Datenschutzerklärung SDSC (SWISS DataSafety Concept)

Stand: November 2025
Version: 1.0
 

1. Einleitung und Verantwortliche

Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten durch SDSC (SWISS DataSafety Concept) im Zusammenhang mit der Nutzung unserer Website sowie bei der Erbringung unserer Dienstleistungen. SDSC ist eine gemeinsame Initiative von:

ALPEIN Software SWISS AG
Obergass 23
CH-8260 Stein am Rhein
Schweiz
E-Mail: info@alpeinsoft.ch
Telefon: +41 51 552 44 00

secBase Schweiz GmbH
Aechelistrasse 18
CH-9345 Heerbrugg
Schweiz
E-Mail: info@secbase-schweiz.com
Telefon: +41 71 552 03 70

Beide Unternehmen sind gemeinsam verantwortlich für die Datenverarbeitung im Rahmen von SDSC. Diese Datenschutzerklärung gilt für beide Verantwortliche.

Datenschutzverantwortlicher:
Für Anfragen zum Datenschutz erreichen Sie uns unter: eberhard.henterbesting@alpeinsoft.ch

Geltungsbereich:
Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten sowohl auf unserer Website als auch im Rahmen unserer Dienstleistungen. Wir haben die Darstellung klar strukturiert, um Transparenz über die unterschiedlichen Verarbeitungszwecke zu schaffen.

Anwendbare Rechtsgrundlagen:

  • Schweizer Datenschutzgesetz (DSG) in der revidierten Fassung vom 1. September 2023
  • EU-Datenschutz-Grundverordnung (DSGVO) für Datenverarbeitungen mit EU-Bezug 

Die Schweiz verfügt über einen Angemessenheitsbeschluss der Europäischen Kommission gemäss Art. 45 DSGVO, wodurch ein angemessenes Datenschutzniveau bestätigt wird.
 

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nach folgenden Grundsätzen:

  • Rechtmässigkeit, Transparenz: Alle Verarbeitungen erfolgen auf einer rechtlichen Grundlage und werden Ihnen transparent mitgeteilt
  • Zweckbindung: Daten werden nur für festgelegte, eindeutige und legitime Zwecke verarbeitet
  • Datenminimierung: Wir erheben nur Daten, die für den jeweiligen Zweck erforderlich sind
  • Richtigkeit: Wir halten Ihre Daten korrekt und auf dem neuesten Stand
  • Speicherbegrenzung: Daten werden nur so lange gespeichert, wie es für den Zweck erforderlich ist
  • Integrität und Vertraulichkeit: Wir schützen Ihre Daten durch angemessene technische und organisatorische Massnahmen
     

3. Datenverarbeitung im Rahmen der Website-Nutzung

3.1 Automatische Datenerfassung beim Websitebesuch

Bei jedem Zugriff auf unsere Website werden automatisch folgende Daten in Server-Logfiles erfasst:

Verarbeitete Daten:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • Website, von der aus der Zugriff erfolgt (Referrer-URL)
  • verwendeter Browser und ggf. das Betriebssystem des Rechners sowie der Name des Access-Providers
     

Zweck der Verarbeitung:

  • Gewährleistung eines reibungslosen Verbindungsaufbaus
  • Gewährleistung einer komfortablen Nutzung der Website
  • Auswertung der Systemsicherheit und -stabilität
  • Technische Administration der Netzinfrastruktur
  • Erkennung und Abwehr von Angriffen
     

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  • Art. 31 Abs. 2 lit. a DSG (überwiegendes Interesse) 

Unser berechtigtes Interesse liegt in der Gewährleistung der Systemsicherheit und der ordnungsgemässen Bereitstellung unserer Website.
 

3.2 Hosting und technische Infrastruktur

Hosting-Provider:
Unsere Website wird gehostet durch:

Hosttech GmbH
Seestrasse 15a
CH-8805 Richterswil
Schweiz

Hosttech verarbeitet in unserem Auftrag die beim Besuch unserer Website anfallenden Daten. Hosttech ist ISO 27001 zertifiziert und verfügt über das Gütesiegel „swiss hosting". Alle Server befinden sich ausschliesslich in Schweizer Rechenzentren, wodurch sämtliche Daten dem Schweizer Datenschutzrecht unterliegen.

