11 KiB
Analyse: Rechtliche Aspekte und Best Practices
Dokumenttyp: Befund- und Risikobericht (intern) Geltungsbereich: Gesamtes e-compliance-Wiki (PORTA-Plattform) Version: 1.0 Stand: 01.02.2026 Erstellt für: PowerOn AG, Birmensdorferstrasse 94, 8003 Zürich (CHE-491.960.195) Ansprechpartner: Patrick Motsch — p.motsch@poweron.swiss
Hinweis: Dieser Bericht ersetzt keine anwaltliche Beratung. Er dokumentiert den Stand der Wiki-Dokumentation nach der Firmendaten-Anpassung und benennt Lücken sowie Widersprüche zwischen vertraglichen Zusicherungen (AGB) und beschriebenem Umsetzungsstand.
1. Durchgeführte Anpassungen (01.02.2026)
| Massnahme | Umfang |
|---|---|
| Rechtsträger | PowerON GmbH → PowerOn AG (CHE-491.960.195) |
| Markenschreibweise | PowerON → PowerOn in AGB und allen legal/-Dokumenten |
| Stammdaten AGB §1.1 | Birmensdorferstrasse 94, 8003 Zürich, p.motsch@poweron.swiss |
| Gerichtsstand AGB §23.2 | Zürich, Schweiz |
| Datumsfelder AGB | Stand / Gilt ab / Anhänge: 01.02.2026; nächste Überprüfung: 01.02.2027 |
| Ansprechpartner/Rollen | Patrick Motsch in offenen Namens-/Kontaktfeldern (Dok. 01, 02, 06, 07) |
Nicht geändert (bewusst): Inhaltliche AGB-Zusicherungen; technische [ZU PRÜFEN]-Fakten (At-Rest, Pentest-Nachweis etc.). MFA auf Admin-/Server-Zugängen seit Juni 2026 umgesetzt.
2. Rechtlicher Rahmen
2.1 Anwendbares Recht
| Rechtsgebiet | Relevanz in der Dokumentation |
|---|---|
| Schweizer DSG (revDSG) | Primärrecht für Daten in der Schweiz; AGB §6.4, security-overview Kap. 9.2 |
| DSGVO | Anwendbar bei EU-Betroffenen / grenzüberschreitender Verarbeitung; Betroffenenrechte in security-overview |
| FINMA-Rundschreiben 2018/3, 2023/1 | Auslagerung an Cloud/IT-Dienstleister; CACC-Mapping in 00_README_Prozessuebersicht.md |
| Bankgeheimnis (Art. 47 BankG) | AGB §13.2; erhöhter Schutz für Berufsgeheimnisdaten |
| Berufsgeheimnis StGB (Art. 321) | Medizinische/sonstige Berufsgeheimnisse; gleiche Behandlung wie Bankdaten in AGB |
| Schweizer Obligationenrecht / ZGB | B2B-Verträge, AGB-Geltung, Gerichtsstand Zürich |
2.2 Vertragshierarchie (AGB §1.4)
- Individueller Dienstleistungsvertrag
- AVV (Auftragsverarbeitungsvertrag)
- SLA
- AGB
- Anhänge A, B, C
Empfehlung: Für FINMA-regulierte Kunden immer individuellen Vertrag + AVV abschliessen; AGB allein genügt regulatorisch nicht.
2.3 Auftragsverarbeitung und Drittlandtransfers
- Speicherung Inhaltsdaten: Schweiz (Infomaniak) — konsistent dokumentiert.
- LLM-Verarbeitung: Primär OpenAI (USA) — temporärer Datenabfluss; erfordert AVV/DPA, EU-SCC, TIA, Zero-Data-Retention (
17_Subunternehmer_Management.md, AGB §7.2). - Neutralisierung: Technisches Modul reduziert PII vor externem LLM-Call (
neutralisierung-detail.md); nicht standardmässig für alle Tenants aktiv (security-overview.mdKap. 7.6).
