Auftragsbearbeitungsvertrag

AUFTRAGSBEARBEITUNGSVERTRAG (ABV)

STAND: SEPTEMBER 2023

Dieser Auftragsbearbeitungsvertrag regelt die datenschutzrechtlichen Verpflichtungen für die vertraglichen Beziehungen zwischen dem PassSecurium-Provider ALPEIN
Software SWISS AG, Obergass 23, CH-8260 Stein am Rhein (nachfolgend „Provider“ genannt) und Produktnutzern bzw. Kunden (nachfolgend „Auftraggeber“ genannt), jeweils einzeln eine „Partei“ und zusammen die „Parteien“ genannt.
Bei Abweichungen zwischen der deutschen und der englischen Version dieses Dokuments gilt immer die deutsche Version. Die Vertragssprache ist Deutsch.

1. GEGENSTAND
1.1. Zwischen den Parteien besteht ein Rechtsverhältnis über die Übermittlung personenbezogener Daten vom Kunden an den Auftragsverarbeiter („Hauptvertrag“). Für die Rechtsbeziehungen zwischen den Parteien gelten die Allgemeinen Geschäftsbedingungen („AGB“) des Providers. Der Vertrag zur Ausführung dieses Auftrags wird zwischen den Parteien geschlossen, um einen angemessenen Schutz bei der Übermittlung personenbezogener Daten zu gewährleisten.
1.2. Sofern in dieser Vereinbarung nicht anders definiert, haben alle Begriffe die gleiche Bedeutung wie im Schweizer Datenschutzgesetz („DSG“). Darüber hinaus
unterstützt diese Vereinbarung die Parteien bei der Einhaltung der EU-Datenschutz-Grundverordnung („DSGVO“), sofern diese die personenbezogenen Daten von EU-Kunden betrifft.

2. BESCHREIBUNG DER DATENBEARBEITUNG
2.1. Der Provider verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Inhalt und Dauer des Vertragsverhältnisses sowie Art und Zweck der Verarbeitung ergeben sich in der Regel aus den Allgemeinen Geschäftsbedingungen ("AGB") und der Anlage A des Auftragsbearbeitungsvertrages. Darüber hinaus können Sie die Datenverarbeitungsvorgänge der jeweils geltenden Datenschutzerklärung auf der Produktwebsite des Providers entnehmen. 2.2. Durch Ausfüllen des Bestellformulars und Anlegen eines Benutzerkontos im PassSecurium-Kundenportal beauftragt der Auftraggeber die entsprechende Datenverarbeitung beim Provider. Kunden können ihre Aufträge über das PassSecurium-Kundenportal oder durch Benachrichtigung des Providers hinzufügen, ändern oder zurückziehen. Als Leistungsänderungswünsche gelten Auftraggeberwünsche oder Weisungen, die nicht in den AGB geregelt sind. Mündliche Aufträge oder Weisungen müssen vom Auftraggeber unverzüglich schriftlich erfolgen oder durch eine entsprechende Hinterlegung im Kundenportal bestätigt werden.

3. PFLICHTEN DES PROVIDERS
3.1. Der Provider richtet in seinem Verantwortungsbereich die innerbetriebliche Organisation so aus, dass diese den Anforderungen des Datenschutzes gerecht wird. Der Provider ergreift angesichts der Art der Verarbeitung geeignete, in Anlage C beschriebene, technische und organisatorische Massnahmen ("TOM"), um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach DSG und DSGVO zu unterstützen. 3.2. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Provider den Verantwortlichen bei der Einhaltung seiner Pflichten nach DSG und DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.
3.3. Der Provider setzt für die Durchführung der erforderlichen Arbeiten nur Personen ein, die zu Vertraulichkeit verpflichtet sind und vor ihrem Einsatz mit den für sie relevanten Datenschutzregelungen vertraut gemacht wurden, sowie sich zu deren Einhaltung schriftlich verpflichtet haben.
3.4. Der Provider unterstützt vereinbarungsgemäss den Auftraggeber bei der Erfüllung der datenschutzrechtlichen Anfragen und Ansprüche betroffener Personen sowie bei der Einhaltung der datenschutzrechtlichen Pflichten, im Rahmen seiner Möglichkeiten.
3.5. Sofern dem Provider Verletzungen des Schutzes von personenbezogenen Daten bekannt werden, trifft er die zumutbaren Massnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen der betroffenen Personen. Darüber hinaus hält der Provider die geltenden gesetzlichen Bestimmungen, in Bezug auf die Meldung datenschutzrechtlicher Verletzungen, vollumfänglich ein.
3.6. Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Provider wendet, informiert der Provider den Auftraggeber hierüber unverzüglich und stimmt die weiteren Schritte mit ihm ab.
3.7. Ferner sichert der Provider im Hinblick auf die Verarbeitung der personenbezogenen Daten des Kunden zu, dass

