Die vorliegende Vereinbarung konkretisiert die Verpflichtungen der Parteien in Bezug auf die Vorgaben aus dem Schweizer Datenschutzgesetz (DSG) und der Datenschutzgrundverordnung der EU (EU-DSGVO). Sie ergänzt diesbezüglich die vertraglichen Vereinbarungen ("Vertrag") zwischen Oniva AG (nachfolgend "Oniva" genannt) und dem Kunden. Es kann sich dabei um einen einzelnen oder mehrere Verträge zwischen Oniva und dem Kunden handeln, in welcher Oniva als Leistungserbringerin gegenüber dem Kunden auftritt.

Die vorliegende Vereinbarung gilt nur insofern und insoweit als die nachfolgenden Voraussetzungen erfüllt sind:
‍
a) Der Kunde ist entweder Verantwortlicher oder Auftragsbearbeiter im Anwendungsbereich des DSG und/oder der EU-DSGVO und

b) Der Kunde zieht Oniva im Rahmen des Vertrages als Auftragsbearbeiter oder Unter-Auftragsbearbeiter für die Bearbeitung von Personendaten bzw. von personenbezogenen Daten bei, welche vom Anwendungsbereich des DSG und/oder der EU-DSGVO erfasst sind ("relevante Daten").

Gegenstand, Dauer sowie Art und Zweck der Bearbeitung ergeben sich aus dem Vertrag. Die Kategorien der bearbeiteten relevanten Daten, die Kategorien betroffener Personen sowie die zu treffenden technischen und organisatorischen Massnahmen ("TOM") sind entweder im Vertrag oder in einem oder mehreren Anhängen zu dieser Vereinbarung aufgeführt.

Oniva bearbeitet die relevanten Daten ausschliesslich zum Zweck der Vertragserfüllung bzw. zu den im Vertrag genannten Zwecken. Der Kunde ist für die Rechtmässigkeit der Datenbearbeitung an sich, inklusive der Zulässigkeit der Auftrags-/Unter-Auftragsbearbeitung, verantwortlich.
‍
Die Weisungen des Kunden sind in dieser Vereinbarung und dem Vertrag dokumentiert. Der Kunde hat das Recht, Oniva jederzeit schriftlich darüberhinausgehende Weisungen in Bezug auf die Bearbeitung der relevanten Daten zu erteilen. Oniva kommt diesen Weisungen nach, soweit diese im Rahmen der vertraglich vereinbarten Leistungen durch Oniva umsetzbar und objektiv zumutbar sind. Führen solche Weisungen zu Mehrkosten von Oniva oder einem geänderten Leistungsumfang, so ist das vertraglich vereinbarte Vertragsänderungsverfahren anwendbar.
‍
Oniva informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen das DSG oder die EU-DSGVO verstösst. Oniva darf diesfalls die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde. Bei Weisungen des Kunden im Zusammenhang mit der Vergabe von Zugriffsberechtigungen oder der Herausgabe von relevanten Daten an den Kunden selbst gilt das Vorstehende nicht, und Oniva darf jederzeit davon ausgehen, dass diese Weisungen gesetzeskonform sind. Sie ist jedoch berechtigt, vom Kunden entsprechende schriftliche Bestätigungen zu verlangen.

Oniva bearbeitet die relevanten Daten ausschliesslich gemäss den Bestimmungen aus dem Vertrag und dieser Vereinbarung. Vorbehalten bleibt die Erfüllung gesetzlicher, regulatorischer oder behördlicher Verpflichtungen durch Oniva.

Oniva wird die im Vertrag und den Anhängen zu dieser Vereinbarung definierten TOM zum Schutz der relevanten Daten treffen. Oniva darf die vereinbarten TOM jederzeit anpassen, solange das vereinbarte Schutzniveau nicht unterschritten wird. Zudem überprüft Oniva laufend die vereinbarten TOM auf den aktuellen Stand der Technik und schlägt dem Kunden gegebenenfalls die Implementierung zusätzlicher Mass¬nahmen vor, welche im Rahmen eines Vertragsnachtrags vereinbart werden können.

Oniva verpflichtet sich, in Bezug auf die relevanten Daten ein Verzeichnis von Bearbeitungstätigkeiten im Einklang mit Art. 12 Abs. 1 DSG bzw. Art. 30 Abs. 2 EU-DSGVO zu führen. Oniva wird dem Kunden jederzeit auf Anfrage Einblick in die Teile dieses Verzeichnis gewähren, die von der Leistungserbringung von Oniva ihm gegenüber betroffen sind.

