Auftragsverarbeiter
ISOCALCX
Inhaber: Alban Selimi
(Einzelunternehmen)
Wiesentalstrasse 28, 8355 Aadorf
Schweiz
Verantwortlicher
Wird geladen …
§1Gegenstand und Dauer
(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch ISOCALCX im Rahmen der Bereitstellung und des Betriebs der ISOCALCX-SaaS-Plattform für den Verantwortlichen. Die konkreten Leistungen ergeben sich aus dem Hauptvertrag (AGB sowie gewähltem Abonnement).
(2) Die Dauer dieses Auftragsverarbeitungsvertrages entspricht der Laufzeit des Hauptvertrages und endet mit dessen Beendigung, vorbehaltlich der in §10 geregelten Pflichten zur Rückgabe oder Löschung der Daten.
(3) Der Verarbeitungsort liegt grundsätzlich innerhalb der Europäischen Union sowie in der Schweiz; eine Datenübermittlung in Drittstaaten erfolgt ausschliesslich unter den Voraussetzungen von Kap. V DSGVO bzw. Art. 16 revDSG.
§2Art und Zweck der Verarbeitung
(1) ISOCALCX verarbeitet personenbezogene Daten ausschliesslich zum Zweck der vertragsgemässen Erbringung der SaaS-Leistungen gegenüber dem Verantwortlichen. Zweck ist die KI-gestützte HLKS-Isolationskalkulation aus Schweizer Devis und Leistungsverzeichnissen (LV / Ausschreibungsunterlagen). Die Verarbeitung umfasst ausschliesslich:
- KI-gestützte Extraktion und Strukturierung von Isolationspositionen (Material, Dimension, Dicke, BKP-Code, Mengen) aus Devis und Leistungsverzeichnissen, die der Verantwortliche aktiv über die Plattform hochlädt;
- Speicherung der hochgeladenen Devis/LV-Dokumente sowie der daraus abgeleiteten strukturierten Kalkulationsdaten;
- Abgleich der extrahierten Positionen mit den vom Verantwortlichen hochgeladenen Preislisten und Erstellung von Kalkulationen und Offert-Entwürfen;
- Bereitstellung der Ergebnisse via Web-User-Interface, einschliesslich Authentifizierung der Nutzenden des Verantwortlichen;
- Export der Daten in gängige Dateiformate (Excel, PDF, JSON) sowie API-basierte Integration nach gesondertem Auftrag.
Eingrenzung: Andere Dokumenttypen (Verträge, E-Mails, Personendossiers, Pläne ausserhalb des LV-Kontexts) werden weder analysiert, noch indiziert, noch in irgendeiner Form ausgewertet. Ein technischer Pre-Filter beschränkt die KI-Verarbeitung zudem auf strukturell relevante Seiten (BKP-Codes, LV-Tabellen).
(2) Kein KI-Training mit Kundeninhalten: Eine Verarbeitung zu eigenen Zwecken — insbesondere ein Training, Fine-Tuning oder eine Modellverbesserung generativer KI-Modelle mit den vom Verantwortlichen hochgeladenen Inhalten — findet weder bei ISOCALCX noch bei den unter §6 genannten Sub-Auftragsverarbeitern (insbesondere AWS und Anthropic) statt. Diese Zusicherung ist vertraglich mit den Sub-Auftragsverarbeitern abgesichert.
(3) Aggregierte, anonymisierte Telemetriedaten (z.B. Nutzungsstatistiken, Performance-Metriken) dürfen zur Verbesserung des Dienstes ausgewertet werden, soweit ein Personenbezug vollständig ausgeschlossen ist.
(4) Keine automatisierten Einzelentscheidungen mit rechtlicher Wirkung: Die KI-Ausgabe ist Entscheidungsvorbereitung für die Kalkulation und Offertenerstellung des Verantwortlichen. Es findet keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt.
§3Art der Daten & Kategorien betroffener Personen
(1) Kategorien betroffener Personen sind insbesondere:
- Mitarbeitende und Ansprechpartner des Verantwortlichen, die den Dienst nutzen oder im Rahmen der Vertragsabwicklung in Erscheinung treten;
- Dritte, die in den hochgeladenen Devis oder Ausschreibungsunterlagen genannt sind (z.B. Bauherrschaft, Planende, Unternehmer).
