Nutzungsbestimmungen DispoCura

Teil I – Nutzungsbestimmungen für die Bestellplattform

1.     Geltung

Diese Nutzungsbestimmungen für die Bestellplattform (Nutzungsbestimmungen) gelten für jede Verwendung der unter [DispoCura Pharmapool / DispoCura Galexis] verfügbaren Bestellplattform durch einen potentiellen Besteller (Kunde), insbesondere den Zugriff, die Registrierung für ein Nutzerkonto und für Bestellungen. Sie werden mit jeder dieser Handlungen in der dann aktuellen Fassung akzeptiert.

2.     Vertragsparteien

Bei Bestellungen über die Bestellplattform ist Vertragspartner, je nach den Angaben beim Kauf und in der Bestellbestätigung, Galexis AG, Industriestrasse 2, 4704 Niederbipp, Schweiz (Galexis) oder Pharmapool AG, Unterlettenstrasse 18, 9443 Widnau (Pharmapool; jeweils Logistikunternehmen).

3.     Betrieb der Bestellplattform

(a) Die Bestellplattform wird von Pharmed Solutions AG, Regina-Kägi-Strasse 11, 8050 Zürich (Pharmed) betrieben. Pharmed wird beim Betrieb der Bestellplattform als Auftragsbearbeiterin des Kunden tätig. Es gelten die Bestimmungen zur Auftragsbearbeitung im Anhang.

(b) Pharmed ist nicht verpflichtet, die Bestellplattform auf eine bestimmte Dauer oder in unveränderter Form anzubieten oder eine bestimmte Verfügbarkeit sicherzustellen. Entsprechend besteht kein Anspruch auf Verwendung der Bestellplattform.

(c) Die Rechte an sämtlichen Inhalten (Bildern, Texten, etc.) der Bestellplattform liegen bei Pharmed, den Logistikunternehmen oder ihren Lizenzgebern. Es werden dem Kunden keine Rechte übertragen.

4.     Pflichten des Kunden

(a) Die Verwendung der Bestellplattform setzt die Einrichtung eines Nutzerkontos voraus. Die Logistikunternehmen werden Bestellungen ausschliesslich an bezugsberechtigte Kunden liefern. Betäubungsmittel, werden nur an Kunden mit entsprechender kantonaler Bewilligung (Heilmittelkontrolle) ausgeliefert.

(b) Mit der Einrichtung eines Nutzerkontos werden die Richtigkeit und Vollständigkeit der dabei erfassten Angaben bestätigt. Nutzername und Passwort sind geheimzuhalten. Alle Handlungen, die über ein Nutzerkonto erfolgen, gelten als von der Inhaberin des Kontos vorgenommen.

(c) Die Bestellplattform darf nur ihrem Zweck entsprechend verwendet werden. Eine Verwendung, die gegen das Gesetz, Rechte Dritter oder die guten Sitten verstösst, ist untersagt.

5.     Bestellungen

(a) Die Logistikunternehmen bieten auf der Bestellplattform Produkte und Logistik- und andere Dienstleistungen aus dem Gesundheitsmarkt an. Das Angebot kann von den Dienstleistern jederzeit eingeschränkt oder geändert werden.

(b) Durch Anklicken des Buttons [«senden»] erfolgt eine für den Kunden verbindliche Bestellung. Die Logistikunternehmen sind frei, eine Bestellung anzunehmen oder abzulehnen. Ein Vertrag über die Bestellung kommt erst mit dem Zugang der Bestellbestätigung des Logistikunternehmens zustande.

(c) Im Nutzerkonto können Personendaten Dritter (beispielsweise von Patienten) hinterlegt werden. Diese Angaben werden nicht an die Logistikunternehmen weitergeleitet, sondern von Pharmed als Auftragsbearbeiterin gehalten.

(d) Soweit auf der Bestellplattform Chargen- und Verfalldaten übermittelt werden, übernehmen die Logistikpartner keine Haftung für die Vollständig- und Richtigkeit dieser Angaben. Ausschlaggebend sind ausschliesslich die Angaben auf der Verpackung der Produkte.

(e) Für Bestellungen gelten die AGB des Vertragspartners, abrufbar unter folgenden Links:

Pharmapool: https://www.pharmapool.ch

Galexis: Allgemeine Geschäftsbedingungen (AGB) Galexis AG

(f) Im Fall von Widersprüchen zwischen diesen Nutzungsbedingungen und den AGB gehen die Nutzungsbedingungen vor.

