21. Februar 2025
Vereinbarung zur Auftragsbearbeitung
in Ergänzung der Nutzungsbedingungen zu Threema Work
zwischen
Threema GmbH
Churerstrasse 82
8808 Pfäffikon SZ
(nachfolgend «Threema»)
und
Kunde (gemäss Nutzungsbedingungen zu Threema Work)
(nachfolgend «Verantwortlicher»; beide eine «Partei», gemeinsam die «Parteien»)
Präambel
Threema entwickelt, pflegt und vertreibt «Threema Work», einen internetbasierten, plattformübergreifenden Dienst zum sicheren Austausch von Nachrichten, Sprach- und Videokommunikation zwischen Nutzern. Die dabei erforderliche Datenübermittlung wird teilweise über Server von Threema in der Schweiz (nachfolgend «Threema-Server») geleitet. Threema betreibt selbst keine Netzwerkinfrastruktur.
Threema Work umfasst mehrere Software as a Service Applikationen, nämlich die «Threema Work-App» für Endgeräte (z.B. Mobiltelefone, Tablets und PCs), das «Threema Work Management Cockpit» zur Verwaltung der Nutzer der Threema Work-App, «Threema Broadcast» für One-to-Many-Kommunikation gegenüber Nutzern sowie «Threema Gateway» zur Verknüpfung von IT-Systemen des Verantwortlichen mit Threema Work über eine Programmierschnittstelle (API).
Bei sämtlichen Applikationen von Threema Work handelt es sich um Standardsoftware, deren Funktionen und Datensicherheit von Threema fortlaufend weiterentwickelt und verbessert werden. Mit der Zeit können bestimmte Funktionen von Threema Work und damit zusammenhängende Bearbeitungen von Personendaten neu hinzukommen, geändert oder entfernt werden.
Zwischen Threema und dem Verantwortlichen bestehen ein oder mehrere Verträge, einschliesslich Nutzungsbedingungen von Threema, über die Nutzung einer oder mehrerer Applikationen von Threema Work (nachfolgend «Softwarelizenzverträge»). In Ergänzung zu diesen Softwarelizenzverträgen schliessen die Parteien die vorliegende Vereinbarung zur Auftragsdatenbearbeitung (nachfolgend «Auftragsbearbeitungsvertrag») ab, um dem Verantwortlichen die datenschutzkonforme Nutzung von Threema Work zu ermöglichen und Threema vertraglich die Bearbeitung von Personendaten zu übertragen.
Dies vorausgeschickt, vereinbaren die Parteien, was folgt:
Inhaltsverzeichnis
1. Anwendbares Datenschutzrecht und Aufsichtsbehörde, Vertreterin in der Europäischen Union und Datenschutzberater
2. Gegenstand
3. Weisungsrecht des Verantwortlichen
4. Pflichten des Verantwortlichen
5. Pflichten von Threema
6. Bestandskundenmarketing
7. Technische und organisatorische Massnahmen
8. Anfragen betroffener Personen
9. Kontroll- und Auditrechte des Verantwortlichen
10. Unterauftragsbearbeiter von Threema
11. Haftung
12. Vertragsdauer
13. Schlussbestimmungen
1. Anwendbares Datenschutzrecht und Aufsichtsbehörde, Vertreterin in der Europäischen Union und Datenschutzberater
1.1. Für diesen Auftragsbearbeitungsvertrag gelten in erster Linie die Bestimmungen und Begriffe des Bundesgesetzes über den Datenschutz (Datenschutzgesetz vom 25. September 2020; SR 235.1; nachfolgend «DSG»), der Verordnung über den Datenschutz (Datenschutzverordnung vom 31. August 2022; SR 235.11; nachfolgend «DSV») sowie der Datenschutzerklärungen von Threema.
1.2. Zwingende Bestimmungen des auf den Verantwortlichen anwendbaren Datenschutzrechts, insbesondere die Verordnung (EU) 2016/679 vom 27. April 2016 (nachfolgend «DSGVO»), werden berücksichtigt, sofern sie über die Pflichten von Threema nach dem schweizerischen Datenschutzrecht hinausgehen.
1.3. Zuständige Aufsichtsbehörde für Threema ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Feldeggweg 1. 3003 Bern, Schweiz.