• die personenbezogenen Daten entsprechend dem geschlossenen Auftragsbearbeitungsvertrag und ausschliesslich für die Zwecke, die der Auftraggeber verfolgt, bearbeitet werden,
• sich die vom Auftraggeber verfolgten Zwecke aus Anhang A (Punkt 1.2) bzw. aus ausdrücklichen Weisungen des Auftraggebers oder durch andere Vereinbarungen mit dem Auftraggeber ergeben, 
• in Bezug auf Arbeitsmittel, Produkte, IT-Infrastruktur und Dienstleistungen des Providers die Grundsätze des "Data Privacy by Design" und "Data Privacy by Default" Berücksichtigung finden,
• der Auftraggeber informiert wird für den Fall, dass der Provider Vereinbarungen nicht mehr einhalten kann bzw. nicht mehr in der Lage sein wird Vereinbarungen einzuhalten,
• der Provider, sollte dies erforderlich sein, im gesetzlich zulässigen Rahmen in Absprache und nach Weisung des Auftraggebers mit den zuständigen Aufsichtsbehörden kooperieren wird.

4. PFLICHTEN DES AUFTRAGGEBERS
4.1. Im Rahmen des Vertragsverhältnisses ist der Auftraggeber für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere hinsichtlich der Rechtmässigkeit der Datenübermittlung an den Provider und der Rechtmässigkeit deren Verarbeitung, verantwortlich.
4.2. Der Auftraggeber hat sich davon überzeugt, dass die vom Provider verwendeten und in Anhang C beschriebenen TOM ausreichen, um einen angemessenen Schutz der übermittelten personenbezogenen Daten zu gewährleisten.
4.3. Der Auftraggeber ist verpflichtet, dem Provider unverzüglich und umfassend schriftlich oder über die PassSecurium-Website bzw. -Kundenportal Mitteilung zu machen, wenn Fehler oder Auffälligkeiten in den Verarbeitungsdaten im Rahmen des vorgeschriebenen Umfangs festgestellt werden. 4.4. Der Auftraggeber nennt dem Provider den Ansprechpartner für im Rahmen des Vertragsverhältnisses anfallende Datenschutzfragen, sofern dieser von der genannten Ansprechperson abweicht.
4.5. Der Auftraggeber erklärt, dass er die alleinige Verantwortung trägt für die Information der von der Datenbearbeitung betroffenen Personen, betreffend der möglichen Datenspeicherung, -nutzung, -bearbeitung und -weitergabe durch den Provider gemäss den Bestimmungen in den AGB, der Datenschutzerklärung und diesem Auftragsbearbeitungsvertrag. Sollten einzelne betroffene Personen, d.h. Dritte bzw. Kunden des Auftraggebers, mit der vorgesehenen Datenbearbeitung nicht einverstanden sein, ist der Auftraggeber dafür verantwortlich, die jeweiligen Daten betroffener Personen im entsprechenden PassSecurium-Kundenkonto zu löschen.
4.6. Mit der Annahme der Allgemeinen Geschäftsbedingungen und des Auftragsbearbeitungsvertrags erklärt sich der Auftraggeber damit einverstanden, seine Daten an den Provider selbst sowie an Dritte oder Subunternehmer weiterzugeben, denen der Provider die Ausführung von Aufträgen anvertraut. Der Auftraggeber stellt den Provider von sämtlichen Ansprüchen frei. Es liegt in der Verantwortung des Auftraggebers, die Einwilligung der betroffenen Person einzuholen.

