Auftragsverarbeitungsvertrag (AVV) gemäss Schweizer Datenschutzgesetz (DSG)
Unser Auftragsverarbeitungsvertrag bildet die Basis für den digitalen Vertragsabschluss, den Sie durch das Einreichen des Bestellformulars bestätigen.
1. Präambel
- Dieser Auftragsverarbeitungsvertrag (im Folgenden "Vertrag") wird zwischen dem Verantwortlichen (im Folgenden "Auftraggeber") und der Galaxyweb AG, einem in der Schweiz ansässigen Service Provider mit Sitz in 8215 Hallau (im Folgenden "Auftragsbearbeiter" oder "Galaxyweb"), geschlossen. Die Galaxyweb AG erbringt Dienstleistungen in den Bereichen:
- Webhosting
- Domainnamen
- Nameserver
- E-Mail Services
- Cloudspeicher
- E-Mail Archivierung
2. Gegenstand des Vertrags
- Galaxyweb verpflichtet sich, im Rahmen dieses Vertrags personenbezogene Daten im Auftrag des Auftraggebers zu verarbeiten. Diese Verarbeitung erfolgt ausschliesslich zu den in diesem Vertrag festgelegten Zwecken und stets gemäss den Weisungen des Auftraggebers. Ziel dieses Vertrags ist es, die datenschutzrechtlichen Anforderungen gemäss dem Schweizer Datenschutzgesetz (revDSG) sicherzustellen.
3. Rechte und Pflichten des Auftraggebers
- Der Auftraggeber bleibt der Verantwortliche im Sinne des Artikel 5 des revidierten Schweizer Datenschutzgesetzes (revDSG) und ist damit für die Einhaltung der gesetzlichen Vorgaben hinsichtlich der Datenverarbeitung verantwortlich. Dazu gehört insbesondere die Verpflichtung, die betroffenen Personen über ihre Rechte zu informieren und sicherzustellen, dass die Verarbeitung der personenbezogenen Daten rechtmässig erfolgt.
- Es liegt in der alleinigen Verantwortung des Auftraggebers, sicherzustellen, dass die von ihm genutzten Systeme korrekt eingestellt und stets auf dem neuesten Stand gehalten werden. Dazu gehört beispielsweise die regelmässige Aktualisierung von CMS-Lösungen wie WordPress. Die Nichteinhaltung von Empfehlungen und Weisungen der Galaxyweb AG führt dazu, dass der Auftraggeber die volle Verantwortung für etwaige daraus resultierende Probleme trägt.
4. Rechte und Pflichten des Auftragsbearbeiters
- Galaxyweb verpflichtet sich, die personenbezogenen Daten ausschliesslich im Rahmen der vertraglich vereinbarten Zwecke und gemäss den Weisungen des Auftraggebers zu verarbeiten. Gemäss den Anforderungen der Artikel 8 und 9 des revDSG trifft Galaxyweb angemessene technische und organisatorische Massnahmen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten.
- Galaxyweb wird keine personenbezogenen Daten an Dritte weitergeben, es sei denn, dies ist zur Erfüllung der vertraglichen Verpflichtungen erforderlich oder eine gesetzliche Verpflichtung gemäss Artikel 10 revDSG besteht. Galaxyweb wird den Auftraggeber umgehend informieren, falls rechtliche Verpflichtungen bestehen, personenbezogene Daten weiterzugeben, es sei denn, diese Information ist rechtlich untersagt.
5. Sub-Auftragsverarbeitung
- Die Domainregistrierung erfolgt über den Domainroboter der Galaxyweb AG (Galaxydomains) in Kooperation mit der InterNetX GmbH, Regensburg, Deutschland. Die InterNetX GmbH agiert dabei als Sub-Auftragsbearbeiter und unterliegt den strengen Anforderungen der EU-Datenschutzgrundverordnung (DSGVO). Diese Zusammenarbeit stellt sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit den hohen Datenschutzstandards der DSGVO erfolgt.
- Um den Schutz der Privatsphäre der Kunden zu gewährleisten, werden bei den registrierten Domainnamen die WHOIS-Informationen der Kunden unterdrückt, sodass persönliche Daten nicht öffentlich einsehbar sind.
- Die Verwaltung der Domain Name System (DNS)-Einträge erfolgt durch die Galaxyweb AG über Webmanagement-Lösungen wie Plesk. Diese DNS-Einträge werden dann über Cloudflare veröffentlicht. Es ist wichtig zu betonen, dass Cloudflare keinerlei Einsicht in die Kundendaten oder Kundenangaben hat. Cloudflare dient lediglich als Plattform zur Veröffentlichung der DNS-Einträge, ohne Zugriff auf oder Einsicht in die hinterlegten personenbezogenen Daten der Kunden zu haben.
