Willkommen im RAS Alterszentrum

Menschen für Menschen

Älteren Menschen, eine Betreuung und Pflege für eine grösstmögliche Lebensqualität zu bieten – dafür engagieren wir uns jeden Tag aufs Neue.

Allgemeine datenschutzrechtliche Geschäftsbedingungen bei der Datenbearbeitung durch Dritte

  1. Anwendungsbereich
    Diese AGB sind Bestandteil des Vertragsverhältnisses zwischen dem Alterszentrum RAS (Auftraggeber) und dem Auftragnehmer, der Personendaten im Sinne von Art. 9 Bundesgesetz über den Datenschutz (DSG, SR 235.1) bzw. § 18 Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen des Kantons Aargau (IDAG, SAR 150.700) für den Auftraggeber bearbeitet.
    Diese AGB gelten für Vertragsverhältnisse, im Rahmen derer die Bearbeitung von Personendaten für das Alterszentrum RAS zentraler Bestandteil, respektive der Hauptzweck des Auftrages ist.

  2. Verantwortung
    Das Alterszentrum RAS ist für die Bearbeitung von Personendaten verantwortlich. Der Auftragnehmer ist lediglich im Rahmen der vertraglichen Vereinbarung ermächtigt, die Personendaten des Alterszentrums RAS zu bearbeiten.

  3. Rechtliche Verfügungsmacht über die Daten
    Das Alterszentrum RAS behält die vollumfängliche Verfügungsmacht über die bearbeiteten Personendaten. Der Auftraggeber kann dem Auftragnehmer insbesondere ohne Begründung und ungeachtet der konkreten vertraglichen Situation jederzeit den Zugriff auf die bearbeiteten Personendaten untersagen, diese unentgeltlich in einem zum Voraus vereinbarten Format herausverlangen oder den Auftragnehmer auffordern, die bearbeiteten Personendaten zu vernichten.

  4. Zweckbindung
    Die vom Auftragnehmer bearbeiteten Personendaten dürfen ausschliesslich zum vertraglich festgelegten Zweck verwendet werden. Weitere Verwendungszwecke müssen vom Alterszentrum RAS schriftlich bewilligt werden.

  5. Bekanntgabe von Daten
    Die Bekanntgabe von Personendaten an Dritte erfolgt ausschliesslich im Rahmen der vertraglichen Vereinbarung oder nach schriftlicher Ermächtigung des Alterszentrums RAS.
    Sollte der Auftragnehmer aufgrund einer richterlichen Zwangsmassnahme verpflichtet werden, den zuständigen Behörden Zugang zu Systemen und Personendaten des Alterszentrums RAS zu verschaffen, informiert er diesen unverzüglich.

  6. Geheimhaltungspflichten
    Der Auftragnehmer, dessen Mitarbeitende, Unterauftragnehmer und Hilfspersonen unterstehen im Rahmen der Vertragserfüllung und auch nach der Vertragsauflösung der umfassenden Geheimhaltungs- und Schweigepflicht. Vorbehalten bleiben weitergehende gesetzlich verankerte Schweigepflichten (z.B. Berufsgeheimnisse). Diese Geheimhaltungspflichten beziehen sich auf alle Systeme, Prozesse und Personendaten des Alterszentrums RAS und gelten auch innerhalb des Unternehmens des Auftragnehmers, ungeachtet der hierarchischen Positionen.
    Mitarbeitende des Auftragnehmers, des Unterauftragnehmers und Hilfspersonen, die im Rahmen des Auftragsverhältnisses besonders schützenswerte Personendaten bearbeiten, unterstehen dem Kontroll- und Weisungsrecht des Alterszentrums RAS, es sei denn, organisatorische und technische Massnahmen verhindern eine Kenntnisnahme.

  7. Datensicherheit

    7.1. Allgemeines
    Der Auftragnehmer kennt die Pflicht des Alterszentrums RAS, Personendaten durch angemessene organisatorische und technische Massnahmen zu schützen (Art. 8 DSG bzw. § 12 IDAG). Das Alterszentrums RAS orientiert den Auftragnehmer über den Schutzbedarf der zu bearbeitenden Personendaten.

    7.2. Trennung der Datenbestände
    Der Auftragnehmer trifft die notwendigen organisatorischen und technischen Massnahmen, um die Personendaten des Alterszentrums RAS von denjenigen anderer Auftraggeber zu trennen.

    7.3. Informationspflicht des Auftragsnehmers
    Das Alterszentrum RAS ist über besondere Vorkommnisse (Datenverlust, Hackerangriff, unrechtmässige Zugriffe) umgehend zu informieren.

    7.4. Protokoll
    Der Auftraggeber kann vom Auftragnehmer verlangen, die Zugriffe auf die Personendaten zu protokollieren. Der Auftraggeber kann Einsicht in die Protokolle nehmen.