Oniva stellt sicher, dass es den mit der Bearbeitung der relevanten Daten des Kunden befassten Mitarbeitenden und anderen Hilfspersonen von Oniva untersagt ist, die relevanten Daten zu anderen als den im Vertrag genannten Zwecken und abweichend von dieser Vereinbarung zu bearbeiten. Ferner stellt Oniva sicher, dass sich die zur Bearbeitung der relevanten Daten befugten Personen zur Vertraulichkeit verpflichtet haben und/oder einer ange¬messenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Vertrages fort.

Oniva unterrichtet den Kunden unverzüglich, wenn ihr Verletzun¬gen des Schutzes der relevanten Daten bei Oniva oder einem ihrer Unter-Auftragsbearbeiter bekannt werden (Data Breach). Oniva informiert den Kunden schriftlich (E-Mail ausreichend) in angemessener Weise über Art und Ausmass der Verletzung sowie mögliche Abhilfemassnahmen. Die Parteien treffen in so einem Fall die erforderlichen Massnahmen zur Sicherstellung des Schutzes der relevanten Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen sowie die Parteien und sprechen sich hierzu unverzüglich ab.

Oniva nennt dem Kunden den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen sowie in den Fällen, in denen dies gemäss Art. 37 EU-DSGVO vorgeschrieben ist, den Datenschutzbeauftragten.

Oniva verpflichtet sich, den Kunden auf Wunsch und gegen vorgängig vereinbarte separate Vergütung im Rahmen ihrer Möglichkeiten bei der Erfüllung der Rechte der betroffenen Personen gegenüber dem Kunden gemäss Kapitel 4 des DSG bzw. Kapitel III der EU-DSGVO zu unterstützen. Darüber hinaus kann Oniva dem Kunden gegen separate Vergütung weitergehende Unterstützung des Kunden, z.B. im Zusammenhang mit einer Datenschutzfolgeabschätzung, Konsultation der Aufsichtsbehörde, Meldungen an diese etc. anbieten.

Relevante Daten sind nach Vertragsende gemäss den vertraglichen Bestimmungen herauszugeben oder zu löschen. Oniva setzt für die Löschung von relevanten Daten in der IT-Branche etablierte Verfahren ein.

Der Kunde trifft in seinem Verantwortungsbereich (z.B. auf seinen eigenen Systemen, Gebäuden, Applikationen/Umgebungen in seiner Betriebsverantwortung) selbständig angemessene technische und organisatorische Massnahmen zum Schutz der relevanten Daten.

Der Kunde hat Oniva unverzüglich zu informieren, wenn er in der Leistungserbringung von Oniva Verletzungen datenschutzrechtlicher Bestimmungen feststellt.

Der Kunde nennt Oniva den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen sowie in den Fällen, in denen dies gemäss Art. 37 EU-DSGVO vorgeschrieben ist, den Datenschutzbeauftragten.

Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, Auskunft oder anderen Ansprüchen zu relevanten Daten direkt an Oniva, wird Oniva die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden nach Angaben der betroffenen Person möglich ist. Die Unterstützung des Kunden seitens Oniva bei Anfragen betroffener Personen richtet sich nach Ziffer 3.

Oniva ist verpflichtet, dem Kunden auf Verlangen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten gemäss dieser Vereinbarung zu dokumentieren.

Im Vertrag allfällig definierte Audit-Rechte sowie gesetzlich zwingend vorgeschriebene Prüfrechte des Kunden oder seiner Aufsichtsbehörden bleiben vorbehalten. Auf jeden Fall sind im Rahmen solcher Audits der Grundsatz der Verhältnismässigkeit einzuhalten sowie die schutzwürdigen Interessen von Oniva (namentlich an Geheimhaltung) angemessen zu berücksichtigen. Vorbehältlich einer abweichenden Regelung trägt der Kunde sämtliche Kosten solcher Audits (inklusive nachgewiesene interne Kosten von Oniva, die bei der Mitwirkung am Audit entstehen).

Werden nach Vorlage von Nachweisen oder Berichten oder im Rahmen eines Audits Verletzungen dieser Vereinbarung oder Mängel bei der Umsetzung der Pflichten von Oniva festgestellt, so hat Oniva unverzüglich und kostenlos geeignete Korrekturmassnahmen zu implementieren.

