Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO | Version 1.0 | Stand: 27.02.2026
1. Parteien
Auftraggeber (Verantwortlicher):
Name, Anschrift, E-Mail: _________________________________
Auftragnehmer (Auftragsverarbeiter):
Xamu Systems
Stefan Egger
Hauptstrasse 23, 8246 Langwiesen, Schweiz
datenschutz@xamu-systems.com | +41 52 539 14 01
2. Gegenstand und Dauer
Produkte: BMS, SMS, IVS, KI-Telefon-Agent, KI-Chat-Bot, KI-Schulung
Dauer: Für die Nutzung + 90 Tage nach Kündigungsende
3. Art und Zweck der Verarbeitung
Datenarten:
- Kontaktdaten (Name, E-Mail, Telefon)
- Logindaten (Username, Password-Hash)
- Projektdaten (Baustellen, Immobilien, Tickets)
- Anrufdaten und Transkriptionen (max. 30 Tage)
- Analytics-Daten (pseudonymisiert)
Verarbeitungszweck:
- Bereitstellung und Betrieb der SaaS-Anwendungen
- Kundenservice und technischer Support
- Abrechnung und Zahlungsabwicklung
- Sicherheit und Missbrauchsprävention
- Serviceoptimierung (pseudonymisiert)
4. Weisungsrecht
Der Auftraggeber kann schriftliche Weisungen erteilen. Xamu Systems setzt diese unverzüglich um. Kontakt: datenschutz@xamu-systems.com
5. Vertraulichkeit und Mitarbeiterpflichten
Alle Mitarbeiter behandeln Kundendaten vertraulich. Zugriff nur für notwendige Mitarbeiter mit Logging.
6. Technisch-organisatorische Maßnahmen (TOM)
- Verschlüsselung: TLS 1.3, AES-256
- Zugriffskontrolle: 2FA für Admin-Zugriffe
- Netzwerksicherheit: Firewalls, DDoS-Schutz (Cloudflare)
- Backups: Täglich, redundant
- Monitoring: Kontinuierliche Überwachung
- Logging: 90 Tage
- Incident Response: 24h Benachrichtigung
- Penetrationstests: Jährlich
7. Unterauftragsverarbeiter
| Dienste | Zweck | Standort | Rechtsbasis |
|---|---|---|---|
| Anthropic Inc. | KI-Chatbot | USA | EU-SCCs |
| Groq Inc. | MyRealCheck | USA | EU-SCCs |
| Mistral AI | MyRealCheck | Frankreich | DSGVO |
| Google LLC | MyRealCheck | USA | EU-SCCs |
| Vapi.ai | KI-Telefon | USA | EU-SCCs |
| Cloudflare | CDN | USA/EU | EU-SCCs |
| Netcup GmbH | Hosting | Deutschland | DSGVO |
8. Unterstützung bei Betroffenenrechten
Xamu Systems unterstützt bei: Auskunft, Löschung, Berichtigung, Portabilität, Einschränkung. Bearbeitungszeit: 30 Arbeitstage.
9. Audits und Inspektionen
Der Auftraggeber hat Inspektionsrecht und kann unabhängige Audits durchführen.
10. Datenlöschung nach Auftragsende
- 30 Tage Datenmigration nach Kündigungsende
- Vollständige Löschung nach 90 Tagen
- Löschungsbestätigung übermitteln
11. Haftung
Haftung regelt sich nach Schweizer Recht und den AGB von Xamu Systems (§ 8).
12. Schlussbestimmungen
Recht: Schweizer DSG und DSGVO | Änderungen: Mit 30 Tagen Ankündigung
Auftraggeber
____________________
Name, Datum, Unterschrift
Auftragnehmer (Xamu Systems)
____________________
Stefan Egger, 27.02.2026