Auftragsbearbeitung
Präambel
Faigle AG, Thurgauerstrasse 76, CH-8050 Zürich (nachfolgend als „Auftragsbearbeiter“ bezeichnet) und der Kunde (nachfolgend als „Verantwortlicher“bezeichnet) haben bereits einen Vertrag für Digitalisierung von Geschäftsprozessen, Managed Print Solutions (MPS) und/oder Business Process Outsourcing (BPO) geschlossen (nachfolgend als „Hauptvertrag“ bezeichnet). Mit diesem Auftrabsbearbeitungsvertrag (nachfolgend als „ABV“ bezeichnet) möchten die Parteien die Auftragsbearbeitung der gemäss Hauptvertrag zu bearbeitenden Personendaten regeln. Dieser ABV gilt als Anhang zum Hauptvertrag.
Demnach vereinbaren die Parteien was folgt:
1 Gegenstand des Vertrags
1.1 Dieser ABV regelt ergänzend zum Hauptvertrag zwischen dem Auftragsbearbeiter und dem Verantwortlichen die Verarbeitung von Personendaten, die der Verantwortlicher durch den Auftragsbearbeiter bearbeiten lässt. Der Zweck der Datenbearbeitung ergibt sich aus dem Hauptvertrag bzw. aus Anlage 1. Die Liste der betroffenen Personengruppen und Datentypen sind in Anlage 1 zu diesem ABV enthalten.
1.2 Für diesen ABV gelten die Bestimmungen des Schweizerischen Datenschutzgesetzes (DSG) und, soweit die Verarbeitung in den Geltungsbereich der Europäischen Datenschutzgrundverordnung (DSGVO) fällt, die Bestimmungen der DSGVO.
1.3 Dieser ABV regelt insbesondere die Datenschutzmassnahmen im Sinne von Art. 9 DSG und Art. 28 DSGVO und die Rechte und Pflichten des Verantwortlichen und des Auftragsbearbeiters zur Erfüllung der Anforderungen des DSG und der DSGVO.
2 Rechte und Pflichten des Verantwortlichen
2.1 Der Verantwortlicher ist für die Vorgaben zur Auftragsbearbeitung von Personendaten im Rahmen dieses Vertrages verantwortlich. Bei der Erhebung, Nutzung und weitereren Bearbeitung der Personendaten ist er für die Prüfung der Zulässigkeit und die Einhaltung der geltenden Datenschutzbestimmungen sowie für die Wahrung der Rechte der Betroffenen verantwortlich.
2.2 Der Verantwortlicher hat das Recht, im Rahmen des Hauptvertrages Anweisungen über Art, Umfang und Verfahren der Datenbearbeitung zu erteilen. Seine Kontrollrechte richten sich nach Ziff. 7 dieses Vertrags.
2.3 Änderungen der bearbeiteten Datentypen und Verfahrensänderungen sind gemeinsam zu vereinbaren und zu dokumentieren.
2.4 Anweisungen können vom Verantwortlichen allgemein oder im Einzelfall erteilt werden. Sie müssen schriftlich erfolgen. Einzelne Anweisungen können auch mündlich erteilt werden, müssen aber durch den Verantwortlichen unverzüglich schriftlich bestätigt werden. Der Verantwortlicher benennt dem Auftragsbearbeiter jene Personen, die Anweisungen zu erteilen befugt sind.
3 Pflichten des Auftragsbearbeiters
3.1 Der Auftragsbearbeiter handelt ausschliesslich im Rahmen der getroffenen Vereinbarungen und nach den Anweisungen des Verantwortlichen. Eine Verwendung der bearbeiteten Personendaten für andere Zwecke, auch für eigene Zwecke des Auftragsbearbeiters, ist nicht gestattet.
3.2 Der Auftragsbearbeiter versichert, dass er die Vorgaben Art. 9 DSG bzw. Art. 28 DSGVO (Auftragsbearbeitung) erfüllt und prüft und dokumentiert die Erfüllung seiner gesetzlichen Pflichten durch regelmässige interne Kontrollen.
3.3 Die Datenbearbeitung erfolgt nur auf dem Gebiet der Schweiz, im Europäischen Wirtschaftsraum (EWR) und in Grossbritannien (UK). Eine Datenbearbeitung in anderen Ländern (sog. Drittstaaten) ist nach vorheriger schriftlicher Zustimmung des Verantwortlichen und bei Vorliegen der entsprechenden gesetzlichen Voraussetzungen zulässig.
