Auftragsbearbeitungsvereinbarung („ABV“)

1. Gesetzliche Grundlagen und Anwendungsbereich der ABV

Der Auftragnehmer erbringt für den Auftraggeber Dienstleistungen, die auch die Bearbeitung von Personendaten (Art. 5 a, 5 d DSG) umfassen und eine Auftragsbearbeitung darstellen (Art. 9 DSG). Die nachfolgenden Hinweise gelten auch für Leistungen, bei denen die EU-DSGVO oder andere Datenschutzgesetze Anwendung finden.ʼ
Die ABV findet Anwendung auf alle Hauptverträge, die mit dem Auftragnehmer abgeschlossen werden und die eine Bearbeitung von Personendaten («Auftragsdaten») umfassen. Die Bestimmungen dieser ABV ergänzen diejenigen des Hauptvertrages und schränken die Rechte und Pflichten der Parteien hinsichtlich der Erbringung bzw. Inanspruchnahme der Leistungen nicht ein.
Die ABV regelt die Rollen, Verantwortlichkeiten und Pflichten zwischen dem Auftragnehmer und dem Auftraggeber («Parteien») bei der Auftragsbearbeitung.
Diese ABV gilt nicht für Bearbeitungen von Personendaten, bei denen der Auftragnehmer als selbständiger Verantwortlicher handelt und die Zwecke der Bearbeitung bestimmt.

2. Gegenstand und Zweck der Auftragsbearbeitung

Gegenstand und Zweck der Auftragsbearbeitung ist die Erfüllung der vertraglich vereinbarten Leistungen durch den Auftragnehmer für den Auftraggeber. Die Auftragsbearbeitung besteht in der Erhebung, Bearbeitung und dem Zugriff auf Auftragsdaten gemäss den Bestimmungen des
Die Auftragsbearbeitung gilt für Auftragsdaten, die vom Auftragnehmer im Rahmen des Führens der Buchhaltung inklusive der Lohnbuchhaltung, HR-Administration, Jahresabschluss und finanzielle Berichterstattung, Steueroptimierung bearbeitet werden oder auf die er Zugriff erhält. Die Kategorien der Betroffenen sind abhängig von den übermittelten Auftragsdaten die Kunden, Mitarbeiter, Lieferanten, Geschäftspartner etc. des Auftraggebers.

3. Rollen und Verantwortlichkeiten der Parteien

Der Auftraggeber hat in Bezug auf die Bearbeitung von Auftragsdaten die Rolle des Verantwortlichen (Art. 5 j DSG).
Der Auftragnehmer hat in Bezug auf die Bearbeitung von Auftragsdaten die Rolle des Auftragsbearbeiters (Art. 5 k DSG).

4. Pflichten des Auftragnehmers

Er verpflichtet sich, die Auftragsdaten nur zur Erbringung der vertraglich vereinbarten Leistungen und auf der Grundlage dieser ABV zu bearbeiten.
Weitergehende schriftliche Weisungen wird er nur annehmen, soweit diese nicht gegen offensichtliche datenschutzrechtliche Bestimmungen Er kann sie dann ablehnen, wenn sie unzumutbar sind, durch Änderung der vertraglich vereinbarten Leistungen zu Mehrkosten führen oder durch sie gesetzliche oder behördliche Auflagen nicht erfüllt werden können.
Er verpflichtet sich, angemessene technische und organisatorische Massnahmen (TOM) zu treffen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Bearbeitung von Auftragsdaten zu gewährleisten. Da die TOM dem technischen Fortschritt unterliegen, ist er be- rechtigt, alternative und adäquate Massnahmen umzusetzen, sofern das Sicherheitsniveau der hier festgelegten Massnahmen nicht unterschritten Die TOM sind in der Beilage 1 detailliert aufgeführt.
Er verpflichtet sich, unverzüglich schriftlich zu informieren, wenn ihm eine Verletzung der Datensicherheit bekannt wird, die Auftragsdaten betrifft. Er wird unverzüglich die erforderlichen Massnahmen treffen, um den Schutz der Auftragsdaten sicherzustellen und darüber hinaus verpflichtet er sich auf schriftliche Anforderung die erforderlichen Informationen zur Verfügung zu stellen, damit etwaige Melde- und Dokumentationspflichten im Zusammenhang mit der Datensicherheitsverletzung nachgekommen werden kann.
Er unterstützt auf schriftliche Anforderung und gegen angemessene zusätzliche Vergütung bei der Erfüllung von Betroffenenrechten und Datenschutz-Folgeabschätzungen in Bezug auf die
Wendet sich ein Betroffener mit seinen Betroffenenrechten direkt an uns, wird er unverzüglich an den Auftraggeber verweisen.
Er stellt sicher, dass die bei Ihm mit der Auftragsbearbeitung befassten Personen die Datenschutzgrundsätze einhalten, und verpflichtet sie zur Vertraulichkeit, auch über die Dauer ihrer Tätigkeit hinaus.
Er wird die Auftragsdaten nach den Vorgaben des Einzel- oder des Hauptvertrages zurückgeben oder löschen.

