PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/Prozesse/legal/17_Subunternehmer_Management.md
Stephan Schellworth 9f5f8bfc11 Add e-compliance processes and PowerOn AG documentation. 
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG
stammdaten, and internal legal and best-practice analysis report.

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-03 08:50:34 +02:00

66 lines
3.4 KiB
Markdown
Raw Blame History

# Subunternehmer- und Unterauftragsverarbeiter-Management
**Dokumenttyp:** Prozess
**Geltungsbereich:** Alle externen Dienste und Unterauftragsverarbeiter
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Patrick Motsch (Drittdienst-Verantwortlicher)
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 16, 31, 48, 53
**Verweist auf:** `drittanbieter-inventar.md`
---
## 1. Basis
Das vollständige Inventar aller Drittdienste ist in `drittanbieter-inventar.md` dokumentiert (Verantwortlicher: Patrick Motsch). Dieses Dokument ergänzt die **Compliance-Sicht**: Datenschutz-Status, Datenstandort, Widerspruchsrecht und Sanktionsprüfung.
## 2. Compliance-Ergänzung zum Inventar (#48, #31)
Für jeden Unterauftragsverarbeiter, der Inhaltsdaten verarbeitet, sind folgende Angaben zu führen (Ergänzung zum bestehenden Inventar):
| Anbieter | Rolle | Datenstandort | AVV/DPA | EU-SCC (falls Drittland) | Zero-Retention |
|---|---|---|---|---|---|
| OpenAI (USA) | LLM (primär) | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN: Enterprise/Opt-out] |
| Anthropic (USA) | LLM (alternativ) | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN] |
| Mistral (EU/FR) | LLM (alternativ) | EU | [ZU PRÜFEN] | n/a (EU) | [ZU PRÜFEN] |
| Perplexity (USA) | LLM + Websuche | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN] |
| Tavily (USA) | AI-Websuche | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
| Infomaniak (CH) | Hosting/DB | Schweiz | [ZU PRÜFEN] | n/a (CH) | n/a |
| Google Cloud (USA) | STT/TTS/Translate | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN] |
| Microsoft Azure (CH/EU) | Auth + E-Mail (CH-Region) | CH/EU | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
| Stripe (USA/IE) | Payment | USA/EU | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
| Twilio (USA) | SMS | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
> **Wichtig für FINMA-Kunden:** Inhaltsdaten gehen an den primären LLM-Provider OpenAI (USA). Für regulierte Kunden ist zu klären, ob (a) ausreichende vertragliche Absicherung (AVV + SCC + Zero-Retention) vorliegt und/oder (b) ein auf EU/CH-LLM beschränkter Betrieb angeboten wird (z. B. Mistral EU oder CH-gehostetes Modell).
## 3. Widerspruchsrecht des Kunden (#16)
| Element | Regelung |
|---|---|
| Information über neuen wesentlichen Subunternehmer | 30 Tage im Voraus (gemäss AGB §12.2) |
| Widerspruchsfrist Kunde | 14 Tage, aus sachlichem Grund |
| Folge bei berechtigtem Widerspruch | ausserordentliches Kündigungsrecht des Kunden |
## 4. Weitergabe der Pflichten (#53)
Alle Subunternehmer werden vertraglich auf gleichwertige Sicherheits-, Datenschutz- und Vertraulichkeitspflichten verpflichtet. Kunden können diese bei Bedarf (mittelbar) auditieren.
**[ZU PRÜFEN: Liegen die DPAs/AVVs der grossen Provider (OpenAI, Microsoft, Google, Stripe) abgelegt vor? Diese sind als Evidenz für das Assessment zentral.]**
## 5. Sanktionsprüfung
Subunternehmer werden vor Einsatz und periodisch gegen einschlägige Sanktionslisten geprüft. **[ZU PRÜFEN: erfolgt das? Sonst einführen.]**
## 6. Pflege
Das Inventar wird bei jeder Änderung (neuer/entfallender Dienst) aktualisiert; Verantwortlich: Patrick Motsch. Review mindestens jährlich.
## 7. Stand der Umsetzung / Lücken
| Thema | Status | Massnahme |
|---|---|---|
| AVV/SCC/Zero-Retention je Provider | [ZU PRÜFEN] | Verträge prüfen & ablegen |
| Compliance-Spalten im Inventar | Neu | ergänzen |
| Sanktionsprüfung | [ZU PRÜFEN] | einführen |
| EU/CH-only-LLM-Option für FINMA-Kunden | Offen | Entscheidung |
Reference in a new issue View git blame Copy permalink