Auftragsbearbeitungsvertrag ADV

Letzte Aktualisierung: 22.01.2026

Sprache: DE

Kontera GmbH

1. Details der Datenbearbeitung

Begriff	Definition
Verantwortlicher
Auftragsbearbeiter	Kontera GmbH Niederlenzer Kirchweg 3 5600 Lenzburg Kontakt: support@kontera.ch (gemeinsam mit dem Verantwortlichen die „Parteien”)
Processing purpose	Bearbeitung im Zusammenhang mit: https://kontera.ch/legal/docs/tos datiert 22. Januar 2026 (der “Basisvertrag”)
Dauer der Bearbeitung	So lange wie für den Basisvertrag erforderlich
Kategorien von betroffenen Personen	Kunden
Kategorien von Personendaten	Kontoangaben und finanzielle Daten
Ort der Speicherung und Bearbeitung	An der Geschäftsadresse des Auftragsbearbeiters und seiner genehmigten Unterauftragsbearbeiter wie in diesem ADV erwähnt.
Vor-Ort-Prüfungen	Nein
Unterauftragsbearbeiter	Unterauftragsbearbeiter sind hier aufgeführt: https://kontera.ch/legal/docs/subprocessors
Übermittlungen ausserhalb der EU/EWR/Schweiz	Übermittlung ausserhalb von EU/EWR/Schweiz sind nur für Länder zulässig, in denen der Auftragsbearbeiter oder ein zugelassener Unterauftragsbearbeiter registriert ist.

Die in dieser Ziffer definierten Variablen dienen als Definitionen in den folgenden Ziffern.

2. Geltungsbereich

2.1. Zweck und Anwendungsbereich

Zweck dieses Auftragsbearbeitungsvertrags (ADV) ist es, die Einhaltung von Art. 28 Abs. 3 und 4 der EU-Datenschutz-Grundverordnung (DSGVO) und Art. 9 des Schweizerischen Bundesgesetzes über den Datenschutz (DSG) zu gewährleisten, und zwar in Bezug auf jedes Gesetz nur dann und in dem Umfang, der auf die jeweilige Bearbeitungstätigkeit anwendbar ist.

Dieser ADV gilt für die Bearbeitung von Personendaten gemäss Ziffer 1 hiervor.

2.2. Auslegung

Wo in diesem ADV Begriffe verwendet werden, die in der Datenschutz-Grundverordnung oder im DSG definiert sind, haben diese Begriffe dieselbe Bedeutung wie in diesen Gesetzen.

Dieser ADV ist im Lichte der Bestimmungen der DSGVO und des DSG zu lesen und auszulegen, soweit diese anwendbar sind.

Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in der DSGVO bzw. im DSG vorgesehen sind, oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigt.

2.3. Hierarchie

Im Falle eines Widerspruchs zwischen diesem ADV und den Bestimmungen einer anderen Vereinbarung zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieses ADV besteht oder danach abgeschlossen wird, hat dieser ADV Vorrang, es sei denn, es wurde ausdrücklich etwas anderes in Textform vereinbart.

2.4. Beschreibung der Bearbeitung(en)

Zweck der Bearbeitung: Die Bearbeitung erfolgt unter anderem zum Zweck der Automatisierung von Buchhaltungsprozessen des Verantwortlichen, insbesondere zur Unterstützung bei der (Kreditoren-)Buchhaltung und dem Abgleich von Finanztransaktionen.

Bearbeitungsvorgänge:

Entgegennahme und Speicherung von Belegen (Rechnungen, Quittungen, Spesenabrechnungen)
Optische Zeichenerkennung (OCR) und Extraktion von Belegdaten
Klassifizierung und Kategorisierung von Dokumenten
Abgleich von Belegen mit Bank- und Kreditkartentransaktionen
Erstellung von Kontierungsvorschlägen
Bereitstellung von Freigabe- und Genehmigungsprozessen

Kategorien von Personendaten (nicht abschliessend):

Stammdaten von Geschäftspartnern (Name, Adresse, Kontaktdaten)
Finanzdaten (Rechnungsbeträge, IBAN, Kontoinformationen)
Transaktionsdaten (Buchungstexte, Zahlungsinformationen)

Kategorien betroffener Personen (nicht abschliessend):

