Stand: 01.08.2025
Die vorliegende Vereinbarung zur Auftragsdatenbearbeitung ("Vereinbarung") konkretisiert die Verpflichtungen der Parteien in Bezug auf die Vorgaben aus dem Schweizer Datenschutzgesetz ("DSG") und der Datenschutz-Grundverordnung der Europäischen Union ("EU-DSGVO"). Sie ergänzt diesbezüglich die vertraglichen Vereinbarungen ("Vertrag") zwischen aumico AG, Hardturmstrasse 161, 8005 Zürich, Schweiz ("aumico") und dem Kunden, in welchen aumico als Leistungserbringerin gegenüber dem Kunden auftritt, und bildet einen integrierten Bestand-teil des Vertrages.
Die vorliegende Vereinbarung gilt nur insofern und insoweit als die nachfolgenden Voraussetzungen erfüllt sind:
● Der Kunde ist entweder Verantwortlicher oder Auftragsbearbeiter im Anwendungsbereich des DSG und/oder der EU-DSGVO und
● der Kunde zieht aumico im Rahmen des Vertrages als Auftragsbearbeiter oder Unter-Auftragsbearbeiter für die Bearbeitung von Personendaten bzw. von personenbezogenen Daten bei, welche vom Anwendungsbereich des DSG und/oder der EU-DSGVO erfasst sind ("Personendaten").
Die Parteien treffen zu diesem Zweck die nachstehenden Vereinbarungen.
Gegenstand, Dauer sowie Art und Zweck der Bearbeitung ergeben sich aus dem Vertrag. Die Kategorien der bearbeiteten Personendaten, die Kategorien betroffener Personen sowie die zu treffenden technischen und organisatorischen Massnahmen ("TOM") sind entweder im Vertrag oder in einem oder mehreren Anhängen zu dieser Vereinbarung aufgeführt.
aumico bearbeitet die Personendaten ausschliesslich zum Zweck der Vertragserfüllung bzw. zu den im Vertrag genannten Zwecken. Der Kunde ist für die Rechtmässigkeit der Datenbe-arbeitung an sich, inklusive der Zulässigkeit der Auftrags-/Unter-Auftragsbearbeitung, verant-wortlich.
Die Weisungen des Kunden sind in dieser Vereinbarung und im Vertrag dokumentiert. Der Kunde hat das Recht, aumico jederzeit schriftlich darüberhinausgehende Weisungen in Bezug auf die Bearbeitung der Personendaten zu erteilen. aumico kommt diesen Weisungen nach, soweit diese im Rahmen der vertraglich vereinbarten Leistungen durch aumico umsetzbar und objektiv zumutbar sind. Führen solche Weisungen zu Mehrkosten von aumico oder einem geänderten Leistungsumfang, so sind solche Mehrkosten und Vertragsänderungen schriftlich zu vereinbaren.
aumico informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen das DSG oder die EU-DSGVO verstösst. aumico darf diesfalls die Umsetzung der betreffenden Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde. Bei Weisungen des Kunden im Zusammenhang mit der Vergabe von Zugriffsberechtigungen oder der Herausgabe von Personendaten an den Kunden selbst gilt das Vorstehende nicht, und aumico darf jederzeit davon ausgehen, dass solche Weisungen gesetzeskonform sind. Sie ist jedoch berechtigt, vom Kunden entsprechende schriftliche Bestätigungen zu verlangen.
aumico bearbeitet die Personendaten ausschliesslich gemäss den Bestimmungen des Vertrages und dieser Vereinbarung. Vorbehalten bleibt die Erfüllung gesetzlicher, regulatorischer oder behördlicher Verpflichtungen durch aumico.
aumico verpflichtet sich, in Bezug auf die Personendaten ein Verzeichnis der Bearbeitungstätigkeiten im Einklang mit Art. 12 Abs. 1 DSG bzw. Art. 30 Abs. 2 EU-DSGVO zu führen. Das im Zeitpunkt des Abschlusses dieser Vereinbarung aktuelle Verzeichnis findet sich in Anhang 1 zu dieser Vereinbarung. aumico stellt dem Kunden auf dessen Nachfrage jeweils die aktuelle Version zur Verfügung.
aumico trifft die in Anhang 2 zu dieser Vereinbarung definierten TOM zum Schutz der Personendaten. aumico darf die vereinbarten TOM jederzeit anpassen, solange das vereinbarte Schutzniveau nicht unterschritten wird.