5. Nachweise und Überprüfungen des Auftragnehmers

Er stellt dem Auftraggeber auf schriftliches Verlangen Informationen zur Verfügung, um die Einhaltung dieser ABV nachzuweisen.
Er wird dem Auftraggeber oder einem von diesem beauftragten Auditor mit einer Vorankündigungsfrist von 15 Tagen, unter Wahrung der Verhältnismässigkeit und nach vorheriger Zusicherung der Vertraulichkeit gestatten, die Einhaltung dieser ABV auf Kosten des Auftraggebers zu überprüfen. Werden bei der Überprüfung relevante Abweichungen festgestellt, hat er diese unverzüglich und unentgeltlich zu beseitigen.

6. Datenübermittlung ins Ausland

Die Datenbearbeitungen erfolgen primär am Standort des Auftragnehmers in der Schweiz. Durch die Zusammenarbeit mit Sub-Auftragsbearbeitern oder Mitarbeitenden im Nearshoring können Daten auch von diesen und auch ausserhalb der Schweiz bearbeitet werden. Werden Datenbearbeitungen im Ausland durchgeführt, so erfolgt dies auf der Grundlage des Angemessenheitsbeschlusses gemäss Anhang zur Datenschutzverordnung (DSV), auf der Grundlage der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) genehmigten Standarddatenschutzklauseln (EU-SCC) oder auf der Grundlage verbindlicher interner Datenschutzvorschriften.

7. Einsatz von Sub-Auftragsbearbeitern

Der Auftragnehmer ist grundsätzlich berechtigt, im Sinne der allgemeinen Genehmigung (Art. 7 DSV) Sub-Auftragsbearbeiter zur Erfüllung seiner Verpflichtungen Von der Sub- Auftragsbearbeitung zu unterscheiden sind Fälle, in denen der Auftraggeber einen direkten Vertrag mit dem Drittdienstleister abschliesst.
Die gegenwärtig vom Auftragsbearbeiter eingesetzten Sub-Auftragsbearbeiter sind in Beilage 2 aufgeführt.
Der Auftragnehmer informiert den Auftraggeber vorab über Änderungen bei den Sub-Auftragsbearbeitern und räumt ihm das Recht ein, aus berechtigten Gründen innerhalb von 30 Tagen schriftlich zu Im Falle eines Widerspruchs ist die Vertragserfüllung möglicherweise nicht mehr im bisherigen Umfang möglich ist. Können sich die Parteien nicht innerhalb von 30 Tagen einigen, kann die betroffene Leistung ausserordentlich gekündigt werden, sofern der Auftraggeber nachweist, dass der Widerspruch datenschutzrechtlich notwendig ist.

Beilage 1 – Technisch organisatorische Mass nahmen

Gemäss Art. 8 des DSG (respektive Art. 28 EU-DSGVO) werden im Rahmen der Auftragsbearbeitung dem Risiko angemessene technische und organisatorische Massnahmen (TOM) ergriffen, um Verletzungen der Datensicherheit zu vermeiden. Die Massnahmen orientieren sich an den vom Bundesrat erlassenen Mindestanforderungen an die Datensicherheit aus der Art. 1-3 der Datenschutzverordnung (DSV) vom 31. August 2022.

Die Daten werden ihrem Schutzbedarf entsprechend:

nur Berechtigten zugänglich gemacht (Vertraulichkeit),
sind verfügbar, wenn sie benötigt werden (Verfügbarkeit),
sollen nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität),
und müssen nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).

Für Personendaten, die auf für die Auftragsbearbeitung relevanten Systemen des Auftragnehmers gespeichert sind, werden folgende Massnahmen dokumentiert und technisch umgesetzt.

1. Zugriffskontrolle

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit berechtigte Personen nur Zugriff auf diejenigen Personendaten erhalten, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle – DSV Art. 3, 1a).