Mitarbeitende des Verantwortlichen
Geschäftspartner des Verantwortlichen (Lieferanten, Kunden, Dienstleister)

2.5. Verpflichtungen der Vertragsparteien

Allgemein

Der Auftragsbearbeiter bearbeitet Personendaten nur auf dokumentierte Weisung des für die Bearbeitung Verantwortlichen, es sei denn, er ist aufgrund von Rechtsvorschriften der EU, der Mitgliedstaaten oder der Schweiz, denen der Auftragsbearbeiter unterliegt, hierzu verpflichtet. Solche Weisungen sind in Ziffer 1 hiervor aufgeführt. In diesem Fall unterrichtet der Auftragsbearbeiter den für die Bearbeitung Verantwortlichen vor der Bearbeitung über diese rechtliche Verpflichtung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Der für die Bearbeitung Verantwortliche kann während der gesamten Dauer der Bearbeitung von Personendaten auch nachträgliche Weisungen erteilen. Solche Weisungen sind stets zu dokumentieren.

Der Auftragsbearbeiter unterrichtet den für die Bearbeitung Verantwortlichen unverzüglich, wenn die Anweisungen des für die Bearbeitung Verantwortlichen nach Ansicht des Auftragsbearbeiter gegen geltende Datenschutzvorschriften der EU, der Mitgliedstaaten oder der Schweiz verstossen.

Zweckbindung

Der Auftragsbearbeiter bearbeitet die Personendaten nur für den/die in Ziffer 1 hiervor genannten Zweck(e) der Bearbeitung.

Löschung oder Rückgabe von Daten

Die Bearbeitung durch den Auftragsbearbeiter darf nur für die in Ziffer 1 hiervor angegebene Dauer erfolgen.

Bei Beendigung der Erbringung von Dienstleistungen zur Bearbeitung von Personendaten oder bei Beendigung gemäss Ziffer 2.8 hiernach hat der Auftragsbearbeiter alle im Auftrag des für die Bearbeitung Verantwortlichen bearbeiteten Personendaten zu löschen und dem für die Bearbeitung Verantwortlichen zu bescheinigen, dass er dies getan hat und vorhandene Kopien löschen, es sei denn, das EU-Recht, das Recht der Mitgliedstaaten oder das schweizerische Recht schreibt die Aufbewahrung der Personendaten vor.

Sicherheit der Bearbeitung

Der Auftragsbearbeiter ergreift die in Ziffer 3 hiernach genannten technischen und organisatorischen Massnahmen, um die Sicherheit der Personendaten zu gewährleisten, einschliesslich des Schutzes vor zufälliger oder unrechtmässiger Zerstörung, Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff auf diese Daten (Verletzung des Schutzes von Personendaten) gemäss Art.8 DSG i.V.m. Art. 32 ff. DSGVO. Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen sie insbesondere die mit der Bearbeitung verbundenen Risiken, die Art der Personendaten sowie Art, Umfang, Kontext und Zwecke der Bearbeitung.

Im Falle einer Verletzung des Schutzes von Personendaten in Bezug auf Daten, die vom Auftragsbearbeiter bearbeitet werden, benachrichtigt dieser den für die Bearbeitung Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes von Personendaten eingeholt werden können, eine Beschreibung der Art der Verletzung (einschliesslich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze), ihrer wahrscheinlichen Folgen und der Massnahmen, die zur Minderung ihrer möglichen nachteiligen Auswirkungen ergriffen wurden oder ergriffen werden sollen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden ohne unangemessene Verzögerung bereitgestellt, sobald sie verfügbar sind.

Der Auftragsbearbeiter arbeitet nach Treu und Glauben mit dem für die Bearbeitung Verantwortlichen zusammen und unterstützt ihn in jeder erforderlichen Weise, damit der für die Bearbeitung Verantwortliche gegebenenfalls die zuständige Datenschutzbehörde und die betroffenen Personen benachrichtigen kann, wobei die Art der Bearbeitung und die dem Auftragsbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.

Der Auftragsbearbeiter gewährt seinen Mitarbeitern nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsbearbeiter stellt sicher, dass die für ihn tätigen Personen, die zur Bearbeitung der erhaltenen Personendaten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

Betrifft die Bearbeitung Personendaten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person, Daten über Massnahmen der sozialen Hilfe oder Daten über strafrechtliche Verurteilungen und Straftaten (besondere Datenkategorien), so wendet der Auftragsbearbeiter besondere Beschränkungen und/oder zusätzliche Garantien an, die der für die Bearbeitung Verantwortliche angemessener Weise verlangt.