Soweit der Vertrag keine einschränkenderen Bestimmungen zum Beizug Dritter enthält, ist Oniva zum Beizug von Unter-Auftragsbearbeitern berechtigt, hat jedoch den Kunden vorgängig darüber zu informieren, wenn sie nach Inkrafttreten dieser Vereinbarung neue Unter-Auftragsbearbeiter beizieht oder bestehende Unter-Auftragsbearbeiter austauscht. Der Kunde kann gegen den Beizug eines neuen oder den Austausch eines bestehenden Unter-Auftragsbearbeiters aus wichtigen datenschutzrechtlichen Gründen schriftlich innerhalb einer Frist von 30 Tagen Einspruch erheben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Kunden ein Kündigungsrecht in Bezug auf die hiervon betroffene Leistung eingeräumt.

Oniva wird mit ihren Unter-Auftragsbearbeitern im erforderlichen Umfang Vereinbarungen treffen, um die Verpflichtungen gemäss vorliegender Vereinbarung sicherzustellen.

Jedwede Bekanntgabe von relevanten Daten durch Oniva ins Ausland oder an eine internationale Organisation ist nur zulässig, wenn Oniva die Bestimmungen von Art. 16 ff. DSG bzw. von Kapitel V EU-DSGVO einhält. Soweit hingegen eine solche Bekanntgabe von relevanten Daten vom Kunden gewünscht bzw. in seinem Auftrag erfolgt, obliegt die Einhaltung der entsprechenden Bestimmungen ausschliesslich dem Kunden. Die Orte, von denen aus der Kunde oder Endbenutzer des Kunden auf Personendaten zugreifen und bearbeiten, werden von Oniva weder kontrolliert noch begrenzt.

Verwendete Datenelemente und technische und organisatorische Massnahmen (TOM)

Verwendete Datenelemente

Der Kunde resp. die betroffenen Personen selber überlassen Oniva AG (nachfolgend "Oniva" genannt) im Rahmen der Verträge in ihrem eigenen Ermessen und gegenüber Oniva im Auftrag des Kunden Personendaten (inkl. in gewissen Fällen besonders schützenswerte Personendaten) und/oder geheimnisgebundene Daten zur Bearbeitung.

Es kann sich dabei um Personendaten insbesondere folgender betroffener Personen handeln:

Es kann sich dabei insbesondere um folgende Arten von Personendaten handeln:

Persönliche Informationen wie Vorname, Nachname, Geburtsdatum, Alter, Geschlecht, Nationalität etc.
Geschäftliche Kontaktdaten wie E-Mailadresse, Telefonnummer, Adresse
Private Kontaktdaten wie E-Mailadresse, Telefonnummer, Adresse
Details von Identitätspapieren
Informationen über das Berufsleben wie Stellenbezeichnung, Funktion etc.
Informationen über das private Leben wie Familienstand, Hobbies etc.
Benutzerinformationen wie Logindaten, Kundennummer, Personalnummer, Nutzerverhalten etc.
Technische Informationen wie IP-Adresse, Geräteinformationen etc.

Bei diesen Datenkategorien handelt es sich um Personendaten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Bei diesen Daten kann es sich beispielsweise um dem Berufsgeheimnis, dem Bankgeheimnis, dem Amtsgeheimnis, der Verschwiegenheitspflicht gemäss Sozialversicherungsrecht unterliegende Daten handeln.

Wurden die Daten durch den Kunden verschlüsselt und sind sie für Oniva daher nicht einsehbar, handelt es sich nicht um eine Auftragsdatenbearbeitung durch Oniva. Damit ist die Vereinbarung über die Auftragsdatenbearbeitung auf diese Daten nicht anwendbar.

Die Beurteilung, ob die nachfolgend beschriebenen technischen und organisatorischen Massnahmen zum Schutz der Oniva zur Bearbeitung anvertrauten Daten (namentlich bei besonders schützenswerten Personendaten oder geheimnisgebundenen Daten) angemessen sind, obliegt ausschliesslich dem Kunden.

Die folgenden Kapitel beschreiben die von Oniva getroffenen Massnahmen in Bezug auf den Schutz von Personendaten im Rahmen der Auftragsdatenbearbeitung. Oniva unterhält ein Information Security Management System (ISMS), welches sich an ISO27001 und andere internationale Standards anlehnt.