Zugriffsrechte nach dem Need-to-know-Prinzip	Durch Zugriffsrechte wird sichergestellt, dass nur diejenigen Mitarbeiter Zugriff auf Personendaten haben, die diese zur Erfüllung ihrer auftragsspezifischen Aufgaben benötigen. Dies gilt sowohl für physische als auch für digitale Datenspeicher.
Protokollierung der Zugriffe	Die Zugriffe auf die im Rahmen der Auftragsabwicklung genutzten Systeme werden protokolliert, sofern eine Protokollierungsfunktion im System besteht.
Bildschirmsperre bei Inaktivität	Geräte zur Auftragsbearbeitung wie Notebooks und Computer sind mit einer automatischen Bildschirmsperre bei Inaktivität ausgestattet.
Clean Desk / Clean Screen Policy	In den Räumlichkeiten des Auftraggebers wird eine Clean Desk Policy eingehalten.
Test- und Produktivsystem	Neben dem Produktivsystem können Testsysteme zur Verfügung stehen, in denen Änderungen getestet werden können, bevor sie in das Produktivsystem übernommen werden.
Separierte Datenbestände gemäss Trennungsprinzip	Werden Systeme für die gemeinsame Nutzung durch mehrere Kunden eingesetzt, so erfolgt dies mit getrennten logischen Datenbeständen und mandantenfähigen Systemen.
Authentifizierung und Autorisierung	Die Client- und Serversysteme, die der Auftragnehmer zur Durchführung des Auftrags verwendet, sind durch Authentifizierungs- und Autorisierungssysteme geschützt.
Multi-Faktor-Authentifizierung	Die Multi-Faktor-Authentifizierung für Administratoren und Mitarbeitende ist aktiviert, insbesondere auch für externe Zugriffe.

2. Zugangskontrolle

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit nur berechtigte Personen Zutritt zu den Räumlichkeiten und Einrichtungen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle – DSV Art. 3, 1b).

Physische Sicherheit	Der Zugang zu Räumen mit vertraulichen Daten, wie z.B. dem Serverraum, ist auf befugte Personen beschränkt.
Netzzugangskontrolle	Der Zugang von firmenfremden Geräten zum Netzwerk ist gesperrt.
Segmentierung der Netzwerke	Unternehmensfremde Geräte haben keinen Zugang zum Netzwerk.
VPN-Technologie für externe Zugriffe	Externe Zugriffe auf andere Systeme erfolgen nach Möglichkeit über VPN-Verbindungen, die mit ausreichender Kryptographie gesichert sind.

3. Benutzerkontrolle

Zur Sicherstellung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer durch geeignete Massnahmen zu verhindern, dass Unbefugte automatisierte Datenbearbeitungssysteme mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle – DSV Art. 3, 1c).

Personenbezogene Accounts	Soweit möglich werden personenbezogene Zugänge und Kennungen („Accounts“) vergeben.
Geregelter Austrittsprozess	Ein geregelter Austrittsprozess ist in Kraft, der verhindert, dass Mitarbeitende nach dem Ausscheiden aus dem Unternehmen auf Daten zugreifen können.
Passwortrichtlinie	Es gilt eine Passwortrichtlinie, die besagt, dass Passwörter ausreichend komplex und sicher sein müssen.
PIN für Mobilgeräte	Mobile Geräte sind mit einem Passwort oder einer PIN geschützt.
Verschlüsselung und Geheimhaltung der Authentifizierungsdaten	Der Auftragnehmer stellt sicher, dass Authentifizierungsdaten, insbesondere Passwörter und kryptografische Schlüssel, gegenüber Unbefugten streng geheim gehalten werden.
Beschränkung der Administrationsrechte	Die Vergabe von Administratorrechten ist auf die unbedingt notwendigen Mitarbeiter des Auftragnehmers mit persönlichen Zugängen beschränkt.

4. Datenträgerkontrolle

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit Datenträger nicht unbefugt gelesen, kopiert, verändert, verschoben, gelöscht oder vernichtet werden können (Datenträgerkontrolle – DSV Art. 3, 2a).

Verschlüsselung von mobilen Datenträgern	Mobile Datenträger und Geräte werden mit ausreichend starker Kryptographie verschlüsselt.
Fachgerechte Entsorgung der Datenträger	Datenträger werden fachgerecht entsorgt, wenn sie nicht mehr benötigt werden, das gilt für Geräte wie Computer, Notebooks, Smartphones, Tablets und Drucker usw.
Fachgerechte Entsorgung von Papierunterlagen	Papierdokumente werden ordnungsgemäss entsorgt oder geschreddert.

5. Speicherkontrolle

Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Auftraggeber und der Auftragnehmer geeignete Massnahmen treffen, um zu verhindern, dass unbefugte Personen Personendaten im Speicher ablegen, lesen, verändern, löschen oder vernichten können (Speicherkontrolle – DSV Art. 3, 2b).

