Auftragsverarbeitungsvereinbarung

Version; April 2023.
Jederzeitige Änderungen vorbehalten.

Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend «AVV») konkretisiert die Verpflichtungen betreffend Datenschutz, welche sich aus dem Vertragsverhältnis zwischen der ASMIQ I/O AG (nachfolgend «Provider») und ihren Kundinnen und Kunden (nachfolgend «Auftraggeber») ergeben. Grundlage für das Vertragsverhältnis der Parteien bilden die Allgemeinen Geschäftsbedingungen (nachfolgend «AGB») und die Datenschutzerklärung (nachfolgend «DSE») und diese sind somit integrierender Bestandteil des AVV. Der AVV findet Anwendung auf alle Tätigkeiten, die sich aus dem Vertragsverhältnis der Parteien ergeben und bei denen Mitarbeitende des Providers oder durch den Provider beauftrage Dritte personenbezogene Daten (nachfolgend «Daten») des Auftraggebers verarbeiten. Für sämtliche anfallende Datenschutzfragen kann der Auftraggeber den Datenschutzbeauftragen des Providers über datenschutz@asmiq.io erreichen.

  1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
    1.1. Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung ergeben sich grundsätzlich aus den AGB, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen ergeben.
    1.2. Im Anhang A zum AVV werden Gegenstand, Art und Zweck der Auftragsverarbeitung spezifiziert.
  2. Anwendungsbereich und Verantwortlichkeit
    2.1. Der Provider verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die in den AGB, der DSE, im Anhang A des AVV und in der aktuellen Leistungsbeschreibung auf der Website des Providers konkretisiert sind.
    2.2. Der Auftraggeber ist im Rahmen des Vertragsverhältnisses für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an den Provider sowie für die Rechtmässigkeit der Datenverarbeitung allein verantwortlich.
  3. Pflichten des Providers
    3.1. Der Provider verarbeitet Daten von betroffenen Personen nur im Rahmen des Vertragsverhältnisses gemäss den AGB, der DSE und dem vorliegenden AVV; ausser es liegt ein gesetzlich geregelter Ausnahmefall vor.
    3.2. Der Provider gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so aus, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft technische und organisatorische Massnahmen zum angemessenen Schutz der Daten des Auftraggebers, die den jeweiligen gesetzlichen Anforderungen genügen. Insbesondere stellen diese die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicher. Dem Auftraggeber sind diese technischen und organisatorischen Massnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
    3.3. Die vom Provider getroffenen Massnahmen werden in Anhang B präzisiert. Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Provider gestattet, alternative adäquate Massnahmen jederzeit umzusetzen. Dabei darf das mit diesem AVV vertraglich vereinbarte Sicherheitsniveau nicht unterschritten werden.
    3.4. Der Provider unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der datenschutzrechtlichen Anfragen und Ansprüche betroffener Personen sowie bei der Einhaltung der datenschutzrechtlichen Pflichten. Der Provider ist gemäss AGB berechtigt, hierfür eine Aufwandsentschädigung zu verlangen.
    3.5. Die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitenden sowie weitere für den Provider tätige Dritte verarbeiten die Daten ausschliesslich im Rahmen des Vertragsverhältnisses gemäss den AGB, der DSE und dem vorliegenden AVV und sind zur Geheimhaltung verpflichtet.
    3.6. Sofern dem Provider Verletzung des Schutzes personenbezogener Daten bekannt werden, trifft er die zumutbaren Massnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen. Ausserdem hält der Provider die geltenden gesetzlichen Bestimmungen betreffend Meldung von Verletzungen des Datenschutzes vollumfänglich ein.
    3.7. Der Provider hält die geltenden datenschutzrechtlichen Bestimmungen vollumfänglich ein und überprüft die Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung regelmässig.
    3.8. Der Provider bearbeitet und speichert personenbezogene Daten, solange das Vertragsverhältnis zwischen dem Provider und dem Auftraggeber besteht. Der Provider berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Davon ausgenommen sind Daten, welche für die Weiterbearbeitung aufgrund gesetzlicher Vorschriften oder für zwingende interne Zwecke erforderlich sind. Die Herausgabe der Daten und die entsprechende Vergütung ist in den AGB geregelt.
