Auftragsbearbeitungsvereinbarung („ABV“)
1. Gesetzliche Grundlagen und Anwendungsbereich der ABV
- Der Auftragnehmer erbringt für den Auftraggeber Dienstleistungen, die auch die Bearbeitung von Personendaten (Art. 5 a, 5 d DSG) umfassen und eine Auftragsbearbeitung darstellen (Art. 9 DSG). Die nachfolgenden Hinweise gelten auch für Leistungen, bei denen die EU-DSGVO oder andere Datenschutzgesetze Anwendung finden.ʼ
- Die ABV findet Anwendung auf alle Hauptverträge, die mit dem Auftragnehmer abgeschlossen werden und die eine Bearbeitung von Personendaten («Auftragsdaten») umfassen. Die Bestimmungen dieser ABV ergänzen diejenigen des Hauptvertrages und schränken die Rechte und Pflichten der Parteien hinsichtlich der Erbringung bzw. Inanspruchnahme der Leistungen nicht ein.
- Die ABV regelt die Rollen, Verantwortlichkeiten und Pflichten zwischen dem Auftragnehmer und dem Auftraggeber («Parteien») bei der Auftragsbearbeitung.
- Diese ABV gilt nicht für Bearbeitungen von Personendaten, bei denen der Auftragnehmer als selbständiger Verantwortlicher handelt und die Zwecke der Bearbeitung bestimmt.
2. Gegenstand und Zweck der Auftragsbearbeitung
- Gegenstand und Zweck der Auftragsbearbeitung ist die Erfüllung der vertraglich vereinbarten Leistungen durch den Auftragnehmer für den Auftraggeber. Die Auftragsbearbeitung besteht in der Erhebung, Bearbeitung und dem Zugriff auf Auftragsdaten gemäss den Bestimmungen des
- Die Auftragsbearbeitung gilt für Auftragsdaten, die vom Auftragnehmer im Rahmen des Führens der Buchhaltung inklusive der Lohnbuchhaltung, HR-Administration, Jahresabschluss und finanzielle Berichterstattung, Steueroptimierung bearbeitet werden oder auf die er Zugriff erhält. Die Kategorien der Betroffenen sind abhängig von den übermittelten Auftragsdaten die Kunden, Mitarbeiter, Lieferanten, Geschäftspartner etc. des Auftraggebers.
3. Rollen und Verantwortlichkeiten der Parteien
- Der Auftraggeber hat in Bezug auf die Bearbeitung von Auftragsdaten die Rolle des Verantwortlichen (Art. 5 j DSG).
- Der Auftragnehmer hat in Bezug auf die Bearbeitung von Auftragsdaten die Rolle des Auftragsbearbeiters (Art. 5 k DSG).
4. Pflichten des Auftragnehmers
- Er verpflichtet sich, die Auftragsdaten nur zur Erbringung der vertraglich vereinbarten Leistungen und auf der Grundlage dieser ABV zu bearbeiten.
- Weitergehende schriftliche Weisungen wird er nur annehmen, soweit diese nicht gegen offensichtliche datenschutzrechtliche Bestimmungen Er kann sie dann ablehnen, wenn sie unzumutbar sind, durch Änderung der vertraglich vereinbarten Leistungen zu Mehrkosten führen oder durch sie gesetzliche oder behördliche Auflagen nicht erfüllt werden können.
- Er verpflichtet sich, angemessene technische und organisatorische Massnahmen (TOM) zu treffen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Bearbeitung von Auftragsdaten zu gewährleisten. Da die TOM dem technischen Fortschritt unterliegen, ist er be- rechtigt, alternative und adäquate Massnahmen umzusetzen, sofern das Sicherheitsniveau der hier festgelegten Massnahmen nicht unterschritten Die TOM sind in der Beilage 1 detailliert aufgeführt.
- Er verpflichtet sich, unverzüglich schriftlich zu informieren, wenn ihm eine Verletzung der Datensicherheit bekannt wird, die Auftragsdaten betrifft. Er wird unverzüglich die erforderlichen Massnahmen treffen, um den Schutz der Auftragsdaten sicherzustellen und darüber hinaus verpflichtet er sich auf schriftliche Anforderung die erforderlichen Informationen zur Verfügung zu stellen, damit etwaige Melde- und Dokumentationspflichten im Zusammenhang mit der Datensicherheitsverletzung nachgekommen werden kann.
- Er unterstützt auf schriftliche Anforderung und gegen angemessene zusätzliche Vergütung bei der Erfüllung von Betroffenenrechten und Datenschutz-Folgeabschätzungen in Bezug auf die
- Wendet sich ein Betroffener mit seinen Betroffenenrechten direkt an uns, wird er unverzüglich an den Auftraggeber verweisen.
