnungs- und Zahlungsdaten inkl. Betreibungs- und Konkursamtliche Dokumente
- Allenfalls weitere sich aus dem separaten Vertragsverhältnis ergebenden Personendaten
3. Pflichten der Auftragsbearbeiterin
3.1. Die Auftragsbearbeiterin und ihr unterstellten Personen, die Zugang zu den Personendaten haben, dürfen die Daten nur im Rahmen des Auftrags und der Weisungen des Auftraggebers bearbeiten (beschaffen, speichern, aufbewahren, verwenden, verändern, bekanntgeben, archivieren, löschen oder vernichten etc.), ausser es liegt ein Ausnahmefall vor, z.B. bei Ermittlungen von Strafverfolgungsbehörden. In einem solchen Fall teilt die Auftragsbearbeiterin dem Auftraggeber diese rechtliche Anordnung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Bei einem Wechsel der weisungsberechtigten Personen oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner der Nachfolger bzw. der Vertreter zu benennen. Falls eine Weisung des Auftraggebers gegen geltende gesetzliche Vorschriften verstösst, wird die Auftragsbearbeiterin den Auftraggeber umgehend darauf hinweisen.
3.2. Die Auftragsbearbeiterin nutzt die zur Bearbeitung überlassenen Daten ausschliesslich für den vereinbarten Zweck und nicht für eigene Zwecke. Er stellt keine Kopien oder Duplikate der Daten ohne das Wissen des Auftraggebers her, es sei denn, es handelt sich um Sicherungskopien.
3.3. Die Auftragsbearbeiterin ist nicht berechtigt, im Auftrag bearbeitete Daten während der Vertragsdauer eigenmächtig zu löschen oder anderweitig zu vernichten. Jegliche Löschung oder Vernichtung der Daten darf ausschliesslich aufgrund einer schriftlichen Weisung des Auftraggebers erfolgen, es sei denn, es liegt ein gesetzlicher Grund vor, der eine solche Massnahme erfordert.
3.4. Die Bearbeitung von Daten ausserhalb des Unternehmensstandorts der Auftragsbearbeiterin, wie beispielsweise im Homeoffice von Mitarbeitenden, wird hiermit durch den Auftraggeber gestattet. In Fällen, in denen die Datenbearbeitung in einer Privatwohnung stattfindet, sind angemessene Sicherheitsmassnahmen sicherzustellen.
3.5. Die Auftragsbearbeiterin verpflichtet sich dazu, sämtliche Personendaten, die ihr im Rahmen dieses Auftragsdatenbearbeitungsvertrags bekannt werden, vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. Die Auftragsbearbeiterin wird sicherstellen, dass alle Personen, die Zugang zu den Personendaten haben oder mit deren Bearbeitung beauftragt sind, über die Vertraulichkeitsverpflichtung informiert und entsprechend vertraglich gebunden sind.
3.6. Die Auftragsbearbeiterin ist verpflichtet, allfällige Verletzungen des Datenschutzes oder Unregelmässigkeiten unverzüglich dem Auftraggeber zu melden und alle relevanten Details der Verletzung, einschliesslich der Art der Verletzung, der betroffenen Personendaten, der möglichen Auswirkungen sowie der ergriffenen oder geplanten Massnahmen zur Eindämmung des Vorfalls und zur Minimierung eventueller negativer Folgen bekannt zu geben.
3.7. Auf Verlangen des Auftraggebers ist die Auftragsbearbeiterin verpflichtet, Daten zu berichtigen, sofern sie unrichtig oder unvollständig sind. Sollte eine betroffene Person ihre Rechte, insbesondere ihr Recht auf Auskunft, Herausgabe oder Übertragung der Daten, ihr Widerspruchsrecht, oder ihr Recht auf Berichtigung, Löschung oder Vernichtung der Daten, direkt gegenüber der Auftragsbearbeiterin geltend machen, wird die Auftragsbearbeiterin nicht selbständig regieren, sondern die Person unverzüglich an den Auftraggeber verweisen und dessen Weisungen abwarten.
3.8. Auskünfte über Personendaten aus dem Auftragsverhältnis an Dritte oder den Betroffenen, darf die Auftragsbearbeiterin nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.
3.9. Nach Abschluss der vertraglichen Arbeiten verpflichtet sich die Auftragsbearbeiterin dazu, sämtliche Unterlagen und Nutzungsergebnisse, die im Rahmen dieses Auftragsdatenbearbeitungsvertrags entstanden sind, datenschutzgerecht zu löschen bzw. zu vernichten und dem Auftraggeber alle ihm im Rahmen des separaten Vertragsverhältnisses überlassenen Unterlagen, Daten und Datenträger zurückzugeben. Die Löschung bzw. Vernichtung erfolgt, sofern nicht ein gesetzlicher Grund entgegensteht. Es ist zu beachten, dass die Auftragsbearbeiterin möglicherweise gesetzlich verpflichtet ist, bestimmte Daten für einen definierten Zeitraum aufzubewahren. Nach Ablauf dieser Frist werden die betreffenden Daten jedoch ebenfalls datenschutzgerecht gelöscht bzw. vernichtet.
3.10.Die Auftragsbearbeiterin bestätigt, dass ihr die einschlägigen Datenschutzvorschriften bekannt sind und sie sich verpflichtet, diese in vollem Umfang einzuhalten.
4. Technische und organisatorische Massnahmen
4.1. Die Auftragsbearbeiterin verpflichtet sich dazu, angemessene technische und organisatorische Massnahmen zu treffen, um die Sicherheit der Personendaten zu gewährleisten.