  4. Pflichten des Auftraggebers
    4.1. Der Auftraggeber hat den Provider unverzüglich und vollständig schriftlich oder über das webbasierte Help-Center (Ticket-System) zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmässigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
    4.2. Der Auftraggeber nennt dem Provider den Ansprechpartner für im Rahmen des Vertragsverhältnisses anfallende Datenschutzfragen, sofern dieser von der genannten Ansprechperson abweicht.
    4.3. Der Kunde erklärt, dass er die alleinige Verantwortung trägt für die Information der von der Datenverarbeitung betroffenen Personen betreffend der möglichen Datenspeicherung, -nutzung,
    -bearbeitung und -weitergabe durch den Provider gemäss den Bestimmungen in den AGB, der DSE und diesem AVV. Sollten einzelne betroffene Personen mit der vorgesehenen Datenbearbeitung nicht einverstanden sein, ist der Auftraggeber verantwortlich die Löschung der jeweiligen Daten über das webbasierte Help-Center (Ticket-System) zu beantragen.
    4.4. Mit Akzeptierung der AGB sowie der DSE erklärt der Auftraggeber ausdrücklich sein Einverständnis zur Weitergabe seiner Daten an die Muttergesellschaft des Providers sowie verbundene Gesellschaften. Der Auftraggeber befreit den Provider von jeglichen möglichen Ansprüchen. Die Einholung des Einverständnisses der betroffenen Personen ist Sache des Auftraggebers.
  5. Anfragen betroffener Personen
    5.1. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Provider, wird der Provider die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Provider leitet den Antrag der betroffenen Person innert angemessener Frist an den Auftraggeber weiter. Der Provider kann den Auftraggeber bei datenschutzrechtlichen Ansprüchen einer betroffenen Person im Rahmen seiner Möglichkeiten unterstützen. Der Provider ist in diesem Fall berechtigt, eine Aufwandsentschädigung zu verlangen. Der Provider haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
  6. Nachweismöglichkeiten
    6.1. Der Provider weist dem Auftraggeber die Einhaltung der in dieser Anlage niedergelegten Pflichten mit geeigneten Mitteln nach. Dies erfolgt durch einen Selbstaudit und/oder ISO-Zertifizierung.
    6.2. Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein (z.B. aufgrund Unterstellung DSGVO), werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Provider darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Massnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Provider stehen, kann der Provider diesen ablehnen und eine neutrale Person vorschlagen. Allfällige mit der Prüfung verbundene Kosten kann der Provider dem Auftraggeber in Rechnung stellen, insbesondere wenn keine Unregelmässigkeiten festgestellt werden konnten.
    6.3. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Ziffer 6.2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoss nach dem Strafgesetzbuch strafbewehrt ist.
  7. Subunternehmer (weitere Auftragsverarbeiter)
    7.1. Der Provider kann zur Erfüllung der vertraglichen Leistung Subunternehmer beiziehen. Die Beauftragung von Subunternehmern als Auftragsverarbeiter durch den Provider ist zulässig, soweit diese im Umfang des Unterauftrags ihrerseits die Anforderungen des vorliegenden AVV erfüllen. Der Provider trifft mit den Subunternehmern im erforderlichen Umfang Vereinbarungen, um angemessene Datenschutz- und Informationssicherheitsmassnahmen zu gewährleisten. Subunternehmer, welche keinen Zugriff auf Kundendaten haben bzw. keine Verarbeitung von personenbezogenen Daten als Auftragsverarbeiter vornehmen, sind von diesem Kapitel ausgenommen.
  8. Informationspflichten
    8.1. Sollten die Daten des Auftraggebers beim Provider durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Massnahmen Dritter gefährdet werden, so hat der Provider den Auftraggeber unverzüglich darüber zu informieren. Der Provider wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschliesslich beim Auftraggeber liegen.
  9. Haftung
    9.1. Die Haftung richtet sich nach den entsprechenden Bestimmungen in den AGB.
  10. Sonstiges
    10.1. Im Übrigen gelten die Bestimmungen in den AGB und DSE. Bei etwaigen Widersprüchen zwischen dem AVV und den AGB gehen die Bestimmungen in den AGB vor. Sollten einzelne Teile des AVV unwirksam sein, so berührt dies die Wirksamkeit der AGB und der übrigen Bestimmungen des AVV nicht. Anhang A und B sind wesentlicher Bestandteil des AVV.