5. SUBUNTERNEHMER (WEITERE AUFTRAGSBEARBEITER)
5.1. Der Provider kann zur Erfüllung den mit dem Auftraggeber vereinbarten vertraglichen Leistungen Subunternehmer bzw. Dritte beiziehen und sich zur Erbringung der Leistungen, gemäss dem mit dem Auftraggeber vereinbarten Vertrag, der Leistungen von Subunternehmern oder Dritten bedienen.
5.2. Der Provider hat im Vertrag sicherzustellen, dass die in diesem Vertrag vereinbarten Grundsätze auch für Subunternehmer gelten. Der Vertragsschluss zwischen dem Provider und Subunternehmern muss schriftlich oder elektronisch erfolgen.
5.3. Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt ausschliesslich dann, wenn die besonderen Voraussetzungen der DSG und DSGVO erfüllt sind.
5.4. Soweit erforderlich, schliesst der Provider Verträge mit Subunternehmern oder Dritten ab, die an der Auftragserfüllung beteiligt sind, um die vollständige Einhaltung von Datenschutz- und Informationssicherheitsmassnahmen sicherzustellen. Kommt ein Subunternehmer seinen Datenschutzpflichten nicht nach, ist der Provider gegenüber dem Auftraggeber für die Einhaltung seiner Pflichten durch den Subunternehmer verantwortlich und ggfs. haftbar.
5.5. Der Auftraggeber stimmt der Mitwirkung der in Anlage B aufgeführten Subunternehmer zu. Kommt ein neuer Subunternehmer hinzu, ist der Provider verpflichtet, den Auftraggeber hierüber unverzüglich zu informieren. Der Auftraggeber kann Änderungen in der Liste der Subunternehmer aus wichtigem Grund innerhalb von 14 Tagen nach Kenntniserlangung widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Zustimmung zur Änderung als erteilt. Liegen wichtige datenschutzrechtliche Gründe vor und kann zwischen den Parteien keine einvernehmliche Lösung gefunden werden, steht dem Auftraggeber ein ausserordentliches Kündigungsrecht zu.
5.6. Auch Subunternehmer oder Dritte haben keinen Zugriff auf personenbezogene Daten. Sofern diese keine personenbezogenen Daten verarbeiten, gelten die oben genannten Regelungen für Subunternehmer nicht.

6. VERTRAULICHKEIT
6.1. Der Provider bestätigt, dass er mit den für die Auftragsabwicklung erforderlichen einschlägigen Datenschutzbestimmungen der DSG und DSGVO vertraut ist. Er bewahrt und berücksichtigt die Vertraulichkeit beim Umgang mit personenbezogenen Daten des Auftraggebers. Diese Verpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.
6.2. Der Provider stellt sicher, dass die an der Durchführung der Arbeiten beteiligten Mitarbeiter mit den für sie geltenden Datenschutzbestimmungen vertraut sind. Er ist verpflichtet diese Mitarbeiter zur Verschwiegenheit und Vertraulichkeit im Einklang mit den Sicherheitsbestimmungen zu verpflichten. Dies auf der Grundlage einer schriftlichen Vereinbarung während der Dauer des Arbeitsvertrags und nach dessen Beendigung, sofern sie nicht einer gesetzlichen Verschwiegenheitspflicht unterliegen. Der Provider überwacht die Einhaltung der Datenschutzbestimmungen in seinem Unternehmen.
6.3. Der Provider darf Informationen nur mit vorheriger Zustimmung des Auftraggebers an Dritte oder Interessenten weitergeben.

7. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
7.1. Der Provider setzt die entsprechenden TOM so um, dass die Verarbeitung im Einklang mit den Anforderungen des DSG und der DSGVO erfolgt und gleichzeitig der Schutz der Rechte der betroffenen Personen gewährleistet ist. Er gestaltet seine interne Organisation so, dass sie den spezifischen Datenschutzanforderungen gerecht wird und ein angemessenes Schutzniveau erreicht. Insbesondere muss der Provider bei der Verarbeitung ein ausreichendes Mass an Sicherheit, insbesondere Vertraulichkeit (einschliesslich Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität und Widerstandsfähigkeit gegen Angriffe, Ausfälle von Datenverarbeitungssystemen und -diensten, unter Berücksichtigung des aktuellen Stands der Technik, gewährleisten.
7.2. Die TOM können an die technische Weiterentwicklung im Laufe des Vertragsverhältnisses angepasst werden. Die angepassten Massnahmen müssen mindestens dem Sicherheitsniveau der in Anhang C vereinbarten Massnahmen entsprechen.

