Vereinbarung zur Auftragsdatenbearbeitung
(Version 2024.01.08 - gültig bis 2024.06.03)
Einleitung
Die Parteien sind mit dem Kundenvertrag ein Auftragsbearbeitungsverhältnis gemäss Schweizer Datenschutzgesetz ("DSG") und Datenschutz-Grundverordnung der EU ("EU-DSGVO") eingegangen. Um die Rechte und Pflichten aus diesem Auftragsbearbeitungsverhältnis in Bezug auf die Vorgaben gemäss DSG und EU-DSGVO zu konkretisieren, schliessen die Parteien die vorliegende Vereinbarung ab. Diese Vereinbarung ergänzt den Kundenvertrag.
Es werden die Begrifflichkeiten gemäss Art. 5 DSG verwendet.
1. Anwendungsbereich
(1) Diese Vereinbarung findet Anwendung auf alle Tätigkeiten, die Gegenstand des Kundenvertrags bilden und bei deren Verrichtung Skribble oder durch Skribble nach Massgabe dieser Vereinbarung beigezogene Unter-Auftragsbearbeiter Personendaten, die den Kunden betreffen, bearbeiten. Diese Vereinbarung gilt nur insofern und insoweit als (i) der Kunde entweder Verantwortlicher oder Auftragsbearbeiter im Anwendungsbereich des DSG und/oder der EU-DSGVO ist und (ii) der Kunde Skribble im Rahmen des Kundenvertrags als Auftragsbearbeiter oder Unter-Auftragsbearbeiter von Personendaten beizieht, welche in den Anwendungsbereich des DSG und/oder der EU-DSGVO fallen ("Personendaten").
(2) Für den Fall, dass der Kunde gegenüber seinen eigenen Kunden selbst Auftragsbearbeiter ist und Skribble als Unter-Auftragsbearbeiter beizieht, räumt Skribble hiermit den eigenen Kunden des Kunden dieselben Rechte ein, die dem Kunden gemäss dieser Vereinbarung zustehen.
2. Konkretisierung der vertraglichen Verpflichtungen
(1) Die von den Parteien vereinbarte Auftragsbearbeitung beinhaltet Tätigkeiten, die im Kundenvertrag festgehalten sind. Der detaillierte Umfang der einzelnen Tätigkeiten ergibt sich aus dem Kundenvertrag. Diese Vereinbarung ergänzt die vertraglichen Vereinbarungen gemäss Kundenvertrag und konkretisiert diese in Bezug auf die Vorgaben gemäss DSG und EU-DSGVO.
(2) Die folgenden Personendaten/Kategorien von Personendaten sind Gegenstand der Bearbeitung durch Skribble bzw. können Gegenstand der Bearbeitung sein:
- Personenstammdaten von Systemnutzern (z.B. Vorname/Nachname, E-Mail Adresse, Mobiltelefonnummer, Land)
- Kommunikationsdaten (z.B. Vorname/Nachname, E-Mail Adresse, Mobiltelefonnummer, Festnetznummer, IP-Adresse)
- Auskunftsangaben von Dritten (z.B. ob eine Identifikationsprüfung für QES bei Swisscom vorhanden ist)
- Personendaten in Dokumenten, die auf die Skribble Plattform hochgeladen werden
(3) Die Kategorien betroffener Personen sind:
- Systemnutzer des Kunden, d.h. Personen auf Seiten des Kunden, welche die Skribble-Dienste nutzen (insbesondere Mitarbeitende des Kunden)
- andere Systemnutzer, d.h. Personen, welche vom Kunden eingeladen werden, die Skribble-Dienste zu nutzen (z.B. Mitarbeitende eines Vertragspartners des Kunden)
3. Verantwortlichkeit und Weisungsbefugnis
(1) Skribble bearbeitet die Personendaten ausschliesslich zum Zweck der Vertragserfüllung bzw. zu den im Kundenvertrag genannten Zwecken. Skribble bearbeitet die Personendaten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben (mit Ausnahme der beigezogenen Unter-Auftragsbearbeiter).