Die nachstehend aufgeführten Massnahmen sind generisch zu verstehen und kommen jeweils dann zur Anwendung, wenn im Vertrag nichts Abweichendes definiert ist, z.B. weitergehende produkt- oder kundenspezifische Massnahmen festgelegt sind oder gewisse der nachstehenden Massnahmen explizit ausgeschlossen werden. Die nachfolgenden Massnahmen gelten für die Fälle, in welchen Oniva selbst die relevanten Daten verarbeitet. Findet die Datenbearbeitung durch von Oniva beauftragte Dritte statt, sorgt Oniva mittels geeigneter vertraglicher Vereinbarungen dafür, dass die Dritten vergleichbare Massnahmen einhalten.

Oniva unterteilt die Flächen in verschieden stark gesicherte Sicherheitszonen. Diese Zonen unterteilen sich in öffentliche, gesicherte und Zonen. Öffentliche Zonen sind für jedermann zugänglich, wie z.B. die Empfangsräumlichkeiten in einem Bürogebäude. Um in gesicherte Zonen Zutritt zu erhalten, wird ein Badge oder Schlüssel benötigt. Die Badges der Mitarbeitenden und Dienstleister sind personalisiert. Die Ausgabe der Schlüssel an die berechtigten Personen wird protokolliert. Besucher müssen sich registrieren und werden in den gesicherten Zonen von den verantwortlichen Mitarbeitenden begleitet. Sind nicht personalisierte Badges im Einsatz, ist ein Verantwortlicher benannt, der über die temporären Besitzer ein Protokoll führt.

Oniva stellt sicher, dass die von Oniva eingesetzten Rechenzentren von Dritten für die permanente Speicherung von Daten als hochsichere Zonen klassifiziert sind. In hochsicheren Zonen gibt es keinen direkten Zugang von öffentlichen Zonen zur hochsicheren Zone, sondern nur über eine gesicherte Zone. Der Zutritt zur hochsicheren Zone verlangt eine Identifikation mit zwei Elementen, und wird protokolliert.

Eingesetzte Rechenzentren von Oniva verfügen über die nötigen physischen Schutzmassnahmen, um eine Verletzung des Perimeters des Gebäudes frühzeitig zu erkennen und einen entsprechenden Alarm auszulösen. Bei Gebäuden, die rund um die Uhr besetzt sind, sind die Sicherheitsmitarbeitenden entsprechend geschult, um solche Alarmierungen rasch und professionell zu verarbeiten und entsprechende Massnahmen einzuleiten. Falls die Gebäude nicht rund um die Uhr besetzt sind, gehen die Alarme an einen Sicherheitsdienstleister oder an die Polizei um eine Intervention auszulösen.

Eingesetzte Rechenzentren von Oniva verfügen über die weiteren nötigen Schutzmassnahmen um Gefahren durch Naturereignisse wie Blitz, Regen, Überschwemmung etc. möglichst so stark zu reduzieren, dass diese nicht mehr relevant für den Rechenzentrumsbetrieb sind.

Der Zugriff auf die Systeme von Oniva erfolgt immer mit personalisierten Identifikationen der beauftragten Personen von Oniva.

Der Zugang zu den Systemen ist immer mindestens mit einem Passwort oder einem äquivalenten Authentisierungsmerkmal und der dazu gehörenden digitalen Identifikation geschützt. Die Zugangsdaten werden so gespeichert, dass keine direkte Ableitung des gültigen Authentisierungsmerkmals möglich ist, falls diese Daten zugreifbar würden.

Die Passwörter müssen komplexe Anforderungen erfüllen und bestehen mindestens aus drei Klassen der folgenden Elemente: grossgeschriebene Buchstaben, kleingeschriebene Buchstaben, Zahlen, Sonderzeichen. Passwörter persönlicher Accounts werden nie an Dritte zugänglich gemacht.

Bei fehlerhafter Anmeldung kann die Identifikation zuerst temporär und nach weiteren Fehlversuchen permanent gesperrt werden.