2.4 Melde- und Auditpflichten
| Pflicht | AGB / CACC | Umsetzungsdokument |
|---|---|---|
| 24h-Meldung Cyberangriffe | AGB §14, CACC #19 | 07_Incident_Response_und_Meldewesen.md |
| FINMA-Drittbegünstigung | AGB §17.2 | Prozess neu dokumentiert |
| Audit-Rechte (vollständige Berichte) | AGB §17.3 | 10_Schwachstellenmanagement.md — Pentest fehlt |
3. Best-Practice-Einordnung
3.1 Stärken (implementiert / dokumentiert)
| Bereich | Status | Nachweis |
|---|---|---|
| DSGVO-Betroffenenrechte (Self-Service) | Implementiert | security-overview.md Kap. 2 |
| Mandantentrennung (logisch) | Implementiert | security-overview.md Kap. 3 |
| RBAC | Implementiert | security-overview.md Kap. 4 |
| Parametrisierte DB-Queries, CSRF, Rate Limiting | Implementiert | security-overview.md Kap. 6 |
| Change Management / Vier-Augen | Dokumentiert | feature_release_bugfix.md, 08_Change_Management.md |
| Fail-safe Neutralisierung | Konzept + Code-Karte | neutralisierung-detail.md |
| Drittanbieter-Inventar | Vollständig | drittanbieter-inventar.md |
| BCM-Runbook (operativ) | Vorhanden | bcm_runbook.md |
| JSON-Export / Exit | Vorhanden | datenbank-handling.md, 14_Exit_und_Transition.md |
3.2 Lücken (transparent benannt)
| Thema | Risiko | Quelle |
|---|---|---|
| Keine ISO 27001-Zertifizierung | Mittel — AGB spricht von «Streben» | AGB §8.1, 01_Informationssicherheitsrichtlinie.md |
| Kein granulares Consent-Management | Mittel (Art. 7 DSGVO) | security-overview.md Kap. 2.6 |
| PII-Filter nicht Standard | Hoch bei sensiblen Daten | security-overview.md Kap. 7.6 |
| Kein SIEM / 7×24-SOC | Hoch für FINMA-Kunden | 11_Logging_und_Monitoring.md |
Geteilter SSH-User ubuntu |
Hoch — fehlende Personen-Nachvollziehbarkeit | 02_Zugriffsmanagement_IAM_PAM.md |
| Log-Integrität (kein write-once) | Hoch | 11_Logging_und_Monitoring.md |
| Kein externer Pentest-Nachweis | Hoch — widerspricht AGB | 10_Schwachstellenmanagement.md |
| AVV/SCC bei LLM-Providern ungeklärt | Hoch | 17_Subunternehmer_Management.md |
3.3 OWASP / ISO 27001
Die Plattform adressiert OWASP Top 10 präventiv (security-overview.md Kap. 9.3), ohne formale Zertifizierung. Die legal/-Prozesse bilden eine Grundlage für ISMS nach ISO 27001, sind aber grösstenteils im Status «Entwurf» mit vielen [ZU PRÜFEN]-Markierungen.
4. Widersprüche: AGB-Zusicherung vs. dokumentierter Umsetzungsstand
Die AGB wurden inhaltlich nicht abgeschwächt. Die folgenden Punkte sind Compliance-Risiken, solange der Umsetzungsstand nicht angeglichen wird.
4.1 Verschlüsselung at-rest (AGB §9.1, Anhang C)
| AGB | Dokumentierter Stand | |
|---|---|---|
| Zusage | Alle Inhaltsdaten AES-256 at rest | [ZU PRÜFEN] Infomaniak DB; JSON-Exporte unverschlüsselt |
| Referenz | 20260603_PowerON_AGB_v1.0_1.md §9.1 |
04_Verschluesselung_und_Schluesselmanagement.md §2; security-overview.md §5.1 (nur Secrets) |
Empfehlung: At-Rest bei Infomaniak verifizieren und dokumentieren; Export-Verschlüsselung (AES-256/GPG) einführen; ggf. AGB-Formulierung präzisieren («Inhaltsdaten in der Produktiv-DB» vs. «Backup-Exporte»).
4.2 Penetrationstests (AGB §8.4)
| AGB | Dokumentierter Stand | |
|---|---|---|
| Zusage | Jährlich, unabhängig, volle Berichte auf Anfrage | «Bisher keine externen Pentest-Berichte» |
| Referenz | AGB §8.4 | 10_Schwachstellenmanagement.md §4 |
Empfehlung: Jährlichen Pentest beauftragen; Bericht archivieren; oder AGB-Frist erst nach erstem Test aktivieren.
4.3 RTO / RPO (AGB Anhang B)
| AGB | Dokumentierter Stand | |
|---|---|---|
| Zusage | RTO ≤ 4 h, RPO ≤ 1 h | Wöchentliche Export-Praxis; RPO eher ≤ 24 h |
| Referenz | Anhang B | 05_Backup_und_Wiederherstellung.md §4 |
Empfehlung: Backup-Frequenz erhöhen (täglich inkrementell) oder SLA/AGB-Werte an reale Kapazität anpassen.
4.4 Geografisch getrenntes Backup-RZ (AGB §11.2)
| AGB | Dokumentierter Stand | |
|---|---|---|
| Zusage | Backup-RZ in der Schweiz, geografisch getrennt | [ZU PRÜFEN] — nur Infomaniak-Umgebung |
| Referenz | AGB §11.2 | 06_Business_Continuity_und_Disaster_Recovery.md §6 |
Empfehlung: Infomaniak-Region/Snapshot-Standort klären; Evidenz beilegen.
