gemäss Art. 28 DSGVO und Art. 9 DSG (Schweiz)

Präambel

Der Auftragnehmer erbringt für den Auftraggeber Dienstleistungen nach Massgabe des separat abgeschlossenen Hauptvertrags (Lizenz- oder Partnervertrag). Im Rahmen dieser Leistungen verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien gemäss Art. 28 DSGVO und Art. 9 DSG (Schweiz).

§ 1  Gegenstand, Art und Zweck der Verarbeitung

(1)  Gegenstand des Auftrags ist die automatisierte Generierung von Datenschutzerklärungen, der Betrieb einer Consent-Management-Lösung sowie die Erstellung von Impressen für Websites des Auftraggebers bzw. seiner Endkunden im Rahmen der Nutzung der Software-as-a-Service-Lösung «PrivacyBee».

(2)  Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag. Die Verarbeitung umfasst die Erhebung, Speicherung und Verarbeitung der unter § 2 genannten Datenarten zur Erfüllung dieser Dienstleistung.

(3)  (3)  Verarbeitungsort und Drittlandtransfers. Die Verarbeitung erfolgt primär in der Schweiz und/oder im Europäischen Wirtschaftsraum (EWR). Für den Datentransfer aus dem EWR in die Schweiz gilt der Angemessenheitsbeschluss der EU-Kommission.

Soweit der Auftragnehmer zur Leistungserbringung Subunternehmer einsetzt, die personenbezogene Daten in Drittländern ohne Angemessenheitsbeschluss verarbeiten, erfolgt dies ausschliesslich auf Basis geeigneter Garantien gemäss Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln, SCC 2021/914) oder eines gültigen Angemessenheitsbeschlusses. Die eingesetzten Subunternehmer, deren Serverstandorte und die jeweils geltenden Transfermechanismen sind in Anlage 2 vollständig aufgeführt.

Für den Einsatz von OpenAI L.L.C. / OpenAI Ireland Ltd. (Impressum-Generierung, Use Case B) liegt ein Transfer Impact Assessment (TIA) gemäss Schrems-II-Anforderungen vor (Dokument: TIA-2026-001-OpenAI, Stand 22. Mai 2026). Das Restrisiko dieses Transfers ist als mittel bewertet und dokumentiert akzeptiert. Das TIA ist auf Anfrage beim Auftragnehmer erhältlich.

(4)  (4)  Paralleles Geltungsregime DSGVO / DSG.  Diese Vereinbarung gilt parallel für die Verordnung (EU) 2016/679 (DSGVO) und das Schweizer Bundesgesetz über den Datenschutz (DSG) einschliesslich der Datenschutzverordnung (DSV). Verweise auf einzelne Bestimmungen der DSGVO sind sinngemäss auch als Verweise auf die entsprechenden Bestimmungen des DSG zu verstehen, insbesondere:

• Art. 4 Nr. 7 DSGVO (Verantwortlicher) entspricht Art. 5 lit. j DSG
• Art. 28 DSGVO (Auftragsverarbeitung) entspricht Art. 9 DSG
• Art. 32 DSGVO (Sicherheit der Verarbeitung) entspricht Art. 8 DSG iVm Art. 1–6 DSV
• Art. 33 DSGVO (Meldung von Datenpannen) entspricht Art. 24 DSG
• Art. 35–36 DSGVO (Datenschutz-Folgenabschätzung) entsprechen Art. 22–23 DSG
• Art. 12–22 DSGVO (Betroffenenrechte) entsprechen Art. 25–29 DSG

§ 2  Datenarten und betroffene Personen

(1)  Verarbeitete Datenarten:

• Personenstammdaten (u.A. Name, Anschrift, Funktion)
• Kommunikationsdaten (E-Mail, Telefon)
• Vertrags- und Nutzungsdaten der Software
• Eingegangene Einwilligungen (Consents) von Webseitenbesuchenden des Auftraggebers
• Technische Identifier zum Nachweis der Einwilligung (insbesondere IP-Adresse, Zeitstempel, User-Agent, Endgerät- und Browserinformationen)
• Öffentlich zugängliche Impressumsdaten der Websites des Auftraggebers bzw. seiner Endkunden (u.A. Name/Firma, Adresse, Kontaktdaten der Websitebetreiber)

