Auftragsverarbeitungsvertrag
1. Geltungsbereich
Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Vereinbarung zwischen dem Kunden ("Verantwortlicher") und lynox AI, betrieben von Brandfusion Burlet, Neue Jonastrasse 71, 8640 Rapperswil SG, Schweiz ("Auftragsverarbeiter") für die Erbringung von lynox Managed Hosting-Diensten.
Dieser AVV gilt, soweit der Auftragsverarbeiter im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er ergänzt die Nutzungsbedingungen und die Datenschutzerklärung.
Dieser AVV gilt nicht für selbst gehostete Installationen von lynox, bei denen der Nutzer sowohl Verantwortlicher als auch Betreiber der eigenen Infrastruktur ist.
2. Begriffsbestimmungen
- «Personenbezogene Daten» bezeichnen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gemäss Art. 4 Abs. 1 DSGVO und Art. 5 lit. a nDSG.
- «Verarbeitung» bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten, gemäss Art. 4 Abs. 2 DSGVO und Art. 5 lit. d nDSG.
- «Unterauftragsverarbeiter» bezeichnet einen Dritten, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird.
- «Dienste» bezeichnen den lynox Managed Hosting-Service gemäss den Nutzungsbedingungen.
3. Stellung der Parteien
Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten durch die Nutzung der Dienste. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich im Auftrag und nach den dokumentierten Weisungen des Verantwortlichen.
4. Gegenstand und Dauer
Gegenstand der Verarbeitung ist die Bereitstellung KI-gestützter Geschäftsprozesse über die lynox Managed Hosting-Plattform. Die Verarbeitung beginnt mit der Bereitstellung der Managed-Instanz und dauert für die gesamte Laufzeit des Abonnements an.
5. Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten, um folgende Dienste im Auftrag des Verantwortlichen zu erbringen:
- KI-gestützte Konversationen und Analyse geschäftlicher Kommunikation
- Extraktion von Erinnerungen und Aufbau des Wissensgraphen
- CRM und Kontaktverwaltung
- Ausführung von Workflows und Aufgabenautomatisierung
- E-Mail-Triage und Inhaltsanalyse
- Dateispeicherung und -abruf
6. Art der personenbezogenen Daten
Je nach Nutzung der Dienste durch den Verantwortlichen können folgende Kategorien personenbezogener Daten verarbeitet werden:
- Namen und Kontaktdaten (E-Mail-Adressen, Telefonnummern)
- Geschäftliche Kommunikation (E-Mails, Nachrichten, Notizen)
- Kalendereinträge und Terminplanungsdaten
- Dateiinhalte, die vom Verantwortlichen hochgeladen oder referenziert werden
- CRM-Datensätze (Kontaktinformationen, Interaktionsverläufe)
- Entitäten des Wissensgraphen, die aus den oben genannten Daten abgeleitet werden
7. Kategorien betroffener Personen
- Mitarbeitende und autorisierte Nutzer des Verantwortlichen
- Kunden, Mandanten und Interessenten des Verantwortlichen
- Geschäftspartner und Lieferanten des Verantwortlichen
- Sonstige Personen, deren Daten der Verantwortliche über die Dienste verarbeitet
8. Pflichten des Auftragsverarbeiters
Gemäss Art. 28 Abs. 3 DSGVO und Art. 9 nDSG verpflichtet sich der Auftragsverarbeiter zu Folgendem:
8.1 Weisungsgebundenheit
Die Verarbeitung personenbezogener Daten erfolgt ausschliesslich auf Grundlage dokumentierter Weisungen des Verantwortlichen, es sei denn, eine gesetzliche Verpflichtung erfordert eine abweichende Verarbeitung. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstösst.
8.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass sich alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8.3 Sicherheitsmassnahmen
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie im Anhang: Sicherheitsmassnahmen beschrieben.
8.4 Unterauftragsverarbeiter
Der Auftragsverarbeiter beauftragt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen. Bei allgemeiner Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung bezüglich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, Einspruch zu erheben. Die aktuelle Liste der Unterauftragsverarbeiter ist in Ziffer 9 aufgeführt.
8.5 Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Massnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen gemäss Kapitel III DSGVO und Art. 25–29 nDSG.
8.6 Unterstützung bei der Einhaltung
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäss Art. 32–36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter verfügbaren Informationen.
8.7 Löschung oder Rückgabe
Nach Beendigung der Leistungserbringung löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Einzelheiten zu den Fristen finden sich in Ziffer 12.
