Fernzugriff

Planura – AVV

Auftragsverarbeitungsvertrag für Planura

zwischen

Deltaworks AG
Via Sogn Giacun 31
7165 Breil/Brigels
info@deltaworks.ch
nachfolgend Auftragsverarbeiterin

und

dem jeweiligen Kunden der Software Planura
nachfolgend Verantwortlicher

1. Gegenstand und Zweck

Dieser Auftragsverarbeitungsvertrag regelt die Bearbeitung personenbezogener Daten durch die Auftragsverarbeiterin im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der Software Planura sowie damit verbundener Support-, Hosting-, Wartungs- und Betriebsleistungen.

Die Auftragsverarbeiterin bearbeitet personenbezogene Daten ausschliesslich im Auftrag und nach Weisung des Verantwortlichen, soweit keine gesetzliche Pflicht zur abweichenden Bearbeitung besteht.

Die datenschutzrechtliche Verantwortung für die Rechtmässigkeit der Bearbeitung personenbezogener Daten verbleibt beim Verantwortlichen.

2. Dauer

Dieser Auftragsverarbeitungsvertrag gilt ab Beginn der Bearbeitung personenbezogener Daten durch die Auftragsverarbeiterin und für die Dauer des Vertragsverhältnisses betreffend Planura.

Pflichten, die ihrer Natur nach über die Vertragsdauer hinaus bestehen, insbesondere betreffend Vertraulichkeit, Datensicherheit sowie Löschung oder Rückgabe von Daten, gelten über die Vertragsbeendigung hinaus fort.

3. Art und Zweck der Bearbeitung

Die Bearbeitung erfolgt zum Zweck der Bereitstellung und des Betriebs der Software Planura sowie zur Erbringung der vertraglich vereinbarten Leistungen.

Dazu können insbesondere folgende Bearbeitungshandlungen gehören:

  • Erfassen, Speichern und Verwalten von Daten
  • Strukturieren, Ordnen und Aufbereiten von Daten
  • Bereitstellen von Such-, Anzeige- und Auswertungsfunktionen
  • Sichern, Wiederherstellen und Archivieren im Rahmen des Systembetriebs
  • Übermitteln von Daten innerhalb der Systemumgebung gemäss Konfiguration des Verantwortlichen
  • Analysieren und Bearbeiten von Supportfällen
  • Warten, Aktualisieren und Überwachen der technischen Umgebung

Die konkrete Nutzung der Software und damit auch die konkreten Bearbeitungszwecke innerhalb der Anwendung werden vom Verantwortlichen bestimmt.

4. Kategorien personenbezogener Daten und betroffener Personen

Die Auftragsverarbeiterin bearbeitet jene personenbezogenen Daten, die der Verantwortliche im Rahmen der Nutzung von Planura erfasst, hochlädt, speichert, verwaltet oder anderweitig bearbeiten lässt.

Dabei kann es sich insbesondere um folgende Kategorien personenbezogener Daten handeln:

  • Stamm- und Kontaktdaten
  • Kommunikationsdaten
  • Benutzer- und Zugangsdaten
  • Projektdaten
  • Vertrags- und Abrechnungsdaten
  • Protokoll- und Metadaten
  • Sonstige Daten, die der Verantwortliche in Planura bearbeitet

Von der Bearbeitung betroffen sein können insbesondere folgende Personenkategorien:

  • Mitarbeitende des Verantwortlichen
  • Kunden und Geschäftspartner des Verantwortlichen
  • Ansprechpartner bei Lieferanten und Dritten
  • Nutzerinnen und Nutzer der Software
  • Weitere Personen, deren Daten der Verantwortliche im Rahmen seiner Geschäftstätigkeit in Planura bearbeitet

Besonders schützenswerte Personendaten sollen nur bearbeitet werden, soweit dies vom Verantwortlichen ausdrücklich veranlasst wird und rechtlich zulässig ist.

5. Weisungen des Verantwortlichen

Die Auftragsverarbeiterin bearbeitet personenbezogene Daten ausschliesslich im Rahmen der dokumentierten Weisungen des Verantwortlichen.