(2) Kategorien personenbezogener Daten:
- Stammdaten: Name, geschäftliche E-Mail-Adresse, Firmenname, Funktion;
- Projekt-Metadaten: Projektnamen, BKP-Codes, Trade-Zuordnungen, Zeitstempel;
- Inhaltsdaten: Texte und Strukturen der hochgeladenen Devis/Leistungsverzeichnisse, soweit diese personenbezogene Angaben enthalten;
- Nutzungsdaten: Login-Zeitpunkte, IP-Adressen (nur für Sicherheitszwecke, Speicherdauer 30 Tage), Audit-Logs.
(3) Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO bzw. Art. 5 lit. c revDSG sind nicht Gegenstand der Verarbeitung; der Verantwortliche stellt sicher, dass solche Daten nicht hochgeladen werden.
§4Weisungsbefugnis des Verantwortlichen
(1) ISOCALCX verarbeitet die Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen. Als Weisungen gelten der vorliegende Vertrag, die AGB sowie die durch die Konfiguration und Nutzung der Plattform erteilten Anweisungen.
(2) Mündliche oder textuelle Einzelweisungen sind durch den Verantwortlichen unverzüglich in Textform (E-Mail genügt) zu bestätigen.
(3) ISOCALCX informiert den Verantwortlichen unverzüglich, falls eine Weisung nach ihrer Auffassung gegen anwendbares Datenschutzrecht verstösst. Sie ist berechtigt, die Ausführung einer solchen Weisung bis zu einer Klärung auszusetzen.
§5Technische und organisatorische Massnahmen (TOMs)
ISOCALCX trifft die nachfolgenden technischen und organisatorischen Massnahmen, um ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DSGVO bzw. Art. 8 revDSG sicherzustellen:
Vertraulichkeit
Transportverschlüsselung TLS 1.3 für sämtliche Verbindungen, ruhende Daten verschlüsselt mit AES-256.
Authentisierung
Passwort-Hashing mit Argon2 (memory-hard), JWT in HttpOnly-Cookies (kein clientseitiger Token-Zugriff), CSRF-geschützt, MFA optional aktivierbar.
Zugangskontrolle
Mehrfaktor-Authentisierung (MFA) für alle administrativen Zugänge, rollenbasiertes Zugriffsmodell (RBAC), Least-Privilege-Prinzip, Mandantentrennung pro Company.
Pseudonymisierung
Trennung von Stammdaten und Inhaltsdaten, Pseudonymisierung in Logs und Telemetrie.
Eingabeminimierung
Pre-Filter beschränkt die KI-Verarbeitung auf strukturell relevante PDF-Seiten (BKP-Codes, LV-Tabellen) — Inhalte ausserhalb des LV-Kontexts werden nicht an das Sprachmodell übergeben.
Verfügbarkeit
Redundante Speicherung, regelmässige verschlüsselte Backups in Schweizer Rechenzentrum, dokumentierte Wiederherstellungsverfahren (RTO ≤ 24h).
Integrität
Audit-Logs für sicherheitsrelevante Ereignisse, Hash-basierte Integritätsprüfung der Backups, signierte Deployments.
Belastbarkeit
Auto-Scaling, internes Monitoring, Incident-Response-Playbook mit definierten Eskalationsstufen.
Auftragskontrolle
Schriftliche Verträge mit allen Subunternehmern (vgl. §6), regelmässige Überprüfung deren Zertifizierungen.
Audits
Regelmässige interne Sicherheits-Audits, jährlicher Penetrationstest durch Dritte, ISO/IEC 27001-Zertifizierung in Vorbereitung.
§6Subunternehmer
(1) Der Verantwortliche erteilt ISOCALCX die allgemeine Genehmigung zum Einsatz weiterer Auftragsverarbeiter (Subunternehmer). Die aktuell beauftragten Subunternehmer sind:
| Subunternehmer | Leistung | Standort | Grundlage |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Cloud-Hosting (Storage, Backup) sowie KI-Inferenz über Amazon Bedrock | EU — Frankfurt am Main (eu-central-1) und Irland | AWS Data Processing Addendum (DPA) + EU-Standardvertragsklauseln |
| Anthropic PBC | Anbieter der über AWS Bedrock bezogenen generativen Sprachmodelle der Claude-Familie. Kein Direktzugriff auf Inhalte über Bedrock. Eine direkte API-Anbindung (USA) ist als technischer Notfall-Fallback bei Total-Ausfall sämtlicher EU-Bedrock-Regionen konfiguriert, standardmässig deaktiviert und nur durch ISOCALCX aktiv aktivierbar. Kein Training, keine Speicherung von Inhalten (vertraglich zugesichert). | EU primär (über Bedrock); USA nur bei explizit aktiviertem Notfall-Fallback | Bedrock Service Terms + Standardvertragsklauseln (SCCs) für Fallback |
| Infomaniak Network SA | Hosting der Anwendung sowie der produktiven Datenbank | Genf, Schweiz | Auftragsbearbeitungsvertrag (DPA) — Schweizer Anbieter, revDSG-konform |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Subscriptions, Rechnungen) | Irland (EU) | DPA + Standardvertragsklauseln (SCCs) |
| Brevo (Sendinblue SAS) | Versand von Transaktions- und System-E-Mails | Frankreich (EU) | DPA — französischer Anbieter, DSGVO-konform |
(2) ISOCALCX informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mit einer Frist von mindestens 30 Tagen vor Wirksamkeit in Textform. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen.