Datenverarbeitung durch Hosttech:

  • Server-Logfiles (IP-Adressen, Zugriffszeitpunkte, abgerufene Dateien)
  • Speicherung der Website-Inhalte und Datenbanken
  • E-Mail-Verarbeitung (sofern über Hosttech-Server) 


Sicherheitsmaßnahmen:

  • SSL/TLS-Verschlüsselung aller Datenübertragungen
  • Physische Sicherung der Rechenzentren (biometrische Zugangskontrollen, Videoüberwachung)
  • Betrieb aus ehemaligen Militäranlagen mit entsprechender Infrastruktur
  • 100% NVMe-SSD-Speicherung mit Redundanz
  • Regelmässige Sicherheitsaudits gemäß ISO 27001 


Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem Hosting)
  • Art. 31 DSG (überwiegendes Interesse) 


Auftragsverarbeitungsvertrag: Mit Hosttech wurde ein Auftragsverarbeitungsvertrag gemäss Art. 9 DSG und Art. 28 DSGVO abgeschlossen. 
 

3.3 Kontaktformular

Wenn Sie unser Kontaktformular nutzen, werden folgende Daten erhoben:

Pflichtangaben:

  • Name
  • E-Mail-Adresse
  • Nachricht 


Optionale Angaben:

  • Telefonnummer
  • Unternehmen
  • Betreff 


Zusätzlich automatisch erfasst:

  • Zeitpunkt der Absendung
  • IP-Adresse (zu Sicherheitszwecken) 


Zweck der Verarbeitung:

  • Bearbeitung Ihrer Anfrage
  • Kontaktaufnahme und Korrespondenz
  • Dokumentation der Geschäftsbeziehung
  • Ggf. Vertragsanbahnung 


Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen / Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen)
  • Art. 31 DSG (Vertragsdurchführung / überwiegendes Interesse) 

Übermittlung: Die Daten werden ausschliesslich verschlüsselt über SSL/TLS übertragen.

Aufbewahrungsdauer:

  • Bis zur vollständigen Bearbeitung der Anfrage
  • Bei Vertragsabschluss: Überführung in Kundendaten (10 Jahre gemäss gesetzlicher Aufbewahrungspflichten)
  • Ohne Vertragsabschluss: 3 Jahre zur Wahrung von Ansprüchen und zur Verteidigung gegen Ansprüche 


Ihre Rechte: Sie können jederzeit die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigte Interessen entgegenstehen.


3.4 Cookies und Cookie-Management

Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und bestimmte Informationen enthalten.

Kategorien von Cookies:

3.4.1 Technisch notwendige Cookies

Diese Cookies sind zwingend erforderlich, damit die Website ordnungsgemäss funktioniert. Sie ermöglichen grundlegende Funktionen wie Seitennavigation, Zugriff auf geschützte Bereiche und die Aufrechterhaltung Ihrer Sitzung.

Beispiele:

  • Session-Cookies (Session-ID)
  • Spracheinstellungen
  • Cookie-Einstellungen
  • Sicherheits-Cookies 


Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionsfähiger Website)
  • Art. 31 Abs. 2 DSG (überwiegendes Interesse) 


Einwilligung erforderlich: Nein (technisch notwendig)

Speicherdauer: In der Regel bis zum Ende der Browser-Sitzung (Session-Cookies) oder bis zu 12 Monate

3.4.2 Cookie-Banner und Ihre Wahlmöglichkeiten:

Beim ersten Besuch unserer Website erscheint ein Cookie-Banner, über den Sie folgende Optionen haben:

  • Alle akzeptieren: Alle Cookie-Kategorien werden aktiviert
  • Nur notwendige: Nur technisch notwendige Cookies werden gesetzt
  • Einstellungen: Granulare Auswahl einzelner Cookie-Kategorien 

Sie können Ihre Cookie-Einstellungen jederzeit ändern über [Link zu Cookie-Einstellungen].

Browser-Einstellungen:
Sie können Cookies auch direkt in Ihrem Browser verwalten, blockieren oder löschen. Bitte beachten Sie, dass die Deaktivierung von Cookies die Funktionalität der Website einschränken kann.
 

4. Datenverarbeitung im Rahmen unserer Dienstleistungen

SDSC erbringt Dienstleistungen im Bereich IT-Sicherheit, Datenschutz und Compliance-Begleitung. Im Rahmen dieser Dienstleistungen verarbeiten wir personenbezogene Daten sowohl als Verantwortliche (für eigene Zwecke wie Vertragsabwicklung) als auch als Auftragsbearbeiter (bei der Verarbeitung im Kundenauftrag).


4.1 Rolle als Verantwortliche vs. Auftragsbearbeiter

Als Verantwortliche verarbeiten wir:

  • Kontakt- und Vertragsdaten unserer Kunden
  • Daten zur Vertragsabwicklung und Rechnungsstellung
  • Korrespondenzdaten
  • Daten im Rahmen der Kundenbetreuung 


Als Auftragsbearbeiter verarbeiten wir:

  • Kundendaten im Rahmen von IT-Security-Assessments
  • Personenbezogene Daten bei Datenschutz-Checks
  • Mitarbeiterdaten bei Schulungen im Kundenauftrag
  • Daten in Kundensystemen bei CISO/DSB-as-a-Service 

Die genaue Rolle wird in jedem Einzelvertrag festgelegt. Bei Tätigkeiten als Auftragsbearbeiter schließen wir vor Beginn der Arbeiten einen Auftragsverarbeitungsvertrag (AVV) gemäss Art. 28 DSGVO und Art. 9 DSG ab.
 

