Dieser Auftragsverarbeitungsvertrag gilt zwischen der
learnFLEX AG, Bern (nachfolgend "Auftragsbearbeiter"),
und
der jeweiligen Kundenorganisation (nachfolgend "Verantwortlicher"),
zusammen "die Parteien".
1.1. Der Auftragsbearbeiter erbringt für den Verantwortlichen gestützt auf ein separates Vertragsverhältnis (nachfolgend «Hauptvertrag») Dienstleistungen (Schulungserstellungen, Schulungsdurchführungen, zur Verfügungstellung des Lernmanagementsystems sowie der Kurserstellungsfunktionen).
1.2. Die Tätigkeiten des Auftragsbearbeiters können dabei u.a. folgendes umfassen:
Speicherung von zweckmässigen Kontaktinformationen
Empfangen und Bearbeiten von Personen-, Online-Identifikations-, Berufs- und Kontaktdaten
Erstellung von Schulungsübersichten mit Personendaten
Verwaltung und Speicherung Personen-, Online-Identifikations-, Berufs- und Kontaktdaten
1.3. Es können dabei insbesondere folgende Kategorien von Personendaten betroffen sein:
Personenstammdaten (z.B. Name, Vorname, Geschlecht)
Online-Identifikationsdaten (z.B. IP-Adressen, Nutzer-IDs, Cookies)
Berufsdaten (z.B. Personalnummer, Abteilung, Betriebsstandort, Position)
Kontakt- und Kommunikationsdaten (z.B. Telefon, E-Mail, Adresse, Sprache)
IT-Nutzungsdaten (z.B. UserID, Rollen)
Schulungsdaten (z.B. Kursstand, Schulungserfolg)
1.4. Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags und kann nur mit diesem zusammen ordentlich oder ausserordentlich gekündigt werden.
2.1. Der Auftragsbearbeiter verwendet die ihm vom Verantwortlichen weitergeleiteten Personendaten ausschliesslich zur Erfüllung der im Hauptvertrag genannten Dienstleistungen.
Der Auftragsbearbeiter bearbeitet Daten nur für den vereinbarten Zweck und nur auf Weisung des Verantwortlichen. Falls eine Weisung des Verantwortlichen gegen geltende gesetzliche Vorschriften verstösst, wird der Auftragsbearbeiter den Verantwortlichen umgehend darauf hinweisen.
Kopien oder Duplikate der Daten dürfen nur mit Zustimmung des Verantwortlichen erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenverarbeitung erforderlich sind, sowie Kopien, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
2.2. Der Auftragsbearbeiter sorgt stets für eine angemessene Datensicherheit gemäss geltendem Datenschutzrecht. Er hält sich dabei mindestens an die vereinbarten TOMS (vgl. Punkt 3).
Jede Verletzung des Datenschutzes oder Unregelmässigkeiten werden unverzüglich dem Verantwortlichen gemeldet und alle relevanten Details der Verletzung, einschliesslich der Art der Verletzung, der betroffenen Personendaten, der möglichen Auswirkungen sowie der ergriffenen oder geplanten Massnahmen zur Eindämmung des Vorfalls und zur Minimierung eventueller negativer Folgen bekannt gegeben.
2.3. Der Auftragsbearbeiter verpflichtet sich dazu, sämtliche Personendaten, die ihm im Rahmen der Auftragsbearbeitung bekannt werden, vertraulich zu behandeln. Der Auftragsbearbeiter verpflichtet alle Hilfspersonen und Mitarbeiter zur Geheimhaltung, soweit sie dies nicht schon von Gesetzes wegen sind.
Diese Verpflichtung bleibt auch nach Beendigung des Vertrags bestehen.
2.4. Der Auftragsbearbeiter erbringt seine vertraglichen Leistungen grundsätzlich selbst und nutzt Unterauftragsbearbeiter (bspw. Subunternehmer) nur mit schriftlicher Genehmigung (bspw. per E-Mail) des Verantwortlichen. Der Beizug des Unterauftragsbearbeiters gilt ohne Widerspruch innert 30 Tagen seit Kenntnisnahme durch den Verantwortlichen als genehmigt.
Der Auftragsbearbeiter ist verpflichtet, alle datenschutzrechtlichen Pflichten gemäss dem Vertrag auf den Unterauftragsbearbeiter vertraglich zu übertragen und sicherzustellen, dass der Unterauftragsbearbeiter in vollem Umfang den Datenschutzbestimmungen und vertraglichen Anforderungen entspricht.