(2) Der Kunde ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmässigkeit der Datenweitergabe an Skribble und der Rechtmässigkeit der Datenbearbeitung durch Skribble verantwortlich.
(3) Skribble darf Personendaten ausschliesslich im Rahmen der Weisungen des Kunden bearbeiten. Eine Weisung ist die auf einen bestimmten Umgang von Skribble mit Personendaten gerichtete schriftliche Anordnung des Kunden. Die Weisungen des Kunden sind in dieser Vereinbarung und im Kundenvertrag festgehalten. Der Kunde hat das Recht, Skribble jederzeit schriftlich Weisungen zu erteilen, welche die bestehenden Weisungen ergänzen, ändern oder ersetzen. Skribble ist verpflichtet, diesen Weisungen nachzukommen, soweit diese im Rahmen der vertraglich vereinbarten Leistungen für Skribble umsetzbar und objektiv zumutbar sind. Die Weisungsgebundenheit von Skribble entfällt nur, wenn Skribble eine gesetzliche Bearbeitungspflicht trifft. Diese ist dem Kunden unverzüglich mitzuteilen und zu dokumentieren.
(4) Weisungen des Kunden sind an das Customer Happiness Team von Skribble (dataprocessing@skribble.com) zu richten. Der Kunde gibt Skribble seine weisungsbefugten Mitarbeitenden auf geeignete Weise bekannt (z.B. via E-Mail). Eine Änderung von Weisungsempfänger (Skribble) und weisungsbefugten Mitarbeitenden (Kunde) sind der jeweils anderen Partei mitzuteilen.
(5) Skribble hat den Kunden unverzüglich zu informieren, wenn Skribble der Meinung ist, eine Weisung verstosse gegen datenschutzrechtliche Vorschriften. Skribble ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird.
4. Pflichten von Skribble
(1) Skribble bearbeitet die Personendaten ausschliesslich gemäss den Bestimmungen dieser Vereinbarung und des Kundenvertrags. Die Erfüllung gesetzlicher, regulatorischer oder behördlicher Vorgaben und Verpflichtungen bleibt vorbehalten. Der Kunde informiert Skribble umgehend, wenn er in der Erbringung der Leistungen durch Skribble eine Verletzung datenschutzrechtlicher Bestimmungen feststellt.
(2) Skribble stellt sicher, dass es den mit der Bearbeitung der Personendaten befassten Mitarbeitenden untersagt ist, die Personendaten zu anderen als zu den im Kundenvertrag genannten Zwecken oder in Abweichung von dieser Vereinbarung zu bearbeiten. Weiter stellt Skribble sicher, dass die mit der Bearbeitung von Personendaten befassten Mitarbeitenden zur Vertraulichkeit verpflichtet und in die für sie relevanten datenschutzrechtlichen Vorgaben eingewiesen worden sind. Dies umfasst auch die Belehrung über die in diesem Auftragsbearbeitungsverhältnis bestehende Weisungsbindung.
(3) Skribble stellt dem Kunden die Kontaktdaten der für Datenschutzfragen zuständigen Ansprechperson, welche gleichzeitig die Rolle des Datenschutzberaters bzw. Datenschutzbeauftragten gemäss DSG bzw. EU-DSGVO innehat, auf der Website zur Verfügung.
(4) Skribble informiert den Kunden unverzüglich über Kontrollen, Massnahmen oder Ermittlungen durch die Aufsichtsbehörden.
(5) Skribble stellt dem Kunden auf Verlangen alle relevanten Informationen, die dieser z.B. zur Durchführung einer Datenschutzfolgenabschätzung, im Zusammenhang mit der Konsultation der Aufsichtsbehörde oder einer Meldung an diese benötigt, zur Verfügung.