- Er stellt sicher, dass die bei Ihm mit der Auftragsbearbeitung befassten Personen die Datenschutzgrundsätze einhalten, und verpflichtet sie zur Vertraulichkeit, auch über die Dauer ihrer Tätigkeit hinaus.
- Er wird die Auftragsdaten nach den Vorgaben des Einzel- oder des Hauptvertrages zurückgeben oder löschen.
5. Nachweise und Überprüfungen des Auftragnehmers
- Er stellt dem Auftraggeber auf schriftliches Verlangen Informationen zur Verfügung, um die Einhaltung dieser ABV nachzuweisen.
- Er wird dem Auftraggeber oder einem von diesem beauftragten Auditor mit einer Vorankündigungsfrist von 15 Tagen, unter Wahrung der Verhältnismässigkeit und nach vorheriger Zusicherung der Vertraulichkeit gestatten, die Einhaltung dieser ABV auf Kosten des Auftraggebers zu überprüfen. Werden bei der Überprüfung relevante Abweichungen festgestellt, hat er diese unverzüglich und unentgeltlich zu beseitigen.
6. Datenübermittlung ins Ausland
Die Datenbearbeitungen erfolgen primär am Standort des Auftragnehmers in der Schweiz. Durch die Zusammenarbeit mit Sub-Auftragsbearbeitern oder Mitarbeitenden im Nearshoring können Daten auch von diesen und auch ausserhalb der Schweiz bearbeitet werden. Werden Datenbearbeitungen im Ausland durchgeführt, so erfolgt dies auf der Grundlage des Angemessenheitsbeschlusses gemäss Anhang zur Datenschutzverordnung (DSV), auf der Grundlage der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) genehmigten Standarddatenschutzklauseln (EU-SCC) oder auf der Grundlage verbindlicher interner Datenschutzvorschriften.
7. Einsatz von Sub-Auftragsbearbeitern
- Der Auftragnehmer ist grundsätzlich berechtigt, im Sinne der allgemeinen Genehmigung (Art. 7 DSV) Sub-Auftragsbearbeiter zur Erfüllung seiner Verpflichtungen Von der Sub- Auftragsbearbeitung zu unterscheiden sind Fälle, in denen der Auftraggeber einen direkten Vertrag mit dem Drittdienstleister abschliesst.
- Die gegenwärtig vom Auftragsbearbeiter eingesetzten Sub-Auftragsbearbeiter sind in Beilage 2 aufgeführt.
- Der Auftragnehmer informiert den Auftraggeber vorab über Änderungen bei den Sub-Auftragsbearbeitern und räumt ihm das Recht ein, aus berechtigten Gründen innerhalb von 30 Tagen schriftlich zu Im Falle eines Widerspruchs ist die Vertragserfüllung möglicherweise nicht mehr im bisherigen Umfang möglich ist. Können sich die Parteien nicht innerhalb von 30 Tagen einigen, kann die betroffene Leistung ausserordentlich gekündigt werden, sofern der Auftraggeber nachweist, dass der Widerspruch datenschutzrechtlich notwendig ist.
Beilage 1 – Technisch organisatorische Mass nahmen
Gemäss Art. 8 des DSG (respektive Art. 28 EU-DSGVO) werden im Rahmen der Auftragsbearbeitung dem Risiko angemessene technische und organisatorische Massnahmen (TOM) ergriffen, um Verletzungen der Datensicherheit zu vermeiden. Die Massnahmen orientieren sich an den vom Bundesrat erlassenen Mindestanforderungen an die Datensicherheit aus der Art. 1-3 der Datenschutzverordnung (DSV) vom 31. August 2022.
Die Daten werden ihrem Schutzbedarf entsprechend:
- nur Berechtigten zugänglich gemacht (Vertraulichkeit),
- sind verfügbar, wenn sie benötigt werden (Verfügbarkeit),
- sollen nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität),
- und müssen nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).
Für Personendaten, die auf für die Auftragsbearbeitung relevanten Systemen des Auftragnehmers gespeichert sind, werden folgende Massnahmen dokumentiert und technisch umgesetzt.
1. Zugriffskontrolle
Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit berechtigte Personen nur Zugriff auf diejenigen Personendaten erhalten, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle – DSV Art. 3, 1a).