6.     Haftung

Jede Haftung von Pharmed und der Logistikunternehmen ist ausgeschlossen. Vorbehalten bleiben absichtlich oder grobfahrlässig verursachte Schäden und Schäden aus Körperverletzung.

7.     Schlussbestimmungen

(a) Die Datenbearbeitung im Zusammenhang mit der Bestellplattform wird in der Datenschutzerklärung der Pharmed Solutions AG erläutert, die hier und unter „Datenschutzerklärung“ abgerufen werden kann. Zusätzlich sind die Datenschutzerklärungen der Logistikunternehmen zu beachten, die unter folgenden Links abrufbar sind:

Pharmapool: https://www.pharmapool.ch

Galexis: Datenschutzerklärung Galexis AG

(b) Es gilt das schweizerische Recht. Für Streitigkeiten aus oder im Zusammenhang mit Bestellungen gilt der Gerichtsstand gemäss den jeweils geltenden AGB des Vertragspartners des Kunden. Für Streitigkeiten aus oder im Zusammenhang mit der Bestellplattform sind die Gerichte am Sitz von Pharmed ausschliesslich zuständig. Vorbehalten bleiben jeweils Rückgriffsansprüche von Pharmed und/oder den Logistikunternehmen gegen den Kunden, die vor jedem zuständigen Gericht geltend gemacht werden können.

Teil II – Auftragsbearbeitungsbestimmungen

1.     Gegenstand, Art, Zweck und Dauer der Datenbearbeitung

(a) Auftragsbearbeitung und Gegenstand: Für die Bearbeitung von Personendaten (bspw. Name, Adresse oder Gesundheitsangaben) im Zusammenhang mit der Übermittlung von Bestellungen an die Logistikunternehmen und mit der Speicherung weitergehender Personendaten (bspw. Patientendaten; gemeinsam Auftragsdaten) auf der Bestellplattform handelt Pharmed als Auftragsbearbeiterin des Kunden. Für diese Bearbeitung gelten diese Auftragsbearbeitungsbestimmungen (ADV) zwischen dem Kunden und Pharmed (gemeinsam die Parteien).

(b) Diese ADV tritt in Kraft, wenn die Nutzungsbestimmungen akzeptiert werden, spätestens aber mit der Bereitstellung der Auftragsdaten. Die ADV gilt, bis das Nutzerkonto auf der Bestellplattform gelöscht wird, mindestens aber bis zur Löschung der Auftragsdaten.

2.     Weisungen

(a) Befolgung von Weisungen: Pharmed ist verpflichtet, die Auftragsdaten ausschliesslich gemäss den Nutzungsbestimmungen und dieser ADV zu bearbeiten und bei der Bearbeitung den Weisungen des Kunden zu folgen. Vorbehalten sind abweichende Pflichten des anwendbaren Rechts (z.B. gesetzliche Pflichten oder verbindliche Anordnungen zuständiger Behörden).

(b) Rechtmässigkeit der Datenbearbeitung: Der Kunde ist für die Rechtmässigkeit der Datenbearbeitung an sich, inklusive der Zulässigkeit der Auftrags-/Unter-Auftragsbearbeitung verantwortlich.

(c) Erteilung von Weisungen: Die Weisungen des Kunden sind durch diese ADV dokumentiert. Der Kunde darf Pharmed jederzeit schriftlich darüberhinausgehende Weisungen erteilen. Solche Einzelweisungen bedürfen einer vorherigen Zustimmung von Pharmed und sind zu dokumentieren. Pharmed stimmt diesen Weisungen zu, soweit sie im Rahmen der Nutzungsbestimmungen umsetzbar und zumutbar sind.

(d) Zulässigkeit von Weisungen: Pharmed informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen das DSG oder die EU-DSGVO verstösst. In dem Fall darf Pharmed die Umsetzung der Weisung aussetzen, bis sie vom Kunden bestätigt oder geändert wurde. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemässe Bearbeitung der Auftragsdaten beim Kunden liegt. Pharmed darf jederzeit davon ausgehen, dass Weisungen des Kunden betreffend Zugriffsberechtigungen auf Auftragsdaten oder deren Herausgabe an ihn gesetzeskonform sind.

