Auftrags­verarbeitungs­vereinbarung

Parteien und Geltung

Diese AVV wird abgeschlossen zwischen:

1. Die Verantwortliche tritt dieser AVV mit der Registrierung auf app.jurshare.ch und der Annahme der AGB bei. Auf gesonderte schriftliche Bestätigung kann ergänzend ein Einzelvertrag abgeschlossen werden.
2. Diese AVV gilt für sämtliche Bearbeitungen von Personendaten, welche die Auftragsbearbeiterin im Auftrag der Verantwortlichen im Rahmen der Bereitstellung von JurShare vornimmt.
3. Soweit die Verantwortliche Personendaten von Personen bearbeitet, die ihren gewöhnlichen Aufenthalt im Europäischen Wirtschaftsraum haben, gilt diese AVV ergänzend als Vereinbarung gemäss Art. 28 Abs. 3 DSGVO.

Gegenstand und Dauer

1. Gegenstand der Auftragsbearbeitung ist die Bereitstellung der Plattform JurShare für den sicheren Austausch elektronischer Dokumente zwischen der Verantwortlichen und Empfangenden ausserhalb der justizinternen Plattform justitia.swiss.
2. Zweck der Bearbeitung ist ausschliesslich:
   • die Bereitstellung der Funktion «Datenanfrage» (Empfang von Dokumenten);
   • die Bereitstellung der Funktion «Datenfreigabe» (Versand von Dokumenten);
   • die für den Betrieb erforderliche Authentifizierung, Logging-Funktion und Schadsoftware-Prüfung;
   • die Erfüllung gesetzlicher Pflichten der Auftragsbearbeiterin.
3. Art der Bearbeitung umfasst das Erheben, Speichern, Aufbewahren, Verändern, Bekanntgeben, Übermitteln, Archivieren und Löschen, soweit dies zur Vertragserfüllung erforderlich ist.
4. Die Dauer der Auftragsbearbeitung entspricht der Dauer des Hauptvertrags zwischen den Parteien (Nutzungsvertrag JurShare). Sie beginnt mit der Registrierung der Verantwortlichen und endet mit der vollständigen Beendigung des Vertragsverhältnisses, einschliesslich der nachvertraglichen Verpflichtungen gemäss Art. 14.

Kategorien bearbeiteter Personendaten und betroffener Personen

Die Auftragsbearbeiterin bearbeitet im Auftrag der Verantwortlichen Personendaten, deren konkrete Art und Umfang durch die Verantwortliche selbst bestimmt werden. Die nachfolgende Aufzählung ist nicht abschliessend.

3.1 Kategorien betroffener Personen

• Mandantinnen und Mandanten der Verantwortlichen sowie deren Hilfspersonen
• Gegenparteien und deren rechtliche Vertretungen
• Mitarbeitende, Organe und externe Beraterinnen der Verantwortlichen
• Empfangende von Datenfreigaben (z. B. Versicherungen, Notariate, Banken, Treuhand, Verwaltungsstellen, kooperierende Kanzleien)
• Zeuginnen, Auskunftspersonen und sonstige Verfahrensbeteiligte

3.2 Kategorien von Personendaten

• Identifikations- und Kontaktdaten (Namen, Anschriften, E-Mail, Telefon)
• Berufliche und beruflich-bezogene Daten
• Vertrags- und Korrespondenzdaten
• Inhaltsdaten der hochgeladenen Dokumente, deren Beschaffenheit allein die Verantwortliche bestimmt
• Authentifizierungsdaten und technische Protokolldaten

3.3 Besonders schützenswerte Personendaten

Die Verantwortliche kann durch das Hochladen von Dokumenten besondere Personendaten im Sinne von Art. 5 Bst. c DSG bzw. besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO bearbeiten lassen, namentlich:

• Daten über Gesundheit, körperliche oder psychische Verfassung
• Daten über strafrechtliche Verfolgungen oder Sanktionen
• Daten über Massnahmen der sozialen Hilfe
• Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten
• Genetische und biometrische Daten
• Daten über die Intimsphäre oder die Rassenzugehörigkeit

Die Verantwortliche prüft eigenverantwortlich, ob die Bearbeitung besonderer Personendaten über JurShare im konkreten Mandat zulässig und angemessen ist.

