Version 06.2023 • Gültig ab 01.07.2023 • Dokument als PDF
1. Allgemeine Bestimmungen
1.1 Anwendungsbereich
Diese Allgemeinen Geschäftsbedingungen (nachfolgend «AGB») der masuyo GmbH (nachfolgend «masuyo») regeln Abschluss, Inhalt und Abwicklung der Verträge zwischen masuyo und den natürlichen oder juristischen Personen, welche die Leistungen von masuyo (nachfolgend «Kunde») nutzen wollen. Die AGB gelten auch dann, wenn darauf nicht ausdrücklich Bezug genommen wird.
Die allgemeinen Bestimmungen dieser AGB sind auf sämtliche Verträge, die besonderen Bestimmungen nur auf die jeweils darunterfallenden Verträge anwendbar. Im Falle von Widersprüchen zwischen den beiden Teilen gehen die besonderen den allgemeinen Bestimmungen vor.
Allgemeine Vertrags-/Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil.
1.2 Beizug Dritter (Subunternehmer)
masuyo hat das Recht, Dritte zur Erbringung von vertraglichen Leistungen beizuziehen.
1.3 Pflichten des Kunden
Der Kunde ist verpflichtet, alle in seinem Bereich liegenden Voraussetzungen zu schaffen, damit masuyo die vertraglich vereinbarten Leistungen erbringen kann. Zu den Pflichten und Obliegenheiten des Kunden gehören insbesondere, jedoch nicht abschliessend:
- Sicherstellung der rechts- und vertragskonformen Nutzung des Vertragsgegenstandes
- Bereitstellung der für die Erbringung des Vertragsgegenstandes erforderlichen Informationen, Arbeitsmaterialien, Infrastruktur und personellen Ressourcen sowie der Zugang und Zugriff darauf
- Einhaltung der von masuyo kommunizierten Benutzungsvorschriften und Handlungsanweisungen im Umgang mit dem Vertragsgegenstand
- Zeitnahe Beantwortung von Anfragen seitens masuyo
- Mitwirkung bei Tests und allfälligen Abnahmeverfahren innert der festgelegten Frist
- Bereitstellung der für die Erbringung des Vertragsgegenstandes allenfalls notwendigen Schnittstellen, soweit diese nicht selbst Teil des Vertragsgegenstandes bilden
- Proaktive Information gegenüber masuyo bzgl. bestehender oder drohender Störungen und Gefahren, welche die Erbringung des Vertragsgegenstandes beeinträchtigen können
- Einsatz von sicheren Passwörtern und Geheimhaltung von Zugangsdaten (keine Bekanntgabe an unbefugte Dritte); eine allfällige Passwortrücksetzung kann ausschliesslich durch den Kunden erfolgen; der Kunde ist für sämtliche Aktivitäten verantwortlich, welche über seine Zugangsdaten erfolgen
- regelmässige Sicherung der eigenen Daten
- Angemessene Wartung-, Pflege und Absicherung der eigenen IT-Infrastruktur
- Sicherstellung, dass die vom Kunden bereitgestellten Daten und Informationen jederzeit richtig und aktuell sind;
Weitere Pflichten und Obliegenheiten des Kunden bleiben vorbehalten. Diese können sich insbesondere aus den vorliegenden AGB sowie dem jeweiligen Vertrag ergeben. Kommt der Kunde seinen Mitwirkungspflichten auch nach schriftlicher Aufforderung (E-Mail ausreichend) nicht nach, kann masuyo die Leistungserbringung einstellen. In diesem Falle hat der Kunde weder Anrecht auf Minderung resp. Erstattung bereits geleisteter oder noch geschuldeter Vergütungen noch auf irgendwelche Schadenersatzforderungen. Zuwiderhandlungen können seitens masuyo zudem zivil- und strafrechtlich geahndet werden (insb. Schadenersatzforderungen).
1.4 Allgemeine Supportdienstleistungen
masuyo beantwortet allgemeine Support- und Kundenanfragen (per Mail und telefonisch) innerhalb der regulären Geschäftszeiten möglichst zeitnah («best-effort»). Die Bearbeitung von allgemeinen Supportanfragen ist in der Regel kostenlos.
1.5 Allgemeine Vergütungs- und Zahlungsbedingungen
Soweit nicht abweichend festgehalten, verstehen sich die Preise in CHF rein netto, exkl. MWST und allfällig weiterer Abgaben.
Soweit nicht ausdrücklich abweichend vereinbart, sind Rechnungen innert 30 Tagen sowie ohne jeden Abzug zahlbar. Mit Beendigung eines Vertrages werden allenfalls noch ausstehende Beträge unmittelbar zur Zahlung fällig.
Mit Eintritt des Zahlungsverzuges steht es masuyo frei, die Leistungserbringung auszusetzten sowie weitere Massnahmen zur Verhinderung wachsenden Schadens zu treffen und/oder den Vertrag frist- und entschädigungslos aufzulösen. Zudem schuldet der Kunde einen Verzugszins von 5% ab Fälligkeitsdatum. masuyo ist zudem berechtigt, angemessene Mahnspesen zu fordern. Alle mit der Forderungseintreibung verbundenen Kosten (z.B. Inkassokosten, Anwaltskosten) werden dem Kunden zusätzlich in Rechnung gestellt.