Zugriffsrechte nach dem Need-to-know-Prinzip | Durch Zugriffsrechte wird sichergestellt, dass nur diejenigen Mitarbeiter Zugriff auf Personendaten haben, die diese zur Erfüllung ihrer auftragsspezifischen Aufgaben benötigen. Dies gilt sowohl für physische als auch für digitale Datenspeicher. |
Protokollierung der Zugriffe | Die Zugriffe auf die im Rahmen der Auftragsabwicklung genutzten Systeme werden protokolliert, sofern eine Protokollierungsfunktion im System besteht. |
Bildschirmsperre bei Inaktivität | Geräte zur Auftragsbearbeitung wie Notebooks und Computer sind mit einer automatischen Bildschirmsperre bei Inaktivität ausgestattet. |
Clean Desk / Clean Screen Policy | In den Räumlichkeiten des Auftraggebers wird eine Clean Desk Policy eingehalten. |
Test- und Produktivsystem | Neben dem Produktivsystem können Testsysteme zur Verfügung stehen, in denen Änderungen getestet werden können, bevor sie in das Produktivsystem übernommen werden. |
Separierte Datenbestände gemäss Trennungsprinzip | Werden Systeme für die gemeinsame Nutzung durch mehrere Kunden eingesetzt, so erfolgt dies mit getrennten logischen Datenbeständen und mandantenfähigen Systemen. |
Authentifizierung und Autorisierung | Die Client- und Serversysteme, die der Auftragnehmer zur Durchführung des Auftrags verwendet, sind durch Authentifizierungs- und Autorisierungssysteme geschützt. |
Multi-Faktor-Authentifizierung | Die Multi-Faktor-Authentifizierung für Administratoren und Mitarbeitende ist aktiviert, insbesondere auch für externe Zugriffe. |
2. Zugangskontrolle
Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit nur berechtigte Personen Zutritt zu den Räumlichkeiten und Einrichtungen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle – DSV Art. 3, 1b).
Physische Sicherheit | Der Zugang zu Räumen mit vertraulichen Daten, wie z.B. dem Serverraum, ist auf befugte Personen beschränkt. |
Netzzugangskontrolle | Der Zugang von firmenfremden Geräten zum Netzwerk ist gesperrt. |
Segmentierung der Netzwerke | Unternehmensfremde Geräte haben keinen Zugang zum Netzwerk. |
VPN-Technologie für externe Zugriffe | Externe Zugriffe auf andere Systeme erfolgen nach Möglichkeit über VPN-Verbindungen, die mit ausreichender Kryptographie gesichert sind. |
3. Benutzerkontrolle
Zur Sicherstellung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer durch geeignete Massnahmen zu verhindern, dass Unbefugte automatisierte Datenbearbeitungssysteme mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle – DSV Art. 3, 1c).
Personenbezogene Accounts | Soweit möglich werden personenbezogene Zugänge und Kennungen („Accounts“) vergeben. |
Geregelter Austrittsprozess | Ein geregelter Austrittsprozess ist in Kraft, der verhindert, dass Mitarbeitende nach dem Ausscheiden aus dem Unternehmen auf Daten zugreifen können. |
Passwortrichtlinie | Es gilt eine Passwortrichtlinie, die besagt, dass Passwörter ausreichend komplex und sicher sein müssen. |
PIN für Mobilgeräte | Mobile Geräte sind mit einem Passwort oder einer PIN geschützt. |
Verschlüsselung und Geheimhaltung der Authentifizierungsdaten | Der Auftragnehmer stellt sicher, dass Authentifizierungsdaten, insbesondere Passwörter und kryptografische Schlüssel, gegenüber Unbefugten streng geheim gehalten werden. |
Beschränkung der Administrationsrechte | Die Vergabe von Administratorrechten ist auf die unbedingt notwendigen Mitarbeiter des Auftragnehmers mit persönlichen Zugängen beschränkt. |
4. Datenträgerkontrolle
Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit Datenträger nicht unbefugt gelesen, kopiert, verändert, verschoben, gelöscht oder vernichtet werden können (Datenträgerkontrolle – DSV Art. 3, 2a).
Verschlüsselung von mobilen Datenträgern | Mobile Datenträger und Geräte werden mit ausreichend starker Kryptographie verschlüsselt. |
Fachgerechte Entsorgung der Datenträger | Datenträger werden fachgerecht entsorgt, wenn sie nicht mehr benötigt werden, das gilt für Geräte wie Computer, Notebooks, Smartphones, Tablets und Drucker usw. |
Fachgerechte Entsorgung von Papierunterlagen | Papierdokumente werden ordnungsgemäss entsorgt oder geschreddert. |
5. Speicherkontrolle
Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Auftraggeber und der Auftragnehmer geeignete Massnahmen treffen, um zu verhindern, dass unbefugte Personen Personendaten im Speicher ablegen, lesen, verändern, löschen oder vernichten können (Speicherkontrolle – DSV Art. 3, 2b).