- Galaxyweb verpflichtet sich, den Auftraggeber vor der Beauftragung weiterer Sub-Auftragsbearbeiter zu informieren. Eine solche Beauftragung darf nur nach ausdrücklicher Zustimmung des Auftraggebers erfolgen, und die Sub-Auftragsbearbeiter müssen ebenfalls die datenschutzrechtlichen Anforderungen gemäss Artikel 9 Absatz 3 revDSG und den relevanten Bestimmungen der DSGVO einhalten.
6. Sicherheitsmassnahmen
- Galaxyweb ergreift alle erforderlichen technischen und organisatorischen Sicherheitsmassnahmen, um die personenbezogenen Daten des Auftraggebers vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Diese Sicherheitsmassnahmen entsprechen dem aktuellen Stand der Technik und den gesetzlichen Anforderungen gemäss Artikel 8 und 9 revDSG. Hierzu gehört auch die regelmässige Überprüfung und Anpassung der Sicherheitsvorkehrungen, um deren Wirksamkeit sicherzustellen.
7. Rechte der betroffenen Personen
- Der Auftraggeber ist die alleinige Ansprechperson für betroffene Personen in Bezug auf ihre Rechte, insbesondere das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung gemäss Artikel 25 bis 28 revDSG. Galaxyweb gibt keine Auskünfte direkt an Dritte, sondern leitet alle entsprechenden Anfragen an den Auftraggeber weiter. Der Auftraggeber ist dafür verantwortlich, diese Anfragen zu bearbeiten und sicherzustellen, dass die Rechte der betroffenen Personen gewahrt werden.
8. Datenübermittlung in Drittländer
- Die Galaxyweb AG gibt grundsätzlich keine Kundendaten oder Informationen an Dritte weiter, es sei denn, dies ist explizit im Auftragsverarbeitungsvertrag (AVV) oder in der jeweiligen Dienstleistung ausdrücklich vorgesehen und vereinbart. Eine Ausnahme besteht lediglich in Fällen, in denen eine rechtliche Verpflichtung besteht, wie etwa durch Anordnungen der Schweizer Strafverfolgungsbehörden, die auf Grundlage eines gerichtlichen Beschlusses handeln.
- Gemäss dem revidierten Schweizer Datenschutzgesetz (revDSG) ist es insbesondere die Aufgabe der Schweizer Behörden, die Einhaltung der datenschutzrechtlichen Bestimmungen durchzusetzen. Wenn eine Datenweitergabe aufgrund einer gerichtlichen Anordnung erforderlich ist, wird diese ausschliesslich durch die zuständigen Schweizer Behörden durchgesetzt, wobei die Galaxyweb AG den Auftraggeber, sofern rechtlich zulässig, darüber informiert.
9. Laufzeit und Beendigung des Vertrags
- Dieser Vertrag tritt mit der Unterzeichnung respektive digitalen Bestellabschluss durch beide Parteien in Kraft und gilt für die Dauer des zugrunde liegenden Hauptvertrags. Nach Beendigung des Hauptvertrags verpflichtet sich Galaxyweb, sämtliche personenbezogenen Daten entweder zu löschen oder dem Auftraggeber zurückzugeben, es sei denn, eine gesetzliche Aufbewahrungspflicht gemäss Artikel 9 Absatz 5 revDSG besteht.
- Ausführliche Informationen hierzu sind in den Allgemeinen Geschäftsbedingungen (AGB) der Galaxyweb AG enthalten, die für diesen Vertrag vorrangig gelten. Die AGB regeln alle weiteren Details zur Datenverarbeitung, Aufbewahrung und Löschung und sollten sorgfältig geprüft werden, da sie die Bestimmungen dieses Vertrags ergänzen und im Konfliktfall Vorrang haben.
10. Schlussbestimmungen
- Dieser Vertrag unterliegt dem Schweizer Recht. Änderungen oder Ergänzungen dieses Vertrags bedürfen der Schriftform und müssen von beiden Parteien unterzeichnet werden. Sollte eine Bestimmung dieses Vertrags unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung ist durch eine wirksame Regelung zu ersetzen, die dem Zweck der ursprünglichen Bestimmung möglichst nahekommt.
- Die Allgemeinen Geschäftsbedingungen (AGB) sowie die Datenschutzerklärung der Galaxyweb AG sind vorrangig und haben in allen Fällen Priorität vor den Bestimmungen dieses Vertrags. Der Auftraggeber sollte diese Dokumente sorgfältig prüfen, da sie die Rahmenbedingungen für alle Dienstleistungen der Galaxyweb AG umfassend regeln und ergänzen.
Hallau, Mai 2024
AVV Version 1.01