Falls der Benutzer Administrationsrechte mit einer unpersönlichen Identität benötigt, muss der Benutzer ein "Step-Up" Verfahren durchführen: Das heisst, dass der Mitarbeiter sich auf dem System mit seinem persönlichen Account anmeldet und danach auf dem System seine Rechte erhöht. Auf Unix Systemen passiert dies zum Beispiel mit der Verwendung des sudo Befehls. Falls kein "Step-Up" Verfahren möglich ist, kann Oniva jederzeit über die Administrationsplattform feststellen, welcher Benutzer die unpersönliche Administrations-Identität benutzt hat. Sämtliche administrativen Zugriffe werden bei Oniva geloggt und für eine definierte Zeitdauer gespeichert.

Über Internet zugängliche Portale verlangen in Abhängigkeit derer Klassifizierung von Benutzern eine starke Authentisierung beim Zugriff auf die relevanten Daten. Die starke Authentisierung basiert dabei auf Mobile ID, Verwendung eines elektronischen Tokens zur Generierung von Einmal-Passwörtern oder anderen sicheren Mitteln als zweiter Faktor.

Mobile ID ist ein Service von Swisscom basierend auf für Swisscom Nutzer spezifisch angepasster SIM Karte mit Sicherheitsmodul für Mobiltelefone und stellt damit eine sichere Identifikation des Benutzers dar.

Geräte, die einen direkten Zugang ins Firmennetz erhalten, werden über ein maschinenlesbares Zertifikat identifiziert. Mitarbeitende die ihr persönliches Gerät einsetzen, müssen sich für den Zugriff auf die relevanten Daten von Kunden über eine virtuelle Infrastruktur anmelden.

Die Berechtigungen auf den Systemen werden in Rollen strukturiert. Eine Identität erhält eine oder mehrere Rollen zugewiesen, die für die Ausführung der Organisationsrolle der Person nötig sind. Die Rollen sind so strukturiert, dass nur auf die Daten zugegriffen werden kann, die für die Erfüllung der Aufgabe nötig sind.

Die Beschreibung der Rollen und ihrer Berechtigungen sind in Rollenkonzepten dokumentiert. Diese Konzepte werden regelmässig geprüft und aktualisiert. Das Rollenkonzept wird vom Systemverantwortlichen geführt und aktualisiert. Für sämtliche Rollen wird regelmässig geprüft, ob die zugeordneten Benutzer diese Rolle noch benötigen.

Falls ein Mitarbeiter zusätzliche Rechte benötigt, kann er eine zusätzliche Rolle bestellen. Die Freigabe für diese zusätzliche Rolle erfolgt durch den Vorgesetzten und den Rollenbesitzer. Der Rollenbesitzer kann entscheiden ob diese Freigabe effektiv nötig ist, oder eine automatische Freigabe erfolgen kann. Eine sehr limitierte Anzahl Rollen werden automatisch dem Mitarbeiter zugeordnet, dabei handelt es sich Rollen aus der Organisationsstruktur, wie z.B. die Zugehörigkeit in eine Organisationseinheit.

Der Datenverkehr zwischen dem Netzwerk des Kunden und Oniva erfolgt nach Möglichkeit verschlüsselt oder wird durch alternative Massnahmen geschützt. Alternative Massnahmen können z.B. die Verwendung von dedizierten logischen Leitungen oder die Verwendung von direkten Glasfaserverbindungen sein. Die Verschlüsselung der Verbindung basiert auf aktuellen Protokollen und Schutzmechanismen.

Zugriffe auf die Systeme werden protokolliert und können mit verschiedenen Verfahren analysiert werden.

Der Zugriff über das Internet auf relevante Daten erfolgt immer über eine verschlüsselte Verbindung. Dabei verwendet Oniva aktuelle Protokolle und Schutzmechanismen. Diese verschlüsselte Verbindung basiert auf Technologien auf Netzwerk-, Session- oder Anwendungsschicht.

Der direkte Zugriff des Kunden auf seine personenbezogenen Daten wird nach Vereinbarung mit dem Kunden über den Transportweg geschützt. Oniva bietet hier entsprechende Services an, die virtuelle Netzwerkverbindungen zum Kunden ermöglichen. Zusätzlich können für diese Verbindungen auch noch weitere Verschlüsselungstechniken eingesetzt werden.

Die permanenten Speicher in den von Oniva eingesetzten Rechenzentren werden mit physischen Schutzmassnahmen gegen Verlust geschützt. Dazu gehören redundante Stromversorgungen und die notwendigen Systeme um einen autarken Betrieb für einen definierten Zeitraum zu ermöglichen.

