Auftragsverarbeitungsvertrag (AVV)
gemäss Art. 28 DSGVO und Art. 9 revDSG · Anlage zu den Allgemeinen Geschäftsbedingungen der crAIready-Plattform · Stand: 22.06.2026
Hinweis: Dieser AVV ist Anlage zu den AGB von codAIx (§ 12 AGB) und geht diesen in datenschutzrechtlichen Fragen vor. Er gilt einheitlich für alle SaaS-Kunden; im On-Premise-/Self-Hosted-Modell findet keine Auftragsverarbeitung durch codAIx statt (siehe § 1 Abs. 4). Mit Annahme im Bestellprozess / Unterzeichnung wird er Vertragsbestandteil.
Parteien
Verantwortlicher (nachfolgend „Kunde"): das in der Bestellung/Registrierung genannte Unternehmen, das die crAIready-Plattform nutzt.
Auftragsverarbeiter (nachfolgend „codAIx"): codAIx GmbH, c/o JULITH GmbH, Erlengasse 3, 8240 Thayngen, Schweiz (UID CHE-249.882.147; Handelsregister Kanton Schaffhausen).
Vertreter in der EU (Art. 27 DSGVO): JULITH UG (haftungsbeschränkt), Rennbahnstrasse 72, 60528 Frankfurt am Main, Deutschland.
Kunde und codAIx einzeln „Partei", gemeinsam „Parteien".
§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung
(1) Gegenstand. codAIx verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Kunden, soweit dies zur Bereitstellung der crAIready-Plattform (CRA-Compliance-SaaS) erforderlich ist. Gegenstand, Art und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen ergeben sich aus Anlage 1.
(2) Abgrenzung. Dieser AVV erfasst ausschliesslich die vom Kunden in die Plattform eingestellten bzw. dort verarbeiteten Geschäftsdaten, soweit sie personenbezogen sind. Für die Verwaltung der Benutzerkonten, die Abrechnung und die Zugriffsprotokollierung ist codAIx eigene Verantwortliche (§ 12 Abs. 2 AGB); diese Verarbeitung ist nicht Gegenstand dieses AVV.
(3) Dauer. Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags (AGB). Pflichten, die ihrer Natur nach fortbestehen (insb. Vertraulichkeit, Löschung/Rückgabe), gelten über das Vertragsende hinaus.
(4) On-Premise/Self-Hosted. Betreibt der Kunde die Software im On-Premise-/Self-Hosted-Modell auf eigener Infrastruktur, verarbeitet codAIx insoweit keine personenbezogenen Daten im Auftrag; ein AVV ist hierfür nicht erforderlich. Greift codAIx ausnahmsweise zu Support-/Wartungszwecken auf personenbezogene Daten zu, gilt dieser AVV für diesen Zugriff entsprechend.
(5) Ort der Verarbeitung. Die Verarbeitung findet in der Schweiz und/oder im EWR statt. Übermittlungen in Drittländer regelt § 9.
§ 2 Weisungsrecht des Verantwortlichen
(1) codAIx verarbeitet die Daten ausschliesslich auf dokumentierte Weisung des Kunden, einschliesslich in Bezug auf Drittlandübermittlungen, sofern nicht eine Rechtsvorschrift der EU/eines Mitgliedstaats bzw. der Schweiz, der codAIx unterliegt, die Verarbeitung erforderlich macht; in diesem Fall teilt codAIx dem Kunden die rechtliche Anforderung vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Die vertraglichen Vereinbarungen (AGB, AVV, Leistungsbeschreibung) gelten als Erstweisung. Weitere Weisungen erteilt der Kunde in Textform an datenschutz@codaix.ch. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Hält codAIx eine Weisung für rechtswidrig (Verstoss gegen DSGVO/revDSG oder sonstiges Datenschutzrecht), teilt codAIx dies dem Kunden unverzüglich mit. codAIx ist berechtigt, die Durchführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung auszusetzen.
§ 3 Pflichten von codAIx (Art. 28 Abs. 3 DSGVO)
codAIx gewährleistet insbesondere:
- Weisungsbindung — Verarbeitung nur gemäss § 2.
- Vertraulichkeit — Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit bzw. deren gesetzliche Verschwiegenheitspflicht; Zugriff nur im erforderlichen Umfang („need to know").