(3) ISOCALCX verpflichtet ihre Subunternehmer schriftlich auf ein Datenschutzniveau, das demjenigen dieses Vertrages entspricht.
§7Betroffenenrechte
(1) ISOCALCX unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Massnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen, insbesondere auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie Datenübertragbarkeit (Art. 15–22 DSGVO, Art. 25–28 revDSG).
(2) Wendet sich eine betroffene Person mit einem solchen Antrag direkt an ISOCALCX, leitet diese den Antrag unverzüglich an den Verantwortlichen weiter und beantwortet den Antrag selbst nur, soweit dies vereinbart oder gesetzlich vorgeschrieben ist.
(3) Aufwendungen für die Unterstützung, die über das übliche Mass hinausgehen, kann ISOCALCX nach gesondertem Aufwand in Rechnung stellen.
§8Meldepflichten bei Datenschutzverletzungen
(1) ISOCALCX meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung, in Textform.
(2) Die Meldung enthält, soweit verfügbar, mindestens:
- eine Beschreibung der Art der Verletzung sowie der Kategorien und ungefähren Anzahl betroffener Personen und Datensätze;
- den Namen und die Kontaktdaten der zuständigen Ansprechperson bei ISOCALCX;
- eine Beschreibung der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Massnahmen zur Behebung und Schadensminderung.
(3) ISOCALCX unterstützt den Verantwortlichen bei dessen Meldepflichten gegenüber Aufsichtsbehörden (Art. 33 DSGVO, Art. 24 revDSG) und betroffenen Personen (Art. 34 DSGVO).
§9Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche ist berechtigt, sich von der Einhaltung der vereinbarten Datenschutz- und Sicherheitsmassnahmen einmal jährlich durch ein Audit zu überzeugen. Das Audit erfolgt nach vorheriger Ankündigung mit angemessener Frist (mindestens 30 Tage), während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs.
(2) Die Kosten des Audits trägt der Verantwortliche; eigene Aufwendungen von ISOCALCX für Begleitung und Vorbereitung können nach branchenüblichen Sätzen weiterverrechnet werden.
(3) Die Vorlage aktueller Sicherheits- bzw. Datenschutzzertifikate (insbesondere ISO/IEC 27001, SOC 2 Typ II) oder gleichwertiger Prüfberichte ersetzt ein eigenes Audit, soweit diese den Prüfungsgegenstand vollständig abdecken.
§10Beendigung des Auftrags
(1) Nach Beendigung des Hauptvertrages gibt ISOCALCX sämtliche im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen zurück oder löscht diese innerhalb von 30 Tagen unwiderruflich, einschliesslich aller bestehenden Kopien.
(2) Soweit gesetzliche Aufbewahrungspflichten einer sofortigen Löschung entgegenstehen, wird die weitere Verarbeitung auf das gesetzlich gebotene Minimum beschränkt und nach Wegfall des Aufbewahrungsgrundes unverzüglich nachgeholt.
(3) ISOCALCX bestätigt dem Verantwortlichen die ordnungsgemässe Rückgabe oder Löschung auf Verlangen schriftlich.
Unterzeichnung
Mit der Unterzeichnung dieses Vertrages bestätigen beide Parteien dessen Geltung als integralen Bestandteil des Hauptvertrages. Eine elektronische Unterzeichnung über das ISOCALCX-Registrierungs- bzw. Bestellformular ist gleichwertig.
Auftragsverarbeiter
ISOCALCX (Alban Selimi)
Unterschrift
Name in Druckschrift
Funktion
Ort
Datum
Verantwortlicher
Der Kunde
Unterschrift
Name in Druckschrift
Funktion
Ort
Datum