Auftragsverarbeitungs-Vertrag (AVV)

Präambel

Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung von Personendaten im Rahmen der Nutzung des SwiBee/LIA-Produkts gemäss den Allgemeinen Geschäftsbedingungen (AGB). Diese Auftragsverarbeitungs-Vereinbarung (AVV) konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäss Art. 9 nDSG und — bei Kunden mit Sitz in der EU bzw. Verarbeitung von EU-Bürger-Daten — Art. 28 DSGVO.

1. Parteien und Rollen

1.1 Verantwortlicher

Der Kunde (siehe AGB §1.2) ist Verantwortlicher im Sinne von Art. 5 lit. j nDSG bzw. Art. 4 Nr. 7 DSGVO. Er bestimmt Zweck und Mittel der Verarbeitung.

1.2 Auftragsverarbeiter

Feld	Angabe
Firma	FinanceIT Solutions GmbH
Adresse	Strandbadstrasse 5A, 8331 Auslikon, Schweiz
UID	CHE-331.699.242
MWST-Nr	CHE-331.699.242 MWST
Handelsregister	CH-020-4050645-8 (Kanton Zürich)
EHRA-ID	1149917
Vertretung	Christian Schellenberg, Verwaltungsrat
Datenschutz-Kontakt	hallo@swibee.ch

Der Auftragsverarbeiter ("Anbieter") verarbeitet Personendaten ausschliesslich weisungsgebunden im Auftrag des Verantwortlichen.

1.3 Mandant-Vertreter und Mitglieder

Die natürliche Person, die auf Kundenseite den Vertrag schliesst und LIA bedient, ist der Mandant-Vertreter (bei Vereinen: z.B. Kassier, Vorstand). Sie ist Datensubjekt erster Ordnung sowie Schnittstelle zum Anbieter.

Die Mitglieder/Kunden/Lieferanten des Verantwortlichen, deren Daten durch LIA verarbeitet werden, sind Datensubjekte zweiter Ordnung. Der Verantwortliche bleibt für Information und ggf. Einwilligung dieser Datensubjekte zuständig (vgl. §3, §11).

2. Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

LIA-Buchhaltungs-Service (Datenverarbeitung im Auftrag): Erfassung, Speicherung, Änderung, Auswertung, Versand und Löschung von buchhaltungs-relevanten Daten gemäss Leistungsbeschreibung der AGB §2.

2.2 Dauer

Die AVV ist synchron zur AGB-Vertragslaufzeit (siehe AGB §3). Mit Beendigung des Hauptvertrages endet auch dieser AVV; nachvertragliche Lösch- und Aufbewahrungs-Pflichten gemäss §6 bleiben bestehen.

3. Art und Zweck der Verarbeitung, Datenkategorien

3.1 Art der Verarbeitung

Verarbeitungsschritt	Details
Erhebung	Threema-Eingang, E-Mail-Import, CAMT-Bank-Import, Webform-Upload
Speicherung	SQLite pro Mandant-Container, isoliert; Belege als Datei in Container-Volume
Verarbeitung	Buchungs-Vorschläge via LLM, Bilanz-/ER-Berechnung, Reconciliation, OCR
Übermittlung	E-Mail-/Threema-Versand von Rechnungen, AbaNinja-Adapter (Firma-Segment)
Löschung	Manuell auf Wunsch oder automatisch nach Vertragsende (§6)

3.2 Zweck der Verarbeitung

Buchhaltungs-Service: Belegerfassung, Rechnungsstellung, Mahnwesen, Reporting, Bank-Reconciliation, Steuer-Belegvorbereitung im Auftrag des Verantwortlichen.

3.3 Betroffene Personen

Mandant-Vertreter (natürliche Person auf Kundenseite)
Mitglieder / Kunden / Klienten des Verantwortlichen (natürliche Personen, deren Adressen in Rechnungen / Beiträgen vorkommen)
Lieferanten des Verantwortlichen (natürliche oder juristische Personen mit Vertrags-/Geschäftsbeziehung)
Mitarbeitende des Verantwortlichen (soweit Spesen oder Löhne via LIA verbucht werden)