(6) Skribble führt ein Verzeichnis von Bearbeitungstätigkeiten (Art. 12 DSG und Art. 30 Abs. 2 EU-DSGVO) und gibt dem Kunden die jeweils aktuelle Version auf Anfrage bekannt. Auf Wunsch des Kunden stellt Skribble dem Kunden Informationen zur Aufnahme in dessen Verzeichnis zur Verfügung.
(7) Weitere zwingende gesetzliche Pflichten von Skribble bleiben von dieser Vereinbarung unberührt.
5. Technische und organisatorische Massnahmen (TOM)
(1) Skribble trifft die in Anhang 1 festgehaltenen technischen und organisatorischen Massnahmen zum Schutz der bearbeiteten Personendaten bzw. zur Gewährleistung einer dem Risiko angemessenen Datensicherheit (Art. 8 DSG und Art. 32 Abs. 1 EU-DSGVO). Das dort beschriebene Sicherheitskonzept enthält die technischen und organisatorischen Massnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik und unter besonderer Berücksichtigung der bei Skribble eingesetzten IT- Systeme und Verarbeitungsprozesse.
(2) Technische und organisatorische Massnahmen unterliegen dem technischen Fortschritt. Insoweit ist es Skribble gestattet, die vereinbarten technischen und organisatorischen Massnahmen jederzeit anzupassen bzw. alternative adäquate Massnahmen umzusetzen. Dabei darf das vereinbarte Schutzniveau nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Die Umsetzung von zusätzlichen Massnahmen kann in Form eines Vertragsnachtrags vereinbart werden.
6. Anfragen betroffener Personen
Soweit eine betroffene Person sich zwecks Ausübung ihrer Rechte (4. Kapitel DSG und Kapitel III EU-DSGVO, z.B. Recht auf Auskunft, Löschung, Berichtigung oder Datenübertragung) unmittelbar an Skribble wendet, wird Skribble dieses Ersuchen unverzüglich an den Kunden weiterleiten bzw. die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden gemäss den Angaben der betroffenen Person möglich ist. Direkte Auskünfte an die betroffene Person wie auch an Dritte darf Skribble nur nach vorheriger schriftlicher Zustimmung durch den Kunden erteilen. Skribble unterstützt den Kunden jedoch in angemessener Weise bei der Beantwortung der Anfragen und der Durchsetzung der Rechte betroffener Personen.
7. Nachweise und Audits
(1) Skribble stellt dem Kunden auf Verlangen alle relevanten Informationen zur Verfügung, um die Einhaltung der Pflichten gemäss DSG/EU-DSGVO und dieser Vereinbarung zu dokumentieren.
(2) Der Kunde oder ein von ihm beauftragter Prüfer kann sich zu Prüfzwecken in den Betriebsstätten von Skribble zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Einhaltung der Pflichten gemäss dieser Vereinbarung, insbesondere der Einhaltung der getroffenen technischen und organisatorischen Massnahmen überzeugen. Im Rahmen eines solchen Audits ist der Grundsatz der Verhältnismässigkeit einzuhalten und die schutzwürdigen Interessen von Skribble (insbesondere Geheimhaltungsinteressen) in angemessener Weise zu wahren. Der Audit ist mit einer Vorlaufzeit von mindestens 2 Wochen anzukündigen. Wird der Audit ohne Vorankündigung unter Einhaltung der Vorlaufzeit durchgeführt erlischt die Duldungs- und Mitwirkungspflicht von Skribble, sofern der Kunde keine wichtigen Gründe für die Nichteinhaltung der Pflicht zur Vorankündigung bzw. zur Einhaltung der Vorlaufzeit nachweist. Der Kunde trägt sämtliche Kosten solcher Audits.
(3) Gesetzlich zwingend vorgeschriebene Prüfrechte des Kunden oder von dessen Aufsichtsbehörden bleiben vorbehalten.