Weisungsrecht und Rechtmässigkeit der Bearbeitung

1. Die Auftragsbearbeiterin bearbeitet Personendaten ausschliesslich nach dokumentierten Weisungen der Verantwortlichen. Als dokumentierte Weisung gelten insbesondere die Konfigurationen, die die Verantwortliche in der Plattform vornimmt (z. B. Erstellung einer Datenanfrage, Festlegung von Empfangenden, Ablaufdaten und Passwörtern).
2. Die Verantwortliche bestätigt, dass sie eigenverantwortlich für die Rechtmässigkeit der Bearbeitung der Personendaten zuständig ist und über eine angemessene Rechtsgrundlage verfügt (z. B. Mandatsverhältnis, Einwilligung, gesetzliche Pflicht, berechtigtes Interesse).
3. Die Auftragsbearbeiterin bearbeitet die Personendaten nicht für eigene Zwecke. Sie nutzt die Daten insbesondere nicht für eigene Marketingzwecke, nicht für statistische oder analytische Auswertungen über das technisch Notwendige hinaus und nicht für das Training von Modellen Künstlicher Intelligenz.
4. Bestehen begründete Anhaltspunkte, dass eine Weisung der Verantwortlichen gegen anwendbares Datenschutzrecht verstösst, informiert die Auftragsbearbeiterin die Verantwortliche unverzüglich. Bis zur Klärung kann die Auftragsbearbeiterin die Ausführung der betroffenen Weisung aussetzen.
5. Bei behördlichen oder gerichtlichen Anordnungen, die der Auftragsbearbeiterin die Bearbeitung oder Bekanntgabe von Daten vorschreiben, informiert sie die Verantwortliche unverzüglich, sofern dies rechtlich zulässig ist.

Pflichten der Auftragsbearbeiterin

Die Auftragsbearbeiterin verpflichtet sich insbesondere:

1. die Personendaten ausschliesslich gemäss dieser AVV und den dokumentierten Weisungen der Verantwortlichen zu bearbeiten;
2. angemessene technische und organisatorische Massnahmen gemäss Art. 7 sowie gemäss Anhang B umzusetzen und über die Vertragsdauer aufrechtzuerhalten;
3. ausschliesslich Mitarbeitende und Hilfspersonen einzusetzen, die zur Vertraulichkeit verpflichtet sind (Art. 8);
4. die Verantwortliche bei der Erfüllung ihrer Pflichten nach Datenschutzrecht angemessen zu unterstützen, insbesondere bei der Beantwortung von Anfragen betroffener Personen, bei Datenschutz-Folgenabschätzungen und bei der Meldung von Datenschutzverletzungen;
5. die Verantwortliche unverzüglich zu informieren, falls eine Weisung gegen anwendbares Datenschutzrecht verstösst;
6. Datenschutzverletzungen unverzüglich zu melden (Art. 11);
7. der Verantwortlichen die zur Erfüllung ihrer datenschutzrechtlichen Pflichten erforderlichen Informationen bereitzustellen;
8. die nach Art. 12 DSG bzw. Art. 30 DSGVO erforderlichen Aufzeichnungen zu führen;
9. einen Datenschutzberater im Sinne von Art. 10 DSG bzw. einen Datenschutzbeauftragten im Sinne von Art. 37 DSGVO zu benennen, soweit gesetzlich erforderlich;
10. die in dieser AVV vereinbarten Bedingungen mit allen Unterauftragnehmern vertraglich zu vereinbaren (Art. 9).

