AVV

Auftragsdatenverarbeitungsvereinbarung

Parteien

Partei A:
Die Organisation, welche Pocketm8 nutzt
(nachfolgend Lokalpartner genannt)

Partei B:
Sozial.digital AG, Neuwiesenstrasse 29, 8400 Winterthur
(nachfolgend Sozial.digital genannt)

1. Gegenstand

  1. Diese Vereinbarung regelt die Rechte und Pflichten der Verantwortlichen (in Folge auch „Parteien“ genannt) bei der gemeinsamen Verarbeitung personenbezogener Daten. Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, bei denen Beschäftigte der Parteien oder durch sie beauftragte Auftragsverarbeiter personenbezogene Daten für die Verantwortlichen verarbeiten. Die Parteien haben die Mittel und Zwecke der nachfolgend näher beschriebenen Verarbeitungstätigkeiten gemeinsam festgelegt.
  2. In Pocketm8 werden personenbezogene Daten verarbeitet. Die Verarbeitung dieser Daten erfolgt im Rechenzentrum eines durch Sozial.digital beauftragen Subunternehmens in der Schweiz.
  3. Für die übrigen Prozessabschnitte, bei denen Pocketm8 nicht verwendet wird, ist jede Vertragspartei eigenständiger Verantwortlicher im Sinne des Art. 5 lit. j Schweizer Bundesgesetz über den Datenschutz (nachfolgend CH-DSG genannt).

Soweit die Vertragsparteien datenschutzrechtliche gemeinsam Verantwortliche sind, gelten die folgenden Vereinbarungen.

2. Verantwortlichkeit

  1. Im Rahmen der gemeinsamen Verantwortlichkeit ist der Lokalpartner für die Verarbeitung der personenbezogenen Daten innerhalb von Pocketm8 zuständig. Gegenstand der Verarbeitung, deren Rechtsgrundlage eine Einwilligung der betroffenen Person ist, sind die Datenarten/-kategorien je nach Anwendungszweck Identifikationsdaten, Kontaktdaten, Geburtsdaten, Gesundheitsdaten oder Sozialrechtsdaten.
  2. Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmässigkeit der durch sie auch im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen. Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Massnahmen, damit die Rechte der betroffenen Personen, insbesondere nach Art. 25 bis 29 CH-DSG, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind.

3. Datenminderungspflicht

  1. Die Parteien speichern die personenbezogenen Daten in einem strukturierten gängigen und maschinenlesbaren Format.
  2. Die Parteien beachten beide den Grundsatz der Datenminimierung im Sinne Art. 7 Abs. 3 des CH-DSG. Der Lokalpartner trägt insbesondere dafür Sorge, dass nur personenbezogene Daten erhoben werden, die für die rechtmässige Prozessabwicklung zwingend erforderlich sind und für die die Zwecke und Mittel der Verarbeitung durch das Recht vorgegeben sind.

4. Auskunftspflicht

  1. Die Parteien sind sich einig, dass der Lokalpartner die Informationen zur Verarbeitung personenbezogener Daten bereitstellt.
  2. Der Lokalpartner verpflichtet sich, der Auskunftspflicht nachzukommen und der betroffenen Person die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen
  3. Entsprechende Anfragen werden an den Lokalpartner gestellt und bearbeitet.
  4. Soweit sich eine betroffene Person an Sozial.digital in Wahrnehmung ihrer Betroffenenrechte wendet, insbesondere wegen Auskunft oder Berichtigung und Löschung ihrer personenbezogenen Daten, verpflichtet sich Sozial.digital, dieses Ersuchen unverzüglich an den Lokalpartner weiterzuleiten. Diese ist verpflichtet Sozial.digital die zur Auskunftserteilung notwendigen Informationen unverzüglich zur Verfügung zu stellen.
  5. Sollen personenbezogene Daten gelöscht werden, informieren sich die Parteien zuvor gegenseitig. Die jeweils andere Partei kann der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft.

5. Datenschutzfehler oder Unregelmässigkeiten

Die Parteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten und/oder der Auftragsergebnisse Fehler oder Unregelmässigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.

6. Meldepflichten

Beiden Parteien obliegen die aus Art. 24 CH-DSG resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Wirkbereich. Die Parteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und leiten sich die zur Durchführung der Meldung erforderlichen Informationen jeweils unverzüglich zu.

7. Interne Prozesse

  1. Die Parteien stellen innerhalb ihres Wirkbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäss Art. 7 und 9 CH-DSG für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und dass diese vor Aufnahme ihrer Tätigkeit entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.
  2. Die Parteien haben eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen (Art. 7 CH-DSG) zu treffen. Dies gilt insbesondere im Falle der Beendigung der Zusammenarbeit.
  3. Die Implementierung, Voreinstellung und der Betrieb der Systeme sind unter Beachtung der Vorgaben des CH-DSG und anderer Regelungswerke, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Massnahmen durchzuführen.
  4. Die im Zuge der Abwicklung der Leistungen in Pocketm8 zu verarbeitenden personenbezogenen Daten werden auf besonders geschützten Servern gespeichert.

8. Datenstandort

Die Metanet AG ist in diesem Rahmen Auftragsverarbeiter von Sozial.digital. Sozial.digital verpflichtet sich, einen Vertrag im Hinblick auf die Verarbeitung der von ihm zu verantwortenden personenbezogenen Daten abzuschliessen.  Die Speicherung der Daten erfolgt ausschliesslich in der Schweiz.

9. Auftragsverarbeiter

  1. Die Parteien verpflichten sich, beim Einsatz von Auftragsverarbeitern im Anwendungsbereich dieser Vereinbarung (siehe § 1) einen Vertrag nach Art. 9 CH-DSG abzuschliessen und die schriftliche Zustimmung der anderen Vertragspartei vor Abschluss des Vertrages einzuholen.
  2. Die Parteien informieren sich gegenseitig rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von als Subunternehmer eingesetzten Auftragsverarbeitern und beauftragen nur solche Subunternehmer, die die Anforderungen des Datenschutzrechts und die Festlegungen dieses Vertrages erfüllen. Nicht als Leistungen von Subunternehmern im Sinne dieser Regelung gelten Dienstleistungen, die die Vertragsparteien bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nehmen, beispielsweise Telekommunikations-Dienstleistungen und Wartungen. Die Parteien sind jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der personenbezogenen Daten auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmassnahmen zu ergreifen.

10. Verarbeitungsverzeichnis

Die Parteien nehmen die Verarbeitungstätigkeiten in das Verarbeitungsverzeichnis Art. 12 CH-DSG auf.

11. Einschränkungen

Unbeschadet der Regelungen dieses Vertrages haften die Parteien für den Schaden, der durch eine nicht dem CH-DSG entsprechende Verarbeitung verursacht wird, im Aussenverhältnis gemeinsam gegenüber den betroffenen Personen.

Im Innenverhältnis haften die Parteien, unbeschadet der Regelungen dieses Vertrages, nur für Schäden, die innerhalb ihres jeweiligen Wirkbereiches entstanden sind.

Anhang A:

Technische & organisatorische Massnahmen bei Sozial.digital

1.0 Vertraulichkeit

1.1 Zutrittskontrolle

Die Mitarbeiter:innen bei Sozial.digital arbeiten in eigenen Räumlichkeiten bzw. Home-Office. Sie tragen die Verantwortung für die Sicherheit. Minimalanforderungen sind:

  • Manuelles Schliesssystem (Eingang, Diensträume)
  • Abschliessbare Diensträume
  • Schlüsselregelung / Liste
  • Sorgfalt bei Auswahl Reinigungsdienste

1.2 Zugangskontrolle

Technische MassnahmenOrganisatorische Massnahmen
Login mit Benutzername + Passwort Anti-Viren-Software ServerAnti-Viren-Software Clients Firewall Verschlüsselung von Datenträgern Automatische Desktopsperre Verschlüsselung von Notebooks / Tablets Automatische SicherheitsaktualisierungenVerwalten von Benutzerberechtigungen Erstellen von Benutzerprofilen Richtlinie „Sicheres Passwort“ Richtlinie „Löschen / Vernichten“ Allg. Richtlinie Datenschutz und / oder Sicherheit

1.3 Zugriffskontrolle

Technische MassnahmenOrganisatorische Massnahmen
Benutzerrechte mit Zugang auf Programme/ Daten nur im jeweiligen AufgabenbereichProtokollierung von Zugriffen auf Anwendungen bei Eingabe, Änderung und Löschung von DatenBerechtigungskonzepte Minimale Anzahl an Administratoren Benutzerrechte werden durch Administratoren verwaltet

1.4 Trennungskontrolle

Technische MassnahmenOrganisatorische Massnahmen
Trennung von Produktiv- und Testumgebung Physikalische Trennung (Systeme / Datenbanken / Datenträger)Steuerung über Berechtigungskonzept Festlegung von Datenbankrechten

1.5 Pseudonymisierung

Technische MassnahmenOrganisatorische Massnahmen
Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System (mögl. verschlüsselt).Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren.

2.0 Integrität

2.1 Weitergabekontrolle

Technische MassnahmenOrganisatorische Massnahmen
Protokollierung der Zugriffe und Abrufe Bereitstellung über verschlüsselte Verbindungen wie sftp, https Nutzung von SignaturverfahrenDokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen Übersicht regelmässiger Abruf- und Übermittlungsvorgängen Weitergabe in anonymisierter oder pseudonymisierter Form

2.1 Eingangskontrolle

Technische MassnahmenOrganisatorische Massnahmen
Technische Protokollierung der Eingabe, Änderung und Löschung von DatenNachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten Basis eines Berechtigungskonzepts Klare Zuständigkeiten für Löschungen

3.0 Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Sozial.digital verwendet ausschliesslich Serverinfrastruktur geteilt mit Jugendarbeit.digital und verwaltet vom Subunternehmen Metanet AG. Metanet AG ist für die Sicherheit zuständig im Rahmen einer Vereinbarung für einen «Managed Server». Die Server-Infrastruktur von Metanet AG ist ISO 27001 / ISO 9001 zertifiziert. Weitere Informationen über Datenschutz sowie technischen und organisatorischen Massnahmen bei Metanet AG sind hier zu finden: https://www.metanet.ch/about_metanet/rechtliches

Technische MassnahmenOrganisatorische Massnahmen
Feuer- und RauchmeldeanlagenFeuerlöscher im Serverraum Serverraumüberwachung Temperatur und Feuchtigkeit Serverraum klimatisiert USV Schutzsteckdosenleisten ServerraumRAID System / Festplattenspiegelung Alarmmeldung bei unberechtigtem Zutritt zu Serverraum ÜberspannungsschutzBackup & Recovery-Konzept (ausformuliert).Kontrolle des Sicherungsvorgangs Keine sanitären Anschlüsse im oder oberhalb des Serverraums Existenz eines Notfallplans (z.B. BSI IT-Grundschutz 100-4) Getrennte Partitionen für Betriebssysteme und Daten Virenschutzkonzept

4.0 Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

4.1 Datenschutz-Massnahmen

Technische MassnahmenOrganisatorische Massnahmen
Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet …) Anderweitiges dokumentiertes Sicherheitskonzept Eine Überprüfung der Wirksamkeit der technischen Schutzmassnahmen wird mind. jährlich durchgeführtDatenschutzbeauftragter vorhanden (Rafael Freuler)Mitarbeiter geschult und auf
Vertraulichkeit / Datengeheimnis verpflichtet Regelmässige Sensibilisierung / Schulung der Mitarbeiter mindestens jährlich Die Datenschutz-Folgenabschätzung (DSFA wird bei Bedarf durchgeführt)  Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

4.2 Incident-Response-Management

Technische MassnahmenOrganisatorische Massnahmen
Einsatz von Firewall und regelmässige Aktualisierung Einsatz von Spamfilter und regelmässige Aktualisierung Einsatz von Virenscanner und regelmässige Aktualisierung Intrusion Detection System (IDS) Intrusion Prevention System (IPS)  Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde) Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen

4.3 Datenschutzfreundliche Voreinstellungen

Technische MassnahmenOrganisatorische Massnahmen
Es werden nicht mehr
personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Massnahmen		Persönliche Verifikation per Telefon bei Löschungsanfragen

4.4 Auftragskontrolle (Outsourcing an Dritte)

Technische Massnahmen
Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmassnahmen und deren Dokumentation Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit) Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln Schriftliche Weisungen an den Auftragnehmer  Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer Regelung zum Einsatz weiterer Subunternehmer Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus

Anhang B

Liste der zu Auftragsbeginn genehmigten Subunternehmen

METANET AG, Josefstrasse 218, CH-8005 Zürich, Schweiz
Auftragsverarbeitung zur Speicherung und Verarbeitung der Daten auf Servern in der Schweiz gemäss den hier aufgeführten Richtlinien: https://www.metanet.ch/de/ueber-metanet/rechtliches

Jugendarbeit.digital, Vogesenplatz 1, 4056 Basel, Schweiz: Entwicklungsaufträge und Server-Management

Cyberlink AG, Bellerivestrasse 241, 8008 Zürich, Schweiz:
Speicherung nicht-sensibler Daten