3.4 Datenkategorien

Kategorie	Beispiele
Stammdaten	Name, Firma, Adresse, E-Mail, Telefon, Threema-ID, IBAN
Finanzdaten	Beiträge, Rechnungsbeträge, MWST-Nr, Zahlungs-Flüsse
Belege	Eingangs-/Ausgangsrechnungen (PDF/Bild), Quittungen, Bank-Auszüge (CAMT.054)
Konversation	Threema-Chat-Verlauf des Mandant-Vertreters mit LIA, beschränkt auf Buchhaltungs-Kontext
Audit-Metadaten	Wer hat wann welche Buchung freigegeben (Mandant-Vertreter-ID, Timestamp, Hash-Chain)

3.5 Besondere Datenkategorien

Verarbeitet werden grundsätzlich keine besonders schützenswerten Daten i.S.v. Art. 5 lit. c nDSG / Art. 9 DSGVO (Gesundheits-, Religions-, Strafrechts-, biometrische Daten).

Falls der Verantwortliche solche Daten via Belege/Anhänge in LIA einbringt (z.B. Belege für Krankenkassen-Erstattungen, Spenden mit Religions-Hinweis), liegt die Datenschutz-Folgenabschätzung (DSFA) gemäss Art. 22 nDSG / Art. 35 DSGVO in seiner Verantwortung. Der Anbieter informiert den Verantwortlichen unverzüglich, wenn er solche Daten erkennt.

4. Pflichten des Auftragsverarbeiters

Der Anbieter verpflichtet sich:

4.1 Weisungsgebundene Verarbeitung

Personendaten ausschliesslich im Rahmen dieser AVV und nach dokumentierten Weisungen des Verantwortlichen zu verarbeiten. Tool-Aufrufe via Threema/CLI durch den Mandant-Vertreter gelten als dokumentierte Weisung. Eigenständige Verarbeitung für eigene Zwecke (Profiling, Werbung, Training von KI-Modellen) ist ausgeschlossen.

4.2 Vertraulichkeit

Sicherzustellen, dass alle natürlichen Personen mit Zugang zu Personendaten zur Vertraulichkeit verpflichtet sind (Art. 4 nDSG / Art. 28 Abs. 3 lit. b DSGVO). Der Anbieter hat aktuell folgende Personen mit Datenzugriff:

Christian Schellenberg (Verwaltungsrat, FinanceIT Solutions GmbH)
Weitere Mitarbeiter/Auftragnehmer nur unter NDA und nach Need-to-Know

Nachwirkende Vertraulichkeitspflicht: Die Vertraulichkeitspflicht wirkt 5 Jahre nach Vertragsende fort und gilt für alle Personendaten, betriebliche Informationen und Geschäftsgeheimnisse, die den genannten Personen im Rahmen dieses AVV zugänglich gemacht wurden. Diese Frist orientiert sich an Schweizer-B2B-SaaS-Standardpraxis und der gesetzlichen Aufbewahrungsfrist für Buchhaltungsdaten (OR Art. 958f, 10 Jahre).

Operator-Zugriff (Transparency-Hinweis): Der Anbieter benötigt zur Wartung, Fehlerbehebung und Provisionierung einen administrativen Zugriff auf Mandant-Container (z.B. via SSH/Jelastic-API). Dieser Zugriff erfolgt nur durch namentlich benannte Personen, ist auf Need-to-Know beschränkt und wird im Audit-Log protokolliert (Wer-Wann-Was). Der Verantwortliche kann auf Anfrage einen Auszug der Operator-Zugriffe der vergangenen 12 Monate erhalten.

4.3 Technische und organisatorische Massnahmen (TOM)

Geeignete TOM gemäss §7 umzusetzen und aufrechtzuerhalten.

4.4 Unterstützung der Datensubjekt-Rechte

Den Verantwortlichen bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs-, Datenübertragbarkeits- und Widerspruchs-Pflichten mit geeigneten technischen und organisatorischen Massnahmen zu unterstützen (Art. 25-32 nDSG / Art. 12-23 DSGVO). Konkret:

Auskunft (Art. 25 nDSG / Art. 15 DSGVO): Datenexport innerhalb 14 Tagen auf Anfrage.
Berichtigung (Art. 32 nDSG / Art. 16 DSGVO): Korrektur durch Mandant-Vertreter via LIA-Tools direkt möglich; Anbieter unterstützt bei Unklarheiten.
Löschung (Art. 32 nDSG / Art. 17 DSGVO): Löschung einzelner Datensätze innerhalb 30 Tagen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (OR Art. 958f).
Datenübertragbarkeit (Art. 28 nDSG / Art. 20 DSGVO): SQLite-Dump + JSONL-Audit + Belege als ZIP innerhalb 30 Tagen.

