AVV nach Art. 28 DSGVO. Vollständige Sub-Processor-Liste.

§ 1.1 Wann ist ein AVV erforderlich?

Ein Auftragsverarbeitungsvertrag wird abgeschlossen, sobald wir in unseren Mandaten Personendaten Ihrer Mandanten oder Mitarbeitenden bearbeiten, typischerweise also bei:

• Hosting von Mandanten-Daten (Treuhand-Cloud, Praxis-Daten, Bürger-Portal)
• M365-Tenant-Verwaltung mit Zugriff auf Mailboxen / SharePoint
• Backup-Verwaltung von Datenbeständen

§ 1.2 Verantwortlicher · Auftragsverarbeiter

Bei den oben genannten Mandaten ist der Auftraggeber Verantwortlicher (Datenherrschaft); SYSINFRA ist Auftragsverarbeiter und verarbeitet die Daten ausschliesslich nach dokumentierten Weisungen des Auftraggebers.

§ 1.3 Ihre Rechte als Auftraggeber

• Anweisungsrecht, Sie können die Verarbeitung jederzeit modifizieren oder einstellen
• Auditrecht, Audits unserer technisch-organisatorischen Massnahmen (TOMs) sind möglich, Form und Häufigkeit werden im individuellen AVV vereinbart
• Sub-Processor-Veto, Wir kündigen neue Sub-Processors mit 30-Tage-Frist an, Sie können widersprechen
• Datenrückgabe + Löschung, Bei Vertragsende erhalten Sie Ihre Daten als Export und wir löschen unsere Kopien nach dokumentierter Frist (typisch 30/90 Tage Cold-Storage)

§ 1.4 Sicherheitsvorfälle · Breach-Notification

Bei einer Verletzung der Datensicherheit, die Personendaten unserer Auftraggeber betrifft, melden wir unverzüglich, in der Regel innert 48 Stunden nach Kenntnisnahme. Die Meldung enthält die verfügbaren Angaben:

• Art, Umfang und Ursache der Verletzung
• Betroffene Datenkategorien und Personenkreise
• Mögliche Folgen und Risiken für Betroffene
• Bereits getroffene und empfohlene weitere Massnahmen

Zuständigkeit für allfällige Behörden- und Betroffenenmeldungen liegt beim Auftraggeber als Verantwortlichem. Wir unterstützen mit einem strukturierten Meldeformular (Anlage D im individuellen AVV).

§ 1.5 Audit-Recht

Auftraggeber haben ein Auditrecht 1× pro Jahr (zusätzlich anlassbezogen bei nachgewiesener Pflichtverletzung).

• Primär dokumentenbasiert / remote, TOM-Übersichten, Provider-DPAs, relevante Protokollauszüge werden bereitgestellt
• On-Site-Audits nur wenn dokumentenbasiert nicht ausreichend, schriftliche Ankündigung mind. 14 Arbeitstage im Voraus
• Während Geschäftszeiten unter Wahrung von Betriebsgeheimnissen und Mandanten-Trennung
• Audit-Kosten trägt der Auftraggeber, ausser bei nachgewiesener schwerer Pflichtverletzung von SYSINFRA

§ 1.6 Datenrückgabe & Löschung

Nach Beendigung der Auftragsverarbeitung geben wir die Daten auf Weisung des Auftraggebers zurück oder löschen sie:

• Standard-Löschfrist: 90 Kalendertage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. OR 962, 10 Jahre für Geschäftsbücher) entgegenstehen
• Datenexport in üblichen Formaten (z. B. SQL-Dumps, JSON, CSV, verschlüsselte Borg/age-Backups)
• Löschbestätigung in Textform auf Wunsch
• Schlüssel- und Secret-Übergabe beim Exit über vereinbarten Kanal (Passwort-Manager, verschlüsselter Transfer)

§ 1.7 Technisch-organisatorische Massnahmen (TOMs)

Wir setzen eine angemessene Sicherheits-Baseline um (Detail-Inventar in Anlage A des individuellen AVV, die Public-Übersicht zu Sub-Processors, Datenstandorten und Compliance-Belegen finden Sie unter /datenschutz). Kern-Komponenten der TOMs:

• Zugriff & Authentisierung: individuelle Accounts, MFA für administrative Zugänge, Need-to-know-Prinzip, Mandanten-Trennung
• System- / Netzwerksicherheit: OS- und Service-Härtung, Firewalls, TLS 1.3 mit gültigen Zertifikaten, Test- / Prod-Trennung
• Datenübertragung / -speicherung: Verschlüsselung in transit (TLS) und at rest (LUKS, age für Backups), sichere Secret-Übergabe
• Backup & Wiederherstellung: 3-2-1-Strategie, dokumentierte Test-Restores, gemäss SOW vereinbarte RPO/RTO
• Logging & Vorfallmanagement: Aufbewahrung min. 14 Tage, Breach-Workflow gemäss §1.4

