Auftragsverarbeitungsvertrag

0.1 Diese AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Bearbeitung von Personendaten durch Arcarius im Auftrag des Kunden im Rahmen der Nutzung der Arcarius-Plattform („Services"). Sie ist Bestandteil der Vereinbarung (AGB) („Hauptvertrag").

0.2 Diese AVV gilt nur, soweit Arcarius im Rahmen der Services Personendaten im Auftrag des Kunden bearbeitet („Kunden-Personendaten"). Für Bearbeitungen, bei denen Arcarius selbst Verantwortlicher ist, gilt diese AVV nicht.

0.3 Vorrang: Bei Widersprüchen geht diese AVV im Umfang ihrer datenschutzrechtlichen Regelung dem Hauptvertrag vor. Im Übrigen bleibt der Hauptvertrag anwendbar (insb. Haftungs-/Gewährleistung, Laufzeit, Gerichtsstand).

0.4 Diese AVV gilt im Verhältnis zu (i) dem Schweizer Datenschutzgesetz („DSG") und der Datenschutzverordnung („DSV") sowie (ii) sofern und soweit anwendbar der EU-Datenschutz-Grundverordnung („EU-DSGVO").

1.1 Personendaten / personenbezogene Daten: Bedeutung gemäss DSG bzw. EU-DSGVO.

1.2 Verantwortlicher / Controller: Der Kunde, soweit er Zweck und Mittel der Bearbeitung der Kunden-Personendaten bestimmt.

1.3 Auftragsbearbeiter / Processor: Arcarius, soweit Arcarius Kunden-Personendaten im Auftrag des Kunden bearbeitet.

1.4 Unter-Auftragsbearbeiter / Sub-Processor: Dritte, die Arcarius zur Bearbeitung von Kunden-Personendaten beizieht.

1.5 Kunden-Personendaten: Personendaten, die (i) der Kunde oder Nutzer eingibt/hochlädt, (ii) Arcarius auf Weisung des Kunden aus Drittanbieter-Services (z. B. Buchhaltungs-Systemen, E-Mail-, Kommunikations-, Dokumenten- oder sonstigen Produktivitätssystemen) abruft, oder (iii) als Output/Export aus solchen Daten resultieren, jeweils soweit Personendaten enthalten sind.

1.6 Weisungen: Dokumentierte Instruktionen des Kunden an Arcarius zur Bearbeitung von Kunden-Personendaten.

1.7 Datenschutzverletzung: Verletzung der Datensicherheit, die zur unbeabsichtigten oder widerrechtlichen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf Kunden-Personendaten führt oder führen kann.

2.1 Gegenstand/Art/Zweck der Bearbeitung ergeben sich aus dem Hauptvertrag und Anhang 1 (Bearbeitungsprofil).

2.2 Diese AVV gilt für die Dauer des Hauptvertrags bzw. solange Arcarius Kunden-Personendaten im Auftrag bearbeitet, inkl. allfälliger Nachlauf-/Löschfristen gemäss Ziff. 10.

2.3 Diese AVV tritt in Kraft mit dem früheren der folgenden Zeitpunkte: (i) Akzept der AVV (bzw. des Hauptvertrags, soweit die AVV integraler Bestandteil ist) durch den hierzu berechtigten Administrator des Kunden oder (ii) dem Zeitpunkt, in dem Arcarius erstmals Kunden-Personendaten im Auftrag des Kunden bearbeitet (z.B. im Rahmen des Onboardings durch Verbindung eines Drittanbieter-Services oder Upload von Kundendaten).

Bearbeitungen, bei denen Arcarius als eigener Verantwortlicher handelt, sind nicht Teil dieser AVV.

3.1 Arcarius bearbeitet Kunden-Personendaten ausschliesslich nach dokumentierten Weisungen des Kunden, insbesondere:

• durch Nutzung/Konfiguration der Services (Self-Onboarding, Anbindung Drittanbieter-Services, Auswahl Features, Upload/Export) und
• durch den Hauptvertrag und diese AVV.

3.2 Zusätzliche Weisungen des Kunden bedürfen der Textform (E-Mail/Ticket genügt). Arcarius ist nur verpflichtet, solche Weisungen umzusetzen, soweit sie (i) rechtmässig, (ii) technisch umsetzbar und (iii) zumutbar sind. Führt eine Weisung zu Mehrkosten oder Leistungsänderungen, kann Arcarius die Umsetzung von einer vorgängigen Einigung über Aufwand/Vergütung abhängig machen.