2.5. Der Auftragsbearbeiter unterstützt den Verantwortlichen bei Bedarf bei der Einhaltung des Datenschutzrechts, insb. zur Erfüllung von Betroffenenrechten. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsbearbeiter wendet, wird der Auftragsbearbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
2.6. Der Auftragsverarbeiter verarbeitet und speichert die Personendaten, solange es für die Erfüllung der vertraglichen und gesetzlichen Pflichten oder sonst die mit der Bearbeitung verfolgten Zwecke erforderlich ist, d. h. also zum Beispiel für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags). Sobald die Personendaten nicht mehr erforderlich sind, werden sie grundsätzlich und soweit möglich gelöscht oder pseudonymisiert. Darüber hinaus können die Personendaten weiter bearbeitet werden, etwa wegen gesetzlichen Aufbewahrungs- und Dokumentationspflichten. Dabei ist es möglich, dass Personendaten für die Zeit aufbewahrt werden, in der Ansprüche gegen den Auftragsverarbeiter geltend gemacht werden können.
2.7. Der Verantwortliche verpflichtet sich, bei der Benutzung des Lernmanagementsystems die datenschutzrechtlichen Pflichten einzuhalten. Wenn der Verantwortliche auf dem System Personendaten und weitere Daten beschafft, bearbeitet, speichert oder löscht, klärt er die Datenschutzregelungen direkt mit den betroffenen Personen oder Unternehmen. Der Verantwortliche wird an diesem Zeitpunkt selbst Auftragsverarbeiter und trifft entsprechende Vorkehrungen nach geltenden Datenschutzgesetzen.
3.1. Der Auftragsbearbeiter hat angemessene technische und organisatorische Massnahmen zu ergreifen und aufrechtzuerhalten, so dass die Bearbeitung den Anforderungen der anwendbaren Datenschutzgesetze entspricht und den Schutz der Rechte der betroffenen Personen gewährleistet.
3.2. Der Auftragsbearbeiter ergreift geeignete technische Massnahmen, um die Personendaten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Dies umfasst den Einsatz von Firewalls, Verschlüsselungstechnologien, Zugangskontrollen und anderen geeigneten Sicherheitsvorkehrungen.
3.3. Darüber hinaus implementiert der Auftragsbearbeiter angemessene, innerbetriebliche organisatorische Massnahmen, um sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff auf die Personendaten haben. Hierzu gehören unter anderem auch die Schulung der Mitarbeiter in Datenschutzbestimmungen und die Implementierung von Zugriffsbeschränkungen.
3.4. Diese technischen und organisatorischen Massnahmen werden regelmässig überprüft und bei Bedarf aktualisiert, um den aktuellen technologischen Standards und den geltenden Datenschutzbestimmungen zu entsprechen.
3.5. Der Verantwortliche hat das Recht, nach Absprache mit dem Auftragsbearbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende unabhängige Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsbearbeiter in dessen Geschäftsbetrieb zu überzeugen.
3.6. Der Auftragsbearbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsbearbeiter gemäss DSG überzeugen kann. Der Auftragsbearbeiter verpflichtet sich, dem Verantwortlicher auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Massnahmen nachzuweisen.
4.1. Der Verantwortliche und der Auftragsbearbeiter haften für den Schaden, der durch eine nicht gesetzes- oder vereinbarungskonforme Bearbeitung verursacht wird im Aussenverhältnis gemeinsam gegenüber der betroffenen Person.
4.2. Der Auftragsbearbeiter haftet ausschliesslich für Schäden, die auf einer von ihm durchgeführten Verarbeitung beruhen, bei der er (a) den gesetzlichen oder vertraglichen Verpflichtungen nicht nachgekommen ist, (b) unter Nichtbeachtung der rechtmässig erteilten Weisungen des Verantwortlichen handelte; oder (c) er gegen die rechtmässig erteilen Weisungen des Verantwortlichen gehandelt hat.
4.3. Soweit der Verantwortliche zum Schadenersatz gegenüber der betroffenen Person verpflichtet ist, bleibt ihm der Rückgriff auf den Auftragsbearbeiter vorbehalten. Weitergehende Haftungsansprüche nach den allgemeinen gesetzlichen Vorschriften bleiben vorbehalten.
5.1. Änderungen oder Ergänzungen dieses Vertrags oder von Teilen davon bedürfen der Schriftform.
5.2. Sollte eine Bestimmung dieses Vertrags ungültig oder nicht durchsetzbar sein, oder sollte dieser Vertrag eine Lücke aufweisen, so wird hierdurch die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen des Vertrags nicht berührt. Die ungültige oder nicht durchsetzbare Bestimmung bzw. die Lücke wird durch eine gültige und durchsetzbare Regelung ersetzt, die aus der Sicht der Parteien der Zielsetzung, die mit der ungültigen oder nicht durchsetzbaren Bestimmung verbunden war, am nächsten kommt.
5.3. Diese Vereinbarung unterliegt ausschliesslich schweizerischem Recht. Der Gerichtsstand ist Bern.
5.4. Der Verantwortliche bestätigt den Auftragsverarbeitungsvertrag mündlich oder per E-Mail.
