# Auftragsdatenverarbeitungs-Vertrag (DPA / AVV)
## zwischen first10 GmbH (Auftragsverarbeiterin) und dem Kunden (Verantwortlicher)

**Version 1.0 · Gültig ab: [DATUM]**

---

## Präambel

Dieser Auftragsdatenverarbeitungs-Vertrag ("DPA", "AVV") ergänzt die Allgemeinen Geschäftsbedingungen (AGB) der first10 GmbH für die Plattform cantica.ch. Er regelt die datenschutzrechtlichen Pflichten der Parteien im Sinne von **Art. 9 revDSG**, Art. 28 DSGVO (bei Geltung) sowie aller einschlägigen Verordnungen.

---

## 1. Parteien

### Verantwortlicher
Der **Kunde** gemäss AGB ist datenschutzrechtlich Verantwortlicher im Sinne von Art. 5 lit. j revDSG / Art. 4 Ziff. 7 DSGVO.

### Auftragsverarbeiterin
**first10 GmbH**
[Adresse, PLZ Ort]
UID: CHE-[Nummer]
Kontakt Datenschutz: privacy@cantica.ch

handelt als Auftragsverarbeiterin im Sinne von Art. 9 revDSG / Art. 4 Ziff. 8 DSGVO.

---

## 2. Gegenstand, Art und Zweck der Verarbeitung

### 2.1 Gegenstand
first10 GmbH verarbeitet Personendaten im Namen und auf Weisung des Kunden ausschliesslich zur Erbringung der vertraglich vereinbarten Plattform-Dienstleistungen (cantica.ch und assoziierte Apps).

### 2.2 Art der Verarbeitung
Die Verarbeitung umfasst insbesondere: Erfassen, Strukturieren, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln, Löschen sowie damit verbundene technische Verarbeitungsschritte.

### 2.3 Zweck
- Erbringung der bestellten cantica-Dienstleistungen;
- Integration mit der bexio-Plattform und weiteren Drittsystemen, soweit vom Kunden autorisiert;
- Bereitstellung von Sicherheits-, Audit- und Compliance-Funktionen;
- Erfüllung gesetzlicher Aufbewahrungspflichten.

### 2.4 Dauer
Die Verarbeitung dauert für die Laufzeit des Vertragsverhältnisses sowie für die nachvertragliche Aufbewahrung gemäss Ziff. 9.

---

## 3. Kategorien der Daten und Betroffenen

### 3.1 Kategorien betroffener Personen
- Mitarbeitende des Kunden (mit System-Zugang);
- Kunden und Lieferanten des Kunden, deren Daten via bexio synchronisiert werden;
- Geschäftspartner, deren Belege/Rechnungen verarbeitet werden;
- gegebenenfalls Endkunden des Kunden (z. B. bei Shopify-Integration).

### 3.2 Kategorien personenbezogener Daten
- **Identifikationsdaten**: Name, Vorname, Firma, Anrede;
- **Kontaktdaten**: E-Mail, Telefon, Anschrift;
- **Geschäftsdaten**: UID, Bankverbindung, IBAN, Rechnungs-Nr.;
- **Transaktionsdaten**: Belege, Rechnungen, Zahlungen, Buchungssätze;
- **Authentifizierungsdaten**: OAuth-Tokens (verschlüsselt), Session-IDs;
- **Nutzungsdaten**: Logs, IP-Adressen, Timestamps;
- **Inhalte**: hochgeladene Dokumente, PDFs, Bilder.

### 3.3 Ausgenommene Daten
**Besonders schützenswerte Personendaten** im Sinne von Art. 5 lit. c revDSG (Gesundheitsdaten, biometrische Daten, religiöse/weltanschauliche Daten etc.) sind **nicht Gegenstand** dieses Vertrages. Der Kunde verpflichtet sich, solche Daten nicht in die Plattform einzustellen.

---

## 4. Pflichten der Auftragsverarbeiterin (first10 GmbH)

### 4.1 Weisungsgebundenheit
first10 GmbH verarbeitet Personendaten ausschliesslich auf Grundlage **dokumentierter Weisungen** des Kunden, einschliesslich dieser Vereinbarung und der AGB.

### 4.2 Vertraulichkeit
first10 GmbH verpflichtet ihre Mitarbeitenden und Subprozessoren zur Vertraulichkeit und Einhaltung der datenschutzrechtlichen Bestimmungen.

### 4.3 Technische und organisatorische Massnahmen (TOMs)
first10 GmbH ergreift die in **Anhang A** dokumentierten TOMs und passt diese laufend dem Stand der Technik an.

### 4.4 Unterstützungspflichten
first10 GmbH unterstützt den Kunden in angemessenem Umfang:
- bei der Wahrnehmung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenportabilität);
- bei Sicherheits-Meldungen an Aufsichtsbehörden gemäss Art. 24 revDSG;
- bei Datenschutz-Folgenabschätzungen, soweit gesetzlich vorgeschrieben.

### 4.5 Datenpannen-Meldung
first10 GmbH meldet dem Kunden eine Datenpanne unverzüglich, spätestens jedoch **innerhalb von 48 Stunden** nach Kenntnis, sofern eine solche Meldung gegenüber Aufsichtsbehörden oder Betroffenen wahrscheinlich erforderlich ist.

### 4.6 Audit-Recht
first10 GmbH stellt dem Kunden auf Anfrage und in angemessenem zeitlichem Abstand (max. einmal pro Jahr, ausser bei begründetem Verdacht) Informationen zur Verfügung, die zur Überprüfung der Einhaltung dieses DPA erforderlich sind. Der Kunde trägt die Kosten eines Audits.

---

## 5. Pflichten des Kunden (Verantwortlicher)

### 5.1 Rechtmässigkeit
Der Kunde stellt sicher, dass eine gültige Rechtsgrundlage für die Verarbeitung der Daten besteht (Einwilligung, Vertrag, gesetzliche Pflicht, berechtigtes Interesse).

### 5.2 Informationspflichten
Der Kunde informiert seine betroffenen Personen (Mitarbeitende, eigene Kunden) ordnungsgemäss über die Verarbeitung.

### 5.3 Beauftragung
Der Kunde nimmt zur Kenntnis und stimmt zu, dass first10 GmbH zur Erbringung der Plattform-Dienste die in Anhang B gelisteten Subprozessoren einsetzt.

### 5.4 Datenrichtigkeit
Der Kunde ist für die Richtigkeit und Aktualität der eingebrachten Daten verantwortlich.

---

## 6. Subprozessoren

### 6.1 Generelle Genehmigung
Der Kunde erteilt mit Abschluss dieses DPA seine generelle vorgängige schriftliche Genehmigung im Sinne von Art. 9 Abs. 3 revDSG / Art. 28 Abs. 2 DSGVO zur Heranziehung von Subprozessoren gemäss Anhang B.

### 6.2 Information bei Änderungen
Bei Beauftragung weiterer Subprozessoren oder Wechsel bestehender informiert first10 GmbH den Kunden **mindestens 30 Tage vorher** per E-Mail oder durch Aktualisierung der Subprozessor-Liste auf cantica.ch/legal/subprocessors.

### 6.3 Einspruchsrecht
Der Kunde kann gegen die Beauftragung eines neuen Subprozessors innerhalb von 14 Tagen aus wichtigen datenschutzrechtlichen Gründen Einspruch erheben. Können die Parteien keine Einigung erzielen, sind beide zur ausserordentlichen Kündigung des Hauptvertrages berechtigt.

### 6.4 Vertragliche Verpflichtung
first10 GmbH verpflichtet ihre Subprozessoren vertraglich zu mindestens denselben Datenschutzpflichten, die in diesem DPA festgehalten sind.

---

## 7. Datentransfer in Drittstaaten

### 7.1 Speicherort
Die primäre Datenverarbeitung erfolgt in der Schweiz und/oder im **EWR/EU**:
- Cloudflare D1/R2/Workers: globales Edge-Netzwerk mit EU-Region-Pinning;
- Hetzner Cloud: Falkenstein, Deutschland;
- Stripe: Irland (EU-Entity);
- Resend / Postmark: EU-Server gewählt.

### 7.2 Drittstaaten-Transfer
Bei Übermittlungen in Drittstaaten ausserhalb des EWR (insbesondere USA für OpenAI/Anthropic, falls KI-Funktionen genutzt werden) basiert die Übermittlung auf:
- aktuelle EU-Standardvertragsklauseln (SCC) oder gleichwertigen Garantien;
- in der Schweiz: revDSG-anerkannten Übermittlungsmechanismen;
- ggf. zusätzlichen technischen Massnahmen (Verschlüsselung, Pseudonymisierung).

### 7.3 Information
Eine aktuelle Übersicht über sämtliche Datentransfers findet sich unter cantica.ch/legal/datentransfers.

---

## 8. Unterstützung bei Betroffenenrechten

### 8.1 Bearbeitung von Anfragen
Wendet sich eine betroffene Person mit einem Auskunfts-, Berichtigungs-, Lösch- oder Sperrungsbegehren direkt an first10 GmbH, leitet first10 GmbH diese Anfrage unverzüglich an den Kunden weiter und unterstützt diesen bei der Bearbeitung.

### 8.2 Technische Unterstützung
first10 GmbH stellt im Self-Service Dashboard Funktionen zur Verfügung, mit denen der Kunde Betroffenenrechte effizient bearbeiten kann (Export, Anonymisierung, Löschung).

---

## 9. Aufbewahrungsfristen und Löschung

### 9.1 Während der Vertragsdauer
Daten werden während der Vertragsdauer in der Plattform vorgehalten.

### 9.2 Nach Vertragsende
| Datenkategorie | Aufbewahrung |
|----------------|--------------|
| Kunden-Konfiguration, Tenant-Daten | 60 Tage nach Vertragsende (Export-Fenster 30 Tage, danach 30 Tage Lösch-Karenz) |
| Belege/Buchhaltungs-Dokumente | 10 Jahre, soweit OR 957 ff. anwendbar (Kunde kann verkürzte Löschung verlangen) |
| Audit-Logs | 24 Monate |
| Backups | 30 Tage Rotation |

### 9.3 Endgültige Löschung
Nach Ablauf der Aufbewahrungsfristen werden Daten nach dem **DoD-5220-Standard** unwiderruflich gelöscht (bei Cloud-Backups via Provider-Schnittstellen).

---

## 10. Haftung und Schadensersatz

Es gelten die Haftungsregelungen der AGB Ziff. 7. Davon unberührt bleiben Schadensersatzansprüche aus rechtskräftig festgestellten Verletzungen des Datenschutzes durch first10 GmbH oder Subprozessoren.

---

## 11. Anwendbares Recht und Gerichtsstand

Es gelten die Bestimmungen der AGB Ziff. 15.3 und 15.4 entsprechend.

---

## Anhang A — Technische und organisatorische Massnahmen (TOMs)

### A.1 Zutritts- und Zugriffskontrolle
- AES-256-Verschlüsselung sämtlicher Bexio-OAuth-Refresh-Tokens at-rest in Cloudflare D1
- Worker-Secrets via Cloudflare Secret-Store, Zugriff nur durch autorisierte Worker-Funktionen
- Production-Datenbank-Zugang nur über IAM-gebundene CLI-Tools
- Zwei-Faktor-Authentifizierung (2FA/TOTP) Pflicht für alle Admin-User
- Audit-Log jeder Admin-Aktion

### A.2 Transportverschlüsselung
- TLS 1.3 (HSTS Pflicht) für sämtliche Kunden- und API-Verbindungen
- Cloudflare R2: serverseitige Verschlüsselung at-rest
- Webhook-Aufrufe an Kunden: HMAC-SHA256-signiert

### A.3 Trennung der Daten
- Multi-Tenant-Architektur mit logischer Trennung über `tenant_id` in jedem D1-Schema
- Cloudflare Queues mit per-Tenant-Routing
- Row-Level-Security auf D1-Ebene durch parametrisierte Queries

### A.4 Verfügbarkeit
- Tägliche automatische Backups nach R2 mit Object-Lock (30 Tage)
- Cross-Region-Backup für kritische Datasets
- Disaster-Recovery-Plan, getestet alle 6 Monate
- Status-Page mit Real-Time-Monitoring (status.cantica.ch)

### A.5 Integrität und Verifizierbarkeit
- Unveränderbares Audit-Log für sämtliche kritische Operationen
- Versionierung der Konfigurationen
- SHA-256-Hash-Verifizierung bei Beleg-Uploads

### A.6 Pseudonymisierung und Anonymisierung
- Daten in Logs werden, wo möglich, pseudonymisiert
- KI-Verarbeitung (OCR): Belege werden nicht zum Modell-Training freigegeben (entsprechende API-Konfiguration)

### A.7 Organisatorisch
- Datenschutz-Schulung der Mitarbeitenden
- Need-to-know-Prinzip bei Datenzugriff
- Vertraulichkeits-NDAs für alle Mitarbeitenden und Auftragnehmer
- Penetration-Test alle 12 Monate
- Incident-Response-Playbook

---

## Anhang B — Liste der Subprozessoren

> Aktuelle Fassung jederzeit unter **cantica.ch/legal/subprocessors**

| Subprozessor | Zweck | Standort der Datenverarbeitung | DPA-Grundlage |
|--------------|-------|--------------------------------|----------------|
| Cloudflare Inc. | Hosting, CDN, Workers, D1, R2, KV | Global (CH/EU-Region) | CF Standard-DPA, SCC |
| Hetzner Online GmbH | Backup-/Engine-Infrastruktur | Falkenstein/Nürnberg, DE | DE-Recht, GDPR |
| Stripe Payments Europe Ltd. | Billing, Zahlungsabwicklung | Irland (EU-Entity) | Stripe DPA, SCC |
| OpenAI Ireland Ltd. | KI-Verarbeitung (OCR, Assistent), optional | EU/USA (mit SCC) | OpenAI DPA, SCC |
| Anthropic PBC | KI-Verarbeitung (alternative Engine) | USA (mit SCC) | Anthropic DPA, SCC |
| Resend Inc. / Postmark | Transaktionsmails | USA/EU | Standard-DPA, SCC |
| Sentry Inc. (sentry.io) | Error-Tracking | EU-Region (DE) | Standard-DPA, SCC |
| Crisp IM SARL | Customer-Support-Chat | Nantes, FR (EU) | Standard-DPA, GDPR |
| Cloudflare R2 (Backup-Region) | Geo-redundante Backups | EU | wie Cloudflare |

---

**Schlussbestätigung**

Mit der Annahme dieses DPA bestätigen beide Parteien die rechtmässige und datenschutzkonforme Verarbeitung im Sinne von revDSG und – soweit anwendbar – DSGVO.

**Ort/Datum:** _________________________

**Für first10 GmbH:** _________________________

**Für den Kunden:** _________________________