3.3 Ist Arcarius der Auffassung, dass eine Weisung gegen anwendbares Datenschutzrecht verstösst, informiert Arcarius den Kunden und ist berechtigt, die Umsetzung auszusetzen, bis die Weisung bestätigt oder angepasst wurde.

3.4 Bei Weisungen, die Zugriffsrechte innerhalb des Kunden-Kontos oder die Herausgabe/Export von Kunden-Personendaten an den Kunden betreffen, darf Arcarius grundsätzlich auf die Berechtigung/Rechtmässigkeit der Weisung vertrauen, ausser die Rechtswidrigkeit ist offensichtlich. Arcarius kann in Zweifelsfällen eine angemessene Bestätigung/Klarstellung verlangen.

3.5 Der Kunde bleibt für (i) die Rechtmässigkeit der Bearbeitung, (ii) die Information betroffener Personen, (iii) die Einholung allfälliger Einwilligungen, sowie (iv) die Zulässigkeit der Übermittlung an Arcarius und von Arcarius beauftragte Unter-Auftragsbearbeiter verantwortlich.

3.6 Soweit Arcarius aufgrund zwingenden Rechts verpflichtet ist, Kunden-Personendaten offenzulegen oder abweichend von Weisungen zu bearbeiten, informiert Arcarius den Kunden hierüber unverzüglich, soweit rechtlich zulässig. Arcarius wird nur das rechtlich erforderliche Minimum offenlegen und – soweit möglich – Schutzmassnahmen (z.B. Vertraulichkeits-/Rechtsmittel) prüfen.

4.1 Arcarius stellt sicher, dass alle zur Bearbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

4.2 Arcarius gewährleistet ein rollenbasiertes Berechtigungskonzept und beschränkt Zugriffe auf Kunden-Personendaten auf das notwendige Minimum („Need-to-Know"), insbesondere für Support-Zwecke.

5.1 Arcarius trifft angemessene technische und organisatorische Massnahmen zum Schutz der Kunden-Personendaten gemäss Anhang 2 (TOM).

5.2 Arcarius darf TOM anpassen, sofern das Schutzniveau nicht unterschritten wird.

5.3 Arcarius verarbeitet Kunden-Personendaten nicht zur Entwicklung, zum Training, zum Fine-Tuning oder zur Verbesserung von Modellen (einschliesslich LLMs). Arcarius wird keine Opt-in-, Feedback-, Sharing- oder sonstigen Mechanismen aktivieren oder nutzen, welche eine Verwendung von Kunden-Personendaten für Trainings-, Fine-Tuning- oder Modellverbesserungszwecke bei Arcarius oder bei Unter-Auftragsbearbeitern ermöglichen würden.

6.1 Betroffenenrechte: Arcarius unterstützt den Kunden im angemessenen Umfang bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung etc.), soweit der Kunde ohne Arcarius-Mitwirkung nicht in der Lage ist, das Begehren zu erfüllen. Arcarius kann für Unterstützung, die über Self-Service-Funktionen/Standard-Exports hinausgeht, eine separate Vergütung nach Aufwand verlangen.

6.2 Weitere Unterstützung: Unterstützung bei Datenschutz-Folgenabschätzungen, Konsultationen von Behörden, Vertrags-/Transfer-Dokumentation etc. erfolgt – soweit geschuldet – nach Aufwand gegen Vergütung, sofern zwingendes Recht nicht entgegensteht.

6.3 Kontaktstellen:

(a) Arcarius ist für Anfragen und Weisungen im Zusammenhang mit dieser AVV und für Meldungen von Datenschutzverletzungen unter datenschutz@arcarius.ai erreichbar.

(b) Der Kunde nennt Arcarius den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen sowie in den Fällen, in denen dies gemäss Art. 37 EU-DSGVO vorgeschrieben ist, den Datenschutzbeauftragten.

(c) Hat eine Partei einen Datenschutzberater/Datenschutzbeauftragten (DPO) ernannt, können dessen Kontaktdaten in Anhang 1 aufgeführt werden.

