Auftragsverarbeitungsvereinbarung

Die vorliegende Vereinbarung konkretisiert die Verpflichtungen der Parteien des Rahmenvetrags in Bezug auf die Vorgaben aus dem Schweizer Datenschutzgesetz (DSG) und der Datenschutzgrundverordnung der EU (EU-DSGVO). Sie ergänzt diesbezüglich den Rahmenvertrag zwischen dem Service-Anbieter und dem Auftraggeber. Es kann sich dabei um einen einzelnen oder mehrere Verträge zwischen dem Service-Anbieter und dem Auftraggeber handeln, in welchen der Service-Anbieter als Leistungserbringer gegenüber dem Auftraggeber auftritt.

Der Gegenstand und die Gültigkeit ergeben sich aus dem Rahmenvertrag. Dabei gelten Offerten und Rechnungen als vertragliche Dokumente.

Die Kategorien der bearbeiteten relevanten Daten, die Kategorien betroffener Personen sowie die zutreffenden technischen und organisatorischen Massnahmen sind Gegenstand dieses Anhangs.

Der Service-Anbieter bearbeitet die relevanten Daten ausschliesslich zum Zweck der Vertragserfüllung beziehungsweise zu den im Rahmenvertrag genannten Zwecken. Der Auftraggeber ist für die Rechtmässigkeit der Datenbearbeitung an sich, inklusive der Zulässigkeit der Auftrags- respektive Unterauftragsbearbeitung, verantwortlich.

Der Auftraggeber hat das Recht, dem Service-Anbieter jederzeit schriftlich zusätzliche Aufträge in Bezug auf die Bearbeitung der relevanten Daten zu erteilen. Der Service-Anbieter kommt diesen Aufträgen nach, soweit diese im Rahmen der vertraglich vereinbarten Leistungen durch den Service-Anbieter umsetzbar und objektiv zumutbar sind. Führen solche Aufträge zu Mehrkosten vom Service-Anbieter oder einem geänderten Leistungsumfang, so ist das vertraglich vereinbarte Vertragsänderungsverfahren anwendbar.

Der Service-Anbieter informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass ein Auftrag gegen das DSG oder die EU-DSGVO verstösst. Der Service-Anbieter darf in diesem Fall die Umsetzung des Auftrags solange aussetzen, bis er vom Auftraggeber bestätigt oder abgeändert wurde.

Bei Aufträgen des Auftraggebers im Zusammenhang mit der Vergabe von Zugriffsberechtigungen oder der Herausgabe von relevanten Daten an den Auftraggeber selbst gilt das Vorstehende nicht. Der Service-Anbieter darf jederzeit davon ausgehen, dass diese Aufträge gesetzeskonform sind. Er ist jedoch berechtigt, vom Auftraggeber entsprechende schriftliche Bestätigungen zu verlangen.

Der Service-Anbieter klassifiziert Systeme und Daten, um sicherzustellen, dass die Informationen ein angemessenes Schutzniveau erhalten. Es wird in drei Kategorien der Informationsklassifizierung unterschieden:

• Vertraulich: Daten, die sich auf Personen beziehen und deren Privatsphäre betreffen (Personendaten).
• Intern: Daten, die keine Personendaten betreffen, aber für die Sicherheit und Betriebskontinuität relevant sind.
• Öffentlich: Informationen, die für alle zugänglich sind.

Personendaten sind als vertrauliche Daten klassifiziert und geniessen den höchsten Schutz.

Der Auftraggeber überlässt dem Service-Anbieter im Zusammenhang mit dem Rahmenvertrag und seinem Auftrag Personendaten zur Bearbeitung.

Es kann sich dabei um Personendaten insbesondere folgender betroffener Personen handeln:

• Potentielle Kunden, Kunden, Geschäftspartner, Lieferanten und Dienstleister
• Mitarbeitende oder andere Hilfspersonen von potentiellen Kunden, Kunden, Geschäftspartnern, Lieferanten und Dienstleistern
• Mitarbeitende oder andere Hilfspersonen des Kunden, welche durch den Kunden berechtigt wurden die Services zu nutzen
• Potentielle Mitarbeitende, Mitarbeitende und ehemalige Mitarbeitende

Es kann sich dabei insbesondere um folgende Arten von Personendaten handeln:

• Geschäftliche Kontaktdaten wie E-Mail Adresse, Telefonnummer oder Adresse
• Weitere geschäftliche Daten wie Vertrags-, Abrechnungs- oder Zahlungsdaten
• Persönliche Informationen wie Vorname, Nachname, Geburtsdatum, Geschlecht oder Nationalität
• Private Kontaktdaten wie E-Mail Adresse, Telefonnummer oder Adresse
• Details von Identitätspapieren
• Informationen über das Berufsleben wie Stellenbezeichnung oder Funktion
• Informationen über das private Leben wie Familienstand oder Hobbies
• Benutzerinformationen wie Login Daten, Kundennummer, Personennummer oder Personalnummer
• Technische Informationen wie IP-Adresse oder Geräteinformationen

Bei diesen Datenkategorien handelt es sich um Personendaten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Der Service-Anbieter stellt sicher, dass keine besonders schützenswerte Personendaten gespeichert werden.

Wurden die Daten durch den Auftraggeber verschlüsselt und sind sie für den Service-Anbieter daher nicht einsehbar, handelt es sich nicht um eine Auftragsdatenbearbeitung durch den Service-Anbieter. Damit ist die Vereinbarung über die Auftragsdatenbearbeitung auf diese Daten nicht anwendbar.

Die Beurteilung, ob die nachfolgend beschriebenen technischen und organisatorischen Massnahmen zum Schutz von Personendaten angemessen sind, obliegt dem Auftraggeber.

Die folgenden Kapitel beschreiben die vom Service-Anbieter getroffenen Massnahmen in Bezug auf den Schutz von Personendaten im Rahmen der Auftragsdatenbearbeitung. Der Service-Anbieter unterhält ein Information Security Management System (ISMS) gemäss dem ISO/IEC 27001 Standard. Das ISMS vom Service-Anbieter ist zertifiziert, das Zertifikat ist auf der Webseite vom Service-Anbieter öffentlich abrufbar.

Die nachfolgenden Massnahmen sind generisch zu verstehen und gelten für die Fälle, in welchen der Service-Anbieter selbst die relevanten Daten verarbeitet. Sie kommen jeweils dann zur Anwendung, wenn im Rahmenvertrag nichts Abweichendes definiert wird.

Findet die Datenbearbeitung durch vom Service-Anbieter beauftragte Dritte statt, sorgt der Service-Anbieter mittels geeigneter vertraglicher Vereinbarungen dafür, dass die Dritten vergleichbare Massnahmen einhalten.

Die ISO/IEC Zertifizierung stellt das erforderliche Schutzniveau in den nachfolgenden Bereichen sicher.

5.1.1 Rechenzentren

Die Rechenzentren sind als hoch gesicherte Räumlichkeiten definiert. Der Zugang zu den Rechenzentren wird durch Berechtigungslisten, Sicherheitsschleusen, Videokontrolle, Key-Card und persönlichen PIN-Code gewährleistet.

Die Rechenzentren verfügen über die nötigen physischen Schutzmassnahmen, um eine Verletzung des Perimeters des Gebäudes frühzeitig zu erkennen und einen entsprechenden Alarm auszulösen. Innerhalb der Rechenzentren sind Frühwarnalarmsysteme vorhanden, welche Feuer-, Rauch- und Feuchtigkeitsmeldungen abdecken.

5.1.1 Büroräumlichkeiten

Die Büroräumlichkeiten des Service-Anbieters sind als öffentlicher Raum definiert. Für den Zutritt in die Büroräumlichkeiten erhalten Mitarbeitende einen persönlichen, nummerierten Schlüssel. Die Ausgabe der Schlüssel an die berechtigten Personen wird protokolliert.

Personendaten sind für Besucher nicht zugänglich. Der Service-Anbieter arbeitet weitestgehend papierlos. Papierkopien, die Personendaten beinhalten, werden sicher aufbewahrt und sind nur für autorisierte Personen zugänglich. Es gilt die Clear Desk and Clear Screen Policy. Dadurch wird sichergestellt, dass keine Personendaten unbeaufsichtigt auf den Schreibtischen liegen gelassen werden und dass die Notebooks der Mitarbeitenden bei Inaktivität gesperrt sind. Diese Regelungen gelten auch für Arbeiten ausserhalb der Büroräumlichkeiten.

Die Büroräumlichkeiten des Service-Anbieters sind mit mehreren Rauchmeldern und einem Hochwasseralarm ausgestattet.

Der Service-Anbieter stellt sicher, dass keine Systeme durch Unbefugte zugänglich sind.

Zugriffsrechte werden nach dem Principle of Least Privilege (POLP) erstellt.

Der Zugriff mit erhöhten Rechten zur Administration der Systeme vom Service-Anbieter erfolgt immer über eine dedizierte Infrastruktur mit starker Authentisierung. Alle Anmeldungen, Abmeldungen und fehlerhafte Anmeldungen werden zentral protokolliert und für eine definierte Zeitspanne gespeichert.

Der Zugriff über das Internet auf relevante Daten erfolgt in der Regel über eine verschlüsselte Verbindung. Dabei verwendet der Service-Anbieter aktuelle Protokolle und Schutzmechanismen. Auf ausdrücklichen Wunsch des Auftraggebers kann von dieser Regel abgewichen werden.

Bei der Übermittlung von Zugangsdaten werden getrennte Kommunikationskanäle eingesetzt.

Es werden keine Wechseldatenträger zur Speicherung sensibler Informationen verwendet.

Die permanenten Speicher in den Rechenzentren werden mit physischen Schutzmassnahmen gegen Verlust geschützt. Dazu gehören redundante Stromversorgungen und die notwendigen Systeme um einen autarken Betrieb für einen definierten Zeitraum zu ermöglichen.

Datenträger werden bei Defekt vom Service-Anbieter physisch unbrauchbar gemacht, um einen möglichen Zugriff vollständig auszuschliessen.

Funktionierende Datenträger werden mit branchenüblichen Löschverfahren so gelöscht, dass eine Rekonstruktion der beinhalteten Daten beinahe unmöglich ist. Ist ein solches Verfahren nicht möglich, werden die Datenträger physisch unbrauchbar gemacht, respektive zerstört.

Der Service-Anbieter speichert Daten gemäss vertraglicher Vereinbarung in Rechenzentren mit dem notwendigen Schutzniveau (siehe Kapitel 4 Art der Daten).

Um die Verfügbarkeit der Daten zu gewährleisten, werden die Speichersysteme des Service-Anbieters so konfiguriert, dass eine oder mehrere Komponenten ausfallen können und die Daten trotzdem noch verfügbar sind. Dies wird durch redundante, verteilte Datenträger wie auch redundante Netzwerke und Stromversorgungen erreicht.

Der Service-Anbieter sichert die Daten gemäss der Servicebeschreibung. Dabei erfolgt die Sicherung immer auf Speichersystemen in einem weiteren Rechenzentrum mit einer genügenden geografischen Distanz zwischen den beiden Standorten. Die unterschiedlichen geografischen Räume dienen dazu, mögliche Schäden durch Naturereignisse wie Blitz, Regen oder Überschwemmung auf möglichst einen Standort zu minimieren.

Abhängig von den bezogenen Leistungen kann der Auftraggeber unterschiedliche Niveaus von Datensicherungen zusätzlich bestellen. Dies ist in der Servicebeschreibung ersichtlich oder kann beim Service-Anbieter nachgefragt werden.

Der Service-Anbieter hat die nötigen Prozesse implementiert, um Meldungen über Softwareschwachstellen und Patches zu identifizieren, zu bewerten und daraus notwendigen weiteren Schritte abzuleiten. Der Standard Patch-Management Prozess stellt sicher, dass Ankündigungen von Patches zu Systemen bewertet und nach einer Prüfung auf den relevanten Systemen installiert werden. Die Installation von Patches benötigt unter Umständen die Zusammenarbeit und Freigabe des Auftraggebers. Dies ist in den standardisierten Prozessen vom Service-Anbieter berücksichtigt. Falls ein Patch dringend installiert werden muss, gibt es je nach Service einen sogenannten Emergency Patch Prozess.

Der Service-Anbieter stellt sicher, dass Daten von Auftraggebern nicht gegenseitig einsehbar sind. Mithilfe aktueller Sicherheitsverfahren wird auf logischer Ebene die Trennung von Kundendaten gewährleistet.

Die Trennung auf logischer Ebene wurde vom Service-Anbieter darauf geprüft, dass diese Verfahren nicht ausgehebelt werden können. Falls der Service-Anbieter feststellen würde, dass die Verfahren dies nicht mehr gewährleisten, wird der Service-Anbieter die nötigen Gegenmassnahmen treffen um einen äquivalenten Schutz wiederherzustellen.

Der Service-Anbieter bearbeitet die relevanten Daten ausschliesslich gemäss den Bestimmungen aus dem Rahmenvertrag und diesem Anhang. Vorbehalten bleibt die Erfüllung gesetzlicher, regulatorischer oder behördlicher Verpflichtungen durch den Service-Anbieter.

Der Service-Anbieter überprüft laufend die vereinbarten technischen und organisatorischen Massnahmen auf den aktuellen Stand der Technik und schlägt dem Auftraggeber gegebenenfalls die Implementierung zusätzlicher Massnahmen vor, welche im Rahmen eines Vertragsnachtrags vereinbart werden können.

Der Auftraggeber hat den Service-Anbieter unverzüglich zu informieren, wenn er in der Leistungserbringung vom Service-Anbieter Verletzungen datenschutzrechtlicher Bestimmungen feststellt.

Die Parteien halten fest, dass die Einhaltung der Pflichten gemäss dieser Vereinbarung grundsätzlich dadurch belegt wird, dass der Service-Anbieter nach ISO/IEC 27001:2013 zertifiziert ist.

Im Vertrag allfällig definierte Audit-Rechte sowie gesetzlich zwingend vorgeschriebene Prüfrechte des Auftraggebers oder seiner Aufsichtsbehörden bleiben vorbehalten. Im Rahmen solcher Audits sind ausdrücklich der Grundsatz der Verhältnismässigkeit einzuhalten sowie die schutzwürdigen Interessen vom Service-Anbieter (Verschwiegenheitspflicht) angemessen zu berücksichtigen. Vorbehältlich einer abweichenden Regelung trägt der Auftraggeber sämtliche Kosten solcher Audits (inklusive nachgewiesene interne Kosten vom Service-Anbieter, die bei der Mitwirkung am Audit entstehen).