OrbitaSwiss ICT & AI Solutions
Rechtliches

Auftragsbearbeitung & TOM

Grundsätze der Orbita GmbH zur Auftragsbearbeitung sowie zu technischen und organisatorischen Massnahmen. Massgebend ist die jeweilige kundenspezifische Vereinbarung.

Stand: Juli 2026

1. Zweck dieser Seite

Diese Seite beschreibt die Grundsätze der Orbita GmbH zur Auftragsbearbeitung und zu technischen und organisatorischen Massnahmen.

Sie ersetzt keinen kundenspezifischen Auftragsbearbeitungsvertrag. Bei Projekten oder Managed Services, bei denen Orbita Personendaten im Auftrag eines Kunden bearbeitet, wird eine separate Vereinbarung oder vertragliche Regelung abgeschlossen.

2. Verantwortliche Stelle

Orbita GmbH
Swiss ICT & AI Solutions
Ein Unternehmen der Provesta Holding AG
UID: CHE-100.960.099
Hauptstandort: Neftenbach, Kanton Zürich, Schweiz
Weitere Präsenz: Meilen ZH, Schweiz

E-Mail: info@orbita.swiss
Telefon: +41 52 315 19 07

3. Rolle von Orbita

Je nach Auftrag kann Orbita entweder als eigenständige Verantwortliche oder als Auftragsbearbeiterin tätig sein.

Eine Auftragsbearbeitung liegt insbesondere dann vor, wenn Orbita Personendaten im Auftrag und nach Weisung eines Kunden verarbeitet, zum Beispiel im Rahmen von:

  • ICT-Support
  • Managed Services
  • Microsoft-365-Betreuung
  • Benutzer- und Geräteverwaltung
  • Ticketing
  • Backup- und Recovery-Leistungen
  • Security Checks
  • Systemanalysen
  • Softwareentwicklung
  • AI- und Automatisierungsprojekten
  • Wartung und Betrieb von Kundensystemen

4. Gegenstand der Auftragsbearbeitung

Der konkrete Gegenstand, Umfang, Zweck und die Dauer der Auftragsbearbeitung ergeben sich aus dem jeweiligen Angebot, Vertrag, SLA, Projektauftrag oder einer separaten Auftragsbearbeitungsvereinbarung.

Mögliche Bearbeitungszwecke sind:

  • Betrieb und Support von ICT-Systemen
  • Analyse und Verbesserung von ICT-Umgebungen
  • Verwaltung von Benutzern, Geräten und Berechtigungen
  • Sicherstellung von Backup, Security und Verfügbarkeit
  • Fehlerbehebung und technischer Support
  • Projektumsetzung und Dokumentation
  • Automatisierung und Softwareentwicklung
  • Umsetzung von Datenschutz- und Sicherheitsmassnahmen

5. Kategorien betroffener Personen

Je nach Auftrag können Daten folgender Personengruppen bearbeitet werden:

  • Mitarbeitende des Kunden
  • Lehrpersonen
  • Schülerinnen und Schüler
  • Verwaltungsmitarbeitende
  • Kunden des Kunden
  • Lieferanten und Partner
  • externe Benutzer
  • Supportkontakte
  • Projektbeteiligte
  • Systemadministratoren

6. Kategorien von Personendaten

Je nach Auftrag können folgende Daten bearbeitet werden:

  • Namen
  • geschäftliche Kontaktdaten
  • Benutzerkonten
  • E-Mail-Adressen
  • Telefonnummern
  • Rollen und Berechtigungen
  • Geräteinformationen
  • Login- und Protokolldaten
  • Ticket- und Supportdaten
  • System- und Inventardaten
  • Kommunikationsdaten
  • technische Konfigurationsdaten
  • Backup- und Wiederherstellungsinformationen
  • Projekt- und Dokumentationsdaten

Besonders schützenswerte Personendaten werden nur bearbeitet, wenn dies für den Auftrag erforderlich ist und entsprechend vereinbart wurde.

7. Weisungen des Kunden

Orbita bearbeitet Personendaten im Rahmen einer Auftragsbearbeitung grundsätzlich nur nach dokumentierten Weisungen des Kunden.

Weisungen können sich aus Vertrag, Angebot, SLA, Projektauftrag, Ticket, E-Mail, Supportanfrage oder dokumentierter Freigabe ergeben.

Orbita informiert den Kunden, wenn eine Weisung aus Sicht von Orbita gegen Datenschutz-, Sicherheits- oder andere rechtliche Anforderungen verstossen könnte.

8. Vertraulichkeit

Alle Personen, die Zugriff auf Kundendaten erhalten, werden zur Vertraulichkeit verpflichtet oder unterliegen einer entsprechenden gesetzlichen oder vertraglichen Vertraulichkeitspflicht.

Zugriffe auf Kundendaten erfolgen nur, soweit dies für die Leistungserbringung erforderlich ist.

9. Technische und organisatorische Massnahmen

Orbita setzt angemessene technische und organisatorische Massnahmen ein. Der konkrete Umfang richtet sich nach Auftrag, Risiko, Kundensystem, Datenkategorie und vereinbartem Service.