7.1 Erhält Arcarius eine Anfrage einer betroffenen Person zu Kunden-Personendaten, wird Arcarius die betroffene Person – soweit zulässig – an den Kunden verweisen oder die Anfrage an den Kunden weiterleiten.

7.2 Arcarius beantwortet solche Anfragen nicht inhaltlich, ausser (i) der Kunde weist Arcarius schriftlich dazu an oder (ii) zwingendes Recht verpflichtet Arcarius hierzu.

8.1 Arcarius informiert den Kunden ohne unangemessene Verzögerung nach Kenntnisnahme über Datenschutzverletzungen betreffend Kunden-Personendaten.

8.2 Die Information umfasst – soweit verfügbar – die Art der Datenschutzverletzung, betroffene Datenkategorien, voraussichtliche Folgen sowie ergriffene/empfohlene Abhilfemassnahmen.

8.3 Arcarius unterstützt den Kunden angemessen bei der Erfüllung gesetzlicher Melde- und Informationspflichten, soweit dies Kunden-Personendaten betrifft.

9.1 Der Kunde erteilt Arcarius hiermit die allgemeine Genehmigung, Unter-Auftragsbearbeiter beizuziehen. Die zum Zeitpunkt des Abschlusses dieser AVV eingesetzten Unter-Auftragsbearbeiter sind in Anhang 3 aufgeführt.

9.2 Arcarius informiert den Kunden in Textform mindestens 14 Kalendertage vor der Hinzuziehung oder Ersetzung eines Unter-Auftragsbearbeiters, soweit Kunden-Personendaten betroffen sind. Arcarius wird den betreffenden Unter-Auftragsbearbeiter nicht einsetzen, bevor die Einspruchsfrist nach Ziff. 9.3 abgelaufen ist oder der Kunde zuvor zugestimmt hat.

9.3 Der Kunde kann aus wichtigen datenschutzrechtlichen Gründen innerhalb von 14 Tagen ab Mitteilung Einspruch erheben. Erfolgt kein Einspruch, gilt der Unter-Auftragsbearbeiter als genehmigt.

9.4 Können die Parteien keine wirtschaftlich angemessene Lösung finden, ist Arcarius berechtigt, nach eigener Wahl (i) die betroffene Funktion/Integration zu deaktivieren bzw. eine alternative Lösung anzubieten oder (ii) den hiervon betroffenen Teil der Services mit 30 Tagen Frist zu beenden.

9.5 Flow-down: Arcarius verpflichtet Unter-Auftragsbearbeiter vertraglich zu Datenschutz- und Sicherheitsverpflichtungen, die mindestens gleichwertig zu den Pflichten aus dieser AVV sind.

10.1 Der Kunde kann während der Vertragslaufzeit Kunden-Personendaten über bereitgestellte Funktionen exportieren, soweit verfügbar.

10.2 Nach Beendigung des Hauptvertrags bzw. Schliessung des Kontos löscht oder anonymisiert Arcarius Kunden-Personendaten aus produktiven Systemen im Rahmen des regulären Löschprozesses, grundsätzlich innert 30 Tagen (monatlicher Löschlauf) nach Vertragsende, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen (z.B. Abrechnung, Missbrauchsprävention, Durchsetzung/Verteidigung von Rechtsansprüchen) eine längere Aufbewahrung erfordern.

10.3 Daten in Sicherungskopien (Backups) werden nicht sofort gelöscht, sondern im Rahmen der Backup-Retention überschrieben; die maximale Retentionsdauer beträgt 90 Tage.

10.4 Rückgabe: Auf Verlangen des Kunden stellt Arcarius Kunden-Personendaten vor der Löschung in einem gängigen, maschinenlesbaren Format zur Verfügung, soweit technisch möglich und soweit die Daten nicht bereits über Self-Service-Exporte abrufbar sind. Nach Ablauf der in Ziff. 10.2 genannten Fristen erfolgt die Löschung/Anonymisierung gemäss Ziff. 10.2 und 10.3.

11.1 Arcarius stellt dem Kunden auf Anfrage angemessene Informationen zur Verfügung, um die Einhaltung dieser AVV nachzuweisen, insbesondere durch:

• Sicherheits-/Compliance-Dokumentation,
• Informationen zu TOM gemäss Anhang 2.