(2)  Kategorien betroffener Personen:

• Geschäftskunden des Auftraggebers
• Mitarbeitende und Ansprechpartner des Auftraggebers
• Besucherinnen und Besucher der Websites des Auftraggebers bzw. seiner Endkunden
• Websitebetreiber als Endkunden des Auftraggebers (inkl. Einzelunternehmer und natürliche Personen als Inhaber)

§ 3  Zustandekommen und Dauer

(1)  (1)  Automatischer Abschluss. Diese Vereinbarung kommt automatisch zustande, sobald der Auftraggeber

• eine kostenpflichtige Lizenz für die PrivacyBee-Software aktiviert (Statuswechsel auf «Active» gemäss Hauptvertrag § 4.1a), oder
• eine Testphase (Trial) für die PrivacyBee-Software startet,

und dabei personenbezogene Daten im Sinne von § 2 verarbeitet werden. Es bedarf keiner gesonderten Unterzeichnung dieser Vereinbarung durch den Auftraggeber. Die Aktivierung der Lizenz bzw. der Testphase gilt als Zustimmung zu dieser Vereinbarung. Der Auftraggeber wird bei Aktivierung auf diese Vereinbarung hingewiesen und erhält eine Kopie.

(2)  Diese Vereinbarung läuft, solange der Hauptvertrag besteht oder solange der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, je nachdem, welcher Zeitpunkt später eintritt.

(3)  Der Auftraggeber kann diese Vereinbarung ausserordentlich kündigen, wenn der Auftragnehmer schwerwiegend gegen seine Pflichten verstösst, eine berechtigte Weisung nicht ausführt oder Kontrollrechte vertragswidrig verweigert.

§ 4  Verantwortlichkeit und Weisungen

(1)  Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO bzw. Art. 5 lit. j DSG und trägt die datenschutzrechtliche Verantwortung für die Rechtmässigkeit der Verarbeitung.

(2)  Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Auftraggebers, soweit nicht eine gesetzliche Verpflichtung besteht. Im letztgenannten Fall informiert der Auftragnehmer den Auftraggeber vor der Verarbeitung, sofern das Recht dies nicht verbietet.

(3)  Hält der Auftragnehmer eine Weisung für rechtswidrig, teilt er dies dem Auftraggeber unverzüglich mit. Bis zur Klärung kann er die Ausführung aussetzen.

(4)  Weisungen können in Textform erteilt werden, einschliesslich über die im Hauptvertrag bzw. in der Software vorgesehenen Konfigurationsmöglichkeiten.

§ 5  Vertraulichkeit

Der Auftragnehmer setzt zur Auftragserfüllung nur Personen ein, die zur Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 lit. b DSGVO bzw. Art. 9 Abs. 1 DSG) und mit den geltenden Datenschutzbestimmungen vertraut sind.

§ 6  Datensicherheit

(1)  Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Massnahmen nach Art. 32 DSGVO bzw. Art. 8 DSG iVm Art. 1–6 DSV. Die konkreten Massnahmen ergeben sich aus Anlage 1.

(2)  Der Auftragnehmer darf alternative Massnahmen umsetzen, sofern das Sicherheitsniveau erhalten bleibt. Wesentliche Änderungen werden dokumentiert und dem Auftraggeber in Textform mitgeteilt.

§ 7  Subunternehmer

(1)  Der Auftraggeber genehmigt allgemein den Einsatz von Subunternehmern (Art. 28 Abs. 2 S. 2 DSGVO bzw. Art. 9 Abs. 1 lit. b DSG). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subunternehmer sind in Anlage 2 aufgeführt, einschliesslich Serverstandort und anwendbarem Transfermechanismus.

(2)  Beabsichtigte Änderungen (Aufnahme oder Wechsel eines Subunternehmers) zeigt der Auftragnehmer dem Auftraggeber mindestens 30 Tage vor Wirksamwerden in Textform an. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Anzeige aus berechtigten datenschutzrechtlichen Gründen in Textform widersprechen.