Virenschutz	Jeder Computer und Server ist durch einen Virenschutz geschützt.
Fernlöschmöglichkeiten	Es besteht die Möglichkeit, Daten auf mobilen Geräten per Fernzugriff zu löschen. Die Mitarbeiter sind angewiesen, den Verlust eines Gerätes unverzüglich zu melden.

6. Transportkontrolle

Zur Sicherstellung der Verfügbarkeit und Integrität haben der Auftraggeber und der Auftragnehmer geeignete Massnahmen zu treffen, damit bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht unbefugt gelesen, kopiert, verändert, gelöscht oder vernichtet werden können (Transportkontrolle – DSV Art. 3, 2c).

Sicherer Datenaustausch extern	Es werden nur Links und keine Dateien via E-Mail versendet. Auf Anfrage können sensitive Daten wie Passwörter oder Dokumente unter Einsatz geeigneter Verschlüsselungstechnologien und nicht via unverschlüsselte E-Mail an Kunden, Mitarbeiter oder Lieferanten versendet werden.
Sicherer Datenaustausch intern	Auf Anfrage: Anstatt ein E-Mail mit Anhang zu versenden, werden Daten intern über einen Link zugänglich gemacht, um zu vermeiden die Daten in unstrukturierten Postfächern zu verteilen.
Einsatz von Verschlüsselung für mobile Datenträger	Informationen auf mobilen Datenträgern sind durch den Einsatz von Verschlüsselungstechnologien vor unberechtigten Auslesen geschützt.

7. Wiederherstellung

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit bei einem physischen oder technischen Zwischenfall die Verfügbarkeit der Personendaten und der Zugriff auf diese rasch wiederhergestellt werden können (Wiederherstellung – DSV Art. 3, 2d), alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Störungen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten durch Fehlfunktionen des Systems nicht beschädigt werden können (Datenintegrität – DSV Art. 3, 2e).

Redundante Systeme / Hochverfügbarkeit	Wichtige Serversysteme und Netzwerkkomponenten, die Personendaten enthalten, sind redundant ausgelegt, damit bei einem Ausfall der Zugriff schnellstmöglich wiederhergestellt werden kann.
Backupkonzept	Ein Backup-Konzept ist implementiert. Es ist sichergestellt, dass wichtige Daten im Backup enthalten sind und Datenbanken konsistent gesichert werden. Ein Generationsprinzip mit einer angemessenen und definierten Aufbewahrungsfrist ist implementiert. Daten werden verschlüsselt übertragen und gespeichert.
Überwachungssystem	Es ist ein zentrales Überwachungssystem im Einsatz, das kritische Komponenten der Infrastruktur überwacht und so ein proaktives Eingreifen bei Systemwarnungen ermöglicht.
Rasche Wiederherstellbarkeit	Backups sind so angelegt, dass nicht nur Daten, sondern ganze Systeme schnell wiederhergestellt werden können.

8. Systemsicherheit

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer durch geeignete Massnahmen dafür zu sorgen, dass Betriebssysteme und Anwendungssoftware stets auf dem aktuellen Sicherheitsstand gehalten und bekannte kri- tische Schwachstellen geschlossen werden (Systemsicherheit – DSG Art. 3, 2f).

Wartung und Aktualisierung von Servern und Anwendungen	Server und Anwendungen werden regelmässig mit Updates versorgt.
Aktualisierung von Clientgeräten	Es wird sichergestellt, dass Clientgeräte wie Computer, Notebooks und mobile Geräte regelmässig aktualisiert werden.
Lifecycle der Hard- und Software	Die Lifecycles von Hard- und Software werden berücksichtigt und Systeme, die vom Hersteller nicht mehr mit Updates versorgt werden, werden rechtzeitig ersetzt.
Systemhärtung	Beim Einsatz von Servern wird darauf geachtet, dass eine Firewall aktiv ist, nicht benötigte Dienste deaktiviert sind und Best Practices zur Härtung der Betriebssysteme angewendet werden.

9. Eingabekontrolle

Zur Gewährleistung der Nachvollziehbarkeit müssen Auftraggeber und Auftragnehmer geeignete Massnahmen treffen, damit nachvollzogen werden kann, welche Personendaten zu welcher Zeit und von welcher Person in das automatisierte Datenverarbeitungssystem eingegeben oder verändert worden sind (Eingabekontrolle – DSG Art. 3, 3a).

Individuelle Benutzer- konten	Die Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten in den verwendeten Serversystemen wird durch die Verwendung individueller Benutzerkonten gewährleistet.
Protokollierung der Zugriffe	Die Zugriffe auf die Systeme im Rahmen der Auftragsabwicklung werden überwacht und die Logs gespeichert, sofern dies möglich ist.