11.2 Audits durch den Kunden sind auf Verhältnismässigkeit zu beschränken und müssen (i) mindestens 30 Tage vorher angekündigt werden, (ii) höchstens 1× pro Jahr stattfinden, (iii) in der Regel als Remote-Audit (Dokumentenprüfung/Interview) durchgeführt werden und (iv) Geschäftsgeheimnisse und Sicherheit von Arcarius berücksichtigen.

11.3 Der Kunde trägt die Kosten des Audits, einschliesslich angemessener interner Aufwände von Arcarius. Gesetzlich zwingende Prüf-/Mitwirkungsrechte bleiben vorbehalten.

12.1 Arcarius bearbeitet Kunden-Personendaten primär in den in Anhang 1 und Anhang 3 genannten Ländern. Je nach eingesetzten Unter-Auftragsbearbeitern kann es zu Bearbeitungen ausserhalb der Schweiz bzw. des EWR kommen.

12.2 Dies gilt insbesondere für die Module One-on-One und Automations, bei denen global betriebene KI-Dienste eingesetzt werden können. Dabei können Eingaben, Kontextdaten, hochgeladene Inhalte, Daten aus optional verbundenen Drittanbieter-Services, technisch erforderliche Metadaten sowie Outputs zur Erbringung der angeforderten Funktion, für den technischen Betrieb, für Sicherheitszwecke oder für Supportbearbeitungen grenzüberschreitend bearbeitet werden.

12.3 Für die Module Closing und Reporting gilt, dass KI-bezogene Verarbeitungsschritte grundsätzlich über regional konfigurierte, auf Europa ausgerichtete Setups erfolgen, soweit dies vom jeweils eingesetzten Modell, Endpoint und Anbieter unterstützt wird.

12.4 Für Rebooking gilt, dass insoweit keine generative KI eingesetzt wird.

12.5 Arcarius stellt sicher, dass grenzüberschreitende Bekanntgaben – soweit erforderlich – durch geeignete Garantien abgesichert sind und dass Unter-Auftragsbearbeiter ein dem Risiko angemessenes Schutzniveau einhalten.

13.1 Die Haftung richtet sich nach dem Hauptvertrag. Diese AVV begründet keine verschärften oder zusätzlichen Schadenersatzpflichten, soweit zwingendes Recht nichts anderes vorschreibt.

14.1 Änderungen dieser AVV können in Textform erfolgen.

14.2 Sollte eine Bestimmung unwirksam sein, bleibt der Rest wirksam; die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame, die dem wirtschaftlichen Zweck am nächsten kommt.

14.3 Anwendbares Recht und Gerichtsstand richten sich nach dem Hauptvertrag.

Arcarius implementiert – risikobasiert und dem Stand der Technik entsprechend – insbesondere:

1. Zugriffs-/Berechtigungskontrolle: Rollenbasierte Zugriffe (Least Privilege), Trennung Admin/Support, 2FA für privilegierte Konten, Rezertifizierung kritischer Zugriffe.

1. Zugangskontrolle: Passwort-Policy für interne Systeme, Geräte-Hardening, Session-Timeouts.

1. Verschlüsselung: TLS in Transit; Verschlüsselung at Rest über Cloud-Mechanismen; Secrets-Management.

1. Mandantentrennung: Tenant-Isolation, getrennte Umgebungen (Prod/Staging), logisch getrennte Datenspeicher/Namespaces.

1. Logging & Monitoring: Audit-Logs für Admin-Zugriffe, Monitoring/Alerting, Security-Event-Handling.

1. Vulnerability-Management: Patch-Management, Abhängigkeits-Scanning, Code-Review, sichere CI/CD-Pipelines.

1. Backup & Recovery: Regelmässige Backups, Wiederherstellungs-Tests nach interner Policy, Notfallprozesse.

1. Incident Response: definierter Prozess (Triage, Containment, Eradication, Lessons Learned), dokumentierte Tickets/Reports.

1. Subprocessor-Kontrolle: vertragliche Flow-down-Pflichten, Review von Trust-/Security-Dokumentation.

1. KI-/LLM-Spezifika (soweit genutzt): Datenminimierung in Prompts, technisch/organisatorische Begrenzung von Zugriffen auf Prompt-Kontext, Einsatz von kommerziellen API-Angeboten, Dokumentation der involvierten Unter-Auftragsbearbeiter gemäss Anhang 3.