aumico stellt sicher, dass es den mit der Bearbeitung der Kunden-bezogenen Personendaten befassten Mitarbeitenden und anderen Hilfspersonen von aumico untersagt ist, die Personendaten zu anderen als den im Vertrag genannten Zwecken und abweichend von dieser Vereinbarung zu bearbeiten. Ferner stellt aumico sicher, dass sich die zur Bearbeitung der Personendaten befugten Personen zur Vertraulichkeit verpflichtet haben und/oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitpflicht besteht auch nach Beendigung des Vertrages fort.
aumico informiert den Kunden unverzüglich, wenn ihr Verletzungen des Schutzes der Personendaten bei aumico oder einem ihrer Unter-Auftragsbearbeiter bekannt werden (Data Breach). Zudem informiert aumico den Kunden in Textform (E-Mail ausreichend) in angemessener Weise über Art und Ausmass der Verletzung sowie mögliche Abhilfemassnahmen. Die Parteien treffen in so einem Fall die erforderlichen Massnahmen zur Sicherstellung des Schutzes der Personendaten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen sowie die Parteien und sprechen sich hierzu unverzüglich ab.
Der Ansprechpartner von aumico für im Rahmen des Vertrages anfallende Datenschutzfragen sowie der Datenschutzbeauftragte in den Fällen, in denen dies gemäss Art. 37 EU-DSGVO vorgeschrieben ist, wird in Anhang 1 zu dieser Vereinbarung genannt.
aumico verpflichtet sich, den Kunden auf Wunsch und gegen vorgängig vereinbarte separate Vergütung im Rahmen ihrer Möglichkeiten bei der Erfüllung der Rechte der betroffenen Personen gegenüber dem Kunden gemäss Kapitel 4 des DSG bzw. Kapitel III der EU-DSGVO zu unterstützen. Darüber hinaus kann aumico dem Kunden gegen separate Vergütung weitergehende Unterstützung anbieten (z.B. im Zusammenhang mit einer Datenschutzfolgeabschätzung, Konsultation der Aufsichtsbehörde, Meldungen an diese, etc.).
Personendaten sind nach Vertragsende gemäss den vertraglichen Bestimmungen herauszugeben oder zu löschen/zu anonymisieren. aumico setzt für die Löschung/Anonymisierung von Personendaten branchenübliche Verfahren ein.
Der Kunde trifft in seinem Verantwortungsbereich (z.B. auf seinen eigenen Systemen, Applikationen/Umgebungen in seiner Betriebsverantwortung) selbständig angemessene technische und organisatorische Massnahmen zum Schutz der Personendaten.
Der Kunde hat aumico unverzüglich zu informieren, wenn er in der Leistungserbringung von aumico Verletzungen datenschutzrechtlicher Vorgaben feststellt.
Der Kunde nennt aumico den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen sowie in den Fällen, in denen dies gemäss Art. 37 EU-DSGVO vorgeschrieben ist, den Datenschutzbeauftragten.
Wendet sich eine betroffene Person mit einem Auskunftsbegehren, einem Begehren zur Berichtigung oder Löschung oder anderen Begehren/Ansprüchen zu Personendaten direkt an aumico, wird aumico die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden gemäss Angaben der betroffenen Person möglich ist. Die Unterstützung des Kunden seitens aumico bei Anfragen betroffener Personen richtet sich nach Ziffer 3.
aumico ist verpflichtet, dem Kunden auf Verlangen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten gemäss dieser Vereinbarung zu dokumentieren.
Die Parteien halten fest, dass die Einhaltung dieser Verpflichtung grundsätzlich dadurch belegt wird, dass aumico nach ISO 27001 zertifiziert ist (sobald diese Zertifizierung vorliegt) oder aumico dem Kunden zu bestimmten Bereichen durch unabhängige Dritte erstellte Prüf- oder Auditberichte oder Bestätigungen über im Vertrag speziell erwähnte Zertifizierungen, etc. zur Verfügung stellt. Gesetzlich zwingend vorgeschriebene Prüfrechte des Kunden oder seiner Aufsichtsbehörden bleiben vorbehalten. Auf jeden Fall sind im Rahmen solcher Audits der Grundsatz der Verhältnismässigkeit einzuhalten sowie die schutzwürdigen Interessen von aumico (namentlich an Geheimhaltung) angemessen zu berücksichtigen. Vorbehältlich einer abweichenden Regelung trägt der Kunde sämtliche Kosten solcher Audits (inklusive nachgewiesene angemessene interne Kosten von aumico, die bei der Mitwirkung am Audit entstehen).
