Schulsportplaner
Querformat verwenden

Für optimale Nutzung des Schulsportplaners, bitte Gerät im Querformat nutzen.

ANHANG 1: AUFTRAGSBEARBEITUNGSVEREINBARUNG

Der Lehrmittelverlag St. Gallen ("Dienstleisterin") und der Kunde ("Auftraggeber") haben einen Hauptvertrag geschlossen, in dessen Rahmen die Dienstleisterin Personendaten im Auftrag des Auftraggebers bearbeiten wird. Mit der Vereinbarung soll diese Auftragsbearbeitung für die Zwecke des DSG und, soweit anwendbar, der kantonalen Datenschutzgesetze geregelt werden, einschliesslich einer etwaigen Übermittlung von Personendaten in ein unsicheres Drittland sowie einer etwaigen Bearbeitung von Personendaten für eigene Zwecke der Dienstleisterin.

I. Begriffe

In dieser Vereinbarung werden die folgenden definierten Begriffe verwendet. Im Übrigen gelten Begriffe wie im DSG und, soweit anwendbar, wie in den anwendbaren kantonalen Datenschutzgesetzen definiert, so insbesondere "Personendaten", "Bearbeiten", "Auftragsbearbeiter", Unterauftragsbearbeiter", "Verantwortlicher" und "betroffene Person".

"DSG" ist das Bundesgesetz über den Datenschutz in seiner jeweils gültigen Fassung, inkl. seinen Verordnungen.

"Land mit angemessenem Datenschutzniveau" ist ein Land oder ein Gebiet, dessen Gesetzgebung gemäss einer Feststellung des Bundesrates einen angemessenen Datenschutz gewährleistet.

"Verbundenes Unternehmen" ist eine juristische Person, welche direkt oder indirekt von der Partei kontrolliert wird oder welche die Partei direkt oder indirekt kontrolliert oder die direkt oder indirekt unter der Kontrolle derselben juristischen Person steht wie die Partei.

II. Auftragsbearbeitung

A. Geltungsbereich und Merkmale der Auftragsbearbeitung

Diese Vereinbarung regelt das Bearbeiten von Personendaten durch die Dienstleisterin als Auftragsbearbeiterin bzw. Unterauftragsbearbeiterin des Auftraggebers als Verantwortlicher bzw. Auftragsbearbeiter im Rahmen der Erfüllung des Hauptvertrags.

Soweit der Auftraggeber selbst Auftragsbearbeiter ist (z.B. eines seiner Kunden), ist ausschliesslich er für die Kommunikation mit seinem Verantwortlichen zuständig und die Dienstleisterin darf seine Anweisungen als jene des Verantwortlichen betrachten und davon ausgehen, dass er von ihm stets ermächtigt handelt.

Erfasst sind alle Personendaten, die die Dienstleisterin im Rahmen der Bearbeitung vom Auftraggeber, einem verbundenen Unternehmen von ihm oder einem Dritten erhält, oder welche die Dienstleisterin in Rahmen der Bearbeitung selbst erschafft.

Gegenstand, Dauer, Art und Zweck der Bearbeitung, sowie die Kategorien der bearbeiteten Personendaten und der betroffenen Personen sind wie in Anhang 1A angegeben festgelegt.

B. Pflichten des Auftraggebers

Der Auftraggeber verpflichtet sich und garantiert gegenüber der Dienstleisterin, dass

  • die Bearbeitung, die Beauftragung der Dienstleisterin und seine Anweisungen an die Dienstleisterin unter Einhaltung des DSG und, soweit anwendbar, der kantonalen Datenschutzgesetze und auch sonst rechtmässig erfolgen und während der Laufzeit der Vereinbarung bleiben;
  • die technischen und organisatorischen Massnahmen gemäss Anhang 1B (technische und organisatorische Massnahmen) im Hinblick auf die Bearbeitung und die damit verbundenen Risiken angemessen sind und während der Laufzeit der Vereinbarung bleiben;
  • er alle Mitteilungen, Registrierungen, behördliche Genehmigungen und Einwilligungen von betroffenen Personen, die für eine rechtmässige Bearbeitung von Personendaten durch die Dienstleisterin als Auftragsbearbeiterin nach DSG und, soweit anwendbar, nach kantonalem Datenschutzrecht erforderlich sind, gemacht oder eingeholt hat; und
  • er alle Anfragen von betroffenen Personen, die ihre Rechte gemäss den anwendbaren Datenschutzvorschriften ausüben, von Aufsichtsbehörden und sonstigen Dritten zur Bearbeitung rechtskonform und angemessen beantwortet.