Zum Schutz vor Rauch- oder Brandschäden verfügen die hochsicheren Räume über Rauch- und Brandmeldeanlagen. Im Ereignisfall wird entweder für eine Erstreaktion das anwesende Sicherheitspersonal respektive Gebäudepersonal eingesetzt oder eine Löschanlage aktiviert, um den potentiellen Schaden möglichst gering zu halten. Falls kein Personal vor Ort vorhanden ist wird der Alarm an die lokale Feuerwehr geleitet.

Datenträger werden bei Defekt vom eingesetzten Anbieter des Rechenzentrum als  physisch unbrauchbar gemacht, um einen möglichen Zugriff vollständig auszuschliessen.

Funktionierende Datenträger werden mit branchenüblichen Löschverfahren so gelöscht, dass eine Rekonstruktion der beinhalteten Daten beinahe unmöglich ist. Ist ein solches Verfahren nicht möglich, werden die Datenträger physisch unbrauchbar gemacht, respektive zerstört.

Eine Rückgabe von Datenträger an den Kunden ist unter definierten Umständen möglich. Dies bedingt, dass das Speichersystem, respektive der Datenträger nur für diesen einen Kunden im Einsatz gestanden ist. In diesem Fall besitzt der Anbieter des eingesetzten Rechenzentrums von Oniva einen definierten Prozess, um die Datenträger in einem vordefinierten Gebäude dem Kunden protokoliert zu übergeben.

Oniva stellt für den Fall, in dem Oniva für die Eingabe und Verarbeitung von personenbezogenen Daten zuständig ist, mit den notwendigen technischen und organisatorischen Massnahmen sicher, dass diese Daten korrekt erfasst und verarbeitet werden.

Oniva erfasst für die Service-Erbringung weitere personenbezogene Daten des Kunden in Systemen von Oniva. Diese Systeme dienen z.B. zur Erfassung von Fehlermeldungen (Incidents), Erfassung von Änderungswünschen oder zur Rechnungsstellung. Oniva stellt durch geeignete Qualitätsmassnahmen sicher, dass relevante Daten, die hierbei erfasst werden, geprüft und korrigiert werden.

Oniva wählt mögliche Unterlieferanten mit Zugriff auf die Daten sorgfältig aus und überbindet die relevanten Verantwortlichkeiten zum Datenschutz den Lieferanten.

Oniva hat für die Gewährleistung der Datenschutz-Anforderungen eine verantwortliche Organisation benannt. Diese ist für Anfragen unter security@oniva.events erreichbar. Erste Ansprechstelle für Fragen zum Datenschutz bei Oniva ist der zuständige Kundenbetreuer von Oniva.

Neue Mitarbeiter von Oniva werden vor Beginn ihrer Anstellung je nach Rolle einer Sicherheitsprüfung unterzogen. Diese besteht aus verschiedenen Stufen und ist je nach Zugriffsmöglichkeit auf relevante Daten unterschiedlich ausgestaltet. Die Prüfung umfasst mindestens die Verifikation des vollständigen Lebenslaufs, der letzten Zeugnisse und das Einholen einer persönlichen Referenzauskunft.

In den weiteren Stufen kommen hier noch das Unterzeichnen einer Vertraulichkeitserklärung oder eine Überprüfung gemäss Personensicherheitsüberprüfung des Bundes dazu.

Neue Mitarbeiter werden bei ihrem Arbeitsbeginn mit den relevanten Regeln zur eigenen Sicherheit und zur Datensicherheit vertraut gemacht. Bestehende Mitarbeiter von Oniva werden regelmässig zum sorgfältigen Umgang mit Daten geschult. Dazu dienen Meldungen im Intranet, Blogbeiträge, elektronische Awareness-Schulungen auf internen Lernplattformen von Oniva wie auch vor-Ort-Schulungen.

Wenn der Oniva Mitarbeiter die Firma verlässt, wird die Hauptidentität auf den Systemen von Oniva automatisch gesperrt. Der Zutritt zu den Gebäuden wird ebenfalls am Ende des letzten Arbeitstags gesperrt. Es ist die Aufgabe des Vorgesetzten, sämtliche weiteren Zugriffe zu löschen und am letzten Arbeitstag des Mitarbeiters den Badge und die Arbeitsgeräte von Oniva einzuziehen.

Oniva speichert die Daten gemäss vertraglicher Vereinbarung in Rechenzentren mit dem notwendigen Schutzniveau. Dabei handelt es sich um Rechenzentren von Dritten (siehe 2.2).