3.     Weitere Pflichten von Pharmed

(a) Zweckbindung: Pharmed bearbeitet die Auftragsdaten ausschliesslich zu den Zwecken, zu denen sie zur Verfügung gestellt wurden und gemäss den Nutzungsbestimmungen und den in dieser ADV vereinbarten Regelungen. Pharmed bleibt es vorbehalten, die Auftragsdaten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Massgabe des Vertrags vereinbarten Dienstes zu verwenden.

(b) Sicherheitsmassnahmen: Pharmed ergreift angemessene, in jedem Fall aber mindestens die in Anhang 1 umschriebenen Sicherheitsmassnahmen zum Schutz der Auftragsdaten. Pharmed ist während der Dauer dieser ADV berechtigt, die Sicherheitsmassnahmen anzupassen, sofern dabei das Sicherheitsniveau nicht abgesenkt wird.

(c) Verzeichnis über die Datenbearbeitungen: Pharmed führt ein den Anforderungen gemäss Art. 12 Abs. 1 DSG bzw. Art. 30 Abs. 2 EU-DSGVO entsprechendes Verzeichnis über seine Bearbeitung von Auftragsdaten. Pharmed gewährt dem Kunden auf Anfrage Einblick in diejenigen Teile des Bearbeitungsverzeichnisses, die die Bearbeitung von Auftragsdaten betreffen, die für die an ihn erbrachten Dienstleistung relevant sind.

(d) Vertraulichkeit: Pharmed ist sich bewusst, dass Auftragsdaten dem ärztlichen Berufsgeheimnis unterliegen können, und verpflichtet sich, Auftragsdaten strikt vertraulich zu behandeln und innerhalb und ausserhalb der Organisation nur Personen zugänglich zu machen, die für die Erfüllung ihrer Pflichten auf Zugang zu den Auftragsdaten angewiesen sind und dass alle Personen mit Zugang zu den Auftragsdaten mit Bezug auf diese einer gesetzlichen oder vertraglichen Vertraulichkeitspflicht und/oder Verschwiegenheitspflicht unterstehen, die der Wahrung des Berufsgeheimnisses Rechnung trägt.

(e) Meldung von Sicherheitsverletzungen: Bei konkret vermuteten und bei festgestellten Sicherheitsverletzungen bei Pharmed oder einem Unterauftragsbearbeiter, die – ob rechts-, vertrags- oder weisungswidrig oder unbeabsichtigt – zur Vernichtung, zum Verlust, zur Veränderung oder zur Offenlegung von Auftragsdaten führen, informiert Pharmed den Kunden so rasch als möglich in angemessener Weise über Art und Ausmass der Verletzung sowie mögliche Abhilfemassnahmen. Die Parteien treffen in so einem Fall die erforderlichen Massnahmen zur Sicherstellung des Schutzes der Auftragsdaten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen sowie die Parteien und sprechen sich hierzu unverzüglich ab.

(f) Unterstützungspflichten:

(i) Soweit sich eine betroffene Person im Zusammenhang mit datenschutzrechtlichen Ansprüchen (z.B. mit einem Auskunfts- oder Löschbegehren) an Pharmed wendet, leitet Pharmed das entsprechende Begehren unverzüglich an den Kunden weiter. Er unterstützt den Kunden angemessen bei der Bearbeitung solcher Begehren. Pharmed kann bei grösseren Aufwänden eine vorgängig zu vereinbarende separate Vergütung verlangen.

(ii) Pharmed unterstützt den Kunden bei der Durchführung einer Datenschutzfolgeabschätzung, Konsultationen der Aufsichtsbehörde, Meldungen an diese und ähnliches mit notwendigen Daten und Informationen. Pharmed kann bei grösseren Aufwänden eine vorgängig zu vereinbarende separate Vergütung verlangen.

(g) Rückgabe- und Löschpflicht:

(i) Auftragsdaten sind nach Beendigung dieser ADV gemäss den Weisungen des Kunden herauszugeben oder zu löschen. Soweit der Kunde keine Weisungen erteilt, löscht Pharmed die Auftragsdaten nach Beendigung der vertraglichen Beziehung mit dem Kunden. Das gilt nur sofern nicht gesetzlich eine Verpflichtung von Pharmed zur weiteren Speicherung der Auftragsdaten besteht. Pharmed setzt für die Löschung von Auftragsdaten branchenübliche Verfahren ein.

(ii) Dokumentationen, die dem Nachweis der auftragsgemässen Bearbeitung von Auftragsdaten dienen, dürfen durch Pharmed auch nach Beendigung der ADV im Einklang mit den gesetzlichen Vorgaben aufbewahrt werden.