4.5 Meldepflicht bei Datenschutzverletzungen

Der Anbieter meldet jede festgestellte Verletzung der Sicherheit von Personendaten (Data Breach) gemäss Art. 24 nDSG / Art. 33 DSGVO an den Verantwortlichen unverzüglich nach Bestätigung des Vorfalls:

Heads-up-Meldung (parallel zur Verifikation): Bei automatischen Sicherheits-Alarmen mit Verdacht auf eine tatsächliche Verletzung (Klassifizierung "critical") erfolgt innerhalb 4 Stunden eine vorläufige Heads-up-Meldung an den Verantwortlichen (Threema-Direktnachricht oder E-Mail), auch wenn der Vorfall noch nicht abschliessend verifiziert ist.
Erstmeldung an Verantwortlichen: unverzüglich nach Bestätigung des Vorfalls durch den Datenschutz-Verantwortlichen des Anbieters (siehe §4.9), spätestens jedoch 24 Stunden nach Bestätigung. Als "Bestätigung" gilt die manuelle Verifikation des automatischen Alarms (in der Regel 4-8 Stunden nach Erst-Alarm).
Folgemeldung: schriftliche Detail-Meldung mit Vorfalls-Beschreibung, Datenkategorien, Anzahl Betroffene, technischen/organisatorischen Sofortmassnahmen innerhalb 72 Stunden nach Erstmeldung.
Unterstützung bei Behördenmeldung: Anbieter liefert Inhalte für die Meldung an EDÖB (Schweiz) und ggf. EU-Aufsichtsbehörden — der Verantwortliche bleibt für die formale Behördenmeldung zuständig.

4.6 Audit-Log

Auf Anfrage des Verantwortlichen Audit-Log-Auszüge zu liefern (Hash-Chain-validiert, sha256-gekettet, manipulationssicher). Der Anbieter bewahrt Audit-Hashes nachvertraglich 10 Jahre auf (OR Art. 958f, ohne den eigentlichen Datenkern).

4.7 Rückgabe oder Löschung nach Vertragsende

Bei Vertragsende: Löschung oder Rückgabe der Kundendaten gemäss §6.

4.8 Information bei Konflikt mit Weisungen

Wenn eine Weisung des Verantwortlichen aus Sicht des Anbieters rechtswidrig wäre, informiert der Anbieter den Verantwortlichen unverzüglich und ist berechtigt, die Ausführung der Weisung bis zur Klärung zu suspendieren.

4.9 Datenschutz-Verantwortlicher (Art. 9 nDSG)

Datenschutz-Verantwortlicher des Anbieters i.S.v. Art. 9 nDSG ist:

Christian Schellenberg, Verwaltungsrat FinanceIT Solutions GmbH
Kontakt: hallo@swibee.ch

Diese Person ist Erstkontakt für Datenschutzanfragen, Breach-Reports (siehe §4.5) und Auskunfts-/Berichtigungs-Begehren (siehe §4.4). Sie verantwortet die Compliance dieses AVV gegenüber dem Verantwortlichen.

Ein separater Datenschutz-Beauftragter (DPO) im Sinne von Art. 37 DSGVO ist nicht bestellt, da die Voraussetzungen (umfangreiche regelmässige + systematische Überwachung gemäss Art. 37(1)(b) DSGVO oder umfangreiche Verarbeitung besonderer Datenkategorien gemäss Art. 37(1)(c) DSGVO) nicht erfüllt sind. Die Position wird bei wesentlicher Skalierung re-evaluiert (>50 Mandanten oder neue Datenkategorien-Bereiche).

5. Sub-Verarbeiter (Subprozessoren)

5.1 Allgemeine Zustimmung

Der Verantwortliche stimmt der Einschaltung der nachfolgend aufgeführten Sub-Verarbeiter zu. Neue oder geänderte Sub-Verarbeiter werden mindestens 30 Tage vor Inkrafttreten mit Widerspruchsrecht des Verantwortlichen angekündigt.