C. Bearbeitung von Personendaten durch den Dienstleister

1. Pflichten des Dienstleisters

Die Dienstleisterin verpflichtet sich gegenüber dem Auftraggeber:

  • Personendaten, soweit nicht anders vereinbart, nur für die Zwecke des Auftraggebers und jeweils nur zum Zwecke der Erfüllung des Hauptvertrages gemäss den dokumentierten Weisungen des Auftraggebers zu bearbeiten; der Hauptvertrag einschliesslich dieser Vereinbarung sowie die von den Parteien vereinbarten Leistungen und vom Auftraggeber gewählten Konfigurationen und Optionen und im Rahmen des Hauptvertrags vorgesehenen Instruktionen sind die abschliessenden und verbindlichen Weisungen des Auftraggebers, soweit nichts anderes vereinbart ist. Will der Auftraggeber diese Weisungen anpassen, schlägt er dies der Dienstleisterin vor; soweit kein besonderer Prozess zur Vertragsanpassung vorgesehen ist, prüft die Dienstleisterin den Anpassungswunsch in guten Treuen; können sich die Parteien nicht innert dreissig (30) Tagen auf eine Anpassung einigen, kann der Auftraggeber die Auftragsbearbeitung und die davon betroffene Leistung des Hauptvertrags ausserordentlich kündigen, soweit er zeigt, dass die verlangte Vertragsanpassung datenschutzrechtlich notwendig ist;
  • keine Personendaten ins Ausland bekanntzugeben oder zu übermitteln, ausser:
    • an den Auftraggeber selbst, seine verbundenen Unternehmen oder an Dritte in Erfüllung einer Anweisung des Auftraggebers oder wie vom Hauptvertrag vorgesehen (dies gilt nicht für Übermittlungen an Unterauftragsbearbeiter der Dienstleisterin oder sonst von dieser beigezogene Dritte);
    • soweit im Hauptvertrag nichts Strengeres vereinbart ist, an einen Empfänger in einem Land mit angemessenem Datenschutzniveau;
    • soweit im Hauptvertrag nichts Strengeres vereinbart ist, an einen Empfänger, der nicht in einem Land mit angemessenem Datenschutzniveau ist, soweit die nach DSG und, soweit anwendbar, dem kantonalen Datenschutzrecht für eine rechtmässige Bekanntgabe bzw. Übermittlung der Personendaten erforderlichen Voraussetzungen geschaffen worden sind; oder
    • dies ist mit dem Auftraggeber im Hauptvertrag oder anderweitig vereinbart;
    • keine Personendaten ins Ausland bekanntzugeben oder zu übermitteln, ausser:
  • die technischen und organisatorischen Massnahmen gemäss Anhang 1B (technische und organisatorische Massnahmen) vorzusehen und aufrechtzuerhalten, um die Vertraulichkeit, Integrität und Verfügbarkeit von Personendaten sowie die Nachvollziehbarkeit ihrer Bearbeitung entsprechend den Vorgaben der anwendbaren Datenschutzvorschriften jederzeit zu gewährleisten und Personendaten vor unbefugter Bearbeitung, unbefugtem Zugriff oder unbefugter Offenlegung sowie vor versehentlicher oder unrechtmässiger Verfälschung, Zerstörung oder Verlust zu schützen, wobei zwischen den Parteien in Bezug auf die Nachvollziehbarkeit der Bearbeitung ferner als vereinbart gilt, dass der Auftraggeber sicherzustellen hat, dass allfällige den Parteien obliegende Protokollierungspflichten  (wie insbesondere jene nach Artikel 4 der Schweizer Verordnung über den Datenschutz, soweit anwendbar) eingehalten werden; die Dienstleisterin darf diese Massnahmen bei Bedarf anpassen, sofern das Schutzniveau insgesamt im Wesentlichen erhalten wird; in diesen Fällen passt sie Anhang 1B (technische und organisatorische Massnahmen) an und teilt dies dem Auftraggeber in geeigneter Weise mit;
  • sich bei der Bearbeitung von Personendaten nur auf Mitarbeiter und andere Hilfspersonen zu verlassen, die vertraglich oder gesetzlich zur Vertraulichkeit verpflichtet sind;
