Auftragsbearbeitungsvereinbarung A+E Informatik GmbH
1. Grundsatz der Auftragsbearbeitung
A+E bearbeitet Personendaten ausschliesslich im Auftrag und nach Weisung des Kunden sowie im Rahmen des vereinbarten Zwecks. Eine Bearbeitung zu eigenen Zwecken oder zu Zwecken Dritter ist ausgeschlossen, sofern nicht vertraglich vereinbart oder gesetzlich vorgeschrieben.
2. Allgemeine Bestimmungen
2.1. Anwendungsbereich und Zweck
Diese Auftragsbearbeitungsvereinbarung (nachfolgend «ABV») regelt Abschluss, Inhalt und Abwicklung der Bearbeitung von Personendaten durch die A+E Informatik GmbH, In der Au 7, CH-8406 Winterthur (nachfolgend «A+E») im Auftrag des Kunden (nachfolgend «Kunde»). Sie konkretisiert die Rechte und Pflichten der Parteien hinsichtlich Datenschutz, Informationssicherheit, Weisungsrecht und Verantwortlichkeit im Rahmen von Aufträgen und vertraglich vereinbarten Leistungen.
2.2. Ergänzende Vertragsdokumente
Die ABV bildet einen integrierenden Bestandteil der zwischen A+E und dem Kunden geschlossenen Verträge und gilt ergänzend zu den AGB, dem Rahmenvertrag sowie den jeweils anwendbaren Anhängen. Die datenschutzrechtlichen Detailregelungen, insbesondere technische und organisatorische Massnahmen, Prozesse und Pflichten, sind im Anhang Datenschutz festgelegt.
2.3. Geltung und Anerkennung
Mit der Annahme eines Angebots von A+E in Form einer Bestellung, die A+E mit einer Auftragsbestätigung bestätigt, anerkennt der Kunde die Anwendbarkeit dieser ABV stillschweigend. Auftragsbearbeitungsvereinbarungen des Kunden oder allfälliger Subunternehmen finden keine Anwendung, ausser solche wurden ausdrücklich in der Auftragsbestätigung als kompletten Ersatz dieser ABV oder teilweiser Ergänzung zu dieser ABV zum Bestandteil des Vertrags erklärt.
2.4. Vertragsbestandteile und Reihenfolge
2.4.1. Die vertraglichen Beziehungen zwischen der A+E und dem Kunden stützen sich auf verschiedene mündliche Absprachen oder Dokumente. Im Falle von Widersprüchen oder Unklarheiten gilt, sofern nicht anders schriftlich vereinbart, folgende Reihenfolge (absteigend):
i. Auftragsbearbeitungsvereinbarung inklusive sämtlicher Anhänge (ABV)
ii. Produkteverträge einschliesslich Auftragsbestätigung und allfälligen Anhängen
iii. Einzelne Aufträge mit mündlichen oder schriftlichen Auftragsbestätigungen (AB)
iv. Rahmenvertrag inklusive Anhänge
v. Allgemeine Geschäftsbedingungen (AGB) der A+E Informatik GmbH
2.4.2. Abweichende oder ergänzende Vereinbarungen in einer höherrangigen Vertragsinstanz gehen den Bestimmungen der nachfolgenden Instanzen vor.
2.4.3. Schriftliche Vereinbarungen gehen mündlichen vor.
2.4.4. Im Falle von Widersprüchen zwischen Dokumenten derselben Rangstufe gilt die jeweils jüngere, von beiden Parteien unterzeichnete Fassung.
2.4.5. Diese ABV regelt ausschliesslich die Bearbeitung von Personendaten durch A+E. Herstellerverträge zwischen dem Kunden und Drittanbietern bleiben hiervon unberührt.
2.4.6. EU‑DSGVO‑Ergänzung
2.4.6.1. Für Kunden mit Sitz in der Europäischen Union sowie für Datenbearbeitungen, die der EU‑Datenschutz‑Grundverordnung unterliegen, gelten ergänzend zu dieser ABV die zwingenden Bestimmungen der EU‑DSGVO. Dies betrifft insbesondere die Verantwortlichkeit, das Weisungsrecht, die Unterstützung bei der Wahrnehmung von Betroffenenrechten, die Meldepflichten bei Datenschutzverletzungen sowie die Anforderungen an internationale Datenübermittlungen.
2.4.6.2. Soweit Bestimmungen dieser AGB oder weiterführender Verträge von den zwingenden Vorgaben der EU‑DSGVO abweichen, gehen die Bestimmungen der EU‑DSGVO vor.
