Die vorliegende Vereinbarung konkretisiert die Verpflichtungen der Parteien des Rahmenvetrags in Bezug auf die Vorgaben aus dem Schweizer Datenschutzgesetz (DSG) und der Datenschutzgrundverordnung der EU (EU-DSGVO). Sie ergänzt diesbezüglich den Rahmenvertrag zwischen dem Service-Anbieter und dem Auftraggeber. Es kann sich dabei um einen einzelnen oder mehrere Verträge zwischen dem Service-Anbieter und dem Auftraggeber handeln, in welchen der Service-Anbieter als Leistungserbringer gegenüber dem Auftraggeber auftritt.
Der Gegenstand und die Gültigkeit ergeben sich aus dem Rahmenvertrag. Dabei gelten Offerten und Rechnungen als vertragliche Dokumente.
Die Kategorien der bearbeiteten relevanten Daten, die Kategorien betroffener Personen sowie die zutreffenden technischen und organisatorischen Massnahmen sind Gegenstand dieses Anhangs.
Der Service-Anbieter bearbeitet die relevanten Daten ausschliesslich zum Zweck der Vertragserfüllung beziehungsweise zu den im Rahmenvertrag genannten Zwecken. Der Auftraggeber ist für die Rechtmässigkeit der Datenbearbeitung an sich, inklusive der Zulässigkeit der Auftrags- respektive Unterauftragsbearbeitung, verantwortlich.
Der Auftraggeber hat das Recht, dem Service-Anbieter jederzeit schriftlich zusätzliche Aufträge in Bezug auf die Bearbeitung der relevanten Daten zu erteilen. Der Service-Anbieter kommt diesen Aufträgen nach, soweit diese im Rahmen der vertraglich vereinbarten Leistungen durch den Service-Anbieter umsetzbar und objektiv zumutbar sind. Führen solche Aufträge zu Mehrkosten vom Service-Anbieter oder einem geänderten Leistungsumfang, so ist das vertraglich vereinbarte Vertragsänderungsverfahren anwendbar.
Der Service-Anbieter informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass ein Auftrag gegen das DSG oder die EU-DSGVO verstösst. Der Service-Anbieter darf in diesem Fall die Umsetzung des Auftrags solange aussetzen, bis er vom Auftraggeber bestätigt oder abgeändert wurde.
Bei Aufträgen des Auftraggebers im Zusammenhang mit der Vergabe von Zugriffsberechtigungen oder der Herausgabe von relevanten Daten an den Auftraggeber selbst gilt das Vorstehende nicht. Der Service-Anbieter darf jederzeit davon ausgehen, dass diese Aufträge gesetzeskonform sind. Er ist jedoch berechtigt, vom Auftraggeber entsprechende schriftliche Bestätigungen zu verlangen.
Der Service-Anbieter klassifiziert Systeme und Daten, um sicherzustellen, dass die Informationen ein angemessenes Schutzniveau erhalten. Es wird in drei Kategorien der Informationsklassifizierung unterschieden:
Personendaten sind als vertrauliche Daten klassifiziert und geniessen den höchsten Schutz.
Der Auftraggeber überlässt dem Service-Anbieter im Zusammenhang mit dem Rahmenvertrag und seinem Auftrag Personendaten zur Bearbeitung.
Es kann sich dabei um Personendaten insbesondere folgender betroffener Personen handeln:
Es kann sich dabei insbesondere um folgende Arten von Personendaten handeln:
Bei diesen Datenkategorien handelt es sich um Personendaten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Der Service-Anbieter stellt sicher, dass keine besonders schützenswerte Personendaten gespeichert werden.
Wurden die Daten durch den Auftraggeber verschlüsselt und sind sie für den Service-Anbieter daher nicht einsehbar, handelt es sich nicht um eine Auftragsdatenbearbeitung durch den Service-Anbieter. Damit ist die Vereinbarung über die Auftragsdatenbearbeitung auf diese Daten nicht anwendbar.
Die Beurteilung, ob die nachfolgend beschriebenen technischen und organisatorischen Massnahmen zum Schutz von Personendaten angemessen sind, obliegt dem Auftraggeber.
