# Analyse: Rechtliche Aspekte und Best Practices

**Dokumenttyp:** Befund- und Risikobericht (intern)
**Geltungsbereich:** Gesamtes e-compliance-Wiki (PORTA-Plattform)
**Version:** 1.0
**Stand:** 01.02.2026
**Erstellt für:** PowerOn AG, Birmensdorferstrasse 94, 8003 Zürich (CHE-491.960.195)
**Ansprechpartner:** Patrick Motsch — p.motsch@poweron.swiss

> **Hinweis:** Dieser Bericht ersetzt keine anwaltliche Beratung. Er dokumentiert den Stand der Wiki-Dokumentation nach der Firmendaten-Anpassung und benennt Lücken sowie Widersprüche zwischen vertraglichen Zusicherungen (AGB) und beschriebenem Umsetzungsstand.

---

## 1. Durchgeführte Anpassungen (01.02.2026)

| Massnahme | Umfang |
|---|---|
| Rechtsträger | `PowerON GmbH` → **PowerOn AG** (CHE-491.960.195) |
| Markenschreibweise | `PowerON` → **PowerOn** in AGB und allen `legal/`-Dokumenten |
| Stammdaten AGB §1.1 | Birmensdorferstrasse 94, 8003 Zürich, p.motsch@poweron.swiss |
| Gerichtsstand AGB §23.2 | Zürich, Schweiz |
| Datumsfelder AGB | Stand / Gilt ab / Anhänge: **01.02.2026**; nächste Überprüfung: **01.02.2027** |
| Ansprechpartner/Rollen | Patrick Motsch in offenen Namens-/Kontaktfeldern (Dok. 01, 02, 06, 07) |

**Nicht geändert (bewusst):** Inhaltliche AGB-Zusicherungen; technische `[ZU PRÜFEN]`-Fakten (At-Rest, Pentest-Nachweis etc.). MFA auf Admin-/Server-Zugängen seit Juni 2026 umgesetzt.

---

## 2. Rechtlicher Rahmen

### 2.1 Anwendbares Recht

| Rechtsgebiet | Relevanz in der Dokumentation |
|---|---|
| **Schweizer DSG** (revDSG) | Primärrecht für Daten in der Schweiz; AGB §6.4, security-overview Kap. 9.2 |
| **DSGVO** | Anwendbar bei EU-Betroffenen / grenzüberschreitender Verarbeitung; Betroffenenrechte in security-overview |
| **FINMA-Rundschreiben 2018/3, 2023/1** | Auslagerung an Cloud/IT-Dienstleister; CACC-Mapping in `00_README_Prozessuebersicht.md` |
| **Bankgeheimnis (Art. 47 BankG)** | AGB §13.2; erhöhter Schutz für Berufsgeheimnisdaten |
| **Berufsgeheimnis StGB (Art. 321)** | Medizinische/sonstige Berufsgeheimnisse; gleiche Behandlung wie Bankdaten in AGB |
| **Schweizer Obligationenrecht / ZGB** | B2B-Verträge, AGB-Geltung, Gerichtsstand Zürich |

### 2.2 Vertragshierarchie (AGB §1.4)

1. Individueller Dienstleistungsvertrag
2. AVV (Auftragsverarbeitungsvertrag)
3. SLA
4. AGB
5. Anhänge A, B, C

**Empfehlung:** Für FINMA-regulierte Kunden immer individuellen Vertrag + AVV abschliessen; AGB allein genügt regulatorisch nicht.

### 2.3 Auftragsverarbeitung und Drittlandtransfers

- **Speicherung Inhaltsdaten:** Schweiz (Infomaniak) — konsistent dokumentiert.
- **LLM-Verarbeitung:** Primär OpenAI (USA) — temporärer Datenabfluss; erfordert AVV/DPA, EU-SCC, TIA, Zero-Data-Retention (`17_Subunternehmer_Management.md`, AGB §7.2).
- **Neutralisierung:** Technisches Modul reduziert PII vor externem LLM-Call (`neutralisierung-detail.md`); nicht standardmässig für alle Tenants aktiv (`security-overview.md` Kap. 7.6).