4.2 Erstgespräche und Beratung

Verarbeitete Daten:

  • Name, Vorname
  • Position/Funktion
  • Unternehmen
  • Kontaktdaten (E-Mail, Telefon)
  • Gesprächsinhalte und Notizen
  • Bedarfsanalyse und Anforderungen 


Zweck der Verarbeitung:

  • Durchführung von Beratungsgesprächen
  • Bedarfsanalyse
  • Erstellung von Angeboten
  • Vertragsanbahnung
  • Dokumentation der Geschäftsbeziehung 


Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Geschäftsanbahnung)
  • Art. 31 DSG (Vertragsdurchführung / überwiegendes Interesse) 


Aufbewahrungsdauer:

  • Bei Vertragsabschluss: 10 Jahre nach Vertragsende (gesetzliche Aufbewahrungspflichten gemäss Art. 958f OR)
  • Ohne Vertragsabschluss: 3 Jahre nach letztem Kontakt
     
4.3 Datenschutz-Checks (VVT, DSE, AVV)

Bei der Durchführung von Datenschutz-Checks unterstützen wir unsere Kunden bei der Erstellung und Überprüfung von:

  • Verzeichnissen von Verarbeitungstätigkeiten (VVT)
  • Datenschutzerklärungen (DSE)
  • Auftragsverarbeitungsverträgen (AVV) 


Verarbeitete Daten:

  • Informationen über Verarbeitungstätigkeiten des Kunden
  • Organisationsstrukturen
  • Technische Infrastruktur-Details
  • Kontaktdaten von Ansprechpartnern
  • Ggf. Beispieldaten zur Illustration (anonymisiert/pseudonymisiert) 
     

Rolle: In der Regel als Auftragsbearbeiter im Kundenauftrag

Zweck:

  • Unterstützung bei der Einhaltung rechtlicher Vorgaben (DSG, DSGVO)
  • Erstellung und Prüfung von Compliance-Dokumentationen
  • Identifikation von Verbesserungspotenzialen 


Rechtsgrundlage (als Verantwortliche für Vertragsdaten):

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 31 Abs. 1 DSG (Vertragsdurchführung) 


Rechtsgrundlage (als Auftragsbearbeiter):

  • Art. 28 DSGVO, Art. 9 DSG (Auftragsverarbeitung basierend auf Weisung des Kunden) 


Aufbewahrungsdauer:

  • Vertragsbezogene Dokumente: 10 Jahre nach Vertragsende
  • Arbeitsdokumente: 3 Jahre nach Projektabschluss
  • Bei laufender Betreuung (z.B. DSB-as-a-Service): Für die Dauer der Geschäftsbeziehung 


Sicherheitsmassnahmen:

  • Verschlüsselte Datenspeicherung (AES-256)
  • Zugriffsbeschränkung nach Need-to-Know-Prinzip
  • Vertraulichkeitsvereinbarungen mit allen Mitarbeitern
  • Sichere Kommunikationskanäle (verschlüsselte E-Mail, sichere Cloud-Lösungen)  
     
4.4 IT-Security Assessments (Schwachstellenanalysen, Penetration Tests)

Im Rahmen von IT-Security Assessments führen wir Sicherheitsanalysen, Schwachstellenscans und Penetration Tests durch.

Besonderheiten der Datenverarbeitung:

IT-Security Assessments erfordern oft den Zugriff auf Kundensysteme, wobei auch personenbezogene Daten erfasst werden können. Wir befolgen strenge Datenschutz- und Sicherheitsgrundsätze:

Verarbeitete Daten:

  • Systemkonfigurationen und Netzwerkstrukturen
  • Zugangsdaten (temporäre Test-Accounts, werden nach Test gelöscht)
  • Schwachstellenfunde und Sicherheitslücken
  • Protokoll- und Logdaten
  • Ggf. personenbezogene Daten in Testsystemen (nur soweit absolut notwendig) 


Grundsätze:

  1. Datenminimierung: Wir erfassen nur Daten, die zur Demonstration von Sicherheitslücken zwingend erforderlich sind
  2. Kontrollierte Datenexfiltration: Datenübertragung erfolgt ausschliesslich über verschlüsselte VPN-Verbindungen mit Multi-Faktor-Authentifizierung
  3. Verschlüsselte Speicherung: Alle erfassten Daten werden verschlüsselt gespeichert (AES-256 Minimum)
  4. Vertrauliche Behandlung: Strikte Vertraulichkeit, keine Weitergabe an Dritte
  5. Zeitnahe Löschung: Testdaten werden nach Abschluss und Verifizierung der Behebung sicher gelöscht 

Zweck der Verarbeitung:

  • Identifikation von Sicherheitslücken und Schwachstellen
  • Bewertung des Sicherheitsniveaus
  • Erstellung von Sicherheitsberichten
  • Ableitung von Handlungsempfehlungen
  • Nachprüfung der Behebung (Re-Testing) 


Rolle: Auftragsbearbeiter im Kundenauftrag

Rechtsgrundlage:

  • Art. 28 DSGVO, Art. 9 DSG (Auftragsverarbeitung)
  • Explizite schriftliche Autorisierung durch den Kunden im Rahmen des Auftragsverarbeitungsvertrags 


Wichtig: Penetration Tests beginnen erst nach Abschluss eines detaillierten Auftragsverarbeitungsvertrags, der Umfang, Methoden, Datenkategorien und Schutzmassnahmen genau festlegt.

Aufbewahrungsdauer:

  • Detaillierte technische Testdaten: 3-5 Jahre nach Verifizierung der Behebung
  • Zusammenfassende Sicherheitsberichte: 10 Jahre (als Vertragsdokumentation)
  • Anonymisierte Statistiken: Unbegrenzt für interne Forschung und Verbesserung (ohne Kundenidentifikation) 


Kundenkopien: Die Berichte, die wir dem Kunden übergeben, unterliegen dessen Kontrolle und Aufbewahrungsentscheidung.

Sichere Löschung:
Nach Ablauf der Aufbewahrungsfrist werden alle Daten mit zertifizierten Löschverfahren (z.B. nach BSI-Vorgaben) vernichtet. Dokumentation der Löschung auf Anfrage erhältlich.
 

4.5 ISO 27001 / TISAX Zertifizierungsbegleitung

Wir unterstützen Organisationen bei der Vorbereitung und Begleitung von ISO 27001- und TISAX-Zertifizierungen.

Verarbeitete Daten:

  • Organisationsstrukturen und Prozessdokumentationen
  • Sicherheitsrichtlinien und -verfahren
  • Risikoanalysen und Risikobewertungen
  • Gap-Analysen und Implementierungspläne
  • Interne Audit-Berichte
  • Management-Review-Protokolle
  • Nichtkonformitätsberichte und Korrekturmassnahmen
  • Mitarbeiterinformationen (beschränkt auf Rollen und Verantwortlichkeiten) 


Zweck der Verarbeitung:

  • Unterstützung bei der rechtskonformen Umsetzung von ISO 27001 / TISAX
  • Gap-Analysen zwischen Ist-Zustand und Anforderungen
  • Begleitung bei der Implementierung von Massnahmen
  • Vorbereitung auf Zertifizierungsaudits
  • Dokumentationserstellung und -prüfung 

Rolle: In der Regel Auftragsbearbeiter, bei reiner Beratung ohne Zugriff auf Personendaten auch Verantwortlicher

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Bei Auftragsverarbeitung: Art. 28 DSGVO, Art. 9 DSG 


Aufbewahrungsdauer:

  • Vertragsdokumente: 10 Jahre nach Vertragsende
  • Projektdokumentation: 10 Jahre (zur Nachweisführung der Beratungsleistung)
  • Arbeitsdokumente: 3 Jahre nach Zertifizierungserfolg
  • Bei laufender Betreuung: Für die Dauer der Geschäftsbeziehung plus 10 Jahre 

Wichtig: Die Aufbewahrungspflichten des Kunden für ISO-Zertifizierungsdokumente (typischerweise 15+ Jahre) bleiben unberührt. Unsere Aufbewahrung dient der Dokumentation unserer Dienstleistung.

Sicherheitsmassnahmen:
Als IT-Sicherheitsunternehmen wenden wir selbst ISO 27001-konforme Sicherheitsmassnahmen an. Unsere Prozesse demonstrieren die Standards, die wir unseren Kunden empfehlen. 
 

4.6 AI-Compliance Beratung

Wir unterstützen Organisationen bei der Einhaltung rechtlicher Vorgaben im Kontext von Künstlicher Intelligenz (AI Act, branchenspezifische Regelungen).

