Auftragsverarbeitungsvertrag (AVV/DPA)
Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag ("AVV") regelt die Verarbeitung personenbezogener Daten durch COEUS ("Auftragsverarbeiter") im Auftrag des Kunden ("Verantwortlicher") gemäß Art. 28 DSGVO und Art. 9 DSG.
Der AVV gilt für die Dauer des Hauptvertrags (AGB) und endet automatisch mit dessen Beendigung.
Art und Zweck der Verarbeitung
| Kategorie | Details |
|---|---|
| Art der Verarbeitung | Speicherung, Verarbeitung, Übermittlung, Löschung |
| Zweck | Bereitstellung der COEUS-Plattform |
| Betroffene Personen | Mitarbeiter, Mieter, Bewerber, Kontakte, Dienstleister |
| Datenkategorien | Kontaktdaten, Vertragsdaten, Finanzdaten, Dokumente; ggf. besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), soweit der Verantwortliche solche in Dokumenten oder Bewerbungsunterlagen einstellt |
Pflichten des Auftragsverarbeiters
3.1 Weisungsgebundenheit
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
- Hinweispflicht bei rechtswidrigen Weisungen
3.2 Vertraulichkeit
- Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet
- Zugriff nur nach Need-to-Know-Prinzip
3.3 Unterstützungspflichten
Wir unterstützen Sie bei:
- Beantwortung von Betroffenenanfragen (innerhalb 5 Werktagen)
- Datenschutz-Folgenabschätzungen (DSFA)
- Konsultationen mit Aufsichtsbehörden
- Meldung von Datenschutzverletzungen (innerhalb 24 Stunden)
3.4 Löschung und Rückgabe
Nach Vertragsende:
- Datenexport auf Anfrage (JSON, CSV)
- Löschung innerhalb 90 Tagen
- Nachweis der Löschung auf Anfrage
- Ausnahme: Gesetzliche Aufbewahrungspflichten
Technische und organisatorische Maßnahmen (TOMs)
Vertraulichkeit
- Zutrittskontrolle: Keine physischen Server (Cloud-basiert: AWS Zürich + Infomaniak CH)
- Zugangskontrolle: WebAuthn/Passkeys (FIDO2), OAuth 2.0 mit PKCE, JWT (HS256)
- Zugriffskontrolle: Row-Level Security (RLS) auf Datenbankebene, RBAC
- Trennungskontrolle: Organization-ID-basierte Mandantentrennung
Integrität
- Transportverschlüsselung: TLS 1.3 für alle Verbindungen
- Eingabekontrolle: GDPR-Audit-Logging (unveränderbar)
- Selektive Verschlüsselung: AES-256-GCM für OAuth-Tokens und Zugangsdaten
- Schlüsselableitung: PBKDF2 mit 100.000 Iterationen
Verfügbarkeit
- Redundante Infrastruktur: AWS Zürich + Infomaniak CH
- DDoS-Schutz: Cloudflare WAF
- Backups: Tägliche Backups, Point-in-Time Recovery
- Rate Limiting: Mehrstufig (Auth, API, Upload)
Nutzerdaten (Dokumente, Texte) werden NICHT Ende-zu-Ende-verschlüsselt gespeichert. Dies ist technisch notwendig für KI-Funktionen (OCR, RAG). Der Schutz erfolgt durch: Row-Level Security (RLS), Mandantentrennung, Zugriffskontrolle und Audit-Logging. Dies entspricht dem Industriestandard für KI-SaaS und ist DSGVO/DSG-konform.
Unterauftragsverarbeiter
| Anbieter | Dienst | Standort | Garantien |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Storage, Edge Functions | Schweiz (Zürich, AWS eu-central-2) | DPA, SCCs, Daten in CH/EU |
| AWS (Amazon) | Compute, Datenbank-Infrastruktur | Schweiz (Zürich, eu-central-2) | ISO 27001, SOC 2, GDPR |
| Infomaniak | Cloud-Infrastruktur, Storage | Schweiz | ISO 27001, DSG-konform |
| Mistral AI | OCR, LLM | EU (Paris) | DPA, kein Training |
| Cloudflare Inc. | CDN, DDoS-Schutz | Global (CH/EU-Knoten) | DPA, SCCs |
| Stripe Inc. | Zahlungsabwicklung | USA | DPA, PCI-DSS, SCCs |
| Resend Inc. | Transaktionaler E-Mail-Versand | USA | DPA, SCCs |
Änderungen an Unterauftragsverarbeitern werden 30 Tage im Voraus mitgeteilt. Bei Widerspruch besteht Sonderkündigungsrecht.
Audit-Rechte
- Recht auf Information über TOMs
- Recht auf Einsicht in Audit-Berichte
- Recht auf Vor-Ort-Audit (mit 30 Tagen Vorlauf, auf eigene Kosten)
- Maximal ein Audit pro Kalenderjahr
Internationale Datenübermittlung
7.1 Schweizer Datenresidenz
Alle personenbezogenen Daten werden primär in der Schweiz gespeichert: Compute und Datenbank (AWS Zürich), Cloud-Infrastruktur (Infomaniak Schweiz). Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission.
7.2 Drittlandübermittlungen
Bei Übermittlung in Drittländer:
- USA: EU-US Data Privacy Framework oder SCCs
- Ergänzende Maßnahmen: Verschlüsselung, Pseudonymisierung, Datenminimierung