9f5f8bfc11
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG stammdaten, and internal legal and best-practice analysis report. Co-authored-by: Cursor <cursoragent@cursor.com>
3.4 KiB
Subunternehmer- und Unterauftragsverarbeiter-Management
Dokumenttyp: Prozess
Geltungsbereich: Alle externen Dienste und Unterauftragsverarbeiter
Version: 1.0
Status: Entwurf zur internen Freigabe
Owner: Patrick Motsch (Drittdienst-Verantwortlicher)
Letzte Aktualisierung: 02.06.2026
Deckt ab (CACC): 16, 31, 48, 53
Verweist auf: drittanbieter-inventar.md
1. Basis
Das vollständige Inventar aller Drittdienste ist in drittanbieter-inventar.md dokumentiert (Verantwortlicher: Patrick Motsch). Dieses Dokument ergänzt die Compliance-Sicht: Datenschutz-Status, Datenstandort, Widerspruchsrecht und Sanktionsprüfung.
2. Compliance-Ergänzung zum Inventar (#48, #31)
Für jeden Unterauftragsverarbeiter, der Inhaltsdaten verarbeitet, sind folgende Angaben zu führen (Ergänzung zum bestehenden Inventar):
| Anbieter | Rolle | Datenstandort | AVV/DPA | EU-SCC (falls Drittland) | Zero-Retention |
|---|---|---|---|---|---|
| OpenAI (USA) | LLM (primär) | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN: Enterprise/Opt-out] |
| Anthropic (USA) | LLM (alternativ) | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN] |
| Mistral (EU/FR) | LLM (alternativ) | EU | [ZU PRÜFEN] | n/a (EU) | [ZU PRÜFEN] |
| Perplexity (USA) | LLM + Websuche | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN] |
| Tavily (USA) | AI-Websuche | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
| Infomaniak (CH) | Hosting/DB | Schweiz | [ZU PRÜFEN] | n/a (CH) | n/a |
| Google Cloud (USA) | STT/TTS/Translate | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | [ZU PRÜFEN] |
| Microsoft Azure (CH/EU) | Auth + E-Mail (CH-Region) | CH/EU | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
| Stripe (USA/IE) | Payment | USA/EU | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
| Twilio (USA) | SMS | USA | [ZU PRÜFEN] | [ZU PRÜFEN] | n/a |
Wichtig für FINMA-Kunden: Inhaltsdaten gehen an den primären LLM-Provider OpenAI (USA). Für regulierte Kunden ist zu klären, ob (a) ausreichende vertragliche Absicherung (AVV + SCC + Zero-Retention) vorliegt und/oder (b) ein auf EU/CH-LLM beschränkter Betrieb angeboten wird (z. B. Mistral EU oder CH-gehostetes Modell).
3. Widerspruchsrecht des Kunden (#16)
| Element | Regelung |
|---|---|
| Information über neuen wesentlichen Subunternehmer | 30 Tage im Voraus (gemäss AGB §12.2) |
| Widerspruchsfrist Kunde | 14 Tage, aus sachlichem Grund |
| Folge bei berechtigtem Widerspruch | ausserordentliches Kündigungsrecht des Kunden |
4. Weitergabe der Pflichten (#53)
Alle Subunternehmer werden vertraglich auf gleichwertige Sicherheits-, Datenschutz- und Vertraulichkeitspflichten verpflichtet. Kunden können diese bei Bedarf (mittelbar) auditieren.
[ZU PRÜFEN: Liegen die DPAs/AVVs der grossen Provider (OpenAI, Microsoft, Google, Stripe) abgelegt vor? Diese sind als Evidenz für das Assessment zentral.]
5. Sanktionsprüfung
Subunternehmer werden vor Einsatz und periodisch gegen einschlägige Sanktionslisten geprüft. [ZU PRÜFEN: erfolgt das? Sonst einführen.]
6. Pflege
Das Inventar wird bei jeder Änderung (neuer/entfallender Dienst) aktualisiert; Verantwortlich: Patrick Motsch. Review mindestens jährlich.
7. Stand der Umsetzung / Lücken
| Thema | Status | Massnahme |
|---|---|---|
| AVV/SCC/Zero-Retention je Provider | [ZU PRÜFEN] | Verträge prüfen & ablegen |
| Compliance-Spalten im Inventar | Neu | ergänzen |
| Sanktionsprüfung | [ZU PRÜFEN] | einführen |
| EU/CH-only-LLM-Option für FINMA-Kunden | Offen | Entscheidung |