5.2 Aktuelle Sub-Verarbeiter (Stand 2026-05-19, alle Schweiz)

#	Sub-Verarbeiter	Funktion	Sitz / Hosting	Datenkategorien	Rechtsgrundlage Drittland
1	Infomaniak Network SA	Jelastic-Cloud-Hosting (Mandant-Container), kMail (SMTP/IMAP), kDrive (Anhänge), Infomaniak AI (Mistral/Qwen3/Kimi-Inferenz) — einziger LLM-Provider im Standardbetrieb	Schweiz (exklusiv)	Alle Kunden- und Mandant-Daten, LLM-Prompts/-Responses	— (CH)
2	Threema GmbH	Messenger-Gateway (Inbound/Outbound), End-to-End-Verschlüsselung	Schweiz	Threema-Chat-Inhalte, Threema-ID, Pubkey-Cache	— (CH)
3	AbaNinja (Abacus Research AG)	(a) Sub-Verarbeitung im Auftrag des Verantwortlichen bei Firma-Segment (Standard) — Buchhaltungs-Backend (Belege, Rechnungen, Stammdaten). (b) Eigenes Buchhaltungs-System des Anbieters (Self-Billing FinanceIT→SwiBee-Kunden) — hier nicht Sub-Verarbeiter im Sinne des AVV, sondern eigener Geschäftspartner der FinanceIT.	Schweiz	Stammdaten, Finanzdaten	— (CH)
4	Proton AG	Secret-Management (Pass) — Credentials, keine Kundendaten	Schweiz	Nur Anbieter-Credentials, keine Kundendaten	— (CH)

Hinweis Zahlungs-Anbieter: V1.0 ausschliesslich QR-Rechnung + Banktransfer über Yapeal-Empfangs-Konto des Anbieters. Yapeal Switzerland AG ist Bank des Anbieters und verarbeitet Banking-Daten in eigener Verantwortung (Banken-Geheimnis); kein Sub-Verarbeitungs-Verhältnis i.S.v. Art. 28 DSGVO/Art. 9 nDSG zum LIA-Dienst. wallee oder vergleichbare Online-Payment-Anbieter sind als Option für V1.1+ vorgesehen und werden bei Aktivierung gemäss §5.1 mit mindestens 30 Tagen Voranzeige und Widerspruchsrecht angekündigt.

5.3 Premium-AI BYOK (Bring Your Own Key) — auf Kundenwunsch, mit Drittland-Transfer

V1.0 setzt der Anbieter ausschliesslich Schweizer LLM-Provider (Infomaniak AI) ein. Ein automatischer Standard-Wechsel auf EU- oder US-Provider erfolgt nicht.

Auf ausdrücklichen Wunsch des Verantwortlichen kann der Anbieter den optionalen Add-on "Premium-AI BYOK" (AGB §4.2) aktivieren. Dabei gilt:

Der Verantwortliche stellt einen eigenen API-Key für einen externen LLM-Provider seiner Wahl bereit (Anthropic, OpenAI, Mistral-Cloud, Microsoft Azure OpenAI o.aeh.).
Der Verantwortliche ist selbst Vertragspartner des gewählten LLM-Providers und schliesst dort die erforderliche AVV/DPA (typischerweise nach DSGVO Art. 28 oder vergleichbar).
Der Verantwortliche trägt die alleinige Verantwortung für:
Datenschutz-Folgenabschätzung (DSFA) gemäss Art. 22 nDSG / Art. 35 DSGVO bei Drittland-Transfer
Rechtsgrundlage für Drittland-Transfer (z.B. EU-SCC 2021/914, EU-US Data Privacy Framework, CH-US DPF, Adequacy Decision)
Information seiner eigenen Datensubjekte über den erweiterten Verarbeitungs-Kreis
Transfer-Impact-Assessment (TIA) gegen US CLOUD Act, FISA 702 etc.
Der Anbieter haftet ausschliesslich für die technische Integration des BYOK-Keys (sichere Key-Speicherung im Container, Routing der Prompts an die vom Kunden gewählten Endpunkte, Audit-Log der Calls). Der Anbieter haftet nicht für Verarbeitungs-Handlungen des gewählten LLM-Providers gegenüber dem Kunden oder Datensubjekten Dritter.
BYOK ist in V1.0 nur manuell freigeschaltet auf Anfrage und erfordert einen separaten Security-Design-Record (Key-Storage, Rotation, Tenant-Isolation, Provider-Auditierung).
Bei BYOK-Aktivierung wird der gewählte Provider in der Sub-Verarbeiter-Liste des Mandanten als zusätzlicher Sub-Verarbeiter (Anhang B des Mandant-spezifischen AVV) geführt — die generelle Sub-Verarbeiter-Liste §5.2 bleibt davon unberührt.