8. INFORMATIONSPFLICHTEN DES PROVIDERS UND VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
8.1. Der Provider wird den Auftraggeber unverzüglich über jeden Verstoss oder vermuteten Verstoss gegen diese Vereinbarung oder die Grundsätze zum Schutz personenbezogener Daten informieren.
8.2. Der Provider unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstösse.
8.3. Sollten personenbezogene Daten, die im Rahmen dieser Vereinbarung verarbeitet werden, durch den Provider durch Pfändung oder Einziehung, aufgrund eines Konkurs- oder Gründungsverfahrens oder aufgrund sonstiger Ereignisse oder Massnahmen Dritter gefährdet werden, ist der Provider verpflichtet, den Auftraggeber unverzüglich zu benachrichtigen. Der Provider wird alle an der Angelegenheit beteiligten Parteien unverzüglich darüber informieren, dass die Kontrolle über die Daten beim Auftraggeber liegt.
8.4. Im Falle einer Prüfung durch eine Datenschutzaufsichtsbehörde verpflichtet sich der Provider, dem Auftraggeber die Ergebnisse der Verarbeitung personenbezogener Daten gemäss dieser Vereinbarung offenzulegen. Im Prüfbericht festgestellte Mängel wird der Provider unverzüglich beseitigen und dies dem Auftraggeber mitteilen.

9. NACHWEISMÖGLICHKEITEN
9.1. Der Provider wird dem Auftraggeber die Einhaltung der in dieser Anlage aufgeführten Pflichten durch geeignete Mittel nachweisen. Dies erfolgt durch Selbstaudit, interne Audits und/oder ISO-Zertifizierung.
9.2. Sofern im Einzelfall eine Prüfung durch den Auftraggeber oder einen von ihm beauftragten Prüfer erforderlich ist (z.B. im Zusammenhang mit dem DSG oder der DSGVO), erfolgt diese Prüfung im Regelfall während der Geschäftszeiten, ununterbrochen nach Anmeldung, mit entsprechender Weisung. Der Provider kann dies davon abhängig machen, dass eine Voranmeldung innerhalb einer angemessenen Frist erfolgt und eine Vereinbarung über die Wahrung der Vertraulichkeit der Daten anderer Kunden sowie technische und organisatorische Massnahmen getroffen wird. Steht der vom Auftraggeber beauftragte Prüfer in einem Konkurrenzverhältnis zum Provider, kann der Provider den Prüfer ablehnen und einen neutralen Prüfer empfehlen. Der Provider kann dem Kunden die mit der Prüfung verbundenen Kosten in Rechnung stellen, insbesondere dann, wenn keine Verstösse festgestellt werden.
9.3. Im Falle einer Inspektion einer Datenschutzbehörde oder einer sonstigen hoheitlichen Aufsichtsbehörde des Auftraggebers, gilt vorliegendes Kapitel entsprechend. Einer Verschwiegenheitsvereinbarung bedarf es nicht, wenn die Aufsichtsbehörde zur Wahrung von Berufs- oder Rechtsgeheimnissen verpflichtet ist, deren Verletzung nach dem Strafgesetzbuch strafbar ist.

10.DAUER UND BEENDIGUNG
10.1. Der Provider verarbeitet und speichert personenbezogene Daten für die Dauer des Hauptvertrages zwischen dem Provider und dem Auftraggeber. Der Provider berichtigt oder löscht Vertragsdaten, wenn eine Weisung des Auftraggebers vorliegt und diese im Rahmen der Weisungsmöglichkeiten liegt. Hiervon ausgenommen sind Daten, die für eine gesetzliche Weiterverarbeitung oder für interne Zwecke erforderlich sind. Der Provider ist berechtigt, die Ausführung von allfälligen missbräuchlichen Weisungen so lange auszusetzen, bis ihre Gesetzmässigkeit nachgewiesen ist. Für die Bereitstellung der Daten und die damit verbundene Vergütung gelten die Allgemeinen Geschäftsbedingungen.

11.HAFTUNG
11.1. Für Schäden aus schuldhaften Verstössen gegen datenschutzrechtliche Vorschriften oder dieser Datenschutzvereinbarung haftet der Provider im gesetzlichen Umfang. Er ist auch für das schuldhafte Verhalten seiner Subunternehmer und Auftragnehmer verantwortlich.
11.2. Die Haftung richtet sich nach den entsprechenden Bestimmungen in den AGB.

12.SONSTIGES
12.1. Im Übrigen gelten die Bestimmungen der Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung von PassSecurium. Im Falle eines Widerspruchs zwischen dem Auftragsbearbeitungsvertrag und den Allgemeinen Geschäftsbedingungen gehen die Bestimmungen der Allgemeinen Geschäftsbedingungen vor. Sollten einzelne Teile des Auftragsbearbeitungsvertrages unwirksam sein, so berührt dies die Wirksamkeit der Allgemeinen Geschäftsbedingungen und der übrigen Bestimmungen des Auftragsausführungsvertrages nicht.
12.2. Anhänge A, B und C sind wesentliche Bestandteile des vorliegenden Auftragsverarbeitungsvertrages.

