Auftragsverarbeitungsvereinbarung (AVV / DPA)

Diese Auftragsverarbeitungsvereinbarung (nachfolgend «AVV») regelt die Verarbeitung personenbezogener Daten durch die KiDesk R. Murati (nachfolgend «Auftragnehmerin») im Auftrag der Nutzerin bzw. des Nutzers der KiDock-Plattform (nachfolgend «Auftraggeberin»). Sie ergaenzt die Allgemeinen Geschaeftsbedingungen (AGB) und bildet zusammen mit diesen den Rahmen der Datenverarbeitung. Die AVV tritt automatisch mit Abschluss des Vertrages in Kraft.

1. Gegenstand und Dauer

Gegenstand der AVV ist die Verarbeitung personenbezogener Daten, die im Rahmen der Nutzung der KiDock-Plattform anfallen (z.B. Kundendaten aus der angebundenen Bexio-Instanz, Chat-Verlaeufe, Authentifizierungsdaten). Art und Zweck der Verarbeitung sind in den AGB und in der Datenschutzerklaerung unter /datenschutz detailliert beschrieben.

Die AVV gilt fuer die Dauer des Nutzungsvertrages und endet mit dessen Beendigung.

2. Art der verarbeiteten Daten und Betroffene

Die Verarbeitung umfasst insbesondere:

• Stammdaten der Auftraggeberin (Name, E-Mail, Firma)
• Kunden- und Kontaktdaten aus angebundenen Systemen (Bexio)
• Geschaeftsdokumente (Rechnungen, Offerten, Belege)
• Chat-Verlaeufe und KI-Interaktions-Logs
• Nutzungs- und Zugriffsdaten (IP-Adresse, User-Agent, Zeitstempel)

Betroffene sind: Mitarbeitende der Auftraggeberin, ihre Kunden und Geschaeftspartner.

3. Weisungsrecht und Pflichten der Auftragnehmerin

Die Auftragnehmerin verarbeitet personenbezogene Daten ausschliesslich:

• zur Erbringung der vertraglich vereinbarten Leistungen
• nach den dokumentierten Weisungen der Auftraggeberin
• gemaess geltendem Datenschutzrecht (revDSG, DSGVO)

Die Nutzung der Plattform durch die Auftraggeberin gilt als laufende Weisung. Weitergehende Weisungen koennen schriftlich per E-Mail an datenschutz@kidesk.ch erteilt werden.

Die Auftragnehmerin informiert die Auftraggeberin unverzueglich, wenn sie der Ansicht ist, dass eine Weisung gegen geltendes Datenschutzrecht verstoesst.

4. Technische und organisatorische Massnahmen (TOM)

Die Auftragnehmerin setzt folgende Massnahmen um:

• Transport-Verschluesselung mit TLS 1.3 fuer alle Kommunikation
• Verschluesselung ruhender Daten: Bexio-OAuth-Tokens sind per AES-256-GCM mit einem von BETTER_AUTH_SECRET abgeleiteten Schluessel at-rest verschluesselt
• Role-Based-Access-Control (RBAC): OWNER / ADMIN / MEMBER / VIEWER mit Row-Level-Security auf Tenant-Ebene
• Passwort-Schutz: Mindestens 10 Zeichen, Account-Lockout nach 5 Fehlversuchen (15 Minuten) bzw. 10 Fehlversuchen (1 Stunde)
• Content-Security-Policy, HSTS, X-Frame-Options: DENY, PermissionsPolicy
• Umfassendes Audit-Log aller sicherheits- und compliance-relevanten Ereignisse (Logins, Integrations-Verbindungen, Abo-Aenderungen, Datenloeschungen) mit 180 Tagen Aufbewahrung
• Rate-Limiting aller sensitiven API-Endpunkte via verteiltem Upstash-Redis
• Regelmaessige Dependency-Updates und quartalsweise Security-Review
• Fehlerueberwachung via Sentry mit aktiver PII-Filterung
• Isolierte Produktions-, Preview- und Development-Umgebungen
• Passwort-Reset ueber signierte Links (einmal gueltig, 1h Laufzeit)

5. Unterauftragsverarbeiter

Die Auftraggeberin stimmt dem Einsatz der folgenden Unterauftragsverarbeiter zu. Die aktuelle Liste wird in der Datenschutzerklaerung unter /datenschutz gepflegt und gilt als Bestandteil dieser AVV. Aenderungen werden mindestens 30 Tage im Voraus angekuendigt; die Auftraggeberin kann widersprechen und in diesem Fall die AVV ausserordentlich kuendigen.

6. Uebermittlung in Drittlaender

Soweit Daten in ein Drittland ausserhalb der Schweiz bzw. des EWR uebermittelt werden, stellt die Auftragnehmerin sicher, dass ein angemessenes Datenschutzniveau besteht — insbesondere durch Standardvertragsklauseln (SCCs) der EU-Kommission und zusaetzliche technische Massnahmen (Verschluesselung, Pseudonymisierung). Die KI-Inferenz erfolgt bewusst in der Region europe-west6 (Zuerich) zur Einhaltung des Schweizer Datenschutzrechts.

7. Unterstuetzungspflichten

Die Auftragnehmerin unterstuetzt die Auftraggeberin bei:

• Anfragen Betroffener auf Auskunft, Berichtigung, Loeschung, Uebertragbarkeit
• Meldung von Datenschutzverletzungen an Aufsichtsbehoerden
• Durchfuehrung einer Datenschutz-Folgenabschaetzung (DSFA)
• Vorheriger Konsultation der Aufsichtsbehoerde

Die Auftragnehmerin meldet Datenschutzverletzungen unverzueglich, spaetestens innerhalb von 72 Stunden nach Kenntnisnahme, an die Auftraggeberin.

8. Rechte der Auftraggeberin (Kontrolle)

Die Auftraggeberin hat das Recht, sich von der Einhaltung der technischen und organisatorischen Massnahmen zu ueberzeugen. Die Auftragnehmerin stellt hierfuer auf Anfrage Audit-Berichte (Pentest-Zusammenfassungen, SOC-2-Berichte soweit vorhanden) oder Zertifizierungsnachweise zur Verfuegung. Darueber hinausgehende Vor-Ort-Audits sind nach vorheriger Abstimmung und zu marktueblichen Konditionen moeglich.

9. Rueckgabe und Loeschung

Nach Beendigung des Vertrages werden alle personenbezogenen Daten binnen 30 Tagen geloescht, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. Buchhaltung, 10 Jahre) entgegenstehen. Auf Wunsch werden die Daten in einem strukturierten, gaengigen Format (JSON/CSV) exportiert und uebergeben.

10. Haftung

Fuer die Haftung gelten die Regelungen der AGB sowie die einschlaegigen Bestimmungen des revDSG und der DSGVO. Bei Verstoessen gegen diese AVV haftet die Auftragnehmerin im Rahmen der AGB-Haftungsbegrenzungen.

11. Schlussbestimmungen

Aenderungen an dieser AVV beduerfen der Schriftform bzw. der elektronischen Zustimmung. Es gilt Schweizer Recht unter Ausschluss des Kollisionsrechts. Gerichtsstand ist Buerglen TG (Kanton Thurgau).

Kontakt

Fuer Fragen zu dieser AVV oder individuell unterzeichnete Fassungen (typisch bei Enterprise-Vertraegen): datenschutz@kidesk.ch.

Diese oeffentliche AVV-Fassung bindet die Auftragnehmerin auch ohne beidseitige Unterschrift als Teil des Vertragsverhaeltnisses.