Auftragsverarbeitungsvertrag (AVV)

1. Parteien

Auftraggeber (Verantwortlicher):

Name, Anschrift, E-Mail: _________________________________

Auftragnehmer (Auftragsverarbeiter):

Xamu Systems
Stefan Egger
Hauptstrasse 23, 8246 Langwiesen, Schweiz
datenschutz@xamu-systems.com | +41 52 539 14 01

2. Gegenstand und Dauer

Produkte und Dienstleistungen: BMS, SMS, IVS, KI-Telefon-Agent, KI-Chat-Bot, KI-Schulung, Webdesign, SEO & GEO-Optimierung, Managed Hosting (Serverplatz inkl. Domain)

Dieser Vertrag gilt für alle oben genannten Produkte und Dienstleistungen von Xamu Systems, die im Rahmen des jeweiligen Servicevertrags erbracht werden. Für Webdesign- und Hosting-Kunden umfasst der Gegenstand insbesondere den Betrieb der Kundenwebsite auf Servern von Xamu Systems sowie die damit verbundene Verarbeitung von Besucherdaten.

Dauer: Für die Laufzeit des Servicevertrags + 90 Tage nach Vertragsende

3. Art und Zweck der Verarbeitung

Datenarten:

• Kontaktdaten (Name, E-Mail, Telefon)
• Logindaten (Username, Password-Hash)
• Projektdaten (Baustellen, Immobilien, Tickets)
• Anrufdaten und Transkriptionen (max. 30 Tage)
• Analytics-Daten (pseudonymisiert)
• Website-Besucherdaten (IP-Adressen, Server-Logs, Zugriffszeitpunkte) — nur bei Webdesign/Hosting
• Formulardaten der Endnutzer der Kundenwebsite — nur bei Webdesign/Hosting

Verarbeitungszweck:

• Bereitstellung und Betrieb der SaaS-Anwendungen
• Hosting und technischer Betrieb von Kundenwebsites (Managed Hosting)
• Bereitstellung und Verwaltung von Domains im Auftrag des Kunden
• Kundenservice und technischer Support
• Abrechnung und Zahlungsabwicklung
• Sicherheit und Missbrauchsprävention
• Serviceoptimierung (pseudonymisiert)

4. Weisungsrecht

Der Auftraggeber kann schriftliche Weisungen erteilen. Xamu Systems setzt diese unverzüglich um. Kontakt: datenschutz@xamu-systems.com

5. Vertraulichkeit und Mitarbeiterpflichten

Alle Mitarbeiter behandeln Kundendaten vertraulich. Zugriff nur für notwendige Mitarbeiter mit Logging.

6. Technisch-organisatorische Maßnahmen (TOM)

• Verschlüsselung: TLS 1.3, AES-256
• Zugriffskontrolle: 2FA für Admin-Zugriffe
• Netzwerksicherheit: Firewalls, DDoS-Schutz (Cloudflare)
• Backups: Täglich, redundant (Restic, verschlüsselt)
• Mandantentrennung: Separate nginx-vHosts und PHP-FPM-Pools pro Kundenwebsite
• Monitoring: Kontinuierliche Überwachung
• Logging: 90 Tage
• Incident Response: Benachrichtigung des Auftraggebers innerhalb von 24h bei sicherheitsrelevanten Vorfällen
• Penetrationstests: Jährlich

7. Unterauftragsverarbeiter

Änderungen an Unterauftragsverarbeitern werden dem Auftraggeber mit 30 Tagen Vorlauf mitgeteilt. Widerspruchsrecht bleibt vorbehalten.

8. Unterstützung bei Betroffenenrechten

Xamu Systems unterstützt bei: Auskunft, Löschung, Berichtigung, Portabilität, Einschränkung. Bearbeitungszeit: 30 Arbeitstage.

9. Audits und Inspektionen

Der Auftraggeber hat Inspektionsrecht und kann unabhängige Audits durchführen lassen. Kosten trägt der Auftraggeber, sofern kein Verstoß festgestellt wird.

10. Datenlöschung nach Auftragsende

• 30 Tage Datenmigration nach Vertragsende (auf Anfrage)
• Vollständige Löschung aller Kundendaten nach 90 Tagen
• Bei Webdesign/Hosting: Abschaltung der Website und Freigabe der Domain nach Ablauf der Frist
• Löschungsbestätigung wird auf Wunsch schriftlich übermittelt

11. Haftung

Haftung regelt sich nach Schweizer Recht und den AGB von Xamu Systems (§ 8). Für Datenverluste infolge höherer Gewalt oder Handlungen Dritter wird keine Haftung übernommen, soweit Xamu Systems die gebotene Sorgfalt walten liess.

12. Schlussbestimmungen

Anwendbares Recht: Schweizer DSG (revDSG) und, soweit anwendbar, EU-DSGVO

Gerichtsstand: Langwiesen, Kanton Zürich, Schweiz

Änderungen: Mit 30 Tagen schriftlicher Ankündigung. Bei wesentlichen Änderungen hat der Auftraggeber ein ausserordentliches Kündigungsrecht.

Versionshistorie: 1.0 (27.02.2026) — Erstversion | 1.2 (02.05.2026) — SEO & GEO ergänzt