3.4 Der Auftragsbearbeiter verpflichtet sich, nach vorheriger Absprache Vor-Ort-Kontrollen des Verantwortlichen zu unterstützen, die erforderlichen Unterlagen und Informationen zur Verfügung zu stellen und bei Datenschutz- und datenschutzrelevanten Kontrollen durch die Aufsichtsbehörden innerhalb angemessener Frist alle erforderlichen Auskünfte zu erteilen.
3.5 Der Auftragsbearbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Bearbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung der Pflichten nach den Artikeln 8 und Art. 21 bis 24 DSG bzw. 32 bis 36 DSGVO (Sicherheit der Bearbeitung; Meldung von Verletzungen des Datenschutzes an die Aufsichtsbehörde; Benachrichtigung der von der Verletzungen betroffenen Personen; Datenschutz-Folgenabschätzung).
3.6 Sollte eine Anweisung des Verantwortlichen gegen die geltenden Datenschutz-bestimmungen verstossen, wird der Verantwortlicher vom Auftragsbearbeiter darauf hingewiesen. Die Verantwortung für die rechtliche Zulässigkeit der Anweisungen bleibt jedoch beim Verantwortlichen.
3.7 Der Auftragsbearbeiter verpflichtet sich, den Verantwortlichen über Verstösse gegen die Datenschutzbestimmungen zu informieren, inklusive:
a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes von Personendaten eingeholt werden können;
c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung des Schutzes von Personendaten, einschliesslich Massnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
3.8 Sind die Personendaten des Verantwortlichen beim Auftragsbearbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Massnahmen Dritter gefährdet oder müssen sie Dritten, insbesondere Behörden, bekannt gegeben werden, so hat der Auftragsbearbeiter dies dem Verantwortlichen mitzuteilen. Der Auftragsbearbeiter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Herrschaft über die Personendaten beim Verantwortlichen liegt.
3.9 Leistungen gemäss Ziffern 3.4 und 3.5 erfolgen gegen Entschädigung zu den Stundensätzen gemäss Hauptvertrag (Preisblatt).
4 Technische und organisatorische Massnahmen zur Datensicherheit
4.1 Der Auftragsbearbeiter ist verpflichtet, die Grundsätze ordnungsgemässer Datenbearbeitung zu beachten und deren Einhaltung zu überwachen.
4.2 Der Auftragsbearbeiter gewährleistet die Installation und Aufrechterhaltung der notwendigen und angemessenen Datenschutzmassnahmen gemäss Art. 8 DSG und Art. 32 DSGVO (Datensicherheit). Die verbindlichen technischen und organisatorischen Massnahmen sind in Anlage 2 aufgeführt und Bestandteil dieses Vertrages.
5 Rechte der betroffenen Personen
5.1 Macht eine betroffene Person datenschutzrechtliche Ansprüche geltend (z.B. das Recht auf Information), unterstützt der Auftragsbearbeiter den Verantwortlichen bei der Erfüllung der Ansprüche.
5.2 Wendet sich eine betroffene Person zur Geltendmachung ihrer Rechte (insbesondere Kapitel 4 DSG und Kapitel III DSGVO (Rechte der betroffenen Person)) direkt an den Auftragsbearbeiter, so wird er die Anfrage unverzüglich an den Verantwortlichen weiterleiten.
6 Unterauftragnehmer
6.1 Der Auftragsbearbeiter kann Unteraufträge zur Datenbearbeitung vergeben; derzeit sind dies die Unterauftragnehmer gemäss Anlage 1. Der Auftragsbearbeiter informiert den Verantwortlichen vor einer beabsichtigten Änderung. Der Verantwortlicher kann einen Subunternehmer ohne Angabe von Gründen ablehnen, wobei eine Ablehnung zur ausserordentlichen Kündigung des Vertrages durch den Auftragsbearbeiters berechtigt.
