Vereinbarung zur Auftragsdatenbearbeitung

(Version vom November 2025)

B3 digital AG, Ilgenstrasse 7, CH-9200 Gossau SG (der "Auftragsbearbeiter") erbringt für den Vertragspartner (der "Verantwortliche", zusammen die "Parteien") Leistungen gemäss dem geschlossenen Vertrag sowie der Allgemeinen Nutzungsbedingungen für "buildagil" (die "Grundvereinbarung"). Ein Teil der Leistungserbringung beinhaltet die Bearbeitung von Personendaten im Sinne der anwendbaren Datenschutzgesetze. Zur Erfüllung der Anforderungen schliessen die Parteien die folgende Vereinbarung ab. Diese Vereinbarung ergänzt die Vereinbarungen gemäss Grundvereinbarung und konkretisiert diese in Bezug auf die Vorgaben gemäss DSG und EU-DSGVO.

Diese Vereinbarung findet Anwendung auf alle Leistungen, die Gegenstand der Grundvereinbarung bilden und bei deren Erbringung der Auftragsbearbeiter oder durch den Auftragsbearbeiter nach Massgabe dieser Vereinbarung beigezogene Unter-Auftragsbearbeiter Personendaten, die den Verantwortlichen betreffen, bearbeiten.

 

Die folgenden Personendaten / Kategorien von Personendaten sind Gegenstand der Bearbeitung bzw. können Gegenstand der Bearbeitung sein:
- Personenstammdaten (z.B. Name, E-Mail-Adresse, Adresse, Telefonnummer, weitere durch die Person bekanntgegebene Informationen)
- Kommunikationsdaten (z.B. Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, weitere durch die Person bekanntgegebene Informationen)
- Personendaten in Projektinhalten

Die Kategorien betroffener Personen sind:
- Nutzer des Verantwortlichen
- Andere Nutzer, welche durch den Verantwortlichen beigezogen werden

 

Der Auftragsbearbeiter bearbeitet die Personendaten ausschliesslich zum Zweck der Erfüllung der Grundvereinbarung. Der Auftragsbearbeiter bearbeitet die Personendaten für keine anderen Zwecke und ist insbesondere nicht berechtigt, diese an Dritte weiterzugeben (mit Ausnahme der beigezogenen Unter-Auftragsbearbeiter).

Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmässigkeit der Datenweitergabe an den Auftragsbearbeiter und der Rechtmässigkeit der Datenbearbeitung durch den Auftragsbearbeiter verantwortlich.

Der Auftragsbearbeiter darf Personendaten ausschliesslich im Rahmen der Weisungen des Verantwortlichen bearbeiten. Eine Weisung ist die auf einen bestimmten Umgang des Auftragsbearbeiters mit Personendaten gerichtete schriftliche Anordnung des Verantwortlichen. Die Weisungen des Verantwortlichen sind in dieser Vereinbarung und in der Grundvereinbarung festgehalten. Der Verantwortliche hat das Recht, dem Auftragsbearbeiter jederzeit schriftlich Weisungen zu erteilen, welche die bestehenden Weisungen ergänzen, ändern oder ersetzen. Der Auftragsbearbeiter ist verpflichtet, diesen Weisungen nachzukommen, soweit diese im Rahmen der vertraglich vereinbarten Leistungen für den Auftragsbearbeiter umsetzbar und objektiv zumutbar sind. Die Weisungsgebundenheit des Auftragsbearbeiters entfällt nur, wenn der Auftragsbearbeiter eine gesetzliche Bearbeitungspflicht trifft. Diese ist dem Verantwortlichen unverzüglich mitzuteilen und zu dokumentieren.

Weisungen des Verantwortlichen sind schriftlich an den Auftragsbearbeiter zu richten. Der Verantwortliche gibt dem Auftragsbearbeiter seine weisungsbefugten Mitarbeitenden schriftlich bekannt. Eine Änderung von Weisungsempfänger (Auftragsbearbeiter) und weisungsbefugten Mitarbeitenden (Verantwortlicher) ist der jeweils anderen Partei mitzuteilen.

