Auftragsverarbeitungsvertrag (AVV / DPA)

Data Processing Agreement
gemäss Art. 28 EU-DSGVO und Art. 9 Schweizer DSG (nDSG)
Stand: 18. April 2026 | Version 1.1

1. Gegenstand und Dauer

1.1 Gegenstand

Dieser Auftragsverarbeitungsvertrag (nachfolgend «AVV») regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die EON Platform (nachfolgend «Auftragsverarbeiter») im Auftrag des Kunden (nachfolgend «Verantwortlicher»).

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Rahmen der folgenden Dienstleistungen:

  • Speicherung und Verwaltung von AI-Memories (strukturierte Wissensdaten)
  • Semantische Suche mittels Vektor-Embeddings
  • Qualitätsvalidierung gespeicherter Daten (15-Punkt-Validierung)
  • API-Zugang via MCP Server (Model Context Protocol)

1.2 Dauer

Der AVV gilt für die Dauer des Hauptvertrages (AGB / Nutzungsvertrag) zwischen den Parteien. Er endet automatisch mit Beendigung des Hauptvertrages. Die Pflichten bezüglich Vertraulichkeit und Datenlöschung bestehen über das Vertragsende hinaus fort.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung: Persistente Speicherung von Memories, Fakten, Relationen und Metadaten in einer SQLite-Datenbank
  • Indexierung: Erstellung von Vektor-Embeddings für semantische Suche (lokal, keine externe Übermittlung)
  • Validierung: Automatisierte Qualitätsprüfung (15 Tests) bei jeder Datenspeicherung
  • Bereitstellung: Zugang zu gespeicherten Daten via API und MCP Server
  • Abrechnung: Erfassung von Nutzungsmetriken (API-Calls, Speicherverbrauch) für die Rechnungsstellung

3. Kategorien betroffener Personen und Daten

3.1 Betroffene Personen

  • Mitarbeitende des Verantwortlichen
  • Endnutzer der Anwendungen des Verantwortlichen
  • Dritte, deren Daten der Verantwortliche in Memories speichert

3.2 Kategorien personenbezogener Daten

Die konkreten Datenkategorien werden durch den Verantwortlichen bestimmt und können umfassen:

  • Kontaktdaten (Namen, E-Mail-Adressen)
  • Technische Daten (Code-Snippets, Konfigurationen, Fehlermeldungen)
  • Projektdaten (Beschreibungen, Entscheidungen, Notizen)
  • Nutzungsdaten (Zeitstempel, Zugriffsmuster)

Hinweis: Der Verantwortliche ist dafür verantwortlich, keine besonders schützenswerten Personendaten (Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen etc.) in der EON Platform zu speichern, es sei denn, er hat hierfür eine ausdrückliche Rechtsgrundlage.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Personenbezogene Daten ausschliesslich gemäss den dokumentierten Weisungen des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO, Art. 9 Abs. 1 nDSG)
  2. Alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten
  3. Geeignete technische und organisatorische Massnahmen gemäss Abschnitt 6 zu ergreifen
  4. Sub-Auftragsverarbeiter nur gemäss Abschnitt 7 einzusetzen
  5. Den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen zu unterstützen (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit)
  6. Den Verantwortlichen bei Datenschutz-Folgenabschätzungen (DSFA) und Konsultationen mit Aufsichtsbehörden zu unterstützen
  7. Nach Beendigung des Vertragsverhältnisses alle personenbezogenen Daten innert 30 Tagen zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht
  8. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen (Audits) zu ermöglichen

5. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

  1. Dem Auftragsverarbeiter dokumentierte Weisungen zu erteilen
  2. Sicherzustellen, dass eine Rechtsgrundlage für die Datenverarbeitung besteht
  3. Betroffene Personen über die Verarbeitung zu informieren
  4. Die Zulässigkeit der gespeicherten Dateninhalte eigenverantwortlich zu prüfen

6. Technische und Organisatorische Massnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Massnahmen zum Schutz personenbezogener Daten um (Art. 32 DSGVO, Art. 8 nDSG):

6.1 Vertraulichkeit

  • TLS/HTTPS-Verschlüsselung für alle Datenübertragungen
  • API-Key-Authentifizierung mit gehashter Speicherung
  • Mandantentrennung (Tenant Isolation) auf Datenbankebene
  • Rollenbasierte Zugriffskontrolle (RBAC)