  • die Bearbeitung von Personendaten an Dritte (ausser Mitarbeiter und andere Hilfspersonen, welche die Anforderungen gemäss Ziffer II.C.1.d) dieses Abschnitts erfüllen) nur mit der schriftlichen Zustimmung des Auftraggebers und nur an einen Unterauftragsbearbeiter zu delegieren, der sich nach den Vorgaben zur Auftragsbearbeitung gemäss DSG und den anwendbaren kantonalen Datenschutzrecht verpflichtet hat. Die Zustimmung gilt als generell erteilt für alle Unterauftragsbearbeiter auf der Liste der Unterauftragsbearbeiter, welche im Anhang 1C oder im Hauptvertrag bezeichnet haben; will die Dienstleisterin die Liste um weitere Unterauftragsbearbeiter erweitern oder anpassen, so teilt sie dies dem Auftraggeber in geeigneter Weise mindestens sechzig (60) Tage im Voraus in Textform mit (z.B. durch eine E-Mail oder eine Benachrichtigungsfunktion bei Anpassungen der Liste, soweit sie im Internet bereitgestellt wird). Der Auftraggeber kann einer Erweiterung oder Anpassung der Liste innert fünfzehn (15) Tagen schriftlich widersprechen; er wird dies nur aus datenschutzrechtlichen und berechtigten Gründen tun; können sich die Parteien nicht innert fünfzehn (15) Tagen einigen, kann der Auftraggeber die Auftragsbearbeitung und die davon betroffene Leistung des Hauptvertrags ausserordentlich kündigen, soweit er zeigt, dass der Widerspruch datenschutzrechtlich notwendig ist; strengere Regelungen über den Beizug von Unterauftragnehmer zugunsten des Auftraggebers im Hauptvertrag bleiben vorbehalten;
  • dem Auftraggeber unverzüglich an die vom Auftraggeber bezeichnete E-Mail-Adresse jede Verletzung der Datensicherheit (was auch jede Verletzung des Schutzes von Personendaten im Sinne des DSG oder des anwendbaren kantonalen Datenschutzrechts umfasst) zu melden, sowie jene Informationen gemäss Artikel 24 Abs. 2 DSG und, sofern vorhanden, den entsprechenden Bestimmungen des anwendbaren kantonalen Datenschutzrechts, welche der Dienstleisterin vernünftigerweise zur Verfügung stehen;
  • den Auftraggeber auf sein Ersuchen hin bei der Einhaltung des DSG und der anwendbaren kantonalen Datenschutzvorschriften unter Berücksichtigung der Art der Bearbeitung sowie der der Dienstleisterin zur Verfügung stehenden Informationen zu unterstützen, insbesondere bei der Erfüllung seiner Verpflichtungen (i) gegenüber betroffenen Personen, die ihre Rechte gemäss den anwendbaren Datenschutzvorschriften ausüben, und (ii) zur Umsetzung angemessener technischer und organisatorischer Schutzmassnahmen, zur Meldung von Datensicherheitsverletzungen und zur Durchführung von gesetzlich vorgeschriebenen Datenschutz-Folgeabschätzungen und Vorabkontrollen oder -konsultationen;
  • den Auftraggeber unverzüglich zu informieren, wenn eine Weisung des Auftraggebers ihrer Meinung nach gegen anwendbare datenschutzrechtliche oder andere anwendbare Vorschriften verstösst;
  • dem Auftraggeber alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung dieser Ziffer II.C.1 durch die Dienstleisterin nachzuweisen, und Prüfungen und Inspektionen durch den Auftraggeber oder durch vom Auftraggeber dazu beauftragte Prüfgesellschaften zuzulassen und daran mitzuwirken; der Auftraggeber stimmt zu, dass er dieses Prüfrecht soweit möglich nur dadurch ausübt, dass er auf die Prüfung der von der Dienstleisterin allfällig zur Verfügung gestellten Zertifizierungen und Prüfberichte unabhängiger Prüfgesellschaften abstellt; und
  • entsprechend der Wahl des Auftraggebers, vorbehaltlich anwendbarer gesetzlicher Aufbewahrungspflichten, bei Beendigung des Hauptvertrages oder auf Verlangen dem Auftraggeber alle oder bestimmte Personendaten an den Auftraggeber zurückzugeben oder zu löschen, ohne eine Kopie davon aufzubewahren, und dem Auftraggeber diese Löschung zu bestätigen.

