Auftragsverarbeitungsvertrag (AVV)

1. Parteien

Die Parteien werden gemeinsam als "Parteien" und einzeln als "Partei" bezeichnet.

2. Gegenstand & Dauer

2.1 Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Auftragsverarbeitung im Rahmen der Hauptleistung gemäss den AGB ergeben.

2.2 Er gilt für alle Tätigkeiten, bei denen der Auftragsverarbeiter mit personenbezogenen Daten des Verantwortlichen in Berührung kommt, sie verarbeitet oder Zugriff darauf hat.

2.3 Dauer: Dieser AVV beginnt mit Annahme der AGB und gilt für die gesamte Dauer des Hauptvertrags zwischen den Parteien. Er endet automatisch mit Beendigung des Hauptvertrags, spätestens jedoch mit der vollständigen Löschung aller im Auftrag verarbeiteten Daten gemäss Ziffer 14.

3. Art & Zweck der Verarbeitung

3.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich zu folgenden Zwecken:

• Bereitstellung des SaaS-Dienstes ai-risk-check.com gemäss AGB
• Speicherung und Verwaltung der vom Verantwortlichen eingegebenen Daten
• Versand von Einladungs-Tokens und transaktionalen E-Mails (z.B. KI-Kompetenz-Quiz)
• Generierung von PDF-Reports und Verifikations-Hashes
• Bereitstellung von KI-gestützten Funktionen (Co-Pilot, Massnahmenplan via Anthropic Claude API)
• Sicherstellung der IT-Sicherheit, Backup, Audit-Trail nach EU AI Act Art. 12
• Support-Anfragen des Verantwortlichen

3.2 Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters (z.B. Werbe-Profile, Verkauf an Dritte, KI-Training) findet nicht statt.

3.3 Art der Verarbeitung: Erhebung, Erfassung, Speicherung, Anpassung, Auslesen, Abfragen, Verwendung, Übermittlung an Sub-Auftragsverarbeiter, Einschränkung, Löschung und Vernichtung — alles ausschliesslich auf elektronischem Wege via Cloud-Infrastruktur.

4. Datenarten & betroffene Personen

4.1 Kategorien betroffener Personen:

• Mitarbeiter des Verantwortlichen (z.B. KI-Kompetenz-Modul)
• Kunden des Verantwortlichen (bei Agency-Plan und Kunden-Workspaces)
• Team-Mitglieder im Workspace
• Stakeholder, die in FRIA-Dokumentation namentlich erfasst werden (z.B. Sign-Off-Personen)

4.2 Kategorien personenbezogener Daten:

4.3 Besondere Kategorien (Art. 9 DSGVO): Es ist nicht vorgesehen, dass besondere Kategorien personenbezogener Daten verarbeitet werden. Sollte der Verantwortliche dennoch solche Daten in das System eingeben, geschieht dies in seiner alleinigen Verantwortung — der Auftragsverarbeiter empfiehlt ausdrücklich, dies zu unterlassen.

5. Rechte & Pflichten des Verantwortlichen

5.1 Der Verantwortliche bleibt im datenschutzrechtlichen Sinne der "Verantwortliche" nach Art. 4 Nr. 7 DSGVO bzw. Art. 5 lit. j revDSG. Er trifft die Entscheidungen über Zwecke und Mittel der Verarbeitung im Rahmen des durch die Software vorgegebenen Funktionsumfangs.

5.2 Versicherungen des Verantwortlichen: Der Verantwortliche versichert, dass:

• er für jede Datenverarbeitung über eine gültige Rechtsgrundlage verfügt (z.B. Art. 6 DSGVO)
• er die betroffenen Personen ordnungsgemäss informiert hat (Art. 13/14 DSGVO)
• er bei Mitarbeiter-Daten die einschlägigen arbeitsrechtlichen Bestimmungen einhält (z.B. Art. 88 DSGVO i.V.m. nationalem Recht)
• er bei Pflicht zur Bestellung eines Datenschutzbeauftragten dies getan hat
• er ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) führt, sofern erforderlich

5.3 Der Verantwortliche ist im Verhältnis zur betroffenen Person allein für die Beurteilung der Zulässigkeit der Verarbeitung zuständig.

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
• seine Mitarbeiter (sofern vorhanden) auf das Datengeheimnis nach Art. 28 Abs. 3 lit. b DSGVO bzw. Art. 9 Abs. 1 lit. d revDSG zu verpflichten
• die Sicherheit der Verarbeitung gemäss Art. 32 DSGVO sicherzustellen (siehe Ziffer 8)
• den Verantwortlichen bei der Einhaltung der Art. 32–36 DSGVO zu unterstützen
• nach Abschluss der Erbringung der Leistung alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (siehe Ziffer 14)
• dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Art. 28 DSGVO zur Verfügung zu stellen
• Überprüfungen / Inspektionen zu ermöglichen (siehe Ziffer 12)
• den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstösst

7. Weisungsrecht

7.1 Die Verarbeitung erfolgt ausschliesslich auf der Grundlage dokumentierter Weisungen des Verantwortlichen. Diese Weisungen ergeben sich primär aus den AGB, der Datenschutzerklärung sowie aus der Konfiguration und Nutzung des Dienstes durch den Verantwortlichen selbst (Konto-Einstellungen, Workspace-Konfiguration).