Als Weisungen gelten insbesondere:

  • Die vertraglichen Vereinbarungen zwischen den Parteien
  • Die Konfigurationen und Nutzungseinstellungen innerhalb der Software
  • Schriftliche oder in Textform mitgeteilte Anweisungen des Verantwortlichen
  • Supportanfragen und Aufträge des Verantwortlichen, soweit diese die Bearbeitung personenbezogener Daten betreffen

Mündliche Weisungen sind von der Auftragsverarbeiterin nur dann verbindlich umzusetzen, wenn sie vom Verantwortlichen unverzüglich in Textform bestätigt werden.

Erachtet die Auftragsverarbeiterin eine Weisung als rechtswidrig oder datenschutzrechtlich bedenklich, weist sie den Verantwortlichen darauf hin. Die Auftragsverarbeiterin ist berechtigt, die Umsetzung einer offensichtlich rechtswidrigen Weisung auszusetzen, bis diese bestätigt oder angepasst wird.

Soweit die Auftragsverarbeiterin gesetzlich verpflichtet ist, personenbezogene Daten zu bearbeiten oder offenzulegen, informiert sie den Verantwortlichen vorgängig, sofern dies rechtlich zulässig ist.

6. Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmässigkeit der Bearbeitung personenbezogener Daten verantwortlich.

Er stellt insbesondere sicher:

  • Dass für die Bearbeitung personenbezogener Daten eine gültige Rechtsgrundlage besteht
  • Dass betroffene Personen gesetzlich erforderliche Informationen erhalten
  • Dass nur solche Daten bearbeitet werden, deren Bearbeitung erforderlich und zulässig ist
  • Dass Weisungen an die Auftragsverarbeiterin rechtmässig sind
  • Dass allfällige Geheimhaltungspflichten eingehalten werden
  • Dass Anfragen betroffener Personen, Behörden oder Gerichte datenschutzrechtlich korrekt behandelt werden

7. Vertraulichkeit und Zugriff

Die Auftragsverarbeiterin stellt sicher, dass alle mit der Bearbeitung personenbezogener Daten befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.

Der Zugriff auf personenbezogene Daten erfolgt nur durch jene Personen, die diesen zur Erfüllung ihrer Aufgaben benötigen.

Die Auftragsverarbeiterin stellt durch geeignete organisatorische und technische Massnahmen sicher, dass Zugriffe auf personenbezogene Daten rollenbasiert und auf das erforderliche Minimum beschränkt werden.

8. Datensicherheit

Die Auftragsverarbeiterin trifft angemessene technische und organisatorische Massnahmen, um personenbezogene Daten gegen unbefugte oder unrechtmässige Bearbeitung sowie gegen Verlust, Zerstörung, Veränderung oder unbefugte Offenlegung zu schützen.

Zu diesen Massnahmen gehören insbesondere, soweit für die konkrete Leistung relevant:

  • Zugangskontrollen für Systeme und Anwendungen
  • Rollen- und Berechtigungskonzepte
  • Verschlüsselung bei der Übertragung personenbezogener Daten nach dem Stand der Technik
  • Schutz der Systeme durch geeignete Sicherheitsmechanismen
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Datensicherungen und Verfahren zur Wiederherstellung
  • Protokollierung sicherheitsrelevanter Vorgänge, soweit angemessen
  • Regelmässige Wartung, Aktualisierung und Überprüfung der eingesetzten Systeme
  • Interne Prozesse zur Behandlung von Sicherheitsereignissen

Die Auftragsverarbeiterin kann die technischen und organisatorischen Massnahmen an technische Entwicklungen und geänderte Risiken anpassen, sofern das Schutzniveau insgesamt nicht abgesenkt wird.

9. Unterstützung des Verantwortlichen

Die Auftragsverarbeiterin unterstützt den Verantwortlichen in angemessenem Umfang bei der Erfüllung seiner datenschutzrechtlichen Pflichten, soweit dies die Bearbeitung im Auftrag betrifft und der Verantwortliche die erforderlichen Informationen nicht selbst beschaffen kann.

Dies gilt insbesondere für:

  • Auskunftsbegehren betroffener Personen
  • Berichtigung, Löschung oder Einschränkung der Bearbeitung
  • Datenherausgabe oder Datenübertragbarkeit, soweit anwendbar
  • Abklärung von Datenschutzvorfällen
  • Anfragen von Aufsichtsbehörden
  • Datenschutz-Folgenabschätzungen, soweit erforderlich und zumutbar

Ein erheblicher zusätzlicher Aufwand der Auftragsverarbeiterin kann separat nach Aufwand zu den jeweils gültigen Ansätzen der Auftragsverarbeiterin verrechnet werden, sofern nichts anderes vereinbart wurde.