1.4. Threema wird in der Europäischen Union gemäss Art. 27 DSGVO durch die ACC Datenschutz UG, Messestrasse 6, 94036 Passau, Deutschland, vertreten.
1.5. Der Datenschutzberater (bzw. Datenschutzbeauftragte) von Threema kann unter privacy at threema punkt ch erreicht werden.
2. Gegenstand
2.1. Threema ermöglicht dem Verantwortlichen die Nutzung der Software as a Service Applikationen ihres Dienstes Threema Work gemäss den Bestimmungen der Softwarelizenzverträge. Dabei erhalten Threema, ihre Arbeitnehmer und allfällige Unterauftragsbearbeiter Zugriff auf Personendaten und bearbeiten diese ausschliesslich im Auftrag und nach Weisung des Verantwortlichen.
2.2. Die Beurteilung der Rechtmässigkeit der Datenbearbeitung obliegt dem Verantwortlichen.
2.3. Details zu den Kategorien bearbeiteter Personendaten, betroffener Personen, Bearbeitungszwecken sowie Speicherdauern finden sich in Anhang 1 zu diesem Auftragsbearbeitungsvertrag.
2.4. Plant Threema die Einführung neuer Funktionen für die Threema Work-Applikationen, die eine Änderung des Anhangs 1 zur Folge haben, teilt sie dies dem Verantwortlichen mindestens einen Monat vorher in elektronischer Textform (z.B. über das Threema Work Management Cockpit) mit und stellt ihm eine aktualisierte Version des Anhang 1 zur Verfügung. Unter Einhaltung dieser Mitteilungsfrist darf Threema Anhang 1 einseitig ändern, sofern keine Änderung der Bearbeitungszwecke erfolgt.
2.5. Für alle wesentlichen Funktionen der Threema Work-Applikationen bearbeitet Threema Personendaten ausschliesslich auf den Threema-Servern in Rechenzentren mit Standorten in der Schweiz. Informationen zu den Unterauftragsbearbeitern von Threema finden sich in Anhang 3 zu diesem Auftragsbearbeitungsvertrag.
2.6. Die Parteien erklären diesen Auftragsbearbeitungsvertrag als Ergänzung ihrer Softwarelizenzverträge zu deren integrierenden Bestandteil. Im Fall von Widersprüchen zwischen den Softwarelizenzverträgen und dem Auftragsbearbeitungsvertrag gehen die Bestimmung des Auftragsbearbeitungsvertrages vor.
3. Weisungsrecht des Verantwortlichen
3.1. Dieser Auftragsbearbeitungsvertrag legt die anfänglichen Weisungen des Verantwortlichen gegenüber Threema in Bezug auf die Bearbeitung von Personendaten fest und bildet zusammen mit den Softwarelizenzverträgen den Rahmen für spätere Weisungen zu deren Änderung, Ergänzung oder Widerruf.
3.2. Der Verantwortliche übt sein Weisungsrecht in erster Linie direkt und selbständig über die Threema Work-Applikationen aus, die ihm Funktionen zu ihrer Konfiguration sowie der damit verbundenen Bearbeitung von Personendaten zur Verfügung stellen, einschliesslich Eingabe, Änderung, Berichtigung und Löschung von Personendaten.
3.3. Weisungen betreffend die Bearbeitung von Personendaten durch Threema, welche vom Verantwortlichen nicht über die Konfiguration der Threema Work-Applikationen erteilt werden können, sind vom Verantwortlichen in Schriftform oder in einem elektronischen Textformat (z.B. Threema-Nachricht an die Threema-ID «*PRIVACY» oder E-Mail an privacy at threema punkt ch) an Threema zu erteilen.
3.4. Threema informiert den Verantwortlichen, wenn sie der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstösst. Threema darf die Umsetzung dieser Weisung dann solange aufschieben, bis der mutmassliche Gesetzesverstoss vom Verantwortlichen widerlegt oder die Weisung entsprechend gesetzeskonform abgeändert wurde. Bei offensichtlicher Rechtswidrigkeit darf Threema die Umsetzung einer Weisung ablehnen.
