Compliance- & Governance-Richtlinie der Traniva AG

Gültig für: Traniva AG, Zimbergstrasse 11, 8335 Hittnau, Schweiz
Geltungsbereich: Alle Mitarbeitenden, Organe, beauftragte Dritte (Freelancer, Near-/Offshore-Partner), Lieferanten und sonstige Geschäftspartner
Stand: September 2025

1. Zweck & Anwendungsbereich

Diese Richtlinie definiert Grundsätze, Verantwortlichkeiten und Mindestanforderungen für Compliance, Datenschutz, Informationssicherheit, Integrität und Transparenz bei der Traniva AG.

Sie gilt für sämtliche Geschäftsaktivitäten der Traniva AG, insbesondere:

  • Beratung, Projektmanagement und Betriebsleistungen im SAP-Umfeld (z. B. S/4HANA, SAP BTP/RISE, Fiori, ABAP, EDI),
  • Entwicklung, Systemintegration, Betrieb und Support, inkl. Near-/Offshore-Leistungen,
  • Betrieb von Service- und Supportleistungen (z. B. Application Management Services, Helpdesk/Ticketsysteme) für bestehende Traniva-Kunden,
  • interne Prozesse (Finanzen, HR, Marketing, Vertrieb, Administration).

Die Richtlinie ergänzt die vertraglichen Vereinbarungen mit Kunden und Partnern, die AGB der Traniva AG sowie die Datenschutzerklärung. Im Konfliktfall gehen zwingende gesetzliche Regelungen und ausdrücklich vereinbarte Vertragsbestimmungen vor.

2. Governance & Verantwortlichkeiten

  • Verwaltungsrat / Geschäftsleitung
    Gesamtverantwortung für Compliance, Risiko- und Reputationssteuerung.
  • Compliance Officer (CO)
    Erarbeitung, Pflege und Überwachung dieser Richtlinie; Ansprechpartner für Meldungen und Audits.
  • Data Protection Officer (DPO) – sofern bestellt
    Unterstützung bei Datenschutz-Fragen, Betroffenenanfragen (DSAR), Datenschutz-Folgenabschätzungen (DPIA), Datentransfers.
  • Informationssicherheitsbeauftragter (ISO)
    Steuerung des Informationssicherheits-Managementsystems (ISMS, orientiert an ISO/IEC 27001/27701), Risiko- und Massnahmenmanagement.
  • Führungskräfte
    Umsetzung der Vorgaben in Teams und Projekten; Sicherstellung von Schulungen und Vorbildfunktion.
  • Alle Mitarbeitenden & beauftragten Dritten
    Pflicht zur Einhaltung der Richtlinie, zur Mitwirkung bei Compliance- und Sicherheitsmassnahmen sowie zur unverzüglichen Meldung möglicher Verstösse.

3. Rechtlicher Rahmen

Traniva richtet sich nach dem jeweils anwendbaren Recht, insbesondere:

  • Schweiz: Obligationenrecht (OR), Gesetz gegen den unlauteren Wettbewerb (UWG), Bundesgesetz über den Datenschutz (revDSG) inkl. Verordnungen,
  • EU/EWR (soweit relevant): Datenschutz-Grundverordnung (DSGVO), einschliesslich Regelungen zu internationalen Datentransfers (Standardvertragsklauseln – SCC, Angemessenheitsbeschlüsse),
  • branchenspezifische Normen und Leitlinien unserer Kunden (z. B. GxP/CSV im Pharmaumfeld, Lebensmittelrecht, Energie- und Versorgungsrecht),
  • Wettbewerbs-, Kartell-, Exportkontroll- und Sanktionsrecht.

Traniva beansprucht keine formale Zertifizierung, orientiert sich jedoch an anerkannten Standards, insbesondere:

  • ISO/IEC 27001/27701 (Informationssicherheit & Datenschutz-Management),
  • ISO 22301 (Business Continuity Management),
  • ITIL-Best Practices im Service-Management.

4. Integrität, Ethik & Verhalten

Traniva verpflichtet sich zu einem fairen, transparenten und gesetzeskonformen Geschäftsgebaren.