8.8 Überprüfungen
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem AVV festgelegten Pflichten zur Verfügung und ermöglicht und unterstützt Überprüfungen — einschliesslich Inspektionen —, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden. Überprüfungen erfolgen mit angemessener Vorlaufzeit (mindestens 30 Tage) während der üblichen Geschäftszeiten und dürfen den Betrieb des Auftragsverarbeiters nicht unverhältnismässig beeinträchtigen.
9. Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung zur Beauftragung der folgenden Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters.
| Unterauftragsverarbeiter | Zweck | Standort | AVV vorhanden |
|---|---|---|---|
| Anthropic, PBC | LLM-Inferenz (Starter-Tarif, direkte API) | USA | Ja — Anthropic DPA |
| Amazon Web Services (AWS) | LLM-Inferenz via Bedrock (Managed EU-Tarif, Frankfurt) | EU (Frankfurt, eu-central-1) | Ja — AWS GDPR DPA |
| Stripe, Inc. | Zahlungsabwicklung und Abonnementverwaltung | USA / EU | Ja — Stripe DPA |
| Hetzner Online GmbH | Serverinfrastruktur (dedizierter VPS pro Kunde) | Deutschland (EU) | Ja — Hetzner AVV |
| Brevo (Sendinblue SAS) | Transaktionale E-Mail-Zustellung (SMTP-Relay) und Kontaktlistenverwaltung | EU (Frankreich/Deutschland) | Ja — Brevo DPA |
| Cloudflare, Inc. | DNS, CDN, DDoS-Schutz, Tunnel-Relay | USA / EU (Edge-Netzwerk) | Ja — Cloudflare DPA |
| Plausible Insights OÜ | Anonyme Website-Analyse (keine personenbezogenen Daten) | EU (Estland) | Ja — Plausible DPA |
| Selbst gehostet (Bugsink) | Fehlerberichterstattung (immer aktiv für Managed-Instanzen) | EU (selbst gehostet) | Keine Drittlandübermittlung — selbst gehostet auf EU-Infrastruktur |
10. Internationale Datenübermittlungen
Soweit personenbezogene Daten an Unterauftragsverarbeiter ausserhalb der Schweiz oder des EU-/EWR-Raums übermittelt werden, stellt der Auftragsverarbeiter geeignete Garantien sicher:
- Standardvertragsklauseln (SVK) — Die von der EU-Kommission genehmigten SVK (2021/914) sind Bestandteil aller Unterauftragsverarbeiterverträge, die Übermittlungen in die USA oder andere Drittstaaten ohne Angemessenheitsbeschluss betreffen.
- Swiss-US Data Privacy Framework — Soweit anwendbar und der jeweilige Unterauftragsverarbeiter zertifiziert ist, können Übermittlungen zusätzlich auf das Swiss-US Data Privacy Framework gestützt werden.
- Ergänzende Massnahmen — Verschlüsselung bei der Übertragung (TLS 1.3) und im Ruhezustand (AES-256-GCM) für sämtliche an Unterauftragsverarbeiter übermittelten oder von diesen verarbeiteten Daten.
- Bedrock EU-Option — Verantwortliche, die den Managed EU-Tarif wählen, profitieren davon, dass die KI-Inferenz ausschliesslich innerhalb der EU (AWS Frankfurt, eu-central-1) erfolgt und keine grenzüberschreitende Übermittlung für die KI-Verarbeitung stattfindet.
11. Haftung und Freistellung
Die Haftung der Parteien im Rahmen dieses AVV unterliegt den Haftungsbeschränkungen und -ausschlüssen gemäss den Nutzungsbedingungen. Keine Bestimmung dieses AVV beschränkt die Haftung einer Partei für Verstösse gegen Datenschutzrecht, soweit eine solche Beschränkung nach geltendem Recht unzulässig ist.
Der Auftragsverarbeiter stellt den Verantwortlichen von sämtlichen Ansprüchen, Schäden und Kosten frei, die aus einem Verstoss des Auftragsverarbeiters gegen diesen AVV oder gegen geltendes Datenschutzrecht entstehen, es sei denn, die Ansprüche beruhen auf Weisungen des Verantwortlichen oder einem eigenen Verstoss des Verantwortlichen gegen Datenschutzrecht.
12. Laufzeit und Beendigung
Dieser AVV gilt für die Dauer des Managed Hosting-Abonnements des Verantwortlichen.
- Datenexport — Nach Beendigung oder Ablauf kann der Verantwortliche sämtliche personenbezogenen Daten innerhalb von 30 Tagen aus seiner Managed-Instanz exportieren.