(3)  Im Falle eines berechtigten Widerspruchs sind die Vertragsparteien bemüht, eine einvernehmliche Lösung zu finden. Kommt diese nicht zustande, steht dem Auftraggeber ein ausserordentliches Kündigungsrecht für den Hauptvertrag zu.

(4)  Der Auftragnehmer schliesst mit jedem Subunternehmer eine Vereinbarung, die den Anforderungen des Art. 28 DSGVO bzw. Art. 9 DSG entspricht. Bei Subunternehmern in Drittländern ohne Angemessenheitsbeschluss werden zusätzlich geeignete Garantien nach Art. 46 DSGVO (insbesondere SCCs) vereinbart.

(5)  (5)  Restrisiko Drittlandtransfers.  Der Auftraggeber nimmt zur Kenntnis, dass der Auftragnehmer für einzelne Verarbeitungsschritte Subunternehmer in Drittländern einsetzt (insbesondere OpenAI für KI-gestützte Dienste). Trotz geeigneter Garantien (SCCs, TIA) verbleibt ein Restrisiko durch US-Gesetze (FISA 702, Cloud Act). Dieses Restrisiko ist im Transfer Impact Assessment TIA-2026-001-OpenAI dokumentiert und vom Auftragnehmer als vertretbar bewertet. Das TIA ist auf Anfrage erhältlich. Der Auftraggeber bestätigt mit Aktivierung der Lizenz, diesen Hinweis zur Kenntnis genommen zu haben.

§ 8  Betroffenenrechte

(1)  Der Auftragnehmer unterstützt den Auftraggeber mit angemessenen technischen und organisatorischen Massnahmen bei der Erfüllung der Rechte betroffener Personen nach Art. 12 bis 22 DSGVO bzw. Art. 25–29 DSG, insbesondere bei Auskunfts-, Berichtigungs- und Löschbegehren.

(2)  Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter.

(3)  Berichtigungen, Löschungen oder Einschränkungen erfolgen nur auf Weisung des Auftraggebers.

(4)  (4)  Einschränkungen bei Drittland-Subunternehmern. Soweit die Ausübung von Betroffenenrechten (insbesondere Art. 17 DSGVO, Löschrecht) Daten betrifft, die bei Drittland-Subunternehmern verarbeitet werden, leitet der Auftragnehmer die Anfrage unverzüglich weiter und informiert den Auftraggeber über allfällige rechtliche Hindernisse (z.B. US-rechtliche Aufbewahrungspflichten). Der Auftragnehmer kann in solchen Fällen keine uneingeschränkte Durchsetzung des Löschrechts gegenüber dem Subunternehmer garantieren.

§ 9  Meldepflichten und Unterstützung

(1)  Der Auftragnehmer benennt einen zentralen Ansprechpartner für Datenschutzthemen. Soweit eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten oder einer Datenschutzberaterin / eines Datenschutzberaters (Art. 10 DSG) besteht, teilt er die Kontaktdaten mit.

(2)  Der Auftragnehmer meldet eine ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO bzw. Art. 24 Abs. 2 DSG erforderlichen Angaben, soweit dem Auftragnehmer bekannt.

(3)  Der Auftragnehmer trifft in Abstimmung mit dem Auftraggeber unverzüglich angemessene Massnahmen zur Sicherung der Daten und Schadensminderung.

(4)  Der Auftragnehmer unterstützt den Auftraggeber bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO bzw. Art. 22 DSG) und vorherigen Konsultationen (Art. 36 DSGVO bzw. Art. 23 DSG) im erforderlichen Umfang.

(5)  Der Auftragnehmer informiert den Auftraggeber über aufsichtsbehördliche Massnahmen, soweit diese diesen Auftrag betreffen.

§ 10  Beendigung

(1)  Nach Beendigung des Auftrags löscht der Auftragnehmer alle personenbezogenen Daten oder gibt sie nach Wahl des Auftraggebers zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2)  Die Löschung wird dem Auftraggeber auf Anforderung in Textform bestätigt.