Die folgenden Kapitel beschreiben die vom Service-Anbieter getroffenen Massnahmen in Bezug auf den Schutz von Personendaten im Rahmen der Auftragsdatenbearbeitung. Der Service-Anbieter unterhält ein Information Security Management System (ISMS) gemäss dem ISO/IEC 27001 Standard. Das ISMS vom Service-Anbieter ist zertifiziert, das Zertifikat ist auf der Webseite vom Service-Anbieter öffentlich abrufbar.
Die nachfolgenden Massnahmen sind generisch zu verstehen und gelten für die Fälle, in welchen der Service-Anbieter selbst die relevanten Daten verarbeitet. Sie kommen jeweils dann zur Anwendung, wenn im Rahmenvertrag nichts Abweichendes definiert wird.
Findet die Datenbearbeitung durch vom Service-Anbieter beauftragte Dritte statt, sorgt der Service-Anbieter mittels geeigneter vertraglicher Vereinbarungen dafür, dass die Dritten vergleichbare Massnahmen einhalten.
Die ISO/IEC Zertifizierung stellt das erforderliche Schutzniveau in den nachfolgenden Bereichen sicher.
5.1.1 Rechenzentren
Die Rechenzentren sind als hoch gesicherte Räumlichkeiten definiert. Der Zugang zu den Rechenzentren wird durch Berechtigungslisten, Sicherheitsschleusen, Videokontrolle, Key-Card und persönlichen PIN-Code gewährleistet.
Die Rechenzentren verfügen über die nötigen physischen Schutzmassnahmen, um eine Verletzung des Perimeters des Gebäudes frühzeitig zu erkennen und einen entsprechenden Alarm auszulösen. Innerhalb der Rechenzentren sind Frühwarnalarmsysteme vorhanden, welche Feuer-, Rauch- und Feuchtigkeitsmeldungen abdecken.
5.1.1 Büroräumlichkeiten
Die Büroräumlichkeiten des Service-Anbieters sind als öffentlicher Raum definiert. Für den Zutritt in die Büroräumlichkeiten erhalten Mitarbeitende einen persönlichen, nummerierten Schlüssel. Die Ausgabe der Schlüssel an die berechtigten Personen wird protokolliert.
Personendaten sind für Besucher nicht zugänglich. Der Service-Anbieter arbeitet weitestgehend papierlos. Papierkopien, die Personendaten beinhalten, werden sicher aufbewahrt und sind nur für autorisierte Personen zugänglich. Es gilt die Clear Desk and Clear Screen Policy. Dadurch wird sichergestellt, dass keine Personendaten unbeaufsichtigt auf den Schreibtischen liegen gelassen werden und dass die Notebooks der Mitarbeitenden bei Inaktivität gesperrt sind. Diese Regelungen gelten auch für Arbeiten ausserhalb der Büroräumlichkeiten.
Die Büroräumlichkeiten des Service-Anbieters sind mit mehreren Rauchmeldern und einem Hochwasseralarm ausgestattet.
Der Service-Anbieter stellt sicher, dass keine Systeme durch Unbefugte zugänglich sind.
Zugriffsrechte werden nach dem Principle of Least Privilege (POLP) erstellt.
Der Zugriff mit erhöhten Rechten zur Administration der Systeme vom Service-Anbieter erfolgt immer über eine dedizierte Infrastruktur mit starker Authentisierung. Alle Anmeldungen, Abmeldungen und fehlerhafte Anmeldungen werden zentral protokolliert und für eine definierte Zeitspanne gespeichert.
Der Zugriff über das Internet auf relevante Daten erfolgt in der Regel über eine verschlüsselte Verbindung. Dabei verwendet der Service-Anbieter aktuelle Protokolle und Schutzmechanismen. Auf ausdrücklichen Wunsch des Auftraggebers kann von dieser Regel abgewichen werden.
Bei der Übermittlung von Zugangsdaten werden getrennte Kommunikationskanäle eingesetzt.
Es werden keine Wechseldatenträger zur Speicherung sensibler Informationen verwendet.
Die permanenten Speicher in den Rechenzentren werden mit physischen Schutzmassnahmen gegen Verlust geschützt. Dazu gehören redundante Stromversorgungen und die notwendigen Systeme um einen autarken Betrieb für einen definierten Zeitraum zu ermöglichen.
