Diese Richtlinie konkretisiert Grundsätze, Verantwortlichkeiten und Verfahren zur Einhaltung der DSGVO, soweit EU-/EWR-Bezug besteht (z. B. EU-Vertragspartner, Datenflüsse in die EU/EWR).
Wir sind Verantwortlicher für eigene Verarbeitungen; als Auftragsverarbeiter handeln wir, wenn wir im Mandat Daten im Auftrag bearbeiten. Rollen werden vertraglich festgelegt (DPA/AVV).
Rechtmässigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht (Accountability).
AVV/DPA mit Subprozessoren; Eignungsprüfung (TOMs, Standort, Zertifizierungen); periodische Re-Assessments und Dokumentation.
Standardvertragsklauseln, zusätzliche Massnahmen, Transfer-Impact-Assessments (TIA) je nach Risiko und Rechtslage.
Verfahren für Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch; Identitätsprüfung und Fristenmanagement.
Bewertung hoher Risiken gemäss Art. 35 DSGVO; Massnahmenplan, Dokumentation, Review nach Produkt-/Prozessänderungen.
Erkennung, Bewertung und Meldung von Vorfällen; Benachrichtigung von Behörden/Betroffenen gemäss Rechtslage; Nachverfolgung von Korrekturmassnahmen.
Definition von Aufbewahrungsfristen, Datenklassifizierung, revisionssichere Löschung; periodische Überprüfung.
Regelmässige Briefings für Teammitglieder; Dokumentation der Schulungen und Zuständigkeiten.
Falls erforderlich benennen wir eine EU-Vertretung; Angaben erfolgen in der Datenschutzerklärung.
Stand: September 2025