Werden nach Vorlage von Nachweisen oder Berichten oder im Rahmen eines Audits Verletzungen dieser Vereinbarung oder Mängel bei der Umsetzung der Pflichten von aumico festgestellt, so hat aumico unverzüglich und kostenlos geeignete Korrekturmassnahmen zu implementieren.
aumico ist zum Beizug von Unter-Auftragsbearbeitern berechtigt. Die im Zeitpunkt des Abschlusses dieser Vereinbarung aktuelle Liste der beigezogenen Unter-Auftragsbearbeiter findet sich in Anhang 3 zu dieser Vereinbarung. Aumico hat den Kunden vorgängig in Textform (E-Mail genügend) darüber zu informieren, wenn sie nach Inkrafttreten dieser Vereinbarung neue Unter-Auftragsbearbeiter beizieht oder bestehende Unter-Auftragsbearbeiter austauscht. Der Kunde kann gegen den Beizug eines neuen oder den Austausch eines bestehenden Unter-Auftragsbearbeiters aus wichtigen datenschutzrechtlichen Gründen schriftlich innerhalb einer Frist von 30 Tagen Einspruch erheben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, hat der Kunde ein Kündigungsrecht in Bezug auf die hiervon betroffene Leistung eingeräumt.
aumico wird mit ihren Unter-Auftragsbearbeitern im erforderlichen Umfang Vereinbarungen treffen, um die Verpflichtungen gemäss der vorliegenden Vereinbarung sicherzustellen.
Der verantwortungsvolle und rechtskonforme Umgang mit Personendaten ist aumico wichtig. aumico hält sich jederzeit an das geltende Recht, insbesondere das Schweizer Bundesgesetz über den Datenschutz (DSG) und die dazugehörige Verordnung und, sofern und soweit anwendbar, die Europäische Datenschutz-Grundverordnung (EU-DSGVO).
Es gilt die Datenschutzerklärung von aumico (abrufbar unter aumico.io/datenschutz). Zudem haben die Parteien eine Vereinbarung zur Auftragsdatenbearbeitung (ADV) abgeschlossen, die einen integrierten Bestandteil des Vertrages bildet.
Die vorliegende Vereinbarung tritt rückwirkend per 01.09.2023 in Kraft und wird für die Dauer des Vertrages abgeschlossen, sofern sich aus den Bestimmungen dieser Vereinbarung nicht länger dauernde Verpflichtungen ergeben.
Die Vereinbarung wird abgeschlossen, indem diese im Rahmen der Bestellung von Leistungen via die Website von aumico oder im Rahmen des Logins auf der aumico-Plattform durch einen Nutzer des Kunden akzeptiert wird. aumico darf unabhängig von internen Regelungen bzw. Verhältnissen des Kunden und Handelsregistereinträgen und ohne weitere Überprüfung der Berechtigung davon ausgehen, dass ein Nutzer des Kunden, der gegenüber aumico auftritt (z.B. indem er eine Bestellung tätigt oder sich auf der aumico-Plattform anmeldet), bevollmächtigt ist, für den Kunden zu handeln (Anscheinsvollmacht), was auch den Akzept und Abschluss dieser Vereinbarung beinhaltet.
In Abweichung allfälliger Schriftformvorbehalte im Vertrag kann die vorliegende Vereinbarung auch auf elektronischem Weg zwischen den Parteien geändert werden.
Die Pflichten aus dieser Vereinbarung gelten zusätzlich zu den im Vertrag festgelegten Pflichten und schränken letztere nicht ein. Im Übrigen gelten die Regelungen des Vertrages unverändert weiter.
Stand: 01.09.2023
Der vorliegende Anhang 1 beschreibt die Datenbearbeitungen, welche durch aumico unter der Vereinbarung zur Auftragsdatenbearbeitung (ABV) im Rahmen des Vertrags durchgeführt wer-den.