5.4 Sub-Sub-Verarbeiter

Sub-Verarbeiter setzen ihrerseits eigene Auftragsverarbeiter ein (insb. Rechenzentrums-Provider, Netzwerk-Dienstleister, CDN). Stand 2026-05-19 sind die wichtigsten bekannten Sub-Sub-Verarbeiter:

Infomaniak Network SA: eigene Rechenzentren in Genf, Plan-les-Ouates (Schweiz). Keine bekannten Drittland-Sub-Sub-VAs in der Hauptverarbeitungs-Pipeline.
Threema GmbH: Hosting/Operations in der Schweiz; deren Sub-Sub-VAs siehe Threema-DPA.
AbaNinja (Abacus Research AG): Hosting in der Schweiz; deren Sub-Sub-VAs siehe AbaNinja-DPA.
Proton AG: Hosting in der Schweiz; deren Sub-Sub-VAs siehe Proton-DPA.

Die jeweils aktuellen Sub-Sub-VA-Listen sind in den DPAs der direkten Sub-Verarbeiter dokumentiert (siehe jeweilige Sub-Verarbeiter-DPA). Der Anbieter haftet für die Auswahl seiner direkten Sub-Verarbeiter; die Auswahl/Kontrolle der Sub-Sub-VAs liegt im Verantwortungsbereich des direkten Sub-Verarbeiters (Auswahl- statt Erfolgshaftung).

5.5 Auftragsverarbeitungsverträge mit Sub-Verarbeitern

Der Anbieter hat mit allen aktuellen Sub-Verarbeitern entsprechende AVV-Vereinbarungen abgeschlossen bzw. die Standard-DPAs der Anbieter akzeptiert (siehe jeweilige Sub-Verarbeiter-DPA). Auf Wunsch des Verantwortlichen werden Kopien zur Verfügung gestellt (NDA-pflichtig).

6. Löschung, Rückgabe und Aufbewahrung

6.1 Bei Vertragsende

Der Verantwortliche wählt eine der beiden Optionen vor Vertragsbeendigung:

Standard: Datenexport + Löschung. Anbieter liefert SQLite-Dump + JSONL-Audit-Log + Belege als ZIP. Anschliessend sichere Löschung innerhalb 30 Tagen (Storage-Wipe, Schlüssel-Vernichtung).
Alternative: Sofort-Löschung. Ohne vorherigen Export — für Fälle, in denen der Verantwortliche keine Daten zurück möchte.

6.2 Backups

Backups (OpenStack-Snapshots der Mandant-Volumes) rotieren binnen 90 Tagen vollständig aus dem System (Löschung durch Backup-Retention). Snapshots werden auf Infomaniak-Storage in der Schweiz gehalten und durch die Volume-Encryption-Schicht von Infomaniak Jelastic Cloud verschlüsselt at-rest (LUKS-äquivalent). Application- Level-Encryption der Datenbanken (siehe §7.4) wirkt zusätzlich; ein geleakter Snapshot ohne den korrespondierenden Application-Key gewährt keinen Klartext-Zugriff auf die Buchhaltungs- oder Konversations-Daten.

6.3 Aufbewahrungspflichten

Trotz Löschungs-Wunsch des Verantwortlichen kann der Anbieter gesetzlich aufbewahrungspflichtige Daten zurückhalten:

Buchhaltungs-Belege des Anbieters (Rechnungen an Verantwortlichen): 10 Jahre (OR Art. 958f) — betrifft den Vertragsverlauf, nicht Kundendaten in der LIA-DB.
Audit-Log-Hashes (ohne Datenkern): 10 Jahre als Manipulationssicherheits-Beweis.

6.4 Lösch-Nachweis

Auf Anfrage stellt der Anbieter einen Lösch-Nachweis bereit (Datum, Verfahren, Anzahl betroffene Datensätze).

7. Technische und organisatorische Massnahmen (TOM)

Vollständige Beschreibung in der internen Datenschutz- und Sicherheits-Dokumentation. Auszug:

7.1 Vertraulichkeit

Zutrittskontrolle: Hosting auf Infomaniak Jelastic CH; physischer Zutritt zu Servern über Infomaniak-Sicherheits-Massnahmen.
Zugangskontrolle: SSH mit Hardware-Token + WireGuard-VPN, Pass-CLI-Wrapper für Credentials, Sandbox-Permissions für Agent-Sessions, 2FA wo verfügbar.
Zugriffskontrolle: Container-Isolation pro Mandant (Multi-Tenant-Isolation auf Volume- und Process-Level), ContextVar- basierte DB-Sperre gegen Cross-Mandant-Reads, Need-to-Know für Anbieter-Mitarbeiter.
Trennung: Eigene SQLite-DB pro Mandant; Sub-Verarbeiter-Daten in separaten Accounts; Test-/Pilot-/Prod-Umgebungen getrennt.