  8. Kontrolle
    Der Auftragnehmer untersteht der Aufsicht der Kontrollorgane des Alterszentrums RAS, namentlich der Geschäftsleitung oder der/dem Datenschutzbeauftragten.

  9. Unterauftragsverhältnisse
    Der Auftragnehmer darf Dritte zur Erfüllung seines Auftrages nur beziehen, wenn das Alterszentrum RAS schriftlich zugestimmt hat oder er diese zu Beginn des Auftragsverhältnisses offengelegt hat. Der Unterauftragnehmer muss sämtliche Pflichten aus dem Vertragsverhältnis sowie aus diesen AGB rechtsgültig übernehmen.

  10. Wahrung von Geschäftsgeheimnissen des Auftragnehmers
    Das Alterszentrum RAS verpflichtet sich, die Geschäftsgeheimnisse des Auftragnehmers zu wahren.

  11. Werbung
    Werbung und Veröffentlichungen über vertragsspezifische Leistungen bedürfen der schriftlichen Zustimmung des Alterszentrum RAS.

  12. Sanktionen
    Bei schwerwiegender Verletzung einer Bestimmung des Vertrages oder dieser AGB zahlt die verletzende Partei der verletzten Partei eine Konventionalstrafe, sofern sie nicht beweist, dass sie kein Verschulden trifft. Die Höhe richtet sich nach der vertraglichen Vereinbarung. Vorbehalten bleibt der Ersatz des darüber hinaus gehenden Schadens. Bei wiederholter schwerwiegender Verletzung steht der verletzten Partei das Recht zur sofortigen Vertragsauflösung zu. Der daraus entstehende Schaden ist ihr zu vergüten.
    Die Bezahlung der Konventionalstrafe befreit nicht von den Geheimhaltungspflichten. Vorbehalten bleiben strafrechtliche Sanktionen.

  13. Vertragsauflösung
    Ungeachtet des Grundes der Vertragsauflösung verpflichtet sich der Auftragnehmer, die für das Alterszentrum RAS bearbeiteten Daten unentgeltlich im vereinbarten Format umgehend zu übertragen. Die Pflichterfüllung kann vom Auftragnehmer selbst dann nicht aufgeschoben werden, wenn zwischen den Parteien Auseinandersetzungen bestehen sollten.
    Das Alterszentrum RAS kann vom Auftragnehmer die unentgeltliche Vernichtung der im Rahmen des Auftragsverhältnisses bearbeiteten Daten verlangen. Die diesbezügliche Pflichterfüllung kann das Alterszentrum RAS selbst oder durch einen Dritten überprüfen lassen.

  14. Anwendbares Recht
    Es gilt das im Vertrag vereinbarte schweizerische Recht.

  15. Gerichtsstand
    Es gilt der Gerichtsstand des Alterszentrums RAS.

AGB Datenbearbeitung durch Dritte

 

Allgemeine Geschäftsbedingungen bei der Auslagerung von Datenbearbeitungen unter Inanspruchnahme von Informatikleistungen

  1. Anwendungsbereich
    Diese AGB sind Bestandteil des Vertragsverhältnisses zwischen dem Alterszentrum RAS (Auftraggeber) und dem Auftragnehmer, welches die Auslagerung der Bearbeitung von Personendaten im Rahmen von Art. 9 Bundesgesetz über den Datenschutz (DSG, SR 235.1) bzw. § 18 Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen des Kantons Aargau (IDAG, SAR 150.700) unter Inanspruchnahme von Informatikleistungen zum Gegenstand hat.

  2. Verantwortung
    Das Alterszentrum RAS ist für die Bearbeitung von Personendaten verantwortlich. Der Auftragnehmer ist lediglich im Rahmen der vertraglichen Vereinbarung ermächtigt, die Personendaten des Alterszentrums RAS zu bearbeiten.

  3. Rechtliche Verfügungsmacht über die Daten
    Das Alterszentrum RAS behält die vollumfängliche Verfügungsmacht über die bearbeiteten Personendaten. Der Auftraggeber kann dem Auftragnehmer insbesondere ohne Begründung und ungeachtet der konkreten vertraglichen Situation jederzeit den Zugriff auf die bearbeiteten Personendaten untersagen, diese unentgeltlich in einem zum Voraus vereinbarten Format herausverlangen oder den Auftragnehmer auffordern, die bearbeiteten Personendaten zu vernichten.

  4. Zweckbindung
    Die vom Auftragnehmer bearbeiteten Personendaten dürfen ausschliesslich zum vertraglich festgelegten Zweck verwendet werden. Weitere Verwendungszwecke müssen vom Alterszentrum RAS schriftlich bewilligt werden.

