Kompliant Beta

Auftragsverarbeitungs-Vereinbarung (AVV)

gemäss Art. 9 des Schweizer Bundesgesetzes über den Datenschutz (nDSG)

Zwischen

dem Nutzer des Services "Kompliant"
(nachfolgend "Auftraggeber")

und

Kompliant
betrieben durch PYTHOS AG
Bachstrasse 29
4566 Kriegstetten
Schweiz
(nachfolgend "Auftragnehmer")

1. Gegenstand und Zweck der Vereinbarung

Diese Vereinbarung regelt die Rechte und Pflichten im Rahmen der Verarbeitung von Personendaten, die der Auftraggeber dem Auftragnehmer zur Erbringung der Dienstleistungen gemäss den AGB von Kompliant überlässt. Gegenstand der Dienstleistung ist die KI-gestützte Analyse von Compliance-Dokumenten. Der Service richtet sich ausschliesslich an Kunden mit Sitz in der Schweiz.

2. Art und Zweck der Verarbeitung

  • Art der bearbeiteten Personendaten: Kontaktdaten der Benutzer (E-Mail), sowie sämtliche Personendaten, die in den vom Auftraggeber hochgeladenen Dokumenten enthalten sein können (z.B. Namen von Mitarbeitern, Kunden oder Partnern in Protokollen, Berichten etc.).
  • Kategorien betroffener Personen: Mitarbeiter, Kunden, Lieferanten und weitere Geschäftspartner des Auftraggebers.
  • Zweck: Die Verarbeitung dient ausschliesslich dem Zweck, die vom Auftraggeber gewünschte KI-Analyse durchzuführen und die Ergebnisse bereitzustellen.

3. Technische und Organisatorische Massnahmen (TOMs)

Der Auftragnehmer verpflichtet sich zur Einhaltung angemessener technischer und organisatorischer Massnahmen zum Schutz der Daten des Auftraggebers. Dazu gehören insbesondere:

  • Vertraulichkeit: Alle Daten werden streng vertraulich behandelt. Passwörter werden mittels Argon2 sicher gehasht gespeichert.
  • Verschlüsselung: Die gesamte Kommunikation zwischen Client und Server sowie die Speicherung der Daten erfolgen verschlüsselt (TLS, Encryption-at-Rest).
  • Speicherort: Alle vom Auftraggeber hochgeladenen Dokumente werden ausschliesslich auf Servern von Google Cloud in der Schweiz (Zürich) gespeichert.
  • Zugriffskontrolle: Der Zugriff auf Daten ist durch ein strenges Authentifizierungssystem und eine mandantenfähige Architektur geschützt.

4. Unterauftragsverhältnisse (Sub-Prozessoren)

Der Auftraggeber stimmt zu, dass der Auftragnehmer die folgenden Unterauftragsverarbeiter einsetzt, die ebenfalls zur Einhaltung des Schweizer Datenschutzrechts verpflichtet wurden:

  • Google Cloud (Region: europe-west6, Zürich): Für das sichere Hosting der Applikation und der hochgeladenen Dateien.
  • Google (Gemini API): Für die Durchführung der KI-Analyse. Es werden nur die Textinhalte, keine Metadaten, übermittelt. Die Daten werden nicht zum Training von Modellen verwendet.
  • Google Workspace (Gmail): Für den Versand von transaktionalen E-Mails (z.B. Willkommens-E-Mail, Passwort-Reset). Es werden dabei keine Inhalte aus Ihren hochgeladenen Dokumenten oder Analyse-Ergebnissen übermittelt.
  • Stripe, Inc.: Für die sichere Abwicklung von Zahlungen. Der Auftragnehmer speichert keine Kreditkartendaten.

5. Rechte und Pflichten des Auftraggebers

Der Auftraggeber ist und bleibt für die Rechtmässigkeit der Erhebung und Verarbeitung der personenbezogenen Daten in den von ihm hochgeladenen Dokumenten allein verantwortlich. Er ist verpflichtet, die betroffenen Personen gemäss den gesetzlichen Vorgaben zu informieren.

6. Geltendes Recht und Gerichtsstand

Diese Vereinbarung untersteht ausschliesslich Schweizer Recht. Ausschliesslicher Gerichtsstand ist Solothurn, Schweiz.

Durch die aktive Zustimmung in der Applikation vor dem ersten Upload von Dokumenten gilt diese Vereinbarung als von beiden Parteien akzeptiert.