Pflichten der Verantwortlichen

Die Verantwortliche verpflichtet sich insbesondere:

1. für die rechtmässige Bearbeitung der Personendaten verantwortlich zu sein und über eine angemessene Rechtsgrundlage zu verfügen;
2. die betroffenen Personen vor der Bearbeitung in der gesetzlich erforderlichen Form zu informieren, insbesondere über die Nutzung von JurShare als Auftragsbearbeiterin;
3. die ihr obliegenden anwaltlichen Berufspflichten - einschliesslich des Anwaltsgeheimnisses (Art. 13 BGFA, Art. 321 StGB) - eigenverantwortlich einzuhalten;
4. vor der Übermittlung besonders schützenswerter Personendaten zusätzliche Schutzmassnahmen zu erwägen (z. B. Passwortschutz, kürzere Ablaufdaten);
5. zugewiesene Login-Daten geheim zu halten und sicher aufzubewahren;
6. Datenschutzverletzungen, die unter ihrer Verantwortung entstehen, eigenständig der zuständigen Aufsichtsbehörde und betroffenen Personen zu melden, soweit gesetzlich erforderlich;
7. Anfragen betroffener Personen primär selbst zu beantworten und die Auftragsbearbeiterin nur dann beizuziehen, wenn dies zur Beantwortung erforderlich ist.

Technische und organisatorische Massnahmen

1. Die Auftragsbearbeiterin gewährleistet ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 8 DSG bzw. Art. 32 DSGVO. Die konkreten technischen und organisatorischen Massnahmen sind in Anhang B beschrieben.
2. Die Massnahmen orientieren sich an den Sicherheitsanforderungen, die das Projekt Justitia 4.0 für die Plattform justitia.swiss definiert hat.
3. Die Auftragsbearbeiterin überprüft und passt die Massnahmen periodisch an die jeweilige Bedrohungslage und an den Stand der Technik an. Das Schutzniveau darf dabei nicht abgesenkt werden, ohne die Verantwortliche vorgängig zu informieren.
4. Wesentliche Änderungen an den Massnahmen werden auf jurshare.ch oder per E-Mail an die Verantwortliche kommuniziert.

Vertraulichkeit der Mitarbeitenden

1. Die Auftragsbearbeiterin setzt für die Bearbeitung der Personendaten ausschliesslich Mitarbeitende und Hilfspersonen ein, die schriftlich zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterstehen.
2. Die Vertraulichkeitsverpflichtung besteht über die Dauer des jeweiligen Arbeitsverhältnisses hinaus fort.
3. Mitarbeitende erhalten Zugang zu Personendaten nur in dem Umfang, der für die Erfüllung ihrer Aufgaben zwingend erforderlich ist (Need-to-know-Prinzip).
4. Die Auftragsbearbeiterin schult ihre Mitarbeitenden regelmässig in Datenschutz und Informationssicherheit.

Unterauftragsverhältnisse

1. Die Verantwortliche erteilt der Auftragsbearbeiterin eine generelle Genehmigung zur Beauftragung von Unterauftragnehmern, soweit dies zur Erbringung der vertraglichen Leistungen erforderlich ist. Die zum Zeitpunkt des Vertragsabschlusses beauftragten Unterauftragnehmer sind in Anhang A aufgeführt.
2. Die Auftragsbearbeiterin verpflichtet jeden Unterauftragnehmer schriftlich zu Datenschutzpflichten, die mindestens den Pflichten dieser AVV entsprechen, insbesondere zur Einhaltung der technischen und organisatorischen Massnahmen.
3. Die Auftragsbearbeiterin informiert die Verantwortliche über beabsichtigte Änderungen bei den Unterauftragnehmern (Hinzunahme oder Austausch) mindestens 30 Tage im Voraus per E-Mail oder durch Aktualisierung von Anhang A.
4. Die Verantwortliche kann gegen die Beauftragung eines neuen Unterauftragnehmers innerhalb von 30 Tagen aus wichtigen, datenschutzrechtlichen Gründen schriftlich widersprechen. Im Falle eines berechtigten Widerspruchs sind die Parteien gehalten, eine einvernehmliche Lösung zu suchen. Lässt sich keine einigende Lösung finden, ist die Verantwortliche zur ausserordentlichen Kündigung des Hauptvertrags berechtigt.
5. Die Auftragsbearbeiterin haftet für das Handeln und Unterlassen ihrer Unterauftragnehmer wie für eigenes Handeln.

