1. Zweck dieser Seite
Diese Seite beschreibt die Grundsätze der Orbita GmbH zur Auftragsbearbeitung und zu technischen und organisatorischen Massnahmen.
Sie ersetzt keinen kundenspezifischen Auftragsbearbeitungsvertrag. Bei Projekten oder Managed Services, bei denen Orbita Personendaten im Auftrag eines Kunden bearbeitet, wird eine separate Vereinbarung oder vertragliche Regelung abgeschlossen.
2. Verantwortliche Stelle
Orbita GmbH
Swiss ICT & AI Solutions
Ein Unternehmen der Provesta Holding AG
UID: CHE-100.960.099
Hauptstandort: Neftenbach, Kanton Zürich, Schweiz
Weitere Präsenz: Meilen ZH, Schweiz
E-Mail: info@orbita.swiss
Telefon: +41 52 315 19 07
3. Rolle von Orbita
Je nach Auftrag kann Orbita entweder als eigenständige Verantwortliche oder als Auftragsbearbeiterin tätig sein.
Eine Auftragsbearbeitung liegt insbesondere dann vor, wenn Orbita Personendaten im Auftrag und nach Weisung eines Kunden verarbeitet, zum Beispiel im Rahmen von:
- ICT-Support
- Managed Services
- Microsoft-365-Betreuung
- Benutzer- und Geräteverwaltung
- Ticketing
- Backup- und Recovery-Leistungen
- Security Checks
- Systemanalysen
- Softwareentwicklung
- AI- und Automatisierungsprojekten
- Wartung und Betrieb von Kundensystemen
4. Gegenstand der Auftragsbearbeitung
Der konkrete Gegenstand, Umfang, Zweck und die Dauer der Auftragsbearbeitung ergeben sich aus dem jeweiligen Angebot, Vertrag, SLA, Projektauftrag oder einer separaten Auftragsbearbeitungsvereinbarung.
Mögliche Bearbeitungszwecke sind:
- Betrieb und Support von ICT-Systemen
- Analyse und Verbesserung von ICT-Umgebungen
- Verwaltung von Benutzern, Geräten und Berechtigungen
- Sicherstellung von Backup, Security und Verfügbarkeit
- Fehlerbehebung und technischer Support
- Projektumsetzung und Dokumentation
- Automatisierung und Softwareentwicklung
- Umsetzung von Datenschutz- und Sicherheitsmassnahmen
5. Kategorien betroffener Personen
Je nach Auftrag können Daten folgender Personengruppen bearbeitet werden:
- Mitarbeitende des Kunden
- Lehrpersonen
- Schülerinnen und Schüler
- Verwaltungsmitarbeitende
- Kunden des Kunden
- Lieferanten und Partner
- externe Benutzer
- Supportkontakte
- Projektbeteiligte
- Systemadministratoren
6. Kategorien von Personendaten
Je nach Auftrag können folgende Daten bearbeitet werden:
- Namen
- geschäftliche Kontaktdaten
- Benutzerkonten
- E-Mail-Adressen
- Telefonnummern
- Rollen und Berechtigungen
- Geräteinformationen
- Login- und Protokolldaten
- Ticket- und Supportdaten
- System- und Inventardaten
- Kommunikationsdaten
- technische Konfigurationsdaten
- Backup- und Wiederherstellungsinformationen
- Projekt- und Dokumentationsdaten
Besonders schützenswerte Personendaten werden nur bearbeitet, wenn dies für den Auftrag erforderlich ist und entsprechend vereinbart wurde.
7. Weisungen des Kunden
Orbita bearbeitet Personendaten im Rahmen einer Auftragsbearbeitung grundsätzlich nur nach dokumentierten Weisungen des Kunden.
Weisungen können sich aus Vertrag, Angebot, SLA, Projektauftrag, Ticket, E-Mail, Supportanfrage oder dokumentierter Freigabe ergeben.
Orbita informiert den Kunden, wenn eine Weisung aus Sicht von Orbita gegen Datenschutz-, Sicherheits- oder andere rechtliche Anforderungen verstossen könnte.
8. Vertraulichkeit
Alle Personen, die Zugriff auf Kundendaten erhalten, werden zur Vertraulichkeit verpflichtet oder unterliegen einer entsprechenden gesetzlichen oder vertraglichen Vertraulichkeitspflicht.
Zugriffe auf Kundendaten erfolgen nur, soweit dies für die Leistungserbringung erforderlich ist.
9. Technische und organisatorische Massnahmen
Orbita setzt angemessene technische und organisatorische Massnahmen ein. Der konkrete Umfang richtet sich nach Auftrag, Risiko, Kundensystem, Datenkategorie und vereinbartem Service.
