Auftragsverarbeitungsvertrag (AVV)

§ 1 Parteien und Gegenstand

Auftragnehmer: bauklar GmbH.

Auftraggeber: Das jeweilige Unternehmen, das durch Annahme der AGB an diesen AVV gebunden ist.

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten. Er gilt für die Dauer des Nutzungsvertrages; § 7 (Löschung) gilt nach Beendigung fort.

§ 2 Art, Zweck und Gegenstand der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich zur Erbringung der vertraglich vereinbarten Leistungen: Plattformbetrieb, KI-Workflows, Transkription, Dokumentenverwaltung, Authentifizierung, Support und Sicherheitsüberwachung. Eine Verarbeitung zu eigenen Zwecken findet nicht statt.

Kein Training mit Ihren Daten. In den Einstellungen können Sie Anbieter mit EU-Hosting, Zero-Data-Retention-Vertrag und vertraglicher Vereinbarung, dass kein Training von Large Language Modellen mit ihren Daten erfolgt, auswählen. Die Plattform nutzt eine kundenspezifische Wissensdatenbank, um den Assistenten kontextbezogen einzusetzen; dies stellt kein Training dar.

Bestimmte optionale Funktionen nutzen Drittdienste ohne diese vertraglichen Zusicherungen. Hier gelten die Datenschutzbestimmungen des jeweiligen Drittanbieters. Bei der Aktivierung können Daten ohne den entsprechenden Schutz übermittelt werden. Die betroffenen Dienste und eingesetzten Garantien sind in der Anbieterübersicht dokumentiert.

§ 3 Kategorien personenbezogener Daten und betroffene Personen

Datenkategorien: Identifikationsdaten (Name, E-Mail, Konto-ID), Nutzungsdaten (Login-Zeiten, Aktionen, Logs), Kommunikationsinhalte (Prompts, Chat, Outputs), Dokumente und Dateien, Audiotranskripte, technische Daten (IP, Browser), Projektdaten.

Betroffene Personen: Mitarbeitende und Nutzer des Auftraggebers sowie Dritte, deren Daten der Auftraggeber eingibt.

Besonders schützenswerte Daten: Deren Verarbeitung ist ohne gesonderte schriftliche Vereinbarung untersagt (vgl. AGB § 4.2).

§ 4 Weisungsbindung

Der Auftragnehmer verarbeitet ausschliesslich auf dokumentierte Weisung des Auftraggebers. Die Plattformnutzung gilt als Weisung; weitergehende Weisungen sind schriftlich an info@bauklar.ai zu richten. Bei datenschutzrechtlich problematischen Weisungen informiert der Auftragnehmer den Auftraggeber und kann die Ausführung aussetzen.

§ 5 Vertraulichkeit

Alle zur Verarbeitung befugten Personen unterliegen einer Vertraulichkeitspflicht. Daten werden nur weitergegeben, soweit es für die Leistungserbringung erforderlich und durch § 8 gedeckt ist.

§ 6 Technische und organisatorische Massnahmen

Der Auftragnehmer trifft die in den TOMs beschriebenen technischen und organisatorischen Massnahmen. Die TOMs können an den Stand der Technik und an geänderte Sicherheits- oder Betriebsanforderungen angepasst werden, sofern das vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen, die das Schutzniveau betreffen oder die Nachvollziehbarkeit für den Auftraggeber wesentlich beeinflussen, werden mindestens 30 Tage vor ihrem Inkrafttreten angekündigt. Für TOMs von Hyperscalern, Cloud- und Infrastrukturanbietern gelten deren Enterprise-Standards; über wesentliche, dem Auftragnehmer bekannt werdende Änderungen informiert der Auftragnehmer in angemessener Form.

§ 7 Löschung und Datenrückgabe

Nach Vertragsende stehen dem Auftraggeber 30 Tage für den Datenexport zur Verfügung. Danach werden alle personenbezogenen Daten unwiderruflich gelöscht. Audit-Logs werden 2 Jahre aufbewahrt. Der Auftragnehmer bestätigt die Löschung auf schriftliche Anfrage. Wir löschen keine Daten, zu deren Aufbewahrung wir gesetzlich verpflichtet sind.

§ 8 Unterauftragnehmer

8.1 Der Auftraggeber erteilt eine allgemeine Genehmigung zur Beauftragung von Unterauftragnehmern. Die vollständige, stets aktuelle Liste — einschliesslich AVV-Status und Transfermechanismus — ist in der Sub-Processor-Liste abrufbar (Anlage 2).