Verarbeitete Daten:

  • Inventare von KI-Systemen
  • Beschreibungen von KI-Anwendungen und deren Einsatzzwecken
  • Risikoklassifizierungen
  • Daten-Governance-Strukturen
  • Dokumentationen zu Algorithmen und Trainingsverfahren
  • Informationen zu Bias-Testing und Fairness-Analysen
  • Dokumentationen zu menschlicher Aufsicht (Human Oversight)
  • Ggf. technische Systemdokumentationen 


Zweck der Verarbeitung:

  • Bewertung der Compliance mit AI Act und anderen KI-relevanten Regelungen
  • Risikoanalysen für KI-Systeme
  • Unterstützung bei der Einhaltung rechtlicher Vorgaben
  • Erstellung von Compliance-Dokumentationen
  • Empfehlungen zur rechtskonformen KI-Nutzung 

Rolle: In der Regel als Auftragsbearbeiter bei Zugriff auf Kundendaten, als Verantwortlicher bei reiner Beratung ohne Personendatenzugriff

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Bei Auftragsverarbeitung: Art. 28 DSGVO, Art. 9 DSG 


Aufbewahrungsdauer:

  • Bewertungsberichte: 10 Jahre nach Projektende
  • Empfehlungen und Dokumentationen: 10 Jahre
  • Bei Hochrisiko-KI-Systemen: Ggf. verlängerte Aufbewahrung entsprechend der Systemlebensdauer plus 10 Jahre zur Nachweisführung 

Hinweis: Die Regulierung von KI entwickelt sich dynamisch. Wir passen unsere Verarbeitungspraktiken fortlaufend an neue rechtliche Anforderungen an.
 

4.7 CISO/DSB-as-a-Service (laufende Betreuung)

Bei CISO-as-a-Service (Chief Information Security Officer) und DSB-as-a-Service (Datenschutzbeauftragter) übernehmen wir fortlaufende Aufgaben im Bereich IT-Sicherheit und Datenschutz.

Verarbeitete Daten:

  • Organisationsweite Informationen zu Datenverarbeitungen
  • Sicherheitspolicies und -richtlinien
  • Incident-Reports und Sicherheitsvorfälle
  • Risikoanalysen und -bewertungen
  • Schulungsunterlagen und Teilnehmerlisten
  • Audit-Berichte
  • Kommunikation mit Aufsichtsbehörden
  • Betroffenenanfragen und deren Bearbeitung 


Zweck der Verarbeitung:

  • Kontinuierliche Sicherstellung der Datenschutz- und Sicherheits-Compliance
  • Überwachung der Einhaltung rechtlicher Vorgaben
  • Beratung der Geschäftsleitung
  • Schulung und Sensibilisierung von Mitarbeitern
  • Koordination von Sicherheitsmassnahmen
  • Ansprechpartner für Aufsichtsbehörden 

Rolle: Primär als Auftragsbearbeiter im Kundenauftrag

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 28 DSGVO, Art. 9 DSG (Auftragsverarbeitung) 


Besondere Sicherheitsmassnahmen:

  • Informationsbarrieren: Strikte Trennung zwischen verschiedenen Kundenengagements
  • Vertraulichkeit: Alle Mitarbeiter unterliegen beruflichen Verschwiegenheitspflichten
  • Zugangskontrollen: Rollenbasierte Zugriffsbeschränkungen mit Audit-Logging
  • Sichere Zusammenarbeit: Verschlüsselte Kommunikationskanäle und sichere File-Sharing-Lösungen
  • Keine mandantenübergreifende Datennutzung: Informationen eines Kunden werden niemals zum Vorteil eines anderen Kunden verwendet 


Aufbewahrungsdauer:

  • Während der Geschäftsbeziehung: Für die Dauer der Beauftragung
  • Nach Vertragsende: 10 Jahre für vertragsbezogene Dokumentationen
  • Arbeitsdokumente: 3 Jahre nach Vertragsende
  • Betroffenenanfragen: Gemäß gesetzlicher Nachweispflichten (in der Regel 3 Jahre) 


Sub-Auftragsbearbeiter:
Eine Liste autorisierter Sub-Auftragsbearbeiter (z.B. Cloud-Dienste, Analyse-Tools) ist auf Anfrage erhältlich. Alle Sub-Auftragsbearbeiter werden vorab genehmigt und vertraglich gebunden. 
 

4.8 Audit-Begleitungen

Bei externen oder internen Audits begleiten wir Kunden als fachkundige Berater.