Mögliche TOM umfassen insbesondere:
Zugriffsschutz
- MFA für administrative Zugriffe
- getrennte Admin-Konten
- rollenbasierte Berechtigungen
- Least-Privilege-Prinzip
- Zugriff nur für berechtigte Personen
- regelmässige Überprüfung von Berechtigungen
Gerätesicherheit
- verschlüsselte Geräte
- aktueller Endpoint-Schutz
- sichere Konfiguration
- Patch- und Update-Prozesse
- Schutz vor unberechtigtem Zugriff
System- und Netzwerksicherheit
- Firewall- und Netzwerksegmentierung
- sichere VPN- oder Remote-Zugänge
- Protokollierung administrativer Zugriffe
- sichere Konfiguration von Microsoft 365, Entra ID, Intune und Defender
- Überwachung sicherheitsrelevanter Ereignisse, sofern vereinbart
Datensicherung und Wiederherstellung
- Backup-Konzepte, sofern vereinbart
- Wiederherstellungsprozesse
- regelmässige Überprüfung kritischer Backup-Prozesse
- Trennung von produktiven Daten und Sicherungskopien, soweit möglich
Organisation und Prozesse
- dokumentierte Verantwortlichkeiten
- Ticketing und Nachvollziehbarkeit
- definierte Eskalationswege
- Sicherheits- und Datenschutzbewusstsein
- kontrollierte Onboarding- und Offboarding-Prozesse
- Dokumentation von Systemen, Rollen und Konfigurationen
Kundentrennung
- organisatorische Trennung von Kundendaten
- getrennte Zugriffe und Berechtigungen
- kundenbezogene Dokumentations- und Ablagestrukturen
- keine Vermischung von Kundendaten ausserhalb vereinbarter Systeme
10. Subunternehmer und Drittdienstleister
Orbita kann Subunternehmer, Plattformen oder Drittdienstleister einsetzen, soweit dies für die Leistungserbringung erforderlich ist.
Mögliche Kategorien von Drittdienstleistern:
- Hostinganbieter
- Cloud-Anbieter
- Microsoft-365- und Security-Plattformen
- Backup-Anbieter
- Ticketing- und Kommunikationssysteme
- Distributoren und Hersteller
- Engineering- und Entwicklungspartner
Konkrete Subunternehmer und Datenflüsse werden im jeweiligen Vertrag, Projekt oder AVV konkretisiert.
Aktuelle Subunternehmer / Plattformen:
«kundenspezifisch ergänzen»
11. Datenübermittlung ins Ausland
Je nach eingesetzten Plattformen oder Cloud-Diensten können Personendaten auch im Ausland bearbeitet werden.
Wenn Daten in Staaten ohne angemessenes Datenschutzniveau übermittelt werden, werden soweit erforderlich geeignete Garantien eingesetzt, insbesondere Standardvertragsklauseln oder andere gesetzlich vorgesehene Schutzmassnahmen.
Die konkrete Datenregion und die eingesetzten Anbieter werden projekt- oder kundenspezifisch geprüft.
12. Unterstützung des Kunden
Orbita unterstützt den Kunden im Rahmen des vereinbarten Leistungsumfangs bei:
- Auskunftsanfragen betroffener Personen
- Berichtigung oder Löschung von Daten
- Dokumentation technischer und organisatorischer Massnahmen
- Datenschutz- und Sicherheitsprüfungen
- Incident-Abklärungen
- Backup- und Recovery-Fragen
- technischen Nachweisen und Reports
Zusätzlicher Aufwand kann separat verrechnet werden, sofern nicht anders vereinbart.
13. Meldung von Sicherheitsvorfällen
Orbita informiert den Kunden über relevante Sicherheitsvorfälle, soweit diese Kundendaten oder Kundensysteme betreffen und Orbita davon Kenntnis erhält.
Die Meldung erfolgt ohne unangemessene Verzögerung und enthält, soweit verfügbar:
- Art des Vorfalls
- betroffene Systeme oder Daten
- bekannte Auswirkungen
- bereits getroffene Massnahmen
- empfohlene weitere Schritte
14. Rückgabe und Löschung von Daten
Nach Beendigung eines Auftrags werden Kundendaten gemäss Vertrag, Weisung oder gesetzlicher Pflicht zurückgegeben, gelöscht oder archiviert.
Gesetzliche Aufbewahrungspflichten, berechtigte Nachweisinteressen oder technische Backup-Zyklen bleiben vorbehalten.
15. Kontrollrechte
Der Kunde kann im Rahmen der vereinbarten Auftragsbearbeitung angemessene Nachweise über die Einhaltung der vereinbarten technischen und organisatorischen Massnahmen verlangen.
Audits oder umfangreiche Prüfungen sind vorgängig abzustimmen und dürfen den Betrieb von Orbita oder anderer Kunden nicht beeinträchtigen.
16. AI und Automatisierung
Beim Einsatz von AI- oder Automatisierungslösungen prüft Orbita gemeinsam mit dem Kunden, welche Daten verwendet werden dürfen, welche Plattformen eingesetzt werden und welche Schutzmassnahmen erforderlich sind.
Kundendaten werden nicht ohne Freigabe des Kunden in nicht genehmigte AI-Dienste übertragen.
17. Schlussbestimmungen
Diese Seite dient als allgemeine Information. Massgebend sind jeweils die konkreten Vereinbarungen mit dem Kunden.
18. Stand
Stand: Juli 2026
Hinweis: Diese Informationen dienen der transparenten Darstellung unserer Website-, Datenschutz- und Vertragsgrundlagen. Massgebend sind jeweils die konkreten Verträge, Angebote, SLA-Dokumente und Vereinbarungen mit dem Kunden.
Fragen zu Vertrag, Datenschutz oder Auftragsbearbeitung?
Kontaktieren Sie uns unter info@orbita.swiss oder telefonisch unter +41 52 315 19 07.