7.2 Erweiterte Weisungen: Über die in 7.1 genannten Standard-Weisungen hinaus kann der Verantwortliche zusätzliche Weisungen in Textform an datenschutz@ai-risk-check.com richten. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

7.3 Falls der Auftragsverarbeiter der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstösst, hat er den Verantwortlichen unverzüglich zu informieren. Die Ausführung der betroffenen Weisung kann bis zur Klärung ausgesetzt werden.

7.4 Mehraufwand: Weisungen, die den im Hauptvertrag vereinbarten Standard-Leistungsumfang übersteigen (z.B. individuelle Datenexport-Formate, Sonderlöschungen, forensische Auswertungen), kann der Auftragsverarbeiter gegen angemessenes Entgelt umsetzen — nach den Aufwandssätzen, die er auf Anfrage vorab kommuniziert.

8. Technische & organisatorische Massnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft die folgenden technischen und organisatorischen Massnahmen zur Sicherheit der Verarbeitung. Eine ausführliche Dokumentation wird auf Anfrage in Form eines gesonderten TOM-Dokuments bereitgestellt.

8.1 Vertraulichkeit

• Zutrittskontrolle: Server in zertifizierten Rechenzentren (Vercel EU-Region, Supabase Irland eu-west-1) — kein physischer Zugang durch Auftragsverarbeiter
• Zugangskontrolle: 2-Faktor-Authentifizierung für alle Admin-Zugänge, Passwörter mit bcrypt-Hashing
• Zugriffskontrolle: Row-Level-Security (RLS) in der Datenbank, rollenbasiertes Zugriffsmodell (Owner/Editor/Viewer)
• Trennungskontrolle: Strikte Mandantentrennung über Workspace-IDs, separate Production/Staging-Umgebungen
• Pseudonymisierung: Soweit technisch möglich; Audit-Trail-Einträge werden nach Konto-Löschung pseudonymisiert

8.2 Integrität

• Eingabekontrolle: Audit-Trail aller relevanten Aktionen mit Zeitstempel und User-ID
• Weitergabekontrolle: TLS 1.3 für alle Übertragungen, AES-256-Verschlüsselung at-Rest
• Hash-Verifikation: SHA-256-Hashes für Reports zur Integritätsprüfung

8.3 Verfügbarkeit & Belastbarkeit

• Backup-Strategie: Tägliche automatische Backups bei Supabase, Point-in-Time-Recovery für 7 Tage
• Geo-Redundanz: Backup-Replikation über mehrere EU-Regionen
• Incident-Response: Dokumentiertes Verfahren bei Vorfällen (siehe Ziffer 11)
• DDoS-Schutz: Cloudflare/Vercel Edge-Protection

8.4 Verfahren zur Überprüfung

• Datenschutz-Management: Regelmässige Überprüfung von Verarbeitungstätigkeiten
• Auftragskontrolle: Vertragliche Bindung aller Sub-Auftragsverarbeiter (siehe Ziffer 9)
• Vorfallreaktion: Meldepflicht bei Datenpannen (siehe Ziffer 11)
• Datenschutzfreundliche Voreinstellungen: Privacy-by-Default in der Anwendung

9. Unterauftragsverarbeiter

9.1 Der Verantwortliche stimmt der Beauftragung der nachfolgend aufgeführten Unterauftragsverarbeiter mit Vertragsschluss allgemein zu:

9.2 Vertragliche Bindung: Mit allen aufgeführten Unterauftragsverarbeitern hat Innopulse Consulting GmbH AVV gemäss Art. 28 Abs. 4 DSGVO abgeschlossen. Die Sub-AV sind zur Einhaltung im Wesentlichen gleichwertiger Datenschutzpflichten verpflichtet.

9.3 Hinzunahme oder Wechsel: Beabsichtigt der Auftragsverarbeiter, einen weiteren Sub-AV zu beauftragen oder einen bestehenden zu wechseln, informiert er den Verantwortlichen mindestens 30 Tage vor Wirksamkeit per E-Mail oder durch entsprechende Anpassung dieser Seite. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen widersprechen — bei Widerspruch sind die Parteien berechtigt, den Hauptvertrag ausserordentlich zu kündigen.

9.4 Eine aktuelle Liste der Unterauftragsverarbeiter finden Sie zudem in unserer Datenschutzerklärung Sektion 13.

10. Wahrung der Betroffenenrechte

10.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner technischen Möglichkeiten bei der Erfüllung von Anfragen betroffener Personen nach Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

10.2 Self-Service: Im Konto unter Einstellungen → Datenschutzsind die wichtigsten Funktionen direkt verfügbar:

• Datenexport in JSON/CSV
• Konto-Löschung mit 30-Tage-Recovery
• DSR-Tracker für eingehende Betroffenenanfragen
• Audit-Log Export

10.3 Direkte Anfragen: Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird dieser die Anfrage unverzüglich an den Verantwortlichen weiterleiten und die Person darauf hinweisen, dass der Verantwortliche zuständig ist.

