Die Vertragspartner verpflichten sich, die Bestimmungen der schweizerischen Datenschutz- und Sicherheitsbestimmungen sowie die Vorschriften über das Amts beziehungsweise Berufsgeheimnis einzuhalten. Sie verpflichten sich, die wirtschaftlich zumutbaren sowie technisch und organisatorisch möglichen Vorkehrungen zu treffen, damit die im Rahmen der Vertragsabwicklung anfallenden Daten gegen unbefugte Kenntnisnahme Dritter wirksam geschützt sind.
Personendaten dürfen nur für den Zweck und im Umfang, in dem dies für die Erfüllung und Durchführung des Vertrages erforderlich ist, bearbeitet werden. In diesem Umfang und zu diesem Zweck dürfen Personendaten auch an ein mit einer der Vertragspartner verbundenen Unternehmen im In- oder Ausland weitergegeben werden, sofern die Voraussetzungen gemäss den Bestimmungen der schweizerischen Datenschutzgesetzgebung erfüllt sind.
Beide Vertragspartner verpflichten sich selber sowie ihre Mitarbeiter und beigezogene Dritte zur Wahrung der Vertraulichkeit aller nicht allgemein bekannten Unterlagen und Informationen, welche sich auf die geschäftliche Sphäre der anderen Vertragspartei beziehen und ihnen bei der Vorbereitung und Durchführung dieses Vertrages zugänglich werden. Diese Pflicht bleibt auch nach Beendigung des Vertragsverhältnisses aufrecht, solange daran ein berechtigtes Interesse besteht.
Im Zweifelsfall sind Tatsachen und Daten vertraulich zu behandeln. Die Geheimhaltungspflichten bestehen schon vor Vertragsabschluss und auch nach Beendigung des Vertragsverhältnisses bzw. nach der Erfüllung der vereinbarten Leistungen. Vorbehalten bleiben gesetzliche Aufklärungs- und Informationspflichten.
xerxes ist verpflichtet, diejenigen technischen und organisatorischen Massnahmen zur Gewährleistung des Datenschutzes und der Informationssicherheit zu treffen, wie sie für den Kunden nach Gesetzgebung, verwaltungsrechtlichen Weisungen, aufsichtsrechtlicher Anordnung und/oder Vertrag gelten, soweit sie die Leistungen xerxes betreffen.
xerxes ist verpflichtet, den Kunden umgehend zu informieren, wenn sie Kenntnis oder einen Verdacht hat, dass Informationen, welche sie für den Kunden bearbeitet, einem unautorisierten Zugriff ausgesetzt, an unbefugte Dritte weitergegeben, verloren gegangen oder beschädigt worden sind oder in sonstiger Weise rechts- oder vertragswidrig bearbeitet wurden oder werden könnten. xerxes hat zudem umgehend diejenigen Sofortmassnahmen zu treffen, die erforderlich sind, um die Daten zu sichern und mögliche nachteilige Folgen zu verhindern bzw. zu minimieren.
xerxes garantiert, dass sie die Software konzeptionell so ausgelegt hat, dass die Daten geschützt sind vor zufälliger Bekanntgabe, Vernichtung, Verlust, unbefugter Kenntnisnahme, unbefugter Bearbeitung sowie gegen technische Fehler, Fälschung, Entwendung oder widerrechtliche Verwendung. Alle notwendigen und angemessenen Vorkehrungen für den Schutz vor unbefugtem Zugriff durch Dritte sowie vor unbefugter Manipulation von Daten sind von xerxes vorzusehen, zu implementieren und laufend zu aktualisieren. Werden hierfür Informatikmittel des Kunden eingesetzt, sind die Schutzmechanismen abzustimmen und zu vereinbaren.
xerxes hat dem Kunden die Möglichkeit zu gewähren, die Einhaltung der Anforderungen betreffend Datenschutz und Informationssicherheit wirksam zu kontrollieren. xerxes ist verpflichtet, in allfälligen aufsichtsrechtlichen Verfahren, welche die von ihr zu erbringenden Leistungen betreffen, mitzuwirken und von ihr verlangte Auskünfte und Unterlagen zur Verfügung zu stellen. Übersteigt der damit für die Leistungserbringerin verbundene Aufwand den Umfang der ordentlichen vertraglichen Report- und Rechenschaftspflicht, so hat xerxes für ihre Mitwirkung Anspruch auf eine angemessene Vergütung.
Bei Vertragsbeendigung hat xerxes Daten (samt allfälliger Kopien), welche sie für den Kunden bearbeitet hat, nach ausdrücklicher Anweisung des Kunden an diesen zu übertragen oder zu vernichten. Die Datenvernichtung ist von xerxes zu dokumentieren und eine Kopie der entsprechenden Belege dem Kunden unaufgefordert zuzustellen.
Die Vertragspartner können abweichende oder ergänzende Vereinbarungen im Vertrag treffen und weitere vertragliche Abmachungen, z.B. Vertraulichkeitsvereinbarungen oder Vereinbarungen über die Auftragsdatenbearbeitung, abschliessen.