Übermittlung in Drittländer

1. Die Auftragsbearbeiterin betreibt die Plattform JurShare ausschliesslich in Rechenzentren in der Schweiz. Inhaltsdaten werden nicht in Drittländer übermittelt.
2. Sollte in Ausnahmefällen eine Übermittlung von Personendaten in Staaten ausserhalb der Schweiz und ausserhalb des EWR erforderlich werden, geschieht dies nur:
   • bei Vorliegen eines angemessenen Schutzniveaus gemäss Art. 16 DSG bzw. Art. 45 DSGVO; oder
   • auf Grundlage geeigneter Garantien (Standardvertragsklauseln gemäss Art. 16 Abs. 2 Bst. d DSG bzw. Art. 46 DSGVO); oder
   • aufgrund einer Ausnahmebestimmung gemäss Art. 17 DSG bzw. Art. 49 DSGVO.
3. Die Auftragsbearbeiterin informiert die Verantwortliche vorgängig über solche Drittlandtransfers.

Datenschutzverletzungen

1. Die Auftragsbearbeiterin meldet der Verantwortlichen jede Datenschutzverletzung im Sinne von Art. 24 DSG bzw. Art. 33 DSGVO unverzüglich, in der Regel innerhalb von 72 Stunden nach Kenntnisnahme.
2. Die Meldung erfolgt schriftlich (E-Mail an die hinterlegte Kontaktadresse der Verantwortlichen) und umfasst nach Möglichkeit:
   • Art und Umfang der Verletzung;
   • betroffene Datenkategorien und ungefähre Anzahl betroffener Personen;
   • voraussichtliche Folgen;
   • bereits ergriffene und geplante Massnahmen zur Behebung und zur Minderung möglicher Schäden;
   • Kontaktangaben für Rückfragen.
3. Sind die Informationen zum Zeitpunkt der ersten Meldung noch nicht vollständig verfügbar, werden sie ohne unangemessene Verzögerung in Folgemeldungen ergänzt.
4. Die Auftragsbearbeiterin unterstützt die Verantwortliche bei der Erfüllung ihrer Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen.
5. Die Pflicht zur Meldung an Aufsichtsbehörden und betroffene Personen liegt - als verantwortliche Stelle - grundsätzlich bei der Verantwortlichen.

Unterstützung bei Betroffenenrechten

1. Wenden sich betroffene Personen unmittelbar an die Auftragsbearbeiterin mit Begehren auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch (Art. 25 ff. DSG, Art. 12 ff. DSGVO), leitet die Auftragsbearbeiterin diese unverzüglich an die Verantwortliche weiter.
2. Die Auftragsbearbeiterin unterstützt die Verantwortliche bei der Beantwortung solcher Begehren mit angemessenen technischen und organisatorischen Mitteln.
3. Die Auftragsbearbeiterin gibt Auskunft über bei ihr gespeicherte Personendaten der Verantwortlichen nur dann direkt an Dritte oder an Behörden weiter, wenn die Verantwortliche dies anweist oder wenn eine zwingende rechtliche Verpflichtung besteht.
4. Aufwendungen, die der Auftragsbearbeiterin aus der Unterstützung über das vertraglich Geschuldete hinaus entstehen (z. B. bei aussergewöhnlich umfangreichen Anfragen), kann die Auftragsbearbeiterin der Verantwortlichen nach effektivem Aufwand gegen Vorlage einer entsprechenden Aufstellung in Rechnung stellen.

