Skip to main content

Auftragsbearbeitungsvereinbarung („ABV“)

Auftragsbearbeitungsvereinbarung („ABV“)

 

1. Gesetzliche Grundlagen und Anwendungsbereich der ABV

  • Der Auftragnehmer erbringt für den Auftraggeber Dienstleistungen, die auch die Bearbeitung von Personendaten (Art. 5 a, 5 d DSG) umfassen und eine Auftragsbearbeitung darstellen (Art. 9 DSG). Die nachfolgenden Hinweise gelten auch für Leistungen, bei denen die EU-DSGVO oder andere Datenschutzgesetze Anwendung finden.ʼ
  • Die ABV findet Anwendung auf alle Hauptverträge, die mit dem Auftragnehmer abgeschlossen werden und die eine Bearbeitung von Personendaten («Auftragsdaten») umfassen. Die Bestimmungen dieser ABV ergänzen diejenigen des Hauptvertrages und schränken die Rechte und Pflichten der Parteien hinsichtlich der Erbringung bzw. Inanspruchnahme der Leistungen nicht ein.
  • Die ABV regelt die Rollen, Verantwortlichkeiten und Pflichten zwischen dem Auftragnehmer und dem Auftraggeber («Parteien») bei der Auftragsbearbeitung.
  • Diese ABV gilt nicht für Bearbeitungen von Personendaten, bei denen der Auftragnehmer als selbständiger Verantwortlicher handelt und die Zwecke der Bearbeitung bestimmt.

2. Gegenstand und Zweck der Auftragsbearbeitung

  • Gegenstand und Zweck der Auftragsbearbeitung ist die Erfüllung der vertraglich vereinbarten Leistungen durch den Auftragnehmer für den Auftraggeber. Die Auftragsbearbeitung besteht in der Erhebung, Bearbeitung und dem Zugriff auf Auftragsdaten gemäss den Bestimmungen des
  • Die Auftragsbearbeitung gilt für Auftragsdaten, die vom Auftragnehmer im Rahmen des Führens der Buchhaltung inklusive der Lohnbuchhaltung, HR-Administration, Jahresabschluss und finanzielle Berichterstattung, Steueroptimierung bearbeitet werden oder auf die er Zugriff erhält. Die Kategorien der Betroffenen sind abhängig von den übermittelten Auftragsdaten die Kunden, Mitarbeiter, Lieferanten, Geschäftspartner etc. des Auftraggebers.

3. Rollen und Verantwortlichkeiten der Parteien

  • Der Auftraggeber hat in Bezug auf die Bearbeitung von Auftragsdaten die Rolle des Verantwortlichen (Art. 5 j DSG).
  • Der Auftragnehmer hat in Bezug auf die Bearbeitung von Auftragsdaten die Rolle des Auftragsbearbeiters (Art. 5 k DSG).

4. Pflichten des Auftragnehmers

  • Er verpflichtet sich, die Auftragsdaten nur zur Erbringung der vertraglich vereinbarten Leistungen und auf der Grundlage dieser ABV zu bearbeiten.
  • Weitergehende schriftliche Weisungen wird er nur annehmen, soweit diese nicht gegen offensichtliche datenschutzrechtliche Bestimmungen Er kann sie dann ablehnen, wenn sie unzumutbar sind, durch Änderung der vertraglich vereinbarten Leistungen zu Mehrkosten führen oder durch sie gesetzliche oder behördliche Auflagen nicht erfüllt werden können.
  • Er verpflichtet sich, angemessene technische und organisatorische Massnahmen (TOM) zu treffen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Bearbeitung von Auftragsdaten zu gewährleisten. Da die TOM dem technischen Fortschritt unterliegen, ist er be- rechtigt, alternative und adäquate Massnahmen umzusetzen, sofern das Sicherheitsniveau der hier festgelegten Massnahmen nicht unterschritten Die TOM sind in der Beilage 1 detailliert aufgeführt.
  • Er verpflichtet sich, unverzüglich schriftlich zu informieren, wenn ihm eine Verletzung der Datensicherheit bekannt wird, die Auftragsdaten betrifft. Er wird unverzüglich die erforderlichen Massnahmen treffen, um den Schutz der Auftragsdaten sicherzustellen und darüber hinaus verpflichtet er sich auf schriftliche Anforderung die erforderlichen Informationen zur Verfügung zu stellen, damit etwaige Melde- und Dokumentationspflichten im Zusammenhang mit der Datensicherheitsverletzung nachgekommen werden kann.
  • Er unterstützt auf schriftliche Anforderung und gegen angemessene zusätzliche Vergütung bei der Erfüllung von Betroffenenrechten und Datenschutz-Folgeabschätzungen in Bezug auf die
  • Wendet sich ein Betroffener mit seinen Betroffenenrechten direkt an uns, wird er unverzüglich an den Auftraggeber verweisen.
  • Er stellt sicher, dass die bei Ihm mit der Auftragsbearbeitung befassten Personen die Datenschutzgrundsätze einhalten, und verpflichtet sie zur Vertraulichkeit, auch über die Dauer ihrer Tätigkeit hinaus.
  • Er wird die Auftragsdaten nach den Vorgaben des Einzel- oder des Hauptvertrages zurückgeben oder löschen.

5. Nachweise und Überprüfungen des Auftragnehmers

  • Er stellt dem Auftraggeber auf schriftliches Verlangen Informationen zur Verfügung, um die Einhaltung dieser ABV nachzuweisen.
  • Er wird dem Auftraggeber oder einem von diesem beauftragten Auditor mit einer Vorankündigungsfrist von 15 Tagen, unter Wahrung der Verhältnismässigkeit und nach vorheriger Zusicherung der Vertraulichkeit gestatten, die Einhaltung dieser ABV auf Kosten des Auftraggebers zu überprüfen. Werden bei der Überprüfung relevante Abweichungen festgestellt, hat er diese unverzüglich und unentgeltlich zu beseitigen.

6. Datenübermittlung ins Ausland

Die Datenbearbeitungen erfolgen primär am Standort des Auftragnehmers in der Schweiz. Durch die Zusammenarbeit mit Sub-Auftragsbearbeitern oder Mitarbeitenden im Nearshoring können Daten auch von diesen und auch ausserhalb der Schweiz bearbeitet werden. Werden Datenbearbeitungen im Ausland durchgeführt, so erfolgt dies auf der Grundlage des Angemessenheitsbeschlusses gemäss Anhang zur Datenschutzverordnung (DSV), auf der Grundlage der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) genehmigten Standarddatenschutzklauseln (EU-SCC) oder auf der Grundlage verbindlicher interner Datenschutzvorschriften.

7. Einsatz von Sub-Auftragsbearbeitern 

  • Der Auftragnehmer ist grundsätzlich berechtigt, im Sinne der allgemeinen Genehmigung (Art. 7 DSV) Sub-Auftragsbearbeiter zur Erfüllung seiner Verpflichtungen Von der Sub- Auftragsbearbeitung zu unterscheiden sind Fälle, in denen der Auftraggeber einen direkten Vertrag mit dem Drittdienstleister abschliesst.
  • Die gegenwärtig vom Auftragsbearbeiter eingesetzten Sub-Auftragsbearbeiter sind in Beilage 2 aufgeführt.
  • Der Auftragnehmer informiert den Auftraggeber vorab über Änderungen bei den Sub-Auftragsbearbeitern und räumt ihm das Recht ein, aus berechtigten Gründen innerhalb von 30 Tagen schriftlich zu Im Falle eines Widerspruchs ist die Vertragserfüllung möglicherweise nicht mehr im bisherigen Umfang möglich ist. Können sich die Parteien nicht innerhalb von 30 Tagen einigen, kann die betroffene Leistung ausserordentlich gekündigt werden, sofern der Auftraggeber nachweist, dass der Widerspruch datenschutzrechtlich notwendig ist.

Beilage 1 – Technisch organisatorische Mass nahmen

Gemäss Art. 8 des DSG (respektive Art. 28 EU-DSGVO) werden im Rahmen der Auftragsbearbeitung dem Risiko angemessene technische und organisatorische Massnahmen (TOM) ergriffen, um Verletzungen der Datensicherheit zu vermeiden. Die Massnahmen orientieren sich an den vom Bundesrat erlassenen Mindestanforderungen an die Datensicherheit aus der Art. 1-3 der Datenschutzverordnung (DSV) vom 31. August 2022.

Die Daten werden ihrem Schutzbedarf entsprechend:

  • nur Berechtigten zugänglich gemacht (Vertraulichkeit),
  • sind verfügbar, wenn sie benötigt werden (Verfügbarkeit),
  • sollen nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität),
  • und müssen nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).

Für Personendaten, die auf für die Auftragsbearbeitung relevanten Systemen des Auftragnehmers gespeichert sind, werden folgende Massnahmen dokumentiert und technisch umgesetzt.

1. Zugriffskontrolle

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit berechtigte Personen nur Zugriff auf diejenigen Personendaten erhalten, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle – DSV Art. 3, 1a).

Zugriffsrechte nach dem Need-to-know-PrinzipDurch Zugriffsrechte wird sichergestellt, dass nur diejenigen Mitarbeiter Zugriff auf Personendaten haben, die diese zur Erfüllung ihrer auftragsspezifischen Aufgaben benötigen. Dies gilt sowohl für physische als auch für digitale Datenspeicher.
Protokollierung der ZugriffeDie Zugriffe auf die im Rahmen der Auftragsabwicklung genutzten Systeme werden protokolliert, sofern eine Protokollierungsfunktion im System besteht.
Bildschirmsperre bei InaktivitätGeräte zur Auftragsbearbeitung wie Notebooks und Computer sind mit einer automatischen Bildschirmsperre bei Inaktivität ausgestattet.
Clean    Desk    /    Clean Screen PolicyIn den Räumlichkeiten des Auftraggebers wird eine Clean Desk Policy eingehalten.
Test- und ProduktivsystemNeben dem Produktivsystem können Testsysteme zur Verfügung stehen, in denen Änderungen getestet werden können, bevor sie in das Produktivsystem übernommen werden.
Separierte Datenbestände gemäss TrennungsprinzipWerden Systeme für die gemeinsame Nutzung durch mehrere Kunden eingesetzt, so erfolgt dies mit getrennten logischen Datenbeständen und mandantenfähigen Systemen.
Authentifizierung  und AutorisierungDie Client- und Serversysteme, die der Auftragnehmer zur Durchführung des Auftrags verwendet, sind durch Authentifizierungs- und Autorisierungssysteme geschützt.
Multi-Faktor-AuthentifizierungDie Multi-Faktor-Authentifizierung für Administratoren und Mitarbeitende ist aktiviert, insbesondere auch für externe Zugriffe.

2. Zugangskontrolle

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit nur berechtigte Personen Zutritt zu den Räumlichkeiten und Einrichtungen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle – DSV Art. 3, 1b).

Physische SicherheitDer Zugang zu Räumen mit vertraulichen Daten, wie z.B. dem Serverraum, ist auf befugte Personen beschränkt.
NetzzugangskontrolleDer Zugang von firmenfremden Geräten zum Netzwerk ist gesperrt.
Segmentierung der NetzwerkeUnternehmensfremde Geräte haben keinen Zugang zum Netzwerk.
VPN-Technologie für externe ZugriffeExterne Zugriffe auf andere Systeme erfolgen nach Möglichkeit über VPN-Verbindungen, die mit ausreichender Kryptographie gesichert sind.

3. Benutzerkontrolle

Zur Sicherstellung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer durch geeignete Massnahmen zu verhindern, dass Unbefugte automatisierte Datenbearbeitungssysteme mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle – DSV Art. 3, 1c).

Personenbezogene AccountsSoweit möglich werden personenbezogene Zugänge und Kennungen („Accounts“) vergeben.
Geregelter AustrittsprozessEin geregelter Austrittsprozess ist in Kraft, der verhindert, dass Mitarbeitende nach dem Ausscheiden aus dem Unternehmen auf Daten zugreifen können.
PasswortrichtlinieEs gilt eine Passwortrichtlinie, die besagt, dass Passwörter ausreichend komplex und sicher sein müssen.
PIN für MobilgeräteMobile Geräte sind mit einem Passwort oder einer PIN geschützt.
Verschlüsselung und Geheimhaltung der AuthentifizierungsdatenDer Auftragnehmer stellt sicher, dass Authentifizierungsdaten, insbesondere Passwörter und kryptografische Schlüssel, gegenüber Unbefugten streng geheim gehalten werden.
Beschränkung der AdministrationsrechteDie Vergabe von Administratorrechten ist auf die unbedingt notwendigen Mitarbeiter des Auftragnehmers mit persönlichen Zugängen beschränkt.

4. Datenträgerkontrolle

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit Datenträger nicht unbefugt gelesen, kopiert, verändert, verschoben, gelöscht oder vernichtet werden können (Datenträgerkontrolle – DSV Art. 3, 2a).

Verschlüsselung von mobilen DatenträgernMobile Datenträger und Geräte werden mit ausreichend starker Kryptographie verschlüsselt.
Fachgerechte   Entsorgung der DatenträgerDatenträger werden fachgerecht entsorgt, wenn sie nicht mehr benötigt werden, das gilt für Geräte wie Computer, Notebooks, Smartphones, Tablets und Drucker usw.
Fachgerechte Entsorgung von PapierunterlagenPapierdokumente werden ordnungsgemäss entsorgt oder geschreddert.

5.  Speicherkontrolle 

Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Auftraggeber und der Auftragnehmer geeignete Massnahmen treffen, um zu verhindern, dass unbefugte Personen Personendaten im Speicher ablegen, lesen, verändern, löschen oder vernichten können (Speicherkontrolle – DSV Art. 3, 2b).

VirenschutzJeder Computer und Server ist durch einen Virenschutz geschützt.
FernlöschmöglichkeitenEs besteht die Möglichkeit, Daten auf mobilen Geräten per Fernzugriff zu löschen. Die Mitarbeiter sind angewiesen, den Verlust eines Gerätes unverzüglich zu melden.

6. Transportkontrolle 

Zur Sicherstellung der Verfügbarkeit und Integrität haben der Auftraggeber und der Auftragnehmer geeignete Massnahmen zu treffen, damit bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht unbefugt gelesen, kopiert, verändert, gelöscht oder vernichtet werden können (Transportkontrolle – DSV Art. 3, 2c).

Sicherer Datenaustausch externEs werden nur Links und keine Dateien via E-Mail versendet. Auf Anfrage können sensitive Daten wie Passwörter oder Dokumente unter Einsatz geeigneter Verschlüsselungstechnologien und nicht via  unverschlüsselte  E-Mail  an  Kunden,  Mitarbeiter  oder Lieferanten versendet werden.
Sicherer Datenaustausch internAuf Anfrage: Anstatt ein E-Mail mit Anhang zu versenden, werden Daten intern über einen Link zugänglich gemacht, um zu vermeiden die Daten in unstrukturierten Postfächern zu verteilen.
Einsatz von Verschlüsselung für mobile DatenträgerInformationen auf mobilen Datenträgern sind durch den Einsatz von Verschlüsselungstechnologien vor unberechtigten Auslesen geschützt.

7. Wiederherstellung 

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit bei einem physischen oder technischen Zwischenfall die Verfügbarkeit der Personendaten und der Zugriff auf diese rasch wiederhergestellt werden können (Wiederherstellung – DSV Art. 3, 2d), alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Störungen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten durch Fehlfunktionen des Systems nicht beschädigt werden können (Datenintegrität – DSV Art. 3, 2e).

Redundante Systeme / HochverfügbarkeitWichtige Serversysteme und Netzwerkkomponenten, die Personendaten enthalten, sind redundant ausgelegt, damit bei einem Ausfall der Zugriff schnellstmöglich wiederhergestellt werden kann.
BackupkonzeptEin Backup-Konzept ist implementiert. Es ist sichergestellt, dass wichtige Daten im Backup enthalten sind und Datenbanken konsistent gesichert werden. Ein Generationsprinzip mit einer angemessenen und definierten Aufbewahrungsfrist ist implementiert. Daten werden verschlüsselt übertragen und gespeichert.
ÜberwachungssystemEs ist ein zentrales Überwachungssystem im Einsatz, das kritische Komponenten der Infrastruktur überwacht und so ein proaktives Eingreifen bei Systemwarnungen ermöglicht.
Rasche    WiederherstellbarkeitBackups sind so angelegt, dass nicht nur Daten, sondern ganze Systeme schnell wiederhergestellt werden können.

8. Systemsicherheit

Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer durch geeignete Massnahmen dafür zu sorgen, dass Betriebssysteme und Anwendungssoftware stets auf dem aktuellen Sicherheitsstand gehalten und bekannte kri- tische Schwachstellen geschlossen werden (Systemsicherheit – DSG Art. 3, 2f).

Wartung und Aktualisierung von Servern und AnwendungenServer und Anwendungen werden regelmässig mit Updates versorgt.
Aktualisierung von ClientgerätenEs wird sichergestellt, dass Clientgeräte wie Computer, Notebooks und mobile Geräte regelmässig aktualisiert werden.
Lifecycle der Hard- und SoftwareDie Lifecycles von Hard- und Software werden berücksichtigt und Systeme, die vom Hersteller nicht mehr mit Updates versorgt werden, werden rechtzeitig ersetzt.
SystemhärtungBeim Einsatz von Servern wird darauf geachtet, dass eine Firewall aktiv ist, nicht benötigte Dienste deaktiviert sind und Best Practices zur Härtung der Betriebssysteme angewendet werden.

9. Eingabekontrolle

Zur Gewährleistung der Nachvollziehbarkeit müssen Auftraggeber und Auftragnehmer geeignete Massnahmen treffen, damit nachvollzogen werden kann, welche Personendaten zu welcher Zeit und von welcher Person in das automatisierte Datenverarbeitungssystem eingegeben oder verändert worden sind (Eingabekontrolle – DSG Art. 3, 3a).