6.2 Der Auftragsbearbeiter wählt den Unterauftragnehmer sorgfältig aus und beauftragt nur solche Dritte, die einen der Erfüllung der Aufgabe angemessenen Sicherheitsstandard erfüllen. Die vertraglichen Vereinbarungen mit dem Unterauftragnehmer sind so zu gestalten, dass sie den datenschutzrechtlichen Bestimmungen dieses Vertrages entsprechen, insbesondere durch ausreichende Garantien, dass geeignete technische und organisatorische Massnahmen getroffen werden, um sicherzustellen, dass die Bearbeitung in Übereinstimmung mit den gesetzlichen Bestimmungen erfolgt.
6.3 Das Untervertragsverhältnis wird schriftlich gemäss Art. 9 DSG bzw. Art. 28 DSGVO abgeschlossen, wobei dem Verantwortlichen auch ein Besichtigungs- und Kontrollrecht eingeräumt wird. Der Verantwortlicher trägt allfällige Kosten hierfür. Der Auftragsbearbeiter stellt auf Anfrage eine Kopie des Unterauftrages und alle notwendigen Informationen zur Verfügung.
6.4 Nicht als Untervertragsverhältnis im Sinne dieser Regelung zu verstehen sind solche Leistungen, die Auftragsbearbeiter von Dritten zur Unterstützung bei der Ausführung des Auftrages, z.B. Telekommunikationsdienste oder Wartung, genutzt werden.
7 Kontrollrechte des Verantwortlichen
7.1 Der Auftragsbearbeiter liefert dem Verantwortlichen alle notwendigen Informationen, um die Einhaltung der in diesem ABV festgelegten Verpflichtungen nachzuweisen.
7.2 Der Verantwortlicher ist berechtigt, schriftliche Auskünfte und Nachweise über die getroffenen Datenschutzmassnahmen und deren technische und organisatorische Umsetzung zu verlangen.
7.3 Der Verantwortlicher kann sich vor Beginn der Auftragsbearbeitung und dann in regelmässigen Abständen nach vorheriger Abstimmung vor Ort beim Auftragsbearbeiter von der Angemessenheit der Massnahmen zur Einhaltung der technischen und organisatorischen Datenschutzanforderungen überzeugen. Der Auftragsbearbeiter ermöglicht solche Überprüfungen, liefert die notwendigen Informationen und bietet die notwendige Unterstützung
7.4 Die Kontrollen sollen ohne vermeidbare Störungen des Geschäftsbetriebs von Auftragsbearbeiter durchgeführt werden. Sofern aus dringenden, vom Verantwortlichen zu dokumentierenden Gründen nicht anders angegeben, finden die Prüfungen nach angemessener Vorankündigung und während der Geschäftszeiten von Auftragsbearbeiter statt.
7.5 Leistungen von Auftragsbearbeiter gemäss diesem Abschnitt 7 sind zu den Stundensätzen gemäss Hauptvertrag zu entschädigen.
8 Geheimhaltung
8.1 Die Parteien verpflichten sich, alle ihnen im Zusammenhang mit der Auftragsabwicklung zur Verfügung gestellten Unterlagen und Daten sowie die Arbeitsergebnisse vertraulich zu behandeln und insbesondere nicht unbefugten Personen zugänglich zu machen.
8.2 Personen, die an der Datenbearbeitung beteiligt sind, ist es untersagt, Personendaten unbefugt zu bearbeiten. Dieses Verbot bleibt auch nach Beendigung der Tätigkeit bestehen. Die betroffenen Personen sind schriftlich auf das Datengeheimnis zu verpflichten.
8.3 Diese Verpflichtungen gelten auch nach Beendigung des Vertrages.
9 Vertragsdauer und Beendigung
9.1 Die Laufzeit dieses Auftragsbearbeitungsvertrages richtet sich nach dem Hauptvertrag.
9.2 Falls der Auftragsbearbeiter seinen Pflichten gemäss diesem ABV nicht nachkommt, kann der Verantwortliche den Auftragsbearbeiter anweisen, die Bearbeitung von Personendaten auszusetzen, bis er diese Klauseln einhält oder dieser ABV beendet ist. Der Auftragsbearbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diesen ABV einzuhalten.
9.3 Der Verantwortliche ist berechtigt, diesen ABV zu kündigen, soweit es die Bearbeitung von Personendaten gemäss dieser Ziffer 9 betrifft, falls:
a) der Verantwortliche die Bearbeitung von Personendaten durch den Auftragsbearbeiter ausgesetzt hat und die Einhaltung dieses Vertrags nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
b) der Auftragsbearbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstösst oder seine Verpflichtungen gemäss dem anwendbaren Recht nicht erfüllt;
c) der Auftragsbearbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäss diesem ABV oder dem anwendbaren Recht nicht nachkommt.