  • Nulltoleranz gegenüber Korruption und Bestechung (Details siehe Abschnitt 5).
  • Fairer Wettbewerb: keine wettbewerbswidrigen Absprachen, kein unzulässiger Austausch sensibler Marktinformationen mit Wettbewerbern.
  • Interessenkonflikte: werden offengelegt und aktiv gemanagt (z. B. persönliche Beziehungen bei Vergaben, Nebenbeschäftigungen).
  • Umgang mit vertraulichen Informationen: keine Verwendung für private Zwecke oder Insidergeschäfte.
  • Respekt & Diversität: Diskriminierung, Mobbing und Belästigung werden nicht toleriert.

Verstösse gegen diese Grundsätze können disziplinarische und rechtliche Konsequenzen nach sich ziehen (siehe Abschnitt 17).

5. Anti-Korruption & Geschenke

  • Geschenke, Einladungen und sonstige Vorteile sind nur in angemessener Höhe, transparent und ohne Erwartung einer Gegenleistung zulässig.
  • Bar- oder geldwerte Geschenke sind grundsätzlich untersagt.
  • Es gelten interne Schwellenwerte und Genehmigungsprozesse; ab bestimmten Beträgen ist eine vorgängige Genehmigung einzuholen.
  • Spenden und Sponsoring erfolgen nur:
    • nach dem Vier-Augen-Prinzip,
    • dokumentiert,
    • ohne politische Gegenleistung und im Einklang mit den Werten von Traniva.

6. Datenschutz & Privatsphäre

6.1 Rollen & Rechtsgrundlagen

Traniva kann je nach Projekt und Konstellation als Verantwortlicher oder Auftragsverarbeiter (Processor) auftreten. Rollen, Zwecke, Bearbeitungsmittel, Empfänger, Speicherfristen und Sicherheitsmassnahmen werden vertraglich (z. B. in Auftragsverarbeitungsverträgen / Data Processing Agreements) festgelegt.

Rechtsgrundlagen (je nach anwendbarer Rechtsordnung):

  • Vertragserfüllung bzw. Durchführung vorvertraglicher Massnahmen,
  • berechtigte Interessen (z. B. Sicherheit, Qualitätssicherung, interne Administration),
  • Einwilligungen (nachweisbar, freiwillig, widerruflich),
  • rechtliche Verpflichtungen.

6.2 Datenschutzgrundsätze

Traniva beachtet insbesondere folgende Grundsätze:

  • Datenminimierung & Zweckbindung,
  • Richtigkeit und Aktualität der Daten,
  • Vertraulichkeit, Integrität & Verfügbarkeit,
  • Speicherbegrenzung (Löschung oder Anonymisierung, sobald der Zweck entfällt),
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design/Default).

6.3 Betroffenenrechte (DSAR)

Betroffene Personen haben – je nach anwendbarem Recht – Rechte auf:

  • Auskunft,
  • Berichtigung,
  • Löschung,
  • Einschränkung der Bearbeitung,
  • Datenübertragbarkeit,
  • Widerspruch gegen bestimmte Bearbeitungen.

Traniva stellt sicher, dass Anfragen fristgerecht bearbeitet und dokumentiert werden. Zuständig sind insbesondere DPO und CO (soweit bestellt/benannt).

6.4 Internationale Datentransfers

Internationale Datentransfers (z. B. an Near-/Offshore-Standorte oder Cloud-Anbieter ausserhalb der Schweiz/EU/EWR) erfolgen nur, wenn ein angemessenes Schutzniveau gewährleistet ist, insbesondere durch:

  • Angemessenheitsbeschlüsse,
  • Standardvertragsklauseln (SCC) und ggf. ergänzende technische und organisatorische Massnahmen,
  • vertragliche Zusicherungen zu Datenschutz und Informationssicherheit.

6.5 Verarbeitungsverzeichnis & DPIA

  • Traniva führt – soweit rechtlich erforderlich – ein Verzeichnis von Bearbeitungstätigkeiten (RoPA) mit Angaben zu Zweck, Kategorien, Empfängern, Speicherfristen und TOMs.
  • Bei Bearbeitungen mit hohem Risiko für Rechte und Freiheiten betroffener Personen werden Datenschutz-Folgenabschätzungen (DPIA) durchgeführt.

6.6 Datenschutzvorfälle

  • Für Datenschutz- und Sicherheitsvorfälle existiert ein definierter Melde- und Eskalationsprozess.
  • Meldepflichten gegenüber Kunden und Behörden (DSG/DSGVO) werden eingehalten.
  • Sicherheitsvorfälle werden dokumentiert, analysiert und mit geeigneten Massnahmen adressiert.