11. Meldepflichten bei Datenpannen

11.1 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, in jedem Fall innerhalb von 72 Stunden ab Kenntniserlangung, über Verletzungen des Schutzes personenbezogener Daten gemäss Art. 33 DSGVO.

11.2 Inhalte der Meldung:

• Beschreibung der Art der Verletzung
• Kategorien und ungefähre Anzahl der betroffenen Personen / Datensätze
• Voraussichtliche Folgen der Verletzung
• Ergriffene oder vorgeschlagene Massnahmen zur Behebung
• Kontakt für Rückfragen

11.3 Die Meldung erfolgt per E-Mail an die im Konto hinterlegte Stamm-E-Mail-Adresse des Verantwortlichen sowie zusätzlich an eine etwaig hinterlegte DSB-Kontaktadresse. Der Verantwortliche ist verpflichtet, die genannten E-Mail-Adressen aktuell zu halten.

11.4 Die Meldung an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) sowie ggf. an die betroffenen Personen (Art. 34 DSGVO) obliegt dem Verantwortlichen.

12. Kontrollrechte des Verantwortlichen

12.1 Der Verantwortliche hat das Recht, sich von der Einhaltung der vereinbarten technischen und organisatorischen Massnahmen sowie der Pflichten nach Art. 28 DSGVO zu überzeugen.

12.2 Form der Kontrolle: Die Kontrolle erfolgt primär durch Vorlage geeigneter Nachweise wie:

• Aktuelle Zertifikate (z.B. SOC 2, ISO 27001) der Sub-Auftragsverarbeiter
• Selbstauskünfte und ausgefüllte Kontroll-Fragebögen
• TOM-Dokumentation
• Audit-Berichte unabhängiger Dritter

12.3 Vor-Ort-Prüfungen: Sollten die o.g. Nachweise nicht ausreichen, kann der Verantwortliche eine Vor-Ort-Prüfung mit einer angemessenen Frist von mindestens 30 Werktagen und maximal einmal pro Kalenderjahr verlangen — während üblicher Geschäftszeiten und ohne Störung des Betriebsablaufs.

12.4 Kosten: Aufwendungen für Vor-Ort-Prüfungen, die nicht durch konkrete Hinweise auf Datenschutzverstösse begründet sind, trägt der Verantwortliche. Bei festgestellten Verstössen trägt der Auftragsverarbeiter die Kosten.

13. Drittlandtransfers

13.1 Übermittlungen personenbezogener Daten in ein Drittland (insbesondere USA) erfolgen ausschliesslich auf Basis geeigneter Garantien:

• EU-Standardvertragsklauseln (SCCs) nach Durchführungsbeschluss (EU) 2021/914
• EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist
• Ergänzende technische Massnahmen (Verschlüsselung, Pseudonymisierung, Datenminimierung)

13.2 Für jede Übermittlung in ein Drittland ist eine Transfer Impact Assessment (TIA) dokumentiert. Die TIA-Dokumentation kann auf Anfrage eingesehen werden.

14. Beendigung & Datenrückgabe / Löschung

14.1 Nach Beendigung des Hauptvertrags hat der Verantwortliche die Wahl, ob die im Auftrag verarbeiteten Daten:

• vor der Löschung im Self-Service als JSON/CSV exportiert werden, oder
• durch den Auftragsverarbeiter nach 30 Tagen automatisch gelöscht werden

14.2 Löschung bei Sub-AV: Der Auftragsverarbeiter veranlasst die entsprechende Löschung bei seinen Sub-Auftragsverarbeitern.

14.3 Aufbewahrungspflichten: Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (z.B. Rechnungen 10 Jahre nach OR Art. 958f / § 257 HGB; Audit-Trail-Einträge bis zu 6 Jahre nach EU AI Act Art. 12), werden nach Konto-Löschung in pseudonymisierter Form weiter aufbewahrt — getrennt von Bestandsdaten und nur für den jeweiligen gesetzlichen Zweck zugänglich.

14.4 Löschnachweis: Der Auftragsverarbeiter stellt auf Anfrage einen schriftlichen Löschnachweis zur Verfügung.

15. Haftung

15.1 Es gelten die Haftungsregelungen des Hauptvertrags (siehe AGB Ziffer 10).

15.2 Im Verhältnis zu betroffenen Personen haften die Parteien gemäss Art. 82 DSGVO. Die interne Haftungsverteilung zwischen den Parteien folgt dem Verschuldungsgrad gemäss Art. 82 Abs. 5 DSGVO.

16. Schlussbestimmungen

16.1 Vorrang: Bei Widersprüchen zwischen diesem AVV und den AGB hat dieser AVV hinsichtlich der Auftragsverarbeitung Vorrang.

16.2 Schriftform: Eine zusätzliche unterzeichnete Variante dieses AVV kann auf Anfrage an datenschutz@ai-risk-check.com bereitgestellt und ausgetauscht werden.

16.3 Anwendbares Recht & Gerichtsstand: Es gelten die Regelungen des Hauptvertrags — Schweizer Recht, Gerichtsstand Zug.

16.4 Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.