(3)  Nachweisdokumente zur ordnungsgemässen Datenverarbeitung darf der Auftragnehmer entsprechend gesetzlicher Aufbewahrungsfristen weiter speichern.

§ 11  Kontrollrechte

(1)  Der Auftragnehmer weist die Einhaltung dieser Vereinbarung primär durch geeignete Nachweise. Der Auftragnehmer stellt diese Nachweise dem Auftraggeber auf Anforderung zur Verfügung.

(2)  Reichen die Nachweise nach Absatz 1 im begründeten Einzelfall nicht aus, kann der Auftraggeber nach Vorankündigung von mindestens 30 Tagen eine Vor-Ort-Inspektion zu üblichen Geschäftszeiten durchführen, höchstens einmal jährlich. Der Auftraggeber trägt die ihm dabei entstehenden Kosten.

(3)  Die Inspektion ist so durchzuführen, dass der Geschäftsbetrieb des Auftragnehmers möglichst wenig beeinträchtigt wird. Vom Auftraggeber beauftragte Prüfer dürfen keine Wettbewerber des Auftragnehmers sein und sind zur Vertraulichkeit zu verpflichten.

§ 12  Haftung

(1)  Die Haftung der Vertragsparteien richtet sich nach Art. 82 DSGVO sowie nach den anwendbaren Bestimmungen des Schweizer Obligationenrechts (OR). Im Innenverhältnis haften die Vertragsparteien entsprechend ihrem jeweiligen Verantwortungsanteil.

(2)  Die Vertragsparteien unterstützen einander mit allen verfügbaren Informationen, sofern eine Partei aufgrund der Auftragsverarbeitung mit Ansprüchen Dritter, behördlichen Verfahren oder Bussgeldverfahren konfrontiert wird.

(3)  (3)  Haftungsbeschränkung Drittlandtransfers. [NEU]  Der Auftragnehmer haftet nicht für Schäden, die daraus entstehen, dass ein Drittland-Subunternehmer aufgrund zwingender ausländischer Rechtsvorschriften (insbesondere US CLOUD Act, FISA 702) zur Offenlegung oder Aufbewahrung von Daten verpflichtet wird, sofern der Auftragnehmer die vertraglich vereinbarten Schutzmassnahmen (SCCs, TIA, Datenminimiering) implementiert hat und den Auftraggeber nach Massgabe der rechtlichen Möglichkeiten informiert.

§ 13  Anwendbares Recht und Gerichtsstand

(1)  Auf diese Vereinbarung ist Schweizer Recht anwendbar, unter Ausschluss des Wiener Kaufrechts (CISG) und der Kollisionsnormen des IPRG. Zwingende Bestimmungen der DSGVO und des DSG bleiben unberührt.

(2)  Ausschliesslicher Gerichtsstand für Streitigkeiten aus dieser Vereinbarung ist Bern, Schweiz.

§ 14  Schlussbestimmungen

(1)  Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Vereinbarung unberührt. Die unwirksame Bestimmung ist durch eine Regelung zu ersetzen, die der ursprünglichen wirtschaftlich und datenschutzrechtlich am nächsten kommt.

(2)  Bei Widersprüchen zwischen Hauptvertrag und dieser Vereinbarung gehen die datenschutzrechtlichen Regelungen dieser Vereinbarung vor.

(3)  Die Leistungen des Auftragnehmers nach dieser Vereinbarung sind mit der Vergütung aus dem Hauptvertrag abgegolten. Aufwendungen für Vor-Ort-Inspektionen nach § 11 Abs. 2 trägt der Auftraggeber.

(4)  Bestandteil dieser Vereinbarung sind:

• Anlage 1 – Technische und organisatorische Massnahmen (TOM Version 2.1, Stand 22. Mai 2026)
• Anlage 2 – Verarbeitungsverzeichnis (Version 1.1, Stand 22. Mai 2026)
• Transfer Impact Assessment TIA-2026-001-OpenAI (auf Anfrage erhältlich)

Unterzeichnung

Diese Vereinbarung kommt gemäss § 3 Abs. 1 automatisch mit Aktivierung der Lizenz oder Testphase zustande.