Der Auftragsbearbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn der Auftragsbearbeiter der Meinung ist, eine Weisung verstosse gegen datenschutzrechtliche Vorschriften. Der Auftragsbearbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird.

 

Der Auftragsbearbeiter bearbeitet die Personendaten ausschliesslich gemäss den Bestimmungen dieser Vereinbarung und der Grundvereinbarung. Die Erfüllung gesetzlicher, regulatorischer oder behördlicher Vorgaben und Verpflichtungen bleibt vorbehalten. Der Verantwortliche informiert den Auftragsbearbeiter umgehend, wenn er in der Erbringung der Leistungen durch den Auftragsbearbeiter eine Verletzung datenschutzrechtlicher Bestimmungen feststellt.

Der Auftragsbearbeiter stellt sicher, dass es den mit der Bearbeitung der Personendaten befassten Mitarbeitenden untersagt ist, die Personendaten zu anderen als zu den in der Grundvereinbarung genannten Zwecken oder in Abweichung von dieser Vereinbarung zu bearbeiten. Weiter stellt der Auftragsbearbeiter sicher, dass die mit der Bearbeitung von Personendaten befassten Mitarbeitenden zur Vertraulichkeit verpflichtet und in die für sie relevanten datenschutzrechtlichen Vorgaben eingewiesen worden sind. Dies umfasst auch die Belehrung über die in diesem Auftragsbearbeitungsverhältnis bestehende Weisungsbindung.

Der Auftragsbearbeiter stellt dem Verantwortlichen die Kontaktdaten der für Datenschutzfragen zuständigen Ansprechperson, welche gleichzeitig die Rolle des Datenschutzberaters bzw. Datenschutzbeauftragten gemäss DSG bzw. EU-DSGVO innehat, auf der Website zur Verfügung.

Der Auftragsbearbeiter informiert den Verantwortlichen unverzüglich über Kontrollen, Massnahmen oder Ermittlungen durch die Aufsichtsbehörden.

Der Auftragsbearbeiter stellt dem Verantwortlichen auf Verlangen alle relevanten Informationen, die dieser z.B. zur Durchführung einer Datenschutzfolgenabschätzung, im Zusammenhang mit der Konsultation der Aufsichtsbehörde oder einer Meldung an diese benötigt, zur Verfügung.

Der Auftragsbearbeiter führt ein Verzeichnis von Bearbeitungstätigkeiten (Art. 12 DSG und Art. 30 Abs. 2 EU-DSGVO) und gibt dem Verantwortlichen die jeweils aktuelle Version auf Anfrage bekannt. Auf Wunsch des Verantwortlichen stellt der Auftragsbearbeiter dem Verantwortlichen Informationen zur Aufnahme in dessen Verzeichnis zur Verfügung.

Weitere zwingende gesetzliche Pflichten des Auftragsbearbeiters bleiben von dieser Vereinbarung unberührt.

 

Der Auftragsbearbeiter trifft die in Anhang 1 festgehaltenen technischen und organisatorischen Massnahmen zum Schutz der bearbeiteten Personendaten bzw. zur Gewährleistung einer dem Risiko angemessenen Datensicherheit (Art. 8 DSG und Art. 32 Abs. 1 EU-DSGVO). Das dort beschriebene Sicherheitskonzept enthält die technischen und organisatorischen Massnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik und unter besonderer Berücksichtigung der beim Auftragsbearbeiter eingesetzten IT- Systeme und Verarbeitungsprozesse.

Technische und organisatorische Massnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragsbearbeiter gestattet, die vereinbarten technischen und organisatorischen Massnahmen jederzeit anzupassen bzw. alternative adäquate Massnahmen umzusetzen. Dabei darf das vereinbarte Schutzniveau nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Die Umsetzung von zusätzlichen Massnahmen kann in Form eines Nachtrags vereinbart werden.