3.5. Threema informiert den Verantwortlichen, wenn eine Weisung technisch nicht umsetzbar ist. Die Parteien vereinbaren hiermit, in einer solchen Situation gemeinsam in guten Treuen nach einer Lösung zu suchen, welche der Zielsetzung, die mit der technisch nicht umsetzbaren Weisung verbunden war, am nächsten kommt.
4. Pflichten des Verantwortlichen
4.1. Der Verantwortliche stellt sicher, dass er Threema nur Personendaten bearbeiten lässt, die er selbst in Übereinstimmung mit den Grundsätzen des anwendbaren Datenschutzrechts bearbeiten dürfte und die keiner gesetzlichen oder vertraglichen Geheimhaltungspflicht unterliegen, welche einer Bearbeitung im Auftrag durch Threema entgegenstehen.
4.2. Bei der Eingabe von Personendaten in Threema Work durch den Verantwortlichen, deren Eingabe für die Nutzung von Threema Work freiwillig und optional ist, verpflichtet sich der Verantwortliche, nur solche Personendaten in Threema Work einzugeben und damit von Threema im Auftrag bearbeiten zu lassen, für deren Sicherheit die von Threema implementierten technischen und organisatorischen Massnahmen («TOM») gemäss Anhang 2 zu diesem Auftragsbearbeitungsvertrag ein angemessenes Niveau an Datensicherheit gewährleisten, wobei die Beurteilung der Angemessenheit dem Verantwortlichen obliegt.
5. Pflichten von Threema
5.1. Threema verpflichtet sich, Personendaten nur im Rahmen des Auftrages gemäss diesem Auftragsbearbeitungsvertrag und den Weisungen des Verantwortlichen zu bearbeiten. Verkauf, Vermietung oder sonstige Kommerzialisierung von Personendaten des Verantwortlichen schliesst Threema hiermit ausdrücklich aus.
5.2. Threema unterliegt der beruflichen Schweigepflicht des DSG und gewährleistet, dass ihre Arbeitnehmer und allfällige Unterauftragsbearbeiter bei der Bearbeitung von Personendaten vertraglich oder gesetzlich ebenfalls zur Vertraulichkeit verpflichtet sind. Diese Pflicht besteht auch nach Beendigung der entsprechenden Vertragsverhältnisse fort.
5.3. Threema informiert den Verantwortlichen, wenn sie aufgrund gesetzlicher Bestimmungen oder hoheitlicher Verfügung von Behörden Personendaten über den Gegenstand dieses Auftragsbearbeitungsvertrages hinaus bearbeiten muss, sofern ihr dies rechtlich gestattet ist. Wenn zum Schutz der Personendaten geeignet und erforderlich, wird Threema Behörden im Rahmen eines Verfahrens auf den Umstand hinweisen, dass vom Verfahren betroffene Personendaten im Auftrag bearbeitet werden.
6. Bestandskundenmarketing
6.1. Threema informiert den Kunden als Teil des Bestandskundenmarketings über neue Funktionen des Threema Work Management Cockpits und der weiteren Threema Work-Applikationen über die sogenannten «Produkt-Updates». Diese werden per E-Mail an Administratoren des Threema Work Management Cockpits verschickt, wodurch es zu einer Bearbeitung der E-Mail-Adressen der vom Kunden registrierten Administratoren kommt.
6.2. Der Versand der Produkt-Updates erfolgt ohne vorgängige Einwilligung unter Berufung auf das Bestandskundenprivileg. Administratoren des Kunden können die Produkt-Updates jederzeit direkt über das Threema Work Management Cockpit abbestellen.
7. Technische und organisatorische Massnahmen
7.1. Threema verpflichtet sich, unter Berücksichtigung der finanziellen und technischen Machbarkeit, die Sicherheit der im Auftrag bearbeiteten Personendaten durch geeignete TOM nach aktuellem Stand der Technik zu gewährleisten und deren Wirksamkeit regelmässig zu überprüfen. Threema trifft hierbei insbesondere Massnahmen, die die Vertraulichkeit, Integrität und Verfügbarkeit ihrer IT-Systeme und der Threema Work-Applikationen im Zusammenhang mit der Bearbeitung von Personendaten sicherstellen.