Hinweis: Diese Richtlinie beschreibt die internen Grundsätze von Traniva. Für die konkrete Bearbeitung von Personendaten im Zusammenhang mit unserer Website, dem Partnerportal und Online-Diensten gelten ergänzend die Informationen in der jeweils aktuellen Datenschutzerklärung der Traniva AG.

7. Informationssicherheit (ISMS)

Traniva orientiert sich in der Informationssicherheit an ISO/IEC 27001/27701. Zentrale Elemente sind:

7.1 Risiko- & Massnahmenmanagement

  • Regelmässige Risikoanalysen,
  • definierte Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit),
  • dokumentierter Massnahmenkatalog und Nachweisführung.

7.2 Zugriff & Identitäten

  • Prinzipien “Least Privilege” und “Need-to-know”,
  • starke Passwortrichtlinien, wo möglich Mehrfaktor-Authentifizierung (MFA),
  • zeitlich befristete Admin-/Entwicklerzugänge und periodische Rezertifizierungen.

7.3 Verschlüsselung

  • Verschlüsselung in Transit (z. B. TLS 1.2/1.3),
  • Verschlüsselung At Rest (z. B. AES-256, wo möglich),
  • sicheres Schlüsselmanagement.

7.4 Protokollierung & Monitoring

  • System- und Anwendungsprotokolle,
  • Transport- und Änderungslogs (insbesondere in SAP-Landschaften),
  • definierte Aufbewahrungsfristen und Schutz vor Manipulation.

7.5 Sichere Entwicklung & SAP-spezifische Kontrollen

  • Secure Software Development Lifecycle (z. B. Code Reviews, Static/Dynamic Testing),
  • restriktive Produktivzugriffe, Vier-Augen-Prinzip im Transport-Management,
  • Segregation of Duties (SoD) in kritischen Prozessen,
  • Härtung von Fiori/UI5-Frontends und OData-Services,
  • sichere Konfiguration von Cloud-Umgebungen (z. B. RISE/BTP), Mandantentrennung, Logging.

7.6 Physische Sicherheit & Business Continuity

  • Zutrittssteuerung für Büroräume und Rechenzentren (inkl. Anbieter),
  • Besuchermanagement,
  • Business Continuity Management (BCM) und Disaster Recovery (DR) mit vereinbarten RTO/RPO, getestet nach definierten Intervallen.

8. Aufbewahrung & Löschung

  • Daten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck oder aufgrund gesetzlicher Vorgaben erforderlich ist.
  • Dies gilt auch für Daten, die über Drittanbieter-Plattformen (z. B. Microsoft 365, Teams, SharePoint, OneDrive, Exchange) oder vergleichbare Cloud- und Collaboration-Services verarbeitet werden.
  • Die jeweiligen Nutzungsbedingungen, Compliance-Vorgaben und Löschfristen der Drittanbieter gelten zusätzlich; Traniva haftet nicht für Verstösse oder Verzögerungen dieser Anbieter, verpflichtet sich aber, im Rahmen des Möglichen auf eine ordnungsgemässe Löschung oder Migration nach Ablauf der Fristen hinzuwirken.

9. Dritte, Lieferanten & Near-/Offshore

Bei Auswahl und Steuerung von Dritten (Lieferanten, Near-/Offshore-Partnern, Freelancern) berücksichtigt Traniva insbesondere:

  • Due Diligence (Finanzlage, Rechtskonformität, Sicherheit, Datenschutz, Sanktionen),
  • vertragliche Verpflichtungen (DPA/AVV, SCC, TOMs, Subunternehmer-Regelungen),
  • Leistungs- und Sicherheitsmonitoring, Audit- und Inspektionsrechte,
  • Exit-Strategien (insbesondere bei Cloud- und Near-/Offshore-Setups).

Bei Near-/Offshore-Einsätzen gelten zusätzliche Anforderungen an:

  • klare Rollendefinitionen und Zugriffsrechte,
  • Datenlokation und -minimierung,
  • Schulung und Vertraulichkeitsverpflichtung der beteiligten Personen.

10. Qualitäts- & Prozessmanagement

Traniva nutzt etablierte Methoden und Tools, u. a.:

  • SAP Activate, Fit-to-Standard-Ansätze,
  • Jira/Confluence, Signavio, SAC/Power BI,
  • ITIL-orientiertes Change-, Incident- und Problem-Management mit KPI- und Service-Reporting.