ASMIQ I/O AG
Baslerstrasse 60
8048 Zürich

Anhang A Gegenstand, Art und Zweck
Anhang B Technische und organisatorische Massnahmen (TOM)

  1. Anhang A – Gegenstand, Art und Zweck
Gegenstand des Auftrags:Verarbeitung von personenbezogenen Daten des Auftraggebers im Rahmen seiner Nutzung der Leistungen des Providers als Software as a Service.
Art und Zweck der vorgesehenen Verarbeitung von Daten:Die vom Auftraggeber verarbeiteten personenbezogenen Daten werden an den Provider im Rahmen der Software as a Service Leistungen übertragen. Der Provider verarbeitet diese Daten ausschliesslich gemäss den AGB und dem entsprechenden Leistungsbeschrieb auf der Website des Providers (Auftragsverwaltung, Kontaktverwaltung (CRM), Buchhaltung, E-Banking, Lohnbuchhaltung, Lagerverwaltung, Projektverwaltung, etc.).
Art der personen-bezogenen Daten:Die Datenarten hängen von den durch den Auftraggeber übermittelten Daten ab. Diese sind insbesondere (abhängig vom Auftrag):
●      Personenstammdaten (Name, Geburtsdatum, Anschrift, Arbeitgeber) einschliesslich Kontaktdaten (z.B. Telefon, E-Mail)
●      Vertragsdaten, einschliesslich Abrechnung und Zahlungsdaten
●      Historie der Vertragsdaten
Kategorien betroffener Personen:Die Kategorien der betroffenen Personen hängen von den durch den Auftraggeber übermittelten Daten ab. Diese sind insbesondere (abhängig vom Auftrag):
●      Mitarbeiter (einschliesslich Bewerber und ehemaligen Mitarbeitern) des Auftraggebers
●      Kunden des Auftraggebers
●      Interessenten des Auftraggebers
●      Dienstleister des Auftraggebers
●      Kontaktdaten zu Ansprechpartnern
Löschung, Sperrung und Berichtigung von Daten:Anfragen zur Löschung, Sperrung und Berichtigung sind an den Auftraggeber zu richten; im Übrigen gelten die Regelungen in den AGB, in der DSE und dem vorliegenden AVV.


Anhang B – Technische und organisatorische Massnahmen (TOM)

  1. Vertraulichkeit
    1.1. Zutrittskontrolle
    1.1.1. Physische Massnahmen
    – Bauplanung gemäss SIA-Norm

1.1.2. Technische Massnahmen
– Einbruchmeldeanlage (wo angebracht)
– Brandmeldeanlage
– Punktuelle Videoüberwachung
– (Elektronisches) Zutrittskontrollsystem

1.1.3. Organisatorische Massnahmen
– Empfang
– Protokollierung der Besucher
– Sorgfalt bei Auswahl des Personals

1.2. Zugangskontrolle
1.2.1. Technische Massnahmen
– Einsatz von Firewalls
– Anti-Malware-Software
– Login mittels Benutzer-ID und Passwort
– Remote-Zugriffe mittels VPN und/oder MFA (Hardware-Token, App oder SMS (mTAN))
– Erzwungene Passwortänderung gemäss IT-Vorgaben
– Printer mit Authentication Funktion (wo sinnvoll)