10. Meldung von Datensicherheitsverletzungen

Die Auftragsverarbeiterin informiert den Verantwortlichen so rasch als möglich, wenn sie Kenntnis von einer Verletzung der Datensicherheit erhält, welche personenbezogene Daten betrifft, die sie im Auftrag des Verantwortlichen bearbeitet.

Die Mitteilung enthält, soweit möglich und zumutbar, insbesondere Angaben zu:

  • Art der Verletzung der Datensicherheit
  • Betroffenen Datenkategorien und Personengruppen
  • Möglichen Folgen
  • Bereits ergriffenen oder vorgeschlagenen Massnahmen
  • Kontaktstelle für Rückfragen

Die Auftragsverarbeiterin unterstützt den Verantwortlichen in angemessenem Umfang bei der Untersuchung, Eindämmung und Behebung der Datensicherheitsverletzung.

11. Unterauftragsverarbeiter

Die Auftragsverarbeiterin ist berechtigt, Unterauftragsverarbeiter für die Erbringung ihrer Leistungen beizuziehen, insbesondere für Hosting, Infrastruktur, Wartung, Support, Kommunikation, Datensicherung und Sicherheitsleistungen.

Der Verantwortliche erteilt hierfür eine allgemeine Genehmigung.

Die Auftragsverarbeiterin stellt sicher:

  • Dass Unterauftragsverarbeiter sorgfältig ausgewählt werden
  • Dass diese nur im erforderlichen Umfang Zugang zu personenbezogenen Daten erhalten
  • Dass mit ihnen vertragliche Regelungen abgeschlossen werden, die ein im Wesentlichen gleichwertiges Datenschutzniveau sicherstellen
  • Dass der Verantwortliche auf Anfrage Auskunft über die wesentlichen Unterauftragsverarbeiter erhält

Beabsichtigt die Auftragsverarbeiterin den Beizug neuer Unterauftragsverarbeiter oder wesentliche Änderungen bei bestehenden Unterauftragsverarbeitern, informiert sie den Verantwortlichen in geeigneter Form vorgängig oder mit angemessener Vorankündigung.

Erhebt der Verantwortliche aus datenschutzrechtlich begründeten Gründen innert angemessener Frist Einspruch, werden die Parteien eine sachgerechte Lösung suchen. Kann keine sachgerechte Lösung gefunden werden, kann die Auftragsverarbeiterin die betroffene Leistung einstellen oder der Verantwortliche den betroffenen Vertragsteil ausserordentlich kündigen.

12. Datenbearbeitung im Ausland

Die Bearbeitung personenbezogener Daten kann in der Schweiz, im EWR oder in anderen Staaten erfolgen, soweit dies für die Leistungserbringung erforderlich und datenschutzrechtlich zulässig ist.

Soweit personenbezogene Daten in Staaten ohne angemessenes Datenschutzniveau bearbeitet oder zugänglich gemacht werden, sorgt die Auftragsverarbeiterin für geeignete Garantien nach anwendbarem Datenschutzrecht, soweit diese erforderlich sind.

Die Auftragsverarbeiterin informiert den Verantwortlichen auf Anfrage über die relevanten Bearbeitungsländer und die hierfür eingesetzten Garantien, soweit dies für die datenschutzrechtliche Beurteilung erforderlich ist.

13. Nachweise und Kontrollen

Die Auftragsverarbeiterin weist dem Verantwortlichen auf angemessene Anfrage nach, dass sie ihren Pflichten aus diesem Auftragsverarbeitungsvertrag im wesentlichen Umfang nachkommt.