- Datensicherheit — Umsetzung der technischen und organisatorischen Massnahmen nach Art. 32 DSGVO gemäss Anlage 2.
- Unterauftragsverarbeiter — Einsatz nur nach Massgabe von § 5.
- Unterstützung Betroffenenrechte — Unterstützung des Kunden mit geeigneten technischen und organisatorischen Massnahmen bei der Erfüllung von Betroffenenanfragen (Art. 12–23 DSGVO), § 6.
- Unterstützung Sicherheits-/Meldepflichten — Unterstützung bei Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation), §§ 7–8.
- Löschung/Rückgabe — nach Abschluss der Verarbeitung nach Wahl des Kunden Löschung oder Rückgabe der Daten, § 11.
- Nachweise/Audits — Bereitstellung der für die Einhaltung von Art. 28 erforderlichen Informationen und Ermöglichung von Überprüfungen, § 10.
- Ansprechpartner für Datenschutz (kein bestellter Datenschutzbeauftragter i.S.d. Art. 37 DSGVO): Dr. Judith Behr, Geschäftsführung, datenschutz@codaix.ch.
§ 4 Technische und organisatorische Massnahmen (Art. 32 DSGVO)
(1) codAIx trifft die in Anlage 2 beschriebenen technischen und organisatorischen Massnahmen und hält sie während der Vertragslaufzeit nach dem Stand der Technik aufrecht.
(2) codAIx darf die Massnahmen weiterentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dem Kunden auf Anfrage mitgeteilt.
§ 5 Unterauftragsverarbeiter (Art. 28 Abs. 2 und 4 DSGVO)
(1) Allgemeine Genehmigung. Der Kunde erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter.
(2) Änderungen. codAIx informiert den Kunden über beabsichtigte Änderungen (Hinzunahme/Austausch) mindestens 2 Wochen vorab in Textform/per Aktualisierung der Liste. Der Kunde kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 2 Wochen widersprechen. Im Widerspruchsfall ist codAIx berechtigt, die betroffene Leistung anzupassen; ist eine Lösung nicht zumutbar, kann jede Partei den betroffenen Leistungsteil ordentlich kündigen.
(3) Weitergabe der Pflichten. codAIx verpflichtet Unterauftragsverarbeiter vertraglich auf dieselben Datenschutzpflichten, wie sie in diesem AVV festgelegt sind (insb. hinreichende Garantien nach Art. 28 Abs. 4 DSGVO). Kommt der Unterauftragsverarbeiter seinen Pflichten nicht nach, haftet codAIx gegenüber dem Kunden für deren Einhaltung.
(4) Keine Unterauftragsverarbeitung im Sinne dieses Paragraphen sind reine Nebenleistungen (z. B. Telekommunikation, Reinigung) sowie der Bezug öffentlicher/kommerzieller Schwachstellen-Datenquellen (z. B. NVD, GitHub Advisory, CISA KEV, OSV), an die keine personenbezogenen Kundendaten übermittelt werden.
(5) KI-Anbieter. Optional aktivierbare KI-Funktionen sind standardmässig aktiviert und laufen im Default als selbst gehostetes Modell innerhalb der Betriebsumgebung der Plattform — im SaaS-Modell auf den Servern von codAIx, im On-Premise-Modell beim Kunden — ohne Drittlandübermittlung (Ollama/Self-Hosted); eine Cloud-KI wird nur auf ausdrückliche Wahl des Kunden genutzt. Aktiviert der Kunde sie, gilt der vom Kunden gewählte KI-Anbieter (Anthropic bzw. OpenAI, USA) als auf seine Weisung eingesetzter Unterauftragsverarbeiter; bei selbst gehosteter Verarbeitung (Ollama/Self-Hosted) findet keine Übermittlung statt. Der Kunde ist für die Zulässigkeit der von ihm aktivierten KI-Verarbeitung mitverantwortlich (§ 12 Abs. 3 AGB).
§ 6 Unterstützung bei Betroffenenrechten
(1) Wendet sich eine betroffene Person mit Auskunfts-, Berichtigungs-, Lösch-, Einschränkungs-, Widerspruchs- oder Datenübertragbarkeitsbegehren direkt an codAIx, leitet codAIx das Begehren unverzüglich an den Kunden weiter und beantwortet es nicht selbst, sofern keine Weisung des Kunden vorliegt.