Verarbeitete Daten:

  • Audit-Pläne und -Berichte
  • Feststellungen und Nichtkonformitäten
  • Korrekturmassnahmenpläne
  • Nachweisdokumentationen
  • Korrespondenz mit Auditoren/Zertifizierungsstellen 


Zweck:

  • Vorbereitung auf Audits
  • Begleitung während Audit-Terminen
  • Unterstützung bei der Beantwortung von Auditor-Fragen
  • Nachbereitung und Massnahmenplanung 


Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Bei Auftragsverarbeitung: Art. 28 DSGVO, Art. 9 DSG 


Aufbewahrungsdauer:

  • Audit-Dokumentation: 10 Jahre nach Audit
  • Korrekturmassnahmenpläne: Bis zur Verifizierung plus 10 Jahre 
     
4.9 Schulungen und Awareness-Programme

Wir führen Schulungen und Sensibilisierungsprogramme im Bereich Datenschutz, IT-Sicherheit und Compliance durch.

Verarbeitete Daten:

  • Namen der Teilnehmer
  • E-Mail-Adressen
  • Ggf. Abteilung/Position (zur Gruppenbildung)
  • Anwesenheitslisten
  • Schulungsnachweise und Zertifikate
  • Ggf. Testergebnisse oder Lernfortschritte
  • Feedback und Evaluationsergebnisse 


Zweck der Verarbeitung:

  • Durchführung von Schulungen
  • Ausstellung von Teilnahmebestätigungen
  • Dokumentation der Schulungsmassnahmen
  • Qualitätssicherung und Verbesserung der Schulungsprogramme
  • Nachweis gegenüber Aufsichtsbehörden oder Zertifizierungsstellen 

Rolle: In der Regel Auftragsbearbeiter im Kundenauftrag (Mitarbeiterschulungen)

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Bei Mitarbeiterdaten: Art. 28 DSGVO (Auftragsverarbeitung) 


Aufbewahrungsdauer:

  • Während der Beschäftigung: Für aktive Mitarbeiter des Kunden
  • Nach Beschäftigungsende: 3 Jahre (basierend auf Verjährungsfristen gemäss Art. 82 DSGVO)
  • Begründung: Nachweis der Compliance-Maßnahmen, Exkulpation bei Sicherheitsvorfällen
  • Schulungsmaterialien (Inhalte): Unbegrenzt, solange relevant und genutzt 


Besonderheit ISO 27001 / Zertifizierungen:
Falls Schulungen im Zusammenhang mit Zertifizierungen stehen, kann eine längere Aufbewahrung erforderlich sein, um kontinuierliche Compliance nachzuweisen.
 

5. Weitergabe von Daten an Dritte

5.1 Kategorien von Empfängern

Wir geben personenbezogene Daten nur in folgenden Fällen an Dritte weiter:

a) Auftragsverarbeiter (Art. 28 DSGVO, Art. 9 DSG):

  • Hosting-Provider (Hosttech GmbH, Schweiz) 

Mit allen Auftragsverarbeitern wurden Verträge gemäss Art. 28 DSGVO / Art. 9 DSG abgeschlossen, die angemessene Datenschutzstandards gewährleisten.

b) Gesetzliche Verpflichtungen:

  • Behörden und Gerichte (bei gesetzlicher Verpflichtung, z.B. EDÖB, Steuerbehörden)
  • Strafverfolgungsbehörden (im Rahmen rechtmässiger Anfragen) 


c) Geschäftspartner bei Einwilligung:

  • Nur mit Ihrer ausdrücklichen Einwilligung geben wir Daten an weitere Dritte weiter 
     
5.2 Übermittlung in Drittländer

Grundsatz: Wir speichern und verarbeiten Daten ausschliesslich in der Schweiz.

Ausnahmen (nicht zutreffend).

Hinweis zur Schweiz-EU:
Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission gemäss Art. 45 DSGVO. Die Übermittlung personenbezogener Daten aus der EU in die Schweiz erfordert daher keine zusätzlichen Garantien.
 

6. Datensicherheit – Technische und organisatorische Massnahmen

Als IT-Sicherheits- und Compliance-Unternehmen setzen wir höchste Standards für die Sicherheit personenbezogener Daten:

Technische Massnahmen:

  • Verschlüsselung:
    • Datenübertragung: SSL/TLS 1.3
    • Datenspeicherung: AES-256 Verschlüsselung
    • E-Mail-Kommunikation: Verschlüsselte E-Mail-Optionen verfügbar
  • Zugangskontrollen:
    • Multi-Faktor-Authentifizierung (MFA) für alle Systeme
    • Rollenbasierte Zugriffssteuerung
    • Zugriffsprotokollierung (Audit Logs)
  • Netzwerksicherheit:
    • Firewalls und Intrusion Detection/Prevention Systems
    • Segmentierung von Netzwerken
    • VPN-Zugriff für Remote-Arbeit
  • Endpoint Security:
    • Antivirus/Anti-Malware auf allen Geräten
    • Festplattenverschlüsselung
    • Mobile Device Management
  • Backup und Wiederherstellung:
    • Regelmässige verschlüsselte Backups
    • Geografisch getrennte Backup-Speicherung
    • Getestete Wiederherstellungsprozeduren 