Kontaktdaten von aumico (zuständiger Weisungsempfänger):
aumico AG, Grubenstrase 6, 8045 Zürich, Schweiz
E-Mail: hello@aumico.ch
Kontaktdaten des Datenschutzbeauftragten/Datenschutzberaters von aumico:
aumico AG, Chris Zurbrügg, Grubenstrase 6, 8045 Zürich, Schweiz
E-Mail: privacy@aumico.ch
Kontaktdaten des Datenschutzvertreters von aumico in der Europäischen Union, der von Aufsichtsbehörden und betroffenen Personen für alle Fragen im Zusammenhang mit dem EU-Datenschutzrecht kontaktiert werden kann:
VGS Datenschutzpartner UG
Am Kaiserkai 69
20457 Hamburg
Deutschland
E-Mail: info@datenschutzpartner.eu
Im Rahmen des Vertrages überlässt der Kunde aumico in seinem eigenen Ermessen und in seinem Auftrag Personendaten und/oder geheimnisgebundene Daten zur Bearbeitung.
Die aumico durch den Kunden anvertrauten und daraus anfallende Personendaten werden ausschliesslich zum Zwecke der Vertragserfüllung und zugehöriger Tätigkeiten (darunter Pflege der Kundenbeziehung, Rechnungsstellung, Archivierung) bearbeitet.
Die Personendaten werden nach Vertragsende innerhalb von 120 Tagen gelöscht oder anonymisiert, sofern einer Löschung/Anonymisierung keine längeren gesetzlichen Aufbewahrungspflichten oder berechtigte Interessen entgegenstehen.
aumico bearbeitet Personendaten von internen oder externen Mitarbeitenden des Kunden und internen oder externen Mitarbeitenden der Endkunden des Kunden.
aumico bearbeitet die folgenden Kategorien von Personendaten:
● Kontakt- und Identifikationsdaten sowie (Arbeits-)Organisationsdaten wie Vorname, Name, geschäftliche und/oder private Adresse, geschäftliche und/oder private E-Mail-Adresse, geschäftliche und/oder private Telefonnummer, Land, Unternehmen, Bereich, Abteilung, Funktion, Zuständigkeit, Zeichnungsberechtigung und Kundennummer;
● Persönliche Angaben wie Sprache;
● Nutzerkontoinformationen wie Benutzername und Passwort;
● Vertrags- und Finanzdaten wie Vertragsart, Vertragsinhalt, Art der Leistungen, anwend-bare Geschäftsbedingungen, Vertragsbeginn, Vertragslaufzeit, Vergütungsansprüche, Rechnungs- und Zahlungsdaten sowie Finanzdaten, welche in den via die aumico-Plattform erstellten Jahresrechnungen enthalten sind;
● Interaktions- und Nutzungsdaten wie Korrespondenz, Kundenpräferenzen, Art und Umfang der Nutzung von Leistungen, Kundendienstinformationen wie Reklamationen und Angaben aus der Geltendmachung von Rechten sowie Feedback;
● Informationen bezüglich Nutzung der Online-Dienste wie Häufigkeit der Besuche, Datum, Zeitpunkt und Dauer der Besuche, besuchte Seiten, Suchbegriffe, Klicks auf Inhalte, Herkunfts-Internetseite; Angaben in Formularen, Social Media Profile; abgegebene Bewertungen und Kommentare, IP-Adresse; Informationen über die verwendeten Endgeräte (Endgerätetyp, Geräte ID, Hersteller, Betriebssystem, Sprache, Geräte-einstellungen, MAC-Adresse, etc.), Cookie-Informationen und Browser-Einstellungen.
aumico bearbeitet als Hilfsperson des Kunden Personendaten, welche dem Berufsgeheimnis (z.B. Treuhänder, Steuerexperten) oder gegebenenfalls anderen spezialgesetzlichen Geheimhaltungspflichten unterliegen.
Die Personendaten werden primär in der Schweiz sowie in der EU/dem EWR bearbeitet. Sämtliche Länder, darunter auch diejenigen ausserhalb der EU/dem EWR, sind in Anhang 3 (Unter-Auftragsbearbeiter) aufgeführt.
aumico gewährleistet einen angemessenen Schutz der Personendaten bei der Bearbeitung ausserhalb der EU/dem EWR mittels Abschluss von Vereinbarungen zur Auftragsdaten-bearbeitung mit den betreffenden Unter-Auftragsbearbeitern, in welchen diese Unter-Auftrags-bearbeiter zum Schutz der bearbeiteten Personendaten bzw. zur Gewährleistung einer dem Risiko angemessenen Datensicherheit auf ausreichende technische und organisatorische Massnahmen verpflichtet werden und welche die EU Standardvertragsklauseln (SCC) bein-halten.