10. Bekanntgabekontrolle

Zur Sicherstellung der Nachvollziehbarkeit haben der Auftraggeber und der Auftragnehmer geeignete Massnahmen zu treffen, damit überprüft werden kann, wem Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden (Bekanntgabekontrolle – DSG Art. 3, 3b).

Beschränkung externer Freigaben	Die externe Freigabe von Daten ist auf bestimmte Speicherorte beschränkt, um die Freigabe sensibler Daten zu verhindern.
Protokollierung von externen Freigaben	Es ist sichergestellt, dass nachvollzogen werden kann, wem Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden. Die Berechtigungen werden protokolliert, sofern dies möglich ist.
Mitarbeiterweisung für externe Freigaben	Die Mitarbeiter sind angewiesen, für schützenswerte Daten dem Risiko angemessene sichere Übertragungskanäle zu verwenden.

11. Erkennung und Beseitigung

Um die Nachvollziehbarkeit zu gewährleisten, müssen der Auftraggeber und der Auftragnehmer geeignete Massnahmen treffen, damit Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung – DSG Art. 3, 3c).

Langzeitspeicherung von Ereignisprotokollen	Erweiterte Ereignisprotokolle in den Systemen sind aktiviert und werden langfristig gespeichert, um bei einem Datenschutzvorfall nachvollziehen zu können welche Daten aus dem System extrahiert oder verändert wurden.
Automatisierte Auswertung von Ereignisprotokollen	Ereignisprotokolle werden automatisiert ausgewertet, um Unregelmässigkeiten in den Systemen frühzeitig zu erkennen.

Beilage 2: Sub-Auftragsbearbeiter

Die Liste der genehmigten Sub-Auftragsbearbeiter ist nachstehend aufgeführt.

Die aktuelle Fassung der Beilage 2 zur Auftragsbearbeitungsvereinbarung findet sich jeweils auf der Webseite der Alpinum Accounting.

Es wird soweit möglich über die Länder der Datenbearbeitung informiert. Soweit möglich sind die Länder angegeben, in denen die Daten bearbeitet werden. Für weitere Informationen über die Datenbearbeitung durch die Unterauftragnehmer wird auf deren Datenschutzerklärung verwiesen, die über die Websites zugänglich sind.

Bearbeiter	Umfang und Zweck	Grundlage des Exports	Länder der Datenbearbeitung
Microsoft Ireland Operations, Ltd., Attn: Data Privacy, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland	Hosting- und Cloud- Backup-Dienste	Data Processing Agreement / EU-SCC	Die Daten werden je nach Anwendung in der Schweiz oder in der EU gespeichert, der Zugriff kann aber auch aus anderen Ländern, insbesondere den USA, erfolgen.
cyon GmbH, Brunngässlein 12, CH, 4052 Basel	Erbringung von Hosting- Dienstleistungen	Auftragsbearbeitungs-vereinbarung gemäss AGB	Die Daten werden in der Schweiz, der EU und der USA bearbeitet.
1Password, 4711 Yonge St, 10th Floor, Toronto, Ontario, M2N 6K8, Kanada	Speichern von Zugangsdaten im Passwortmanager	Auftragsbearbeitungs-vereinbarung gemäss AGB	Die Daten werden in Deutschland, USA und Kanada verarbeitet.
HubSpot Inc., 25 First Street, Cambridge, MA 02141, USA	Custumor Relationship Management System	Data Processing Agreement / EU-SCC	Die Daten werden primär in den USA verarbeitet. Je nach Anwendungen können Daten auch in die EU übertragen werden.
PEAX AG, Pilatusstrasse 28, 6003 Luzern, Schweiz	Erbringen von Postumleitung und Post Scan services	Auftragsbearbeitungs-vereinbarung	Services werden aus der Schweiz, aus Europa und aus Australien geliefert
Kontera GmbH, Bleicherweg 3, 4802 Strengelbach, Schweiz	Automatisiertes Auslesen und Verbuchen von Belegen, Kreditkartenabrechnung en und Spesenquittungen.	Auftragsbearbeitungs-vereinbarung	Die Daten werden primär auf einem Schweiz Servern verarbeitet. Je nach Anwendung können Daten auch in die EU und die USA übertragen und verarbeitet werden.

Order Processing Agreement (“OPA”)

1. Legal basis and scope of application of the DPA

The contractor provides services for the client that also include the processing of personal data (Art. 5 a, 5 d DSG) and constitute order processing (Art. 9 DSG). The following information also applies to services to which the EU GDPR or other data protection laws apply.
The DPA applies to all main contracts concluded with the contractor that involve the processing of personal data (“contract data”). The provisions of this DPA supplement those of the main contract and do not restrict the rights and obligations of the parties with regard to the provision or use of services.
The GTCP governs the roles, responsibilities, and obligations between the contractor and the client (“parties”) in the processing of orders.
These GTCP do not apply to the processing of personal data where the contractor acts as an independent controller and determines the purposes of the processing.

