Dieser Auftragsbearbeitungsvertrag (nachfolgend „AVV“) wird abgeschlossen zwischen den nachstehenden Parteien. Er gilt ergänzend zu den Software-Nutzungsbedingungen (agb-immo.html) und geht diesen in allen datenschutzrechtlichen Fragen vor. Soweit Widersprüche zwischen diesem AVV und den Nutzungsbedingungen bestehen, sind in Bezug auf die Bearbeitung von Personendaten die Bestimmungen dieses AVV massgebend.

Vertragsparteien

Verantwortliche (nachfolgend „Verwaltung“):
[Verwaltung: Firma, Adresse]

Auftragsbearbeiterin (nachfolgend „Swyze“):
Einzelunternehmen Chainless von Arx (Inhaber: Gian von Arx), Lehmgrubenstrasse 11, 4543 Deitingen, Schweiz.
Kontakt: hello@swyze.ch, Tel. +41 79 333 93 78. UID: CHE-381.678.615.

Die beiden Parteien werden nachfolgend einzeln „Partei“ und gemeinsam „Parteien“ genannt.

1. Gegenstand & Rollen

Gegenstand dieses AVV ist die Bearbeitung von Personendaten durch Swyze im Rahmen der Bereitstellung der Software-as-a-Service-Lösung „Swyze“ für Schweizer Hausverwaltungen (Schadenmanagement, Bewerber-Scoring/Vorbewertung, Mieter-Portal, Mieter- und Vertragsverwaltung sowie PDF-Generatoren wie Mietvertrag und Protokolle). Swyze erbringt diese Leistungen ausschliesslich gegenüber Unternehmen bzw. Hausverwaltungen (rein B2B).

Die Parteien halten ihre Rollen nach dem revidierten Datenschutzgesetz (revDSG) wie folgt fest:

Diese Rollentrennung ist verbindlich: Die Verantwortlichen-Pflichten und die damit verbundene Verantwortung für die Rechtmässigkeit der Bearbeitung der Mieter- und Bewerberdaten liegen bei der Verwaltung.

2. Bearbeitung nur auf Weisung

Swyze bearbeitet die in Ziffer 3 genannten Personendaten ausschliesslich im Rahmen des Vertrags und nach dokumentierten Weisungen der Verwaltung. Als dokumentierte Weisung gelten dieser AVV, die Nutzungsbedingungen, die Konfiguration und Nutzung der Plattform durch die Verwaltung sowie nachträgliche Weisungen in Textform. Swyze bearbeitet die Daten nicht für eigene Zwecke.

Ist Swyze der Auffassung, dass eine Weisung gegen das anwendbare Datenschutzrecht verstösst, informiert sie die Verwaltung; Swyze ist berechtigt, die Ausführung einer offensichtlich rechtswidrigen Weisung auszusetzen, bis die Verwaltung sie bestätigt oder ändert.

Die Verwaltung ist allein verantwortlich für das Vorliegen einer gültigen Rechtsgrundlage und für die Rechtmässigkeit der Bearbeitung der Mieter- und Bewerberdaten sowie für die Erfüllung ihrer Informationspflichten gegenüber den betroffenen Personen (Art. 19 revDSG). Insbesondere bei der Bewerber-Vorbewertung (Scoring) ist die Verwaltung allein verantwortlich für die Zulässigkeit, Sachgerechtigkeit und Diskriminierungsfreiheit der von ihr verwendeten bzw. ausgewählten Kriterien sowie für die Entscheidung im Einzelfall. Das von der Plattform erzeugte Scoring ist eine unverbindliche, automationsgestützte Entscheidungsunterstützung ohne Gewähr und ersetzt die eigenverantwortliche Prüfung durch die Verwaltung nicht.

3. Datenkategorien & betroffene Personen

Im Auftrag der Verwaltung bearbeitet Swyze namentlich folgende Kategorien von Personendaten:

Betroffene Personen sind insbesondere Mieter:innen sowie Bewerber:innen der Verwaltung. Die Bearbeitung erfolgt zu den Zwecken, die sich aus der Bereitstellung und Nutzung der Plattform ergeben (Schadenmanagement, Mieter- und Vertragsverwaltung, Mieter-Portal, Bewerber-Vorbewertung, Erstellung von Dokumenten/Vorlagen). Welche konkreten Daten erfasst werden, bestimmt die Verwaltung durch ihre Nutzung der Plattform.

4. Sub-Auftragsbearbeiter

Die Verwaltung genehmigt mit Abschluss dieses AVV den Beizug der nachfolgend abschliessend aufgeführten Sub-Auftragsbearbeiter durch Swyze:

Swyze schliesst mit jedem Sub-Auftragsbearbeiter Vereinbarungen ab, die diesem im Wesentlichen dieselben Datenschutzpflichten auferlegen, wie sie in diesem AVV vereinbart sind. Swyze bleibt gegenüber der Verwaltung für die Einhaltung dieser Pflichten durch die Sub-Auftragsbearbeiter verantwortlich.

Beabsichtigt Swyze, einen Sub-Auftragsbearbeiter zu ersetzen oder einen weiteren beizuziehen, informiert sie die Verwaltung vorgängig (z. B. per E-Mail an die hinterlegte Adresse). Die Verwaltung kann einem Wechsel innert [Frist, z. B. 30 Tage] aus wichtigem datenschutzrechtlichem Grund widersprechen. Kann in diesem Fall keine einvernehmliche Lösung gefunden werden, ist die Verwaltung berechtigt, den betroffenen Dienst bzw. den Vertrag nach den Nutzungsbedingungen zu kündigen.