3. Dauer und Spezifizierung der Datenbearbeitung
3.1. Gesundheitsdaten (Patientendaten)
Gesundheitsdaten gelten als besonders schützenswerte Personendaten nach schweizerischem Datenschutzrecht.
3.2. Dauer der Bearbeitung
Die Bearbeitung der Personendaten erfolgt für die Dauer dieses Rahmenvertrags bzw. des jeweiligen Einzelauftrags. Einzelne Bestimmungen mit gesetzlicher Nachwirkung (z. B. Dokumentation‑ oder Aufbewahrungspflichten) gelten darüber hinaus, soweit dies gesetzlich vorgeschrieben ist.
3.3. Detailregelungen im Anhang Datenschutz
Kategorien der bearbeiteten Personendaten, Kategorien der betroffenen Personen sowie die detaillierten Zwecke und Löschfristen werden ausschliesslich im Anhang «Datenschutz» geregelt.
4. Anwendungsbereich und Verantwortlichkeit
4.1. Der Kunde bleibt in jedem Fall Verantwortlicher im Sinne des anwendbaren Datenschutzrechts und ist für die Rechtmässigkeit der Datenbearbeitung und der Übermittlung an A+E verantwortlich.
4.2. Die Details zu Anwendungsbereich und Verantwortlichkeit werden im Anhang «Datenschutz» festgehalten.
5. Pflichten der A+E
5.1. Weisungsgebundene Bearbeitung
5.1.1. A+E bearbeitet Personendaten ausschliesslich im Rahmen der vom Kunden erteilten Weisungen und des vereinbarten Zwecks.
5.1.2. Weisungen können mündlich oder schriftlich erteilt werden. Mündliche Weisungen werden durch A+E über die Zeiterfassung dokumentiert.
5.2. Ablehnungsrecht bei rechtswidrigen Weisungen
A+E ist berechtigt, Weisungen zurückzuweisen, wenn diese offensichtlich rechtswidrig sind oder eine Gefährdung der Datensicherheit darstellen; der Kunde wird unverzüglich informiert.
5.3. Keine eigenen Zwecke, keine Weitergabe an Dritte
A+E bearbeitet Personendaten weder zu eigenen Zwecken noch gibt sie diese an Dritte weiter, ausser dies ist vertraglich vereinbart oder gesetzlich vorgeschrieben. Der Beizug von Subunternehmen richtet sich nach dem Anhang «Datenschutz»; A+E bindet Subunternehmen vertraglich an gleichwertige Geheimhaltungs‑, Sicherheits‑ und Datenschutzpflichten.
5.4. Leistungserbringung und Datensicherheit
A+E erbringt ihre Leistungen sorgfältig und stellt sicher, dass angemessene technische und organisatorische Massnahmen umgesetzt werden. Die Massnahmen orientieren sich an anerkannten Sicherheitsgrundsätzen und werden regelmässig überprüft.
5.5. Zusammenarbeit bei Datenschutzvorfällen
A+E unterstützt den Kunden bei der Abklärung, Dokumentation und Behandlung von Datenschutzvorfällen gemäss Anhang Datenschutz.
5.6. Vertraulichkeit
A+E stellt sicher, dass nur zur Leistungserbringung notwendige Personen Zugang zu Personendaten erhalten und verpflichtet diese zur Vertraulichkeit.
5.7. Datenkorrekturen und -löschungen
A+E bearbeitet Personendaten gemäss Weisung des Kunden. Einzelheiten, insbesondere Einschränkungen bei Backups, sind im Anhang Datenschutz geregelt.
5.8. Verweis auf Anhang Datenschutz
Die detaillierten datenschutzrechtlichen Pflichten, Prozesse, Fristen, Behördenunterstützung, Back-up‑Regelungen und Kostenbestimmungen sind im Anhang Datenschutz geregelt.
6. Pflichten des Kunden
6.1. Verantwortlichkeit des Kunden
6.1.1. Als Verantwortlicher im Sinne des anwendbaren Datenschutzrechts stellt der Kunde sicher, dass sämtliche Personendaten, die er A+E übermittelt oder durch A+E bearbeiten lässt, rechtmässig bearbeitet werden. Der Kunde trägt insbesondere die Verantwortung für:
i. das Vorliegen einer gültigen Rechtsgrundlage für die Bearbeitung der Personendaten,
ii. die Erfüllung der gesetzlichen Informations‑ und Transparenzpflichten gegenüber den betroffenen Personen,
iii. die Zulässigkeit der Übermittlung der Personendaten an A+E, einschliesslich allfälliger internationaler Datenübermittlungen,
iv. den rechtmässigen Umgang mit besonderen Kategorien von Personendaten nach anwendbarem Datenschutzrecht.