2. Subject matter and purpose of order processing

The subject matter and purpose of order processing is the fulfillment of the contractually agreed services by the contractor for the client. Order processing consists of the collection, processing, and access to order data in accordance with the provisions of
Order processing applies to order data that is processed by the contractor in the course of bookkeeping, including payroll accounting, HR administration, annual financial statements and financial reporting, tax optimization, or to which the contractor has access. Depending on the order data transmitted, the categories of data subjects are the client’s customers, employees, suppliers, business partners, etc.

3. Roles and responsibilities of the parties

The client has the role of controller with regard to the processing of order data (Art. 5 j DSG).
The contractor has the role of processor with regard to the processing of order data (Art. 5 k DSG).

4. Obligations of the contractor

He undertakes to process the order data only for the purpose of providing the contractually agreed services and on the basis of these GTC.
He will only accept further written instructions if they do not violate obvious data protection regulations. He may reject them if they are unreasonable, lead to additional costs due to changes in the contractually agreed services, or prevent legal or official requirements from being met.
He undertakes to take appropriate technical and organizational measures (TOM) to ensure the confidentiality, integrity, availability, and traceability of the processing of order data. As TOM are subject to technical progress, he is entitled to implement alternative and adequate measures, provided that the security level of the measures specified here is not compromised. TOM are listed in detail in Appendix 1.
He undertakes to provide immediate written notification if he becomes aware of any breach of data security affecting the order data. He shall immediately take the necessary measures to ensure the protection of the order data and, in addition, undertakes to provide the necessary information upon written request so that any reporting and documentation obligations in connection with the data security breach can be fulfilled.
Upon written request and for a reasonable additional fee, he shall assist in the fulfillment of data subject rights and data protection impact assessments in relation to the
If a data subject contacts us directly regarding their rights as a data subject, we will immediately refer them to the client.
He ensures that the persons involved in order processing at his company comply with data protection principles and obliges them to maintain confidentiality, even beyond the duration of their employment.
He shall return or delete the order data in accordance with the provisions of the individual or main contract.

5. Evidence and audits by the contractor

Upon written request, the contractor shall provide the client with information to prove compliance with these GTC.
The contractor shall allow the client or an auditor appointed by the client to verify compliance with these GTC at the client’s expense, subject to 15 days‘ prior notice, in a proportionate manner and subject to prior assurance of confidentiality. If any relevant deviations are found during the verification, the contractor shall remedy them immediately and free of charge.

6. Data transfer abroad

Data processing primarily takes place at the contractor’s location in Switzerland. Through cooperation with subcontractors or employees in nearshoring, data may also be processed by them and outside Switzerland. If data processing is carried out abroad, this is done on the basis of the adequacy decision in accordance with the Annex to the Data Protection Ordinance (DPO), on the basis of the standard data protection clauses (EU-SCC) approved by the Federal Data Protection and Information Commissioner (FDPIC), or on the basis of binding internal data protection regulations.

7. Use of subcontractors

The contractor is generally entitled, within the meaning of the general authorization (Art. 7 DSV), to engage subcontractors to fulfill its obligations. A distinction must be made between subcontracting and cases in which the client enters into a direct contract with the third-party service provider.
The sub-processors currently used by the processor are listed in Appendix 2.
The contractor shall inform the client in advance of any changes to the sub-processors and grant the client the right to object in writing within 30 days for legitimate reasons. In the event of an objection, it may no longer be possible to fulfill the contract to the same extent as before. If the parties cannot reach an agreement within 30 days, the service in question may be terminated extraordinarily, provided that the client proves that the objection is necessary under data protection law.

Appendix 1 – Technical and organizational measures

In accordance with Art. 8 of the DSG (or Art. 28 of the EU GDPR), technical and organizational measures (TOM) appropriate to the risk are taken in the context of order processing to prevent data security breaches. The measures are based on the minimum requirements for data security issued by the Federal Council in Articles 1-3 of the Data Protection Ordinance (DPO) of August 31, 2022.

The data is protected as follows:

only made accessible to authorized persons (confidentiality),
available when needed (availability),
not subject to unauthorized or unintentional modification (integrity),
and processed in a traceable manner (traceability).

For personal data stored on the contractor’s systems relevant to order processing, the following measures are documented and technically implemented.