Die in Anhang 3 (Unter-Auftragsbearbeiter) aufgeführten Dritten haben als Unter-Auftrags-bearbeiter Zugriff auf und bearbeiten Personendaten bzw. werden diesen Dritten Personen-daten zur Kenntnis gebracht.
aumico wird den Kunden unverzüglich benachrichtigen, wenn aumico Kenntnis von einer Verletzung des Schutzes von Personendaten erlangt, die zu einer versehentlichen oder rechtswidrigen Zerstörung, einem Verlust, einer Veränderung, einer unbefugten Weitergabe oder einem unbefugten Zugriff auf Personendaten führt oder zu führen droht. Die Benachrichtigung erfolgt per E-Mail an die bekannten Ansprechpersonen des Kunden.
Stand: 01.08.2025
Der vorliegende Anhang 2 beschreibt die technischen und organisatorischen Massnahmen, welche unter der Vereinbarung zur Auftragsdatenbearbeitung (ADV) im Rahmen des Vertrags durch aumico zum Schutz der bearbeiteten Personendaten bzw. zur Gewährleistung einer dem Risiko angemessenen Datensicherheit (Art. 8 DSG und Art. 3 DSV sowie Art. 32 Abs. 1 EU-DSGVO) getroffen werden.
Dieser Anhang 2 beschränkt sich auf die Beschreibung der technischen und organisatorischen Massnahmen, welche aumico selbst getroffen hat. aumico hat ihre beigezogenen Unter-Auftragsbearbeiter (darunter den Betreiber der Server, auf welchen die aumico-Plattform gehostet wird, sowie den für den Betrieb und die Weiterentwicklung der aumico-Plattform verantwortlichen Dienstleister) vertraglich auf angemessene technische und organisatorische Massnahmen verpflichtet. Die Beschreibung dieser technischen und organisatorischen Massnahmen findet sich in der entsprechenden Dokumentation der Unter-Auftragsbearbeiter. Auf Nachfrage erteilt aumico hierüber detailliert Auskunft.
Massnahmen, die geeignet sind, unbefugten Personen den Zutritt zu Einrichtungen, in denen Personendaten bearbeitet werden (Verarbeitungsanlagen), zu verwehren.
aumico stellt dies durch folgende Massnahmen sicher:
Technische Massnahmen
● Magnet- oder Chipkarten / Transpondersysteme
● Manuelles Schliesssystem (Schlüssel)
● Türen mit Knauf Aussenseite
Organisatorische Massnahmen
● Begleitung von Besuchern
Massnahmen, die geeignet sind, die Nutzung von Datenverarbeitungssystemen (z.B. Computer) durch Unbefugte zu verhindern.
aumico stellt dies durch folgende Massnahmen sicher:
Technische Massnahmen
● Login mit Kennwörtern (z.B. Benutzername und Passwort)
● Login mit biometrischen Daten
● Anti-Virus-Software Clients
● Anti-Virus-Software mobile Geräte
● Firewall
● Automatische Sperrmechanismen (z.B. Desktopsperre)
● Verschlüsselung von Notebooks/Tablets
● Zwei-Faktor-Authentifizierung
Organisatorische Massnahmen
● Verwalten von Benutzerberechtigungen
● Erstellen von Benutzerprofilen
● Richtlinie zu Kennwörtern („Sicheres Passwort“)
Massnahmen, die geeignet sind, den Zugriff der zur Benutzung eines Daten-verarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Personendaten zu limitieren und das Lesen, Kopieren, Verändern oder Entfernen von Personendaten durch Unbefugte zu verhindern (inkl. eine unbefugte Eingabe in den Speicher sowie eine unbefugte Kenntnisnahme, Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten):
aumico stellt dies durch folgende Massnahmen sicher:
Technische Massnahmen
● Aktenschredder (mind. Stufe 3, cross cut)
● Standard-Berechtigungsprofile auf „need to know“-Basis
● Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger
● Sichere Aufbewahrung von Speichermedien
● Datenschutzgerechte Wiederverwendung von Speichermedien
Organisatorische Massnahmen
● Berechtigungskonzept
● Minimale Anzahl an Administratoren
● Verwaltung Benutzerrechte durch Administratoren
● Periodische Überprüfung der vergebenen Berechtigungen
Massnahmen, die geeignet sind, das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Personendaten bei der elektronischen Übertragung oder während ihres Transports (inkl. mittels Datenträgern) zu verhindern, sowie Massnahmen zur Überprüfung und Feststellung, an welche Stellen eine Übermittlung von Personendaten mit Hilfe von Einrichtungen zur Datenübertragung vorgesehen ist oder stattfindet.
