# Subunternehmer- und Unterauftragsverarbeiter-Management

**Dokumenttyp:** Prozess
**Geltungsbereich:** Alle externen Dienste und Unterauftragsverarbeiter
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Patrick Motsch (Drittdienst-Verantwortlicher)
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 16, 31, 48, 53
**Verweist auf:** `drittanbieter-inventar.md`

---

## 1. Basis

Das vollständige Inventar aller Drittdienste ist in `drittanbieter-inventar.md` dokumentiert (Verantwortlicher: Patrick Motsch). Dieses Dokument ergänzt die **Compliance-Sicht**: Datenschutz-Status, Datenstandort, Widerspruchsrecht und Sanktionsprüfung.

## 2. Compliance-Ergänzung zum Inventar (#48, #31)

Für jeden Unterauftragsverarbeiter, der Inhaltsdaten verarbeitet, sind folgende Angaben zu führen (Ergänzung zum bestehenden Inventar):

| Anbieter | Rolle | Datenstandort | AVV/DPA | EU-SCC (falls Drittland) | Zero-Retention |
|---|---|---|---|---|---|
| OpenAI (USA) | LLM (primär) | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN: Enterprise/Opt-out] |
| Anthropic (USA) | LLM (alternativ) | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN] |
| Mistral (EU/FR) | LLM (alternativ) | EU | [ZU PRÜFEN] | n/a (EU) | [ZU PRÜFEN] |
| Perplexity (USA) | LLM + Websuche | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN] |
| Tavily (USA) | AI-Websuche | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
| Infomaniak (CH) | Hosting/DB | Schweiz | [ZU PRÜFEN] | n/a (CH) | n/a |
| Google Cloud (USA) | STT/TTS/Translate | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN] |
| Microsoft Azure (CH/EU) | Auth + E-Mail (CH-Region) | CH/EU | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
| Stripe (USA/IE) | Payment | USA/EU | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
| Twilio (USA) | SMS | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |

> **Wichtig für FINMA-Kunden:** Inhaltsdaten gehen an den primären LLM-Provider OpenAI (USA). Für regulierte Kunden ist zu klären, ob (a) ausreichende vertragliche Absicherung (AVV + SCC + Zero-Retention) vorliegt und/oder (b) ein auf EU/CH-LLM beschränkter Betrieb angeboten wird (z. B. Mistral EU oder CH-gehostetes Modell).

## 3. Widerspruchsrecht des Kunden (#16)

| Element | Regelung |
|---|---|
| Information über neuen wesentlichen Subunternehmer | 30 Tage im Voraus (gemäss AGB §12.2) |
| Widerspruchsfrist Kunde | 14 Tage, aus sachlichem Grund |
| Folge bei berechtigtem Widerspruch | ausserordentliches Kündigungsrecht des Kunden |

## 4. Weitergabe der Pflichten (#53)

Alle Subunternehmer werden vertraglich auf gleichwertige Sicherheits-, Datenschutz- und Vertraulichkeitspflichten verpflichtet. Kunden können diese bei Bedarf (mittelbar) auditieren.

**[ZU PRÜFEN: Liegen die DPAs/AVVs der grossen Provider (OpenAI, Microsoft, Google, Stripe) abgelegt vor? Diese sind als Evidenz für das Assessment zentral.]**

## 5. Sanktionsprüfung

Subunternehmer werden vor Einsatz und periodisch gegen einschlägige Sanktionslisten geprüft. **[ZU PRÜFEN: erfolgt das? Sonst einführen.]**

## 6. Pflege

Das Inventar wird bei jeder Änderung (neuer/entfallender Dienst) aktualisiert; Verantwortlich: Patrick Motsch. Review mindestens jährlich.

## 7. Stand der Umsetzung / Lücken

| Thema | Status | Massnahme |
|---|---|---|
| AVV/SCC/Zero-Retention je Provider | [ZU PRÜFEN] | Verträge prüfen & ablegen |
| Compliance-Spalten im Inventar | Neu | ergänzen |
| Sanktionsprüfung | [ZU PRÜFEN] | einführen |
| EU/CH-only-LLM-Option für FINMA-Kunden | Offen | Entscheidung |