Anhang – Datenschutz

Die dieser Klausel zu Grunde gelegten Begriffe “betroffene Personen”, “Verantwortlicher”, “personenbezogene Daten”, “Verarbeitung” und “Auftragsverarbeiter” sind im Sinne der Datenschutz-Grundverordnung (EU-Verordnung 2016/679) (“DSGVO“) zu verstehen.

Im Rahmen der von P. Baltensperger Consulting GmbH gemäss dieser Vereinbarung zu erbringenden Dienstleistungen für die Gesellschaft nehmen die Parteien zur Kenntnis, dass sie einander personenbezogene Daten (“personenbezogene Daten“) zur Verfügung stellen. Die Parteien verarbeiten diese personenbezogenen Daten je als ein unabhängiger Verantwortlicher (nicht als gemeinsam Verantwortliche).

Bei der Verarbeitung von personenbezogenen Daten muss jede Partei ihre Verpflichtungen gemäss dieser Datenschutzklausel, alle anwendbaren Datenschutzgesetze und -vorschriften, einschliesslich der DSGVO sowie aller nationalen Datenschutzgesetze und -vorschriften, die im Rahmen oder in Übereinstimmung mit der DSGVO erlassen wurden (“geltende Datenschutzbestimmungen“), einhalten. Keine Partei haftet für die Einhaltung der geltenden Datenschutzbestimmungen durch die andere Partei.

Jede Partei stellt sicher, dass die Verarbeitung personenbezogener Daten durch sie selbst oder ihre Auftragsverarbeiter jederzeit rechtmässig, fair und transparent und nur für die in dieser Vereinbarung beschriebenen Zwecke erfolgt und / oder gemäss den geltenden Datenschutzbestimmungen erforderlich ist.

Darüber hinaus verpflichten sich die Parteien:

• zur Wahrung des Datengeheimnisses und zur Geheimhaltung von personenbezogenen Daten;
• nur befugten Mitarbeitern den Zugang zu den personenbezogenen Daten zu gewähren, welche ordnungsgemäss eingewiesen, hinsichtlich der Einhaltung von Datenschutzvorschriften angemessen geschult wurden und zudem Vertraulichkeitsvereinbarungen unterzeichnet haben bzw. berufsbedingt oder gesetzlich zur Vertraulichkeit verpflichtet sind;
• keine personenbezogenen Daten an andere verbundene oder nicht-verbundene Dritte weiterzugeben, es sei denn, diese Dritte unterliegen mindestens gleich strengen Verpflichtungen wie in dieser Datenschutzklausel festgehalten, jedoch stets vorbehaltlich der Einhaltung der geltenden Datenschutzbestimmungen;
• aus dem Europäischen Wirtschaftsraum (“EWR“) oder der Schweiz stammende personenbezogene Daten nur an Empfänger ausserhalb des EWR oder der Schweiz bzw. an internationale Organisationen zu übermitteln, wenn die geltenden Datenschutzbestimmungen eingehalten werden und allenfalls vorgeschriebene Sicherheitsvorkehrungen gemäss der DSGVO implementiert wurden;
• der jeweils anderen Partei unverzüglich schriftlich (i) eine versehentliche oder rechtswidrige Zerstörung, einen Verlust, eine Änderung oder eine unbefugte Offenlegung der, bzw. einen unberechtigten Zugriff auf personenbezogene Daten, oder (ii) jegliche andere Verletzung der geltenden Datenschutzbestimmungen, oder dieser Datenschutzklausel, zu melden, soweit sich diese auf die Verarbeitung personenbezogener Daten bezieht. Diese Meldung muss eine Beschreibung (a) der Art der Verletzung; (b) der wahrscheinlichen Folgen der Sicherheitsverletzung; und (c) der ergriffenen oder der zu ergreifenden Massnahmen, um diese Sicherheitsverletzung zu beheben, enthalten; und
• soweit es unter den geltenden Datenschutzbestimmungen erforderlich ist, einen Auftragsverarbeiter zur Verarbeitung personenbezogener Daten nur dann hinzuzuziehen, wenn:

o    dieser Auftragsverarbeiter ausreichende schriftliche Zusicherungen geleistet hat, die bestätigen, dass:

–    er die personenbezogenen Daten nur in Übereinstimmung mit den Anweisungen des Verantwortlichen verarbeitet; und

–    er geeignete technische und organisatorische Sicherheitsmassnahmen zur Verhinderung unautorisierter oder unrechtmässiger Verarbeitung personenbezogener Daten und zum Schutz von unbeabsichtigtem Verlust, Zerstörung oder Beschädigung personenbezogener Daten umgesetzt hat;

o    jede Partei, in ihrer Funktion als Verantwortlicher, einen geeigneten und verbindlichen schriftlichen Vertrag mit dem Auftragsverarbeiter abgeschlossen hat, der den Anforderungen der geltenden Datenschutzbestimmungen, einschliesslich der von diesen geltenden Datenschutzbestimmungen verlangten verpflichtenden Vertragsbestimmungen, entspricht.

Soweit nach den geltenden Datenschutzbestimmungen erforderlich, bewahrt jede Partei die von der anderen Partei erhaltenen, personenbezogenen Daten nur solange auf, wie es im Zusammenhang mit den in dieser Vereinbarung festgelegten Zwecken, oder so lange, wie es zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist, jedoch vorbehaltlich verbindlicher Vorschriften zur Datenaufbewahrung und geltender Datenschutzbestimmungen.

Im Rahmen der Verarbeitung personenbezogener Daten stellen die Parteien den betroffenen Personen alle erforderlichen Informationen gemäss den geltenden Datenschutzbestimmungen zur Verfügung und holen bei Bedarf die Zustimmung der betroffenen Personen für die jeweilige Verarbeitung der Daten im Zusammenhang mit der Erbringung der Dienstleistungen gemäss dieser Vereinbarung ein.

Für den Fall, dass eine der Parteien (i) eine Anfrage einer betroffenen Person, welche ihre Rechte gemäss den geltenden Datenschutzbestimmungen ausübt, oder (ii) eine andere Korrespondenz, Anfrage oder Beschwerde von einer betroffenen Person, der Aufsichtsbehörde oder einem Dritten betreffend die Verarbeitung personenbezogener Daten (gemeinsam “Korrespondenz“) erhält, und sich diese Korrespondenz auf Daten bezieht, welche durch die andere Partei verarbeitet werden, ist die andere Partei unverzüglich darüber zu informieren. Ausserdem und soweit erforderlich kooperieren die Parteien nach dem Grundsatz von Treu und Glauben, um die Korrespondenz zu bearbeiten und ihre jeweiligen Verpflichtungen aus den geltenden Datenschutzbestimmungen zu erfüllen.