- Datenlöschung — Nach Ablauf der 30-tägigen Exportfrist löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten innerhalb von 90 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
- Bestätigung — Auf Anfrage stellt der Auftragsverarbeiter eine schriftliche Bestätigung über die vollständige Löschung der personenbezogenen Daten aus.
Anhang: Technische und organisatorische Sicherheitsmassnahmen
Der Auftragsverarbeiter setzt folgende Massnahmen zum Schutz der im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten um:
Verschlüsselung
- Geheimnisse im Ruhezustand: AES-256-GCM-Verschlüsselung für API-Keys und Zugangsdaten (Vault)
- Schlüsselableitung: PBKDF2 mit kundenspezifischen Vault-Schlüsseln
- Daten bei der Übertragung: TLS 1.3 für sämtliche Verbindungen
- Gesprächsdaten: unverschlüsselt auf dem dedizierten Server gespeichert, um Sicherheitsüberwachung bei Missbrauchsmeldungen oder rechtlichen Anfragen zu ermöglichen (siehe Datenschutzerklärung)
Mandantentrennung
- Jeder Managed Hosting-Kunde wird auf einem dedizierten virtuellen Server betrieben (Hetzner Cloud)
- Keine gemeinsam genutzten Datenbanken, Dateisysteme oder Anwendungsprozesse zwischen Mandanten
- Netzwerkseitige Isolation zwischen Kundeninstanzen
Zugangskontrolle
- Kein routinemässiger Zugriff: Mitarbeitende von lynox AI greifen im Normalbetrieb nicht auf Konversationen, Wissensgraphen oder Dateien der Kunden zu
- Ausnahmebasierter Zugriff: Gesprächsdaten können ausschliesslich bei Missbrauchsmeldungen, rechtlichen Anfragen oder automatisierten Sicherheitsalarmen eingesehen werden (siehe Datenschutzerklärung)
- API-Keys und Vault-Secrets werden nie eingesehen — sie bleiben verschlüsselt und für Mitarbeitende von lynox AI unzugänglich
- Infrastrukturzugriff beschränkt auf Bereitstellungs- und Wartungsvorgänge
- Mehrstufige Authentifizierung für alle administrativen Zugriffe erforderlich
Container-Härtung
- Schreibgeschütztes Root-Dateisystem
- No-New-Privileges-Flag aktiviert
- Minimale Basis-Images ohne unnötige Pakete
- Tmpfs ausschliesslich für temporäre Daten
Überwachung und Nachvollziehbarkeit
- Automatisierte Zustandsüberwachung aller Kundeninstanzen
- Administrative Aktionen auf der Steuerungsebene werden protokolliert
- Verfahren zur Reaktion auf Sicherheitsvorfälle werden gepflegt und regelmässig überprüft
Datensicherung und Wiederherstellung
- Absturzsicheres Backup-Verfahren (SQLite VACUUM INTO)
- Backup-Verschlüsselung mit AES-256-GCM wo aktiviert
- Konfigurierbarer Aufbewahrungszeitraum (Standard: 30 Tage)
- Regelmässige Prüfung der Wiederherstellbarkeit
Regelmässige Überprüfung
- Kontinuierliche Sicherheitspipeline in der Softwareentwicklung (Abhängigkeitsprüfung, Geheimniserkennung, Container-Schwachstellenanalyse)
- Sicherheitspraktiken orientiert an den OWASP-Top-10-Richtlinien
- Regelmässige Wiederherstellungstests
- Regelmässige Überprüfung der technischen und organisatorischen Massnahmen
13. EU-Vertreter
lynox AI hat seinen Sitz in der Schweiz, nicht in der EU/EWR. Gemäss Art. 27 DSGVO haben wir die Prighter Group mit ihren lokalen Partnern als unseren EU-Vertreter und Anlaufstelle für Betroffene in der Europäischen Union bestellt.
Um deine datenschutzrechtlichen Ansprüche geltend zu machen oder unseren EU-Vertreter zu kontaktieren, besuche:
https://app.prighter.com/portal/13646667120
14. Kontakt
Für alle Fragen zu diesem AVV oder zur Datenverarbeitung:
[email protected]
15. Anwendbares Recht
Dieser AVV unterliegt schweizerischem Recht. Ausschliesslicher Gerichtsstand ist Rapperswil-Jona, Kanton St. Gallen, Schweiz. Soweit der Verantwortliche der DSGVO unterliegt, gehen die Bestimmungen der DSGVO im Falle eines Widerspruchs mit diesem AVV oder dem anwendbaren Recht vor.