Kontroll- und Auditrechte

1. Die Verantwortliche hat das Recht, die Einhaltung dieser AVV durch die Auftragsbearbeiterin zu kontrollieren. Die Kontrolle erfolgt vorrangig durch:
   • Einsicht in die jeweils aktuelle Beschreibung der technischen und organisatorischen Massnahmen (Anhang B) und das auf jurshare.ch publizierte Sicherheits-Whitepaper;
   • Einsicht in einschlägige Audit-Berichte oder Zertifikate, soweit vorhanden;
   • schriftlich beantwortete Fragenkataloge der Verantwortlichen.
2. Reichen diese Mittel im konkreten Einzelfall nicht aus, kann die Verantwortliche eine Vor-Ort-Kontrolle durchführen oder durch eine zur Berufsverschwiegenheit verpflichtete unabhängige Drittperson durchführen lassen, sofern:
   • ein konkreter Anlass besteht (z. B. eine relevante Datenschutzverletzung oder behördliche Aufforderung);
   • die Kontrolle mindestens 30 Tage im Voraus angekündigt wird;
   • die Kontrolle in Absprache während üblicher Geschäftszeiten erfolgt;
   • der Geschäftsbetrieb der Auftragsbearbeiterin nur unwesentlich beeinträchtigt wird;
   • die kontrollierende Person zur strengen Vertraulichkeit verpflichtet ist und keine Wettbewerberin oder mit einer solchen verbunden ist.
3. Die Kosten der Kontrolle trägt grundsätzlich die Verantwortliche. Wird im Rahmen der Kontrolle ein wesentlicher Verstoss gegen die AVV festgestellt, trägt die Auftragsbearbeiterin die angemessenen Kosten.
4. Die Auftragsbearbeiterin ist berechtigt, sensitive Informationen (z. B. Logdaten anderer Kunden, technische Detail-Konfigurationen) von der Einsicht auszunehmen.

Rückgabe und Löschung nach Beendigung

1. Nach Beendigung der Auftragsbearbeitung gibt die Auftragsbearbeiterin die Inhaltsdaten nach Wahl der Verantwortlichen wahlweise heraus oder löscht sie. Die Wahl ist von der Verantwortlichen innerhalb der in den AGB festgelegten Übergangsfrist (in der Regel 30 Tage) auszuüben.
2. Bei Wahl der Herausgabe stellt die Auftragsbearbeiterin die exportierbaren Inhaltsdaten in einem üblichen, maschinenlesbaren Format bereit. Bei Wahl der Löschung oder bei Ausbleiben einer Wahl löscht die Auftragsbearbeiterin sämtliche Inhaltsdaten unwiderruflich.
3. Da Inhaltsdaten in JurShare technisch ausschliesslich im flüchtigen Arbeitsspeicher (RAM) gehalten werden, erfolgt die Löschung mit dem Ablauf des jeweiligen Datenfreigabe- oder Datenanfrage-Zeitraums automatisch und unwiderruflich. Eine spezifische Löschanordnung ist in diesen Fällen nicht erforderlich.
4. Backups der für den Betrieb erforderlichen Konfigurations- und Metadaten werden im Rahmen der standardmässigen Backup-Zyklen, längstens jedoch innerhalb weiterer 90 Tage, gelöscht.
5. Aufzeichnungen, die zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich sind (insbesondere Buchhaltungsbelege gemäss Art. 958f OR), werden bis zum Ende der gesetzlichen Frist aufbewahrt und danach gelöscht.

Haftung und Schlussbestimmungen

1. Für die Haftung der Parteien gelten die Bestimmungen des Hauptvertrags (insbesondere § 17 der AGB). Die gesetzlichen Haftungsregelungen nach Datenschutzrecht (insbesondere Art. 36 DSGVO sowie die Aussenhaftung gegenüber Betroffenen) bleiben vorbehalten.
2. Diese AVV ergänzt den Hauptvertrag. Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag in datenschutzrechtlichen Belangen geht diese AVV vor.
3. Sollten einzelne Bestimmungen dieser AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden anstelle der unwirksamen Bestimmung eine wirksame Regelung vereinbaren, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
4. Diese AVV unterliegt schweizerischem Recht unter Ausschluss der Kollisionsnormen sowie unter Ausschluss des UN-Kaufrechts. Ausschliesslicher Gerichtsstand ist Bern, Schweiz; zwingende gesetzliche Gerichtsstände bleiben vorbehalten.

Die Auftragsbearbeiterin setzt zum Zeitpunkt des Inkrafttretens dieser AVV die folgenden Unterauftragnehmer ein. Die jeweils aktuelle Liste ist auf app.jurshare.ch oder auf Anfrage erhältlich.

