Vereinbarung zur Auftragsbearbeitung (AVV)

Gemaess Art. 9 nDSG (Schweiz) und Art. 28 DSGVO (EU)

Vertragsparteien

Zwischen

dem Kunden von SpApp Business (gemaess Hauptvertrag) - nachstehend «Verantwortlicher» genannt -

und

Schweizerpunkt GmbH
Gotthelfstrasse 41
8172 Niederglatt
- nachstehend «Auftragsbearbeiter» genannt -

(gemeinsam die «Parteien»)

Praeambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus dem zwischen ihnen geschlossenen Service-Vertrag / den Nutzungsbedingungen fuer «SpApp Business» (nachfolgend «Hauptvertrag») ergeben.

1. Gegenstand und Dauer des Auftrags

1.1 Gegenstand: Der Auftragsbearbeiter erbringt fuer den Verantwortlichen Software-Dienstleistungen (SaaS). Dabei hat der Auftragsbearbeiter Zugriff auf Personendaten, die der Verantwortliche im System speichert oder verarbeitet.

1.2 Dauer: Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags. Sie endet automatisch mit Beendigung des Hauptvertrags, sofern nicht gesetzliche Aufbewahrungspflichten bestehen.

2. Art und Zweck der Bearbeitung

Der Auftragsbearbeiter verpflichtet sich, Personendaten ausschliesslich im Rahmen des Hauptvertrags und zu dessen Zwecken (Bereitstellung der Software-Funktionalitaet, Support, Wartung) zu bearbeiten. Eine Nutzung der Daten fuer eigene Zwecke (z.B. Data Mining, Verkauf von Adressen) ist untersagt.

Die Art der Daten und die Kategorien der betroffenen Personen sind in Anlage 1 definiert.

3. Weisungsbefugnis des Verantwortlichen

3.1 Der Auftragsbearbeiter verarbeitet die Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen (z.B. im Rahmen der vertraglichen Leistungsbeschreibung).

3.2 Haelt der Auftragsbearbeiter eine Weisung fuer gesetzeswidrig (gegen nDSG oder DSGVO), informiert er den Verantwortlichen unverzueglich.

4. Vertraulichkeit

Der Auftragsbearbeiter sichert zu, dass alle Personen, die mit der Bearbeitung der Daten betraut sind (Mitarbeiter, Hilfspersonen), zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Pflicht besteht auch nach Beendigung der Taetigkeit fort.

5. Technische und organisatorische Massnahmen (TOM)

5.1 Der Auftragsbearbeiter trifft angemessene technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewaehrleisten (gemaess Art. 8 nDSG / Art. 32 DSGVO).

5.2 Diese Massnahmen sollen die Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Systeme sicherstellen. Die aktuellen Massnahmen sind in Anlage 2 beschrieben.

5.3 Der Auftragsbearbeiter darf die Massnahmen der technischen Entwicklung anpassen, solange das Sicherheitsniveau nicht unterschritten wird.

6. Unterauftragsverhaeltnisse (Subunternehmer)

6.1 Der Verantwortliche genehmigt dem Auftragsbearbeiter generell die Hinzuziehung von weiteren Auftragsbearbeitern (Subunternehmern), insbesondere fuer Hosting, Rechenzentrumsleistungen und Kommunikationsdienste.

6.2 Der Auftragsbearbeiter hat die Subunternehmer sorgfaeltig auszuwaehlen. Er muss vertraglich sicherstellen, dass der Subunternehmer denselben Datenschutzpflichten unterliegt wie er selbst.

6.3 Findet die Datenbearbeitung durch Subunternehmer ausserhalb der Schweiz oder des EWR statt, stellt der Auftragsbearbeiter sicher, dass ein angemessenes Datenschutzniveau gewaehrleistet ist.

Aktuelle Subunternehmer:

  • Hosting Provider (z.B. Microsoft Azure / AWS / Swisscom), Standort: Schweiz/Europa
  • E-Mail-Dienstleister, Standort: Schweiz/Europa

7. Rechte der betroffenen Personen

7.1 Macht eine betroffene Person (z.B. ein Patient oder Mitarbeiter des Kunden) Ansprueche auf Berichtigung, Loeschung oder Auskunft direkt beim Auftragsbearbeiter geltend, wird dieser die Anfrage an den Verantwortlichen weiterleiten.