Dieser Nachweis kann insbesondere erfolgen durch:

  • Aktuelle Beschreibungen der technischen und organisatorischen Massnahmen
  • Sicherheits- und Datenschutzdokumentationen
  • Aktuelle Informationen zu Unterauftragsverarbeitern
  • Geeignete Bestätigungen, Berichte oder Zertifizierungen, soweit vorhanden

Vor-Ort-Kontrollen oder weitergehende Audits durch den Verantwortlichen oder einen unabhängigen Prüfer sind nur bei berechtigtem Anlass, nach angemessener Vorankündigung, während der üblichen Geschäftszeiten und unter Wahrung von Geschäftsgeheimnissen sowie der Vertraulichkeit anderer Kunden zulässig.

Kontrollen dürfen den Geschäftsbetrieb der Auftragsverarbeiterin nicht unverhältnismässig beeinträchtigen. Der Aufwand kann separat verrechnet werden, sofern die Auftragsverarbeiterin die Kontrolle nicht selbst zu vertreten hat.

14. Rückgabe und Löschung von Daten

Nach Beendigung des Vertragsverhältnisses betreffend Planura wird die Auftragsverarbeiterin personenbezogene Daten des Verantwortlichen nach dessen Wahl zurückgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht oder ein berechtigter technischer Grund für eine vorübergehende weitere Speicherung besteht.

Soweit technisch möglich und vertraglich vorgesehen, kann die Rückgabe in einem von der Auftragsverarbeiterin festgelegten, üblichen Format erfolgen.

Sicherheitskopien und Backup-Daten können vorübergehend weiterbestehen, bis sie im Rahmen der ordentlichen Backup-Zyklen überschrieben oder gelöscht werden. Während dieser Zeit bleiben sie den Schutzpflichten dieses Vertrags unterstellt und dürfen nicht für andere Zwecke verwendet werden.

Erteilt der Verantwortliche nach Vertragsende innert angemessener Frist keine Weisung zur Rückgabe oder Löschung, ist die Auftragsverarbeiterin berechtigt, die personenbezogenen Daten nach Ablauf einer angemessenen Aufbewahrungsfrist zu löschen.

15. Eigene Bearbeitung durch die Auftragsverarbeiterin

Die Auftragsverarbeiterin bearbeitet personenbezogene Daten, die sie im Rahmen dieses Vertrags als Auftragsverarbeiterin erhält, nicht für eigene Zwecke.

Davon ausgenommen bleiben Bearbeitungen, zu denen die Auftragsverarbeiterin gesetzlich verpflichtet oder berechtigt ist, sowie Bearbeitungen eigener Daten, die für die Vertragsadministration, Rechnungsstellung, IT-Sicherheit, Missbrauchsverhinderung, Nachweisführung oder Rechtsdurchsetzung erforderlich sind.

16. Haftung

Die Haftung der Parteien richtet sich nach den zwischen ihnen abgeschlossenen Hauptverträgen, insbesondere den anwendbaren Allgemeinen Geschäftsbedingungen, soweit darin datenschutzrechtliche Pflichten nicht zwingend abweichend geregelt werden müssen.

Soweit keine besondere Haftungsregelung besteht, haftet jede Partei nach den gesetzlichen Vorschriften für Schäden, die sie durch eine schuldhafte Verletzung dieses Auftragsverarbeitungsvertrags verursacht.

17. Verhältnis zu weiteren Vertragsdokumenten

Dieser Auftragsverarbeitungsvertrag ergänzt die zwischen den Parteien bestehenden Verträge betreffend Planura.

Bei Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag und anderen vertraglichen Regelungen gehen die Bestimmungen dieses Auftragsverarbeitungsvertrags vor, soweit sie die Bearbeitung personenbezogener Daten im Auftrag betreffen.

Ergänzend gelten die jeweils aktuellen AGB sowie die Datenschutzerklärung der Auftragsverarbeiterin, soweit diese nicht im Widerspruch zu diesem Auftragsverarbeitungsvertrag stehen.

18. Schlussbestimmungen

Änderungen und Ergänzungen dieses Auftragsverarbeitungsvertrags bedürfen der Textform, sofern nicht eine strengere Form gesetzlich vorgeschrieben ist.

Sollten einzelne Bestimmungen dieses Auftragsverarbeitungsvertrags unwirksam oder undurchsetzbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die betreffende Bestimmung ist durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen und datenschutzrechtlichen Zweck möglichst nahekommt.

Es gilt schweizerisches Recht.

Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz der Deltaworks AG in Breil/Brigels, Graubünden, Schweiz.

Stand: 2. März 2026