 

Soweit eine betroffene Person sich zwecks Ausübung ihrer Rechte (4. Kapitel DSG und Kapitel III EU-DSGVO, z.B. Recht auf Auskunft, Löschung, Berichtigung oder Datenübertragung) unmittelbar an den Auftragsbearbeiter wendet, wird der Auftragsbearbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten bzw. die betroffene Person an den Verantwortlichen verweisen, sofern eine Zuordnung an den Verantwortlichen gemäss den Angaben der betroffenen Person möglich ist. Direkte Auskünfte an die betroffene Person wie auch an Dritte darf der Auftragsbearbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen erteilen. Der Auftragsbearbeiter unterstützt den Verantwortlichen jedoch in angemessener Weise bei der Beantwortung der Anfragen und der Durchsetzung der Rechte betroffener Personen.

 

Der Auftragsbearbeiter stellt dem Verantwortlichen auf Verlangen alle relevanten Informationen zur Verfügung, um die Einhaltung der Pflichten gemäss DSG/EU-DSGVO und dieser Vereinbarung zu dokumentieren.

Der Verantwortliche oder ein von ihm beauftragter Prüfer kann sich zu Prüfzwecken in den Betriebsstätten des Auftragsbearbeiters zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Einhaltung der Pflichten gemäss dieser Vereinbarung, insbesondere der Einhaltung der getroffenen technischen und organisatorischen Massnahmen überzeugen. Im Rahmen eines solchen Audits ist der Grundsatz der Verhältnismässigkeit einzuhalten und die schutzwürdigen Interessen des Auftragsbearbeiters (insbesondere Geheimhaltungsinteressen) in angemessener Weise zu wahren. Der Audit ist mit einer Vorlaufzeit von mindestens 2 Wochen anzukündigen. Wird der Audit ohne Vorankündigung unter Einhaltung der Vorlaufzeit durchgeführt, erlischt die Duldungs- und Mitwirkungspflicht des Auftragsbearbeiters, sofern der Verantwortliche keine wichtigen Gründe für die Nichteinhaltung der Pflicht zur Vorankündigung bzw. zur Einhaltung der Vorlaufzeit nachweist. Der Verantwortliche trägt sämtliche Kosten solcher Audits.

Gesetzlich zwingend vorgeschriebene Prüfrechte des Verantwortlichen oder von dessen Aufsichtsbehörden bleiben vorbehalten.

Stellt sich nach Vorlage von Nachweisen oder Berichten oder im Rahmen eines Audits heraus, dass der Auftragsbearbeiter bestimmte Pflichten gemäss dieser Vereinbarung nicht einhält oder Mängel bei der Umsetzung vorliegen, ist der Auftragsbearbeiter verpflichtet, unverzüglich und kostenlos geeignete Massnahmen umzusetzen, um die festgestellten Abweichungen zu beheben.

 

Der Auftragsbearbeiter unterrichtet den Verantwortlichen umgehend, wenn Verletzungen des Schutzes der Personendaten beim Auftragsbearbeiter oder bei einem seiner Unter-Auftragsbearbeitern bekannt werden, und stellt dem Verantwortlichen in Textform sämtliche relevanten Informationen zur Verfügung (Art und Ausmass der Verletzung, mögliche Abhilfemassnahmen etc.). In einem solchen Fall treffen die Parteien die notwendigen Massnahmen zur Sicherstellung des Schutzes der betroffenen Personendaten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen sowie die Parteien.

 

Die Bearbeitung der Personendaten durch den Auftragsbearbeiter findet bevorzugt in der Schweiz und der EU / dem EWR statt. Aus Sicht der EU verfügt die Schweiz über einen Angemessenheitsbeschluss der EU-Kommission nach Art. 45 Abs. 1 EU-DSGVO.