### 2.4 Melde- und Auditpflichten

| Pflicht | AGB / CACC | Umsetzungsdokument |
|---|---|---|
| 24h-Meldung Cyberangriffe | AGB §14, CACC #19 | `07_Incident_Response_und_Meldewesen.md` |
| FINMA-Drittbegünstigung | AGB §17.2 | Prozess neu dokumentiert |
| Audit-Rechte (vollständige Berichte) | AGB §17.3 | `10_Schwachstellenmanagement.md` — Pentest fehlt |

---

## 3. Best-Practice-Einordnung

### 3.1 Stärken (implementiert / dokumentiert)

| Bereich | Status | Nachweis |
|---|---|---|
| DSGVO-Betroffenenrechte (Self-Service) | Implementiert | `security-overview.md` Kap. 2 |
| Mandantentrennung (logisch) | Implementiert | `security-overview.md` Kap. 3 |
| RBAC | Implementiert | `security-overview.md` Kap. 4 |
| Parametrisierte DB-Queries, CSRF, Rate Limiting | Implementiert | `security-overview.md` Kap. 6 |
| Change Management / Vier-Augen | Dokumentiert | `feature_release_bugfix.md`, `08_Change_Management.md` |
| Fail-safe Neutralisierung | Konzept + Code-Karte | `neutralisierung-detail.md` |
| Drittanbieter-Inventar | Vollständig | `drittanbieter-inventar.md` |
| BCM-Runbook (operativ) | Vorhanden | `bcm_runbook.md` |
| JSON-Export / Exit | Vorhanden | `datenbank-handling.md`, `14_Exit_und_Transition.md` |

### 3.2 Lücken (transparent benannt)

| Thema | Risiko | Quelle |
|---|---|---|
| Keine ISO 27001-Zertifizierung | Mittel — AGB spricht von «Streben» | AGB §8.1, `01_Informationssicherheitsrichtlinie.md` |
| Kein granulares Consent-Management | Mittel (Art. 7 DSGVO) | `security-overview.md` Kap. 2.6 |
| PII-Filter nicht Standard | Hoch bei sensiblen Daten | `security-overview.md` Kap. 7.6 |
| Kein SIEM / 7×24-SOC | Hoch für FINMA-Kunden | `11_Logging_und_Monitoring.md` |
| Geteilter SSH-User `ubuntu` | Hoch — fehlende Personen-Nachvollziehbarkeit | `02_Zugriffsmanagement_IAM_PAM.md` |
| Log-Integrität (kein write-once) | Hoch | `11_Logging_und_Monitoring.md` |
| Kein externer Pentest-Nachweis | Hoch — widerspricht AGB | `10_Schwachstellenmanagement.md` |
| AVV/SCC bei LLM-Providern ungeklärt | Hoch | `17_Subunternehmer_Management.md` |

### 3.3 OWASP / ISO 27001

Die Plattform adressiert OWASP Top 10 präventiv (`security-overview.md` Kap. 9.3), ohne formale Zertifizierung. Die `legal/`-Prozesse bilden eine **Grundlage für ISMS** nach ISO 27001, sind aber grösstenteils im Status «Entwurf» mit vielen `[ZU PRÜFEN]`-Markierungen.

---

## 4. Widersprüche: AGB-Zusicherung vs. dokumentierter Umsetzungsstand

> Die AGB wurden inhaltlich **nicht** abgeschwächt. Die folgenden Punkte sind **Compliance-Risiken**, solange der Umsetzungsstand nicht angeglichen wird.