9.4 Der Auftragsbearbeiter ist berechtigt, diesen ABV zu kündigen, soweit es die Bearbeitung von Personendaten gemäss diesem ABV betrifft, falls der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsbearbeiter gemäss Ziffer 3.6 darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen verstossen.
9.5 Nach Beendigung dieses Vertrages hat der Auftragsbearbeiter alle Datenträger und alle Daten (einschliesslich angefertigter Kopien oder Duplikate) auf Verlangen an den Verantwortlichen zurückzugeben oder nach dessen Anweisung sicher zu löschen oder zu vernichten, es sei denn, es besteht eine gesetzliche Verpflichtung zur Speicherung der Personendaten. Diese Verpflichtung gilt in gleichem Umfang für allfällige Subunternehmer.
10 Schlussbestimmungen
10.1 Sofern in diesem ABV nicht anders geregelt, darf keine der Parteien ohne die vorherige schriftliche Zustimmung der anderen Partei ihre Rechte aus diesem ABV abtreten oder anderweitig übertragen oder ihre Pflichten aus diesem ABV delegieren.
10.2 Änderungen dieses Vertrags bedürfen der Schriftform und müssen von bevollmächtigten Vertretern der Parteien unterzeichnet sein.
10.3 Sollten einzelne Bestimmungen dieses Vertrages ungültig oder unwirksam sein oder die Erfüllung unmöglich werden, so wird hierdurch die Wirksamkeit der übrigen Teile des Vertrages nicht beeinträchtigt. Die Parteien verpflichten sich für diesen Fall, unverzüglich die ungültige, unwirksame oder unmögliche Bestimmung durch eine zulässige, wirksame und mögliche Vereinbarung zu ersetzen, die nach ihrem Inhalt der ursprünglichen Absicht am nächsten kommt. Das Gleiche gilt im Falle einer Vertragslücke.
10.4 Sofern gesetzlich zulässig und in diesem ABV nicht anders geregelt, unterliegt dieser ABV Schweizerischem Recht ohne Berücksichtigung des Internationalen Privatrechts.
10.5 Sofern gesetzlich zulässig, unterliegen Streitigkeiten, die aus oder im Zusammenhang mit diesem ABV entstehen, ausschliesslich der Gerichtsbarkeit des zuständigen Gerichts der Stadt Zürich.
*******
Anlage 1 – Angaben zur Bearbeitung von Personendaten
1 Art und Zweck der Bearbeitung
Die Bearbeitung erfolgt durch Aktivitäten für:
- Digitalisierung von Geschäftsprozessen:
- Dokumentdigitalisierung
- Prozessdigitalisierung
- Managed Print Solutions (MPS)
- Printing @ Customer
- Scanning @ Customer
- Business Process Outsourcing (BPO):
- Post-Outsourcing (Druck/Versand sowohl analog wie digital)
- Eingangspost @ Faigle (Digitalisierung, Sortierung, Erfassung, Kategorisierung und Versand)
- Archivdigitalisierung
Die Bearbeitung dient der Erfüllung des Hauptvertrages.
2 Art der bearbeiteten von Personendaten
Es werden sämtliche Personendaten bearbeitet, die in der Geschäftsbeziehung des Kunden (Verantwortlicher mit seinen Geschäftspartnern) vorkommen können, z.B.:
- Vorname
- Name
- Telefonnummer
- Mobilenummer
- E-mail
- Abteilung
Treten während der Laufzeit der Vereinbarung Änderungen an Umfang oder Art der bearbeiteten Personendaten auf, wird der Verantwortlicher den Auftragsbearbeiter schriftlich informieren.
3 Kategorien betroffener Personen
Von der Bearbeitung betroffen sind alle in der Geschäftsbeziehung des Kunden (Verantwortlicher mit seinen Geschäftspartnern) vorkommen können, z.B.:
- Kunden des Verantwortlichen (z.B. Auftraggeber / Besteller / Lizenznehmer / Klienten / Patienten)
- Lieferanten des Verantwortlichen
- Mitarbeiter des Verantwortlichen
- Kontakte aus Geschäftsanbahnungen
Treten während der Laufzeit der Vereinbarung Änderungen an Umfang oder Art der Kategorien betroffener Personen auf, wird der Verantwortlicher den Auftragsbearbeiter schriftlich informieren.