4.     Pflichten und Obliegenheiten des Kunden

(a) Kunde als Verantwortlicher: Der Kunde erfüllt sämtliche auf seine Rolle als Bearbeiter von Auftragsdaten anwendbaren regulatorischen Pflichten. Er ist für die Rechtmässigkeit der Bearbeitung der Auftragsdaten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich. Sollten Dritte gegen Pharmed aufgrund der Bearbeitung von Auftragsdaten nach Massgabe dieser ADV Ansprüche geltend machen, wird der Kunde Pharmed von allen solchen Ansprüchen freistellen.

(b) Sicherheitsmassnahmen: Der Kunde trifft in seinem Verantwortungsbereich (z.B. seinen Systemen und Gebäuden) selbst angemessene technische und organisatorische Massnahmen zum Schutz der Auftragsdaten.

(c) Informationspflichten

(i) Der Kunde informiert Pharmed unverzüglich, wenn er in der Datenbearbeitung durch Pharmed eine Datenschutzverletzung feststellt.

(ii) Ist Pharmed gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Bearbeitung von Auftragsdaten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Kunde verpflichtet, Pharmed bei der Erfüllung dieser Verpflichtungen zu unterstützen.

5.     Unterauftragsbearbeiter

(a) Beizugsrecht: Pharmed ist befugt, Unterauftragsbearbeiter beizuziehen, sofern Pharmed mit dem Unterauftragsbearbeiter eine Vereinbarung trifft, um die Einhaltung der Verpflichtungen gemäss der vorliegenden ADV sicher zu stellen.

(b) Genehmigung: Eine Liste der bei Vertragsbeginn bestehenden und hiermit genehmigten Unterauftragsbearbeiter mit Zugriff auf Auftragsdaten findet sich in Anhang 2. Pharmed informiert den Kunden über beabsichtigte Änderungen. Innerhalb eines Monats nach der Benachrichtigung durch Pharmed kann der Kunde Einspruch erheben, wenn wichtige datenschutzrechtliche Gründe gegen den Beizug des betroffenen Unterauftragsbearbeiters sprechen. Der Einspruch durch den Kunden muss schriftlich erfolgen und die Gründe für den Einspruch beinhalten. Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist eine einvernehmliche Lösung zwischen den Parteien nicht möglich, so wird dem Kunden in Bezug auf die vom Wechsel des Unterauftragsbearbeiters betroffene Dienstleistung ein Kündigungsrecht eingeräumt.

6.     Ort der Datenbearbeitung

Jedwede Bekanntgabe von Auftragsdaten durch Pharmed ins Ausland oder an eine internationale Organisation ist nur zulässig, wenn Pharmed die Bestimmungen von Art. 16 ff. DSG bzw. von Kapitel V EU-DSGVO einhält.

7.     Prüfrechte

(a) Prüfrecht: Pharmed ist verpflichtet, dem Kunden auf Verlangen Informationen zur Verfügung zu stellen, um die Einhaltung der vereinbarten Pflichten zu dokumentieren. Der Kunde hat das Recht, die Einhaltung der Pflichten nach dieser ADV durch Pharmed zu prüfen. Pharmed ist verpflichtet, bei Prüfungen jeweils angemessen mitzuwirken. Der Kunde nimmt bei der Planung und Durchführung der Prüfung Rücksicht auf die Bedürfnisse und Sicherheitsanforderungen von Pharmed und hat Vertraulichkeitspflichten von Pharmed zu respektieren.

(b) Externe Prüfstelle: Der Kunde hat das Recht, die Prüfung nach Ziff. 7(a) durch eine externe, fachkundige und zur Vertraulichkeit verpflichtete Stelle durchführen zu lassen. Die beim Kunden anfallenden Kosten der Prüfung trägt der Kunde selbst.

(c) Korrekturmassnahmen: Wurden im Rahmen der Prüfung Verletzungen dieser ADV festgestellt und nachgewiesen, so nimmt Pharmed unverzüglich geeignete Korrekturmassnahmen vor.

8.     Schlussbestimmungen

(a) Haftung: Für die Haftung aus Verletzungen dieser ADV gelten die Haftungsregelungen der Nutzungsbedingungen. Der Kunde verpflichtet sich, Pharmed auch von allen etwaigen Geldbussen, die gegen Pharmed verhängt werden, in dem Umfang freizustellen, in dem der Kunde Anteil an der Verantwortung für den durch die Geldbusse sanktionierten Verstoss trägt.