Dokumentation (z. B. Designs, Tests, Abnahmen, Schulungen) ist fester Bestandteil der Leistungserbringung.

11. Kommunikation, Marketing & IP

  • Aussagen in Marketing, Vertrieb und öffentlichen Kanälen müssen wahrheitsgemäss, nachvollziehbar und nicht irreführend sein.
  • Geistiges Eigentum von Kunden, Partnern und Traniva (z. B. Quellcodes, Konzepte, Dokumente, Marken) ist zu schützen und nur im Rahmen vertraglicher Vereinbarungen zu nutzen.
  • Vertraulichkeitsvereinbarungen (NDA) sind einzuhalten; sensible Informationen sind nach klaren Regeln zu klassifizieren und zu schützen.

12. Arbeitsrecht, Gesundheit & Soziales

  • Einhaltung anwendbarer Arbeits-, Sozial- und Arbeitssicherheitsnormen,
  • Förderung von Gleichbehandlung, Diversität und inklusiven Arbeitsbedingungen,
  • klare Regeln für Remote-/Homeoffice-Arbeit, insbesondere zu Datenschutz und Informationssicherheit ausserhalb der Büroräume.

13. Umwelt & Nachhaltigkeit (ESG)

Traniva berücksichtigt Umwelt- und Nachhaltigkeitsaspekte, u. a. durch:

  • ressourcen- und energieeffiziente Nutzung von IT (z. B. Cloud-/Datacenter-Effizienz),
  • Berücksichtigung von Nachhaltigkeitskriterien bei der Auswahl von Lieferanten und Dienstleistern,
  • Sensibilisierung der Mitarbeitenden für nachhaltiges Handeln im Arbeitsalltag.

14. Exportkontrolle & Sanktionen

  • Prüfung von Geschäftspartnern und Projekten gegen relevante Sanktionslisten,
  • keine Geschäfte mit sanktionierten Parteien,
  • Beachtung exportkontrollrechtlicher Vorgaben, insbesondere bei Technologie- und Verschlüsselungsthemen.

15. Schulung & Bewusstsein

  • Onboarding- und wiederkehrende Schulungen zu Compliance, Datenschutz, Informationssicherheit und Anti-Korruption,
  • zielgruppenspezifische Trainings (z. B. Secure ABAP, SoD, GxP, Cloud-Security),
  • laufende Sensibilisierung durch interne Kommunikation und Awareness-Kampagnen.

16. Meldesystem (Whistleblowing) & Untersuchung

  • Vertrauliche Meldemöglichkeiten (z. B. Compliance-Mailadresse oder internes Hinweisgebersystem, auf Wunsch anonym),
  • Schutz von Hinweisgebenden vor Repressalien,
  • dokumentierte Untersuchungen, geeignete Abstellmassnahmen und “Lessons Learned” bei bestätigten Verstössen.

17. Verstösse, Sanktionen & Haftung

  • Verstösse gegen diese Richtlinie können disziplinarische Massnahmen bis hin zur Beendigung von Arbeits- oder Dienstleistungsverhältnissen nach sich ziehen.
  • Gegenüber Partnern und Lieferanten können Vertragsstrafen, Schadenersatzansprüche oder der Ausschluss von weiteren Beauftragungen geltend gemacht werden.
  • Zivil- und strafrechtliche Schritte bleiben vorbehalten.

18. Audits, Reviews & Verbesserung

  • Regelmässige interne Audits und – wo vereinbart – Kundenaudits,
  • Management-Reviews, KPI-Tracking und Massnahmenverfolgung,
  • kontinuierliche Verbesserung nach dem PDCA-Zyklus (Plan–Do–Check–Act).

19. Dokumentenlenkung & Versionierung

  • Versionierte Ablage dieser Richtlinie und zugehöriger Dokumente,
  • dokumentiertes Änderungsprotokoll, klare Verantwortlichkeiten (CO/ISO/DPO),
  • Überprüfung der Gültigkeit mindestens jährlich oder bei wesentlichen Gesetzes-, Prozess- oder Organisationsänderungen.