Sämtliche Unterauftragnehmer sind vertraglich zur Einhaltung von Datenschutzpflichten verpflichtet, die mindestens den in dieser AVV vereinbarten Pflichten entsprechen.

Die Auftragsbearbeiterin setzt zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus folgende Massnahmen um. Eine ausführliche Beschreibung findet sich im Sicherheits-Whitepaper.

B.1 Vertraulichkeit (Art. 32 Abs. 1 Bst. b DSGVO / Art. 8 DSG)

• Hosting ausschliesslich in Schweizer Rechenzentren mit physischer Zutrittskontrolle
• Betriebssystem Rocky Linux 10 mit aktiviertem SELinux (Mandatory Access Control)
• Anwendung läuft in einem isolierten, rootlosen Podman-Container
• Inhaltsdaten werden ausschliesslich im flüchtigen Arbeitsspeicher (Redis, in-memory) gehalten und nicht auf persistentem Speicher abgelegt
• Verschlüsselung aller Verbindungen mittels TLS 1.3
• Verschlüsselung der Konto- und Konfigurationsdaten im Ruhezustand mit AES-256
• Mehrstufige Authentifizierung mit Passwort-Hashing (Argon2/bcrypt) und optionalem zweitem Faktor
• Strikte Need-to-know-Berechtigungen, rollenbasierte Zugriffskontrolle
• Vertraulichkeitsverpflichtung sämtlicher Mitarbeitenden über das Arbeitsverhältnis hinaus
• Intrusion-Detection-System (fail2ban) zur automatischen Sperrung verdächtiger Zugriffe

B.2 Integrität (Art. 32 Abs. 1 Bst. b DSGVO)

• Automatische Schadsoftware-Prüfung jedes hochgeladenen Dokuments mittels ClamAV
• Lückenloses Audit-Log mit Zeitstempel und IP-Adresse für jeden relevanten Zugriff
• Kryptographische Integritätsprüfung übertragener Dokumente
• Regelmässige Sicherheitsupdates und Patches auf Betriebssystem-, Container- und Applikationsebene
• Immutable Container-Images mit reproduzierbaren Builds
• SIEM zur zentralen Korrelation sicherheitsrelevanter Ereignisse aus Anwendung, Host und IDS

B.3 Verfügbarkeit (Art. 32 Abs. 1 Bst. b DSGVO)

• Redundante Infrastruktur mit Hochverfügbarkeits-Setup
• Web Application Firewall und DDoS-Schutz
• Regelmässige Vulnerability-Scans
• Backup der Konfigurations- und Metadaten in der Schweiz, mehrfach redundant und verschlüsselt
• Notfallwiederherstellungsplan (Business Continuity Plan)

B.4 Belastbarkeit und Wiederherstellung (Art. 32 Abs. 1 Bst. c DSGVO)

• Wiederherstellung der Verfügbarkeit innerhalb angemessener Frist nach einem Zwischenfall
• Regelmässige Wiederherstellungstests
• Dokumentierte Incident-Response-Prozesse

B.5 Verfahren zur Überprüfung (Art. 32 Abs. 1 Bst. d DSGVO)

• Regelmässige interne Sicherheitsüberprüfungen
• Anlassbezogene externe Penetrationstests
• Schwachstellen-Disclosure-Programm unter security@jurshare.ch
• Periodische Aktualisierung dieser TOMs an den Stand der Technik

B.6 Datenschutzfreundliche Voreinstellungen (Art. 7 DSG / Art. 25 DSGVO)

• Datensparsamkeit als Designprinzip
• Standard-Ablaufdaten für Datenanfragen und Datenfreigaben
• Transparente Standardrollen mit minimalen Berechtigungen
• Automatische, unwiderrufliche Löschung nach Ablauf
• Offenlegung der Quellcodebasis auf Anfrage

Diese Massnahmen werden laufend an den Stand der Technik angepasst. Die jeweils aktuelle, ausführliche Beschreibung findet sich auf jurshare.ch/sicherheit sowie im technischen Sicherheits-Whitepaper.