(4) Stellt sich nach Vorlage von Nachweisen oder Berichten oder im Rahmen eines Audits heraus, dass Skribble bestimmte Pflichten gemäss dieser Vereinbarung nicht einhält oder Mängel bei der Umsetzung vorliegen, ist Skribble verpflichtet, unverzüglich und kostenlos geeignete Massnahmen umzusetzen, um die festgestellten Abweichungen zu beheben.
8. Mitteilung bei Verletzungen (Data Breach)
Skribble unterrichtet den Kunden umgehend, wenn Verletzungen des Schutzes der Personendaten bei Skribble oder bei einem ihrer Unter-Auftragsbearbeitern bekannt werden, und stellt dem Kunden in Textform sämtliche relevanten Informationen zur Verfügung (Art und Ausmass der Verletzung, mögliche Abhilfemassnahmen etc.). In einem solchen Fall treffen die Parteien die notwendigen Massnahmen zur Sicherstellung des Schutzes der betroffenen Personendaten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen sowie die Parteien.
9. Ort der Bearbeitung, Bekanntgabe ins Ausland, mobiles Arbeiten
(1) Die Bearbeitung der Personendaten durch den Auftragnehmer findet bevorzugt in der Schweiz und der EU/dem EWR statt. Aus Sicht der EU verfügt die Schweiz über einen Angemessenheitsbeschluss der EU-Kommission nach Art. 45 Abs. 1 EU-DSGVO.
(2) Eine Bekanntgabe von Personendaten durch Skribble an Empfänger ausserhalb der Schweiz bzw. ausserhalb der EU/dem EWR ist nur gestattet, wenn Skribble die Bestimmungen von Art. 16 ff. DSG bzw. von Kapitel V EU-DSGVO einhält.
(3) Skribble kann ihren Mitarbeitenden, die mit der Bearbeitung von Personendaten für den Kunden betraut sind, gestatten, Personenddaten in Coworking Einrichtungen, Privatwohnungen oder anderen geeigneten Orten zu bearbeiten. Skribble hat dafür Sorge zu tragen, dass die Einhaltung der vertraglich vereinbarten technischen und organisatorischen Massnahmen auch beim mobilen Arbeiten gewährleistet sind. Skribble hat insbesondere dafür Sorge zu tragen, dass bei der Bearbeitung von Personendaten ausserhalb der Büroräumlichkeiten die Speicherorte so konfiguriert sind, dass eine lokale Speicherung von Daten auf den eingesetzten IT-Systemen ausgeschlossen ist. Ist dies nicht möglich, stellt Skribble sicher, dass die lokale Speicherung ausschliesslich verschlüsselt erfolgt und andere Personen keinen Zugriff auf die betreffenden Daten haben.
10. Löschung und Rückgabe von Daten
(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen. Kopien und Duplikate werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemässen Datenbearbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten von Skribble erforderlich sind.
(2) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung des Kunden, jedoch spätestens mit Beendigung des Kundenvertrags hat Skribble sämtliche in seinen Besitz gelangte Unterlagen, erstellte Bearbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigten Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Kunden auszuhändigen oder nach vorheriger Zustimmung des Kunden in einem dem Schutzniveau entsprechenden Verfahren zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.
(3) Skribble kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemässen Datenbearbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren. Alternativ kann sie die Dokumentation zu seiner Entlastung bei Vertragsende dem Kunden übergeben.
11. Unter-Auftragsbearbeiter
(1) Skribble ist berechtigt, Unter-Auftragsbearbeiter beizuziehen. Die Liste der beigezogenen Unter-Auftragsbearbeiter zum Zeitpunkt des Inkrafttretens dieser Vereinbarung findet sich in Anhang 2. Der Kunde ist vorgängig zu informieren, wenn Skribble nach Inkrafttreten dieser Vereinbarung neue Unter-Auftragsbearbeiter beizieht oder bestehende Unter-Auftragsbearbeiter austauscht. Der Kunde kann gegen den Beizug eines neuen oder den Austausch eines bestehenden Unter-Auftragsbearbeiters aus wichtigem datenschutzrechtlichen Grund innerhalb einer Frist von 30 Tagen (gerechnet ab Erhalt der Information) Einspruch erheben. Falls ein wichtiger datenschutzrechtlicher Grund vorliegt und die Parteien keine einvernehmliche Lösung finden, hat der Kunde das Recht, den Kundenvertrag ausserordentlich zu kündigen.