Individuelle      Benutzer- kontenDie Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten in den verwendeten Serversystemen wird durch die Verwendung individueller Benutzerkonten gewährleistet.
Protokollierung der ZugriffeDie Zugriffe auf die Systeme im Rahmen der Auftragsabwicklung werden überwacht und die Logs gespeichert, sofern dies möglich ist.

10. Bekanntgabekontrolle

Zur Sicherstellung der Nachvollziehbarkeit haben der Auftraggeber und der Auftragnehmer geeignete Massnahmen zu treffen, damit überprüft werden kann, wem Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden (Bekanntgabekontrolle – DSG Art. 3, 3b).

Beschränkung    externer FreigabenDie externe Freigabe von Daten ist auf bestimmte Speicherorte beschränkt, um die Freigabe sensibler Daten zu verhindern.
Protokollierung von externen FreigabenEs ist sichergestellt, dass nachvollzogen werden kann, wem Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden. Die Berechtigungen werden protokolliert, sofern dies möglich ist.
Mitarbeiterweisung      für externe FreigabenDie Mitarbeiter sind angewiesen, für schützenswerte Daten dem Risiko angemessene sichere Übertragungskanäle zu verwenden.

11. Erkennung und Beseitigung

Um die Nachvollziehbarkeit zu gewährleisten, müssen der Auftraggeber und der Auftragnehmer geeignete Massnahmen treffen, damit Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung – DSG Art. 3, 3c).

Langzeitspeicherung von EreignisprotokollenErweiterte Ereignisprotokolle in den Systemen sind aktiviert und werden langfristig gespeichert, um bei einem Datenschutzvorfall nachvollziehen zu können welche Daten aus dem System extrahiert oder verändert wurden.
Automatisierte Auswertung von EreignisprotokollenEreignisprotokolle werden automatisiert ausgewertet, um Unregelmässigkeiten in den Systemen frühzeitig zu erkennen.

Beilage 2: Sub-Auftragsbearbeiter

Die Liste der genehmigten Sub-Auftragsbearbeiter ist nachstehend aufgeführt.

Die aktuelle Fassung der Beilage 2 zur Auftragsbearbeitungsvereinbarung findet sich jeweils auf der Webseite der Alpinum Accounting.

Es wird soweit möglich über die Länder der Datenbearbeitung informiert. Soweit möglich sind die Länder angegeben, in denen die Daten bearbeitet werden. Für weitere Informationen über die Datenbearbeitung durch die Unterauftragnehmer wird auf deren Datenschutzerklärung verwiesen, die über die Websites zugänglich sind.

 

BearbeiterUmfang und ZweckGrundlage des ExportsLänder der Datenbearbeitung
Microsoft Ireland Operations, Ltd., Attn: Data Privacy, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521,

Ireland

Hosting- und Cloud- Backup-DiensteData Processing Agreement / EU-SCCDie Daten werden je nach Anwendung in der Schweiz oder in der EU gespeichert, der Zugriff kann aber auch aus anderen Ländern, insbesondere den USA, erfolgen.
cyon GmbH, Brunngässlein 12, CH, 4052 BaselErbringung von Hosting- DienstleistungenAuftragsbearbeitungsvereinbarung gemäss AGBDie Daten werden in der Schweiz, der EU und der USA bearbeitet.
1Password, 4711 Yonge St, 10th Floor, Toronto, Ontario, M2N 6K8, KanadaSpeichern von Zugangsdaten im PasswortmanagerAuftragsbearbeitungsvereinbarung gemäss AGBDie Daten werden in Deutschland, USA und Kanada verarbeitet.
HubSpot Inc., 25 First Street, Cambridge, MA 02141, USACustumor Relationship Management SystemData Processing Agreement / EU-SCCDie Daten werden primär in den USA verarbeitet. Je nach Anwendungen können

Daten auch in die EU übertragen werden.

PEAX AG,

Pilatusstrasse 28,
6003 Luzern, Schweiz

Erbringen von Postumleitung und Post Scan servicesAuftragsbearbeitungsvereinbarungServices werden aus der Schweiz, aus Europa und aus Australien geliefert
Kontera GmbH, Bleicherweg 3, 4802 Strengelbach, SchweizAutomatisiertes Auslesen und Verbuchen von Belegen, Kreditkartenabrechnung en und Spesenquittungen.AuftragsbearbeitungsvereinbarungDie Daten werden primär auf einem Schweiz Servern verarbeitet. Je nach Anwendung können Daten auch in die EU und die USA übertragen und verarbeitet werden.