Virenschutz | Jeder Computer und Server ist durch einen Virenschutz geschützt. |
Fernlöschmöglichkeiten | Es besteht die Möglichkeit, Daten auf mobilen Geräten per Fernzugriff zu löschen. Die Mitarbeiter sind angewiesen, den Verlust eines Gerätes unverzüglich zu melden. |
6. Transportkontrolle
Zur Sicherstellung der Verfügbarkeit und Integrität haben der Auftraggeber und der Auftragnehmer geeignete Massnahmen zu treffen, damit bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht unbefugt gelesen, kopiert, verändert, gelöscht oder vernichtet werden können (Transportkontrolle – DSV Art. 3, 2c).
Sicherer Datenaustausch extern | Es werden nur Links und keine Dateien via E-Mail versendet. Auf Anfrage können sensitive Daten wie Passwörter oder Dokumente unter Einsatz geeigneter Verschlüsselungstechnologien und nicht via unverschlüsselte E-Mail an Kunden, Mitarbeiter oder Lieferanten versendet werden. |
Sicherer Datenaustausch intern | Auf Anfrage: Anstatt ein E-Mail mit Anhang zu versenden, werden Daten intern über einen Link zugänglich gemacht, um zu vermeiden die Daten in unstrukturierten Postfächern zu verteilen. |
Einsatz von Verschlüsselung für mobile Datenträger | Informationen auf mobilen Datenträgern sind durch den Einsatz von Verschlüsselungstechnologien vor unberechtigten Auslesen geschützt. |
7. Wiederherstellung
Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer geeignete Massnahmen zu treffen, damit bei einem physischen oder technischen Zwischenfall die Verfügbarkeit der Personendaten und der Zugriff auf diese rasch wiederhergestellt werden können (Wiederherstellung – DSV Art. 3, 2d), alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Störungen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten durch Fehlfunktionen des Systems nicht beschädigt werden können (Datenintegrität – DSV Art. 3, 2e).
Redundante Systeme / Hochverfügbarkeit | Wichtige Serversysteme und Netzwerkkomponenten, die Personendaten enthalten, sind redundant ausgelegt, damit bei einem Ausfall der Zugriff schnellstmöglich wiederhergestellt werden kann. |
Backupkonzept | Ein Backup-Konzept ist implementiert. Es ist sichergestellt, dass wichtige Daten im Backup enthalten sind und Datenbanken konsistent gesichert werden. Ein Generationsprinzip mit einer angemessenen und definierten Aufbewahrungsfrist ist implementiert. Daten werden verschlüsselt übertragen und gespeichert. |
Überwachungssystem | Es ist ein zentrales Überwachungssystem im Einsatz, das kritische Komponenten der Infrastruktur überwacht und so ein proaktives Eingreifen bei Systemwarnungen ermöglicht. |
Rasche Wiederherstellbarkeit | Backups sind so angelegt, dass nicht nur Daten, sondern ganze Systeme schnell wiederhergestellt werden können. |
8. Systemsicherheit
Zur Gewährleistung der Verfügbarkeit und Integrität haben Auftraggeber und Auftragnehmer durch geeignete Massnahmen dafür zu sorgen, dass Betriebssysteme und Anwendungssoftware stets auf dem aktuellen Sicherheitsstand gehalten und bekannte kri- tische Schwachstellen geschlossen werden (Systemsicherheit – DSG Art. 3, 2f).
Wartung und Aktualisierung von Servern und Anwendungen | Server und Anwendungen werden regelmässig mit Updates versorgt. |
Aktualisierung von Clientgeräten | Es wird sichergestellt, dass Clientgeräte wie Computer, Notebooks und mobile Geräte regelmässig aktualisiert werden. |
Lifecycle der Hard- und Software | Die Lifecycles von Hard- und Software werden berücksichtigt und Systeme, die vom Hersteller nicht mehr mit Updates versorgt werden, werden rechtzeitig ersetzt. |
Systemhärtung | Beim Einsatz von Servern wird darauf geachtet, dass eine Firewall aktiv ist, nicht benötigte Dienste deaktiviert sind und Best Practices zur Härtung der Betriebssysteme angewendet werden. |
9. Eingabekontrolle
Zur Gewährleistung der Nachvollziehbarkeit müssen Auftraggeber und Auftragnehmer geeignete Massnahmen treffen, damit nachvollzogen werden kann, welche Personendaten zu welcher Zeit und von welcher Person in das automatisierte Datenverarbeitungssystem eingegeben oder verändert worden sind (Eingabekontrolle – DSG Art. 3, 3a).