(2) Skribble verpflichtet sich, ihre vertraglichen Vereinbarungen mit den beigezogenen Unter-Auftragsbearbeitern so zu gestalten, dass die Verpflichtungen gemäss dieser Vereinbarung sichergestellt werden, was insbesondere das Vorliegen von hinreichenden Garantien für die Gewährleistung einer angemessenen Datensicherheit beinhaltet.
(3) Der Kunde ist berechtigt, auf schriftliche Aufforderung hin von Skribble Auskunft über den wesentlichen Inhalt der vertraglichen Vereinbarung mit dem jeweiligen Unter-Auftragsbearbeiter, die Umsetzung der datenschutzrelevanten Verpflichtungen durch den Unter-Auftragsbearbeiter und die Garantien zur Gewährleistung einer angemessenen Datensicherheit zu erhalten.
(4) Nicht als Leistungen von Unter-Auftragsbearbeitern im Sinne dieser Regelung gelten Dienstleistungen, die Skribble bei Dritten als Nebenleistungen zur Unterstützung der Leistungserbringung gemäss Kundenvertrag in Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen und Wartungen von Datenverarbeitungsanlagen, bei denen der Zugriff auf Personendaten nicht ausgeschlossen werden kann. Skribble ist jedoch verpflichtet, auch bei solchen Nebenleistungen angemessene technische und/oder organisatorische Massnahmen zur Gewährleistung der Sicherheit der Personendaten des Kunden zu treffen sowie Kontrollmassnahmen zu ergreifen.
12. Laufzeit
Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Kundenvertrags. Entsprechend endet mit Beendigung des Kundenvertrags bzw. mit der Beendigung der Inanspruchnahme der Leistungen von Skribble auch diese Vereinbarung, sofern sich aus den Bestimmungen dieser Vereinbarung keine länger dauernden Pflichten ergeben.
13. Haftung
(1) Die Haftung von Skribble gegenüber dem Kunden für schuldhafte Verletzungen dieser Vereinbarung regelt sich nach dem Kundenvertrag, subsidiär nach den gesetzlichen Bestimmungen.
(2) Skribble haftet für schuldhaft verursachte Schäden ihrer Unter-Auftragsbearbeiter wie für Schäden, die sie selbst verursacht.
(3) Skribble trägt die Beweislast dafür, dass der Schaden nicht Folge eines von ihr zu vertretenden Umstandes ist. Skribble kommt ihrer Beweispflicht nach, wenn sie darlegen kann, dass sie bei der Bearbeitung der Personendaten die Regelungen dieser Vereinbarung beachtet und insbesondere die technischen und organisatorischen Massnahmen umgesetzt hat.
14. Schlussbestimmungen
(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dasselbe gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Schriftlich im Sinne dieser Vereinbarung bedeutet (i) schriftlich (Papier und Originalunterschriften) oder (ii) eine Unterzeichnung mittels fortgeschrittener oder qualfizierter elektronische Signatur.
(3) Sollten sich einzelne Bestimmungen oder Teile dieser Vereinbarung als nichtig oder unwirksam erweisen oder unvollständig sein, so wird dadurch die Gültigkeit des mit dieser Vereinbarung begründeten Rechtsverhältnisses im Übrigen nicht berührt. Die Unwirksamkeit und/oder Unvollständigkeit einer Bestimmung lässt die Wirksamkeit der anderen Bestimmungen unberührt. An die Stelle der nichtigen, unwirksamen und/oder unvollständigen Bestimmung tritt eine rechtsgültige Ersatzregelung der Parteien, die der unwirksamen bzw. unvollständigen Bestimmung am nächsten kommt.