7.2. Ein Verzeichnis der von Threema implementierten TOM («TOM-Verzeichnis») findet sich in Anhang 2 zu diesem Auftragsbearbeitungsvertrag.
7.3. Plant Threema eine Änderung der gemäss Anhang 2 implementierten TOM, teilt sie dies dem Verantwortlichen mindestens einen Monat vorher in elektronischer Textform (z.B. über das Threema Work Management Cockpit) mit und stellt ihm eine aktualisierte Version des Anhangs 2 zur Verfügung. Unter Einhaltung dieser Mitteilungsfrist darf Threema die gemäss Anhang 2 implementierten TOM einseitig ändern, sofern dies der Aufrechterhaltung oder Verbesserung der Datensicherheit dient.
7.4. Threema informiert den Verantwortlichen unverzüglich, wenn ihr Verletzungen der Datensicherheit bekannt werden und dabei feststellt, dass Personendaten betroffen sind, die im Auftrag des Verantwortlichen bearbeitet werden. Threema trifft in solchen Fällen die erforderlichen Sofortmassnahmen zur Sicherung der Personendaten, um mögliche negative Folgen für die betroffenen Personen zu mindern, spricht ihr weiteres Vorgehen mit dem Verantwortlichen ab und unterstützt diesen bei der Erfüllung allfälliger Meldepflichten gegenüber betroffenen Personen und Behörden.
8. Anfragen betroffener Personen
8.1. Die Erfüllung datenschutzrechtlicher Ansprüche betroffener Personen (z.B. Berichtigung, Löschung oder Auskunft) obliegt dem Verantwortlichen.
8.2. Wendet sich eine betroffene Person mit datenschutzrechtlichen Ansprüchen an Threema, wird sie die betroffene Person unverzüglich an den Verantwortlichen verweisen und ihre Anfrage weiterleiten, sofern eine Zuordnung zum Verantwortlichen möglich ist.
8.3. Threema unterstützt den Verantwortlichen bei der Erfüllung datenschutzrechtlicher Ansprüche betroffener Personen im Rahmen ihrer Möglichkeiten. Dieser Unterstützungsaufwand ist Threema vom Verantwortlichen zu vergüten.
8.4. Threema haftet nicht, wenn die weitergeleitete Anfrage einer betroffenen Person vom Verantwortlichen nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
8.5. Zur erleichterten Ausübung des Auskunftsrechts bietet Threema Nutzern der Threema Work-App die Möglichkeit, jederzeit selbständig Auskunft über ihre bei Threema gespeicherten Personendaten durch das Senden der Textnachricht «info» an die Threema-ID «*MY3DATA» zu erhalten.
9. Kontroll- und Auditrechte des Verantwortlichen
9.1. Threema weist dem Verantwortlichen bei Bedarf die Einhaltung der in diesem Auftragsbearbeitungsvertrag vereinbarten Pflichten, insbesondere Massnahmen zur Datensicherheit, mit geeigneten Mitteln nach, insbesondere mithilfe folgender Nachweise:
Cryptography Whitepaper, aktuelles TOM-Verzeichnis, Auditberichte zu Datenschutz und Datensicherheit sowie Quellcode der Threema Work-Applikationen.
9.2. Der Verantwortliche erklärt hiermit, dass ihm die unter Ziff. 9.1. hiervor aufgezählten Nachweise grundsätzlich genügen, um sich der Gewährleistung der Pflichterfüllung, insbesondere der Datensicherheit, durch Threema zu vergewissern.
9.3. Darüber hinaus steht dem Verantwortlichen das Recht zu, die Erfüllung der vereinbarten Pflichten durch einen angestellten oder extern beauftragten Prüfer auditieren zu lassen. Plant der Verantwortliche die Beauftragung eines externen Prüfers, der mit Threema in einem Wettbewerbsverhältnis steht, kann Threema der Beauftragung dieses Prüfers widersprechen.
9.4. Audits durch den Verantwortlichen sind grundsätzlich auf einen Termin pro Kalenderjahr beschränkt sowie zu ihrer sachgerechten Planung und Durchführung zu begründen. Threema kann aus Organisations- und Sicherheitsgründen Audits, in deren Rahmen der Prüfer die Rechenzentren zu begehen wünscht, auf bestimmte Termine im Kalenderjahr beschränken.