4.5 MFA und Logging (AGB Anhang C)
| AGB | Dokumentierter Stand | |
|---|---|---|
| Zusage | MFA verpflichtend; Logs 3 Jahre, write-once, Kundenzugang | MFA umgesetzt (Admin/Server, Juni 2026); kein write-once; SIEM offen |
| Referenz | Anhang C | 02_Zugriffsmanagement_IAM_PAM.md, 11_Logging_und_Monitoring.md |
Empfehlung: Log-Shipping auf append-only Storage; leichtgewichtiges Alerting. MFA Admin/Server erledigt (Juni 2026).
4.6 Produktivdaten in Testumgebung (CACC #102)
| Anforderung | Dokumentierter Stand | |
|---|---|---|
| Verbot | Keine Berufsgeheimnisdaten in Dev/Test | Prod→Int-Migration als Regelfall beschrieben |
| Referenz | 15_Sichere_Softwareentwicklung_SDLC.md §4 |
datenbank-handling.md §3 |
Empfehlung: Option A (Anonymisierung) oder B (synthetische Daten); datenbank-handling.md anpassen — kritisch für FINMA-Assessment.
4.7 Anhang A: Rechenzentrumsbetreiber
| AGB Anhang A | Übrige Dokumente | |
|---|---|---|
| Stand | [RZ-Anbieter primär] Platzhalter |
Infomaniak (Schweiz) klar benannt |
| Referenz | AGB Anhang A §A.1 | 00_README, drittanbieter-inventar.md |
Empfehlung: Anhang A mit Infomaniak (primär + DR-Standort) füllen — keine inhaltliche AGB-Änderung der Zusagen, nur Vervollständigung.
5. Priorisierte Massnahmenliste
| Prio | Massnahme | Aufwand | Rechtliches Risiko |
|---|---|---|---|
| P1 | AVV/DPA + SCC + Zero-Retention mit OpenAI (und weiteren LLM-Providern) abschliessen und ablegen | Mittel | Hoch |
| P1 | Prod-Daten in Test: Prozess ändern (Anonymisierung/synthetisch) | Mittel | Hoch (FINMA) |
| P1 | Backup-Exporte verschlüsseln | Gering | Hoch |
| P2 | Externen Pentest beauftragen (jährlich) | Mittel | Hoch (AGB §8.4) |
| — | Erledigt (Juni 2026) | ||
| P2 | RTO/RPO mit Backup-Frequenz abgleichen | Mittel | Mittel (Vertrag) |
| P2 | Anhang A: Infomaniak eintragen | Gering | Gering |
| P3 | Personalisierte SSH-Accounts oder Sitzungsprotokollierung | Mittel | Mittel |
| P3 | Log-Integrität (append-only / separates Log-Storage) | Mittel | Mittel |
| P3 | Automatisches Uptime-Monitoring + Alerting | Gering | Mittel |
| P3 | Strafregisterauszug / NDAs für alle Mitarbeitenden verifizieren | Gering | Mittel |
| P3 | ISO-27001-Zertifizierung planen oder AGB-Formulierung «strebt an» beibehalten | Hoch | Niedrig (wenn ehrlich kommuniziert) |
6. Offene Punkte zur Klärung (Rückfragen an PowerOn AG)
Die folgenden Punkte konnten aus den Dokumenten nicht verifiziert werden und sollten intern geklärt werden:
- Telefonnummer für Incident-Rufbereitschaft (aktuell nur E-Mail Patrick Motsch).
- Trennung Rollen: Patrick Motsch trägt alle Rollen (CISO, DPO, GF, DevOps) — für Audits ggf. formale Zuordnung oder externe DPO-Unterstützung erwägen.
- Infomaniak: At-Rest-Verschlüsselung, DR-Region, ISO-Zertifikate als PDF beilegen.
- OpenAI: Enterprise-Tier mit Training-Opt-out — Vertragsversion und Speicherort dokumentieren.
- Schweizer/EU-only LLM für FINMA-Kunden: Ist Mistral EU oder self-hosted Modell produktiv anbietbar?
- Legal Hold: Technische Funktion vorhanden oder nur manuelle Prozedur?
- Kundenzugang zu Logs: API/Export pro Mandant geplant?
- BYOK: Angebot gewünscht für regulierte Kunden?
- Rechtliche Prüfung AGB durch Fachanwalt vor Veröffentlichung gegenüber Bankkunden.
- Weitere Ansprechpartner bei Team-Wachstum (Vertretung Schlüsselperson).
7. Dokumentenübersicht (Stand nach Anpassung)
| Datei | Rolle |
|---|---|
20260603_PowerON_AGB_v1.0_1.md |
Vertragsgrundlage B2B (Stammdaten aktualisiert) |
security-overview.md |
Kundeninformation Sicherheit/Datenschutz |
neutralisierung-detail.md |
Technisches Datenschutz-Modul |
legal/00–17 |
CACC/FINMA-Prozessdokumentation |
legal/18_Analyse_Recht_und_BestPractice.md |
Dieser Befundbericht |
Nächste planmässige Überprüfung dieses Berichts: 01.02.2027 oder nach wesentlicher Änderung an AGB, Infrastruktur oder regulatorischen Anforderungen.