(4) Diese Vereinbarung ersetzt alle früheren Vereinbarungen, Absprachen oder Erklärungen zur Auftragsdatenbearbeitung.
(5) Diese Vereinbarung geht mit Bezug auf die Auftragsdatenbearbeitung anderslautenden AGB von Skribble oder anderen Abmachungen zwischen den Parteien vor.
(6) Mit Bezug auf das anwendbare Recht und Gerichtsstand gilt das im Kundenvertrag zwischen Skribble und dem Kunden Vereinbarte.
Anhang 1 - Technische und organisatorische Massnahmen (TOM)
Stand: 08.01.2024
Der vorliegende Anhang 1 zur Vereinbarung zur Auftragsdatenbearbeitung nach DSG und EU-DSGVO beschreibt die von Skribble getroffenen technischen und organisatorischen Massnahmen zum Schutz der bearbeiteten Personendaten bzw. zur Gewährleistung einer dem Risiko angemessenen Datensicherheit (Art. 8 DSG und Art. 3 DSV sowie Art. 32 Abs. 1 EU-DSGVO). Die nachfolgend beschriebenen Massnahmen gelten für diejenigen Fälle, in welchen Skribble Personendaten selbst bearbeitet. In Bezug auf die Bearbeitung von Personendaten durch beigezogene Unter-Auftragsbearbeiter sorgt Skribble mittels geeigneter vertraglicher Vereinbarungen dafür, dass diese Unter-Auftragsbearbeiter angemessene und geeignete technische und organisatorische Massnahmen treffen.
1. Pseudonymisierung
Wie wird die Pseudonymisierung der Daten gewährleistet?
Pseudonymisierung ist die Bearbeitung von Personendaten in der Weise, dass die Personendaten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Massnahmen unterliegen, dass die Personendaten nicht einer identifizierten oder identifizierbaren Person zugewiesen werden.
- Personendaten werden durch Zufallscodes ersetzt (bei statistischen Auswertungen)
- Website-Tracking
- Anfragen von Systemnutzern kommen pseudonymisiert in das Ticketsystem
2. Verschlüsselung
Wie wird die Verschlüsselung gewährleistet?
Die Verschlüsselung transformiert einen Klartext in Abhängigkeit von einer Zusatzinformation, die "Schlüssel" genannt wird, in einen zugehörigen Geheimtext (Chiffrat), der für diejenigen, die den Schlüssel nicht kennen, nicht entzifferbar sein soll.
- Nutzung von kryptografischen Bibliotheken und Softwarekomponenten
- Data Hashing
- Transportverschlüsselung (SSL/TLS) - “in transit” Verschlüsselung
- Festplattenverschlüsselung
- Verschlüsselung der Daten in den Rechenzentren - “at rest” Verschlüsselung
- Mehrstufige Verschlüsselung von Daten in der Software
- Verwendung von Key-Management System
3. Fähigkeit der Vertraulichkeit
Wie wird die Fähigkeit der Vertraulichkeit der Daten dauerhaft gewährleistet?
Vertraulichkeit heisst, dass Personendaten vor unbefugter Preisgabe geschützt sind.
- Physische Zugangskontrolle
Die Server und Datenbanksysteme sind in einem Rechenzentrum entsprechend der ISO 27001-Zertifizierung installiert. Somit ist kein unbefugter Zugang zu diesen Datenverarbeitungseinrichtungen möglich.