### 4.1 Verschlüsselung at-rest (AGB §9.1, Anhang C)

| | AGB | Dokumentierter Stand |
|---|---|---|
| Zusage | Alle Inhaltsdaten AES-256 at rest | `[ZU PRÜFEN]` Infomaniak DB; JSON-Exporte **unverschlüsselt** |
| Referenz | `20260603_PowerON_AGB_v1.0_1.md` §9.1 | `04_Verschluesselung_und_Schluesselmanagement.md` §2; `security-overview.md` §5.1 (nur Secrets) |

**Empfehlung:** At-Rest bei Infomaniak verifizieren und dokumentieren; Export-Verschlüsselung (AES-256/GPG) einführen; ggf. AGB-Formulierung präzisieren («Inhaltsdaten in der Produktiv-DB» vs. «Backup-Exporte»).

### 4.2 Penetrationstests (AGB §8.4)

| | AGB | Dokumentierter Stand |
|---|---|---|
| Zusage | Jährlich, unabhängig, volle Berichte auf Anfrage | «Bisher keine externen Pentest-Berichte» |
| Referenz | AGB §8.4 | `10_Schwachstellenmanagement.md` §4 |

**Empfehlung:** Jährlichen Pentest beauftragen; Bericht archivieren; oder AGB-Frist erst nach erstem Test aktivieren.

### 4.3 RTO / RPO (AGB Anhang B)

| | AGB | Dokumentierter Stand |
|---|---|---|
| Zusage | RTO ≤ 4 h, RPO ≤ 1 h | Wöchentliche Export-Praxis; RPO eher ≤ 24 h |
| Referenz | Anhang B | `05_Backup_und_Wiederherstellung.md` §4 |

**Empfehlung:** Backup-Frequenz erhöhen (täglich inkrementell) oder SLA/AGB-Werte an reale Kapazität anpassen.

### 4.4 Geografisch getrenntes Backup-RZ (AGB §11.2)

| | AGB | Dokumentierter Stand |
|---|---|---|
| Zusage | Backup-RZ in der Schweiz, geografisch getrennt | `[ZU PRÜFEN]` — nur Infomaniak-Umgebung |
| Referenz | AGB §11.2 | `06_Business_Continuity_und_Disaster_Recovery.md` §6 |

**Empfehlung:** Infomaniak-Region/Snapshot-Standort klären; Evidenz beilegen.

### 4.5 MFA und Logging (AGB Anhang C)

| | AGB | Dokumentierter Stand |
|---|---|---|
| Zusage | MFA verpflichtend; Logs 3 Jahre, write-once, Kundenzugang | MFA **umgesetzt** (Admin/Server, Juni 2026); kein write-once; SIEM offen |
| Referenz | Anhang C | `02_Zugriffsmanagement_IAM_PAM.md`, `11_Logging_und_Monitoring.md` |

**Empfehlung:** Log-Shipping auf append-only Storage; leichtgewichtiges Alerting. MFA Admin/Server erledigt (Juni 2026).

### 4.6 Produktivdaten in Testumgebung (CACC #102)

| | Anforderung | Dokumentierter Stand |
|---|---|---|
| Verbot | Keine Berufsgeheimnisdaten in Dev/Test | Prod→Int-Migration als Regelfall beschrieben |
| Referenz | `15_Sichere_Softwareentwicklung_SDLC.md` §4 | `datenbank-handling.md` §3 |

**Empfehlung:** Option A (Anonymisierung) oder B (synthetische Daten); `datenbank-handling.md` anpassen — **kritisch für FINMA-Assessment**.

### 4.7 Anhang A: Rechenzentrumsbetreiber

| | AGB Anhang A | Übrige Dokumente |
|---|---|---|
| Stand | `[RZ-Anbieter primär]` Platzhalter | **Infomaniak** (Schweiz) klar benannt |
| Referenz | AGB Anhang A §A.1 | `00_README`, `drittanbieter-inventar.md` |

**Empfehlung:** Anhang A mit Infomaniak (primär + DR-Standort) füllen — keine inhaltliche AGB-Änderung der Zusagen, nur Vervollständigung.