Dokumentation und Einhaltung der Vorschriften

Die Parteien müssen in der Lage sein, die Einhaltung dieses ADV nachzuweisen.

Der Auftragsbearbeiter ist verpflichtet, alle angemessenen Anfragen des für die Datenbearbeitung Verantwortlichen, die sich auf die Bearbeitung im Rahmen dieses ADV beziehen, unverzüglich und ordnungsgemäss zu beantworten.

Der Auftragsbearbeiter stellt dem für die Bearbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem ADV festgelegten und sich unmittelbar aus der DSGVO oder dem DSG ergebenden Verpflichtungen nachzuweisen, und ermöglicht auf Verlangen des für die Bearbeitung Verantwortlichen die Überprüfung von Dateien und Unterlagen oder von Audits der unter dieser Ziffer fallenden Bearbeitungstätigkeiten und trägt dazu bei, insbesondere wenn es Anzeichen für eine Nichteinhaltung gibt.

Der für die Bearbeitung Verantwortliche hat die Wahl, das Audit selbst durchzuführen, auf eigene Kosten einen unabhängigen Prüfer zu beauftragen oder sich auf ein vom Auftragsbearbeiter beauftragtes unabhängiges Audit zu verlassen. Beauftragt der Auftragsbearbeiter ein Audit, so hat er die Kosten für den unabhängigen Prüfer zu tragen. Die Audit-, Zugangs- und Inspektionsrechte des für die Bearbeitung Verantwortlichen gemäss dieser Klausel beschränken sich ausschliesslich auf die Aufzeichnungen des Auftragsbearbeiter (einschliesslich u. a. der Verzeichnisse der Tätigkeiten zur Bearbeitung von Personendaten und der Verzeichnisse der Empfänger von Personendaten) und gelten nicht für die physischen Räumlichkeiten des Auftragsbearbeiter. Jede Prüfung und jedes Auskunftsersuchen ist auf die Informationen zu beschränken, die für die Zwecke dieses ADV erforderlich sind, und hat den Vertraulichkeitsverpflichtungen des Auftragsbearbeiter und seinem berechtigten Interesse am Schutz von Geschäftsgeheimnissen gebührend Rechnung zu tragen.

Der Auftragsbearbeiter und der für die Bearbeitung Verantwortliche stellen die in dieser Klausel genannten Informationen, einschliesslich der Ergebnisse etwaiger Audits, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung, wenn und soweit dies nach der DSGVO oder dem DSG erforderlich ist.

Einsatz von Unterauftragsbearbeitern

Der Auftragsbearbeiter verfügt über die allgemeine Ermächtigung des für die Bearbeitung Verantwortlichen für die Beauftragung von Unterauftragsbearbeitern. Die Liste der Unterauftragsbearbeiter des Auftragsbearbeiters ist in Ziffer 1 hiervor zu finden. Der Auftragsbearbeiter unterrichtet den für die Bearbeitung Verantwortlichen in Textform mindestens 30 Tage im Voraus über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsbearbeitern, so dass der für die Bearbeitung Verantwortliche die Möglichkeit hat, vor der Beauftragung des/der betreffenden Unterauftragsbearbeiter(s) Einspruch gegen diese Änderungen einzulegen. Ein solcher Einspruch darf nicht unangemessen erhoben werden. Die Parteien halten die Liste auf dem neuesten Stand.

Beauftragt der Auftragsbearbeiter einen Unterauftragsbearbeiter mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des für die Bearbeitung Verantwortlichen), so erfolgt dies im Rahmen eines Vertrags, der dem Unterauftragsbearbeiter dieselben Pflichten auferlegt wie dem Auftragsbearbeiter gemäss dieses ADV. Der Auftragsbearbeiter stellt sicher, dass der Unterauftragsbearbeiter die Verpflichtungen einhält, denen der Auftragsbearbeiter gemäss dieses ADV, Art. 28 Abs. 2 bis 4 der DSGVO und Art. 9 Abs. 3 DSG unterliegt.