◦ Zutritt zum Rack nur für befugte Personen
◦ 24/7 Überwachung durch Sicherheitspersonal vor Ort
◦ Sicherheitszaun mit Übersteig- und Untergrabschutz
◦ Anwesenheitsaufzeichnungen
◦ Besucherausweise mit Begleitung durch Mitarbeitende des Rechenzentrumsbetreibers
◦ Sicherung durch Alarmanlagen
◦ Definierte Sicherheitsbereiche
◦ Zugangskontrollen per berührungsloser Chipkarte und PIN oder optional mit biometrischen Merkmalen
◦ Türen sind gesichert durch elektrische Türschliesser und Ausweisleser
- Sicherheitstüren und/oder -fenster
- Elektronische Zugangskontrolle
◦ Zugang nur für autorisierte Personen
- Lock-Screen nach kurzer Inaktivität
- Berechtigungskonzept nach dem Need-to-Know-Prinzip
- Zusätzlicher Log-In für bestimmte Anwendungen
- Verschlüsselung der Kommunikation und Daten
- Verschlüsselung von Datenträgern/Festplattenverschlüsselung
- SSH-Zugriff nur mit schlüsselbasierter Authentifikation
- Transport-Verschlüsselung bei Web-Access
- Regelmässige Schulungs- und Sensibilisierungsmassnahmen
- Mitarbeiter: Verpflichtung auf Vertraulichkeit
- Trennung nach Zweck
- Netzwerk-Segmentierung
- Vertragsgestaltung mit Dienstleistern
4. Fähigkeit der Integrität
Wie wird die Fähigkeit der Integrität der Daten dauerhaft gewährleistet?
Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. Massnahmen sollten ergriffen werden, die die Beschädigung/Veränderung der geschützten Daten während der Bearbeitung oder Übertragung verhindern.
- Nachvollziehbarkeit von Eingaben im Portal
- Kontrolle der Datenübermittlung
◦ TLS-Verschlüsselung
◦ Protokollierung
- Funktionelle Verantwortlichkeiten / Rollenkonzept
- Vertreterregelung
- Berechtigungskonzept
◦ Sensible Berechtigung werden auf mehrere Personen aufgeteilt
◦ Vier-Augen-Prinzip
- E-Mail Verschlüsselung (falls erforderlich)
- Verschlüsselung von mobilen Geräten, separate Arbeitsanweisung für den Umgang mit mobilen Datenträgern
- Nutzung von https-Verbindungen
- Aktuell gehaltenes Antivirus-System
- Firewall, WAF
- Network Access Control (NAC)
- Überwachung der Netzwerk- und Systemlandschaft auf Anomalien (z. B. mit einem SOC / SIEM)
- Protokollierung und Überwachung von relevanten Dateneingaben und Änderungen, von relevanten Benutzeraktivitäten sowie von relevanten Verwaltungs- und Servicetätigkeiten
5. Fähigkeit der Verfügbarkeit
Wie wird die Fähigkeit der Verfügbarkeit der Daten dauerhaft gewährleistet?
Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.
- Redundante Rechenzentren
◦ USV
◦ Monitoring und Alerting
- Klimaanlagen
- Backup-Konzept
◦ Getrennte Speicherung/Aufbewahrung von Backups
◦ Angemessene Back-up-Verfahren (täglich, wöchentlich, monatlich)
- Wiederanlaufplan
- Brand- und Löschwasserschutz in den Serverräumen
- Vertretungsregelungen
- Überspannungsschutz
- Unterbrechungsfreie Stromversorgung (UPS)
- Klimatisierung
- Videoüberwachung
- Verwendung von RAIDs, Spiegelung von Festplatten
- Schwachstellen-Management zur regelmässigen Identifizierung, Beurteilung und Behebung von Schwachstellen (z.B. mithilfe eines Schwachstellen Scanning Tools)
- Jährliche Penetration Tests kritischer Systeme und Applikationen
- Standardverfahren/Patch-Management für regelmässige Updates der Schutzsoftware (z.B. Virenscanner), Endpunkthärtung, Update- und Patch-Management
- Change-Management zur Steuerung und Kontrolle aller Changes
- Einsatz von gehärteten Basis Images für Endpunkte
- Security Baselining der Endpunkte
6. Fähigkeit der Belastbarkeit
Wie wird die Fähigkeit der Belastbarkeit der Daten dauerhaft gewährleistet?