(b) Mitteilungen und Kontakt: In dieser ADV vorgesehene Mitteilungen müssen jeweils ausdrücklich und in Textform (z.B. per E-Mail oder Post) erfolgen, sofern nichts anderes vereinbart ist. In datenschutzrechtlichen Belangen kann Pharmed unter der folgenden Adresse kontaktiert werden:

Regina-Kägi-Strasse 11, 8050 Zürich
+41 44 552 72 05
 info@pharmedsolutions.ch
https://www.pharmedsolutions.ch

(c) Änderungen und Ergänzungen: Änderungen und Ergänzungen dieser Bestimmungen bedürfen zu ihrer Gültigkeit der Zustimmung beider Parteien.

(d) Anwendbares Recht und Gerichtsstand: Das anwendbare Recht und der Gerichtsstand richten sich nach den Nutzungsbestimmungen der Webseite (Teil I). Der Kunde bleibt aber berechtigt, vor jedem zuständigen Gericht vorsorgliche Massnahmen zu verlangen.

(e) Konfliktregelungen: Bei Widersprüchen zwischen Vertragsbestimmungen gehen die Anhänge dieser ADV der ADV vor, und die ADV geht den Nutzungsbestimmungen vor.

Anhang 1 zu den Auftragsbearbeitungsbestimmungen: Technische und organisatorische Massnahmen

In diesem Anhang werden die technischen und organisatorischen Massnahmen beschrieben, welche Pharmed ergreift, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Massnahmen sind generisch zu verstehen und kommen jeweils dann zur Anwendung, wenn im Vertrag nichts Abweichendes definiert ist. Findet die Datenbearbeitung durch vom Auftragsbearbeiter beigezogene Unterauftragsbearbeiter statt, sorgt der Auftragsbearbeiter mittels geeigneter vertraglicher Vereinbarungen dafür, dass die Unterauftragsbearbeiter vergleichbare Massnahmen einhalten.

Die Beurteilung, ob die nachfolgend beschriebenen technischen und organisatorischen Massnahmen zum Schutz der dem Auftragsbearbeiter anvertrauten Daten (namentlich bei besonders schützenswerten Personendaten oder geheimnisgebundenen Daten) angemessen sind, obliegt ausschliesslich dem Auftraggeber.

Zutrittskontrolle:

• Die Flächen sind in verschieden stark gesicherte Sicherheitszonen unterteilt. Öffentliche Zonen sind für jedermann zugänglich. Um in gesicherte Zonen Zutritt zu erhalten, wird ein Badge, Schlüssel oder dergleichen benötigt. Bei der Nutzung von Badges sind diese grundsätzlich zu personalisieren. Sind nicht personalisierte Badges im Einsatz, wird über die temporären Besitzer Protokoll geführt. Die Ausgabe von Schlüsseln oder dergleichen an die berechtigten Personen wird ebenfalls protokolliert. Das Verfahren zur Ausgabe von Badges, Schlüsseln oder dergleichen wird in entsprechenden Dokumenten geregelt. Besucher müssen sich registrieren und werden in den gesicherten Zonen von den verantwortlichen Mitarbeitern begleitet.
• Die Rechenzentren verfügen über die nötigen physischen Schutzmassnahmen, um einen unberechtigten Zugang zeitnah zu erkennen und einen entsprechenden Alarm auszulösen.
• Die Rechenzentren verfügen über die weiteren nötigen Schutzmassnahmen, um Gefahren durch Naturereignisse wie Blitz, Regen, Überschwemmung etc. möglichst so stark zu reduzieren, dass diese nicht mehr relevant für den Rechenzentrumsbetrieb sind.
• Falls für Dienstleistungen Rechenzentren von Dritten für die permanente Speicherung von Daten genutzt werden, wird sichergestellt, dass die Betreiber eines solchen Rechenzentrums vergleichbare Bedingungen und damit ein äquivalentes Sicherheitsniveau erfüllen.
• Die Rechenzentren werden mit Video überwacht. Die Aufbewahrungsfrist und der Zugriff auf die Aufnahmen sind festgelegt.
• Es erfolgt eine sorgfältige Auswahl des Personals.
• Neue Mitarbeitende werden bei ihrem Arbeitsbeginn mit den relevanten Regeln zur eigenen Sicherheit und zur Datensicherheit vertraut gemacht.
• Bestehende Mitarbeitende werden regelmässig zum sorgfältigen Umgang mit Daten geschult und auf Sicherheitsrisiken aufmerksam gemacht.
• Wenn Mitarbeitende den Auftragsbearbeiter verlassen, wird die Identifikation auf den Systemen und der Zutritt zu den Gebäuden gesperrt.