Um die Verfügbarkeit der Daten zu gewährleisten, werden die Speichersysteme von Oniva so konfiguriert, dass auch mehr als eine Komponente ausfallen kann und die Daten trotzdem noch verfügbar sind. Dies wird durch redundante, verteilte Datenträger wie auch redundante Netzwerke und Stromversorgungen erreicht.

Oniva sichert die Daten gemäss der Servicebeschreibung. Dabei erfolgt die Sicherung immer auf Speichersystemen in einem weiteren Rechenzentrum mit einer genügenden geografischen Distanz zwischen den beiden Standorten. Die unterschiedlichen geografischen Räume dienen dazu, mögliche Schäden durch Naturereignisse wie Blitz, Regen, Überschwemmung, Murgänge auf möglichst einen Standort zu minimieren.

Abhängig von den bezogenen Leistungen kann der Kunde unterschiedliche Niveaus von Datensicherungen zusätzlich bestellen. Dies ist in der Servicebeschreibung ersichtlich oder kann beim Kundenberater von Oniva nachgefragt werden.

Oniva hat die nötigen Prozesse implementiert, um Meldungen über Softwareschwachstellen und Patches zu identifizieren, zu bewerten und daraus notwendigen weiteren Schritte abzuleiten. Die Installation von Patches benötigt unter Umständen die Zusammenarbeit und Freigabe des Kunden. Falls ein Patch dringend installiert werden muss, gibt es je nach Service einen sogenannten Emergency Patch Prozess.

Oniva stellt sicher, dass die Daten der Kunden nicht gegenseitig einsehbar sind. Dazu werden aktuelle Sicherheitsverfahren eingesetzt, die auf logischer oder physischer Ebene die Trennung der Kundendaten sicherstellen.

Physische Verfahren sind dann angebracht, wenn der Service und die dazu verwendeten Systeme es nicht erlauben, eine adäquate logische Trennung zu ermöglichen. Oniva versucht aus Kostengründen möglichst immer logische Verfahren einzusetzen.

Je nach Service Angebot kann der Kunde von sich aus den Wunsch äussern, dass seine Daten physisch von den Daten anderer Kunden getrennt werden. Diese Option ist nicht in allen Angeboten verfügbar.

Logische Verfahren sind von Oniva darauf geprüft worden, dass diese Verfahren nicht ausgehebelt werden können. Falls Oniva feststellen würde, dass die Verfahren dies nicht mehr gewährleisten, wird Oniva die nötigen Gegenmassnahmen treffen um einen äquivalenten Schutz wiederherzustellen.

Oniva führt regelmässige System-Audits durch. Im technischen Bereich ist das z.B. eine regelmässige Überprüfung des IP-Perimeters oder Securityaudits von Plattformen.

Basierend auf einer Risiko-Analyse werden neue Leistungen und Dienste einer technischen Prüfung unterzogen. Festgestellte Mängel werden von den verantwortlichen Stellen behoben. Je nach Schwere der Mängel wird eine ergänzende Prüfung durchgeführt, um die Wirksamkeit der Behebung nachzuweisen.

Oniva führt über das ganze Unternehmen ein Risikomanagement-System, um Risiken festzustellen, zu quantifizieren und zusammen mit den verantwortlichen Organisationen Massnahmen zur Reduktion der Risiken einzuleiten.

Oniva nimmt am einen Bug Bounty Programm teil. Dieses ermöglicht es jedermann erkannte Sicherheitslücken in den Services von Oniva zentralisiert zu melden. Die Meldungen werden evaluiert und die nötigen Gegenmassnahmen getroffen, z.B. ein Patch für eine Software erstellt oder der Code einer Webseite verbessert. Zum Abschluss wird die Vulnerability-Meldung vom Melder publiziert und der Melder je nach Schwere der Lücke entschädigt.

Die Datenschutzorganisation von Oniva führt ein Risiko Management System um die Datenschutzrisiken von Oniva festzustellen, zu dokumentieren und eine entsprechende Behandlung der festgestellten Risiken sicherzustellen. Die Datenschutzorganisation stellt dabei sicher, dass eine stufengerechte Kommunikation und Allokation der Verantwortung für die Datenschutzrisiken erfolgt. Die Datenschutzorganisation steht dabei in kontinuierlichem Austausch mit anderen Risiko Management Funktionen der Oniva.