1.6 Erfüllungsort
Sofern nicht abweichend vereinbart ist der Vertragsgegenstand am Sitz resp. in den Geschäftsräumen und Rechenzentren von masuyo oder dessen Subunternehmern zu erbringen (z.B. auch per Remote-Zugriff).
1.7 Haftung
masuyo haftet nur für absichtlich und grobfahrlässig verursachte Schäden, bei Personenschäden auch im Falle leichter Fahrlässigkeit. Eine weitergehende Haftung auch für indirekte Schäden, entgangener Gewinn, Datenverlust und Folgeschäden ist - soweit gesetzlich zulässig - ausgeschlossen. Sollte die Haftung aufgrund zwingender gesetzlicher Vorschriften nicht im beschriebenen Ausmass ausgeschlossen werden können, so ist die Haftung von masuyo in jedem Falle auf 100% der zugrundeliegenden, vertraglich vereinbarten Vergütung beschränkt; bei wiederkehrenden Leistungen auf 100% einer Jahresgebühr. masuyo schliesst jede weitergehende Haftung gegen sich, allfällige Hilfspersonen und/oder Subunternehmer aus.
1.8 Geheimhaltung
Die Parteien verpflichten sich und ihre Organe, Mitarbeitenden sowie Subunternehmer, über alle ihnen im Rahmen der Vorbereitung, Durchführung und Erfüllung der Zusammenarbeit zur Kenntnis gelangten vertraulichen Vorgänge und Daten Stillschweigen zu bewahren und diese Informationen ohne Ermächtigung der anderen Partei nicht an aussenstehende Dritte weiterzugeben. Dies gilt gegenüber jeglichen unbefugten Dritten, sofern die Weitergabe von Informationen nicht zur ordnungsgemässen Erfüllung der vertraglichen Verpflichtungen der jeweiligen Partei erforderlich ist.
masuyo bearbeitet unter Umständen auch Daten des Kunden, welche dem Berufsgeheimnis unterliegen und deren Offenbarung strafbar ist. masuyo verpflichtet sich und seine Organe, Mitarbeitenden sowie Subunternehmer auch bezüglich dieser Daten Stillschweigen zu bewahren und diese Daten nur soweit notwendig zu bearbeiten und einzusehen.
Die Geheimhaltungspflichten gelten über die gemeinsame Zusammenarbeit hinaus.
Der Kunde nimmt zur Kenntnis und ist einverstanden, dass im Rahmen der Nutzung der Praxisverwaltungssoftware gewisse Informationen, welche dem Berufsgeheimnis unterliegen können, per unverschlüsseltem Mail an dessen Patienten versandt werden können (z.B. Bekanntgabe des behandelnden Therapeuten im Rahmen eines Kalendererinnerungsmails). Die Aktivierung und Nutzung solcher Funktionalitäten liegt im alleinigen Ermessen sowie in der alleinigen Verantwortung des Kunden.
1.9 Datenschutz und Datensicherheit
Die Parteien verpflichten sich zur Einhaltung der jeweils anwendbaren Datenschutzbestimmungen. Sie sind für den angemessenen Schutz der Daten in ihrem Verantwortungsbereich zuständig.
Soweit masuyo als Auftragsbearbeiterin des Kunden tätig wird, gelten zusätzlich die Bestimmungen des Auftragsbearbeitungsvertrages von masuyo. Dieser bildet integrierenden Bestandteil der vorliegenden AGB. Im Übrigen erfolgt die Verarbeitung von Personendaten im Rahmen der jeweils gültigen und unter https://www.masuyo.ch/pdf/Datenschutzerklaerung.pdf abrufbaren Datenschutzerklärung von masuyo.
1.10 Kündigung aus wichtigem Grund
Aus wichtigem Grund können die Parteien einen Vertrag jederzeit fristlos kündigen. Ein wichtiger Grund liegt insbesondere vor, wenn:
- der Kunde seinen Zahlungsverpflichtungen nicht nachkommt;
- bezüglich des Kunden ein Antrag auf Konkurseröffnung gestellt wird
- der Kunde den Vertragsgegenstand rechts- oder vertragswidrig nutzt;
- bei sonstigen groben Pflichtverletzungen der Parteien, welche die Fortsetzung des Vertragsverhältnisses für die andere Partei unzumutbar machen.
1.11 Nachvertragliche Leistungserbringung
Die Herausgabe und Löschung sowie eine allfällig nachvertragliche Aufbewahrung der im Auftrag des Kunden bearbeiteten Kundendaten ergibt sich aus dem Auftragsbearbeitungsvertrag sowie aus den vorliegenden AGB oder dem jeweiligen Vertrag. Es liegt in der Verantwortung des Kunden, bei Bedarf die Datenherausgabe frühzeitig schriftlich zu verlangen.
