Auftragsverarbeitungsvertrag (DPA) – IntelliCore KLG

Stand: 16.09.2025

Wichtiger Hinweis: Dieser Auftragsverarbeitungsvertrag (Data Processing Agreement - DPA) ergänzt die zwischen den Parteien geschlossene Hauptvereinbarung und regelt die Bearbeitung personenbezogener Daten gemäss dem revidierten Schweizer Datenschutzgesetz (revDSG) und der EU-DSGVO.

Parteien

Verantwortlicher (Kunde) ↔ Auftragsbearbeiter (IntelliCore KLG).

Gegenstand und Dauer

Bearbeitung von Personendaten zur Erfüllung der Leistungen (Chatbot, Voice-Agent, Omnichannel/WhatsApp, Analytics) für die Vertragsdauer gemäss Hauptvertrag.

Weisungen

Bearbeitung ausschliesslich gemäss dokumentierten Weisungen des Kunden; unverzügliche Information, wenn Weisungen offensichtlich gegen Datenschutzrecht verstossen.

Unterauftragsbearbeiter

Einsatz zulässig, sofern angemessenes Datenschutzniveau gewährleistet ist und ein DPA besteht; aktuelle Liste wird bereitgestellt. Der Kunde kann aus wichtigem Grund widersprechen.

Aktuelle Unterauftragsbearbeiter (Beispiele):

Tidio LLC – Web-Chat

Twilio Inc. – Programmable Voice, Conversations/WhatsApp

Vapi Inc. – Voice-Agent

Hosting/DB – Exoscale/Infomaniak/Render/Neon/Supabase (EU/CH)

Monitoring – UptimeRobot, Sentry

Analytics – Metabase/Looker Studio

CRM – Pipedrive/HubSpot (im Auftrag des Kunden)

Technisch-organisatorische Massnahmen (TOMs)

Zugriff/Identitäten: RBAC, Least-Privilege, 2FA
Netzwerksicherheit: TLS, Firewall/WAF, HSTS
Datenminimierung: Pseudonymisierung, Verschlüsselung at rest (DB/Backups)
Sichere Entwicklung: Code-Reviews, Secrets-Management
Protokollierung/Monitoring: Alerting, Backups/Restore-Tests
Lieferantenmanagement: Sub-Prozessoren-Kontrolle
Vorfallmanagement (Breach): Lösch-/Retention-Routinen

Betroffenenrechte & Unterstützung

Unterstützung bei Auskunft, Berichtigung, Löschung, Datenportabilität; Unterstützung bei DPIA und Behördenanfragen.

Meldung von Datenschutzvorfällen

Ohne schuldhaftes Zögern nach Kenntnis; Bereitstellung verfügbarer Informationen und Unterstützung bei Bewertung/Kommunikation.

Meldeprozess:

Sofortmeldung an Datenschutzbeauftragten des Kunden
Erste Einschätzung innerhalb von 24 Stunden
Vollständiger Bericht innerhalb von 72 Stunden
Fortlaufende Updates bis zur Behebung

Löschung/Rückgabe von Daten

Nach Vertragsende: Rückgabe in gängigem Format oder Löschung innerhalb angemessener Frist; Nachweis dokumentiert.

Löschprozess:

Export der Daten auf Kundenwunsch (CSV/JSON Format)
Löschung aus Produktivsystemen binnen 30 Tagen
Löschung aus Backup-Systemen mit nächstem Backup-Zyklus
Schriftliche Löschbestätigung auf Anfrage

Internationaler Datentransfer

Einsatz von Swiss-U.S. DPF-zertifizierten Empfängern (soweit zutreffend) und/oder SCCs inkl. Transfer-Risiko-Bewertung.

Audit- und Nachweispflichten

Auf Anfrage Nachweise (z. B. Pen-Test-Berichte, Zertifizierungen, Policies). Audit nach Ankündigung, angemessenem Umfang, Vertraulichkeit.

Auditbedingungen:

Ankündigung mindestens 30 Tage im Voraus
Durchführung während regulärer Geschäftszeiten
Keine Störung des operativen Betriebs
Unterzeichnung einer Vertraulichkeitsvereinbarung
Kostenübernahme durch den Kunden

Haftung und Recht

Haftung gemäss Hauptvertrag; Schweizer Recht; Gerichtsstand Zürich (soweit dispositiv).

Anhang 1 – TOMs (Auszug)

Identitäts-/Zugriffskontrolle: RBAC, 2FA
Netzwerksicherheit: TLS
Integrität/Verfügbarkeit: Backups, Monitoring
Datenträger-/Transportsicherheit: Verschlüsselung
Löschung/Anonymisierung: geplante Jobs

Anhang 2 – Unterauftragsbearbeiter