7.2 Der Auftragsbearbeiter unterstuetzt den Verantwortlichen im Rahmen seiner Moeglichkeiten bei der Beantwortung dieser Anfragen.

8. Mitteilungspflichten bei Verletzungen des Datenschutzes

Der Auftragsbearbeiter benachrichtigt den Verantwortlichen unverzueglich, sobald er Kenntnis von einer Verletzung der Datensicherheit hat, die zum Verlust, zur unrechtmaessigen Loeschung, Veraenderung oder zum unbefugten Zugriff auf die Personendaten fuehrt.

9. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu ueberpruefen. Der Auftragsbearbeiter kann den Nachweis der Einhaltung durch Vorlage geeigneter Zertifikate (z.B. ISO 27001) oder Testate unabhaengiger Dritter erbringen.

10. Loeschung und Rueckgabe von Daten

Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragsbearbeiter alle Personendaten nach Wahl des Verantwortlichen entweder zu loeschen oder zurueckzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.

11. Schlussbestimmungen

11.1 Sollten Teile dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der uebrigen Teile unberuehrt.

11.2 Es gilt schweizerisches Recht. Gerichtsstand ist der Sitz des Auftragsbearbeiters (Niederglatt, Kanton Zuerich).

Anlage 1: Datenkategorien und Betroffene

Diese Anlage beschreibt die Kategorien der betroffenen Personen und die Art der Personendaten, die im Rahmen der Dienstleistung «SpApp Business» durch die Schweizerpunkt GmbH bearbeitet werden.

1. Kategorien betroffener Personen

Der Kreis der durch die Datenbearbeitung betroffenen Personen umfasst insbesondere:

  • Nutzer des Kunden: Eigene Mitarbeiter des Kunden (z.B. Ärzte, Zahnaerzte, Dentalassistenten, Verwaltungspersonal), die einen Zugang zur Software haben.
  • Patienten / Klienten des Kunden: Personen, deren Stammdaten und medizinische Daten im System verwaltet werden.
  • Geschaeftspartner des Kunden: Lieferanten, Labore oder Versicherungen, deren Kontaktdaten im System gespeichert sind.

2. Art der Personendaten

Folgende Datenarten sind Gegenstand der Bearbeitung:

A. Allgemeine Personendaten:

  • Stammdaten: Name, Vorname, Titel, Geburtsdatum, Geschlecht
  • Kontaktdaten: Adresse, Telefonnummern (Festnetz/Mobil), E-Mail-Adressen
  • Identifikationsdaten: Kunden- oder Patientennummern, AHV-Nummern (falls gespeichert)

B. Besondere Personendaten (besonders schuetzenswerte Daten gem. Art. 5 lit. c nDSG):

  • Gesundheitsdaten: Anamnesen, Befunde, Diagnosen, Roentgenbilder, Behandlungsplaene, Dentalschemata, Medikationen

C. Nutzungs- und Metadaten (Systemdaten):

  • Protokolldaten: IP-Adressen, Logfiles ueber Zugriffe, Zeitstempel der Dateneingabe/-aenderung (Audit-Logs)
  • Authentifizierungsdaten: Benutzernamen, passwortgeschuetzte Zugangsdaten (als Hashwerte), Rollen und Berechtigungen

D. Weitere Datenkategorien:

  • Abrechnungsdaten: Rechnungen, Honorarnoten, Versicherungsdetails
  • Termindaten: Kalendereintraege, Terminverlauf

Anlage 2: Technische und organisatorische Massnahmen (TOM)

Die Schweizerpunkt GmbH verpflichtet sich, die folgenden technischen und organisatorischen Massnahmen zu treffen, um die Sicherheit der bearbeiteten Personendaten zu gewaehrleisten (Art. 8 nDSG / Art. 32 DSGVO).