(2) codAIx unterstützt den Kunden im Rahmen des technisch Möglichen bei der Erfüllung solcher Begehren (z. B. Auskunft, Export, Berichtigung, Löschung über die Plattformfunktionen). Über die Standardfunktionen hinausgehender Aufwand kann nach Aufwand vergütet werden, soweit gesetzlich zulässig.
§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten
(1) codAIx meldet dem Kunden eine ihr bekannt gewordene Verletzung des Schutzes der im Auftrag verarbeiteten personenbezogenen Daten unverzüglich, in der Regel innerhalb von 48 Stunden nach Bekanntwerden, in Textform an den vom Kunden benannten Kontakt.
(2) Die Meldung enthält, soweit verfügbar, die Angaben nach Art. 33 Abs. 3 DSGVO (Art der Verletzung, betroffene Kategorien/Anzahl, voraussichtliche Folgen, ergriffene/vorgeschlagene Massnahmen, Kontaktstelle). codAIx unterstützt den Kunden bei dessen Melde- und Benachrichtigungspflichten (Art. 33/34 DSGVO). Die Meldung an die Aufsichtsbehörde bzw. an betroffene Personen obliegt dem Kunden als Verantwortlichem.
§ 8 Datenschutz-Folgenabschätzung und vorherige Konsultation
codAIx unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen angemessen bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und etwaigen vorherigen Konsultationen der Aufsichtsbehörde (Art. 36 DSGVO), insb. durch Bereitstellung der erforderlichen Informationen zu Verarbeitung und Massnahmen.
§ 9 Übermittlung in Drittländer
(1) Übermittlungen in Länder ausserhalb des EWR erfolgen nur auf Weisung des Kunden und unter Einhaltung der Art. 44 ff. DSGVO bzw. der entsprechenden Vorgaben des revDSG.
(2) Schweiz. Für die Verarbeitung in der Schweiz besteht ein Angemessenheitsbeschluss der EU-Kommission; ein angemessenes Schutzniveau ist gewährleistet.
(3) USA. Eine Übermittlung in die USA mit (potenziell) personenbezogenem Inhalt findet ausschliesslich bei aktivierter Cloud-KI statt (Prompt-Inhalte an den vom Kunden gewählten Anbieter). Grundlage: EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Art. 45 DSGVO), soweit der Empfänger zertifiziert ist, andernfalls EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) nebst ergänzenden Massnahmen. Im Einzelnen: OpenAI (USA) ist DPF-zertifiziert; Anthropic (USA) ist derzeit nicht DPF-zertifiziert — die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Module 2/3), die Bestandteil des Anthropic Data Processing Addendum sind (Einzelheiten siehe Anlage 4). Die server-seitigen Anreicherungsaufrufe (siehe Anlage 3) übermitteln keine personenbezogenen Kundendaten und lösen daher keinen drittlandrelevanten Transfer des Kunden aus.
§ 10 Kontroll- und Auditrechte (Art. 28 Abs. 3 lit. h DSGVO)
(1) codAIx stellt dem Kunden die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung, vorrangig durch aktuelle Nachweise (z. B. Zertifikate, Testate, Auditberichte, Dokumentation der Massnahmen nach Anlage 2).
(2) Reichen diese Nachweise nicht aus, ermöglicht codAIx dem Kunden oder einem von diesem beauftragten, zur Vertraulichkeit verpflichteten Prüfer Überprüfungen nach rechtzeitiger Ankündigung (in der Regel 4 Wochen vorab), während der Geschäftszeiten, ohne Störung des Betriebs und höchstens einmal jährlich sowie anlassbezogen. Der Kunde trägt seine Kosten selbst; der Aufwand von codAIx kann ab dem zweiten Audit pro Jahr angemessen vergütet werden, soweit zulässig.
§ 11 Löschung und Rückgabe nach Vertragsende (Art. 28 Abs. 3 lit. g DSGVO)
(1) Nach Abschluss der Verarbeitung löscht codAIx nach Wahl des Kunden alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie an den Kunden zurück (Export), sofern nicht nach Unionsrecht, mitgliedstaatlichem Recht oder Schweizer Recht eine Aufbewahrungspflicht besteht.