1.2.2. Organisatorische Massnahmen
– Vorgabe Passwortwahl

1.3. Zugriffskontrolle/ Eingabekontrolle
1.3.1. Technische Massnahmen
– Zuordnung jedes Accounts zu einer eindeutigen Identität
– Physische Vernichtung von Datenträgern
– Nicht reversible Löschung von Datenträgern

1.3.2. Organisatorische Massnahmen
– Vorgabe Clean Desk Policy (wo angebracht)
– Vorgabe für Akten- und Datenträgervernichtung (wo angebracht)

1.4. Trennungskontrolle
1.4.1. Technische Massnahmen
– Einsatz von Firewalls
– Trennung von Produktions- Integrations- und Testumgebung
– Logische Trennung der Mandanten (Mandantenfähigkeit)

1.4.2. Organisatorische Massnahmen
– Berechtigungskonzepte (User/ Administratoren/ Super User)

  1. Integrität
    2.1. Weitergabekontrolle
    2.1.1. Technische Massnahmen
  • Einsatz von VPN
  • Sicherer Datentransport (SSL/TLS, SFTP (FTP over SSH))
  • WLAN-Authentifizierung

2.1.2. Organisatorische Massnahmen

  • Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen (Web Transfer «rumplet»)
  • Sorgfalt bei Auswahl von Personal und Fahrzeugen
  • Vorgabe Remote-Zugriffe/ Fernwartung
  1. Verfügbarkeit (und Belastbarkeit)
    3.1. Verfügbarkeitskontrolle
    3.1.1. Technische Massnahmen
  • Redundante Rechenzentren
  • USV-Anlage/ Diesel-Aggregat
  • Regelmässige full- und incremental Backups
  • Offline-Backups (örtlich getrennte Datenaufbewahrung)
  • Regelmässige Recovery-Tests
  • Regelmässige Security-Checks auf Infrastruktur- und Applikationsebene
  • Gebäudeautomation: Überwachung der Serverräume (Temperatur, Feuchtigkeit, Rauch)
  • Schutz vor Überspannung
  • Alarmgesicherter Serverraum (Alarm bei unberechtigtem Zutritt/ geöffneter Türe)

3.1.2. Organisatorische Massnahmen

  • Sicherheitsprozess für Software- und IT-Anwendungen
  • Umfassendes Backup- und Recovery-Prozess (online/ offline; on-site/ off-site)
  • Notfallplan (technisch, organisatorisch)
  • Standardprozesse bei Wechsel/ Ausscheiden von Mitarbeitenden
  1. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung
    4.1. Datenschutz-Management
    Im Rahmen der Leistungserbringung gegenüber ihren Kunden ist der ASMIQ der verantwortungsvolle und rechtskonforme Umgang mit Personendaten ein grosses Anliegen. Die ASMIQ stellt dabei sicher, dass die Daten mit grosser Sorgfalt und gemäss den einschlägigen gesetzlichen Bestimmungen des Datenschutzrechts behandelt werden.

4.1.1. Technische Massnahmen

  • Dokumentation zum Datenschutz für Mitarbeiter (Intranet)
  • Periodische Überprüfung der Wirksamkeit der technischen Schutzmassnahmen
  • Datenschutz Management mit unterstützenden Tool-Lösungen (Schnittstellenverwaltung, Bearbeitungsverzeichnisse etc.)