7.2 Integrität

Weitergabekontrolle: TLS in Transit (HTTPS, IMAPS, SMTPS), Threema-E2E-Verschlüsselung (NaCl-Box).
Eingabekontrolle: Audit-Log mit Hash-Chain (sha256, prev_hash + canonical_json), Tamper-Evidence durch DB-Trigger (audit_no_update/audit_no_delete), JSONL-Audit pro Mandant.
Approve-Gates: zahlungsrelevante Aktionen erfordern ask_approve durch Mandant-Vertreter (Cool-Down statt PIN/TOTP, siehe interner Dokumentation).

7.3 Verfügbarkeit

Verfügbarkeitskontrolle: tägliche OpenStack-Snapshots, 90-Tage-Retention. RPO ca. 24h, RTO best-effort (Pilot-Phase ohne SLA).
Wiederherstellbarkeit: Restore-Verfahren getestet, dokumentiert in interner Dokumentation.

7.4 Auftragskontrolle

Pseudonymisierung: PII-Masking in Anwendungs-Logs (E-Mail-Domain, Threema-Initialen statt voller ID); Audit-Log führt nur Sender-ID-Hashes.
Verschlüsselung at Rest (V1.0): Defense-in-Depth in mehreren Schichten: 1. Application-Level (SQLCipher) für alle DBs mit Personendaten: Threema-Conversation-DB sowie Eigen-Backend-Buchhaltungs-DB. 2. Filesystem-Permissions auf Container-Volume (chmod 600, owner-only). 3. Container-Isolation (Multi-Tenant-Trennung auf Volume- und Process-Level, ContextVar-basierte DB-Sperren gegen Cross-Mandant-Reads). 4. Volume-Encryption durch Infomaniak Jelastic Cloud-Storage (LUKS-äquivalent auf Hosting-Schicht).
Verschlüsselung in Transit: TLS in Transit (HTTPS, IMAPS, SMTPS), Threema-E2E-Verschlüsselung (NaCl-Box) zwischen Mandant-Vertreter und LIA-Bot.

7.5 Organisatorische Massnahmen

Vertraulichkeitserklärung: Alle Personen mit Datenzugriff unterzeichnen vor Aufnahme der Tätigkeit eine Vertraulichkeitserklärung. Der aktuelle Personenkreis ist in §4.2 namentlich aufgeführt.
Compliance-Check (jährlich): Bei Solo-Operator-Konstellation (heute: 1 Person mit Datenzugriff) erfolgt jährlich ein dokumentierter Selbst-Compliance-Check anhand einer Datenschutz- Checkliste (Verzeichnis der Verarbeitungs-Tätigkeiten, TOM-Check, Sub-Verarbeiter-Aktualität, Audit-Log-Stichprobe). Ergebnis wird intern protokolliert und auf Anfrage des Verantwortlichen zur Verfügung gestellt. Bei wachsendem Team wird auf formalisierte Schulungen umgestellt.
Incident-Response: Prozess dokumentiert in interner Dokumentation. Meldung an Verantwortlichen (vgl. §4.5).
Audit-Trail: Wer-Wann-Was-Logs für System-Zugriffe (Admin-Aktionen, Container-Deploys, Code-Releases, Operator-Zugriffe).

8. Auditrechte des Verantwortlichen

8.1 Auskunftsrecht

Der Verantwortliche kann jederzeit Auskunft über die Einhaltung dieser AVV verlangen. Der Anbieter beantwortet schriftliche Anfragen innerhalb 30 Tagen.

8.2 Vor-Ort-Prüfung

Einmal jährlich (oder anlassbezogen bei begründetem Verdacht auf AVV-Verletzung) kann der Verantwortliche eine Prüfung durchführen:

Voranmeldung: schriftlich 14 Tage vor Termin
Durchführung: durch den Verantwortlichen oder einen unter NDA gebundenen Prüfer; nicht durch Wettbewerber des Anbieters
Kosten: trägt der Verantwortliche; der Anbieter stellt angemessene Mitarbeiter-Verfügbarkeit kostenfrei
Umfang: TOM-Konformität, Sub-Verarbeiter-Verträge, Audit-Log- Stichproben
Geheimhaltung: alle Prüfungs-Erkenntnisse sind vertraulich i.S.v. AGB §10

8.3 Akzeptanz vorhandener Zertifikate

Der Anbieter kann eine Vor-Ort-Prüfung durch Vorlage aktueller Zertifizierungen (z.B. ISO 27001 der Sub-Verarbeiter Infomaniak, SOC-Reports) ersetzen, soweit der Verantwortliche zustimmt.

9. Internationaler Datentransfer

9.1 V1.0-Standardbetrieb: 100% Schweiz, kein Drittland-Transfer

Im Standardbetrieb verbleiben alle Kunden- und Mandant-Daten ausschliesslich in der Schweiz (siehe Sub-Verarbeiter §5.2). Der Anbieter setzt keine EU- oder US-LLM-Provider im Standardbetrieb ein.

9.2 Premium-AI BYOK — Drittland-Transfer in Kunden-Verantwortung

Bei Aktivierung des optionalen Add-ons Premium-AI BYOK (siehe §5.3 und AGB §4.2) entstehen ggf. Datenflüsse an LLM-Provider mit Sitz in der EU, den USA oder anderen Drittländern — abhängig von der Wahl des Verantwortlichen.

In diesen Fällen gilt:

Der Verantwortliche schliesst die erforderlichen Drittland-Schutzmechanismen mit seinem gewählten LLM-Provider direkt ab (i.d.R. EU-Standardvertragsklauseln SCC 2021/914, EU-US Data Privacy Framework, CH-US DPF, Adequacy Decision o.aeh.).
Der Verantwortliche führt das Transfer-Impact-Assessment (TIA) gegen Drittland-Risiken (insb. US CLOUD Act, FISA 702) durch.
Der Verantwortliche dokumentiert den erweiterten Verarbeitungs-Kreis in seinem eigenen Verzeichnis der Verarbeitungs-Tätigkeiten und informiert seine Datensubjekte entsprechend.
Der Anbieter stellt nur die technische Integration bereit (Key-Storage, Routing, Audit-Log) und haftet ausschliesslich für diese technische Komponente — nicht für die Drittland-Verarbeitung selbst.

9.3 Transfer-Impact-Assessment (TIA)

Da der V1.0-Standardbetrieb keinen Drittland-Transfer beinhaltet, ist ein TIA durch den Anbieter nicht erforderlich. Bei BYOK gemäss §9.2 erstellt der Verantwortliche das TIA für den von ihm gewählten LLM-Provider in eigener Zuständigkeit.

10. Haftung

10.1 Verweis auf AGB

Die Haftungs-Höchstgrenzen gemäss AGB §7 gelten auch für diese AVV.

10.2 Bussgelder

Bei Datenschutz-Bussgeldern haftet die jeweils verursachende Partei. Soweit die Haftung gemeinsam zuzurechnen ist, haften die Parteien im Innenverhältnis nach Verursachungsbeitrag.

10.3 Schadensersatz an Datensubjekte

Eine Partei stellt die andere von Ansprüchen Dritter (Datensubjekten) frei, soweit diese aus einer schuldhaften AVV-Pflichtverletzung der freistellungs-pflichtigen Partei resultieren.

10.4 Beidseitiger Schadensersatz

Beide Parteien können bei schuldhafter Verletzung von AVV-Pflichten durch die andere Partei Ersatz des nachweislich entstandenen Schadens verlangen. Die Schadensersatzpflicht ist auf den Betrag der in den letzten 12 Monaten geschuldeten Gebühren vor dem schadensbegründenden Ereignis begrenzt. Diese Begrenzung gilt symmetrisch für beide Parteien und entspricht Schweizer-B2B-SaaS-Standardpraxis (vgl. AGB §7 Haftungsbegrenzung).