8.2 Änderungen bei Unterauftragnehmern. Änderungen oder Ergänzungen der eingesetzten Unterauftragnehmer werden mindestens 30 Tage vor ihrem Wirksamwerden in der aktuellen Anbieterübersicht veröffentlicht oder dem Auftraggeber in geeigneter Form mitgeteilt. Der Auftraggeber kann innerhalb dieser Frist aus datenschutzrechtlich begründeten Gründen widersprechen. Widerspricht der Auftraggeber, bemühen sich die Parteien um eine sachgerechte Lösung. Soweit eine solche nicht möglich ist, steht beiden Parteien hinsichtlich der betroffenen Leistung ein ausserordentliches Kündigungsrecht zu.

8.3 Unterauftragnehmer werden zu Datenschutzpflichten verpflichtet. Für Hyperscaler und Enterprise-Cloud-Anbieter gelten deren nicht verhandelbare Enterprise-AVVs; diese sind in der Sub-Processor-Liste mit DPA-Link verzeichnet.

8.4 Dienste ohne AVV: Für bestimmte optionale Drittservices, die der Kunde aktiviert, besteht kein Auftragsverarbeitungsvertrag. Die datenschutzrechtliche Verantwortung für die Zulässigkeit der Nutzung liegt beim Auftraggeber. Die betroffenen Dienste sind in der Sub-Processor-Liste gekennzeichnet.

§ 9 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber bei Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung) und leitet direkt eingehende Anfragen unverzüglich weiter. Ebenso unterstützt er bei den gesetzlichen Pflichten bezüglich Datensicherheit, Meldepflichten und Datenschutz-Folgenabschätzung.

§ 10 Meldung von Datenpannen

Verletzungen des Schutzes personenbezogener Daten meldet der Auftragnehmer dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach eigener Kenntnisnahme, mit Angabe von Art, Datenkategorien, betroffenen Personen, wahrscheinlichen Folgen und ergriffenen Massnahmen. Bei Datenpannen mit Ursprung bei einem Hyperscaler beginnt die Frist mit dem Zeitpunkt, zu dem der Auftragnehmer informiert wird. Die Meldepflicht gegenüber der Aufsichtsbehörde verbleibt beim Auftraggeber.

§ 11 Bekanntgabe ins Ausland

Die Datenbearbeitung im Rahmen der Standardleistung erfolgt grundsätzlich innerhalb der EU bzw. des EWR. Für Datenbearbeitungen können Daten an Anbieter in den USA übermittelt werden. Wir übermitteln keine Daten in Staaten ohne angemessenes Datenschutzniveau.

Wir setzen externe Dienstleister und Drittanbieter ein, die in der Anbieterübersicht aufgeführt sind.

EU-Ausland: Feststellung angemessenes Datenschutzniveau durch Bundesrat.

USA: Die Datenübertragung wird auf das Swiss-US-Privacy-Framework gestützt. Der Datenschutzrahmen „ermöglicht einen sicheren Austausch von Personendaten zwischen der Schweiz und den zertifizierten US-Unternehmen.“ Die Liste der zertifizierten Unternehmen finden Sie hier: https://www.dataprivacyframework.gov/. Andernfalls stützen wir die Datenübertragung auf Standardvertragsklauseln oder ihre Einwilligung.

§ 12 Nachweispflicht und Audit

Der Auftragnehmer stellt auf Anfrage alle Informationen zum Nachweis der AVV-Einhaltung zur Verfügung. Der Auftraggeber kann einmal jährlich eine Überprüfung mit 14 Tagen Voranmeldung durchführen. Zertifizierungen (ISO 27001, SOC 2) werden als gleichwertige Nachweise anerkannt.

§ 13 Schlussbestimmungen

Es gilt schweizerisches Recht; Gerichtsstand ist Zürich. Dieser AVV hat in Datenschutzfragen Vorrang gegenüber den AGB. Änderungen werden hier veröffentlicht und treten nach 30 Tagen in Kraft. Unwirksame Bestimmungen berühren die Gültigkeit der übrigen nicht.

Anlagen

Anlage 1: Technische und organisatorische Massnahmen (TOMs). Die vollständigen TOMs sind dokumentiert und gelten als integraler Bestandteil dieses AVV.

Anlage 2: Sub-Processor-Liste. Die vollständige und stets aktuelle Liste ist abrufbar. Änderungen werden angekündigt.