Datenträger werden bei Defekt vom Service-Anbieter physisch unbrauchbar gemacht, um einen möglichen Zugriff vollständig auszuschliessen.
Funktionierende Datenträger werden mit branchenüblichen Löschverfahren so gelöscht, dass eine Rekonstruktion der beinhalteten Daten beinahe unmöglich ist. Ist ein solches Verfahren nicht möglich, werden die Datenträger physisch unbrauchbar gemacht, respektive zerstört.
Der Service-Anbieter stellt für den Fall, in der Service-Anbieter für die Eingabe und Verarbeitung von personenbezogenen Daten zuständig ist, mit den notwendigen technischen und organisatorischen Massnahmen sicher, dass diese Daten korrekt erfasst und verarbeitet werden.
Der Service-Anbieter erfasst für die Service-Erbringung weitere personenbezogene Daten des Augtraggebers. Diese Daten dienen zum Beispiel zur Erfassung von Störungsmeldungen, Änderungswünschen oder zur Rechnungsstellung. Der Service-Anbieter stellt durch geeignete Qualitätsmassnahmen sicher, dass diese Daten ebenfalls korrekt erfasst und verarbeitet werden.
Der Service-Anbieter wählt mögliche Unterlieferanten mit Zugriff auf die Daten sorgfältig aus und überbindet die relevanten Verantwortlichkeiten zum Datenschutz den Lieferanten.
Der Service-Anbieter hat für die Gewährleistung der Datenschutz-Anforderungen eine verantwortliche Person benannt. Diese ist für Anfragen unter ciso@stepping-stone.ch erreichbar.
Neue Mitarbeitende vom Service-Anbieter werden vor Beginn ihrer Anstellung einer Sicherheitsprüfung unterzogen. Die Prüfung umfasst mindestens die Verifikation des vollständigen Lebenslaufs, der letzten Zeugnisse und das Einholen einer persönlichen Referenzauskunft. Dazu kommen noch das Unterzeichnen einer Geheimhaltungserklärung sowie die Prüfung eines aktuellen Auszugs aus dem Strafregister und eines aktuellen Auszugs aus dem Betreibungsregister dazu.
Neue Mitarbeitende werden bei ihrem Arbeitsbeginn mit den relevanten Regeln zur eigenen Sicherheit und zur Datensicherheit vertraut gemacht. Dies erfolgt durch eine Erstschulung zur Informationssicherheit.
Bestehende Mitarbeitende vom Service-Anbieter erhalten einmal jährlich eine Auffrischungsschulung zur Informationssicherheit.
Wenn die Mitarbeitende die Firma verlassen, werden sämtliche Zugriffe gesperrt. Am letzten Arbeitstag werden persönliche Arbeitsgeräte, Schlüssel und Key-Cards eingezogen.
Der Service-Anbieter speichert Daten gemäss vertraglicher Vereinbarung in Rechenzentren mit dem notwendigen Schutzniveau (siehe Kapitel 4 Art der Daten).
Um die Verfügbarkeit der Daten zu gewährleisten, werden die Speichersysteme des Service-Anbieters so konfiguriert, dass eine oder mehrere Komponenten ausfallen können und die Daten trotzdem noch verfügbar sind. Dies wird durch redundante, verteilte Datenträger wie auch redundante Netzwerke und Stromversorgungen erreicht.
Der Service-Anbieter sichert die Daten gemäss der Servicebeschreibung. Dabei erfolgt die Sicherung immer auf Speichersystemen in einem weiteren Rechenzentrum mit einer genügenden geografischen Distanz zwischen den beiden Standorten. Die unterschiedlichen geografischen Räume dienen dazu, mögliche Schäden durch Naturereignisse wie Blitz, Regen oder Überschwemmung auf möglichst einen Standort zu minimieren.
Abhängig von den bezogenen Leistungen kann der Auftraggeber unterschiedliche Niveaus von Datensicherungen zusätzlich bestellen. Dies ist in der Servicebeschreibung ersichtlich oder kann beim Service-Anbieter nachgefragt werden.