4.1.2. Organisatorische Massnahmen

  • Benennung Datenschutzbeauftragte Person(en)
  • Verpflichtung der MA zur Geheimhaltung
  • Gewährleistung der Informationspflichten
  • Prozess zur Bearbeitung von Auskunftsanfragen sowie weiteren Rechten von Betroffenen

4.2. Incident-Response-Management
4.2.1. Technische Massnahmen Voraussetzung:

  • Incident Response Toolkit
  • Anti-Phishing-Services
  • DDoS-Protection

4.2.2. Organisatorische Massnahmen

  • Meldeprozess für Datenschutzverletzungen
  • Einbindung von Datenschutzbeauftragten in Sicherheitsvorfälle und Datenpannen
  • Einbindung von Informationssicherheitsbeauftragten in Sicherheitsvorfälle und Datenpannen
  • Definierte Rolle von Operations im Krisenmanagement

4.3. Privacy- und Security by Design
4.3.1. Technische Massnahmen

  • Anwendung unterschiedlicher Security-Tools im Rahmen der Softwareentwicklung
  • Security Health-Checks für eigenentwickelte Software

4.3.2. Organisatorische Massnahmen

  • Empfehlungen von technischen Massnahmen für sichere Software-Entwicklung
  • Einsatz von Security Champions (Security-affine Mitarbeitende mit vertieftem Wissen zu Informationssicherheit und/oder Datenschutz)
  • Möglichkeit zu Weiterbildungen in der Softwareentwicklung
  1. Supplier Security Management Programm
    Die ASMIQ legt sehr grossen Wert auf die sichere und partnerschaftliche Zusammenarbeit mit ihren Leistungserbringerinnen weil die ASMIQ einen Beitrag zu Digital Trust leisten und das Vertrauen der Kundinnen und Kunden in ihre Produkte stärken will. Den vertrauensvollen und persönlichen Kontakt zu höchst- und hochkritischen Leistungserbringerinnen sieht die ASMIQ als Schlüssel für eine sichere, belastbare Zusammenarbeit in einem zunehmend risikobelasteten digitalen Ökosystem. Berichte, Einschätzungen und fachlichen Austausch mit Leistungserbringerinnen sieht die ASMIQ als Mehrwert zugunsten ihrer Leistungserbringerinnen. Dieser trägt nach dem Dafürhalten der ASMIQ zur Optimierung der digitalen Sicherheit im Interesse aller Kundinnen und Kunden bei.
  2. Softwareentwicklung
    Die ASMIQ orientiert sich in der Softwareentwicklung an internationalen best practices und hat für jedes Projekt ein Mindest-Security-Setup etabliert. Risikobasiert werden in Abhängigkeit der Kritikalität betriebener Services oder Produkte weitere, umfassende Sicherheitstests durchgeführt.

Die ASMIQ setzt folgende Methoden zur sicheren Softwareentwicklung ein:

  • Secure Code Review mit dem Ziel der Identifizierung von Fehlern, Defekten und Inkompatibilitäten zu Anforderungen oder Sicherheitsschwachstellen sowie der Verbesserung des Wissensmanagements.
  • Static Application Security Testing (SAST) für die Prüfung des Quellcodes, der Binärdateien und des Bytecodes mit Abdeckung der meisten Programmiersprachen (White-Box-Tool)
  • Dynamic Application Security Testing Tool (DAST) zur Erkennung der Bedingungen, welche auf Sicherheitslücken einer laufenden Anwendung hinweisen mit vertiefter Prüfung auf Eingabe- und Ausgabeschwachstellen (Black-Box-Tool)
  • Interaktives Tool zum Testen der Anwendungssicherheit (IAST) als Agent zur Prüfung des Datenflusses für den Zugriff auf statischen Code
  • Software Composition Analysis (SCA) zur Analyse der Softwarezusammensetzung von Open Source Software inkl. transitiven Abhängigkeiten und zur Verwaltung der Lizenzen (FOSS)

Die ASMIQ setzt im Rahmen der Softwareentwicklung unter anderem folgende Tools ein:

  • Git/ Bitbucket (Code Review)
  • Sonar (SAST)
  • Fortify (SAST)
  • Seeker (IAST)
  • XRay (SCA)