Eine Bekanntgabe von Personendaten durch den Auftragsbearbeiter an Empfänger ausserhalb der Schweiz bzw. ausserhalb der EU / dem EWR ist nur gestattet, wenn der Auftragsbearbeiter die Bestimmungen von Art. 16 ff. DSG bzw. von Kapitel V EU-DSGVO einhält.

Der Auftragsbearbeiter kann deren Mitarbeitenden, die mit der Bearbeitung von Personendaten für den Verantwortlichen betraut sind, gestatten, Personendaten auf mobilen Geräten zu bearbeiten. Der Auftragsbearbeiter hat dafür Sorge zu tragen, dass die Einhaltung der vertraglich vereinbarten technischen und organisatorischen Massnahmen auch beim mobilen Arbeiten gewährleistet ist. Der Auftragsbearbeiter hat insbesondere dafür Sorge zu tragen, dass bei der Bearbeitung von Personendaten ausserhalb der Büroräumlichkeiten die Speicherorte so konfiguriert sind, dass eine lokale Speicherung von Daten auf den eingesetzten IT-Systemen ausgeschlossen ist. Ist dies nicht möglich, stellt der Auftragsbearbeiter sicher, dass die lokale Speicherung ausschliesslich verschlüsselt erfolgt und andere Personen keinen Zugriff auf die betreffenden Daten haben.

 

Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit diese zur Gewährleistung einer ordnungsgemässen Datenbearbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten des Auftragsbearbeiters erforderlich sind.

Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung des Verantwortlichen, jedoch spätestens mit Beendigung der Grundvereinbarung hat der Auftragsbearbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Bearbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit der Grundvereinbarung stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung des Verantwortlichen in einem dem Schutzniveau entsprechenden Verfahren zu vernichten.

Der Auftragsbearbeiter kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemässen Datenbearbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Ende der Grundvereinbarung hinaus aufbewahren. Alternativ kann er die Dokumentation zu seiner Entlastung bei Ende der Grundvereinbarung dem Verantwortlichen übergeben.

 

Der Auftragsbearbeiter ist berechtigt, Unter-Auftragsbearbeiter beizuziehen. Die Liste der beigezogenen Unter-Auftragsbearbeiter zum Zeitpunkt des Inkrafttretens dieser Vereinbarung findet sich in Anhang 2. Der Verantwortliche ist vorgängig zu informieren, wenn der Auftragsbearbeiter nach Inkrafttreten dieser Vereinbarung neue Unter-Auftragsbearbeiter beizieht oder bestehende Unter-Auftragsbearbeiter austauscht. Der Verantwortliche kann gegen den Beizug eines neuen oder den Austausch eines bestehenden Unter-Auftragsbearbeiters aus wichtigem datenschutzrechtlichen Grund innerhalb einer Frist von 30 Tagen (gerechnet ab Erhalt der Information) Einspruch erheben. Falls ein wichtiger datenschutzrechtlicher Grund vorliegt und die Parteien keine einvernehmliche Lösung finden, hat der Verantwortliche das Recht, die Grundvereinbarung ausserordentlich zu kündigen.

Der Auftragsbearbeiter verpflichtet sich, seine vertraglichen Vereinbarungen mit den beigezogenen Unter-Auftragsbearbeitern so zu gestalten, dass die Verpflichtungen gemäss dieser Vereinbarung sichergestellt werden, was insbesondere das Vorliegen von hinreichenden Garantien für die Gewährleistung einer angemessenen Datensicherheit beinhaltet.

Der Verantwortliche ist berechtigt, auf schriftliche Aufforderung hin vom Auftragsbearbeiter Auskunft über den wesentlichen Inhalt der vertraglichen Vereinbarung mit dem jeweiligen Unter-Auftragsbearbeiter, die Umsetzung der datenschutzrelevanten Verpflichtungen durch den Unter-Auftragsbearbeiter und die Garantien zur Gewährleistung einer angemessenen Datensicherheit zu erhalten.