aumico stellt dies durch folgende Massnahmen sicher:
Technische Massnahmen
● Bereitstellung über verschlüsselte Verbindungen wie sftp, https
● Verschlüsselung von Dateien
Organisatorische Massnahmen
● Weitergabe in anonymisierter oder pseudonymisierter Form
● Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen
● Dokumentation der Datenempfänger
Massnahmen, die geeignet sind, die Überprüfung und Feststellung, ob, von wem und wann welche Personendaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden, zu ermöglichen.
aumico stellt dies durch folgende Massnahmen sicher:
Organisatorische Massnahmen
● Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
● Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
● Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
Massnahmen, die geeignet sind zu gewährleisten, dass die Bearbeitung von Personendaten durch die Unter-Auftragsbearbeiter nur entsprechend den Weisungen des Kunden erfolgt.
aumico stellt dies durch folgende Massnahmen sicher:
Organisatorische Massnahmen
● Vorgängige Prüfung der vom Unter-Auftragsbearbeiter getroffenen Sicherheitsmassnahmen und deren Dokumentation (z.B. ISO-Zertifizierung, ISMS)
● Sorgfältige Auswahl des Unter-Auftragsbearbeiters (in Bezug auf Datenschutz und Datensicherheit) und Überbindung der relevanten Verantwortlichkeiten
● Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung mit dem Unter-Auftragsbearbeiter (inkl. in Form der EU Standardvertragsklauseln, falls erforderlich)
● Bei längerer Zusammenarbeit: Laufende Überprüfung des Unter-Auftragsbearbeiters und seines Schutzniveaus
● Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Unter-Auftragsbearbeiter bei Vorliegen der entsprechenden Pflicht
● Vereinbarung wirksamer Rechte zur Kontrolle und Nachkontrolle (z.B. Audits) gegenüber dem Unter-Auftragsbearbeiter
● Regelung zum Beizug weiterer Unter-Auftragsbearbeiter
● Sicherstellung der Vernichtung oder Rückgabe von Daten nach Beendigung des Auftrags
Massnahmen, die geeignet sind, Personendaten gegen zufällige oder mutwillige Zerstörung oder Verlust zu schützen.
Die Massnahmen zur Gewährleistung der Verfügbarkeitskontrolle werden ausschliesslich durch die jeweiligen Unter-Auftragsbearbeiter getroffen.
Massnahmen, die geeignet sind, die getrennte Barbeitung von zu unterschiedlichen Zwecken erhobenen Personendaten zu gewährleisten.
aumico stellt dies durch folgende Massnahmen sicher:
Technische Massnahmen
● Trennung von Produktiv- und Testumgebung
● Mandantenfähigkeit relevanter Anwendungen
Organisatorische Massnahmen
● Steuerung über Berechtigungskonzept
● Festlegung von Datenbankrechten
Einsetzung von Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Bearbeitung.
aumico stellt dies durch folgende Massnahmen sicher:
Datenschutz-Management:
Technische Massnahmen
● Sicherheitszertifizierung nach ISO 27001 (im Verlaufe des Jahres 2024)
● Regelmässige Überprüfung der Wirksamkeit der technischen Schutzmassnahmen
Organisatorische Massnahmen
● Interner Datenschutzbeauftragter bzw. Datenschutzberater und externer Datenschutzvertreter (EU)
● Regelmässige Sensibilisierung der Mitarbeitenden (mind. einmal jährlich)
● Mitarbeiterschulungen im Bereich Datenschutz und -sicherheit
● Formalisierter Prozess zur Bearbeitung von Anfragen seitens betroffenen Personen
● Verpflichtung der Mitarbeitenden auf Vertraulichkeit und Datenschutz (inkl. Datengeheimnis)
Incident-Response-Management:
Technische Massnahmen
● Firewall (inkl. regelmässige Aktualisierung)
● Spamfilter (inkl. regelmässige Aktualisierung)
● Virenschutz (inkl. regelmässige Aktualisierung)
Organisatorische Massnahmen
● Einbindung des Datenschutzbeauftragten bzw. Datenschutzberaters sowie des Datenschutzvertreters (EU) in Sicherheitsvorfälle und Datenpannen
● Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Daten-Pannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
● Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
● Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen
Datenschutzfreundliche Voreinstellungen (Privacy by Design / Privacy by Default):
Technische Massnahmen
● Keine Erhebung von mehr Personendaten als für den jeweiligen Zweck erforderlich
Organisatorische Massnahmen
● Definition der Rolle für Privacy/Security by Design bzw. Privacy/Security by Default in Projekten
● Sensibilisierung der betreffenden Mitarbeitenden auf Privacy/Security by Design und Privacy/Security by Default
Stand: 01.08.2025
Der vorliegende Anhang 3 führt die durch aumico beigezogenen Unter-Auftragsbearbeiter auf. Der Beizug von neuen sowie der Austausch von bestehenden Unter-Auftragsbearbeitern richtet sich nach den Regelungen der Vereinbarung zur Auftragsdatenbearbeitung (ADV).
