Auftragsverarbeitungsvertrag (AVV)

Art. 28 DSGVO · Art. 9 revDSG

Swiss Cybersecurity Management Center GmbH (SCMC)

Version 1.0 — Stand: 19. April 2026

Diese Datenverarbeitungsvereinbarung (DVV / AVV) gemäss Art. 28 DSGVO und Art. 9 revDSG regelt die Verarbeitung personenbezogener Daten durch SCMC im Auftrag von Kunden (Auftraggeber).

1. Gegenstand und Dauer

1.1 Gegenstand

SCMC erbringt als Auftragsverarbeiter Dienstleistungen im Bereich Informationssicherheits-Management (ISMS), einschliesslich der Bereitstellung und dem Betrieb der SCMC-Plattform sowie zugehöriger Beratungsleistungen.

Im Rahmen dieser Dienstleistungen verarbeitet SCMC personenbezogene Daten ausschliesslich im Auftrag und nach Weisung des Auftraggebers.

1.2 Dauer

Die Vereinbarung gilt für die Dauer des bestehenden Hauptvertrags zwischen SCMC und dem Auftraggeber.

2. Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der:

  • Bereitstellung der SCMC-Plattform und zugehöriger Funktionen
  • Verwaltung von Benutzerkonten im Auftrag des Auftraggebers
  • Unterstützung bei der Durchführung von Sicherheitsbewertungen
  • Technischen Betrieb und Wartung der Plattform

3. Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung können folgende Datenkategorien verarbeitet werden:

  • Name und Kontaktdaten von Mitarbeitenden des Auftraggebers
  • Zugangsdaten (Benutzername, verschlüsselte Passwörter)
  • Nutzungsdaten und Protokolldaten
  • Im Rahmen der Sicherheitsbewertungen eingegebene Inhalte und Antworten

4. Kategorien betroffener Personen

  • Mitarbeitende des Auftraggebers
  • Benutzer, die der Auftraggeber auf der SCMC-Plattform registriert

5. Pflichten von SCMC als Auftragsverarbeiter

SCMC verpflichtet sich:

  • Personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Auftraggebers zu verarbeiten
  • Zur Verschwiegenheit über verarbeitete personenbezogene Daten
  • Alle erforderlichen technischen und organisatorischen Massnahmen gemäss Art. 32 DSGVO / revDSG umzusetzen
  • Den Auftraggeber unverzüglich zu informieren, falls eine Weisung gegen geltendes Datenschutzrecht verstösst
  • Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen
  • Den Auftraggeber bei der Meldung von Datenpannen an Aufsichtsbehörden zu unterstützen
  • Den Auftraggeber bei der Durchführung von Datenschutz-Folgeabschätzungen (DSFA) zu unterstützen, soweit dies die verarbeiteten Daten betrifft (Art. 28 Abs. 3 lit. f DSGVO)
  • Alle Daten nach Ende des Vertragsverhältnisses zu löschen oder zurückzugeben und dem Auftraggeber auf Verlangen einen schriftlichen Nachweis über die vollständige Löschung zu erbringen
  • Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung zu stellen (Art. 28 Abs. 3 lit. h DSGVO)

6. Technische und organisatorische Massnahmen (TOM)

SCMC hat folgende Massnahmen implementiert:

  • Datenspeicherung ausschliesslich in der Schweiz (AWS Schweizer Rechenzentren)
  • Verschlüsselung gespeicherter und übertragener Daten (TLS, AES-256)
  • Zugriffskontrollen nach dem Need-to-know-Prinzip
  • Zwei-Faktor-Authentifizierung für privilegierte Zugriffe
  • Regelmässige Backups und Disaster-Recovery-Verfahren
  • Sicherheitsüberwachung und Audit-Logging
  • Zertifizierungen: AWS-Infrastruktur ist ISO 27001, SOC 2 und PCI DSS zertifiziert

7. Unterauftragsverarbeiter

SCMC setzt folgende Unterauftragsverarbeiter ein:

Anbieter Zweck Standort
Amazon Web Services (AWS) Hosting, Infrastruktur, Datenspeicherung Schweiz
Stripe Zahlungsabwicklung Irland / USA

Für Datenübermittlungen an Stripe in die USA stützt sich SCMC auf Standardvertragsklauseln (EU-Kommissionsbeschluss 2021/914) sowie das Swiss-U.S. Data Privacy Framework, ergänzt durch den Datenverarbeitungszusatz von Stripe (verfügbar unter stripe.com/legal/dpa).

Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung zum Einsatz dieser Unterauftragsverarbeiter. SCMC informiert den Auftraggeber über geplante Änderungen und gibt ihm die Möglichkeit, Einspruch zu erheben.

8. Rechte des Auftraggebers

Der Auftraggeber hat das Recht:

  • Weisungen zur Datenverarbeitung zu erteilen
  • Kontrollen und Audits durchzuführen oder durch Dritte durchführen zu lassen
  • Die vollständige Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsende zu verlangen

9. Datenpannen

SCMC meldet dem Auftraggeber Datenschutzverletzungen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, unter Angabe aller verfügbaren Informationen gemäss Art. 33 DSGVO.

10. Kontakt und Abschluss

Diese AVV gilt für alle Kunden von SCMC, die personenbezogene Daten über die SCMC-Plattform verarbeiten. Für den Abschluss einer individualisierten Datenverarbeitungsvereinbarung oder bei Fragen wenden Sie sich bitte an:

Swiss Cybersecurity Management Center GmbH (SCMC)
Tiefenhöfe 10
8001 Zürich
Schweiz
📧 E-Mail: info@scmc.ch

Weitere rechtliche Informationen:
Impressum · Datenschutzerklärung · Allgemeine Geschäftsbedingungen