<!-- docId: IMS-04-01 -->
<!-- status: entwurf -->
<!-- version: 0.1 -->
<!-- owner: Patrick Motsch -->
<!-- approver: Geschäftsführung PowerOn AG -->
<!-- approvedDate: -->
<!-- nextReview: 2027-06-03 -->
<!-- classification: intern -->
<!-- isoRefs: 9001:4.1-4.2; 27001:4.1-4.2 -->

# Kontext der Organisation & interessierte Parteien

**Dokumenttyp:** Grundlagendokument
ISO 9001 / 27001 Kap. 4.1-4.2: Bestimmung des organisatorischen Kontexts und der relevanten interessierten Parteien samt deren Anforderungen.

## 1. Organisation

PowerOn AG ist ein Schweizer Software-Unternehmen und betreibt die **PORTA Enterprise KI-Plattform** -- eine Multi-Tenant-SaaS-Lösung mit Feature-Store-Modell, AI-Agent-Workspace und mandantenweiter Datenneutralisierung. Zielkunden sind mittlere bis grosse Unternehmen in datenschutzsensiblen Branchen (Finanzwesen, Treuhand, Immobilien, Beratung). Sehr kleines Team (2-5 Personen).

## 2. Externe Themen (Kontext)

- Regulatorik: CH nDSG/revDSG, EU-DSGVO, für Bankkunden FINMA-Rundschreiben 2018/3 & 2023/1, GLKB Cloud Assessment (CACC).
- Markt: hohe Erwartung an Datensouveränität (CH-Hosting), KI-Transparenz, Nachweisbarkeit (ISO 27001/9001 als Einkaufskriterium).
- Technologie: Abhängigkeit von externen LLM-Providern (OpenAI USA u. a.), Cloud-Hosting Infomaniak (CH).
- Bedrohungslage: Web-/Cloud-Angriffe, Lieferkettenrisiken, KI-spezifische Risiken (Prompt-Injection, Datenabfluss).

## 3. Interne Themen (Kontext)

- Kleines Team -> Rollenbuendelung, eingeschränkte Funktionstrennung (kompensierende Massnahmen).
- Hoher Automatisierungsgrad (Forgejo CI/CD, Infrastruktur, Wiki-basierte Doku).
- Wissenskonzentration auf wenige Personen (Schlüsselpersonenrisiko).

## 4. Interessierte Parteien und Anforderungen

| Interessierte Partei | Wesentliche Anforderungen |
|---|---|
| Kunden (inkl. Banken/Treuhänder) | Datenschutz, Vertraulichkeit, Verfügbarkeit (SLA), Nachweise/Zertifikate, Auditierbarkeit |
| Endnutzer | Funktionierende, sichere, performante Plattform; Datenschutzrechte |
| Geschäftsführung/Eigner | Wirtschaftlichkeit, Reputation, Compliance, beherrschbares Risiko |
| Mitarbeitende | Klare Prozesse, sichere Arbeitsmittel, Kompetenzentwicklung |
| Aufsicht/Regulatoren | Einhaltung Datenschutz- und Finanzmarktvorgaben |
| Lieferanten/Subunternehmer | Klare Verträge, AVVs, Sicherheitsanforderungen |
| Zertifizierungsstelle | Normkonformes, gelebtes, nachweisbares Managementsystem |

## 5. Geltungsbereich des IMS

Festlegung in [geltungsbereich-scope.md](geltungsbereich-scope.md).

## 6. Wesentliche Prozesse (Prozesslandkarte)

```mermaid
flowchart LR
    subgraph fuehrung [Führungsprozesse]
        F1["Strategie & Management-Review"]
        F2["Risiko- & Compliance-Management"]
    end
    subgraph kern [Kernprozesse]
        K1["Produktmanagement & Anforderungen"]
        K2["Software-Entwicklung (SDLC)"]
        K3["Release & Change Management"]
        K4["Betrieb & Support der PORTA-Plattform"]
    end
    subgraph support [Unterstützungsprozesse]
        S1["Beschaffung & Lieferanten"]
        S2["Personal & Kompetenz"]
        S3["IT-Sicherheit & Infrastruktur"]
        S4["Dokumentenlenkung"]
    end
    F1 --> K1 --> K2 --> K3 --> K4
    F2 --> K2
    support --> kern
```