Seestrasse 44, 8596 Scherzingen, Schweiz
(Schwestergesell-schaft von aumico)
Tätigkeit
Betrieb (inkl. Pflege, Wartung und Support) und Weiterentwicklung der aumico-Software/Plattform
Bearbeitete Personendaten
Vorname/Name, geschäftliche Adresse, E-Mail, Telefonnummer, Sprache, Land
Garantie unter DSG und EU-DSGVO
Vereinbarung zur Auftragsdatenbear-beitung
Alte Jonastrasse 24, 8640 Rapperswil SG, Schweiz
Tätigkeit
Rechnungsstellung
Bearbeitete Personendaten
Vorname/Name, geschäftliche Adresse, E-Mail, Telefonnummer der Rechnungsempfänger/Hauptansprech-personen des Kunden
Garantie unter DSG und EU-DSGVO
Vereinbarung zur Auftragsdatenbearbeitung («Auftragsver-arbeitungsvertrag»)
Am Postbahnhof 3, 10243 Berlin, Germany
Tätigkeit
Marketing E-Mails (Newsletter), CRM
Bearbeitete Personendaten
Kontakt- und Identifikationsdaten sowie (Arbeits-) Organisationsdaten und Vertrags- und Finanzdaten gemäss Anhang 1 (Verzeich-nis der Bearbeitungs-tätigkeiten)
Garantie unter DSG und EU-DSGVO
Vereinbarung zur Auftragsdatenbearbeitung («Data Processing Addendum»)
3 Dublin Landings, North Wall Quay, Dublin 1, Ireland
Tätigkeit
Sign up inkl. Versand einer automatisierten E-Mail
Bearbeitete Personendaten
Vorname/Nachname, E-Mail, Land des Kunden
Garantie unter DSG und EU-DSGVO
Vereinbarung zur Auftragsdatenbearbeitung («Data Protection Addendum»)
Velasco, Clanwilliam Place, Dublin 2, Ireland
Tätigkeit
Cloud Speicher, Speicherung von Kundendaten
Bearbeitete Personendaten
Kontakt- und Identifikationsdaten sowie (Arbeits-) Organisationsdaten und Vertrags- und Finanzdaten gemäss Anhang 1 (Verzeich-nis der Bearbeitungs-tätigkeiten)
Garantie unter DSG und EU-DSGVO
Vereinbarung zur Auftragsdatenbear-beitung («Cloud Data Processing Addendum»)
One Front Street, 28th Floor, San Francisco, CA 94111, USA
Tätigkeit
Analyse des Nutzungsverhalt-ens auf der aumico-Plattform
Bearbeitete Personendaten
Informationen bezüglich Nutzung der Online-Dienste gemäss Anhang 1 (Verzeichnis der Bearbeitungstätig-keiten)
Garantie unter DSG und EU-DSGVO
Vereinbarung zur Auftragsdatenbearbeitung («Data Processing Addendum») inkl. EU-Standard-vertragsklauseln
Am Postbahnhof 3, 10243 Berlin, Germany
Tätigkeit
Termin-vereinbarung für Vertriebs- und Support-Zwecke
Bearbeitete Personendaten
Vorname/Name, geschäftliche Adresse, E-Mail, Telefonnummer, Sprache, Land
Garantie unter DSG und EU-DSGVO
Vereinbarung zur Auftragsdatenbearbeitung («Data Processing Addendum»)