Seite wählen

Technische und organisatorische Massnahmen (TOM)

Gültig ab: 24. April 2026

Die nachfolgenden technischen und organisatorischen Massnahmen dokumentieren das Schutzniveau, das der Anbieter für die Bearbeitung der Personendaten des Mandanten im Rahmen der Plattform «JagdDigital Prüfungsverwaltung» (JHP) gewährleistet.

Dieses Dokument ist integraler Bestandteil der Zusatzvereinbarung zur Datenverarbeitung (ZDV) zwischen dem Anbieter und dem Mandanten.

Die Massnahmen orientieren sich an den Anforderungen von Art. 8 des schweizerischen Datenschutzgesetzes (DSG) sowie — soweit anwendbar — Art. 32 der EU-Datenschutz-Grundverordnung (DSGVO).

1. Pseudonymisierung und Anonymisierung

Wo immer möglich und sinnvoll, werden Personendaten in reduzierter oder anonymisierter Form verarbeitet. Insbesondere werden für statistische Auswertungen, Fehleranalysen und interne Reporting-Zwecke keine direkt identifizierenden Personendaten verwendet.

Beim Export und beim Zugriff auf Daten im Rahmen von Supportanfragen werden die Daten auf das notwendige Minimum beschränkt.

2. Verschlüsselung

Verschlüsselung ist ein zentrales Element des Sicherheitskonzepts. Sie verhindert den Zugriff Unberechtigter auf Personendaten und erschwert die unberechtigte Veränderung von Daten.

  • Die Verbindung zwischen dem Endgerät des Nutzers und der Plattform ist durchgängig transportverschlüsselt.
  • Personendaten werden bei der Speicherung auf Serverinfrastruktur verschlüsselt abgelegt.
  • Backups werden verschlüsselt gespeichert und übertragen.

3. Vertraulichkeit

Der Zugriff auf Personendaten ist auf den Kreis derjenigen Personen beschränkt, die den Zugriff zur Erfüllung ihrer Aufgaben benötigen.

  • Der Mandant bestimmt durch das Anlegen und Verwalten von Benutzerkonten selbst, wer auf seine Daten Zugriff hat.
  • Die Daten unterschiedlicher Mandanten sind voneinander isoliert. Ein Zugriff über die Mandantengrenze hinweg ist für Mandantsbenutzer nicht möglich.
  • Administrative Zugriffe durch den Anbieter erfolgen nur, sofern dies zur technischen Aufrechterhaltung des Betriebs, zur Fehlerbehebung oder auf ausdrückliche Weisung des Mandanten im Rahmen von Supportanfragen notwendig ist.
  • Personen, die administrative Zugriffsmöglichkeiten besitzen, sind zur Vertraulichkeit verpflichtet.

4. Integrität

Die Integrität der Daten wird durch rollenbasierte Zugriffskontrollen und durch Protokollierung sichergestellt.

  • Datenänderungen erfolgen ausschliesslich durch angemeldete und authentifizierte Benutzer.
  • Die Authentifizierung erfolgt über sichere Verfahren. Optional steht eine Zwei-Faktor-Authentifizierung zur Verfügung.
  • Änderungen an relevanten Datenobjekten werden in einem Audit-Log protokolliert. Das Audit-Log enthält pro Änderung den ausführenden Benutzer, den Zeitpunkt sowie die relevanten Änderungsdetails.
  • Das Audit-Log steht dem Mandanten für seine eigenen Daten einsehbar zur Verfügung.

5. Verfügbarkeit

Die Verfügbarkeit der Daten wird durch den Einsatz professioneller Cloud-Infrastruktur sichergestellt.

  • Die Plattform wird auf Infrastruktur eines etablierten Cloud-Anbieters betrieben, der seinerseits hohe Verfügbarkeits- und Sicherheitsstandards erfüllt.
  • Die Datenspeicherung erfolgt mit automatischer Replikation über mehrere Standorte, wodurch Daten auch bei Ausfall eines einzelnen Rechenzentrums weiterhin verfügbar bleiben.
  • Die Rechenzentren sind mit Brandschutz, unterbrechungsfreier Stromversorgung, redundanter Netzwerkanbindung und weiteren Vorkehrungen ausgestattet, die einen weitgehend unterbrechungsfreien Betrieb gewährleisten.

6. Belastbarkeit der Systeme

Die Belastbarkeit der Systeme wird durch eine skalierbare Cloud-Architektur und durch laufendes Monitoring sichergestellt.

  • Die eingesetzte Infrastruktur skaliert automatisch mit der Nutzungslast.
  • Monitoring-Werkzeuge erfassen Systemzustand, Antwortzeiten und Auslastung. Trends und Lastspitzen können frühzeitig erkannt werden.
  • Bei ungewöhnlichen Ereignissen werden Benachrichtigungen an den Anbieter ausgelöst, sodass rechtzeitig reagiert werden kann.

7. Wiederherstellung nach Zwischenfällen

Für den Fall eines physischen oder technischen Zwischenfalls bestehen Vorkehrungen zur Wiederherstellung der Datenverfügbarkeit.

  • Automatische Backups erfolgen regelmässig.
  • Die Backups werden an einem vom produktiven System getrennten Speicherort abgelegt.
  • Für die Wiederherstellung existieren dokumentierte Verfahren.

8. Regelmässige Überprüfung und Verbesserung

Die Wirksamkeit der technischen und organisatorischen Massnahmen wird regelmässig überprüft und an neue Entwicklungen angepasst.

  • Der Anbieter beobachtet laufend sicherheitsrelevante Entwicklungen und aktualisiert Massnahmen bei Bedarf.
  • Sicherheitsrelevante Softwarekomponenten werden zeitnah auf aktuelle Versionen gebracht.
  • Bei wesentlichen Änderungen werden die Massnahmen auf ihre Wirksamkeit hin überprüft.

9. Anpassungen

Der Anbieter behält sich vor, die hier beschriebenen Massnahmen im Zuge der technischen Weiterentwicklung anzupassen, sofern das Schutzniveau dadurch nicht reduziert wird. Wesentliche Änderungen werden dem Mandanten in geeigneter Form kommuniziert.

Stand: 24. April 2026