1. Access control

To ensure availability and integrity, the client and contractor must take appropriate measures to ensure that authorized persons only have access to the personal data they need to perform their tasks (access control – DSV Art. 3, 1a).

Access rights based on the need-to-know principle	Access rights ensure that only those employees who need personal data to perform their specific tasks have access to it. This applies to both physical and digital data storage.
Logging of accesses	Access to the systems used for order processing is logged, provided that a logging function exists in the system.
Screen lock during inactivity	Devices used for order processing, such as notebooks and computers, are equipped with an automatic screen lock when inactive.
Clean Desk / Clean Screen Policy	A clean desk policy is observed on the client’s premises.
Test and production system	In addition to the production system, test systems may be available in which changes can be tested before they are transferred to the production system.
Separate data sets in accordance with the separation principle	If systems are used for shared use by multiple customers, this is done with separate logical databases and multi-client capable systems.
Authentication and authorization	Die Client- und Serversysteme, die der Auftragnehmer zur Durchführung des Auftrags verwendet, sind durch Authentifizierungs- und Autorisierungssysteme geschützt.
Multi-factor authentication	Multi-factor authentication for administrators and employees is enabled, especially for external access.

2. Access control

To ensure availability and integrity, the client and contractor must take appropriate measures to ensure that only authorized persons have access to the premises and facilities where personal data is processed (access control – DSV Art. 3, 1b).

Physical security	Access to rooms containing confidential data, such as the server room, is restricted to authorized persons.
Network access control	Access to the network from devices not belonging to the company is blocked.
Segmentation of networks	Devices that do not belong to the company do not have access to the network.
VPN technology for external access	External access to other systems is carried out via VPN connections secured with adequate cryptography wherever possible.

3. User control

To ensure availability and integrity, the client and contractor must take appropriate measures to prevent unauthorized persons from using automated data processing systems via data transmission facilities (user control – DSV Art. 3, 1c).

Personal accounts	Where possible, personal access details and identifiers (“accounts”) will be assigned.
Regulated exit process	A regulated exit process is in place to prevent employees from accessing data after leaving the company.
Password policy	A password policy is in place that states that passwords must be sufficiently complex and secure.
PIN for mobile devices	Mobile devices are protected with a password or PIN.
Encryption and confidentiality of authentication data	The contractor shall ensure that authentication data, in particular passwords and cryptographic keys, are kept strictly confidential from unauthorized persons.
Restriction of administrative rights	The granting of administrator rights is restricted to those employees of the contractor who absolutely require them and who have personal access.

4. Data carrier control

To ensure availability and integrity, the client and contractor must take appropriate measures to prevent data carriers from being read, copied, modified, moved, deleted, or destroyed without authorization (data carrier control – DSV Art. 3, 2a).

Encryption of mobile data carriers	Mobile Datenträger und Geräte werden mit ausreichend starker Kryptographie verschlüsselt.
Proper disposal of data carriers	Data carriers are disposed of properly when they are no longer needed. This applies to devices such as computers, notebooks, smartphones, tablets, printers, etc.
Proper disposal of paper documents	Paper documents are disposed of or shredded in accordance with regulations.

5. Storage control

In order to ensure availability and integrity, the client and the contractor must take appropriate measures to prevent unauthorized persons from storing, reading, modifying, deleting, or destroying personal data in the storage system (storage control – DSV Art. 3, 2b).

Virus protection	Every computer and server is protected by antivirus software.
Remote extinguishing options	It is possible to remotely delete data on mobile devices. Employees are instructed to report the loss of a device immediately.

6. Transport control

To ensure availability and integrity, the client and the contractor must take appropriate measures to ensure that personal data cannot be read, copied, modified, deleted, or destroyed without authorization when personal data is disclosed or data carriers are transported (transport control – DSV Art. 3, 2c).

Secure external data exchange	Only links and no files are sent via email. Upon request, sensitive data such as passwords or documents can be sent to customers, employees, or suppliers using appropriate encryption technologies and not via unencrypted email.
Secure internal data exchange	On request: Instead of sending an email with an attachment, data is made available internally via a link to avoid distributing the data in unstructured mailboxes.
Use of encryption for mobile data carriers	Information on mobile data carriers is protected against unauthorized access through the use of encryption technologies.

7. Restoration

To ensure availability and integrity, the client and contractor must take appropriate measures to ensure that, in the event of a physical or technical incident, the availability of personal data and access to it can be quickly restored (Restoration – DSV Art. 3, 2d), all functions of the automated data processing system are available (availability), malfunctions are reported (reliability), and stored personal data cannot be damaged by system malfunctions (data integrity – DSV Art. 3, 2e).