1. Anhang A: Gegenstand, Art und Zweck
2. Anhang B: Subunternehmer
3. Anhang C: Technische und organisatorische Massnahmen (TOM)

1. ANHANG A – GEGENSTAND, ART UND ZWECK
1.1. Gegenstand des Auftrages:
Verarbeitung personenbezogener Daten des Auftraggebers im Rahmen seiner Nutzung der Leistungen von Software-as-a-Service.
1.2. Umfang und Zweck der Bearbeitung der Daten:
Vom Auftraggeber verarbeitete personenbezogene Daten werden im Rahmen des Software-as-a-Service-Angebots an den Provider übermittelt. Der Privider verarbeitet diese Daten ausschliesslich gemäss den Allgemeinen Geschäftsbedingungen und den jeweiligen Leistungsbeschreibungen auf der Website des Providers.
1.3. Art der Personendaten:
 

1.4. Kreis der Betroffenen:

2. ANHANG B – SUBUNTERNEHMER
2.1. Lister der Subunternehmer:

3. ANHANG C – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM) 
3.1. Zutrittskontrolle
Unbefugten wird der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt durch:

• Zutrittskontrollsystem
• Türsicherung (Sicherungsschlösser, Türen mit Knauf Aussenseite)
• Kontrollierte, dokumentierte Schlüsselvergabe, nicht duplizierbare Schlüssel
• Gitter vor den Fenstern
• Besucherprotokoll
• Sorgfalt bei Auswahl Reinigungsdienste
• Kundendaten befinden sich ausschliesslich auf Servern in hochsicheren Rechenzentren
• Für Rechenzentren existieren separate Zutrittskontrollen mit erhöhtenSicherheitsstandards (wie z.B. Iris-Scanner, Personenschleusen, Videoüberwachung etc.)

3.2. Zugangs- und Zugriffskontrolle
Verhinderung von unbefugtem Lesen, Kopieren, Verändern oder Entfernen innerhalb des Datenverarbeitungssystems, durch:

• Personalisierte Accounts (eindeutige Benutzer-ID/Benutzerzuordnung), keine Nutzung eines Kontos durch mehrere Personen
• Individuelle Einrichtung von Zugangsrechten (Zugangsrechte sind für die Mitarbeiter auf die Programme beschränkt, die sie in Ausübung ihrer zugewiesenen Aufgaben verwenden müssen)
• Anzahl der Systemadministratoren auf das Notwendigste begrenzt
• Login mit Benutzerkennung, Passwort und MFA
• Passwort-Richtlinien (strenge Passwortsicherheitsanforderungen, regelmässiger Wechsel der Kennwörter)
• Einsatz von zentral gesteuertem Passwortmanager nach dem Prinzip der minimalen Rollen und Rechte
• Einrichtung jeweils nur Benutzerstammsätze eines
• Automatische Sperrung (Timeout)/Bildschirmsperrung) Benutzerstammsatzes (z.B. Kennwort pro oder User / getrennte Pausenschaltung
• Verschlüsselung von Datenträgern
• Netztrennung und personengebundene Netzzugänge
• Schulung von Mitarbeitern, Awareness-Training
• Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung (beispielsweise durch differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte), Auswertungen, Kenntnisnahme, Veränderung, Löschung)
• Massnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung (beispielsweise Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network), Elektronische Signatur, Protokollierung, Transportsicherung) 

3.3. Eingabekontrolle
Massnahmen, die eine nachträgliche Überprüfung gewährleisten, ob und von wem Daten eingegeben, geändert oder entfernt (gelöscht) wurden:

• Login- und Logout-Protokollierung
• Dokumentation von durchgeführten Wartungs-, Fernwartungs- oder Reparaturarbeiten an IT-Systemen
• Sicherstellung der Integrität neuer Programme und Updates (Einsatz von MDM, Programme werden entweder über das zentrale Gerätemanagement oder individuell ausschliesslich durch den Administrator installiert und aktualisiert)
• Schadsoftwarecheck für erhaltene und auszuliefernde Datenträger
• Komplette Sicherung der betroffenen Systeme vor grösseren Wartungs-/Fernwartungs- oder Reparaturarbeiten 