Individuelle Benutzer- konten | Die Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten in den verwendeten Serversystemen wird durch die Verwendung individueller Benutzerkonten gewährleistet. |
Protokollierung der Zugriffe | Die Zugriffe auf die Systeme im Rahmen der Auftragsabwicklung werden überwacht und die Logs gespeichert, sofern dies möglich ist. |
10. Bekanntgabekontrolle
Zur Sicherstellung der Nachvollziehbarkeit haben der Auftraggeber und der Auftragnehmer geeignete Massnahmen zu treffen, damit überprüft werden kann, wem Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden (Bekanntgabekontrolle – DSG Art. 3, 3b).
Beschränkung externer Freigaben | Die externe Freigabe von Daten ist auf bestimmte Speicherorte beschränkt, um die Freigabe sensibler Daten zu verhindern. |
Protokollierung von externen Freigaben | Es ist sichergestellt, dass nachvollzogen werden kann, wem Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden. Die Berechtigungen werden protokolliert, sofern dies möglich ist. |
Mitarbeiterweisung für externe Freigaben | Die Mitarbeiter sind angewiesen, für schützenswerte Daten dem Risiko angemessene sichere Übertragungskanäle zu verwenden. |
11. Erkennung und Beseitigung
Um die Nachvollziehbarkeit zu gewährleisten, müssen der Auftraggeber und der Auftragnehmer geeignete Massnahmen treffen, damit Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung – DSG Art. 3, 3c).
Langzeitspeicherung von Ereignisprotokollen | Erweiterte Ereignisprotokolle in den Systemen sind aktiviert und werden langfristig gespeichert, um bei einem Datenschutzvorfall nachvollziehen zu können welche Daten aus dem System extrahiert oder verändert wurden. |
Automatisierte Auswertung von Ereignisprotokollen | Ereignisprotokolle werden automatisiert ausgewertet, um Unregelmässigkeiten in den Systemen frühzeitig zu erkennen. |
Beilage 2: Sub-Auftragsbearbeiter
Die Liste der genehmigten Sub-Auftragsbearbeiter ist nachstehend aufgeführt.
Die aktuelle Fassung der Beilage 2 zur Auftragsbearbeitungsvereinbarung findet sich jeweils auf der Webseite der Alpinum Accounting.
Es wird soweit möglich über die Länder der Datenbearbeitung informiert. Soweit möglich sind die Länder angegeben, in denen die Daten bearbeitet werden. Für weitere Informationen über die Datenbearbeitung durch die Unterauftragnehmer wird auf deren Datenschutzerklärung verwiesen, die über die Websites zugänglich sind.
Bearbeiter | Umfang und Zweck | Grundlage des Exports | Länder der Datenbearbeitung |
Microsoft Ireland Operations, Ltd., Attn: Data Privacy, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Hosting- und Cloud- Backup-Dienste | Data Processing Agreement / EU-SCC | Die Daten werden je nach Anwendung in der Schweiz oder in der EU gespeichert, der Zugriff kann aber auch aus anderen Ländern, insbesondere den USA, erfolgen. |
cyon GmbH, Brunngässlein 12, CH, 4052 Basel | Erbringung von Hosting- Dienstleistungen | Auftragsbearbeitungsvereinbarung gemäss AGB | Die Daten werden in der Schweiz, der EU und der USA bearbeitet. |
1Password, 4711 Yonge St, 10th Floor, Toronto, Ontario, M2N 6K8, Kanada | Speichern von Zugangsdaten im Passwortmanager | Auftragsbearbeitungsvereinbarung gemäss AGB | Die Daten werden in Deutschland, USA und Kanada verarbeitet. |
HubSpot Inc., 25 First Street, Cambridge, MA 02141, USA | Custumor Relationship Management System | Data Processing Agreement / EU-SCC | Die Daten werden primär in den USA verarbeitet. Je nach Anwendungen können Daten auch in die EU übertragen werden. |
PEAX AG, Pilatusstrasse 28, | Erbringen von Postumleitung und Post Scan services | Auftragsbearbeitungsvereinbarung | Services werden aus der Schweiz, aus Europa und aus Australien geliefert |
Kontera GmbH, Bleicherweg 3, 4802 Strengelbach, Schweiz | Automatisiertes Auslesen und Verbuchen von Belegen, Kreditkartenabrechnung en und Spesenquittungen. | Auftragsbearbeitungsvereinbarung | Die Daten werden primär auf einem Schweiz Servern verarbeitet. Je nach Anwendung können Daten auch in die EU und die USA übertragen und verarbeitet werden. |