Verzeichnis der Bearbeitungstätigkeiten#

der SOBRADO Software AG
nach Art 12 DSG und Art. 24 DSV

Dieses Dokument beschreibt, welche Bearbeitungestätigkeiten Sobrado durchführt:

  • Selbst, als «Processor», auf eigenen Systemen
  • An Auftragsbearbeiter delegiert, als «Controller», auf deren Systemen.

Die Massnahmen zur Gewährleistung der Datensicherheit sind in im Informationssicherheitskonzept, Technische und organisatorische Massnahmen (TOM) beschrieben. Verantwortlich für alle Prozesse ist der CISO.

Sobrado als Processor: Ausschreibung und Offertvergleich#

Sobrado bietet Brokern eine Plattform, um Offerten-Ausschreibungen an Anbieter zu versenden, welche wiederum eine Offerte zurücksenden. Sobrado bearbeitet alle Daten, die für diesen Prozess nötig sind:

  • Personendaten von Versicherten wie z.B. E-Mail-Adressen, Namen, Telefonnummern, Geburtsdaten, Anstellungsgrad, Lohn und andere Daten, die für die Erstellung einer Versicherungsofferte notwendig sind.
  • Personendaten von Broker-Mitarbeitenden wie z.B. E-Mail-Adressen, Namen und Telefonnummern, die für die Identifizierung der Broker-Mitarbeitenden, die die Offerten bearbeiten, notwendig sind.
  • Personendaten von Versicherungsmitarbeitenden wie z.B. E-Mail-Adressen, Namen und Telefonnummern, die für die Identifizierung der Versicherungsmitarbeitenden, die die Offerte erstellen, notwendig sind.

Broker haben die Möglichkeit, Personendaten der Versicherten zu anonymisieren, sodass Versicherer diese Personen nicht identifizieren können. Folgende Daten können pro Broker durch Maskierung anonymisiert werden:

  • Personenlisten bei BVG-Ausschreibungen: Name, Vorname, AHV-Nummer und Geburtsdatum
  • Alle Personendaten in der Datenbank
  • Ausschreibungen: Firmennamen und Anhänge

Es handelt sich um besonders schützenswerte Personendaten nach nach Art. 5 lit c DSG, da sie Aufschluss über die Gesundheit oder Massnahmen der sozialen Hilfe geben können.

Es werden keine Daten ins Ausland übermittelt. Sämtliche Daten werden mindestens 10 Jahre aufbewahrt.

An diesem Prozess sind mehrere Rollen beteiligt, die über jeweils spezifische Rechte zur Erfüllung der Bearbeitungstätigkeiten verfügen. Eine Übersicht dieser Rollen ist im Informationssicherheitskonzept, Technische und organisatorische Massnahmen (TOM) aufgeführt.

Sobrado als Controller: Infrastruktur#

Die SOBRADO Software AG hat Teile ihre Infrastruktur an verschiedene Auftragsbearbeiter delegiert, welche die erforderlichen Betriebsmittel zur Verfügung stellen.

VSHN AG, Zürich#

Die Serverinfrastruktur zum Betrieb von Sobrado, einschliesslich der Source-Code-Verwaltung, wird von der Firma VSHN AG in Zürich betrieben.

Sämtliche Server stehen in der Schweiz, konkret im Rechenzentrum «Zürich West» der Green Datacenter AG in Lupfig, Kanton Aargau. Das Rechenzentrum wird von der Firma Cloudscale AG kontrolliert.

Verschiedene Mitarbeitende der VSHN AG haben zur Erfüllung ihres Auftrags Zugriff auf die Systeme. Dieser Zugriff ist im Vertrag mit der VSHN AG geregelt.

Die VSHN AG ist zertifiziert nach

  • ISAE 3402 Report Type 1
  • ISAE 3402 Report Type 2
  • ISO 27001

Weitere Informationen: VSHN Certifications.

Microsoft Azure, Schweiz#

Ein Teil, der von Sobrado empfangenen Dateien werden mithilfe Künstlicher Intelligenz in maschinenlesbare Datenstrukturen überführt. Es geschieht keine Nutzung zum Training oder zur Verbesserung von Modellen.

Dabei kommen Large Language Models (LLMs) zum Einsatz, die in einer isolierten, privaten Umgebung (geteilte Modellinferenz mit isoliertem Zugriff) durch Sobrado betrieben werden. Diese Umgebung wird auf Infrastruktur von Microsoft Azure im Rechenzentrum «Switzerland North» nahe Zürich, Schweiz, betrieben. Microsoft hat keinen direkten Zugriff auf die verarbeiteten Daten, da die Umgebung isoliert durch Sobrado betrieben wird.

Microsoft M365, Schweiz#

Sobrado verwendet die Microsoft-Software M365 für verschiedene interne Tätigkeiten. Mitarbeitende von Sobrado haben Zugriff auf die Systeme. Die Systeme werden im Rechenzentrum «Switzerland North» nahe Zürich, Schweiz, von Microsoft betrieben.

Parashift AG, Zürich#

Ein Teil der von Sobrado empfangenen Dateien werden mithilfe von der Parashift AG in maschinenlesbare Datenstrukturen überführt.

Parashift AG ist zertifiziert nach:

  • SOC 2 Type II
  • ISO 21001:2022

Weitere Informationen: Parashift Trust Center

Origoss GmbH, Budapest#

Die Firma Origoss Megoldások Kft. (Origoss Solutions GmbH), 1111 Budapest, erbringt subsidiäre Unterstützungsleistungen im produktiven Betrieb von Sobrado. Die Mitarbeitenden von Origoss haben keinen Zugriff auf produktive Daten und verarbeiten auch keine.

Atlassian Inc., Australien#

Sobrado verwendet Systeme der Firma Atlassian Inc. für die Dokumentation interner Prozesse, Ideen, Requirements Engineering und Sitzungsprotokolle. Mitarbeitende von Sobrado haben Zugriff auf die Systeme. Es werden keine Kundendaten auf diesen Systemen abgelegt, jedoch Daten der Mitarbeitenden. Die Daten werden in verschiedenen Ländern gespeichert (Australien, USA und weitere). Details sind im Data Transfer Assessment von Atlassian dokumentiert.

Evenito AG, Zürich#

Sobrado verwendet für Einladungen zu Veranstaltungen die Software der Firma Evenito AG in Zürich. Mitarbeitende von Sobrado, die Events organisieren, haben Zugriff auf das System. Es werden Personendaten von Eingeladenen bearbeitet, beispielsweise Name und E-Mail-Adresse. Weitere Informationen zur Datensicherheit sind auf der Firmenhomepage der Evenito AG zu finden.

Mailchimp (Intuit Inc.), USA#

Sobrado verwendet Mailchimp für den Versand von Newslettern. Dabei werden Personendaten von Empfängern bearbeitet, insbesondere Name und E-Mail-Adresse. Mitarbeitende von Sobrado, die Newsletter versenden, haben Zugriff auf das System. Die Daten werden auf Systemen von Mailchimp verarbeitet, welche sich in den USA befinden können. Eine Übermittlung von Personendaten ins Ausland ist daher möglich. Die Nutzung erfolgt ausschliesslich für den Newsletter-Versand. Weitere Informationen zur Datensicherheit sind auf der Firmenhomepage von Mailchimp verfügbar.