Auftragsverarbeitungsvereinbarung

Gemaess Schweizer DSG und EU-DSGVO Art. 28

Version

1.0

Gültig ab

February 2026

Dokument-ID

DPA-2026-001

Verantwortlicher (Auftraggeber)

[Ihre Organisation]

[Adresse]

Auftragsverarbeiter

Exatoshi AG (AIAgens)

Riva Paradiso 30, 6900 Paradiso, Switzerland

Artikel 1 - Definitionen

In dieser Vereinbarung gelten folgende Definitionen:

"Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
"Verarbeitung" bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten.
"Unterauftragsverarbeiter" bezeichnet jeden vom Auftragsverarbeiter beauftragten Dritten.

Artikel 2 - Gegenstand und Dauer

2.1 Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Namen des Verantwortlichen im Zusammenhang mit den AIAgens KI-Assistenten-Diensten.

2.2 Diese Vereinbarung tritt mit dem Datum der letzten Unterschrift in Kraft und bleibt für die Dauer der Hauptvereinbarung gültig.

Artikel 3 - Umfang der Verarbeitung

Der Auftragsverarbeiter verarbeitet folgende Kategorien personenbezogener Daten:

Kontaktdaten (Name, Telefonnummer, E-Mail)
Termindetails (Datum, Uhrzeit, Art des Termins)
Kommunikationsmetadaten (Anrufdauer, Zeitstempel)

Wichtiger Hinweis: Standardmaessig speichert AIAgens weder Sprachaudio noch Konversationstext ueber die Dauer der Interaktion hinaus. AIAgens arbeitet mit Zero Retention — alle Sprach- und Gespraechsdaten werden in Echtzeit verarbeitet und nie gespeichert. Anrufaufzeichnung und Transkription sind standardmaessig deaktiviert. Die langfristige Aufbewahrung von Triage-Ergebnissen in der Patientenakte liegt in der alleinigen Verantwortung des Verantwortlichen (Gesundheitsdienstleister) gemaess den geltenden berufsrechtlichen Aufbewahrungspflichten.

Artikel 4 - Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Personenbezogene Daten nur gemäss den dokumentierten Weisungen des Verantwortlichen zu verarbeiten;
Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind;
Geeignete technische und organisatorische Massnahmen zu ergreifen;
Die Bedingungen für Unterauftragsverarbeiter gemäss Artikel 5 einzuhalten;
Den Verantwortlichen bei der Erfüllung seiner Pflichten zu unterstützen.

Artikel 5 - Unterauftragsverarbeitung

5.1 Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für die Beauftragung von Unterauftragsverarbeitern.

5.2 Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen bei Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, Einspruch zu erheben.

5.3 Aktuelle Unterauftragsverarbeiter sind unter /sub-processors aufgeführt.

Artikel 6 - Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen bezüglich:

Auskunftsrecht
Recht auf Berichtigung
Recht auf Löschung
Recht auf Datenübertragbarkeit

Die Reaktionszeit für Anfragen beträgt 72 Stunden.

Artikel 7 - Sicherheitsmassnahmen

Der Auftragsverarbeiter implementiert und pflegt folgende Sicherheitsmassnahmen:

TLS 1.3-Verschlüsselung für alle Datenübertragungen
AES-256-Verschlüsselung für ruhende Daten
Infrastruktur bei SOC 2 Type II zertifizierten Anbietern gehostet
Regelmässige Sicherheitsaudits und Penetrationstests
Zugriffskontrollen und Protokollierung

Artikel 8 - Meldung von Datenschutzverletzungen

8.1 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich nach Kenntniserlangung einer bestätigten Datenschutzverletzung gemäss Art. 33 DSGVO.

8.2 Die Benachrichtigung enthält alle relevanten Informationen gemäss Art. 33 DSGVO / Art. 24 DSG.

Artikel 9 - Prüfungsrechte

9.1 Der Auftragsverarbeiter stellt auf Anfrage die aktuellen SOC 2 Type II Berichte zur Verfügung.

9.2 Vor-Ort-Audits können mit angemessener Vorankündigung (30 Tage) und auf Kosten des Verantwortlichen durchgeführt werden.

Artikel 10 - Beendigung

10.1 Bei Beendigung löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, es sei denn, eine längere Aufbewahrung ist gesetzlich vorgeschrieben.

10.2 Auf Anfrage stellt der Auftragsverarbeiter eine Löschbestätigung aus.

Artikel 11 - Anwendbares Recht

Diese Vereinbarung unterliegt schweizerischem Recht. Gerichtsstand ist Lugano, Schweiz.

Für den Verantwortlichen

Unterschrift

Name:

Titel:

Datum:

Für den Auftragsverarbeiter

Unterschrift

Name: Antonio Brundo, Exatoshi AG

Titel: Geschaeftsfuehrer

Datum:

Anhang A: Technische und organisatorische Massnahmen

Kategorie	Massnahme
Verschlüsselung	TLS 1.3 (Übertragung), AES-256 (Speicherung)
Zugriffskontrolle	Rollenbasierte Zugriffssteuerung, Multi-Faktor-Authentifizierung
Protokollierung	Vollstaendige Pruefprotokolle, unveraenderlicher Audit-Trail
Netzwerksicherheit	Firewalls, DDoS-Schutz, Intrusion Detection
Datensicherung	Tägliche verschlüsselte Backups, geografisch verteilt
Zertifizierungen	SOC 2 Type II, ISO 27001 (Infrastrukturanbieter)

Anhang B: Genehmigte Unterauftragsverarbeiter

Unterauftragsverarbeiter	Zweck	Standort
Proton AG	Verschluesselte Backup-Speicherung (Proton Drive)	CH (Genf)
Health Info Net AG (HIN)	Sichere Gesundheits-E-Mail (HIN SMTP) und Identitaetsauthentifizierung	CH (Wallisellen)
Hetzner Online GmbH	Hosting-Infrastruktur (dedizierte Server, Datenbanken)	EU (Falkenstein, Deutschland)
Third-Party Voice AI Provider (EU)	KI-Sprachverarbeitung (STT/TTS, Echtzeit)	EU (Frankfurt)
Anthropic PBC	KI-Sprachmodell (Claude) fuer Konversationsintelligenz	EU (Frankfurt)
Stripe Inc.	Zahlungsabwicklung und Abonnementverwaltung	EU (Dublin, Irland)
Google LLC	Kalenderintegration, OAuth-Authentifizierung	EU (Belgien / Niederlande)
Amazon Web Services EMEA Sàrl	Transaktions-E-Mail-Versand	EU (Frankfurt)
Zadarma (IP Telecom Bulgaria LTD)	Telefonie / SIP-Trunk fuer Sprachanrufe	EU (Bulgarien)

Für die aktuelle Liste der Unterauftragsverarbeiter siehe: https://aiagens.ch/sub-processors