Mögliche TOM umfassen insbesondere:

Zugriffsschutz

  • MFA für administrative Zugriffe
  • getrennte Admin-Konten
  • rollenbasierte Berechtigungen
  • Least-Privilege-Prinzip
  • Zugriff nur für berechtigte Personen
  • regelmässige Überprüfung von Berechtigungen

Gerätesicherheit

  • verschlüsselte Geräte
  • aktueller Endpoint-Schutz
  • sichere Konfiguration
  • Patch- und Update-Prozesse
  • Schutz vor unberechtigtem Zugriff

System- und Netzwerksicherheit

  • Firewall- und Netzwerksegmentierung
  • sichere VPN- oder Remote-Zugänge
  • Protokollierung administrativer Zugriffe
  • sichere Konfiguration von Microsoft 365, Entra ID, Intune und Defender
  • Überwachung sicherheitsrelevanter Ereignisse, sofern vereinbart

Datensicherung und Wiederherstellung

  • Backup-Konzepte, sofern vereinbart
  • Wiederherstellungsprozesse
  • regelmässige Überprüfung kritischer Backup-Prozesse
  • Trennung von produktiven Daten und Sicherungskopien, soweit möglich

Organisation und Prozesse

  • dokumentierte Verantwortlichkeiten
  • Ticketing und Nachvollziehbarkeit
  • definierte Eskalationswege
  • Sicherheits- und Datenschutzbewusstsein
  • kontrollierte Onboarding- und Offboarding-Prozesse
  • Dokumentation von Systemen, Rollen und Konfigurationen

Kundentrennung

  • organisatorische Trennung von Kundendaten
  • getrennte Zugriffe und Berechtigungen
  • kundenbezogene Dokumentations- und Ablagestrukturen
  • keine Vermischung von Kundendaten ausserhalb vereinbarter Systeme

10. Subunternehmer und Drittdienstleister

Orbita kann Subunternehmer, Plattformen oder Drittdienstleister einsetzen, soweit dies für die Leistungserbringung erforderlich ist.

Mögliche Kategorien von Drittdienstleistern:

  • Hostinganbieter
  • Cloud-Anbieter
  • Microsoft-365- und Security-Plattformen
  • Backup-Anbieter
  • Ticketing- und Kommunikationssysteme
  • Distributoren und Hersteller
  • Engineering- und Entwicklungspartner

Konkrete Subunternehmer und Datenflüsse werden im jeweiligen Vertrag, Projekt oder AVV konkretisiert.

Aktuelle Subunternehmer / Plattformen:
«kundenspezifisch ergänzen»

11. Datenübermittlung ins Ausland

Je nach eingesetzten Plattformen oder Cloud-Diensten können Personendaten auch im Ausland bearbeitet werden.

Wenn Daten in Staaten ohne angemessenes Datenschutzniveau übermittelt werden, werden soweit erforderlich geeignete Garantien eingesetzt, insbesondere Standardvertragsklauseln oder andere gesetzlich vorgesehene Schutzmassnahmen.

Die konkrete Datenregion und die eingesetzten Anbieter werden projekt- oder kundenspezifisch geprüft.

12. Unterstützung des Kunden

Orbita unterstützt den Kunden im Rahmen des vereinbarten Leistungsumfangs bei:

  • Auskunftsanfragen betroffener Personen
  • Berichtigung oder Löschung von Daten
  • Dokumentation technischer und organisatorischer Massnahmen
  • Datenschutz- und Sicherheitsprüfungen
  • Incident-Abklärungen
  • Backup- und Recovery-Fragen
  • technischen Nachweisen und Reports

Zusätzlicher Aufwand kann separat verrechnet werden, sofern nicht anders vereinbart.

13. Meldung von Sicherheitsvorfällen

Orbita informiert den Kunden über relevante Sicherheitsvorfälle, soweit diese Kundendaten oder Kundensysteme betreffen und Orbita davon Kenntnis erhält.

Die Meldung erfolgt ohne unangemessene Verzögerung und enthält, soweit verfügbar:

  • Art des Vorfalls
  • betroffene Systeme oder Daten
  • bekannte Auswirkungen
  • bereits getroffene Massnahmen
  • empfohlene weitere Schritte

14. Rückgabe und Löschung von Daten

Nach Beendigung eines Auftrags werden Kundendaten gemäss Vertrag, Weisung oder gesetzlicher Pflicht zurückgegeben, gelöscht oder archiviert.

Gesetzliche Aufbewahrungspflichten, berechtigte Nachweisinteressen oder technische Backup-Zyklen bleiben vorbehalten.

15. Kontrollrechte

Der Kunde kann im Rahmen der vereinbarten Auftragsbearbeitung angemessene Nachweise über die Einhaltung der vereinbarten technischen und organisatorischen Massnahmen verlangen.

Audits oder umfangreiche Prüfungen sind vorgängig abzustimmen und dürfen den Betrieb von Orbita oder anderer Kunden nicht beeinträchtigen.

16. AI und Automatisierung

Beim Einsatz von AI- oder Automatisierungslösungen prüft Orbita gemeinsam mit dem Kunden, welche Daten verwendet werden dürfen, welche Plattformen eingesetzt werden und welche Schutzmassnahmen erforderlich sind.

Kundendaten werden nicht ohne Freigabe des Kunden in nicht genehmigte AI-Dienste übertragen.

17. Schlussbestimmungen

Diese Seite dient als allgemeine Information. Massgebend sind jeweils die konkreten Vereinbarungen mit dem Kunden.

18. Stand

Stand: Juli 2026

Hinweis: Diese Informationen dienen der transparenten Darstellung unserer Website-, Datenschutz- und Vertragsgrundlagen. Massgebend sind jeweils die konkreten Verträge, Angebote, SLA-Dokumente und Vereinbarungen mit dem Kunden.

Fragen zu Vertrag, Datenschutz oder Auftragsbearbeitung?

Kontaktieren Sie uns unter info@orbita.swiss oder telefonisch unter +41 52 315 19 07.