4 Unterauftragnehmer
Der Auftragsbearbeiter kann folgende Unter-Auftragsbearbeiter beauftragen:
Eigene Infrastruktur
- Adobe, mit ABV: https://www.adobe.com/content/dam/cc/en/legal/terms/enterprise/pdfs/DPT-WW.pdf
- DocuSign, mit ABV: https://www.docusign.com/legal/terms-and-conditions/data-protection-attachment
- EveryWare, mit ABV gemäss Service-Vertrag
- Microsoft, mit ABV: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
- SAP, mit ABV hier: https://www.sap.com/germany/about/trust-center/agreements/cloud/cloud-services.html?sort=latest_desc&search=Data%20Processing
- Skribble: mit DSE hier: https://www.skribble.com/de-ch/datenschutz/
- SySPrint: interner Konzernvertrag
Kundenapplikationen als Reseller
- PaperCut/Hive, mit DSGVO-Konformität: https://www.papercut.com/kb/Main/GDPR/
- Printfleet, mit DSE: https://www.ecisolutions.com/legal/privacy-policy/
- RICOH, mit ABV: https://www.ricoh-europe.com/about-us/our-company/edw/data-processing-agreement/
- Parashift, mit DSE: https://parashift.io/privacy-policy/
- SysPrint: interner Konzernvertrag
- UMANGO, mit DSE: https://www.umango.com/index_US.asp#
Mit diesen Unter-Auftragsbearbeitern hat der Auftragsbearbeiter Unter-Auftragsbearbeitungsverträge geschlossen, und, sofern notwendig, vom EDÖB vorgängig genehmigte Standarddatenschutzklauseln.
*******
Anlage 2: Technische und Organisatorische Massnahmen der Datensicherheit
1. Zutrittskontrolle
|
Massnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen Personendaten bearbeitet oder genutzt werden, zu verwehren. |
Ja |
Kommentar |
|
Schlüsselregelung (Schlüsselausgabe etc.) |
x |
|
|
Chipkarten-/Transponder-Schliesssystem |
x |
|
|
Manuelles Schliesssystem |
x |
|
|
Sicherheitsschlösser |
x |
|
2. Zugangskontrolle
|
Massnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. |
Ja |
Kommentar |
|
Zuordnung von Benutzerrechten |
x |
Active Directory |
|
Passwortvergabe |
x |
|
|
Authentifikation mit Benutzername / Passwort |
x |
MFA |
|
Gehäuseverriegelungen |
x |
|
|
Schlüsselregelung (Schlüsselausgabe etc.) |
x |
|
|
Einsatz von Intrustion-Detection-Systemen |
x |
|
|
Einsatz von Anti-Viren-Software |
x |
|
|
Einsatz einer Hardware-Firewall |
x |
|
|
Erstellen von Benutzerprofilen |
x |
|
|
Zuordnung von Benutzerprofilen zu IT-Systemen |
x |
|
|
Einsatz von VPN-Technologie |
x |
|
|
Sicherheitsschlösser |
x |
|
|
Einsatz einer Software-Firewall |
x |
|
3. Zugriffskontrolle
|
Massnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. |
Ja |
Kommentar |
|
Erstellen eines Berechtigungskonzepts |
x |
|
|
Anzahl der Administratoren auf das „Notwendigste“ reduziert |
x |
|
|
Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten |
x |
Applikation |
|
physische Löschung von Datenträgern vor Wiederverwendung |
x |
|
|
Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel) |
x |
|
|
Verwaltung der Rechte durch Systemadministrator |
x |
|
|
Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel |
x |
|
|
Sichere Aufbewahrung von Datenträgern |
x |
|
|
ordnungsgemässe Vernichtung von Datenträgern (DIN 32757) |
x |
Via EveryWare |
|
Protokollierung der Vernichtung |
x |
Via EveryWare |
4. Trennungskontrolle
|
Massnahmen, die dafür sorgen, dass Daten nach Betroffenen, Zweck und Art der Bearbeitung voneinander getrennt werden. |
Ja |
Kommentar |
|
Erstellung eines Berechtigungskonzepts |
x |
|
|
Versehen der Datensätze mit Zweckattributen/Datenfeldern |
x |