1. Vertraulichkeit (Zutritts-, Zugangs- und Zugriffskontrolle)

Physische Zutrittskontrolle (Rechenzentrum & Buero):

  • Hosting: Die Daten werden in professionellen Rechenzentren gehostet. Diese verfuegen ueber Zutrittskontrollsysteme, Videoueberwachung, Sicherheitspersonal und Alarmmeldeanlagen (Zertifizierung nach ISO 27001 liegt vor).
  • Bueroraeume Schweizerpunkt: Zutrittsregelung zu den Bueroraeumen nur fuer berechtigte Mitarbeiter (Schluesselregelung/Badge). Besucher werden protokolliert und begleitet.

Elektronische Zugangskontrolle (Systemzugang):

  • Authentifizierung: Der Zugang zur Applikation erfordert eine Authentifizierung mittels Benutzername und starkem Passwort.
  • Passwortrichtlinien: Erzwingung komplexer Passwoerter (Mindestlaenge, Sonderzeichen) und regelmaessiger Wechsel bei administrativen Konten.
  • Verschluesselung: Einsatz von aktuellen Verschluesselungsstandards (TLS 1.2/1.3) bei der Datenuebertragung ueber oeffentliche Netzwerke.

Interne Zugriffskontrolle (Datenzugriff):

  • Rollenkonzept: Berechtigungskonzept nach dem Prinzip der minimalen Rechtevergabe («Need-to-know»-Prinzip). Mitarbeiter haben nur Zugriff auf Daten, die sie zur Aufgabenerfuellung benoetigen.
  • Mandantenfaehigkeit: Logische Trennung der Daten verschiedener Kunden. Ein Kunde kann technisch nicht auf die Daten eines anderen Kunden zugreifen.
  • Administrative Zugriffe: Zugriffe von Administratoren auf Kundendaten erfolgen nur zu Supportzwecken auf explizite Weisung des Kunden und werden protokolliert.

2. Integritaet (Weitergabe- und Eingabekontrolle)

Weitergabekontrolle:

  • Verschluesselung in Transit: Saemtliche Kommunikation zwischen dem Client (Browser) und dem Server erfolgt verschluesselt (HTTPS).
  • Verschluesselung at Rest: Sensible Daten in der Datenbank und Backups werden verschluesselt gespeichert (z.B. TDE - Transparent Data Encryption).

Eingabekontrolle:

  • Audit-Logs: Das System protokolliert, wer wann welche Datensaetze erstellt, veraendert oder geloescht hat (Nachvollziehbarkeit).
  • Protokollierung: System-Logs werden zentral gesammelt und vor Manipulation geschuetzt aufbewahrt.

3. Verfuegbarkeit und Belastbarkeit

Verfuegbarkeitskontrolle:

  • Backups: Taegliche, automatische Datensicherung (Backups) der Datenbanken und Dateisysteme.
  • Georedundanz: Aufbewahrung der Backups an einem geographisch getrennten Standort (um Datenverlust bei Katastrophen im Hauptrechenzentrum zu verhindern).
  • Virenschutz & Firewall: Einsatz von Firewalls (WAF - Web Application Firewall) und aktuellen Virenscannern auf den Servern.

Wiederherstellbarkeit:

Es bestehen Prozesse zur zeitnahen Wiederherstellung der Verfuegbarkeit und des Zugangs zu den Personendaten nach einem physischen oder technischen Zwischenfall (Disaster Recovery Plan).

4. Verfahren zur regelmaessigen Ueberpruefung

Datenschutz-Management:

  • Verpflichtung der Mitarbeiter: Alle Mitarbeiter der Schweizerpunkt GmbH sind vertraglich auf das Datengeheimnis und die Vertraulichkeit verpflichtet.
  • Schulung: Regelmaessige Sensibilisierung der Mitarbeiter zu Datenschutzthemen.
  • Auftragsbearbeiter-Management: Sorgfaeltige Auswahl und vertragliche Bindung von Unterauftragnehmern (Hosting-Providern) gemaess den gesetzlichen Anforderungen.
  • Incident Management: Definierter Prozess zur Meldung von Datenschutzverletzungen an den Verantwortlichen.

Stand: Januar 2025 | Schweizerpunkt GmbH, Gotthelfstrasse 41, 8172 Niederglatt, Schweiz