Der Service-Anbieter hat die nötigen Prozesse implementiert, um Meldungen über Softwareschwachstellen und Patches zu identifizieren, zu bewerten und daraus notwendigen weiteren Schritte abzuleiten. Der Standard Patch-Management Prozess stellt sicher, dass Ankündigungen von Patches zu Systemen bewertet und nach einer Prüfung auf den relevanten Systemen installiert werden. Die Installation von Patches benötigt unter Umständen die Zusammenarbeit und Freigabe des Auftraggebers. Dies ist in den standardisierten Prozessen vom Service-Anbieter berücksichtigt. Falls ein Patch dringend installiert werden muss, gibt es je nach Service einen sogenannten Emergency Patch Prozess.
Der Service-Anbieter stellt sicher, dass Daten von Auftraggebern nicht gegenseitig einsehbar sind. Mithilfe aktueller Sicherheitsverfahren wird auf logischer Ebene die Trennung von Kundendaten gewährleistet.
Die Trennung auf logischer Ebene wurde vom Service-Anbieter darauf geprüft, dass diese Verfahren nicht ausgehebelt werden können. Falls der Service-Anbieter feststellen würde, dass die Verfahren dies nicht mehr gewährleisten, wird der Service-Anbieter die nötigen Gegenmassnahmen treffen um einen äquivalenten Schutz wiederherzustellen.
Der Service-Anbieter kontrolliert regelmässig die internen Prozesse sowie die technischen und organisatorischen Massnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
Basierend auf einer Risiko-Analyse werden neue Leistungen und Dienste einer technischen Prüfung unterzogen. Festgestellte Mängel werden von den verantwortlichen Stellen beim Service-Anbieter behoben. Je nach Schwere der Mängel wird eine ergänzende Prüfung durchgeführt, um die Wirksamkeit der Behebung nachzuweisen.
Der Service-Anbieter führt regelmässig interne und externe Audits zur Überprüfung und Optimierung der Informationssicherheit. Die festgestellten Mängel werden innerhalb des definierten Zeitrahmens behoben und je nach Schwere nochmals von der internen Auditstelle geprüft.
Der Service-Anbieter führt jährlich eine Risikobewertung durch. Ziel der Risikobewertung ist es, die potenziellen Informationssicherheitsrisiken und deren Auswirkungen und Eintrittswahrscheinlichkeit zu identifizieren. In einem jährlich wiederkehrenden Risikobewertungsbericht werden die Massnahmen beschrieben, die vom Service-Anbieter ergriffen werden, um das Risikopotenzial und deren Auswirkungen zu verringern.
Der Service-Anbieter bearbeitet die relevanten Daten ausschliesslich gemäss den Bestimmungen aus dem Rahmenvertrag und diesem Anhang. Vorbehalten bleibt die Erfüllung gesetzlicher, regulatorischer oder behördlicher Verpflichtungen durch den Service-Anbieter.
Der Service-Anbieter überprüft laufend die vereinbarten technischen und organisatorischen Massnahmen auf den aktuellen Stand der Technik und schlägt dem Auftraggeber gegebenenfalls die Implementierung zusätzlicher Massnahmen vor, welche im Rahmen eines Vertragsnachtrags vereinbart werden können.
Der Service-Anbieter verpflichtet sich, in Bezug auf die relevanten Daten ein Verzeichnis von Bearbeitungstätigkeiten im Einklang mit Art. 12 Abs. 1 DSG bzw. Art. 30 Abs. 2 EU-DSGVO zu führen. Der Service-Anbieter gewährt dem Auftraggeber jederzeit auf Anfrage Einblick in die Teile dieses Verzeichnisses, die von der Leistungserbringung vom Service-Anbieter ihm gegenüber betroffen sind.
Der Service-Anbieter stellt sicher, dass es den mit der Bearbeitung der relevanten Daten des Auftraggebers befassten Mitarbeitenden und anderen Hilfspersonen vom Service-Anbieter untersagt ist, die relevanten Daten zu anderen als den im Vertrag genannten Zwecken und abweichend von dieser Vereinbarung zu bearbeiten.
Ferner stellt der Service-Anbieter sicher, dass sich die zur Bearbeitung der relevanten Daten befugten Personen zur Vertraulichkeit verpflichtet haben. Die Verschwiegenheitspflicht besteht auch nach Beendigung des Vertrages fort.
Der Service-Anbieter unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes der relevanten Daten beim Service-Anbieter oder einem seiner Unterauftragsbearbeiter bekannt werden.
Der Service-Anbieter informiert den Auftraggeber schriftlich (E-Mail ausreichend) in angemessener Weise über Art und Ausmass der Verletzung sowie mögliche Abhilfemassnahmen. Die Parteien treffen in so einem Fall die erforderlichen Massnahmen zur Sicherstellung des Schutzes der relevanten Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen sowie die Parteien und sprechen sich hierzu unverzüglich ab.
Der Service-Anbieter nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen sowie in den Fällen, in denen dies gemäss Art. 37 EU-DSGVO vorgeschrieben ist, den Datenschutzbeauftragten.
Relevante Daten sind nach Vertragsende gemäss den vertraglichen Bestimmungen herauszugeben oder zu löschen. Der Service-Anbieter setzt für die Löschung von relevanten Daten in der IT-Branche etablierte Verfahren ein.
Der Auftraggeber hat den Service-Anbieter unverzüglich zu informieren, wenn er in der Leistungserbringung vom Service-Anbieter Verletzungen datenschutzrechtlicher Bestimmungen feststellt.
Der Auftraggeber nennt dem Service-Anbieter den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen sowie in den Fällen, in denen dies gemäss Art. 37 EU-DSGVO vorgeschrieben ist, den Datenschutzbeauftragten.
Wendet sich eine Drittperson mit Forderungen zur Berichtigung, Löschung, Auskunft oder anderen Ansprüchen zu relevanten Daten direkt an den Service-Anbieter, wird der Service-Anbieter die Drittperson an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der Drittperson möglich ist.
Die Unterstützung des Auftraggebers seitens Service-Anbieter bei Anfragen von Drittpersonen richtet sich nach Kapitel «6 Pflichten vom Service-Anbieter» dieser Vereinbarung.
Die Parteien halten fest, dass die Einhaltung der Pflichten gemäss dieser Vereinbarung grundsätzlich dadurch belegt wird, dass der Service-Anbieter nach ISO/IEC 27001:2013 zertifiziert ist.
Im Vertrag allfällig definierte Audit-Rechte sowie gesetzlich zwingend vorgeschriebene Prüfrechte des Auftraggebers oder seiner Aufsichtsbehörden bleiben vorbehalten. Im Rahmen solcher Audits sind ausdrücklich der Grundsatz der Verhältnismässigkeit einzuhalten sowie die schutzwürdigen Interessen vom Service-Anbieter (Verschwiegenheitspflicht) angemessen zu berücksichtigen. Vorbehältlich einer abweichenden Regelung trägt der Auftraggeber sämtliche Kosten solcher Audits (inklusive nachgewiesene interne Kosten vom Service-Anbieter, die bei der Mitwirkung am Audit entstehen).
Werden nach Vorlage von Nachweisen oder Berichten oder im Rahmen eines Audits Verletzungen dieser Vereinbarung oder Mängel bei der Umsetzung der Pflichten vom Service-Anbieter festgestellt, so hat der Service-Anbieter unverzüglich geeignete Korrekturmassnahmen zu implementieren.
Soweit der Rahmenvertrag keine einschränkenden Bestimmungen zum Beizug Dritter enthält, ist der Service-Anbieter zum Beizug von Unterauftragsbearbeitern berechtigt.
Der Service-Anbieter führt ein Verzeichnis der Unterauftragsverhältnisse, das bei jeder Änderung aktualisiert wird. Der Service-Anbieter gewährt dem Auftraggeber jederzeit auf Anfrage Einblick in die Teile dieses Verzeichnisses, die von der Leistungserbringung vom Service-Anbieter ihm gegenüber betroffen sind.
Der Auftraggeber kann gegen den Beizug eines neuen oder den Austausch eines bestehenden Unterauftragsbearbeiters aus wichtigen datenschutzrechtlichen Gründen schriftlich innerhalb einer Frist von 30 Tagen Einspruch erheben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Auftraggeber ein Kündigungsrecht in Bezug auf die hiervon betroffene Leistung eingeräumt.