(2) codAIx stellt dem Kunden vor Vertragsende einen Export in einem gängigen, maschinenlesbaren Format bereit; Einzelheiten regelt § 10 AGB. Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende bzw. nach erfolgtem Export; Backups werden im Rahmen der regulären Backup-Zyklen, spätestens nach 30 Tagen, überschrieben.
(3) Klarstellung CRA. Die gesetzliche 10-Jahres-Aufbewahrung technischer Dokumentation (Art. 13 Abs. 13 CRA) obliegt dem Kunden als Hersteller; sie begründet keine über die Vertragslaufzeit hinausgehende Aufbewahrungspflicht von codAIx (vgl. § 5 Abs. 3, § 10 AGB).
§ 12 Haftung
(1) Für die Haftung gilt Art. 82 DSGVO. Im Innenverhältnis der Parteien gelten ergänzend die Haftungsregelungen der AGB (§ 14 AGB), soweit zwingendes Datenschutzrecht dem nicht entgegensteht.
(2) Der Kunde ist als Verantwortlicher für die Zulässigkeit der Verarbeitung und für die Wahrung der Rechte betroffener Personen verantwortlich.
§ 13 Besonderheiten nach revDSG (Schweiz)
Soweit das schweizerische Datenschutzgesetz (revDSG) Anwendung findet, gilt dieser AVV als Auftragsbearbeitungsvereinbarung nach Art. 9 revDSG. Die Begriffe „Verantwortlicher" und „Auftragsverarbeiter" entsprechen „Verantwortlicher" und „Auftragsbearbeiter"; Verweise auf DSGVO-Normen gelten sinngemäss für die entsprechenden revDSG-Bestimmungen.
§ 14 Schlussbestimmungen
(1) Vorrang. Bei Widersprüchen zwischen diesem AVV und den AGB gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor (§ 12 Abs. 1 AGB).
(2) Textform/Änderungen. Änderungen dieses AVV bedürfen der Textform. § 18 AGB (Änderungen) gilt entsprechend, soweit ein berechtigtes Anpassungsinteresse besteht (z. B. geänderte Rechtslage, neue Unterauftragsverarbeiter).
(3) Recht/Gerichtsstand. Es gelten das Recht und der Gerichtsstand gemäss § 19 AGB, soweit zwingendes Datenschutzrecht (insb. der gewöhnliche Aufenthalt betroffener Personen) nichts anderes vorschreibt.
(4) Salvatorische Klausel. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.
Anlage 1 — Beschreibung der Verarbeitung
Gegenstand: Bereitstellung und Nutzung der crAIready-Plattform zur Unterstützung der CRA-/AI-Act-/NIS-2-Compliance des Kunden.
Art der Verarbeitung: Erheben, Speichern, Organisieren, Anpassen, Auslesen, Verwenden, Bereitstellen, Exportieren, Löschen, Hosting; KI-gestützte Auswertung nur bei aktivierter Funktion.
Zweck: Klassifizierung, SBOM-/Schwachstellen-/Dokumentationsmanagement, Lieferanten-/Wirtschaftsakteure-Verwaltung, Vorfall-/CVD-Management, Audit-Protokollierung — jeweils im Auftrag des Kunden.
Kategorien betroffener Personen:
- Ansprechpartner und Beschäftigte des Kunden, die in eingestellten Geschäftsdaten benannt sind;
- Ansprechpartner von Lieferanten und Wirtschaftsakteuren des Kunden (Bevollmächtigte, Einführer, Händler — Art. 18–21 CRA);
- Melder/Sicherheitsforscher im Rahmen der koordinierten Schwachstellenoffenlegung (CVD);
- sonstige Personen, deren Daten in vom Kunden hochgeladenen Inhalten (z. B. Quellcode-/SBOM-/Dokument-Metadaten) enthalten sind.