6.2 Integrität

  • 15-Punkt-Validierung bei jeder Datenspeicherung
  • Audit-Logging aller datenrelevanten Aktionen
  • Automatische Integritätsprüfung der Datenbank

6.3 Verfügbarkeit

  • Regelmässige Backups (mindestens wöchentlich)
  • Automatische Systemüberwachung (Health-Checks alle 6 Stunden)
  • Automatischer Neustart bei Systemausfällen

6.4 Belastbarkeit

  • Rate-Limiting zum Schutz vor Überlastung
  • Eingabevalidierung gegen Injection-Angriffe

7. Sub-Auftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine generelle Genehmigung zum Einsatz der folgenden Sub-Auftragsverarbeiter:

Sub-AuftragsverarbeiterZweckStandortGarantien
Stripe Payments Europe Ltd. / Stripe, Inc.Zahlungsabwicklung (Name, E-Mail, Transaktionsdaten)Irland / USASwiss-US Data Privacy Framework (seit 14.08.2024), EU-US DPF, SCCs, PCI DSS Level 1
Anthropic PBCKI-Modell — nur bei aktiver Nutzung durch den Kunden (z.B. Claude Terminal). Verarbeitete Daten: Anfrageinhalte, die der Kunde an KI-Funktionen übergibt.USASCCs, Zero Data Retention (Anfragedaten werden nicht gespeichert), kein Training mit Kundendaten (vertragliche Zusicherung)

Serverstandort: Alle Kerndaten werden auf Servern in der Schweiz (St. Gallen) verarbeitet und gespeichert. Es findet keine regelmässige Übermittlung personenbezogener Daten in Drittländer statt, ausser im Rahmen der oben genannten Sub-Auftragsverarbeiter.

Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern. Der Verantwortliche hat die Möglichkeit, gegen solche Änderungen Einspruch zu erheben.

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden. Diese Frist ist bewusst kürzer als die 72-Stunden-Frist gemäss Art. 33 DSGVO, damit der Verantwortliche ausreichend Zeit hat, seine eigene Meldepflicht gegenüber der Aufsichtsbehörde fristgerecht zu erfüllen.

Die Meldung enthält mindestens:

  • Art der Verletzung und betroffene Datenkategorien
  • Ungefähre Anzahl betroffener Datensätze und Personen
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Massnahmen
  • Kontaktdaten einer Ansprechperson für Rückfragen

9. Audit-Rechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen. Der Auftragsverarbeiter stellt hierzu auf Anfrage alle erforderlichen Informationen bereit. Vor-Ort-Audits werden mit angemessener Vorankündigung (mindestens 14 Tage) durchgeführt und dürfen den Geschäftsbetrieb nicht unangemessen beeinträchtigen.

10. Löschung und Rückgabe

Nach Beendigung des Vertragsverhältnisses löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen (insbesondere Art. 958f OR: 10 Jahre für Abrechnungsdaten).

Auf Wunsch des Verantwortlichen werden die Daten stattdessen in einem gängigen, maschinenlesbaren Format zurückgegeben (JSON-Export über das Kundenportal).

Löschbestätigung: Nach vollständiger Löschung erhält der Verantwortliche eine schriftliche Bestätigung (per E-Mail) mit Angabe des Löschdatums, der gelöschten Datenkategorien und etwaiger Ausnahmen aufgrund gesetzlicher Aufbewahrungspflichten.

11. Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO (insbesondere Art. 82 DSGVO) sowie des Schweizer DSG. Der Auftragsverarbeiter haftet für Schäden, die durch eine nicht den Weisungen des Verantwortlichen entsprechende Verarbeitung oder durch Verstösse gegen diesen AVV verursacht werden.

12. Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt schweizerischem Recht. Gerichtsstand ist St. Gallen, Schweiz. Für Streitigkeiten mit Betroffenen aus der EU gelten die zwingenden Zuständigkeitsregeln der DSGVO.

13. Kontakt

Für Fragen zu diesem AVV oder zur Ausübung der darin genannten Rechte wenden Sie sich bitte an:

Martin Vasic
Falkenburgstrasse 8
9000 St. Gallen, Schweiz
E-Mail: privacy@ai-developer.ch

Stand: 18. April 2026 | Version 1.1
Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) der EON Platform.