6.1.2. Der Kunde stellt A+E auf Anfrage diejenigen Informationen zur Verfügung, die für den Nachweis der Rechtmässigkeit der Bearbeitung und für die vertragsgemässe Leistungserbringung erforderlich sind, insbesondere zu Rechtsgrundlagen, Informationspflichten und eingesetzten Garantien bei internationalen Datenübermittlungen.
6.1.3. Richtigkeit, Datenminimierung und Aktualität
Der Kunde stellt sicher, dass die an A+E übermittelten Personendaten sachlich richtig, auf das für die Leistungserbringung notwendige Mass beschränkt und aktuell sind.
6.2. Weisungsberechtigte und Weisungsqualität
Der Kunde bezeichnet weisungsberechtigte Personen, in Ermangelung einer solchen gilt die übliche ITK-Ansprechperson als weisungsberechtigt, und stellt sicher, dass Weisungen rechtmässig, eindeutig und inhaltlich hinreichend bestimmt sind.
6.3. Bereitstellung von Informationen und Zugängen
Der Kunde stellt A+E sämtliche für die Vertragserfüllung notwendigen Informationen, Systemzugänge, Schnittstellen, Ansprechpartner sowie technischen Unterlagen vollständig und rechtzeitig zur Verfügung. Unvollständige oder verspätete Bereitstellungen können die Leistungserbringung beeinträchtigen.
6.4. Weisungsgebundene Bearbeitung
Der Kunde bestätigt oder berichtigt bei mündlicher Weisung innert fünf Arbeitstagen nach Erhalt des Arbeitsrapports die dokumentierte Weisung. Erfolgt innert Frist keine Rückmeldung, gilt die protokollierte Weisung als vorläufig dokumentierte Weisung; widersprechende Rückmeldungen des Kunden gehen der vorläufigen Dokumentation jederzeit vor.
6.5. Weisungsprüfung und Kontaktstelle
6.5.1. Der Kunde bezeichnet eine Kontaktstelle (Name/Funktion), welche die zugestellten Arbeitsrapporte und Rechnungsbeilagen entgegennimmt und diese im Hinblick auf dokumentierte mündlich erteilte Weisungen prüft. In Ermangelung einer bezeichneten Kontaktstelle gilt die übliche ITK‑Ansprechperson des Kunden als Kontaktstelle.
6.5.2. Änderungen betreffend die Kontaktstelle teilt der Kunde A+E unverzüglich mit.
6.6. Zusammenarbeit bei Datenschutzvorfällen
Der Kunde unterstützt A+E bei der Abklärung, Dokumentation und Behebung von Datenschutzvorfällen. Dies umfasst insbesondere die Bereitstellung technischer Informationen, Logdaten sowie geeigneter Ansprechpersonen.
6.7. Betroffenenanfragen
Der Kunde ist primär verantwortlich für die Beantwortung von Anfragen betroffener Personen. A+E unterstützt den Kunden auf dessen schriftliche Aufforderung gemäss den im Anhang Datenschutz definierten Prozessen.
6.8. Kostenregelung
Leistungen von A+E, die aufgrund unvollständiger oder fehlerhafter Informationen, mangelnder Mitwirkung oder zusätzlicher gesetzlicher Anforderungen entstehen, werden dem Kunden nach Aufwand in Rechnung gestellt.
6.9. Pflichten bei behördlichen Verfahren
Der Kunde informiert A+E unverzüglich über behördliche Anordnungen oder laufende Verfahren, welche die Leistungen von A+E betreffen. A+E unterstützt den Kunden gemäss den Bestimmungen im Anhang Datenschutz.
6.10. Verweis auf Anhang Datenschutz
Detailregelungen zu Verantwortlichkeiten, Meldepflichten, Prozessen, Kosten, Fristen sowie zur Zusammenarbeit im Bereich Datenschutz sind im Anhang Datenschutz festgelegt.
7. Meldung einer Verletzung der Datensicherheit und Informationspflichten
7.1. A+E informiert den Kunden unverzüglich über erkannte oder begründete Verdachtsfälle eines Datenschutzvorfalls, der Personendaten des Kunden betrifft. Die Meldung erfolgt, sobald A+E über hinreichende Informationen verfügt, um Art und Umfang vorläufig zu beurteilen. Ergänzende Informationen werden unverzüglich nachgereicht, sobald sie vorliegen.