Zugangskontrolle:

• Der Zugang zu den Systemen des Auftragsbearbeiters erfolgt mit personalisierten Identifikationen.
• Der Zugang zu den Systemen ist immer mindestens mit einem Passwort oder einem äquivalenten Authentifizierungsmerkmal und der dazugehörenden Benutzerkennung geschützt.
• Es bestehen Minimalanforderungen an die Passwortkomplexität.
• Bei fehlerhafter Anmeldung wird die Identifikation nach mehreren Fehlversuchen temporär gesperrt. Es besteht ein Prozess zur Rücksetzung gesperrter Identifikationen.

Zugriffkontrolle:

• Die Berechtigungen auf den Systemen sind so strukturiert, dass nur auf die Daten zugegriffen werden kann, die für die Erfüllung der Aufgabe notwendig sind.
• Falls ein Mitarbeiter zusätzliche Rechte benötigt, kann er eine zusätzliche Rolle bestellen. Die Freigabe für diese zusätzliche Rolle erfolgt durch den Rollenbesitzer.
• Für sämtliche Rollen wird regelmässig überprüft, ob die zugeordneten Benutzer diese Rollen noch benötigen.
• Der Datenverkehr zwischen dem Netzwerk des Auftraggebers und des Auftragsbearbeiters erfolgt nach Möglichkeit verschlüsselt. Die Verschlüsselung kann auf verschiedene Arten erfolgen.
• Das Netzwerk ist durch eine Firewall, durch ein Intrusion Detection System (IDS) sowie durch eine Netzwerksegmentierung geschützt.
• Es sind Virenscanner im Einsatz, welche regelmässig aktualisiert werden.
• Die Server- und Client-Systeme werden regelmässig gepatcht.
• Zugriff auf Daten und Systeme werden protokolliert.

Transportkontrolle:

• Der Zugriff über das Internet auf relevante Daten erfolgt immer über eine verschlüsselte Verbindung.

Speicherkontrolle:

• Die permanenten Speicher in den Rechenzentren verfügen über redundante Stromversorgungen und die notwendigen Systeme, um einen autarken Betrieb für einen definierten Zeitraum zu ermöglichen.
• Zum Schutz vor Rauch- oder Brandschäden verfügen die Rechenzentren über Rauch- und Brandmeldeanlagen.
• Datenträger werden bei Defekt physisch unbrauchbar gemacht oder einem zertifizierten Entsorger übergeben, um einen möglichen Zugriff vollständig auszuschliessen.
• Funktionierende Datenträger werden mit branchenüblichen Löschverfahren so gelöscht, dass eine Rekonstruktion der beinhalteten Daten praktisch unmöglich ist. Ist ein solches Verfahren nicht möglich, werden die Datenträger physisch unbrauchbar gemacht, respektive zerstört.

Eingabekontrolle:

• Eingaben oder Veränderungen in Datenverarbeitungssystemen werden protokolliert.

Verfügbarkeitskontrolle:

• Es werden regelmässige Backups durchgeführt, um den Verlust von Daten im Falle eines Systemproblems zu vermeiden.
• Um die Verfügbarkeit von Daten zu gewährleisten, werden die Speichersysteme so konfiguriert, dass auch mehr als eine Komponente ausfallen kann und die Daten trotzdem noch verfügbar sind.

Trennungsgebot:

• Es wird sichergestellt, dass die Daten der Kunden des Auftragsbearbeiters nicht gegenseitig einsehbar sind.

Überprüfung, Bewertung und Evaluierung:

• Es werden periodisch Audits durchgeführt.
• Die IT-Sicherheitseinrichtungen werden wiederkehrend einem von externen Experten durchgeführten IT Security Audit unterzogen.

Anhang 2 zu den Auftragsbearbeitungsbestimmungen: Genehmigte Unterauftragnehmer

Die folgenden Personen gelten als genehmigte Unterauftragnehmer i.S.v. Ziff. 3(b) der Bestimmungen: