Vereinbarung zur Auftragsdatenbearbeitung (ADV)

1. Gegenstand, Dauer, Art und Zweck der Datenbearbeitung

Gegenstand, Dauer, Art und Zweck der Bearbeitung sind grundsätzlich im Vertrag festgelegt. Die Kategorien betroffener Personen, die Kategorien der bearbeiteten Personendaten, die zu treffenden technischen und organisatorischen Massnahmen ("TOM") und weitere damit zusammenhängende Themen sind entweder im Vertrag oder in den Anhängen zu dieser ADV festgelegt.

2. Anwendungsbereich und Verantwortlichkeit

Aion Tech bearbeitet die Personendaten ausschliesslich zum Zweck der Vertragserfüllung oder für die im Vertrag und in dieser ADV festgelegten Zwecke. Der Kunde ist für die Rechtmässigkeit der Datenbearbeitung als solche verantwortlich, einschliesslich der Zulässigkeit der Bearbeitung/Unterauftragsbearbeitung durch Aion Tech.

Die Weisungen des Kunden sind im Vertrag und in dieser ADV dokumentiert. Der Kunde hat das Recht, Aion Tech jederzeit schriftlich weitere Weisungen in Bezug auf die Bearbeitung von Personendaten zu erteilen. Aion Tech befolgt diese Weisungen, wenn und soweit sie von Aion Tech im Rahmen der vertraglich vereinbarten Leistungen umgesetzt werden können und sachlich angemessen sind. Führen solche Weisungen zu zusätzlichen Kosten bei Aion Tech oder einem veränderten Leistungsumfang, sind solche Mehrkosten und Vertragsänderungen schriftlich zu vereinbaren.

Aion Tech wird den Kunden unverzüglich informieren, wenn sie der Auffassung ist, dass eine Weisung gegen das DSG oder, soweit anwendbar, die EU-DSGVO verstösst. In diesem Fall kann Aion Tech die Umsetzung der betreffenden Weisung aussetzen, bis diese vom Kunden bestätigt oder geändert wird. Vorstehende Regelung gilt nicht für Weisungen des Kunden im Zusammenhang mit der Gewährung von Zugriffsberechtigungen oder der Offenlegung von Personendaten an den Kunden selbst, und Aion Tech darf jederzeit davon ausgehen, dass solche Weisungen im Einklang mit dem Gesetz stehen. Aion Tech ist jedoch berechtigt, entsprechende schriftliche Bestätigungen vom Kunden zu verlangen.

3. Pflichten von Aion Tech

Aion Tech bearbeitet die Personendaten ausschliesslich gemäss den Bestimmungen des Vertrags und dieser ADV. Die Erfüllung gesetzlicher, regulatorischer oder behördlicher Pflichten durch Aion Tech bleibt vorbehalten.

Anhang 1 zu dieser ADV enthält eine Beschreibung der Bearbeitungstätigkeiten zum Zeitpunkt des Abschlusses dieser ADV. Aion Tech stellt dem Kunden die aktuelle Version auf Anfrage zur Verfügung. Darüber hinaus führt Aion Tech, sofern gesetzlich dazu verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten gemäss Art. 12 Abs. 1 DSG bzw., soweit anwendbar, Art. 30 Abs. 2 EU-DSGVO.

Aion Tech setzt die in Anhang 2 zu dieser ADV definierten TOM zum Schutz der Personendaten um. Aion Tech kann die vereinbarten TOM jederzeit anpassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

Aion Tech stellt sicher, dass die an der Bearbeitung der Personendaten beteiligten Mitarbeitenden und sonstigen Hilfspersonen von Aion Tech die Personendaten nicht für andere als die im Vertrag und in dieser ADV festgelegten Zwecke oder in einer davon abweichenden Weise bearbeiten. Ferner stellt Aion Tech sicher, dass die zur Bearbeitung der Personendaten befugten Personen sich zur Vertraulichkeit verpflichtet haben (insbesondere durch eine entsprechende Bestimmung im Arbeitsvertrag) und/oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen. Die Geheimhaltungspflicht gilt auch nach Beendigung des Vertrags fort.

Aion Tech informiert den Kunden unverzüglich, wenn ihr Verletzungen des Schutzes der Personendaten bei Aion Tech oder einem ihrer Unterauftragsbearbeiter bekannt werden (Datenschutzverletzung). Darüber hinaus informiert Aion Tech den Kunden in angemessener Weise über Art und Umfang der Verletzung sowie mögliche Abhilfemassnahmen. Die vorgenannten Informationen werden in Textform (übermittelt E-Mail genügt). In einem solchen Fall treffen die Parteien die erforderlichen Massnahmen zum Schutz der Personendaten und zur Minimierung möglicher nachteiliger Folgen für die betroffenen Personen und die Parteien und beraten sich unverzüglich.

Die Kontaktpersonen von Aion Tech für datenschutzbezogene Themen aus dem Vertrag, der Datenschutzberater und der Datenschutzbeauftragte in Fällen, in denen dies nach Art. 37 EU-DSGVO erforderlich ist, sind in Anhang 1 zu dieser ADV aufgeführt.

Aion Tech verpflichtet sich, den Kunden im Rahmen ihrer Möglichkeiten bei der Erfüllung der Rechte betroffener Personen gegenüber dem Kunden gemäss Kapitel 4 DSG bzw., soweit anwendbar, Kapitel III EU-DSGVO zu unterstützen. Darüber hinaus kann Aion Tech dem Kunden auf Anfrage und gegen gesondert im Voraus vereinbarte Vergütung weitere Unterstützung anbieten (z.B. im Zusammenhang mit einer Datenschutz-Folgenabschätzung, Konsultation der Aufsichtsbehörde, etc.).

Personendaten sind nach Beendigung des Vertrags gemäss den vertraglichen Bestimmungen dem Kunden herauszugeben oder zu löschen/anonymisieren. Aion Tech verwendet branchenübliche Verfahren für die Löschung/Anonymisierung von Personendaten.

4. Pflichten und Mitwirkung des Kunden

Der Kunde setzt eigenständig geeignete technische und organisatorische Massnahmen zum Schutz von Personendaten in seinem Verantwortungsbereich um (z.B. auf eigenen Systemen, Anwendungen/Umgebungen unter seiner betrieblichen Verantwortung).

Der Kunde muss Aion Tech unverzüglich informieren, wenn er Verletzungen datenschutzrechtlicher Pflichten bei der Leistungserbringung durch Aion Tech feststellt.

Der Kunde benennt gegenüber Aion Tech die Kontaktperson für datenschutzbezogene Themen aus dem Vertrag und, in Fällen, in denen dies nach Art. 37 EU-DSGVO erforderlich ist, den Datenschutzbeauftragten.

5. Anfragen betroffener Personen

Wendet sich eine betroffene Person direkt an Aion Tech mit einem Auskunftsbegehren, einem Berichtigungs- oder Löschungsbegehren oder sonstigen Anfragen/Ansprüchen in Bezug auf Personendaten, verweist Aion Tech die betroffene Person an den Kunden, sofern eine Zuordnung zum Kunden anhand der von der betroffenen Person gemachten Angaben möglich ist. Die Unterstützung des Kunden durch Aion Tech bei Anfragen betroffener Personen richtet sich nach Ziffer 3.

6. Nachweismöglichkeiten, Berichte und Audits

Aion Tech ist verpflichtet, dem Kunden auf Anfrage angemessene Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten aus dieser ADV zu dokumentieren.

Die Parteien vereinbaren, dass Aion Tech die Einhaltung dieser Verpflichtung grundsätzlich durch Vorlage entsprechender Zertifizierungen (insbesondere ISO 27001) nachweisen kann oder Aion Tech dem Kunden für bestimmte Bereiche von unabhängigen Dritten erstellte Prüf- oder Auditberichte oder Bestätigungen allfälliger im Vertrag ausdrücklich genannter Zertifizierungen etc. zur Verfügung stellen kann. Zwingende gesetzliche Prüfungsrechte (Audits) des Kunden oder seiner Aufsichtsbehörden bleiben vorbehalten. In jedem Fall ist bei solchen Audits der Grundsatz der Verhältnismässigkeit zu beachten und den schutzwürdigen Interessen von Aion Tech (insbesondere der Vertraulichkeit von Daten anderer Kunden) angemessen Rechnung zu tragen. Sofern nicht anders vereinbart, trägt der Kunde alle Kosten solcher Audits (einschliesslich nachgewiesener angemessener interner Kosten, die Aion Tech im Zusammenhang mit dem Audit entstehen).

Werden nach der Vorlage von Nachweisen oder Berichten oder im Rahmen eines Audits Verstösse gegen diese ADV oder Mängel bei der Umsetzung der Pflichten von Aion Tech festgestellt, setzt Aion Tech geeignete Korrekturmassnahmen unverzüglich und kostenfrei um.

7. Beizug von Unterauftragsbearbeitern

Aion Tech ist berechtigt, Unterauftragsbearbeiter beizuziehen. Die aktuelle Liste der zum Zeitpunkt des Abschlusses dieser ADV beigezogenen Unterauftragsbearbeiter ist in Anhang 3 zu dieser ADV aufgeführt. Aion Tech informiert den Kunden vorab in Textform (E-Mail genügt), wenn sie nach Inkrafttreten dieser ADV neue Unterauftragsbearbeiter beizieht oder bestehende ersetzt. Der Kunde kann dem Einsatz eines neuen oder dem Ersatz eines bestehenden Unterauftragsbearbeiters aus wichtigen datenschutzrechtlichen Gründen innerhalb einer Frist von 30 Tagen schriftlich widersprechen. Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist eine gütliche Einigung der Parteien nicht möglich, steht dem Kunden ein ausserordentliches Kündigungsrecht in Bezug auf die betroffene Leistung zu.

Aion Tech schliesst mit ihren Unterauftragsbearbeitern Vereinbarungen ab, soweit dies zur Erfüllung ihrer Pflichten aus dieser ADV erforderlich ist.

8. Auslandübermittlung

Eine Bekanntgabe von Personendaten durch Aion Tech in ein Drittland oder an eine internationale Organisation ist nur zulässig, wenn Aion Tech die Bestimmungen von Art. 16 ff. DSG bzw., soweit anwendbar, Kapitel V EU-DSGVO einhält. Erfolgt eine solche Bekanntgabe von Personendaten jedoch auf Verlangen des Kunden oder in dessen Auftrag, liegt die Einhaltung der einschlägigen Bestimmungen in der alleinigen Verantwortung des Kunden.

9. Weitere Bestimmungen

Diese ADV tritt zusammen mit dem Abschluss des Vertrags in Kraft und wird für die Dauer des Vertrags abgeschlossen, es sei denn, die Bestimmungen dieser ADV begründen länger andauernde Pflichten.

Unbeschadet etwaiger Schriftformerfordernisse im Vertrag kann diese ADV auch in elektronischer Form geändert werden (z.B. eine elektronische Datei, die einen Scan der Unterschrift(en) oder eine Unterschrift mit DocuSign, Skribble oder einem anderen Anbieter elektronischer Signaturen enthält).

Die sich aus dieser ADV ergebenden Pflichten gelten ergänzend zu den im Vertrag festgelegten Pflichten und schränken diese nicht ein. Im Übrigen gelten die Bestimmungen des Vertrags unverändert fort.

Anhang 1 – Beschreibung der Bearbeitungstätigkeiten

Datum: 10. April 2026

Dieser Anhang 1 beschreibt die Datenbearbeitung, die Aion Tech im Rahmen der Vereinbarung zur Auftragsdatenbearbeitung (ADV) im Rahmen des Vertrags durchführt.

1. Angaben zu Aion Tech

1.1 Kontaktdaten von Aion Tech (verantwortlicher Weisungsempfänger):

Aion Technology AG, Alpenstrasse 16, 6300 Zug, Schweiz

E-Mail: info@aion-tech.ai

1.2 Kontaktdaten der Kontaktperson von Aion Tech für datenschutzbezogene Themen (gleichzeitig Datenschutzberater bzw. Datenschutzbeauftragter):

Aion Technology AG, Herr Léon Noirclerc, Alpenstrasse 16, 6300 Zug, Schweiz

E-Mail: l.noirclerc@aion-tech.ai

2. Datenbearbeitung

2.1 Allgemeines

Im Rahmen des Vertrags stellt der Kunde Aion Tech nach eigenem Ermessen und in eigenem Namen Personendaten und/oder vertrauliche Daten zur Bearbeitung zur Verfügung.

2.2 Zweck der Bearbeitung

Die dem Aion Tech vom Kunden anvertrauten Personendaten und die daraus entstehenden Personendaten werden ausschliesslich zum Zweck der Erfüllung des Vertrags und damit zusammenhängender Tätigkeiten bearbeitet (einschliesslich Kundenbeziehungsmanagement, Rechnungstellung, Archivierung, Marketing).

2.3 Dauer der Bearbeitung

Nach Beendigung des Vertrags werden die Personendaten innerhalb von 6 Monaten gelöscht/anonymisiert.

Die Löschung/Anonymisierung erfolgt unter der Voraussetzung, dass keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen in Bezug auf bestimmte Personendaten mehr bestehen.

2.4 Kategorien betroffener Personen

Aion Tech bearbeitet Personendaten in Bezug auf:

☑ Interne oder externe Mitarbeitende/Hilfspersonen des Kunden

☑ Endkunden des Kunden

☑ Interne oder externe Mitarbeitende/Hilfspersonen der Geschäftskunden des Kunden

☑ Endkunden der Geschäftskunden des Kunden

☑ Interne oder externe Mitarbeitende/Hilfspersonen der Lieferanten/Partner des Kunden

2.5 Kategorien von Personendaten

Aion Tech bearbeitet die folgenden Kategorien von Personendaten:

Allgemeine Personendaten

Mitarbeiterdaten

☑ Titel, Geschlecht

☑ Nachname

☑ Vorname

☐ Wohnadresse

☐ Ort

☐ Land / Wohnsitz

☑ E-Mail-Adresse

☑ Telefonnummer

☐ Geburtsdatum

☐ Geburtsort

☐ Alter

☑ Staatsangehörigkeit

☑ Sprache

☐ Familienstand

☐ Beruf

☐ Ausbildung

☑ IP-Adresse

☐ MAC-Adresse

☐ AHV-Nummer

☐ Personalnummer

☐ Badgenummer

☐ Titel/Rolle

☐ Mitarbeiterkategorie

☐ Sonstige vertragsbezogene Daten

☐ Arbeitszeitregelungen

☐ Angaben zur Zugehörigkeit

☐ Angaben zu Beziehungen

☐ Angaben zu Qualifikationen

☐ Angaben zu Gehalt/Urlaub

☐ Personaleinsatzplanung

☐ Leistungsprofile

Besonders schützenswerte Daten

Kundendaten (Klienten)

☐ Sozialhilfemassnahmen

☐ Verwaltungs- oder Strafverfahren

☐ Steuererklärungen

☐ Einkommen

☐ Kontakthistorie

☐ Vertragsdetails

☐ Zahlungsangaben

☐ Schadendaten

2.6 Besondere gesetzliche Geheimhaltungspflichten

Aion Tech bearbeitet Personendaten als Hilfsperson des Kunden, die zusätzlich einer besonderen gesetzlichen Geheimhaltungspflicht unterliegen:

☐ Amtsgeheimnis

☑ Bankkunden-Geheimnis

☑ Berufsgeheimnis (z.B. Treuhänder, Steuerexperten, Anwälte)

3. Ort der Datenbearbeitung

3.1 Ort der Bearbeitung von Personendaten

Die Personendaten werden primär in der Schweiz und im EU/EWR-Raum bearbeitet. Alle Länder, einschliesslich solcher ausserhalb des EU/EWR-Raums (sofern vorhanden), sind in Anhang 3 (Unterauftragsbearbeiter) aufgeführt.

3.2 Garantien bei Datenbearbeitung ausserhalb des EU/EWR-Raums

Aion Tech gewährleistet einen angemessenen Schutz der Personendaten bei deren Bearbeitung ausserhalb des EU/EWR-Raums durch den Abschluss von Datenbearbeitungsverträgen mit den betreffenden Unterauftragsbearbeitern, in denen sich diese verpflichten, ausreichende technische und organisatorische Massnahmen zum Schutz der bearbeiteten Personendaten zu ergreifen und eine dem Risiko angemessene Datensicherheit zu gewährleisten, und welche die EU-Standardvertragsklauseln (SCC) enthalten.

3.3 Bekanntgabe von Personendaten an Unterauftragsbearbeiter

Die in Anhang 3 aufgeführten Dritten haben als Unterauftragsbearbeiter Zugriff auf Personendaten und bearbeiten diese, oder es werden Personendaten an diese Dritten bekanntgegeben.

4. Meldung von Datenschutzverletzungen

Aion Tech meldet dem Kunden unverzüglich, wenn Aion Tech eine Verletzung des Schutzes von Personendaten bekannt wird, die insbesondere zu einer zufälligen oder unrechtmässigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu Personendaten führt oder zu führen droht. Die Meldung erfolgt in Textform (E-Mail genügt) und erforderlichenfalls zusätzlich telefonisch an die bekannten Kontaktpersonen des Kunden.

Anhang 2 – Technische und organisatorische Massnahmen (TOM)

Datum: 10. April 2026

Dieser Anhang 2 beschreibt die technischen und organisatorischen Massnahmen, die Aion Tech im Rahmen der Vereinbarung zur Auftragsdatenbearbeitung (ADV) im Rahmen des Vertrags zum Schutz der bearbeiteten Personendaten und zur Gewährleistung einer dem Risiko angemessenen Datensicherheit umsetzt (Art. 8 DSG und Art. 3 Datenschutzverordnung/DSV sowie Art. 32 Abs. 1 EU-DSGVO).

Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der ständigen Weiterentwicklung. Alternative oder zusätzliche Massnahmen können umgesetzt werden, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

Dieser Anhang 2 umfasst die Beschreibung der technischen und organisatorischen Massnahmen, die Aion Tech selbst ergriffen hat, sowie einige der von ihren Unterauftragsbearbeitern (siehe Anhang 3) umgesetzten Massnahmen. Aion Tech hat ihre Unterauftragsbearbeiter vertraglich verpflichtet, ihrerseits angemessene technische und organisatorische Massnahmen zu ergreifen. Die Beschreibung dieser zusätzlichen technischen und organisatorischen Massnahmen findet sich in der entsprechenden Dokumentation der Unterauftragsbearbeiter. Auf Anfrage stellt Aion Tech dem Kunden entsprechende Informationen zur Verfügung.

1. Zutrittskontrolle

Massnahmen, die geeignet sind, Unbefugten den Zutritt zu Einrichtungen, in denen Personendaten bearbeitet werden (Bearbeitungsanlagen), zu verwehren.

Hinweis: Aion Tech betreibt eine rein cloudbasierte Infrastruktur ohne eigene physische Räumlichkeiten, Serverräume oder Rechenzentren. Physische Zutrittskontrollen werden von den Infrastruktur-Unterauftragsbearbeitern von Aion Tech umgesetzt (siehe Anhang 3). Aion Tech hat diese Unterauftragsbearbeiter vertraglich zur Aufrechterhaltung angemessener physischer Sicherheitsmassnahmen verpflichtet. Details zu den physischen Sicherheitsmassnahmen der Unterauftragsbearbeiter können auf Anfrage zur Verfügung gestellt werden.

2. Zugangskontrolle

Massnahmen, die geeignet sind, die Nutzung von Datenbearbeitungssystemen (z.B. Computer) durch Unbefugte zu verhindern.

Aion Tech gewährleistet dies durch die folgenden Massnahmen:

Technische Massnahmen

Organisatorische Massnahmen

☑ Anmeldung mit Zugangsdaten (z.B. Benutzername und Passwort)

☑ Verwaltung von Benutzerberechtigungen

☑ Anti-Virus-Software Server

☑ Zentrale Passwortvergabe

☑ Anti-Virus-Software Clients

☑ Passwortrichtlinie ("sicheres Passwort")

☑ Anti-Virus-Software mobile Geräte

☑ Allgemeine Richtlinie "Datenschutz und Sicherheit"

☑ Firewall

☑ Mobile Device Policy

☑ Intrusion Detection Systems

☑ Erstellung von Benutzerprofilen

☑ Mobile Device Management

☐ 

☑ VPN für Fernzugriff

☐ 

☑ Verschlüsselung von Datenträgern

☐ 

☑ Verschlüsselung von Smartphones

☐ 

☑ Gehäuseschloss

☐ 

☑ BIOS-Schutz (separates Passwort)

☐ 

☑ Sperrung externer Schnittstellen (USB)

☐ 

☑ Automatische Sperrmechanismen (z.B. Desktop-Sperre)

☐ 

☑ Verschlüsselung von Notebooks / Tablets

☐ 

☑ Zwei-Faktor-Authentifizierung

☐ 

3. Zugriffskontrolle

Massnahmen, die geeignet sind, den Zugriff befugter Personen ausschliesslich auf die ihrem Zugriffsrecht unterliegenden Personendaten zu beschränken und das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Personendaten zu verhindern.

Aion Tech gewährleistet dies durch die folgenden Massnahmen:

Technische Massnahmen

Organisatorische Massnahmen

☑ Physische Löschung von Datenträgern

☑ Berechtigungskonzept

☑ Zugriffsprotokollierung

☑ Minimale Anzahl Administratoren

☑ Standard-Berechtigungsprofile auf "Need-to-know"-Basis

☑ Tresor für Datenspeicherung

☑ Datenschutzkonforme Entsorgung nicht mehr benötigter Datenträger

☑ Verwaltung der Benutzerrechte durch Administratoren

☑ Sichere Aufbewahrung von Speichermedien

☑ Regelmässige Überprüfung der vergebenen Berechtigungen

☑ Datenschutzkonforme Wiederverwendung von Speichermedien

☑ Standardprozess für die Berechtigungsvergabe

4. Weitergabe- und Transportkontrolle

Massnahmen, die geeignet sind, das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Personendaten bei der elektronischen Übertragung oder während des Transports zu verhindern.

Aion Tech gewährleistet dies durch die folgenden Massnahmen:

Technische Massnahmen

☑ Protokollierung von Zugriffen und Abrufen

☑ Sichere Transportbehälter

☑ Bereitstellung über verschlüsselte Verbindungen wie SFTP, HTTPS

☑ Einsatz elektronischer Signaturverfahren

☑ Dateiverschlüsselung

☑ Verschlüsselung von Datenträgern

5–9. Weitere TOM

Die weiteren technischen und organisatorischen Massnahmen (Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennbarkeit, Überprüfung/Bewertung/Evaluierung) entsprechen den in der englischen Fassung dieser ADV aufgeführten Massnahmen und sind dort im Detail beschrieben.

Anhang 3 – Unterauftragsbearbeiter

Datum: 10. April 2026

Dieser Anhang 3 listet die von Aion Tech beigezogenen Unterauftragsbearbeiter auf. Der Beizug neuer und der Ersatz bestehender Unterauftragsbearbeiter richtet sich nach den Bestimmungen der Vereinbarung zur Auftragsdatenbearbeitung (ADV).

Infrastruktur & Hosting

Unterauftrags­bearbeiter

Zweck

Bearbeitete Personendaten

Ort der Bearbeitung

Garantien gemäss DSG und EU-DSGVO

Amazon Web Services (AWS)

Cloud-Hosting, Speicher, Backups

Kontodaten, Anwendungsdaten, Logs

EU

Datenbearbeitungsvertrag; EU-Angemessenheitsbeschluss / Schweizer Angemessenheitsbeschluss (EDÖB)

Google Cloud Platform

Infrastruktur & Speicher

Anwendungsdaten, Logs

EU

Datenbearbeitungsvertrag; EU-Angemessenheitsbeschluss / Schweizer Angemessenheitsbeschluss (EDÖB)

Microsoft Azure

Cloud-Infrastruktur

Anwendungsdaten, Logs

EU

Datenbearbeitungsvertrag; EU-Angemessenheitsbeschluss / Schweizer Angemessenheitsbeschluss (EDÖB)

Cloudflare

CDN, DNS, DDoS-Schutz, Sicherheit

IP-Adresse, Verkehrsdaten, Sicherheitslogs

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Authentifizierung & Backend

Unterauftrags­bearbeiter

Zweck

Bearbeitete Personendaten

Ort der Bearbeitung

Garantien gemäss DSG und EU-DSGVO

Supabase

Benutzerauthentifizierung & Datenbankdienste

Benutzerzugangsdaten, Kontodaten, Tokens

EU

Datenbearbeitungsvertrag; EU-Angemessenheitsbeschluss / Schweizer Angemessenheitsbeschluss (EDÖB)

Kommunikation

Unterauftrags­bearbeiter

Zweck

Bearbeitete Personendaten

Ort der Bearbeitung

Garantien gemäss DSG und EU-DSGVO

Brevo

Transaktionale & Marketing-E-Mails

E-Mail-Adresse, Kommunikationsinhalte, Interaktionsdaten

EU

Datenbearbeitungsvertrag; EU-Angemessenheitsbeschluss / Schweizer Angemessenheitsbeschluss (EDÖB)

Analytics & Produktverbesserung

Unterauftrags­bearbeiter

Zweck

Bearbeitete Personendaten

Ort der Bearbeitung

Garantien gemäss DSG und EU-DSGVO

Google Analytics

Website- & Produktanalyse

Nutzungsdaten, Gerätedaten, IP-Adresse

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Google Tag Manager

Tag-Verwaltung

Tracking- & Nutzungsdaten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Mixpanel

Produktanalyse

Benutzerkennungen, Ereignisdaten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Amplitude

Produktanalyse

Nutzungsdaten, Event-Tracking

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Hotjar

Heatmaps & Session-Insights

Nutzungsdaten, Session-Aufzeichnungen (ohne sensible Felder)

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Werbung & Retargeting

Unterauftrags­bearbeiter

Zweck

Bearbeitete Personendaten

Ort der Bearbeitung

Garantien gemäss DSG und EU-DSGVO

Meta (Facebook & Instagram Ads)

Werbung & Retargeting

Cookie-Daten, Gerätedaten, gehashte Kennungen

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Google Ads

Werbung & Remarketing

Cookie-Daten, Nutzungsdaten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

LinkedIn Ads

B2B-Werbung

Gerätedaten, Tracking-Daten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

TikTok Ads

Werbung

Gerätedaten, Tracking-Daten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Kundensupport & CRM

Unterauftrags­bearbeiter

Zweck

Bearbeitete Personendaten

Ort der Bearbeitung

Garantien gemäss DSG und EU-DSGVO

Intercom

Kundenkommunikation & Support

Kontaktdaten, Kommunikation, Nutzungsdaten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Zendesk

Support-Ticketing

Kontaktinformationen, Support-Kommunikation

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

HubSpot

CRM & Marketing-Automatisierung

Kontaktdaten, Kommunikationshistorie

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Freshdesk

Kundensupport

Support-Kommunikation, Kontaktdaten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Tawk.to

Website-Chat-Widget

Chat-Kommunikation, IP-Adresse

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Überwachung & Sicherheit

Unterauftrags­bearbeiter

Zweck

Bearbeitete Personendaten

Ort der Bearbeitung

Garantien gemäss DSG und EU-DSGVO

Sentry

Fehlerüberwachung

Log-Daten, begrenzte Benutzerkennungen

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Datadog

Infrastrukturüberwachung

Log-Daten, Leistungskennzahlen

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

New Relic

Anwendungsleistungsüberwachung

Telemetrie- & Leistungsdaten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

LogRocket

Session-Replay & Debugging

Nutzungsdaten, Session-Aufzeichnungen (ohne sensible Eingaben)

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

CrowdStrike

Sicherheitsüberwachung

Sicherheitsereignisdaten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

KI & Machine Learning Anbieter

Unterauftrags­bearbeiter

Zweck

Bearbeitete Personendaten

Ort der Bearbeitung

Garantien gemäss DSG und EU-DSGVO

OpenAI

KI-Modellbearbeitung

Benutzereingaben und -ausgaben

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Anthropic

KI-Modellbearbeitung

Benutzereingaben und -ausgaben

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Azure OpenAI

KI-Modell-Hosting & -Bearbeitung

Benutzereingaben und -ausgaben

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Google Vertex AI

KI-Dienste

Benutzereingaben und -ausgaben

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Hugging Face

ML-Modell-Inferenz

Benutzereingaben für Inferenz

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung

Marketing-Website

Unterauftrags­bearbeiter

Zweck

Bearbeitete Personendaten

Ort der Bearbeitung

Garantien gemäss DSG und EU-DSGVO

Framer

Website-Hosting & -Veröffentlichung

Besucheranalysen, Kontaktformulardaten

Global

Datenbearbeitungsvertrag; EU-Standardvertragsklauseln (SCC); Schweizer Angemessenheitsprüfung