---

## 5. Priorisierte Massnahmenliste

| Prio | Massnahme | Aufwand | Rechtliches Risiko |
|:---:|---|---|---|
| P1 | AVV/DPA + SCC + Zero-Retention mit OpenAI (und weiteren LLM-Providern) abschliessen und ablegen | Mittel | Hoch |
| P1 | Prod-Daten in Test: Prozess ändern (Anonymisierung/synthetisch) | Mittel | Hoch (FINMA) |
| P1 | Backup-Exporte verschlüsseln | Gering | Hoch |
| P2 | Externen Pentest beauftragen (jährlich) | Mittel | Hoch (AGB §8.4) |
| ~~P2~~ | ~~MFA auf privilegierten Zugängen~~ | — | **Erledigt** (Juni 2026) |
| P2 | RTO/RPO mit Backup-Frequenz abgleichen | Mittel | Mittel (Vertrag) |
| P2 | Anhang A: Infomaniak eintragen | Gering | Gering |
| P3 | Personalisierte SSH-Accounts oder Sitzungsprotokollierung | Mittel | Mittel |
| P3 | Log-Integrität (append-only / separates Log-Storage) | Mittel | Mittel |
| P3 | Automatisches Uptime-Monitoring + Alerting | Gering | Mittel |
| P3 | Strafregisterauszug / NDAs für alle Mitarbeitenden verifizieren | Gering | Mittel |
| P3 | ISO-27001-Zertifizierung planen oder AGB-Formulierung «strebt an» beibehalten | Hoch | Niedrig (wenn ehrlich kommuniziert) |

---

## 6. Offene Punkte zur Klärung (Rückfragen an PowerOn AG)

Die folgenden Punkte konnten aus den Dokumenten **nicht** verifiziert werden und sollten intern geklärt werden:

1. **Telefonnummer** für Incident-Rufbereitschaft (aktuell nur E-Mail Patrick Motsch).
2. **Trennung Rollen:** Patrick Motsch trägt alle Rollen (CISO, DPO, GF, DevOps) — für Audits ggf. formale Zuordnung oder externe DPO-Unterstützung erwägen.
3. **Infomaniak:** At-Rest-Verschlüsselung, DR-Region, ISO-Zertifikate als PDF beilegen.
4. **OpenAI:** Enterprise-Tier mit Training-Opt-out — Vertragsversion und Speicherort dokumentieren.
5. **Schweizer/EU-only LLM** für FINMA-Kunden: Ist Mistral EU oder self-hosted Modell produktiv anbietbar?
6. **Legal Hold:** Technische Funktion vorhanden oder nur manuelle Prozedur?
7. **Kundenzugang zu Logs:** API/Export pro Mandant geplant?
8. **BYOK:** Angebot gewünscht für regulierte Kunden?
9. **Rechtliche Prüfung AGB** durch Fachanwalt vor Veröffentlichung gegenüber Bankkunden.
10. **Weitere Ansprechpartner** bei Team-Wachstum (Vertretung Schlüsselperson).

---

## 7. Dokumentenübersicht (Stand nach Anpassung)

| Datei | Rolle |
|---|---|
| `20260603_PowerON_AGB_v1.0_1.md` | Vertragsgrundlage B2B (Stammdaten aktualisiert) |
| `security-overview.md` | Kundeninformation Sicherheit/Datenschutz |
| `neutralisierung-detail.md` | Technisches Datenschutz-Modul |
| `legal/00`–`17` | CACC/FINMA-Prozessdokumentation |
| **`legal/18_Analyse_Recht_und_BestPractice.md`** | Dieser Befundbericht |

---

*Nächste planmässige Überprüfung dieses Berichts: 01.02.2027 oder nach wesentlicher Änderung an AGB, Infrastruktur oder regulatorischen Anforderungen.*