20. Kontakt

Allgemeine Compliance-Anfragen:
E-Mail: compliance@traniva.ch (sofern eingerichtet, sonst zentrale Kontaktadresse)

Datenschutzanfragen (gemäss Datenschutzerklärung):
E-Mail: info@traniva.com bzw. die dort ausgewiesenen Datenschutzkontakte

Sicherheitsanliegen (z. B. zu Informationssicherheit, technischen Vorfällen):
E-Mail: security@traniva.ch (sofern eingerichtet)

Traniva AG
Zimbergstrasse 11
8335 Hittnau
Schweiz

21. Verwendung von KI bei Traniva (EU AI Act & Einsatz von KI)

Traniva setzt Künstliche Intelligenz (KI) gezielt zur Unterstützung interner Prozesse sowie im Rahmen von Kundenprojekten, Marketing- und Kommunikationsmassnahmen ein. Dazu zählen neben menschlichen Projektteams auch klar gekennzeichnete virtuelle KI-gestützte “AI-Teams”, die definierte Aufgaben im Projektkontext unterstützen (z. B. Analysen, Dokumentation, Testunterstützung), stets unter fachlicher Verantwortung der zuständigen Traniva-Mitarbeitenden.

21.1 Texterstellung & Sprachunterstützung

  • KI-Systeme dürfen für die Erstellung, Überarbeitung und Rechtschreibprüfung von Texten genutzt werden (z. B. für Marketingmaterialien, Präsentationen, interne Dokumentationen, Kundenangebote).
  • Inhalte werden vor externer Verwendung grundsätzlich von qualifizierten Mitarbeitenden geprüft und freigegeben.
  • KI-Ausgaben werden nicht ungeprüft übernommen; die inhaltliche Verantwortung bleibt immer bei Traniva.

21.2 Bild- und Grafikgenerierung

  • Für Marketingzwecke (z. B. Website, Präsentationen, Broschüren) können KI-generierte Bilder oder Grafiken eingesetzt werden.
  • Diese dienen der visuellen Unterstützung und Illustration und sollen keine realen Personen, Unternehmen oder Objekte vortäuschen.
  • Eine gesonderte Kennzeichnung als “KI-generiert” erfolgt im Regelfall nicht, da die Bilder ausschliesslich als stilistische und illustrative Elemente verwendet werden.

21.3 Datenschutz, Training & Transparenz

  • Soweit KI-Tools Personendaten verarbeiten, erfolgt dies nur, wenn eine geeignete Rechtsgrundlage besteht (z. B. Vertragserfüllung, überwiegendes Interesse oder – soweit erforderlich – Einwilligung) und ein angemessenes Datenschutzniveau sichergestellt ist (z. B. durch Standardvertragsklauseln, vertragliche Beschränkungen der Nutzung von Eingabedaten zu Trainingszwecken).
  • Es werden keine besonders schützenswerten Personendaten im Sinne des revDSG bzw. der DSGVO in generative KI-Tools eingegeben, sofern hierfür keine ausdrückliche Rechtsgrundlage besteht.
  • Trainingsdaten der von uns genutzten KI-Dienste werden in der Regel von den jeweiligen Anbietern bereitgestellt und können durch Traniva nicht vollständig kontrolliert werden; wir achten jedoch auf seriöse Anbieter und vertragliche Zusagen.

Hinweis: Ergänzende Informationen zum Einsatz von KI im Zusammenhang mit der Website, dem Partnerportal und der Verarbeitung von Personendaten finden sich in der Datenschutzerklärung der Traniva AG.

22. Verhältnis zu AGB, Impressum und Datenschutzerklärung

Diese Compliance- & Governance-Richtlinie bildet zusammen mit den Allgemeinen Geschäftsbedingungen (AGB), dem Impressum und der Datenschutzerklärung den zentralen rechtlichen und organisatorischen Rahmen der Traniva AG.

  • Die AGB regeln insbesondere Vertragsbeziehungen, Leistungsumfang, Haftung und Datenschutz im Projekt- und Servicekontext.
  • Die Datenschutzerklärung konkretisiert die Bearbeitung von Personendaten im Zusammenhang mit Website, Partnerportal und Online-Diensten.
  • Das Impressum enthält die gesetzlich erforderlichen Anbieterkennzeichnungen.

Im Zweifelsfall gelten die zwingenden gesetzlichen Bestimmungen sowie ausdrücklich vereinbarte vertragliche Regelungen vorrangig vor dieser Richtlinie.