Der Kunde hat auch nach Beendigung der Zusammenarbeit die Möglichkeit, den Support von masuyo in Anspruch zu nehmen.
Sofern gesetzlich oder vertraglich nicht explizit abweichend vorgesehen, verrechnet masuyo die mit der nachvertraglichen Leistungserbringung verbundenen Aufwendungen nach Aufwand gemäss den dannzumal gültigen Ansätzen.
1.12 Schlussbestimmungen
masuyo behält sich vor, die AGB (inkl. Auftragsbearbeitungsvertrag) jederzeit anzupassen. masuyo informiert den betroffenen Kunden vorab per E-Mail oder innerhalb der Praxisverwaltungssoftware über solche Änderungen. Sind die Änderungen für den Kunden nachteilig, kann er innert 20 Tagen ab Empfang der Meldung den davon betroffenen Vertrag mittels schriftlicher Mitteilung (Mail oder Brief) an masuyo vorzeitig kündigen. Unterlässt er dies, akzeptiert er die Änderungen.
Eine Verrechnung mit von masuyo nicht anerkannten oder nicht rechtskräftig festgestellten Gegenforderungen seitens des Kunden ist ausgeschlossen.
Der Kunde darf ohne vorgängige, ausdrückliche und schriftliche Zustimmung von masuyo keine Rechte und Pflichten aus den zwischen dem Kunden und masuyo bestehenden Rechtsverhältnissen auf Dritte (einschliesslich verbundener Unternehmen des Kunden) übertragen.
Sollten Bestimmungen dieser AGB oder des jeweiligen Vertrages ganz oder teilweise unwirksam sein oder werden, sollen die übrigen Bestimmungen dennoch wirksam bleiben. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
Mitteilungen sind jeweils schriftlich an die andere Partei zu richten. Sofern vertraglich oder gesetzlich keine strengeren Vorschriften gelten, ist E-Mail ausreichend.
1.13 Gerichtsstand und anwendbares Recht
Die Vertragsbeziehungen zwischen masuyo und dem Kunden unterstehen ausschliesslich schweizerischem Recht, unter Ausschluss von kollisionsrechtlichen Normen sowie dem Wiener Kaufrecht.
Ausschliesslicher Gerichtsstand ist der Hauptsitz von masuyo, soweit nicht zwingendes Recht einen anderen Gerichtsstand vorsieht. masuyo ist auch berechtigt, den Kunden an seinem Sitz zu belangen.
2. Besondere Bestimmungen
2.1 Praxisverwaltungssoftware
2.1.1 Vertragsgegenstand
masuyo stellt dem Kunden für die Dauer des Vertrages die Praxisverwaltungssoftware «masuyo» in der bestellten Ausprägung (gewählte Module) und der jeweils aktuellen Version als Webapplikation über das Internet entgeltlich zur Nutzung zur Verfügung (nachfolgend «Praxisverwaltungssoftware»).
masuyo entwickelt die Praxisverwaltungssoftware laufend weiter. Diese Weiterentwicklungen stellt sie in Form von Updates und Upgrades nach eigenem Ermessen zur Verfügung.
Die Kundendaten werden auf Servern in der Schweiz gespeichert.
masuyo implementiert dem aktuellen Stand der Technik entsprechende Sicherheitsvorkehrungen, um Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten bestmöglich sicherzustellen.
Die vom Kunden auf den Servern von masuyo gespeicherten Daten verbleiben im Eigentum des Kunden resp. der Kunde bleibt alleinberechtigter an den Daten. Der Kunde kann von masuyo jederzeit die Herausgabe und/oder Löschung dieser Daten in einem branchenüblichen Format verlangen. Die Datenherausgabe erfolgt auf einem verschlüsselten Datenträger oder durch Bereitstellung einer gesicherten Downloadfunktion über das Internet.
masuyo sichert die Daten auf den eigenen Servern in regelmässigen Abständen. Diese Sicherungen dienen ausschliesslich zur Wiederherstellung im Falle von Komplettausfällen. Sie dienen nicht dazu, einzelne Inhalte oder Dokumente wiederherzustellen. Hierfür ist die in der Praxisverwaltungssoftware eingebaute Backup-Funktion vorgesehen, deren Nutzung im Zuständigkeitsbereich des Kunden liegt. masuyo empfiehlt, regelmässig Backups anzufertigen und diese auf einem externen Medium sicher zu verwahren.
2.1.2 Vertragsabschluss
Mit dem Abschluss des Bestellprozesses gibt der Kunde ein rechtlich verbindliches Angebot zum Vertragsabschluss gemäss den Bedingungen dieser AGB ab. Der Vertrag zwischen masuyo und dem Kunden kommt durch die elektronische Auftragsbestätigung seitens masuyo zustande.
Allfällige Rabattaktion (z.B. Partnerschaftsangebote oder ähnliches) sind im Rahmen der Bestellung unter «Bemerkung» anzugeben. Von Rabattaktionen können einzig Neukundinnen und Neukunden profitieren.
2.1.3 Vergütung
Der Kunde kann die Praxisverwaltungssoftware gegen Entrichtung einer Lizenzgebühr nutzen. Die Höhe der Lizenzgebühren sowie die Zahlungsmodalitäten ergeben sich aus dem Vertrag. Während der ersten zwei Monate schuldet der Kunde masuyo für die Nutzung der Praxisverwaltungssoftware keine Lizenzgebühren.
Nebst den Lizenzgebühren werden insbesondere folgende Leistungen zusätzlich in Rechnung gestellt:
- Schulungen
- Kundenspezifische Datenübernahmen
- Ersteinrichtungen
- Allfällige Kosten im Zusammenhang mit der Nutzung des SMS-Dienstes (Kalender-erinnerungen)
2.1.4 Geistiges Eigentum und Nutzungsrechte
Sämtliche bestehenden als auch künftigen Rechte an der Praxissoftware (inkl. Dokumentationen, Verkaufsunterlagen etc.) entstehen und verbleiben bei masuyo.
Der Kunde erhält das nicht ausschliessliche und nicht übertragbare Recht die Praxisverwaltungssoftware in der vereinbarten Ausprägung gegen Entrichtung der Lizenzgebühren bestimmungsgemäss und vertragskonform zu nutzen.
Dem Kunden ist es untersagt, die Praxisverwaltungssoftware in irgendeiner Form zu vervielfältigen, zu dekompilieren oder sonst wie zu bearbeiten, als Grundlage für die Erstellung einer eigenen oder anderen Software zu verwenden oder auf eigenen oder Datenträgern Dritter zu speichern.
Weiter ist es dem Kunden untersagt, die Praxisverwaltungssoftware weder entgeltlich noch unentgeltlich unberechtigten Dritten zugänglich zu machen.
2.1.5 Gewährleistung
masuyo bemüht sich um eine hohe Verfügbarkeit der Praxisverwaltungssoftware. masuyo kann jedoch keine Gewährleistung für ein jederzeitiges unterbruchs- und störungsfreies Funktionieren abgeben.
masuyo behält sich das Recht vor, die Praxisverwaltungssoftware jederzeit zu modifizieren. Sie garantiert daher nicht, dass sämtliche Funktionen der Praxisverwaltungssoftware, welche zum Zeitpunkt des Vertragsabschlusses verfügbar waren, unverändert bleiben.
masuyo überwacht die Funktionsfähigkeit der Praxisverwaltungssoftware laufend und beseitigt allfällige Störungen möglichst zeitnah und soweit mit vertretbarem Aufwand machbar. Eine Störung liegt insbesondere vor, wenn die Praxisverwaltungssoftware den zugesicherten Funktionsumfang nicht erfüllt oder in anderer Weise nicht ordnungsgemäss arbeitet, so dass die Nutzung der Praxisverwaltungs-software verunmöglicht oder erheblich eingeschränkt wird.
masuyo gewährleistet weiter, dass bei vertragsgemässer Nutzung der Praxisverwaltungssoftware keine Rechte Dritter entgegenstehen.
Jede weitere Sach- und Rechtsgewährleistung wird im gesetzlich zulässigen Rahmen ausgeschlossen.
2.1.6 Vertragsdauer und Kündigung
Das Vertragsverhältnis beginnt mit dem Versand der Auftragsbestätigung durch masuyo. Während der ersten zwei Monate ab Vertragsbeginn kann der Kunde das Vertragsverhältnis jederzeit kündigen. Nach Ablauf dieser Frist wird das Vertragsverhältnis auf unbestimmte Zeit abgeschlossen.
Der Vertrag kann in der Folge von beiden Parteien jeweils per 31.12 jeden Jahres gekündigt werden, wobei die Kündigung bis spätestens am 30.11. des laufenden Jahres schriftlich (Brief, Mail) bei der jeweils anderen Partei eingehen muss.
Die sofortige Auflösung des Vertrages aus wichtigem Grund bleibt den Parteien unbenommen.
Nach Beendigung des Vertragsverhältnisses hat der Kunde im nachfolgenden Rahmen die Möglichkeit, weiterhin auf seine bestehenden Daten in der Praxisverwaltungssoftware zuzugreifen (nur Leserechte/keine Bearbeitung):
- Patientendaten, KG-Einträge, Rechnungen: bis 5 Jahre nach Vertragsende
- alle weiteren Daten: bis ein Jahr nach Vertragsende
Der Kunde kann jederzeit die Herausgabe oder Löschung der Daten verlangen.
2.2 Weitere Leistungsberingung
2.2.1 Vertragsgegenstand
masuyo kann gegenüber dem Kunden weitere (insb. auch auftragsrechtliche und werkvertragliche) Leistungen erbringen (z.B. Realisierung und Hosting von Websites, Mailhosting, Schulungen, Ersteinrichtungen, Datenmigrationen etc.).
2.2.2 Vertragsabschluss
Der Vertrag zwischen masuyo und dem Kunden kommt durch schriftliche, gegenseitig übereinstimmende Willenserklärung zustande (E-Mail ausreichend).
2.2.3 Geistiges Eigentum und Nutzungsrechte
Ist gemäss Vertrag ein zu übergebendes Arbeitsresultat geschuldet, verbleiben sämtliche Rechte an diesen Arbeitsergebnissen (insbesondere Urheberrechte) bei masuyo.
Mit vollständiger Bezahlung der vereinbarten Vergütung erwirbt der Kunde an diesen Arbeitsergebnissen ein nicht ausschliessliches und nicht übertragbares Nutzungsrecht. Die Nutzungsrechte an Konzeptleistungen verbleiben vollumfänglich bei masuyo.
Die Nutzungsrechte an den vom Kunden gelieferten Inhalten (Texte, Grafiken, Fotos, Kundendaten usw.) verbleiben beim Kunden. Der Kunde garantiert, dass er über die erforderlichen Nutzungsrechte verfügt und diese Inhalte den gesetzlichen Bestimmungen entsprechen. Der Kunde hält masuyo von diesbezüglichen Ansprüchen Dritter frei.
2.2.4 Vergütung
masuyo erbringt die Leistungen in der Regel zu Festpreisen oder nach Aufwand. Die Vergütung wird im jeweiligen Vertrag festgehalten.
2.2.5 Abnahme
Soweit gemäss Vertrag ein zu übergebendes Arbeitsresultat geschuldet ist, findet eine formelle Abnahme unter Mitwirkung beider Parteien nur statt, wenn dies im Vertrag ausdrücklich vereinbart wurde.
Leistungen gelten als abgenommen, wenn (i) der Kunde das Arbeitsergebnis produktiv einsetzt oder (ii) die Abnahme aus Gründen, die nicht von masuyo zu vertreten sind, nicht innert 30 Tagen nach der Übergabe erfolgt oder (iii) im Rahmen der Abnahme nur mindere Mängel auftreten (bestimmungsgemässer Gebrauch des Arbeitsresultates ist möglich).
2.2.6 Gewährleistung
masuyo verpflichtet sich zu einer sorgfältigen Vertragserfüllung im Interesse des Kunden.
Ist gemäss Vertrag ein zu übergebendes Arbeitsresultat geschuldet, gewährleistet masuyo, dass das Arbeitsresultat im Zeitpunkt der Übergabe den vertraglich vereinbarten Spezifikationen entspricht. Allfällige Mängel hat der Kunde masuyo unverzüglich schriftlich mitzuteilen. Die Gewährleistungsfrist beträgt in diesem Falle drei Monate nach Abnahme.
Im Falle eines Mangels steht es im alleinigen Ermessen von masuyo entweder nachzubessern, Ersatz zu liefern oder eine angemessene Minderung der Vergütung vorzunehmen. masuyo ist zudem berechtigt, eine alternative Lösung bereitzustellen, welche dem Kunden die vertragsgemässe Nutzung des Vertragsgegenstandes erlaubt.
masuyo gewährleistet weiter, dass bei vertragsgemässer Nutzung des Arbeitsresultates keine Rechte Dritter entgegenstehen.
Jede weitere Sach- und Rechtsgewährleistung wird im gesetzlich zulässigen Rahmen ausgeschlossen.
2.2.7 Vertragsdauer und Kündigung
Verträge über die Erbringung einer einmaligen Leistung enden ohne weiteres mit ihrer ordnungsgemässen Erfüllung. Verträge über andauernden Leistungen (z.B. Webhosting) enden mit Vertragsablauf oder Kündigung.
Soweit nicht abweichend geregelt, können unbefristete Verträge jeweils per 31.12. mit einer Frist von drei Monaten gekündigt werden.
Die sofortige Auflösung des Vertrages aus wichtigem Grund bleibt den Parteien unbenommen.
Anhänge: Anhang 1: Auftragsverarbeitungsvertrag masuyo GmbH
Anhang 1 zu den Allgemeinen Geschäftsbedingungen:
Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO / Art. 9 DSG
Version 06.2023
Dieser Vertrag zur Auftragsverarbeitung wird abgeschlossen zwischen der Kundin/dem Kunden der masuyo GmbH
(im Folgenden „Verantwortlicher“)
und
masuyo GmbH
Buchenstrasse 6
6210 Sursee
(im Folgenden „Auftragsverarbeiter“)
Der Auftragsverarbeiter verpflichtet sich, die im Folgenden beschriebenen Datenverarbeitungen im Sinne von Art. 9 DSG und Art. 28 DSGVO im Auftrag des Verantwortlichen zu erbringen. Für die Zwecke dieses Vertrages gelten die Begriffsbestimmungen des Schweizerischen Datenschutzgesetztes (DSG) und - soweit anwendbar – der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679).
1. Gegenstand und Dauer des Vertrages
1.1. Gegenstand
Der Auftrag umfasst Folgendes:
- Erstellung, Aktualisierung und Unterhalt einer Webpräsenz des Verantwortlichen
- Dienstleistungen des Hostings, u.a. E-Mail-Postfächer, Serverspeicherplatz, etc.
- Betrieb und Unterhalt der Praxisverwaltungssoftware masuyo inkl. allen in masuyo zur Verfügung gestellten Funktionen
- Supportdienstleistungen für die Praxisverwaltungssoftware masuyo
Im Übrigen ergibts sich der Gegenstand sowie Art und Zweck der Verarbeitung von personenbezogenen Daten aus dem mit dem Verantwortlichen abgeschlossenen Hauptvertrag (AGB etc.).
1.2. Dauer
Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages, soweit sich aus den Bestimmungen dieses Vertrages nichts anderes ergibt. Er gilt mindestens so lange als der Auftragsverarbeiter Personendaten des Verantwortlichen bearbeitet
Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoss des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 9 DSG / Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoss dar.
2. Ort der Durchführung, Kategorien der personenbezogenen Daten, Kategorien betroffener Personen, Art und Zweck der Verarbeitung
2.1. Ort der Durchführung der Auftragsverarbeitung
Die Datenverarbeitungstätigkeiten finden im Regelfall innerhalb der Schweiz oder der EU bzw. des EWR statt. Aufgrund des Einsatzes von US-Dienstleistern kann jedoch nicht ausgeschlossen werden, dass gewisse Datenverarbeitungstätigkeiten zumindest zum Teil auch ausserhalb der Schweiz oder der EU bzw. des EWR durchgeführt werden. Dazu zählt insbesondere die USA.
Das angemessene Datenschutzniveau bzgl. der Datenverarbeitungstätigkeiten ergibt sich namentlich aus:
- Einem Angemessenheitsbeschluss der Schweizer Behörden nach Art. 16 Abs. 1 DSG resp. der Europäischen Kommission nach Art. 45 DSGVO.
- Einer Ausnahme für den bestimmten Fall nach Art. 17 Abs. 1 DSG resp. Art. 49 Abs. 1 DSGVO.
- Standarddatenschutzklauseln nach Art. 16 Abs. 2 Bst. d DSG resp. Art. 46 Abs. 2 Bst. c und d DSGVO.
2.2. Kategorien von Daten
Die übermittelten personenbezogenen Daten können zu folgenden Datenkategorien gehören:
- Adressdaten
- Logindaten
- Accountdaten
- Bankdaten / Abrechnungsinformationen
- Mitarbeiterdaten
- Qualifikationsdaten
- Positionsdaten
- Versicherungsdaten
- Persönliche Leistungsdaten
- Kommunikationsdaten
- Nachrichteninhalte
- Vertragsdaten
- Kontaktdaten
- Patientendaten
- Behandlungsdaten
- Stammdaten
- Bilddaten / Videodaten
2.3. Kategorien von sensiblen Daten in Entsprechung von Art. 5 Bst. c DSG resp. Art. 4 Nr. 13, 14 und 15 DSGVO
Die übermittelten personenbezogenen Daten können folgende sensible Daten umfassen:
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
- Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie
- genetische Daten
- biometrische Daten, die eine natürliche Person eindeutig identifizieren
- Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
- Daten über Massnahmen der sozialen Hilfe
2.4. Kategorien betroffener Personen
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:
- Kunden des Verantwortlichen
- Geschäftspartner des Verantwortlichen und deren Mitarbeitende
- Lieferanten des Verantwortlichen und deren Mitarbeitende
- Behörden
2.5. Art der Verarbeitung
Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmassnahmen unterzogen:
- Der Auftragsverarbeiter speichert in seiner IT-Infrastruktur personenbezogene Daten des Verantwortlichen. Im Rahmen des Betriebs der IT-Infrastruktur kann ein Zugriff auf personenbezogene Daten des Verantwortlichen nicht ausgeschlossen werden
3. Verarbeitungszwecke
Die übermittelten personenbezogenen Daten werden zu folgenden vom Verantwortlichen bestimmten Zwecken verarbeitet:
- Bei Erstellung, Aktualisierung und Bearbeitung der Homepage des Verantwortlichen werden die personenbezogenen Daten gemäss Notwendigkeit bearbeitet
- Der Verantwortliche lässt seine personenbezogenen Daten durch den Auftragsverarbeiter zum Betrieb einer Praxissoftware verarbeiten, bei welcher die Softwarekomponenten und Rechenkapazitäten des Auftragsverarbeiters genutzt werden.
- Bei der Erbringung von Supportdienstleistungen werden die personenbezogenen Daten gemäss Notwendigkeit bearbeitet
3.1. Pflichten des Auftragsverarbeiters
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich gemäss den vertraglichen Bestimmungen dieses Vertrages oder wie vom Verantwortlichen in dokumentierter Weise angewiesen, es sei denn, der Auftragsverarbeiter ist gesetzlich zu einer weiteren Verarbeitung verpflichtet. Der Auftragsverarbeiter teilt solche Pflichten dem Verantwortlichen vor der Verarbeitung mit, es sei denn, das betreffende Recht verbietet eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses.