in M-Files |
|
Festlegung von Datenbankrechten |
x |
|
|
Logische Mandantentrennung (softwareseitig) |
x |
|
|
Trennung von Produktiv- und Testsystem |
x |
|
5. Pseudonymisierung & Verschlüsselung
|
Massnahmen, die im Falle einer Pseudonymisierung oder Verschlüsselung von Daten eingesetzt werden. |
Ja |
Kommentar |
|
Trennung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten Systemen |
x |
|
|
Verschlüsselte Ablage der Zuordnungsdaten |
x |
|
6. Eingabekontrolle
|
Massnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. |
Ja |
Kommentar |
|
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) |
x |
|
|
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts |
x |
|
7. Weitergabekontrolle
|
Massnahmen, welche ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport verhindern |
Ja |
Kommentar |
|
Einrichtungen von Standleitungen bzw. VPN-Tunneln |
x |
|
8. Verfügbarkeit und Belastbarkeit
|
Massnahmen, die gewährleisten, dass Personendaten gegen zufällige Zerstörung oder Verlust geschützt sind. |
Ja |
Kommentar |
|
Feuer- und Rauchmeldeanlagen in allen IT-Räumen |
x |
komplettes outsourcing |
|
Unterbrechungsfreie Stromversorgung inkl. Notstromversorgung |
x |
|
|
Überwachung der Temperatur und Feuchtigkeit in zentralen Serverräume |
x |
|
|
Redundanz in verschiedenen Serverräumen möglich (Server, Storage) |
x |
|
|
Redundanz in Daten-Speichern (Hardware, RAID) vorhanden |
x |
|
|
Formalisiertes und überwachtes Backup-Konzept |
x |
|
|
Überwachung der Verfügbarkeit von Systemen und Anwendungen |
x |
|
|
Schutz gegen unberechtigten Systemzugang von Extern (Firewall) |
x |
|
|
Vorhandene Notfallpläne bei IT-Havarien |
x |
|
9. Datenschutzfall-Management
|
Massnahmen im Falle eines Datenschutzvorfalls. |
Ja |
Kommentar |
|
Einsatz eines Intrusion Detection oder Prevention Systems (IDS/IPS) |
x |
|
|
Prozess zur Erkennung und Meldung von Sicherheitsvorfällen oder Datenpannen (dokumentiert) |
x |
|
|
Nachfolgendes Verfahren nach Sicherheitsvorfällen und Datenpannen |
x |
|
|
Meldeverfahren zu Sicherheitsvorfällen und Datenpannen |
x |
|
|
Einbindung des Datenschutzbeauftragten bei Sicherheitsvorfällen und Datenpannen |
x |
|
|
Systemische Identifikation von sicherheitsrelevanten Schwachstellen |
x |
|
11. Datenschutzfreunliche Voreinstellungen (Privacy by Default)
|
Massnahmen auf der Webseite. |
Ja |
Kommentar |
|
Wir nutzen verfügbare Konfigurationseinstellungen zur Verbesserung von Datenschutz und IT-Sicherheit. |
x |
SoSafe |
12. Datensicherheit
|
Massnahmen zur Absicherung von Daten. |
Ja |
Kommentar |
|
Wir setzen aktuelle Schutzmassnahmen gegen Schadcode, Viren und Malware ein. |
x |
SoSafe |
|
Verbindungen, welche zu unseren Systemen führen, sind durch geeignete Verschlüsselungsverfahren und Authentifizierungs-Mechanismen geschützt. |
x |
|
|
Wir halten alle unsere Systeme und die entsprechende Software aktuell und spielen relevanten Sicherheitsupdates und -upgrades ein. |
x |
|
|
Meldeverfahren zu Sicherheitsvorfällen und Datenpannen |
x |
|
|
Sofern uns IT-sicherheitstechnischer Mängel bekannt werden, kann der jeweilige externe Dienstleister in angemessener Zeit Lösungen zur Behebung bereitstellen. |
x |
|
13. Bereichsspezifische TOM
Aufgrund der Tatsache, dass die Faigle AG einen Bereich welcher der Gesetzgebung der Eidgenössischen Finanzmarktaufsicht FINMA untersteht. Existiert für diesen Bereich ein erweitertes TOM 2.1.309 TOM_BPO_Uster.