§ 1.8 Hosting-Optionen pro Mandat

Wir unterscheiden zwei Hosting-Modelle, die im SOW pro Mandat festgelegt werden:

• Hosting auf Kunden-Infrastruktur: Produktive Personendaten bleiben beim Auftraggeber. Bei SYSINFRA fallen ausschliesslich Verwaltungs-, Vertrags- und Supportdaten an (Ticket-, Log-, Abrechnungsdaten). Sub-Processors B-1.1 / B-1.2 greifen dann nicht für produktive Daten.
• Hosting via SYSINFRA: Produktivdaten auf SYSINFRA-verwalteten Hetzner-Systemen, produktiv georedundant in Falkenstein DE und Nürnberg DE; Helsinki FI für Failover und Offsite-Backup. Optional zusätzlicher Backup-Layer (z. B. CH-Offsite am SYSINFRA-Sitz) mit AES-256-Verschlüsselung.

Wir planen Systeme standardmässig mit Datenhaltung in der Schweiz und im EWR. Wo international tätige Sub-Prozessoren technisch beteiligt sind (z. B. Cloudflare als CDN/WAF, Microsoft 365, Stripe), erfolgt die Übermittlung in die USA primär auf Basis des Schweizer Angemessenheitsbeschlusses zum Swiss-U.S. Data Privacy Framework (in Kraft seit 15.09.2024, soweit der Anbieter DPF-zertifiziert ist), ergänzend bzw. als Fallback auf EU-SCC Modul 2 + Swiss-Addendum, ggf. mit Transfer-Impact-Assessment und dokumentierter Weisung des Auftraggebers (Transfer-Addendum, Anlage F im individuellen AVV). Rolle, Region, Rechtsgrundlage und Alternative pro Anbieter sind in der Subprozessoren-Matrix oben dokumentiert.

Nicht in dieser Liste geführt ist der aktiv von Ihnen aufgerufene WhatsApp-Business-Link (wa.me/…) auf /kontakt, dieser läuft ohne AVV mit SYSINFRA direkt zwischen Ihnen und Meta. Details siehe Datenschutzerklärung § 1.14a. Ein allfälliger SYSINFRA-eigener Newsletter wird über die Microsoft Graph API aus unserem M365-Tenant versandt, Subscriber-Liste auf Hetzner (DE), Versand-Funnel über Microsoft Ireland (bereits in der Subprozessoren-Matrix oben erfasst, kein zusätzlicher Subprozessor). Termin-Buchungen laufen über die selbst gehostete Amelia-Instanz auf SYSINFRA-Hetzner-Infra (kein Subprozessor), Video-Calls über das M365-Tenant des Auftraggebers oder Microsoft Teams, Backups primär über Proxmox Backup Server.

TLS-Zertifikate: Wir nutzen Standard-ACME-Workflows (acme.sh / certbot) gegen Provider-agnostische CAs. Eine CA ist kein Auftragsverarbeiter im Sinn von Art. 28 DSGVO, sie signiert nur Public-Keys und sieht keine Inhaltsdaten, und steht deshalb nicht in der Subprozessoren-Matrix.

Cookie-Inventar <-> Subprozessoren: Auf /cookie-richtlinie sind alle technischen Cookies/Tracker pro Funktion gelistet. Self-gehostete Tools dort (Matomo, Amelia, Wordfence im hidden-WordPress-Backend) laufen auf SYSINFRA-eigener Hetzner-Infrastruktur und sind deshalb hier nicht als separate Subprozessoren aufgeführt, sie sind im Hetzner-AVV abgedeckt. Cloudflare-Funktionen (Turnstile, Browser Insights) sind im Cloudflare-AVV §1.11 abgedeckt.

§ 1.9 AVV anfragen

Diese Public-Übersicht beschreibt den Rahmen. Der individuelle Auftragsverarbeitungsvertrag wird pro Mandat erstellt und enthält die kundenspezifischen Anlagen:

• Anlage A: TOMs-Baseline im Detail
• Anlage B: Sub-Processor-Liste mit Standorten und Datenflüssen
• Anlage D: Breach-Meldeformular
• Anlage E: Hinweise für das RoPA des Auftraggebers (Art. 12 DSG)
• Anlage F: Transfer-Addendum (nur bei Drittland-Übermittlung)
• Anlage G: Verarbeitungskontext mit Hosting-Option und Datenkategorien

Anfrage des AVV vor Mandats-Beginn an [email protected]. Vertragssprache Deutsch, Schweizer Recht, Gerichtsstand Sitz SYSINFRA (Frauenfeld TG).