Organisatorische Massnahmen:

  • Zuständigkeiten:
    • Klare Verantwortlichkeiten für Datenschutz und Sicherheit
    • Datenschutzbeauftragter/Datenschutzverantwortlicher
  • Richtlinien und Verfahren:
    • Datenschutz- und Sicherheitsrichtlinien
    • Incident Response Plan
    • Data Breach Notification Prozedur
  • Mitarbeiter:
    • Vertraulichkeitsvereinbarungen mit allen Mitarbeitern
    • Regelmässige Schulungen zu Datenschutz und IT-Sicherheit
    • Need-to-Know-Prinzip
    • Hintergrundüberprüfungen bei Neueinstellungen
  • Physische Sicherheit:
    • Gesicherter Zugang zu Büroräumen (Zutrittskontrolle)
    • Clean Desk Policy
    • Sichere Entsorgung von Datenträgern
  • Audits und Überprüfungen:
    • Regelmässige interne Sicherheitsaudits
    • Penetration Tests unserer eigenen Systeme
    • [Falls zutreffend: ISO 27001 Zertifizierung]
    • Kontinuierliche Verbesserungsprozesse 

Incident Response:
Im Falle einer Datenschutzverletzung haben wir Prozesse etabliert, um:

  • Den Vorfall innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden (Art. 24 DSG, Art. 33 DSGVO)
  • Betroffene Personen zu informieren, wenn ein hohes Risiko für deren Rechte besteht (Art. 34 DSGVO)
  • Abhilfemassnahmen zu ergreifen und den Vorfall zu dokumentieren 
     

7. Ihre Rechte als betroffene Person

Sie haben umfassende Rechte bezüglich Ihrer personenbezogenen Daten:


7.1 Auskunftsrecht (Art. 25 DSG, Art. 15 DSGVO)

Sie haben das Recht, Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten wir über Sie verarbeiten. Die Auskunft umfasst:

  • Verarbeitungszwecke
  • Kategorien verarbeiteter Daten
  • Empfänger oder Empfängerkategorien
  • Speicherdauer
  • Herkunft der Daten (wenn nicht direkt bei Ihnen erhoben)
  • Bestehen automatisierter Entscheidungsfindung
  • Bei Übermittlung in Drittländer: Garantien 

Frist: Innerhalb von 30 Tagen
Kosten: In der Regel kostenlos 
 

7.2 Recht auf Berichtigung (Art. 32 DSG, Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unvollständige Daten können Sie vervollständigen lassen. 
 

7.3 Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, wenn:

  • Die Daten für die Zwecke nicht mehr notwendig sind
  • Sie Ihre Einwilligung widerrufen haben
  • Sie Widerspruch eingelegt haben
  • Die Daten unrechtmässig verarbeitet wurden
  • Eine rechtliche Verpflichtung zur Löschung besteht 

Einschränkungen: Wir dürfen oder müssen Daten aufbewahren, wenn:

  • Gesetzliche Aufbewahrungspflichten bestehen (z.B. 10 Jahre für Geschäftsunterlagen)
  • Rechtliche Ansprüche geltend gemacht, ausgeübt oder verteidigt werden müssen
  • Andere berechtigte Gründe vorliegen (Art. 17 Abs. 3 DSGVO) 
     
7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen, wenn:

  • Sie die Richtigkeit der Daten bestreiten (für die Dauer der Überprüfung)
  • Die Verarbeitung unrechtmässig ist, Sie aber keine Löschung wünschen
  • Wir die Daten nicht mehr benötigen, Sie diese aber zur Rechtsverfolgung benötigen
  • Sie Widerspruch eingelegt haben (für die Dauer der Prüfung) 
     
7.5 Recht auf Datenübertragbarkeit / Datenherausgabe (Art. 28 DSG, Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln, sofern:

  • Die Verarbeitung auf Einwilligung oder Vertrag beruht
  • Die Verarbeitung automatisiert erfolgt 
     

Format: Üblicherweise CSV, JSON oder PDF

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen Ihrer besonderen Situation jederzeit gegen die Verarbeitung Sie betreffender Daten Widerspruch einzulegen, wenn die Verarbeitung auf berechtigten Interessen beruht (Art. 6 Abs. 1 lit. f DSGVO).

Widerspruch gegen Direktwerbung: Sie können jederzeit ohne Angabe von Gründen Widerspruch gegen die Verarbeitung für Zwecke der Direktwerbung einlegen. 
 

7.7 Widerruf von Einwilligungen

Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z.B. Newsletter, Marketing-Cookies), können Sie diese jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmässigkeit der bis dahin erfolgten Verarbeitung.
 