  5. Bekanntgabe von Daten
    Die Bekanntgabe von Personendaten an Dritte erfolgt ausschliesslich im Rahmen der vertraglichen Vereinbarung oder nach schriftlicher Ermächtigung des Alterszentrums RAS.
    Sollte der Auftragnehmer aufgrund einer richterlichen Zwangsmassnahme verpflichtet werden, den zuständigen Behörden Zugang zu Systemen und Personendaten des Alterszentrums RAS zu verschaffen, informiert er diese unverzüglich.

  6. Geheimhaltungspflichten
    Der Auftragnehmer, dessen Mitarbeitende, Unterauftragnehmer und Hilfspersonen unterstehen im Rahmen der Vertragserfüllung der umfassenden Geheimhaltungs- und Schweigepflicht. Vorbehalten bleiben weitergehende gesetzlich verankerte Schweigepflichten (z.B. Berufsgeheimnisse). Diese Geheimhaltungspflichten beziehen sich auf alle Systeme, Prozesse und Personendaten des Alterszentrums RAS und gelten auch innerhalb des Unternehmens des Auftragnehmers, ungeachtet der hierarchischen Positionen.
    Mitarbeitende des Auftragnehmers, des Unterauftragnehmers und Hilfspersonen, die im Rahmen des Auftragsverhältnisses besonders schützenswerte Personendaten bearbeiten, unterstehen dem Kontroll- und Weisungsrecht des Alterszentrum RAS, es sei denn, organisatorische und technische Massnahmen verhindern eine Kenntnisnahme.

  7. Auskunftsgesuche
    Der Auftragnehmer leitet Auskunftsgesuche i.S.v. Art. 25 DSG bzw. § 23 IDAG an das Alterszentrum RAS weiter. Er trifft organisatorische und technische Massnahmen, um das Alterszentrum RAS die Beantwortung der Anfragen und die Durchsetzung der Rechte Betroffener auf Berichtigung und Löschung zu ermöglichen.

  8. Datensicherheit

    8.1. Allgemeines
    Der Auftragnehmer kennt die Pflicht des Alterszentrums RAS, Personendaten durch angemessene organisatorische und technische Massnahmen zu schützen (Art. 8 DSG bzw. § 12 IDAG). Das Alterszentrum RAS orientiert den Auftragnehmer über den Schutzbedarf der zu bearbeitenden Personendaten.
    Zur Sicherstellung der Datensicherheit unterhält der Auftragnehmer ein Sicherheitsmanagement, abgestuft nach dem Schutzbedarf der Daten. Er erstellt eine Sicherheitsorganisation und ein Sicherheitskonzept, damit die Datensicherheit im laufenden Betrieb aufrechterhalten und ständig verbessert wird. Es gelten die Standards der ISO/IEC 27000-Serie oder des BSI Grundschutzstandards 100-1 bis 100-4.

    8.2. Trennung der Datenbestände
    Der Auftragnehmer trifft die notwendigen organisatorischen und technischen Massnahmen, um die Daten des Alterszentrum RAS von denjenigen anderer Auftraggeber zu trennen.

    8.3. Informationspflicht des Auftragnehmers
    Der Auftragnehmer informiert und dokumentiert das Alterszentrum RAS über die Methoden und Prozesse, die er zur Einhaltung der Datensicherheit einsetzt. Das Alterszentrum RAS hat das Recht, weiterführende Unterlagen einzusehen und sich die betrieblichen Abläufe vorführen zu lassen.
    Weiter ist das Alterszentrum RAS über besondere Vorkommnisse (Datenverlust, Hackerangriff, unrechtmässige Zugriffe) umgehend zu informieren. Es sind formale Meldeverfahren mit Ansprechpersonen festzulegen.

    8.4. Protokoll
    Der Auftraggeber kann vom Auftragnehmer verlangen, die Zugriffe auf die Personendaten zu protokollieren. Der Auftraggeber kann Einsicht in die Protokolle nehmen.

  9. Kontrolle

    9.1. Sicherheits-Audits
    Der Auftragnehmer ist verpflichtet, periodische Sicherheits-Audits nach anerkannten Audit-Standards (z.B. Schweizerische Kammer der Wirtschaftsprüfer und Steuerexperten, Information Systems Audit and Control Association, ISACA) durch unabhängige Prüfstellen durchzuführen. Auf Anfrage stellt er dem Alterszentrum RAS die Berichte unentgeltlich zur Verfügung.

    9.2. Kontrolle durch unabhängige Aufsichtsbehörden
    Der Auftragnehmer untersteht der Aufsicht der Kontrollorgane des Alterszentrum RAS, namentlich der Geschäftsleitung oder der/dem Datenschutzbeauftragten. Der Auftragnehmer hat den Kontrollorganen des Alterszentrums RAS zu dessen Informationen, Systemen und Prozessen zu verschaffen, diese unentgeltlich zu unterstützen sowie die notwendigen zeitlichen und fachlichen Ressourcen zur Verfügung zu stellen.