Nicht als Leistungen von Unter-Auftragsbearbeitern im Sinne dieser Regelung gelten Dienstleistungen, die der Auftragsbearbeiter bei Dritten als Nebenleistungen zur Unterstützung der Leistungserbringung gemäss Grundvereinbarung in Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen und Wartungen von Datenverarbeitungsanlagen, bei denen der Zugriff auf Personendaten nicht ausgeschlossen werden kann. Der Auftragsbearbeiter ist jedoch verpflichtet, auch bei solchen Nebenleistungen angemessene technische und/oder organisatorische Massnahmen zur Gewährleistung der Sicherheit der Personendaten des Verantwortlichen zu treffen sowie Kontrollmassnahmen zu ergreifen.

 

Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit der Grundvereinbarung. Entsprechend endet mit Beendigung der Grundvereinbarung bzw. mit der Beendigung der Inanspruchnahme der Leistungen des Auftragsbearbeiters auch diese Vereinbarung, sofern sich aus den Bestimmungen dieser Vereinbarung keine länger dauernden Pflichten ergeben.

 

Die Haftung des Auftragsbearbeiters gegenüber dem Verantwortlichen für schuldhafte Verletzungen dieser Vereinbarung regelt sich nach der Grundvereinbarung, subsidiär nach den gesetzlichen Bestimmungen.

 

Änderungen und Ergänzungen dieser Vereinbarung bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dasselbe gilt auch für den Verzicht auf dieses Formerfordernis.

Schriftlich im Sinne dieser Vereinbarung bedeutet schriftlich (Papier und Originalunterschriften) oder eine Unterzeichnung mittels fortgeschrittener oder qualifizierter elektronischer Signatur.

Sollten sich einzelne Bestimmungen oder Teile dieser Vereinbarung als nichtig oder unwirksam erweisen oder unvollständig sein, so wird dadurch die Gültigkeit des mit dieser Vereinbarung begründeten Rechtsverhältnisses im Übrigen nicht berührt. Die Unwirksamkeit und/oder Unvollständigkeit einer Bestimmung lässt die Wirksamkeit der anderen Bestimmungen unberührt. An die Stelle der nichtigen, unwirksamen und/oder unvollständigen Bestimmung tritt eine rechtsgültige Ersatzregelung der Parteien, die der unwirksamen bzw. unvollständigen Bestimmung am nächsten kommt. Bei Abweichungen zwischen den Sprachversionen ist die deutsche Version massgebend.

Diese Vereinbarung ersetzt alle früheren Vereinbarungen, Absprachen oder Erklärungen zur Auftragsdatenbearbeitung.

Mit Bezug auf das anwendbare Recht und Gerichtsstand gilt das in der Grundvereinbarung zwischen dem Auftragsbearbeiter und dem Verantwortlichen Vereinbarte.


 

Der vorliegende Anhang 1 zur Vereinbarung zur Auftragsdatenbearbeitung nach DSG und EU-DSGVO beschreibt die vom Auftragsbearbeiter getroffenen technischen und organisatorischen Massnahmen zum Schutz der bearbeiteten Personendaten bzw. zur Gewährleistung einer dem Risiko angemessenen Datensicherheit (Art. 8 DSG und Art. 3 DSV sowie Art. 32 Abs. 1 EU-DSGVO). Die nachfolgend beschriebenen Massnahmen gelten für diejenigen Fälle, in welchen der Auftragsbearbeiter Personendaten selbst bearbeitet. In Bezug auf die Bearbeitung von Personendaten durch beigezogene Unter-Auftragsbearbeiter sorgt der Auftragsbearbeiter mittels geeigneter vertraglicher Vereinbarungen dafür, dass diese Unter-Auftragsbearbeiter angemessene und geeignete technische und organisatorische Massnahmen treffen.

