§ 1 Parteien
| Auftragnehmer | Mailing Intelligence AG, Flurstrasse 33, CH-8302 Kloten («Anbieter») |
| Auftraggeber | Die natürliche oder juristische Person, die den AIMI-Dienst abonniert hat («Kunde») |
§ 2 Gegenstand & Zweck
Gegenstand dieses Vertrags ist die Verarbeitung von Personendaten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung des AIMI-Dienstes.
| Element | Beschreibung |
|---|---|
| Art der Verarbeitung | Erhebung, Speicherung, Analyse, Strukturierung und Nutzung zur Entwurfserstellung |
| Zweck | Bereitstellung des KI-E-Mail-Management-Dienstes AIMI gemäss AGB |
| Kategorien betroffener Personen | E-Mail-Kommunikationspartner des Auftraggebers, eigene Mitarbeitende |
| Kategorien von Personendaten | E-Mail-Metadaten, E-Mail-Inhalte, Kontaktdaten aus Signaturen |
| Besondere Datenkategorien | Grundsätzlich keine; liegt in der Verantwortung des Auftraggebers |
| Verarbeitungsort | Ausschliesslich Schweiz (Infomaniak, Genf & Winterthur) |
§ 3 Pflichten des Auftraggebers
- Der Auftraggeber stellt sicher, dass er berechtigt ist, die verarbeiteten Personendaten dem Auftragnehmer zur Verarbeitung zu übermitteln.
- Der Auftraggeber informiert seine E-Mail-Kommunikationspartner in geeigneter Weise über den Einsatz von KI-gestützten Systemen, soweit dies nach anwendbarem Recht erforderlich ist.
- Der Auftraggeber benennt auf Anfrage einen Datenschutzansprechpartner für die Zusammenarbeit mit dem Auftragnehmer.
- Der Auftraggeber meldet dem Auftragnehmer unverzüglich Änderungen, die die Verarbeitung betreffen.
§ 4 Pflichten des Auftragnehmers
- Verarbeitung ausschliesslich gemäss den Weisungen des Auftraggebers und im Rahmen dieses AVV
- Gewährleistung von Vertraulichkeit durch Verpflichtung aller mit der Verarbeitung betrauten Personen
- Implementierung und Aufrechterhaltung der technischen und organisatorischen Massnahmen gemäss TOM (Anhang 1)
- Unverzügliche Meldung von Datenschutzverletzungen gemäss § 8 dieses Vertrags
- Unterstützung des Auftraggebers bei der Erfüllung von Betroffenenrechten gemäss § 7
- Keine Weitergabe von Personendaten an Dritte ausserhalb der in Anhang 2 aufgeführten Subunternehmer
§ 5 Weisungsrecht
Der Auftraggeber ist berechtigt, dem Auftragnehmer Weisungen zur Verarbeitung der Personendaten zu erteilen. Weisungen sind schriftlich (auch per E-Mail) zu erteilen. Der Auftragnehmer setzt Weisungen unverzüglich um, sofern diese nicht gegen anwendbares Recht verstossen.
Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen das DSG oder andere anwendbare Datenschutzbestimmungen verstösst, informiert er den Auftraggeber unverzüglich schriftlich.
§ 6 Subunternehmer (Unterauftragsverarbeiter)
Der Auftragnehmer ist berechtigt, Subunternehmer (Unterauftragsverarbeiter) einzusetzen. Die aktuell eingesetzten Subunternehmer sind in der Subunternehmerliste (Anhang 2) aufgeführt. Der Auftragnehmer stellt sicher, dass alle Subunternehmer gleichwertige Datenschutzpflichten übernehmen wie in diesem AVV vereinbart.
Kerninfrastruktur und KI-Verarbeitung
Die gesamte KI-gestützte Verarbeitung (Entwurfserstellung, semantische Suche, Priorisierung) erfolgt ausschliesslich über die AI-Services-Plattform von Infomaniak Network SA auf Schweizer Infrastruktur. Infomaniak ist der einzige Subunternehmer für KI-Verarbeitung. Die auf der Infomaniak-Plattform verfügbaren Open-Source-Sprachmodelle stellen Infomaniaks interne technische Umsetzung dar. Da der Nutzer das Modell selbst aktiv wählt, begründen Änderungen im Modellkatalog keine individuelle Informationspflicht des Auftragnehmers gegenüber dem Auftraggeber — analog zu Servertyp-Wechseln bei einem Cloud-Provider.
Eine Ablösung von Infomaniak als KI-Infrastrukturanbieter durch einen anderen Anbieter würde die nachstehende 30-tägige Vorankündigungspflicht auslösen.
Änderungen bei anderen Subunternehmern
Bei wesentlichen Änderungen der Subunternehmerliste (Hinzunahme neuer oder Austausch bestehender Kernsubunternehmer) informiert der Auftragnehmer den Auftraggeber mindestens 30 Tage im Voraus. Der Auftraggeber kann Änderungen aus wichtigem Grund innerhalb dieser Frist schriftlich widersprechen. Kann keine einvernehmliche Lösung gefunden werden, haben beide Parteien das Recht zur ausserordentlichen Kündigung.
Zahlungsdienstleister
Die in der Subunternehmerliste (Anhang 2) aufgeführten Zahlungsdienstleister (PostFinance AG, TWINT AG, Worldline Schweiz AG) handeln für ihre Zahlungsverarbeitungsprozesse als eigenverantwortliche Verarbeiter im Sinne des DSG und unterliegen ihrer eigenen Datenschutzdokumentation sowie den anwendbaren regulatorischen Anforderungen (FINMA, PCI DSS). Der Zahlungsprozess ist technisch vollständig von der AIMI-Plattform getrennt; Zahlungsdienstleister haben keinen Zugang zu E-Mail-Inhalten oder AIMI-Plattformdaten.
§ 7 Betroffenenrechte
Soweit betroffene Personen Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- oder Widerspruchsrechte gegenüber dem Auftragnehmer geltend machen, leitet der Auftragnehmer diese Anfragen unverzüglich an den Auftraggeber weiter.
Der Auftraggeber hat über die Applikation die Möglichkeit, gespeicherte Personendaten jederzeit einzusehen, zu korrigieren und zu löschen.
§ 8 Datenschutzverletzungen
Im Falle einer Verletzung der Sicherheit, die zur unbeabsichtigten oder rechtswidrigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von Personendaten führt oder führen kann, informiert der Auftragnehmer den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden.
Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und -mengen, mögliche Folgen sowie ergriffene oder geplante Massnahmen.
§ 9 Löschung & Rückgabe
Nach Beendigung des Nutzungsvertrags werden alle Personendaten des Auftraggebers innerhalb von 30 Tagen gelöscht. Auf ausdrücklichen Wunsch kann eine Rückgabe der Daten in einem gängigen Format erfolgen (Anfrage an ).
Daten, die aufgrund gesetzlicher Aufbewahrungspflichten aufzubewahren sind (z.B. Buchungsbelege nach OR), werden nach Ablauf der gesetzlichen Fristen gelöscht.
§ 10 Nachweise & Audits
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus diesem AVV zur Verfügung.
Audits durch den Auftraggeber oder durch diesen beauftragte Dritte sind nach vorheriger schriftlicher Ankündigung (mindestens 4 Wochen) und unter Wahrung der berechtigten Vertraulichkeitsinteressen des Auftragnehmers möglich. Kosten für Audits trägt grundsätzlich der Auftraggeber.
§ 11 Anwendbares Recht
Dieser AVV unterliegt Schweizer Recht. Gerichtsstand ist Zürich.
Der AVV tritt mit Abschluss des Abonnements in Kraft und endet automatisch mit Beendigung des Nutzungsvertrags.