7.2. Die Meldung von A+E an den Kunden enthält mindestens:
a) Zeitpunkt der Kenntnisnahme und des Vorfalls
b) betroffene Systeme, Dienste oder Personendatenkategorien
c) vorläufige Ursache und Risikoabschätzung
d) bereits ergriffene Sofortmassnahmen
e) empfohlene weitere Schritte
f) Ansprechpartner bei A+E.
7.3. Der Kunde bezeichnet eine zuständige Kontaktstelle.
7.4. A+E und der Kunde arbeiten bei der Abklärung, Dokumentation und Behebung von Datenschutzvorfällen zusammen. Der Kunde stellt die hierfür erforderlichen Informationen (technische Unterlagen, Systeminformationen, Logdaten) bereit.
7.5. Bei behördlichen Anordnungen oder Massnahmen Dritter (z. B. Durchsuchung, Edition, Beschlagnahme) unterstützt A+E den Kunden im gesetzlich zulässigen Rahmen, weist auf Eigentum und Verantwortlichkeit des Kunden hin und verlangt auf Wunsch des Kunden die Siegelung der Personendaten.
7.6. Unterstützungsleistungen von A+E, die über die vertraglich geschuldete Mitwirkung hinausgehen, werden – sofern A+E kein Verschulden trifft – nach Aufwand verrechnet. Weitere Detailregelungen, Fristen, Inhalte und Prozesse sind im Anhang Datenschutz geregelt.
7.7. Die Detailregelungen zu Meldepflicht, Fristen, Mindestinhalten, Eskalationswegen, Behördenkommunikation und Dokumentation sind im Anhang Datenschutz geregelt.
8. Anfragen von betroffenen Personen
8.1. Der Kunde ist primär verantwortlich für die Beantwortung von Anfragen betroffener Personen im Zusammenhang mit den von A+E im Auftrag erbrachten Leistungen und benennt eine zuständige Kontaktstelle.
8.2. Geht eine Anfrage einer betroffenen Person bei A+E ein und kann diese eindeutig dem Kunden zugeordnet werden, informiert A+E den Kunden unverzüglich und stellt dem Kunden eine Kopie des Begehrens zur Verfügung. A+E beantwortet Anfragen betroffener Personen nicht selbstständig, ausser der Kunde erteilt eine entsprechende schriftliche Weisung oder eine gesetzliche Pflicht verlangt dies. Der Kunde stellt A+E die hierfür erforderlichen Informationen zeitnah bereit, einschliesslich technischer Unterlagen, Systeminformationen und Logdaten.
8.3. Unterstützungsleistungen von A+E, die über die vertraglich geschuldete Mitwirkung hinausgehen, werden – sofern A+E kein Verschulden trifft – nach Aufwand verrechnet. Die Detailregelungen zu Verfahren, Fristen, Identitätsprüfung, Kommunikation und Dokumentation sind im Anhang Datenschutz geregelt.
9. Pflichten der A+E bei amtlichen Verfahren
9.1. Erstmeldung und Kontaktstelle
9.1.1. Erkennt A+E eine behördliche Anordnung oder Massnahme, informiert sie den Kunden unverzüglich mit den verfügbaren Mindestangaben (Zeitpunkt, betroffene Systeme oder Personendatenkategorien, vorhandene Unterlagen, erste Risiko‑Einschätzung).
9.1.2. A+E bezeichnet eine Kontaktstelle.
9.2. Sofortmassnahmen und Zusammenarbeit
A+E ergreift geeignete, einfach umsetzbare Sofortmassnahmen zur Sicherung von Personendaten und Systemen, zur Beweissicherung und zur Schadensminderung. Auf Wunsch des Kunden verlangt A+E die Siegelung der Personendaten und unterstützt den Kunden bei der Behördenkommunikation im gesetzlich zulässigen Rahmen. Weitere Verfahrensdetails sind im Anhang Datenschutz geregelt.
9.3. Kostenregelung
Unterstützungsleistungen von A+E, die über die vertraglich geschuldete Mitwirkung hinausgehen und bei denen A+E kein Verschulden trifft, werden nach Aufwand verrechnet. Abweichende Regelungen in Einzelaufträgen oder Service Level Agreements bleiben vorbehalten.
Ausgabe, Mai 2026
https://www.aeinformatik.ch/abv