Arten personenbezogener Daten:
- Identifikations- und Kontaktdaten (Name, geschäftliche E-Mail/Telefon, Funktion, Unternehmen);
- in Geschäftsdaten enthaltene Personenbezüge (z. B. Autoren-/Kontaktangaben in Dokumenten, Lieferanten-/CVD-Kontakte); in hochgeladenen Repository-Inhalten/Quellcode enthaltene Personenbezüge (z. B. Autoren-/Committer-Angaben, Kontakte in Konfigurations-/Doku-Dateien) sowie SBOM-/Komponenten-Metadaten (in der Regel ohne Personenbezug);
- Protokoll-/Bearbeitungsdaten zu im Auftrag verarbeiteten Inhalten (Audit-Log: wer hat wann was an Kundeninhalten geändert);
- Zahlungs- und Rechnungsdaten bei kostenpflichtigen Plänen (Name, Rechnungsanschrift, Zahlungsmittel-/Transaktionsdaten); die Zahlungsabwicklung erfolgt über den Unterauftragsverarbeiter Stripe.
Keine besonderen Datenkategorien (Art. 9 DSGVO) sind Gegenstand; der Kunde stellt sicher, keine solchen Daten ohne gesonderte Vereinbarung einzustellen.
Klarstellung hochgeladene Repositories/Secrets: Der Kunde soll keine produktiven Zugangsdaten/Secrets in hochgeladenen Inhalten belassen. Hochgeladene Inhalte werden ausschliesslich für die beauftragte Verarbeitung genutzt und nach § 11 gelöscht.
Dauer: für die Vertragslaufzeit; Löschung/Rückgabe nach § 11.
Vorvertragliche Quick-Check-Entwürfe: Aus dem Website-Quick-Check vor Vertragsschluss übergebene Roh-Antworten werden als pseudonyme Vorbefüllung mit Zugriffstoken gespeichert. Eine Verarbeitung im Auftrag nach diesem AVV beginnt mit der Registrierung/Kontoanlage; nicht zugeordnete Entwürfe werden nach kurzer Frist gelöscht.
Anlage 2 — Technische und organisatorische Massnahmen (Art. 32 DSGVO)
Vertraulichkeit
- Zutrittskontrolle: Verarbeitung in zertifizierten Rechenzentren des Hosting-Anbieters (JULITH GmbH, Thayngen, CH) mit physischen Zugangskontrollen.
- Zugangskontrolle: individuelle Benutzerkonten, starke Authentifizierung/2FA für administrative Zugänge, Passwort-Richtlinien, automatische Sperren.
- Zugriffskontrolle: rollenbasiertes Berechtigungskonzept (Need-to-know, least privilege), Mandantentrennung, Protokollierung administrativer Zugriffe.
- Trennungskontrolle: logische Trennung der Kundendaten (mandantenfähige Architektur), getrennte Test-/Produktivumgebungen. Bereitstellung als Single-Tenant (eigene, abgeschottete Instanz je Kunde mit automatischer Provisionierung).
- Pseudonymisierung/Verschlüsselung: Transportverschlüsselung (TLS), Verschlüsselung ruhender Daten (at-rest) nach Stand der Technik, Schlüsselverwaltung.
Integrität
- Eingabe-/Weitergabekontrolle: revisionssicheres Audit-Log (Art. 13 Abs. 13 CRA), versiegelte/versionierte Artefakte, kontrollierte Schnittstellen/Exporte.
Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: regelmässige Backups, Wiederherstellungstests, Redundanz/Monitoring, Schutz vor Schadsoftware, Patch-Management.
- Rasche Wiederherstellbarkeit: definierte Wiederanlaufzeiten (RTO/RPO) gemäss Notfall-/Wiederanlaufkonzept.
Verfahren zur Überprüfung und Bewertung
- Auftragskontrolle: Weisungsbindung, Verpflichtung der Mitarbeitenden auf Vertraulichkeit, Auswahl/Überwachung von Unterauftragsverarbeitern.
- Datenschutz-Management: Verfahrensverzeichnis, regelmässige Überprüfung der Massnahmen, Schulungen, Incident-Response- und Meldeprozess (48 h).
- Datenschutz durch Technikgestaltung/Voreinstellungen: KI-Funktionen standardmässig aktiviert, im Default selbst gehostet in der Betriebsumgebung der Plattform (keine Drittlandübermittlung), Cloud-KI nur auf Kundenwahl; Datenminimierung; Self-Hosted-Option.