1. Pseudonymisierung

Pseudonymisierung ist die Bearbeitung von Personendaten in der Weise, dass die Personendaten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Massnahmen unterliegen, dass die Personendaten nicht einer identifizierten oder identifizierbaren Person zugewiesen werden.

2. Verschlüsselung

Die Verschlüsselung transformiert einen Klartext in Abhängigkeit von einer Zusatzinformation, die "Schlüssel" genannt wird, in einen zugehörigen Geheimtext (Chiffrat), der für diejenigen, die den Schlüssel nicht kennen, nicht entzifferbar sein soll.
- Nutzung von kryptografischen Bibliotheken und Softwarekomponenten
- Data Hashing
- Transportverschlüsselung (SSL/TLS) - "in transit" Verschlüsselung
- Festplattenverschlüsselung
- Verschlüsselung der Daten in den Rechenzentren - "at rest" Verschlüsselung
- Mehrstufige Verschlüsselung von Daten in der Software
- Verwendung von Key-Management System

3. Fähigkeit der Vertraulichkeit

Vertraulichkeit heisst, dass Personendaten vor unbefugter Preisgabe geschützt sind.
- Physische Zugangskontrolle
- Zutritt zum Rack nur für befugte Personen
- 24/7 Überwachung durch Sicherheitspersonal vor Ort
- Sicherheitszaun mit Übersteig- und Untergrabschutz
- Anwesenheitsaufzeichnungen
- Besucherausweise mit Begleitung durch Mitarbeitende des Rechenzentrumsbetreibers
- Sicherung durch Alarmanlagen
- Definierte Sicherheitsbereiche
- Zugangskontrollen per berührungsloser Chipkarte und PIN oder optional mit biometrischen Merkmalen
- Türen sind gesichert durch elektrische Türschliesser und Ausweisleser
- Sicherheitstüren und/oder -fenster
- Elektronische Zugangskontrolle
- Zugang nur für autorisierte Personen
- Lock-Screen nach kurzer Inaktivität
- Berechtigungskonzept nach dem Need-to-Know-Prinzip
- Zusätzlicher Log-In für bestimmte Anwendungen
- Verschlüsselung der Kommunikation und Daten
- Verschlüsselung von Datenträgern/Festplattenverschlüsselung
- SSH-Zugriff nur mit schlüsselbasierter Authentifikation
- Transport-Verschlüsselung bei Web-Access
- Regelmässige Schulungs- und Sensibilisierungsmassnahmen
- Mitarbeiter: Verpflichtung auf Vertraulichkeit
- Trennung nach Zweck
- Netzwerk-Segmentierung
- Vertragsgestaltung mit Dienstleistern

4. Fähigkeit der Integrität

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. Massnahmen sollten ergriffen werden, die die Beschädigung/Veränderung der geschützten Daten während der Bearbeitung oder Übertragung verhindern.
- Nachvollziehbarkeit von Eingaben im Portal
- Kontrolle der Datenübermittlung
- TLS-Verschlüsselung
- Protokollierung
- Funktionelle Verantwortlichkeiten / Rollenkonzept
- Vertreterregelung
- Berechtigungskonzept
- Sensible Berechtigung werden auf mehrere Personen aufgeteilt
- Vier-Augen-Prinzip
- E-Mail Verschlüsselung (falls erforderlich)
- Verschlüsselung von mobilen Geräten, separate Arbeitsanweisung für den Umgang mit mobilen Datenträgern
- Nutzung von https-Verbindungen
- Aktuell gehaltenes Antivirus-System
- Firewall, WAF
- Network Access Control (NAC)
- Überwachung der Netzwerk- und Systemlandschaft auf Anomalien (z. B. mit einem SOC / SIEM)
- Protokollierung und Überwachung von relevanten Dateneingaben und Änderungen, von relevanten Benutzeraktivitäten sowie von relevanten Verwaltungs- und Servicetätigkeiten