2. Sonderaufwand, Schadloshaltung

Soweit im Einzelfall nichts anderes vereinbart ist, wird der Auftraggeber der Dienstleisterin ihren Aufwand und ihre Auslagen vergüten, die ihr dadurch entstehen, dass sie dem Auftraggeber Unterstützungsleistungen gemäss Ziff. II.C.1 erbringt, ihm Prüfungen erlaubt oder diese unterstützt, von ihm verlangte Änderungen im Zusammenhang mit der Auftragsbearbeitung umsetzt oder ihn sonst bei der Einhaltung des DSG und dem anwendbaren kantonalen Datenschutzrecht unterstützt, jeweils soweit er nicht zeigen kann, dass dieser Aufwand von der Dienstleisterin selbst verschuldet worden ist oder er gemäss ausdrücklicher Regelung im Hauptvertrag nicht vom Auftraggeber zu tragen ist.

Der Auftraggeber hat die Dienstleisterin gegen jegliche Ansprüche Dritter aufgrund einer Verletzung dieser Vereinbarung oder anwendbarer Datenschutzvorschriften schad- und klaglos zu halten. Eine solche Schadloshaltung gilt insbesondere bezüglicher aller Schäden, Kosten, Administrativsanktionen, Ansprüche oder Aufwendungen, die der Dienstleisterin als Folge solcher Verletzungen entstehen. Sie unterliegt, wie auch ein etwaiger Schadenersatzanspruch der Dienstleisterin und ihrer verbundenen Unternehmen, mangels ausdrücklich in Bezug auf diese Klausel abweichende Vereinbarung nicht etwaigen im Hauptvertrag vereinbarten Haftungsbegrenzungen oder -ausschlüssen.

III. Sonstige Bestimmungen

Ferner vereinbaren die Parteien das Folgende:

  1. Jede Partei trägt die Kosten zur Umsetzung dieser Vereinbarung selbst, soweit ausdrücklich in Bezug auf diese Vereinbarung oder in ihr nichts anderes vereinbart ist.
  2. Jede Partei kommt ihren Pflichten gemäss den auf sie anwendbaren Datenschutzvorschriften nach, insbesondere jenen gemäss DSG und des anwendbaren kantonalen Datenschutzrechts. Dies gilt insbesondere dann, wenn die Dienstleisterin vom Auftraggeber erhaltene oder sonst im Zusammenhang mit dem Hauptvertrag gewonnenen Personendaten als Verantwortliche bearbeitet. Der Auftraggeber erlaubt der Dienstleisterin diesbezüglich die Bearbeitung von Personendaten und weiterer Daten für (i) die Zwecke des Hauptvertrags und der damit begründeten Rechte und Pflichten (z.B. zur Leistungserbringung und -abrechnung), (ii) für die Verbesserungen der Produkte und Leistungen der Dienstleisterin, (iii) nicht personenbezogene Zwecke (z.B. statistische Auswertungen) sofern keine Personendaten publiziert oder an nicht zur Geheimhaltung verpflichtete Dritte weitergegeben werden, und (iv) die Einhaltung gesetzlicher und selbstregulatorischer Pflichten. Der Auftraggeber wird die betroffenen Personen auf Verlangen auf die Datenschutzerklärung der Dienstleisterin hinweisen, soweit dies die Dienstleisterin nicht selbst tut. Soweit der Auftraggeber der Dienstleisterin Personendaten zur Bearbeitung als Verantwortliche übergibt (z.B. Angaben über Leistungsbezüger), steht der Auftraggeber dafür ein, dass er dies tun und die Dienstleisterin diese Personendaten vertragsgemäss bearbeiten darf.
  3. Änderungen dieser Vereinbarung bedürfen der Schriftform und der rechtsgültigen Unterzeichnung durch bevollmächtigte Vertreter der Parteien. Die Dienstleisterin kann jedoch jederzeit eine Anpassung dieser Vereinbarung verlangen, soweit das DSG oder das anwendbare kantonale Datenschutzrecht oder andere Gründe des Datenschutzes, der Datensicherheit oder Geheimnisschutzes dies nach ihrer vernünftigen Einschätzung erfordert; der Auftraggeber wird eine solche Anpassung nicht ohne wichtigen Grund verweigern.
  4. Etwaige bisherige Vereinbarungen der Parteien über die Auftragsbearbeitung gelten ab dem Datum dieser Vereinbarung als durch diese ersetzt.
  5. Diese Vereinbarung gilt als eigenständige Vereinbarung nebst dem Hauptvertrag. Im Falle von Widersprüchen zwischen Bestimmungen dieser Vereinbarung und jenen des Hauptvertrages haben die Bestimmungen dieser Vereinbarung Vorrang, wenn und soweit sie sich auf die Bearbeitung von Personendaten durch die Dienstleisterin im Rahmen des Hauptvertrages beziehen.
  6. Die Bestimmungen dieser Vereinbarung gelten auch nach Beendigung des Hauptvertrages und bleiben so lange in Kraft, als die Dienstleisterin im Besitz der von dieser Vereinbarung erfassten Personendaten ist oder Zugriff auf diese hat.
  7. Die Bestimmungen dieser Vereinbarung unterliegen schweizerischem Recht und sind gemäss dem materiellen Recht der Schweiz auszulegen. Für alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben, ist der Gerichtsstand St. Gallen.

01.06.2025

Anhang 1A: Beschreibung der Datenbearbeitung

Die Bearbeitung ist wie folgt definiert:

Gegenstand/Zweck der Bearbeitung:

Betrieb der digitalen Produkte,

Kategorien der betroffenen Personen:

Lehrpersonen

Kategorien der Personendaten:

Name, Vorname, E-Mail-Adresse, Bausteine, Lektionen, Quartalsplanungen

Besondere Personendaten und ggf. besondere Massnahmen:

Aktuell nicht vorhanden

Art der Bearbeitung:

Speichern, Verwenden, Verändern, Teilen mit anderen, Archivieren, Löschen

Dauer der Bearbeitung:

Aufbewahrung solang ein Abo vorhanden ist.

 

Anhang 1B: Technische und organisatorische massnahmen

1. Zutrittskontrolle

Verhindert unbefugten physischen Zugang zu IT-Systemen, in denen personenbezogene Daten verarbeitet werden.
Massnahmen:

  • Betrieb der Server in ISO 27001-zertifiziertem Rechenzentrum in der Schweiz
  • Elektronische Zugangskontrollen mit Chipkarten oder biometrischen Verfahren
  • Videoüberwachung und Protokollierung von Zutritten
  • Sicherheitspersonal beim Hosting-Dienstleister

2. Zugangskontrolle

Verhindert unbefugten Zugang zu IT-Systemen durch Dritte.
Massnahmen:

  • Passwortschutz mit Richtlinien (Mindestlänge, regelmässiger Wechsel)
  • Zwei-Faktor-Authentifizierung für Admin- und Hosting-Zugänge
  • VPN-Zugänge mit Authentifizierung für Remote-Arbeit
  • Deaktivierung inaktiver Konten

3. Zugriffskontrolle

Stellt sicher, dass nur befugte Nutzer Zugriff auf personenbezogene Daten haben.
Massnahmen:

  • Rollen- und Rechtemanagement (z. B. getrennte Rollen für Support, Buchhaltung, Technik)
  • Logging und regelmässige Prüfung der Zugriffe
  • Zugriff nur nach dem Need-to-know-Prinzip

4. Weitergabekontrolle

Stellt sicher, dass personenbezogene Daten bei der Übertragung oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Massnahmen:

  • SSL/TLS-Verschlüsselung für alle Webshop-Verbindungen
  • Verschlüsselte Kommunikation mit Zahlungsdienstleistern (z. B. Stripe, PayPal)
  • ADV-Verträge mit Drittdienstleistern

5. Eingabekontrolle

Ermöglicht die Nachvollziehbarkeit von Datenänderungen.
Massnahmen:

  • Protokollierung von Datenänderungen in der Kundenverwaltung
  • Logging von Logins und Bearbeitungsvorgängen durch Admins
  • Zeitstempelung und Benutzer-ID in Datenbanklogs

6. Auftragskontrolle

Stellt sicher, dass Auftragsverarbeiter nur gemäss Weisung handeln.
Massnahmen:

  • Abschluss von Auftragsbearbeitungsverträgen (ADV)
  • Auswahl von Dienstleistern nach Datenschutzkriterien
  • Regelmässige Kontrolle der Dienstleister durch Audits oder Berichte
  • Dokumentation der Weisungen an Dienstleister

7. Verfügbarkeitskontrolle

Schützt vor zufälliger oder vorsätzlicher Zerstörung bzw. Verlust von Daten.
Massnahmen:

  • Tägliche verschlüsselte Backups, Speicherung an getrennten Standorten
  • Notfallkonzepte und Wiederherstellungsverfahren (Disaster Recovery)
  • Firewall, DDoS-Schutz, Virenscanner, Intrusion Detection Systems (IDS)
  • USV und Brandschutzmassnahmen im Rechenzentrum

8. Trennungsgebot

Stellt sicher, dass für unterschiedliche Zwecke erhobene Daten getrennt verarbeitet werden.
Massnahmen:

  • Trennung von Test- und Produktivsystemen
  • Logische Trennung der Daten innerhalb von Datenbanken (z. B. Mandantenfähigkeit)
  • Zweckbindung durch systemische Einschränkungen der Datennutzung

9. Privacy by Design / by Default

Datenschutz wird bereits bei der Entwicklung berücksichtigt.
Massnahmen:

  • Datensparsamkeit: nur erforderliche Daten werden erhoben
  • Standardmässig deaktivierte Newsletter-Option
  • Pseudonymisierung von Nutzerdaten im Tracking

10. Schulung / Sensibilisierung / Kontrolle

Stellt sicher, dass Mitarbeitende sensibilisiert sind und Vorgaben eingehalten werden.
Massnahmen:

  • Regelmässige Datenschutz- und IT-Sicherheitsschulungen
  • Verpflichtung zur Vertraulichkeit
  • Interne Datenschutzrichtlinien
  • Überprüfung und Aktualisierung der Massnahmen mindestens einmal jährlich

ANHANG 1C: LISTE DER UNTERAUFTRAGSBEARBEITER

Name des Dienstleisters

Sitz (Land)

Art der Dienstleistung

Zweck der Verarbeitung

All Consulting AG

Schweiz

ERP-System

Datenmigration

Next AG

Schweiz

Shopsystem

Datenmigration

Festland AG

Schweiz

Programmierung Plattform

Datenmigration