Stand: 01. April 2026

zwischen

codin GmbH
Hauptstrasse 64
5070 Frick
Schweiz
(nachfolgend „codin“ oder „Auftragsbearbeiterin“)

und

Kunde
(nachfolgend „Kunde“ oder „Verantwortlicher“)

1. Gegenstand und Anwendungsbereich

1.1
Diese Vereinbarung regelt die Bearbeitung von Personendaten durch codin im Auftrag des Kunden gemäss dem Schweizer Bundesgesetz über den Datenschutz (DSG) sowie – sofern anwendbar – der Datenschutz-Grundverordnung (DSGVO).

1.2
Art, Umfang, Zweck der Bearbeitung, Kategorien von Personendaten sowie betroffene Personen ergeben sich aus dem Servicevertrag und Anhang 1 dieser Vereinbarung.

1.3
codin bearbeitet Personendaten ausschliesslich:

• zur Vertragserfüllung
• gemäss dokumentierten Weisungen des Kunden
• im Rahmen der gesetzlichen Vorgaben

2. Verantwortlichkeiten

2.1
Der Kunde ist Verantwortlicher im Sinne des DSG und verantwortlich für die Rechtmässigkeit der Datenbearbeitung.

2.2
Der Kunde stellt sicher, dass:

• die Datenbearbeitung zulässig ist
• die Daten rechtmässig erhoben wurden
• die Weitergabe an codin erlaubt ist

2.3
codin bearbeitet Personendaten ausschliesslich gemäss Weisung des Kunden.
Bei offensichtlich rechtswidrigen Weisungen informiert codin den Kunden unverzüglich.

3. Pflichten von codin

3.1 Vertraulichkeit

codin verpflichtet alle Mitarbeitenden und Hilfspersonen zur Vertraulichkeit.
Diese Verpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

3.2 Sicherheit der Bearbeitung

codin trifft angemessene technische und organisatorische Massnahmen gemäss Anhang 2 (TOM).
codin darf diese Massnahmen weiterentwickeln, sofern das Schutzniveau nicht reduziert wird.

3.3 Unterstützung des Kunden

codin unterstützt den Kunden – soweit möglich und angemessen – bei:

• Erfüllung von Betroffenenrechten
• Datenschutz-Folgenabschätzungen
• behördlichen Anfragen
• Meldung von Datenschutzverletzungen

3.4 Meldung von Datenschutzverletzungen

codin meldet dem Kunden unverzüglich jede festgestellte Verletzung der Datensicherheit.

Die Meldung enthält soweit möglich:

• Art der Verletzung
• betroffene Datenkategorien
• mögliche Auswirkungen
• ergriffene Massnahmen

3.5 Rückgabe und Löschung

Nach Vertragsbeendigung:

• werden Personendaten gelöscht oder
• an den Kunden übergeben

gemäss den Vorgaben in Anhang 1 und gesetzlichen Aufbewahrungspflichten.

4. Pflichten des Kunden

4.1
Der Kunde stellt sicher, dass er selbst angemessene technische und organisatorische Massnahmen trifft.

4.2
Der Kunde informiert codin unverzüglich bei:

• Datenschutzverletzungen
• fehlerhaften Daten
• unzulässigen Bearbeitungen

4.3
Der Kunde benennt Ansprechpartner für Datenschutzfragen.

5. Unterauftragsbearbeiter

5.1
codin ist berechtigt, Unterauftragsbearbeiter einzusetzen.

5.2
Die aktuelle Liste der Unterauftragsbearbeiter befindet sich in Anhang 3.

5.3
codin informiert den Kunden mindestens 30 Tage im Voraus über Änderungen.

5.4
Der Kunde kann bei wichtigen datenschutzrechtlichen Gründen Einspruch erheben.
Kann keine Einigung erzielt werden, ist eine Kündigung der betroffenen Leistung möglich.

5.5
codin verpflichtet Unterauftragsbearbeiter vertraglich zu einem angemessenen Datenschutzniveau.

6. Bekanntgabe ins Ausland

6.1
Personendaten können in Länder ohne angemessenes Datenschutzniveau übermittelt werden.

6.2
In solchen Fällen stellt codin geeignete Garantien sicher, insbesondere:

• Standardvertragsklauseln (SCC)
• anerkannte Zertifizierungen
• vertragliche Garantien

6.3
Erfolgt eine Übermittlung auf ausdrückliche Weisung des Kunden, trägt dieser die Verantwortung.

7. Kontrollrechte

7.1
codin stellt dem Kunden auf Anfrage Informationen zur Verfügung, die zur Überprüfung der Einhaltung erforderlich sind.

7.2
Der Kunde ist berechtigt, Audits durchzuführen.
Dabei sind zu berücksichtigen:

• Verhältnismässigkeit
• Betriebsabläufe von codin
• Schutz von Geschäftsgeheimnissen

7.3
Kosten von Audits trägt grundsätzlich der Kunde.

8. Geltungsdauer

Diese Vereinbarung tritt mit Abschluss des Servicevertrags in Kraft.

Sie gilt:

• während der gesamten Vertragsdauer
• sowie darüber hinaus, solange codin Personendaten bearbeitet

9. Änderungen

Änderungen dieser ADV bedürfen der schriftlichen oder elektronischen Zustimmung beider Parteien.

Anhang 1 – Beschreibung der Datenbearbeitung

Zweck der Bearbeitung

• Managed IT Services
• Support und Wartung
• Sicherheitsüberwachung
• Lizenzverwaltung
• Cloud-Services
• Telefondienste
• Monitoring

Datenkategorien

• Kontakt- und Identifikationsdaten
• System- und Gerätedaten
• Kommunikationsdaten
• Vertragsdaten
• IT-Nutzungsdaten
• Zahlungs- und Abrechnungsdaten
• Passwort- und Zugangsdaten (verschlüsselt)
• besonders schützenswerte Daten nur sofern vom Kunden übermittelt

Betroffene Personen

• Mitarbeitende des Kunden
• temporäre Mitarbeitende / Freelancer
• Endkunden
• Kontaktpersonen von Partnern und Lieferanten

Aufbewahrung / Löschung

Standard:
Löschung oder Anonymisierung 120 Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Anhang 2 – Technische und organisatorische Massnahmen (TOM)

Zutrittskontrolle

• Schliesssysteme
• Besucherbegleitung
• Alarmanlagen (sofern vorhanden)

Zugangskontrolle

• MFA (Microsoft Entra ID, Keeper Security)
• Passwort-Richtlinien
• Geräteschutz & MDM
• Datenträgerverschlüsselung
• Endpoint Security (Microsoft Defender, Sophos)

Zugriffskontrolle

• Rollen- und Berechtigungskonzepte
• Need-to-know-Prinzip
• regelmässige Berechtigungsprüfungen

Weitergabekontrolle

• HTTPS / TLS
• SFTP
• verschlüsselte Backups
• Protokollierung

Eingabekontrolle

• Audit-Logs
• Benutzer-IDs
• Änderungsprotokollierung

Auftragskontrolle

• vertragliche Verpflichtung der Subprozessoren
• Sicherheitsbewertungen
• laufendes Monitoring

Verfügbarkeitskontrolle

• Backup-Strategie
• Off-Site-Backups
• Monitoring (NinjaOne, Huntress)

Trennungskontrolle

• Mandantenfähigkeit
• getrennte Umgebungen
• getrennte Datenstrukturen

Evaluierung

• Security Awareness Trainings
• Schwachstellenprüfungen
• internes Datenschutzmanagement

Anhang 3 – Unterauftragsbearbeiter

‍