Der Auftragsbearbeiter legt dem für die Bearbeitung Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Unterauftragsbearbeitungsvereinbarung und späterer Änderungen vor.

Der Auftragsbearbeiter bleibt gegenüber dem für die Bearbeitung Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsbearbeiters aus seinem Vertrag mit dem Auftragsbearbeiter verantwortlich. Der Auftragsbearbeiter meldet dem für die Bearbeitung Verantwortlichen, wenn der Unterauftragsbearbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

Internationale Übermittlungen

Jegliche Übermittlung von Personendaten in ein “Drittland” (jedes Land ausserhalb der EU/des EWR und der Schweiz) oder an eine internationale Organisation durch den Auftragsbearbeiter darf nur erfolgen, wenn sie gemäss Ziffer 1 hiervor genehmigt wurde, und muss in Übereinstimmung mit Kapitel V der DSGVO und Ziffer 1 des DSG erfolgen, soweit anwendbar.

Der für die Bearbeitung Verantwortliche erklärt sich damit einverstanden, dass, wenn der Auftragsbearbeiter einen Unterauftragsbearbeiter gemäss Ziffer 2.5. mit der Durchführung bestimmter Bearbeitungstätigkeiten (im Auftrag des für die Bearbeitung Verantwortlichen) in einem Drittland beauftragt und diese Bearbeitungstätigkeiten die Übermittlung von Personendaten im Sinne der DSGVO bzw. des DSG beinhalten, der Auftragsbearbeiter und der Unterauftragsbearbeiter Standardvertragsklauseln verwenden können, die von der EU-Kommission und dem EDÖB auf der Grundlage von Art. 46 Abs. 2 der DSGVO und Art. 16 und 17 DSG angenommen wurden, um die Anforderungen von Kapitel V der DSGVO und Kapitel II Abschnitt 3 des DSG zu erfüllen, sofern die Bedingungen für die Verwendung dieser Klauseln erfüllt sind und eine interne Bewertung zu dem Ergebnis geführt hat, dass eine solche Übermittlung dem Datenschutzniveau der DSGVO und des DSG entspricht.

2.6 Rechte der betroffenen Person

Der Auftragsbearbeiter unterrichtet den für die Bearbeitung Verantwortlichen unverzüglich über alle direkt von der betroffenen Person gestellten Anträge. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde von dem für die Bearbeitung Verantwortlichen dazu ermächtigt.

Der Auftragsbearbeiter unterstützt den für die Datenbearbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen, auf die Anträge der betroffenen Personen auf Ausübung ihrer Rechte gemäss Kapitel III der DSGVO und Kapitel IV des DSG zu reagieren, und zwar

das Recht, informiert zu werden, wenn Personendaten von der betroffenen Person erhoben werden,
das Recht, informiert zu werden, wenn Personendaten nicht von der betroffenen Person erhalten wurden,
das Recht auf Auskunft durch die betroffene Person,
das Recht auf Berichtigung,
das Recht auf Löschung (“das Recht auf Vergessenwerden”),
das Recht auf Einschränkung der Bearbeitung,
die Meldepflicht zur Berichtigung oder Löschung von Personendaten oder zur Einschränkung der Bearbeitung,
das Recht auf Datenübertragbarkeit,
das Recht, Einspruch zu erheben,
das Recht, keiner Entscheidung unterworfen zu werden, die ausschliesslich auf einer automatisierten Bearbeitung, einschliesslich Profiling, beruht,
das Recht, die Einwilligung zu widerrufen.

Der Auftragsbearbeiter unterstützt den für die Bearbeitung Verantwortlichen, wenn eine betroffene Person bei der zuständigen Aufsichtsbehörde eine Beschwerde eingereicht hat, die Daten betrifft, die auf der Grundlage dieses ADV bearbeitet werden.

Zusätzlich zu der Verpflichtung des Auftragsbearbeiter, den für die Bearbeitung Verantwortlichen zu unterstützen, unterstützt der Auftragsbearbeiter den für die Bearbeitung Verantwortlichen bei der Einhaltung der folgenden Verpflichtungen, wobei die Art der Bearbeitung und die dem Auftragsbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden:

Die Verpflichtung, eine Verletzung des Schutzes von Personendaten unverzüglich nach Bekanntwerden der zuständigen Aufsichtsbehörde mitzuteilen (es sei denn, die Verletzung des Schutzes Personendaten führt wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen), in Übereinstimmung mit Art. 33 der DSGVO und Art. 24 des DSG;
die Verpflichtung, der betroffenen Person die Verletzung des Schutzes von Personendaten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes Personendaten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, gemäss Art. 34 der DSGVO und Art. 24 Abs. 3 des DSG;
die Verpflichtung zur Durchführung einer Abschätzung der Folgen der geplanten Bearbeitungen für den Schutz von Personendaten (eine “Datenschutz-Folgenabschätzung”), wenn eine Art der Bearbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, gemäss Art. 35 der DSGVO und Art. 22 des DSG;
die Verpflichtung, die zuständige Aufsichtsbehörde vor der Bearbeitung zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Bearbeitung zu einem hohen Risiko führen würde, wenn der für die Bearbeitung Verantwortliche keine Massnahmen zur Risikominderung ergreift, gemäss Art. 36 der DSGVO und Art. 23 des DSG.

Die Vertragsparteien legen in Ziffer 3 hiernach die geeigneten technischen und organisatorischen Massnahmen fest, durch die der Auftragsbearbeiter den für die Bearbeitung Verantwortlichen bei der Anwendung dieser Klauseln zu unterstützen hat, sowie den Umfang und das Ausmass der erforderlichen Unterstützung.

2.7 Meldung von Verletzungen des Schutzes von Personendaten

Im Falle einer Verletzung des Schutzes von Personendaten arbeitet der Auftragsbearbeiter nach Treu und Glauben mit dem für die Bearbeitung Verantwortlichen zusammen und unterstützt ihn in jeder Weise, die für den für die Bearbeitung Verantwortlichen erforderlich ist, um seinen Verpflichtungen gemäss Art. 33 und 34 DSGVO und Art. 24 DSG nachzukommen, wobei die Art der Bearbeitung und die dem Auftragsbearbeiter zur Verfügung stehenden Informationen berücksichtigt werden.

Der Auftragsbearbeiter unterstützt den für die Bearbeitung Verantwortlichen bei der Meldung der Verletzung des Schutzes von Personendaten an die zuständige Aufsichtsbehörde, sofern zutreffend. Der Auftragsbearbeiter ist verpflichtet, insbesondere bei der Beschaffung der folgenden Informationen behilflich zu sein, die gemäss Art. 33 Abs. 3 der DSGVO bzw. Art. 24 Abs. 2 des DSG in der Meldung des für die Bearbeitung Verantwortlichen angegeben werden müssen:

Die Art der Personendaten, einschliesslich, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;
die wahrscheinlichen Folgen der Verletzung des Schutzes von Personendaten;
die Massnahmen, die der für die Bearbeitung Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes Personendaten zu beheben, gegebenenfalls einschliesslich Massnahmen zur Abschwächung möglicher negativer Auswirkungen.

2.8 Beendigung

Unbeschadet der Bestimmungen der DSGVO bzw. des DSG kann der für die Bearbeitung Verantwortliche den Auftragsbearbeiter anweisen, die Bearbeitung von Personendaten vorübergehend einzustellen, bis dieser diesen ADV einhält oder der Vertrag gekündigt wird, falls der Auftragsbearbeiter gegen seine Verpflichtungen aus diesem ADV verstösst. Der Auftragsbearbeiter unterrichtet den für die Bearbeitung Verantwortlichen unverzüglich, falls er aus irgendeinem Grund nicht in der Lage ist, diesen ADV einzuhalten.

Der für die Bearbeitung Verantwortliche ist berechtigt, diesen ADV zu kündigen, wenn:

Die Bearbeitung Personendaten durch den Auftragsbearbeiter von dem für die Bearbeitung Verantwortlichen vorübergehend ausgesetzt wurde, der Verstoss des Auftragsbearbeiter erheblich ist und die Einhaltung dieses ADV nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats, wiederhergestellt wird;
der Auftragsbearbeiter verstösst in erheblichem Masse oder dauerhaft gegen diesen ADV oder gegen seine Verpflichtungen nach der DSGVO bzw. dem DSG, und es ist nicht zu erwarten, dass dieser Verstoss behoben wird;
der Auftragsbearbeiter einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesem ADV oder aus der DSGVO bzw. dem DSG nicht nachkommt.

Dieser ADV bleibt in vollem Umfang in Kraft, solange die Basisvereinbarung in Kraft bleibt. Alle Bestimmungen dieses ADV, die ausdrücklich oder stillschweigend bei oder nach Beendigung des Basisvertrags zum Schutz von Personendaten in Kraft treten oder fortbestehen sollen, bleiben in vollem Umfang in Kraft.

2.9 Haftung und Schadloshaltung

Die Haftung beider Parteien aus diesem oder in Zusammenhang mit diesem unterstehen den Haftungsbeschränkungen und -ausschlüssen des Basisvertrags.

3. Technische und organisatorische Massnahmen („TOM”)

3.1 Organisatorische Sicherheitsmassnahmen

Sicherheitsmanagement

Sicherheitskonzept und -verfahren: Der Auftragsbearbeiter verfügt über ein dokumentiertes Sicherheitskonzept für die Bearbeitung von Personendaten.

Rollen und Verantwortlichkeiten:

Die Rollen und Verantwortlichkeiten im Zusammenhang mit der Bearbeitung von Personendaten sind klar definiert und im Einklang mit dem Sicherheitskonzept zugewiesen.
Bei internen Umstrukturierungen oder Kündigungen und beim Wechsel des Arbeitsplatzes ist der Widerruf von Rechten und Zuständigkeiten mit entsprechenden Übergabeverfahren klar definiert.

Politik der Zugangskontrolle: Jeder Rolle, die an der Bearbeitung von Personendaten beteiligt ist, werden nach dem Need-to-know-Prinzip spezifische Zugriffskontrollrechte zugewiesen.

Verwaltung der Ressourcen/Vermögenswerte: Der Auftragsbearbeiter verfügt über ein Register der für die Bearbeitung von Personendaten verwendeten IT-Ressourcen (Hardware, Software und Netzwerk). Eine bestimmte Person ist mit der Pflege und Aktualisierung des Registers betraut (z.B. der IT-Beauftragte).

Änderungsmanagement: Der Auftragsbearbeiter stellt sicher, dass alle Änderungen am IT-System von einer bestimmten Person (z. B. dem IT- oder Sicherheitsbeauftragten) registriert und überwacht werden. Dieser Prozess wird regelmässig überwacht.

Reaktion auf Zwischenfälle und Geschäftskontinuität

Umgang mit Zwischenfällen / Verletzungen des Schutzes von Personendaten:

Es wird ein Plan für die Reaktion auf Zwischenfälle mit detaillierten Verfahren festgelegt, um eine wirksame und ordnungsgemässe Reaktion auf Zwischenfälle im Zusammenhang mit Personendaten zu gewährleisten.
Der Auftragsbearbeiter meldet dem für die Bearbeitung Verantwortlichen unverzüglich jeden Sicherheitsvorfall, der zu einem Verlust, einem Missbrauch oder einer unbefugten Kenntnisnahme von Personendaten geführt hat.

Geschäftskontinuität: Der Auftragsbearbeiter hat die wichtigsten Verfahren und Kontrollen festgelegt, die zu befolgen sind, um das erforderliche Mass an Kontinuität und Verfügbarkeit des IT-Systems zur Bearbeitung von Personendaten (im Falle eines Zwischenfalls/einer Verletzung des Schutzes von Personendaten) zu gewährleisten.

HR

Vertraulichkeit des Personals: Der Auftragsbearbeiter stellt sicher, dass alle Mitarbeiter ihre Verantwortlichkeiten und Pflichten im Zusammenhang mit der Bearbeitung von Personendaten kennen. Die Rollen und Zuständigkeiten werden während des Verfahrens vor der Einstellung und/oder bei der Einarbeitung klar kommuniziert.

Schulung: Der Auftragsbearbeiter stellt sicher, dass alle Mitarbeiter angemessen über die Sicherheitskontrollen des IT-Systems informiert sind, die sich auf ihre tägliche Arbeit beziehen. Die mit der Bearbeitung von Personendaten befassten Mitarbeiter werden durch regelmässige Sensibilisierungskampagnen auch angemessen über die einschlägigen Datenschutzanforderungen und rechtlichen Verpflichtungen informiert.

3.2 Technische Sicherheitsmassnahmen

Zugangskontrolle und Authentifizierung

Ein Zugangskontrollsystem, das für alle Benutzer, die auf das IT-System zugreifen, gilt, wurde eingeführt. Das System ermöglicht das Anlegen, Genehmigen, Überprüfen und Löschen von Benutzerkonten.

Die Verwendung von gemeinsamen Benutzerkonten wird vermieden. In Fällen, in denen dies notwendig ist, wird sichergestellt, dass alle Benutzer des gemeinsamen Kontos die gleichen Rollen und Verantwortlichkeiten haben.

Bei der Gewährung des Zugangs oder der Zuweisung von Nutzerrollen ist der Grundsatz “Need-To-Know” zu beachten, um die Zahl der Nutzer, die Zugang zu Personendaten haben, auf diejenigen zu beschränken, die diesen Zugang für die Erfüllung der Bearbeitungszwecke des Auftragsbearbeiters benötigen.

Wenn die Authentifizierungsmechanismen auf Passwörtern beruhen, verlangt der Auftragsbearbeiter Zwei-Faktor-Identifizierung.

Die Authentifizierungsdaten (z. B. Benutzer-ID und Passwort) dürfen niemals ungeschützt über das Netz übertragen werden.

Protokollierung und Überwachung

Für jedes System/jede Anwendung, das/die für die Bearbeitung von Personendaten verwendet wird, werden Protokolldateien aktiviert, wo technisch möglich und umsetzbar. Sie umfassen, wo technisch möglich und umsetzbar, alle Arten des Zugriffs auf Daten (Ansicht, Änderung, Löschung).

Sicherheit von Daten im Ruhezustand

Server/Databank-Sicherheit:

Datenbank- und Anwendungsserver sind so konfiguriert, dass sie unter einem separaten Konto mit minimalen Betriebssystemprivilegien laufen, um korrekt zu funktionieren.
Datenbank- und Anwendungsserver bearbeiten nur die Personendaten, deren Bearbeitung zur Erreichung des Bearbeitungszwecks tatsächlich erforderlich ist.

Netz-/Kommunikationssicherheit

Bei jedem Zugriff über das Internet wird die Kommunikation durch kryptographische Protokolle verschlüsselt.

Der Verkehr zum und vom IT-System wird durch Firewalls und Intrusion Detection Systeme überwacht und kontrolliert.

Backups

Sicherungs- und Datenwiederherstellungsverfahren sind definiert, dokumentiert und klar mit Rollen und Verantwortlichkeiten verknüpft.

Backups werden in angemessenem Umfang physisch und ökologisch geschützt, entsprechend den Standards, die für die ursprünglichen Daten gelten.

Die Ausführung der Backups wird auf Vollständigkeit überwacht.

Mobile/tragbare Geräte

Es werden Verfahren für die Verwaltung mobiler und tragbarer Geräte festgelegt und dokumentiert, die klare Regeln für deren ordnungsgemässe Verwendung enthalten.

Mobile Geräte, die auf das Informationssystem zugreifen dürfen, werden vorab registriert und autorisiert.

Sicherheit im Lebenszyklus von Anwendungen

Während des Entwicklungszyklus werden bewährte Praktiken, der neueste Stand der Technik und anerkannte sichere Entwicklungsverfahren oder -standards befolgt.

Löschung/Entsorgung von Daten

Die Datenträger werden vor ihrer Entsorgung mit Software überschrieben. In Fällen, in denen dies nicht möglich ist (CDs, DVDs usw.), werden sie physisch vernichtet.

Papier und tragbare Datenträger, die zur Speicherung Personendaten verwendet werden, werden vernichtet.

Physische Sicherheit

Die physische Umgebung der IT-Systeminfrastruktur ist für nicht autorisiertes Personal nicht zugänglich. Durch geeignete technische Massnahmen (z.B. Einbruchmeldeanlage, chipkartengesteuertes Drehkreuz, Ein-Personen-Sicherheitszugangssystem, Schliessanlage) oder organisatorische Massnahmen (z.B. Wachdienst) sind die Sicherheitsbereiche und deren Zugänge gegen das Betreten durch Unbefugte zu schützen.

4. Unterschriften

Verantwortlicher

Datum:

Name:

Unterschrift:

Auftragsbearbeiter