  10. Unterauftragsverhältnisse
    Der Auftragnehmer darf Dritte zur Erfüllung seines Auftrages nur beziehen, wenn das Alterszentrum RAS schriftlich zugestimmt hat oder er diese zu Beginn des Auftragsverhältnisses offengelegt hat. Der Unterauftragnehmer muss sämtliche Pflichten aus dem Vertragsverhältnis sowie aus diesen AGB rechtsgültig übernehmen.

  11. Entwicklung und Wartung von Systemen
    Erfordert die Entwicklung und Wartung von Systemen den Beizug Dritter, verhindert der Auftragnehmer durch organisatorische und technische Massnahmen, dass den Dritten Daten des Auftraggebers zur Kenntnis gelangen. Lässt sich dies organisatorisch und technisch nicht verhindern, gelten die Bestimmungen über Unterauftragsverhältnisse.

  12. Ort der Datenbearbeitung / gleichwertiges Datenschutzniveau
    Die Bearbeitungsprozesse mit Daten des Alterszentrums RAS sowie deren Speicherung und Archivierung haben grundsätzlich in der Schweiz zu erfolgen.
    Das Bearbeiten von Personendaten ausserhalb der Schweiz darf ausschliesslich in einem Land mit angemessenem Datenschutzniveau erfolgen (Art. 16 DSG bzw. § 14 Abs. 3 und 4 IDAG). Das Alterszentrum RAS hat dies schriftlich zu bewilligen. Inhalt und Ort der Datenbestände sind aktuell zu dokumentieren.

  13. Cloud Computing
    Bei der Nutzung von Cloud Services sind zusätzlich folgende Anforderungen zwingend zu beachten: 
    - Der Auftragnehmer informiert und dokumentiert den Auftraggeber schriftlich und umfassend über die eingesetzte Technologie bzw. über eine Weiterentwicklung der eingesetzten Technologie.
    - Der Auftragnehmer informiert das Alterszentrum RAS über sämtliche mögliche Datenbearbeitungsorte.
    - Sämtliche Datenbestände mit besonders schützenswerten Personendaten dürfen nur mit einer umfassenden kryptographischen Sicherung in die Cloud einfliessen. Der Auftragnehmer stellt die erforderlichen kryptographischen Massnahmen während des gesamten Bearbeitungsprozesses inklusive der Vernichtung sicher. Das Alterszentrum RAS verwaltet die notwendigen Zertifikate (Schlüssel) selbst.
    - Die Massnahmen zur Gewährleistung der Portabilität, Interoperabilität richten sich nach der vertraglichen Vereinbarung.

  14. Wahrung von Geschäftsgeheimnissen des Auftragnehmers
    Das Alterszentrum RAS verpflichtet sich, die Geschäftsgeheimnisse des Auftragnehmers zu wahren.

  15. Werbung
    Werbung und Veröffentlichungen über vertragsspezifische Leistungen bedürfen der schriftlichen Zustimmung des Alterszentrums RAS.

  16. Sanktionen
    Bei schwerwiegender Verletzung einer Bestimmung des Vertrages oder dieser AGB Auslagerung Informatikleistung zahlt die verletzende Partei der verletzten Partei eine Konventionalstrafe, sofern sie nicht beweist, dass sie kein Verschulden trifft. Die Höhe richtet sich nach der vertraglichen Vereinbarung. Vorbehalten bleibt der Ersatz des darüber hinaus gehenden Schadens. Bei wiederholter schwerwiegender Verletzung steht der verletzten Partei das Recht zur sofortigen Vertragsauflösung zu. Der daraus entstehende Schaden ist ihr zu vergüten.
    Die Bezahlung der Konventionalstrafe befreit nicht von den Geheimhaltungspflichten. Vorbehalten bleiben strafrechtliche Sanktionen.

  17. Vertragsauflösung
    Ungeachtet des Grundes der Vertragsauflösung verpflichtet sich der Auftragnehmer, die für das Alterszentrum RAS bearbeiteten Daten unentgeltlich im vereinbarten Format umgehend zu übertragen. Die Pflichterfüllung kann vom Auftragnehmer selbst dann nicht aufgeschoben werden, wenn zwischen den Parteien Auseinandersetzungen bestehen sollten.
    Das Alterszentrum RAS kann vom Auftragnehmer die unentgeltliche Vernichtung der im Rahmen des Auftragsverhältnisses bearbeiteten Daten verlangen. Die diesbezügliche Pflichterfüllung kann das Alterszentrum RAS selbst überprüfen oder durch einen Dritten überprüfen lassen.

  18. Anwendbares Recht
    Es gilt das im Vertrag vereinbarte schweizerische Recht.

  19. Gerichtsstand
    Es gilt der Gerichtsstand des Alterszentrums RAS.

AGB Auslagerung Informatikleistungen