Redundant systems / High availability	Important server systems and network components that contain personal data are designed to be redundant so that access can be restored as quickly as possible in the event of a failure.
Backup plan	A backup concept has been implemented. It is ensured that important data is included in the backup and that databases are backed up consistently. A generation principle with an appropriate and defined retention period has been implemented. Data is transmitted and stored in encrypted form.
Monitoring system	A central monitoring system is in place that monitors critical infrastructure components, enabling proactive intervention in the event of system alerts.
Rapid recovery	Backups are designed so that not only data, but entire systems can be quickly restored.

8. System security

To ensure availability and integrity, the client and contractor must take appropriate measures to ensure that operating systems and application software are always kept up to date with the latest security standards and that known critical vulnerabilities are closed (system security – DSG Art. 3, 2f).

Maintenance and updating of servers and applications	Servers and applications are regularly updated.
Updating client devices	It is ensured that client devices such as computers, notebooks, and mobile devices are updated regularly.
Hardware and software lifecycle	The lifecycles of hardware and software are taken into account, and systems that are no longer supported with updates by the manufacturer are replaced in a timely manner.
System hardening	When using servers, care is taken to ensure that a firewall is active, unnecessary services are disabled, and best practices for hardening operating systems are applied.

9. Input control

To ensure traceability, the client and contractor must take appropriate measures to ensure that it is possible to trace which personal data has been entered or modified in the automated data processing system, at what time, and by whom (input control – DSG Art. 3, 3a).

Individual user accounts	The traceability of data entry, modification, and deletion in the server systems used is ensured through the use of individual user accounts.
Logging of accesses	Access to the systems within the scope of order processing is monitored and the logs are stored, where possible.

10. Disclosure control

To ensure traceability, the client and the contractor must take appropriate measures to enable verification of to whom personal data is disclosed by means of data transmission facilities (disclosure control – DSG Art. 3, 3b).

Restriction of external releases	External data sharing is restricted to specific storage locations to prevent the sharing of sensitive data.
Logging of external disclosures	It is ensured that it is possible to trace to whom personal data is disclosed by means of data transmission facilities. Authorizations are logged wherever possible.
Employee instructions for external approvals	Employees are instructed to use secure transmission channels appropriate to the risk for data worthy of protection.

11. Detection and elimination

In order to ensure traceability, the client and the contractor must take appropriate measures to ensure that data security breaches can be detected quickly (detection) and measures taken to mitigate or eliminate the consequences (elimination – DSG Art. 3, 3c).

Long-term storage of event logs	Extended event logs in the systems are activated and stored long-term so that, in the event of a data protection incident, it is possible to trace which data was extracted or modified from the system.
Automated evaluation of event logs	Event logs are automatically evaluated in order to detect irregularities in the systems at an early stage.

Appendix 2: Subcontractor

The list of approved subcontractors is provided below.

The current version of Appendix 2 to the Order Processing Agreement can be found on the Alpinum Accounting website.

Where possible, information is provided about the countries in which the data is processed. Where possible, the countries in which the data is processed are specified. For further information about data processing by subcontractors, please refer to their privacy policies, which are available on their websites.

Processor	Scope and purpose	Basis for export	Countries where data is processed
Microsoft Ireland Operations, Ltd., Attn: Data Privacy, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland	Hosting and cloud backup services	Data Processing Agreement / EU Standard Contractual Clauses	Depending on the application, the data is stored in Switzerland or the EU, but can also be accessed from other countries, in particular the USA.
cyon GmbH, Brunngässlein 12, CH, 4052 Basel	Provision of hosting services	Order processing agreement in accordance with the General Terms and Conditions	The data is processed in Switzerland, the EU, and the USA.
1Password, 4711 Yonge St, 10th Floor, Toronto, Ontario, M2N 6K8, Kanada	Storing access data in the password manager	Order processing agreement in accordance with the General Terms and Conditions	The data is processed in Germany, the USA, and Canada.
HubSpot Inc., 25 First Street, Cambridge, MA 02141, USA	Customer Relationship Management System	Data Processing Agreement / EU Standard Contractual Clauses	The data is primarily processed in the United States. Depending on the applications, Data may also be transferred to the EU.
PEAX AG, Pilatusstrasse 28, 6003 Luzern, Switzerland	Provision of mail forwarding and mail scanning services	Order processing agreement	Services are provided from Switzerland, Europe, and Australia.
Kontera GmbH, Bleicherweg 3, 4802 Strengelbach, Switzerland	Automated reading and posting of receipts, credit card statements, and expense receipts.	Order processing agreement	The data is primarily processed on servers in Switzerland. Depending on the application, data may also be transferred to and processed in the EU and the USA.