Soweit Personendaten an Sub-Auftragsbearbeiter in Länder ohne von der Schweiz anerkanntes angemessenes Datenschutzniveau bekanntgegeben werden (insbesondere in die USA bei Resend und Stripe), erfolgt die Bekanntgabe ins Ausland gestützt auf geeignete Garantien im Sinne von Art. 16 f. revDSG, namentlich Standardvertragsklauseln/Datenbearbeitungs­zusatzvereinbarungen (DPA) bzw. Angemessenheits-/Data-Privacy-Framework-Mechanismen [vom Anbieter zu bestätigen].

5. Technische & organisatorische Massnahmen (TOM)

Swyze trifft angemessene technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit (Art. 8 revDSG i. V. m. der Datenschutzverordnung), insbesondere:

Swyze überprüft und passt die Massnahmen nach Bedarf an den Stand der Technik an, ohne dass das Schutzniveau dadurch unterschritten wird.

6. Unterstützung bei Betroffenenrechten

Swyze unterstützt die Verwaltung bei der Erfüllung von Begehren betroffener Personen, soweit dies im Rahmen der Auftragsbearbeitung möglich und erforderlich ist, insbesondere bei Auskunftsbegehren (Art. 25 revDSG), Berichtigungs- und Löschbegehren sowie Begehren auf Datenherausgabe/-übertragung (Art. 28 revDSG).

Hierfür stellt die Plattform der Verwaltung Werkzeuge zur Verfügung, namentlich die Funktionen dsg_auskunft, dsg_loeschen und bewerber_auskunft. Auskunft und Löschung werden grundsätzlich über die Verwaltung als Verantwortliche abgewickelt. Wendet sich eine betroffene Person direkt an Swyze, leitet Swyze das Begehren unverzüglich an die zuständige Verwaltung weiter und beantwortet es nicht selbst, sofern nicht gesetzlich anders verlangt.

Abgelehnte Bewerbungsdossiers werden standardmässig nach ca. 90 Tagen automatisch gelöscht bzw. anonymisiert, soweit die Verwaltung keine andere zulässige Weisung erteilt.

7. Meldung von Verletzungen der Datensicherheit

Stellt Swyze eine Verletzung der Datensicherheit fest, die zu einem unbefugten Zugriff, einem Verlust, einer Vernichtung oder einer unbefugten Bekanntgabe von im Auftrag der Verwaltung bearbeiteten Personendaten führt oder führen kann, meldet sie dies der Verwaltung unverzüglich nach Kenntnisnahme. Die Meldung enthält die Swyze verfügbaren Informationen, insbesondere zur Art der Verletzung, den betroffenen Datenkategorien, den möglichen Folgen und den getroffenen oder vorgeschlagenen Massnahmen.

Damit wird die Verwaltung in die Lage versetzt, ihre eigenen Meldepflichten als Verantwortliche zu erfüllen, namentlich die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie ggf. an betroffene Personen (Art. 24 revDSG). Die Beurteilung und Vornahme der gesetzlich vorgesehenen Meldungen obliegt der Verwaltung.

8. Vertraulichkeit

Swyze verpflichtet die mit der Bearbeitung der Personendaten betrauten Personen zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung der jeweiligen Tätigkeit bzw. dieses Vertrags fort.

9. Rückgabe & Löschung bei Vertragsende

Nach Beendigung des Vertrags löscht Swyze die im Auftrag der Verwaltung bearbeiteten Personendaten oder gibt sie nach Wahl der Verwaltung zurück, einschliesslich der im Datei-Speicher abgelegten Dokumente (Storage-Purge). Bestehende Sicherungskopien werden im Rahmen der ordentlichen Lösch-/Aufbewahrungszyklen entfernt.

Eine Aufbewahrung erfolgt nur insoweit und solange, als Swyze gesetzlich zur Aufbewahrung verpflichtet ist; in diesem Fall werden die Daten gesperrt und ausschliesslich zum gesetzlichen Zweck bearbeitet. Die Verwaltung ist gehalten, vor Vertragsende benötigte Daten selbst zu exportieren.

10. Haftung & Schlussbestimmungen

Die Haftung der Parteien richtet sich nach den Software-Nutzungsbedingungen (agb-immo.html); die dort vereinbarten Haftungsregelungen und -begrenzungen gelten auch für die Bearbeitung von Personendaten unter diesem AVV, soweit gesetzlich zulässig. Im Übrigen gehen in datenschutzrechtlichen Fragen die Bestimmungen dieses AVV vor.

Dieser AVV untersteht ausschliesslich schweizerischem Recht unter Ausschluss kollisionsrechtlicher Bestimmungen. Ausschliesslicher Gerichtsstand ist — soweit zulässig — der Sitz von Chainless von Arx, 4543 Deitingen (Kanton Solothurn).

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem verfolgten datenschutzrechtlichen Zweck am nächsten kommt. Änderungen und Ergänzungen bedürfen der Textform.

11. Unterschriften

Dieser Auftragsbearbeitungsvertrag wird von beiden Parteien unterzeichnet. Mit der Unterzeichnung bestätigen die Parteien ihr Einverständnis mit den vorstehenden Bestimmungen.

Für die Verwaltung (Verantwortliche):

Ort, Datum: [Ort, Datum]

Name / Funktion: [Name, Funktion]

Unterschrift: [Unterschrift]

Für Swyze (Auftragsbearbeiterin) — Chainless von Arx:

Ort, Datum: [Ort, Datum]

Name / Funktion: Gian von Arx, Inhaber

Unterschrift: [Unterschrift]

← Zurück zur Startseite