3.4. Auftragskontrolle
Massnahmen, die eine weisungsgebundene Datenverarbeitung im Auftrag / durch Dritte gewährleisten: 

• Kriterien zur sorgfältigen Auswahl der Subunternehmer
• Eindeutige Vertragsgestaltung, schriftliche Festlegung der Weisungen
• Massnahmen, die gewährleisten, dass die Verarbeitung personenbezogener Daten im Auftrag entsprechend den Weisungen des Auftraggebers erfolgen, z.B. schriftliche Weisungen, Dokumentation der Weisungen, Angebot und Auftragsbestätigung, Sicherstellung der Verpflichtung der Mitarbeiter des Providers auf die datenschutzrechtliche Vertraulichkeit, vertraglich festgelegte Verantwortlichkeiten (Weisungsberechtigte und Weisungsempfänger), regelmässige Kontrollen im Unternehmen
• Auftragsbearbeitungsverträge
• Schriftliche Auftragserteilung
• Kontrolle der TOM der Provider
• Kontrollen der Subunternehmer (v. a. der technischen und organisatorischen Massnahmen)
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
• Bei einer Zusammenarbeit, die sich über mehr als ein Jahr erstreckt, werden die Subunternehmer und ihr Schutzniveau jährlich überprüft

3.5. Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten:

• Trennung von Daten, die verschiedene Kunden/Auftraggeber betreffen
• Trennung von Daten, die zu verschiedenen Zwecken verarbeitet werden
• Nutzung von unterschiedlichen, kundenspezifischen bzw. mandantenfähigen Systemen
• Funktionstrennung (Entwicklung/Test/Produktion)
• Physikalische oder logische Trennung
• Einhaltung der Löschfristen gemäss Schweizer DSG

3.6. Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:

• Verschlüsselung
• Tunnelverbindung (VPN = Virtual Private Network)
• Protokollierung
• Bereitstellung der Daten nur über eigenes, verschlüsseltes Cloudsystem

3.7. Verfügbarkeit und Belastbarkeit
Schutz gegen zufällige oder mutwillige Zerstörung oder Verlust, z.B. Massnahmen zur Datensicherung (physikalisch / logisch). Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:

• Eigene Serverinfrastruktur in (Widerstandsfähigkeit/Resilienz von IT-Systemen zertifizierten Rechenzentren)
• Notfallplan für einen IT-Notfall (Disaster Recovery Plan) und für Datenschutzverletzungen
• Backup-Verfahren (online, offline), Backup-Plan
• Redundante Systeme
• Spiegeln von Festplatten (RAID-Verfahren)
• Unterbrechungsfreie Stromversorgung (USV)
• Physische Trennung der Datenspeicherung
• Virenschutz / Firewall 

3.8. Organisationskontrolle
Die reibungslose Organisation des Datenschutzes und der Datensicherheit wird durch die folgenden Massnahmen gewährleistet:

• Schriftliche Verpflichtung aller Mitarbeiter auf die datenschutzrechtliche Vertraulichkeit
• Richtlinien zur Nutzung des betrieblichen Internetzugangs und des betrieblichen E-Mail-Accounts
• Regelmässige Sensibilisierung/Schulung der Mitarbeiter, Richtlinien / Handbücher für die Mitarbeiter
• Organisation der Umsetzung des Datenschutzes (externer Datenschutzbeauftragter und interne Mitarbeiter, die den Datenschutzbeauftragten unterstützen)
• Auditierung der internen Prozesse
• Aufstellung eines Datenschutzkonzeptes
• Vorliegen eines IT-Sicherheitskonzepts
• Richtlinien/Arbeitsanweisung zum Umgang mit personenbezogenen Daten im Homeoffice/ Mobile Office
• Richtlinien zur Nutzung privater Geräte für betriebliche Tätigkeiten (Bring-Your-Own-Device)

3.9. Datenschutzfreundliche Voreinstellungen (Privacy by Default / Privacy by Design)

• Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
• Bei der Entwicklung der Software wird darauf geachtet, dass die Software so wenig Daten wie möglich für die Verarbeitung anfordert/benötigt
• Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Massnahmen
• Zero Knowledge Prinzip – kein Zugriff auf Kundendaten 

3.10. Wirksamkeitskontrolle
Die reibungslose Organisation des Datenschutzes und der Datensicherheit wird durch die folgenden Massnahmen gewährleistet:

• Regelmässige Kontrollen der organisatorischen Massnahmen Wirksamkeit der eingesetzten technischen und
• Regelmässige Kontrolle der Funktionstüchtigkeit der Anti-Viren-Software und der Firewall
• Regelmässige Kontrolle und Dokumentation des Berechtigungsmanagements
• IT-Sicherheitszertifizierung nach ISO:27001
• Audit durch externen Provider
• Penetrationstests