Anlage 3 — Genehmigte Unterauftragsverarbeiter
Stand 20.06.2026.
| Unterauftragsverarbeiter | Leistung | Ort | Transfergrundlage |
|---|---|---|---|
| JULITH GmbH, Erlengasse 3, 8240 Thayngen (CH) — eigener Server | Hosting/Betrieb von Webseite und Portal | Schweiz | EWR bzw. CH-Angemessenheit |
| JULITH GmbH, Erlengasse 3, 8240 Thayngen (CH) | Reichweitenmessung (Umami, self-hosted, cookielos); AVV vom 01.04.2026 | Schweiz / EU | CH-Angemessenheit |
| OpenAI (USA) — optional | KI-Verarbeitung — nur bei vom Kunden aktivierter Cloud-KI | USA | EU-US DPF |
| Anthropic (USA) — optional | KI-Verarbeitung — nur bei vom Kunden aktivierter Cloud-KI | USA | EU-SCC (nicht DPF-zertifiziert) |
| Stripe Payments Europe, Ltd. (Irland) — Stripe, Inc. (USA) | Zahlungsabwicklung/Abrechnung kostenpflichtiger Pläne | EU / USA | EU-US DPF (Stripe, Inc.) bzw. EU-SCC |
Selbst gehostete KI-Verarbeitung (Ollama/gpt-oss, self-hosted) erfolgt ohne Übermittlung an Dritte; Cloud-KI ist deaktivierbar. USA-Transfergrundlage: OpenAI = EU-US Data Privacy Framework; Anthropic = EU-Standardvertragsklauseln (Modul 2/3, 2021/914) als Bestandteil des Anthropic Data Processing Addendum (Teil der Anthropic Commercial Terms), kein separat zu unterzeichnendes SCC-Dokument. Die server-seitig (durch den codAIx-Server, nicht den Kunden-Browser) ausgelösten Anreicherungsaufrufe an OSV.dev, NVD/NIST (USA), CISA KEV (USA, reiner Feed-Download), EUVD/ENISA (EU), Paket-Registries (PyPI/npm/crates.io/Maven Central) und die GitHub-API (Komponenten-Metadaten) übermitteln ausschliesslich technische/öffentliche Kennungen (CVE-Nummern, Paket-/Repo-Namen) ohne Personenbezug; diese Dienste sind daher keine Unterauftragsverarbeiter und lösen keinen drittlandrelevanten Transfer des Kunden aus.
Anlage 4 — Drittland-Garantien für die optionale Cloud-KI (Art. 46 DSGVO)
Die nachstehenden Garantien gelten ausschliesslich für die optional aktivierbare Cloud-KI; im Default (selbst gehostete KI) findet keine Übermittlung in Drittländer statt. Eine Übermittlung erfolgt nur, wenn der Kunde die jeweilige Cloud-KI aktiv wählt (dokumentierte Weisung).
- OpenAI (USA): Übermittlung gestützt auf den EU-US Data Privacy Framework (Angemessenheitsbeschluss, Art. 45 DSGVO); OpenAI ist DPF-zertifiziert.
- Anthropic (USA): nicht DPF-zertifiziert. Übermittlung auf Grundlage der EU-Standardvertragsklauseln (Module 2 und 3, Durchführungsbeschluss (EU) 2021/914). Diese SCC sind Bestandteil des Anthropic Data Processing Addendum (Teil der Anthropic Commercial Terms) und müssen nicht separat unterzeichnet werden. Fundstelle: Anthropic Data Processing Addendum, anthropic.com, Stand 24.02.2025 (inkl. UK-/CH-Addendum; Schweiz: Anerkennung der SCC durch den EDÖB).
- Ergänzende Massnahmen: Datenminimierung (nur die für die jeweilige KI-Funktion nötigen Prompt-Inhalte), Transportverschlüsselung, Deaktivierbarkeit der Cloud-KI (Default: selbst gehostete KI).
Hinweis: Die in Anlage 3 genannten Anreicherungsdienste (OSV, NVD, CISA KEV, EUVD, Paket-Registries, GitHub-API) sind keine Unterauftragsverarbeiter und lösen keinen drittlandrelevanten Transfer von Kundendaten aus (nur technische/öffentliche Kennungen ohne Personenbezug).