5. Fähigkeit der Verfügbarkeit

Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.
- Redundante Rechenzentren
- USV
- Monitoring und Alerting
- Klimaanlagen
- Backup-Konzept
- Getrennte Speicherung/Aufbewahrung von Backups
- Angemessene Backup-Verfahren (täglich, wöchentlich, monatlich)
- Wiederanlaufplan
- Brand- und Löschwasserschutz in den Serverräumen
- Vertretungsregelungen
- Überspannungsschutz
- Unterbrechungsfreie Stromversorgung (UPS)
- Klimatisierung
- Videoüberwachung
- Verwendung von RAIDs
- Spiegelung von Festplatten
- Schwachstellen-Management zur regelmässigen Identifizierung, Beurteilung und Behebung von Schwachstellen (z.B. mithilfe eines Schwachstellen Scanning Tools)
- Jährliche Penetration Tests kritischer Systeme und Applikationen
- Standardverfahren/Patch-Management für regelmässige Updates der Schutzsoftware (z.B. Virenscanner), Endpunkthärtung, Update- und Patch-Management
- Change-Management zur Steuerung und Kontrolle aller Changes
- Einsatz von gehärteten Basis Images für Endpunkte
- Security Baselining der Endpunkte

6. Fähigkeit der Belastbarkeit

Systeme sind belastbar, wenn sie so widerstandsfähig sind, dass ihre Funktionsfähigkeit selbst bei starkem Zugriff bzw. starker Auslastung gegeben ist.
- ISO/IEC 27001-zertifiziertes Rechenzentrum
- ISO/IEC 9001-zertifiziertes Rechenzentrum
- Redundante Softwarekomponenten (High Availability)
- Skalierbarkeit zur Laufzeit

7. Beabsichtigter und rechtmässiger Zugang zu Personendaten

- Verpflichtung der Mitarbeitenden zu Verhaltensregeln und Vertraulichkeit
- Implementierung unternehmensinterner Datenschutz-Richtlinien
- Schulungen aller zugriffsberechtigten Mitarbeitenden
- Rollenkonzept
- Dokumentation von Verantwortlichkeiten
- Definition von Weisungsempfängern
- Personalisierter Login
- Anlegen eines Benutzerstammsatzes pro Benutzer
- Dokumentierte Zuweisung, Verwaltung, regelmässige Überprüfung sowie Entzug von Berechtigungen
- Protokollierung und Überwachung von relevanten Zugriffen auf IT-Systeme
- Passwortrichtlinie für komplexe Passwörter
- Verfahren zum Zurücksetzen vergessener Passwörter
- Getrennte Zugänge für unterschiedliche Systeme und Applikationen
- Automatische Sperrung der Clients (Zeitablauf)
- 2-Faktor-Authentifizierung (wo möglich)
- Zugänge nur für Personen, wenn diese zwingend für ihre Tätigkeit erforderlich sind
- Löschung der Arbeitsgeräte der Mitarbeitenden bei Austritt

8. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

- Massnahmen zur Gewährleistung der Datensparsamkeit
- Massnahmen zur Sicherung der Datenqualität
- Massnahmen zur Gewährleistung einer begrenzten Datenspeicherung
- Massnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung von Daten
- Auftrags- oder Vertragskontrolle
- Regelmässige Auditierung durch den Datenschutzbeauftragten
- Evaluierung von Prüfberichten
- Umsetzung eines kontinuierlichen Verbesserungsprozesses
- Orientierung an Standards für Informationssicherheit (ISO 27001)


 

Der vorliegende Anhang 2 zur Vereinbarung zur Auftragsdatenbearbeitung nach DSG und EU-DSGVO führt die durch den Auftragsbearbeiter beigezogenen Unter-Auftragsbearbeiter auf. Der Beizug von neuen sowie der Austausch von bestehenden Unter-Auftragsbearbeitern richtet sich nach den Regelungen der vorgenannten Vereinbarung.