Ausnahmen (keine Begrenzung):

Vorsatz oder grobe Fahrlässigkeit
Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), jedoch begrenzt auf den vorhersehbaren Schaden
Personenschäden (Leben, Körper, Gesundheit) — gemäss zwingendem Recht

11. Verantwortlichkeiten des Verantwortlichen

Der Verantwortliche:

Rechtmässigkeit der Verarbeitung: Stellt sicher, dass eine Rechtsgrundlage gemäss Art. 31 nDSG / Art. 6 DSGVO besteht (Vertragserfüllung, berechtigtes Interesse, Einwilligung).
Information seiner Datensubjekte: Informiert seine Mitglieder/Kunden/Lieferanten gemäss Art. 19 nDSG / Art. 13 DSGVO über die Verarbeitung — insb. über die Tatsache, dass LIA als Auftragsverarbeiter eingesetzt wird, Datenarten, Zwecke, Aufbewahrungsdauer und Datensubjekt-Rechte.
Einholung erforderlicher Einwilligungen: Soweit für bestimmte Verarbeitungen Einwilligung erforderlich ist (z.B. Marketing-Versand), holt sie der Verantwortliche selbst ein.
Bearbeitungsverzeichnis: Führt sein eigenes Bearbeitungsverzeichnis gemäss Art. 12 nDSG / Art. 30 DSGVO.
Datenminimierung beim Upload: Vermeidet das Hochladen überschiessender Daten in LIA (z.B. keine sensiblen Belege ohne Notwendigkeit).
Schulung der Mandant-Vertreter: Bei mehreren Mandant-Vertretern im Group-Modus stellt der Verantwortliche sicher, dass alle die Datenschutz-Pflichten kennen.

12. Schlussbestimmungen

12.1 Vorrang dieser AVV

Bei Widersprüche zwischen dieser AVV und den AGB hat die AVV in allen datenschutzrechtlichen Fragen Vorrang. In allen anderen Fragen gelten die AGB.

12.2 Anwendbares Recht und Gerichtsstand

Es gilt Schweizerisches Recht unter Anwendung des nDSG. Bei Kunden in der EU gilt zusätzlich die DSGVO, soweit anwendbar. Es besteht kein Vorrang der DSGVO über das nDSG, ausser bei zwingenden europarechtlichen Bestimmungen.

Gerichtsstand ist der Sitz des Anbieters (vgl. AGB §12.2).

12.3 Salvatorische Klausel

Wie AGB §12.3.

12.4 Schriftform und Änderungen

Änderungen dieser AVV bedurfen Textform. Wesentliche Änderungen (z.B. neue Sub-Verarbeiter ausserhalb der Schweiz, neue Verarbeitungs-Zwecke) erfordern erneutes Akzept durch den Verantwortlichen mit 30-Tage-Vorlauf.

12.5 EU-Vertreter (Art. 27 DSGVO)

Der Anbieter hat seinen Sitz in der Schweiz. Bei Verarbeitung von Daten von Personen in der EU greift die DSGVO grundsätzlich extraterritorial (Art. 3 Abs. 2 DSGVO).

Aktuelle Beurteilung (Stand 2026-05-19): Eine Bestellung eines EU-Vertreters gemäss Art. 27 DSGVO ist nach derzeitiger Selbst-Einschätzung des Anbieters nicht erforderlich, weil:

Die EU-Kommission hat die Angemessenheit des Schweizer Datenschutz-Rechts anerkannt (Adequacy Decision; gilt auch nach Inkrafttreten des nDSG).
Der V1.0-Standardbetrieb erfolgt zu 100% in der Schweiz, ohne systematische Verarbeitung in der EU.
Die Verarbeitung beschränkt sich auf die zur Erbringung des LIA-Dienstes erforderlichen Vorgänge und stellt kein "regelmässiges Beobachten" i.S.v. Art. 3 Abs. 2 lit. b DSGVO dar.

Diese Beurteilung wird anlassbezogen überprüft, insbesondere bei:

Aktivierung von BYOK gemäss §9.2 mit EU- oder Welt-Provider
Markteintritt in EU-Mitgliedstaaten mit nennenswertem Volumen
Änderung der EU-Adequacy-Decision für die Schweiz

Bei änderndem Sachverhalt erfolgt die Bestellung eines EU-Vertreters und Mitteilung an die Verantwortlichen.

13. Akzept

Der Verantwortliche akzeptiert diese AVV im Onboarding-Formular auf https://swibee.ch/onboarding durch Setzen der Pflicht-Checkbox "AVV gelesen und akzeptiert" vor Vertragsabschluss.

Akzept-Aufbewahrung: Hash der AVV-Version + Timestamp + Kunde-ID + IP-Adresse im Audit-Log des Anbieters (SES-Beweissicherung gemäss ZertES Art. 14ff.).