- Die unbedingte Befolgung der Anweisungen des Verantwortlichen gilt insbesondere auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland (ausserhalb der Schweiz oder der EU/des EWR) oder eine internationale Organisation – sofern der Auftragsverarbeiter nicht durch das jeweils anwendbare Recht abweichend verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
- Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Verantwortlichen in Folge in schriftlicher Form oder in einem elektronischen Format (Textform) an den Auftragsverarbeiter durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
- Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
- Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Zustimmung des Verantwortlichen nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
- Der Auftragsverarbeiter trennt die im Rahmen dieses Vertrages zu verarbeitenden Daten streng von anderen Datenbeständen.
- Der Auftragsverarbeiter verpflichtet sich im Rahmen der Datenverarbeitung die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften zu beachten. Der Auftragsverarbeiter bestätigt, dass den von ihm zur Datenverarbeitung eingesetzten Personen die relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut sind. Entsprechende Schulungs- und Sensibilisierungsmassnahmen haben in regelmässigen Abständen zu erfolgen.
- Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.
- Der Auftragsverarbeiter verpflichtet sich, auch alle für den Verantwortlichen relevanten Verschwiegenheitspflichten zu beachten, z.B. ein anwendbares Berufsgeheimnis.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen im erforderlichen Ausmass bei der Gewährung der Rechte der betroffenen Personen nach Art. 25 – 29 DSG resp. Art. 12 bis 22 DSGVO. Falls eine betroffene Person eine Anfrage direkt an den Auftragsverarbeiter sendet, leitet dieser die Anfrage umgehend an den Verantwortlichen weiter. Auskünfte an Dritte oder Betroffene darf der Auftragsverarbeiter nur nach vorheriger Zustimmung durch den Verantwortlichen erteilen.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 8, 22 und 24 DSG resp. Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmassnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgenabschätzung, vorherige Konsultation).
- Für den Fall, dass in grossen Umfang besonders schützenswerte Personendaten bearbeitet oder Profilings mit hohem Risiko durchgeführt werden, hat der Auftragsverarbeiter mindestens das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten zu protokollieren. Eine Protokollierung muss insbesondere dann erfolgen, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden. Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten. Die Protokolle müssen während mindestens einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden. Sie dürfen ausschliesslich den Organen und Personen zugänglich sein, denen die Überprüfung der Anwendung der Datenschutzvorschriften oder die Wahrung oder Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegt, und dürfen nur für diesen Zweck verwendet werden.
- Wird der Verantwortliche durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen, verpflichtet sich der Auftragsverarbeiter, den Verantwortlichen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
- Der Auftragsverarbeiter informiert den Verantwortlichen umgehend, wenn eine erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstösst. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftragsverarbeiter nach Überprüfung bestätigt oder geändert wird.
- Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Verantwortliche dies verlangt und keine berechtigten Interessen des Auftragsverarbeiters dem entgegenstehen.
- Ein betrieblicher Datenschutzbeauftragter resp. Datenschutzberater ist beim Auftragsverarbeiter nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. Als Ansprechpartner für Datenschutzfragen beim Auftragsverarbeiter wird Herr Pascal Suter, Eigentümer der masuyo GmbH, 076 413 61 68, Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
4. Unterauftragsverarbeiter (Art. 9 Abs 3 DSG / Art. 28 Abs. 2 DSGVO, Art. 28 Abs. 3 Satz 2 Bst. d DSGVO)
- Die Beauftragung von Unterauftragsverarbeitern durch den Auftragsverarbeiter ist nur mit Genehmigung des Verantwortlichen im Einzelfall gestattet.
- Der Verantwortliche stimmt zu, dass die im Anhang 2 aufgelisteten Unterauftragsverarbeiter für den Auftragsverarbeiter tätig sind. Die Art und der Umfang ihrer Datenverarbeitung sind ebenfalls in Anhang 2 definiert.
- Die vertraglich vereinbarten Regelungen zwischen Verantwortlichem und Auftragsverarbeiter gelten auch gegenüber Unterauftragsverarbeitern.
- Dem Verantwortlichen ist auf Anfrage Einsicht in die relevanten Verträge zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter zu gewähren.
- Der Verantwortliche ist berechtigt, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Unterauftragsverarbeitern durchzuführen oder durch Dritte durchführen zu lassen.
- Die Verantwortlichkeiten des Auftragsverarbeiters und Unterauftragsverarbeiters sind klar voneinander abzugrenzen.
- Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters.
5. Technische und organisatorische Massnahmen
- Der Auftragsverarbeiter ergreift alle erforderlichen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art. 8 DSG resp. Art. 32 DSGVO. Die Massnahmen gewährleisten ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
- Die erforderlichen technischen und organisatorischen Massnahmen sind im Anhang 1 zu diesem Vertrag dokumentiert.
- Wesentliche Änderungen sind ebenfalls umgehend zu dokumentieren.
- Soweit die getroffenen Sicherheitsmassnahmen den Anforderungen des Verantwortlichen nicht oder nicht mehr genügen, benachrichtigt Letzterer den Auftragsverarbeiter.
6. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags
- Der Auftragsverarbeiter ist nach Beendigung der Auftragsverarbeitung verpflichtet, alle Verarbeitungsergebnisse und übermittelten personenbezogenen Daten und deren Kopien, dem Verantwortlichen zurückzugeben oder in dessen Auftrag zu vernichten, sofern nicht nach dem jeweils anwendbaren Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Die Rückgabe der Kopien bzw. der Abschluss des Löschvorgangs ist schriftlich zu bestätigen.
- Wenn der Auftragsverarbeiter die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Verantwortlichen in dem Format, in dem er die Daten vom Verantwortlichen erhalten hat oder in einem anderen, gängigen Format zurückzugeben.
7. Rechte und Pflichten des Verantwortlichen
Der Verantwortliche ist berechtigt:
- die Einhaltung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Massnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen in angemessenem Umfang selbst oder durch Dritte vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragsverarbeiter soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragsverarbeiter erteilt die erforderlichen Auskünfte.
- Kontrollen beim Auftragsverarbeiter erfolgen ohne vermeidbare Störungen seines Geschäftsbetriebs und ausser bei dringlichen Gründen nach angemessener Vorankündigung und während der Geschäftszeiten des Auftragsverarbeiters.
Der Verantwortliche ist verpflichtet:
- sicher zu stellen, dass die Rechtmässigkeit der Verarbeitung gemäss Art. 6 Abs. 1 DSG resp. Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO gegeben ist;
- zu gewährleisten, dass die Rechte der betroffenen Personen nach den Art. 25 bis 29 DSG resp. den Art. 12 bis 22 DSGVO gewahrt werden. Wenn allerdings nur der Auftragsverarbeiter die Kompetenz hat, den Anfragen nachzukommen, leitet der Verantwortliche ihm die betreffenden Anfragen umgehend weiter;
- dem Auftragsverarbeiter Aufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format zu übermitteln. Mündliche Weisungen sind schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen;
- den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmässigkeiten bei der Prüfung der Auftragsergebnisse zu informieren;
- alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmassnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
8. Haftung
- Soweit in vorliegender Anlage nicht ausdrücklich abweichend geregelt, gelten bezüglich der Haftung für die Auftragsverarbeitung die zwischen den Parteien im Hauptvertrag vereinbarten Haftungsregeln.
9. Sonstiges
- Die Anlagen 1 und 2 bilden integrierenden Bestandteil dieses Anhanges.
- Im Übrigen und wo vorliegend nicht explizit abweichend geregelt, gelten die Bestimmungen des Hauptvertrages sowie die jeweils gültige Datenschutzerklärung des Auftragsverarbeiters.
Anhang 1 zum Auftragsverarbeitungsvertrag:
Technisch-organisatorische Massnahmen
1. Vertraulichkeit
- Zutrittskontrolle
Kein unbefugter Zutritt zu Bürolokalitäten oder Datenverarbeitungsanlagen, Sicherung durch personengebundene Schlüssel, verschlossene Büroräumlichkeiten ausserhalb der Arbeitszeiten. - Zugangskontrolle
Keine unbefugte Systembenutzung, sichergestellt u.a. durch: sichere Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern. - Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen. - Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Massnahmen unterliegen.
2. Integrität
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, elektronische Signatur, sorgfältige Auswahl, Instruktion und Überwachung der Auftragsverarbeitung. - Eingabekontrolle/Protokollierung
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, Protokollierung, Dokumentenmanagement.
3. Verfügbarkeit und Zuverlässigkeit
- Verfügbarkeitskontrolle
Überwachung der Verfügbarkeit, Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, mehrstufige Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne, Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO). - Zuverlässigkeit
Sicherstellen der Vermeidung von Fehlfunktionen wo möglich, zuverlässige Erkennung von nicht vermeidbaren Fehlfunktionen und deren schnellstmögliche Behebung.
4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung
- Datenschutz-Management
- Incident-Response-Management
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Verantwortlichen, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Anhang 2 zum Auftragsverarbeitungsvertrag:
Unterauftragsverarbeiter
Unterauftragsverarbeiter |
Art und Umfang der Datenverarbeitung |
Bexio AG |
Bereitstellung von Dienstleistungen im Bereich der Kunden- und Auftragsverwaltung, Rechnungsstellung und Buchhaltung auf Servern mit Server-Standort Schweiz. |
Google LLC |
Bereitstellung von Dienstleistungen im Bereich E-Mail-Kommunikation und Kalender auf Servern mit Server-Standort USA und weltweit |
Metanet AG |
Bereitstellung von Dienstleistungen im Bereich Hosting und Serverdienstleistungen mit Server-Standort Schweiz. |
Microsoft Ireland Operations Limited, Ireland |
Bereitstellung der Microsoft 365-Dienstleistungspalette (inkl. Microsoft Office, Teams etc.) auf Microsoft-Servern mit Server-Standort Schweiz/EU. |
Sinch |
Bereitstellung der Infrastruktur für den Versand von Kalendererinnerungen per SMS durch Server mit weltweiten Server-Standorten |
Slack |
Kommunikation mit Softwarepartnern auf Servern mit Server-Standort USA und weltweit |