9.5. Threema darf Audits von der Erfüllung der nachfolgenden Bedingungen durch den Verantwortlichen abhängig machen:
9.5.1. Voranmeldung des Audits von mindestens einem Monat durch den Verantwortlichen;
9.5.2. Durchführung des Audits während der üblichen Geschäftszeiten von Threema unter grösstmöglicher Vermeidung von Störungen des Geschäftsbetriebs;
9.5.3. Unterzeichnung einer Geheimhaltungsvereinbarung durch den Prüfer, insbesondere hinsichtlich Geschäftsgeheimnisse und der konkreten Implementation von TOM;
9.5.4. Nachweis angemessener fachlicher Qualifikationen des Prüfers.
9.6. Die Aufwände für Audits, insbesondere für jene Arbeitnehmer von Threema, die den Prüfer unterstützen und begleiten, sind Threema vom Verantwortlichen zu vergüten.
10. Unterauftragsbearbeiter von Threema
10.1. Der Verantwortliche erteilt hiermit seine Zustimmung zur Bearbeitung von Personendaten durch die in Anhang 3 zu diesem Auftragsbearbeitungsvertrag genannten Vertragspartner von Threema als Unterauftragsbearbeiter.
10.2. Der Verantwortliche kann jederzeit durch die entsprechende Konfiguration der Threema Work-Applikationen, welche in Anhang 3 beschrieben ist, selbständig die Funktionen deaktivieren, welche den Einsatz von Unterauftragsbearbeitern erfordern.
10.3. Neue Unterauftragsbearbeiter sind dem Verantwortlichen mindestens einen Monat im Voraus in elektronischer Textform (z.B. über das Threema Work Management Cockpit) mitzuteilen, wobei die Mitteilung mindestens die Informationen des Anhang 3 enthält.
10.4. Neue Unterauftragsbearbeiter gelten als vom Verantwortlichen genehmigt, wenn dieser nicht innerhalb von zwei Wochen nach Mitteilung durch Threema Widerspruch einlegt (E-Mail an privacy at threema punkt ch genügt). Der Verantwortliche hat seinen Widerspruch zu begründen. Wird vom Widerspruchsrecht kein Gebrauch gemacht, stellt Threema dem Verantwortlichen eine aktualisierte Version des Anhangs 3 zur Verfügung.
10.5. Wird vom Widerspruchsrecht gemäss Ziff. 10.4. hiervor Gebrauch gemacht und kann Threema dem Verantwortlichen keine Konfigurationsmöglichkeit der Threema Work-Applikationen anbieten, um den Einsatz des neuen Unterauftragsbearbeiters auszuschliessen, erhält der Verantwortliche ein ausserordentliches Recht zur fristlosen Kündigung sowohl dieses Auftragsbearbeitungsvertrages als auch der Softwarelizenzverträge. Bereits bezahlte Lizenzgebühren werden weder vollständig noch pro rata zurückerstattet, ausser sie wurden für ein im Kündigungszeitpunkt noch nicht angebrochenes Vertragsjahr vorausbezahlt.
10.6. Eine Genehmigungspflicht für Vertragspartner von Threema als Unterauftragsbearbeiter besteht nur, wenn Threema diese Vertragspartner mit der Erbringung von Funktionen der Threema Work-Applikationen beauftragt und dabei die Kerntätigkeit in der Bearbeitung von Personendaten besteht. Keine Genehmigungspflicht besteht für Vertragspartner von Threema, deren Tätigkeit in der blossen Erbringung von untergeordneten Nebenleistungen und die Kerntätigkeit nicht in der Bearbeitung von Personendaten besteht (z.B. reine Infrastrukturbereitstellung oder Telekommunikationsdienstleistungen).
11. Haftung
Zwischen den Parteien gelten die Haftungsbeschränkungen der Softwarelizenzverträge.
12. Vertragsdauer
12.1. Der Auftragsbearbeitungsvertrag tritt zum Zeitpunkt der Aktivierung von Threema Work für den Verantwortlichen durch Threema in Kraft und wird auf ein Jahr abgeschlossen. Ohne Kündigung verlängert sich die Vertragsdauer jeweils automatisch um ein weiteres Jahr.
12.2. Beide Parteien können diesen Auftragsbearbeitungsvertrag jederzeit auf Ende der jährlichen Vertragsdauer unter Einhaltung einer Kündigungsfrist von drei Monaten schriftlich kündigen. Bei Beendigung der Softwarelizenzverträge endet automatisch auch dieser Auftragsbearbeitungsvertrag.
12.3. Der Auftragsbearbeitungsvertrag gilt über seine Vertragsdauer hinaus fort, solange Threema über Personendaten verfügt, die sie im Auftrag des Verantwortlichen bearbeitet hat. Personendaten, welche nicht bereits gemäss den unter Anhang 1 genannten Speicherdauern gelöscht wurden, werden nach Wahl des Verantwortlichen an diesen herausgegeben oder gelöscht. Gesetzliche Aufbewahrungspflichten von Threema bleiben vorbehalten, insbesondere betreffend die Aufbewahrung der Geschäftsbücher.
12.4. Bestimmungen dieses Auftragsbearbeitungsvertrags oder des anwendbaren Datenschutzrechts, aus denen sich über die Dauer des Auftragsbearbeitungsvertrages hinaus Pflichten für die Parteien ergeben, dauern über dessen Ende hinaus fort.
13. Schlussbestimmungen
13.1. Dieser Auftragsbearbeitungsvertrag mit seinen Anhängen stellt die gesamte Vereinbarung zwischen den Parteien dar und ersetzt alle früheren Vereinbarungen zwischen den Parteien in Bezug auf seinen Gegenstand gemäss Ziff. 2. hiervor.
13.2. Folgende Anhänge bilden integrierenden Bestandteil dieses Auftragsbearbeitungsvertrags:
13.2.2. Anhang 2 – Verzeichnis technischer und organisatorischer Massnahmen (TOM);
13.2.3. Anhang 3 – Verzeichnis der Unterauftragsbearbeiter.
13.3. Sollte eine Bestimmung dieses Auftragsbearbeitungsvertrags ungültig oder undurchsetzbar sein oder werden, so bleiben die übrigen Vorschriften dieses Auftragsbearbeitungsvertrags hiervon unberührt. Die Parteien vereinbaren, die ungültige oder undurchsetzbare Bestimmung durch eine gültige und durchsetzbare Regelung zu ersetzen, welche aus der Sicht der Parteien wirtschaftlich und datenschutzrechtlich der Zielsetzung, die mit der ungültigen oder undurchsetzbaren Bestimmung verbundenen war, am nächsten kommt. In entsprechender Weise ist eine Lücke des Auftragsbearbeitungsvertrags zu schliessen.
13.4. Threema kann die Bestimmungen dieses Auftragsbearbeitungsvertrages gegebenenfalls ändern und/oder ergänzen. Der Verantwortliche wird über derartige Anpassungen im Threema Work Management Cockpit vorab informiert. Ohne Widerspruch des Verantwortlichen (E-Mail an privacy at threema punkt ch genügt), gilt der angepasste Auftragsbearbeitungsvertrag nach einer Frist von 30 (in Worten: dreissig) Tagen als akzeptiert. Die Anpassungsrechte von Threema in Bezug auf Anhang 1 (Ziff. 2.4. hiervor), Anhang 2 (Ziff. 7.3. hiervor) sowie Anhang 3 (Ziff. 10.3. bis 10.5. hiervor) bleiben vorbehalten.
13.5. Sofern hiervor nichts Abweichendes vereinbart wurde, bedürfen sämtliche Änderungen und Ergänzungen dieses Auftragsbearbeitungsvertrages zu ihrer Rechtswirksamkeit der Schriftform. Dies gilt auch für diese Schriftformklausel.
13.6. Vorbehältlich zwingender Bestimmungen des anwendbaren Datenschutzrechts unterliegt dieser Auftragsbearbeitungsvertrag schweizerischem Recht.
13.7. Vorbehältlich zwingender Gerichtsstände des anwendbaren Datenschutzrechts befindet sich der ausschliessliche Gerichtsstand für alle Rechtsstreitigkeiten aus oder im Zusammenhang mit diesem Auftragsbearbeitungsvertrag am Sitz von Threema in Pfäffikon SZ (Gemeinde Freienbach).