4.2. Die Auftragsbearbeiterin ergreift geeignete technische Massnahmen, um die Personendaten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Dies umfasst den Einsatz von Firewalls, Verschlüsselungstechnologien, Zugangskontrollen und anderen geeigneten Sicherheitsvorkehrungen.
4.3. Darüber hinaus implementiert die Auftragsbearbeiterin angemessene innerbetriebliche organisatorische Massnahmen, um sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff auf die Personendaten haben. Hierzu gehören unter anderem auch die Schulung der Mitarbeiter in Datenschutzbestimmungen und die Implementierung von Zugriffsbeschränkungen.
4.4. Diese technischen und organisatorischen Massnahmen werden regelmässig überprüft und bei Bedarf aktualisiert, um den aktuellen technologischen Standards und den geltenden Datenschutzbestimmungen zu entsprechen.
5. Ort der Datenbearbeitung
5.1. Die Bearbeitung der Daten findet ausschliesslich in der Schweiz oder in einem Drittland statt, das die gesetzlichen Datenschutzvoraussetzungen erfüllt.
5.2. Sofern eine Datenbearbeitung im Ausland bzw. eine Weitergabe von Daten ins Ausland erfolgt, wird vorgängig sichergestellt, dass die datenschutzrechtlichen Anforderungen eingehalten werden:
Die Auslagerung an einen Unterbeauftragten in einen Mitgliedsstaat der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) oder in ein Land, das gemäss dem geltenden DSG über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass eine vertragliche Vereinbarung gemäss DSG abgeschlossen wird (sog. Auftragsbearbeitungsvertrag).
Die Auslagerung an einen Unterbeauftragten in einem in einem Land, welches nicht über einen angemessenen Datenschutz verfügt, ist unter der Bedingung zulässig, dass die Auftragsbearbeiterin und der Unterbeauftragte entweder eine vertragliche Vereinbarung nach Massgabe des DSG abschliessen (sog. Auftragsbearbeitungsvertrag, ADV) oder ein angemessener Datenschutz durch Standartvertragsklauseln (SCC), welche durch den EDÖB bewilligt wurden, gewährleistet wird und die besonderen Voraussetzungen des DSG erfüllt sind.
5.3. Die Verwendung folgender Unterbeauftragter wird hierbei ausdrücklich durch den Auftragnehmer angezeigt und durch den Auftraggeber zugestimmt:
- Microsoft Corporation, One Microsoft Way, Redmond, WA, 98052-6399 USA
- Abacus Research AG, Abacus-Platz 1, 9300 Wittenbach, CH
- ALL Consulting AG, Schuppistrasse 10, 9016 St. Gallen, CH
- Ringler Informatik AG, Baarermattstrasse 10, 6340 Baar, CH
- A. Lehmann Elektro AG, Tellstrasse 4, 9200 Gossau (SG), CH
- Infomaniak Network AG, Rue Eugène Marziano 25, 1227 Les Acacias (GE), CH
6. Unterauftragsverhältnisse mit Subunternehmen
6.1. Die Auftragsbearbeiterin erbringt ihre Leitungen grundsätzlich selbst. Der Einsatz von Subunternehmen ist nur mit vorheriger Zustimmung des Auftraggebers zulässig.
6.2. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn die Auftragsbearbeiterin weitere Auftragsbearbeiter mit der Erbringung sämtlicher oder eines Teils der im Vertrag vereinbarten Leistungen beauftragt.
6.3. Die Auftragsbearbeiterin ist verpflichtet, Änderungen im Zusammenhang mit dem Subunternehmen, wie beispielsweise die Hinzuziehung oder Ersetzung eines Subunternehmens, dem Auftraggeber zu melden.
6.4. Der Subunternehmer ist sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Eine Beauftragung von weiteren Auftragsbearbeitern in Drittstaaten darf nur erfolgen, wenn die gesetzlichen Datenschutzvoraussetzungen erfüllt sind.
6.5. Die Auftragsbearbeiterin ist verpflichtet, alle datenschutzrechtlichen Pflichten gemäss dem Vertrag auf den Subunternehmer vertraglich zu übertragen und
sicherzustellen, dass der Subunternehmer in vollem Umfang den Datenschutzbestimmungen und vertraglichen Anforderungen entspricht.
7. Haftung
7.1. Für den Ersatz von Schäden oder anderen Ansprüchen, die im Zusammenhang mit der Bearbeitung von Personendaten entstehen, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Ein direkter Rückgriff auf die Auftragsbearbeiterin ist nur dann zulässig, wenn die Auftragsbearbeiterin grob fahrlässig gehandelt oder vorsätzlich gegen die Bestimmungen dieser AGB verstossen hat.
8. Schlussbestimmungen
8.1. Änderungen oder Ergänzungen dieser AGB oder von Teilen davon werden auf der Website der Lenz & Dudli Treuhandgesellschaft publiziert.
8.2. Sollte eine Bestimmung dieser AGB ungültig oder nicht durchsetzbar sein, oder sollte diese AGB eine Lücke aufweisen, so wird hierdurch die Gültigkeit und
Durchsetzbarkeit der übrigen Bestimmungen der AGB nicht berührt. Die ungültige oder nicht durchsetzbare Bestimmung bzw. die Lücke wird durch eine gültige und durchsetzbare Regelung ersetzt, die aus der Sicht der Parteien wirtschaftlich der Zielsetzung, die mit der ungültigen oder nicht durchsetzbaren Bestimmung verbunden war, am nächsten kommt.
8.3. Diese AGB unterliegen ausschliesslich schweizerischem Recht, unter Ausschluss des Kollisionsrechts. Der Gerichtsstand ist 9200 Gossau, Schweiz.
Gossau, 7. August 2023
Lenz & Dudli Treuhandgesellschaft AG Gossau