7.8 Beschwerderecht bei Aufsichtsbehörden

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten rechtswidrig erfolgt.

Zuständige Aufsichtsbehörden:

Für die Schweiz:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1
CH-3003 Bern
Schweiz
Tel.: +41 58 462 43 95
E-Mail: info@edoeb.admin.ch
Web: www.edoeb.admin.ch

Für die EU/EEA:
Sie können sich an die Aufsichtsbehörde Ihres Wohnsitzes, Arbeitsplatzes oder des Ortes des mutmasslichen Verstoßes wenden. Eine Liste der EU-Datenschutzbehörden finden Sie unter: edpb.europa.eu/about-edpb/about-edpb/members_de 
 

7.9 Ausübung Ihrer Rechte

Um Ihre Rechte auszuüben, kontaktieren Sie uns bitte:

Per E-Mail: eberhard.henterbesting@alpeinsoft.ch
Per Post:
ALPEIN Software SWISS AG
z.Hd. Eberhard Henter-Besting
Obergass 23
CH-8260 Stein am Rhein

Wir werden Ihr Anliegen innerhalb von 30 Tagen (gemäss DSG) bzw. einem Monat (gemäss DSGVO) bearbeiten. In komplexen Fällen können wir die Frist um weitere zwei Monate verlängern, worüber wir Sie informieren.

Identitätsnachweis: Zum Schutz Ihrer Daten können wir vor Bearbeitung Ihrer Anfrage einen Identitätsnachweis verlangen (z.B. Kopie des Ausweises).
 

8. Automatisierte Entscheidungsfindung und Profiling

Wir setzen keine automatisierte Entscheidungsfindung einschliesslich Profiling gemäß Art. 22 DSGVO bzw. Art. 21 DSG ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Sollte sich dies ändern, werden wir Sie darüber gesondert informieren und Ihre Einwilligung einholen, sofern gesetzlich erforderlich.
 

9. Keine Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben, soweit nicht anders angegeben.

Website-Nutzung:
Sie können unsere Website grundsätzlich ohne Angabe personenbezogener Daten besuchen. Lediglich technisch notwendige Daten (z.B. IP-Adresse für Server-Logs) werden automatisch erfasst.

Kontaktaufnahme und Vertragsanbahnung:
Zur Bearbeitung Ihrer Anfragen bzw. zur Durchführung eines Vertrags ist die Angabe bestimmter Daten erforderlich (z.B. Name, E-Mail). Ohne diese Daten können wir Ihre Anfrage nicht bearbeiten bzw. den Vertrag nicht erfüllen.

Hinweis bei Vertragsdaten:
Bei Vertragsabschluss sind die im Vertrag spezifizierten Daten erforderlich. Ohne diese Daten kann der Vertrag nicht geschlossen bzw. durchgeführt werden.
 

10. Minderjährige

Unsere Website und Dienstleistungen richten sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten.

Falls Sie feststellen, dass uns Daten von Minderjährigen ohne entsprechende Einwilligung übermittelt wurden, kontaktieren Sie uns bitte, damit wir diese Daten löschen können.
 

11. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand November 2025.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienstleistungen sowie der Datenverarbeitung anzupassen.

Information über wesentliche Änderungen:
Bei wesentlichen Änderungen werden wir Sie über die geänderten Bestimmungen informieren. Dies kann durch einen Hinweis auf unserer Website oder per E-Mail erfolgen (bei Newsletter-Abonnenten oder Vertragspartnern).

Empfehlung:
Wir empfehlen, diese Datenschutzerklärung regelmässig zu überprüfen, um über den Schutz Ihrer Daten informiert zu bleiben.

Die jeweils aktuelle Version finden Sie stets auf unserer Website unter [URL zur Datenschutzerklärung].
 

12. Kontakt und Fragen zum Datenschutz

Für Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder bei Beschwerden können Sie sich jederzeit an uns wenden:

SDSC (SWISS DataSafetyConcept)
Eine Initiative von ALPEIN Software SWISS AG und secBase Schweiz GmbH

Datenschutz-Kontakt:
E-Mail: eberhard.henterbesting@alpeinsoft.ch
Telefon: +41 51 552 44 38

Postanschrift:
ALPEIN Software SWISS AG
z.Hd. Eberhard Henter-Besting
Obergass 23
CH-8260 Stein am Rhein

Allgemeine Kontaktdaten:
Website: www.swissdatasafety.ch
E-Mail: info@swissdatasafety.ch
Telefon: +41 51 552 44 38

Wir nehmen Datenschutz ernst und werden Ihre Anliegen zeitnah und sorgfältig bearbeiten.