Systeme sind belastbar, wenn sie so widerstandsfähig sind, dass ihre Funktionsfähigkeit selbst bei starkem Zugriff bzw. starker Auslastung gegeben ist.
- ISO/IEC 27001-zertifiziertes Rechenzentrum
- ISO/IEC 9001-zertifiziertes Rechenzentrum
- Redundante Softwarekomponenten (High Availability)
- Skalierbarkeit zur Laufzeit
7. Wiederherstellbarkeit der Verfügbarkeit und des Zugangs
Wie wird gewährleistet, dass Personendaten nach Sicherheitsvorfällen rasch wieder verfügbar und zugänglich sind?
- Etablierter und getesteter Incident Management Prozess
- Rasche Wiederherstellung
- Backup-Verfahren
- Unterbrechungsfreie Stromversorgung (USV)
- Notfallplan
- Vertretungsregelungen
- Wiederanlaufplan
8. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung
Wie wird gewährleistet, dass die genannten Datensicherungsmassnahmen regelmässig überprüft werden?
- Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie Datenschutzmanagement, ausdrücklich einschliesslich (nicht abschliessend):
◦ Massnahmen zur Gewährleistung der Datensparsamkeit
◦ Massnahmen zur Sicherung der Datenqualität
◦ Massnahmen zur Gewährleistung einer begrenzten Datenspeicherung
◦ Massnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung von Daten
- Auftrags- oder Vertragskontrolle
- Regelmässige Auditierung durch die Datenschutzbeauftragte
- Prüfberichte werden evaluiert
- Umsetzung eines kontinuierlichen Verbesserungsprozesses
- Orientierung an Standards für Informationssicherheit (ISO 27001)
9. Unrechtmässiger Zugang zu Personendaten
Wie wird verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können?
- Personalisierter Login
- Anlegen eines Benutzerstammsatzes pro Benutzer
- Dokumentierte Zuweisung, Verwaltung, regelmässige Überprüfung sowie Entzug von Berechtigungen
- Protokollierung und Überwachung von relevanten Zugriffen auf IT-Systeme
- Passwortrichtlinie für komplexe Passwörter
- Verfahren zum Zurücksetzen “vergessener” Passwörter
- Getrennte Zugänge für unterschiedliche Systeme und Applikationen
- Automatische Sperrung der Clients (Zeitablauf)
- 2-Faktor-Authentifizierung (wo möglich)
- Zugänge nur für Personen, wenn diese zwingend für ihre Tätigkeit erforderlich sind
- Remote Löschung der Mitarbeiter-Arbeitsgeräte bei Austritt, Entsorgung oder Verlust
10. Bearbeitung von Personendaten nur nach Anweisung
Wie wird gewährleistet, dass Personendaten nur entsprechend den Weisungen des Verantwortlichen bearbeitet werden?
- Mitarbeiter sind zu Verhaltensregeln verpflichtet
- Implementierung unternehmensinterner Datenschutz-Richtlinien
- Verpflichtung der Mitarbeiter auf Vertraulichkeit
- Schulungen aller zugriffsberechtigten Mitarbeiter
- Rollenkonzept
- Dokumentation von Verantwortlichkeiten
- Definition von Weisungsempfängern
Anhang 2 - Unter-Auftragsbearbeiter
Stand: 08.01.2024
Der vorliegende Anhang 2 zur Vereinbarung zur Auftragsdatenbearbeitung nach DSG und EU-DSGVO führt die durch Skribble beigezogenen Unter-Auftragsbearbeiter auf. Der Beizug von neuen sowie der Austausch von bestehenden Unter-Auftragsbearbeitern richtet sich nach den Regelungen der vorgenannten Vereinbarung.
Signieren Sie rechtsgültig
mit wenigen Klicks
Weltweit einsetzbar, gehostet in Deutschland und der Schweiz.
Kostenlose Testphase verfügbar.
Keine Kreditkarte nötig.
Nutzbar auf Deutsch, Englisch und Französisch.