Sub-Processor DPA (Sub-Auftragsdatenverarbeitungs-Vertrag) nach nDSG + DSGVO

SUB-AUFTRAGSDATENVERARBEITUNGS-VERTRAG (SUB-DPA)

Ndsg Art. 9 + DSGVO Art. 28 + EU SCC 2021/914 Module 2/3 + 2021/915

Zwischen den vorgenannten Parteien wird der folgende Sub-Auftragsdatenverarbeitungs-Vertrag abgeschlossen, gestützt auf den Master-Auftragsdatenverarbeitungs-Vertrag (Master-AVV) zwischen Brunner Innovation AG (CH-Sitz, Zürich) (Verantwortlicher / Controller) und AV1 (Referenz: Master-AVV CloudFlow ↔ Brunner Innovation vom 1.6.2026, Vertrags-Nr. AVV-2026-087), sowie unter Anwendung von nDSG Art. 9 (Auftragsbearbeitung), DSGVO Art. 28 (Auftragsverarbeitung) und den anwendbaren EU Standardvertragsklauseln (SCCs 2021/914 + 2021/915).

(a) Gegenstand: AV1 betraut AV2 mit der Verarbeitung von Personendaten im Auftrag und auf Weisung von AV1 (der seinerseits auf Weisung des Verantwortlichen handelt). AV2 erbringt folgende Leistung: Bereitstellung der Microsoft Azure Cloud-Infrastruktur (IaaS + PaaS) für den Betrieb der CloudFlow SaaS-Plattform, einschliesslich Compute (VMs), Storage (Blob, Files), Datenbank (Azure SQL), Identity (Entra ID) und Backup-Dienste.

(b) Datenarten: Identifikations-Daten (Vorname, Nachname, E-Mail-Adresse, Mitarbeiter-ID); Geschäfts-Daten (Vertragsdaten, Rechnungs-Daten, Projekt-Daten); Nutzungsdaten (Login-Timestamp, IP-Adresse, User-Agent, Aktivitäts-Logs); Kommunikations-Daten (E-Mail-Inhalt, Chat-Verlauf, gespeicherte Dokumente).

(c) Kategorien betroffener Personen: Mitarbeitende von Brunner Innovation AG (~80 Personen) sowie Kunden- und Geschäftspartner-Kontakte (~3'500 Personen).

(d) Verarbeitungs-Dauer: Während der gesamten Vertragslaufzeit des Master-AVV CloudFlow ↔ Brunner Innovation, längstens bis zur ordnungsgemässen Datenrückgabe und -löschung 30 Tage nach Vertragsende.

(a) Weisungs-Pflicht: AV2 verarbeitet die Personendaten ausschliesslich auf dokumentierte Weisung von AV1, der seinerseits auf Weisung des Verantwortlichen handelt. Weisungen können in Textform (E-Mail, Ticket-System) erteilt werden. AV2 informiert AV1 unverzüglich, wenn eine Weisung gegen anwendbares Datenschutzrecht verstösst (nDSG Art. 9 Abs. 3; DSGVO Art. 28 Abs. 3 lit. h).

(b) Zweckbindung: Eine Verarbeitung zu eigenen Zwecken des AV2 ist untersagt. Eine Weiterverwendung anonymisierter / aggregierter Daten zu Statistik- oder Verbesserungs-Zwecken ist nur mit ausdrücklicher schriftlicher Zustimmung des Verantwortlichen (über AV1) zulässig.

(c) Vertraulichkeit: AV2 verpflichtet zur Vertraulichkeit alle Personen, die mit der Verarbeitung betraut sind (NDA / Geheimhaltungs-Verpflichtung im Arbeitsvertrag); Verstösse können disziplinarische und strafrechtliche Folgen haben.

AV2 implementiert geeignete technische und organisatorische Massnahmen nach nDSG Art. 8 und DSGVO Art. 32, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

• Verschlüsselung at rest: AES-256 (Storage Service Encryption, Customer-Managed Keys in Azure Key Vault)
• Verschlüsselung in transit: TLS 1.3 erzwungen
• Zugriffs-Kontrolle: Microsoft Entra ID + Conditional Access + Multi-Faktor-Authentisierung Pflicht
• Backup: täglich, geo-redundant CH-Nord/West Europa, 35 Tage Retention
• Monitoring: Azure Sentinel + Defender for Cloud (24/7 SOC)
• Zertifizierungen: ISO 27001, ISO 27017, ISO 27018, ISO 27701, SOC 2 Type II, C5 (BSI), HIPAA, GxP
• Mitarbeitenden-Screening: alle Operations-Mitarbeitenden mit Zugriff auf Personendaten Background-Checked

AV2 weist die TOM-Umsetzung auf Verlangen durch geeignete Zertifikate oder Reports nach (siehe Audit-Klausel Expert-Abschnitt).

(a) Sub-Sub-Auftragsverarbeitung: AV2 darf keine weiteren Sub-Auftragsverarbeiter ohne vorgängige schriftliche Genehmigung von AV1 (der den Verantwortlichen einbezieht) einsetzen. Anfrage mit Identifikation Sub-AV, Verarbeitungs-Zweck, Sitz, Garantien; Genehmigung erfolgt explizit oder durch Stillschweigen binnen 14 Tagen. Bereits eingesetzte Sub-AVs sind im Anhang aufzuführen; neue erfordern erneute Genehmigung.

(b) Datenpannen-Meldung (nDSG Art. 24 + DSGVO Art. 33): AV2 meldet AV1 jede Datenpanne unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält: Art der Verletzung, Anzahl betroffene Personen, Datenkategorien, wahrscheinliche Folgen, getroffene Massnahmen. AV1 leitet die Meldung an den Verantwortlichen weiter, der seinerseits innerhalb 72 Stunden den EDÖB (bei CH-Bezug) und/oder die zuständige EU-Aufsichts-Behörde informiert.

(c) Mitwirkungs-Pflicht: AV2 unterstützt AV1 und den Verantwortlichen bei der Wahrung von Betroffenen-Rechten (Auskunft, Berichtigung, Löschung, Datenportabilität — nDSG Art. 25-26; DSGVO Art. 15-22), der Durchführung von Datenschutz-Folgenabschätzungen (nDSG Art. 22; DSGVO Art. 35) und der vorgängigen Konsultation der Aufsichts-Behörde.

Bei Beendigung dieses Sub-DPA — gleich aus welchem Grund — übergibt AV2 sämtliche Personendaten in einem strukturierten, gängigen und maschinenlesbaren Format (z.B. JSON, CSV, Parquet) an AV1 zurück und löscht sie anschliessend vollständig aus seinen Systemen (einschliesslich Backups, sofern technisch möglich, sonst innerhalb der nächsten Backup-Rotation, max 90 Tage). Die Löschung wird AV1 schriftlich bestätigt. Eine Aufbewahrung über das Vertragsende hinaus ist nur zulässig, soweit eine gesetzliche Aufbewahrungs-Pflicht besteht (z.B. Finanzbuch-Vorschriften OR Art. 962a) und sich auf den dafür erforderlichen Mindestumfang beschränkt.

Bei Verarbeitung von Personendaten in einem Drittland ohne Angemessenheits-Beschluss (nDSG Art. 16 + DSV Anhang 1; DSGVO Art. 45-46) finden die EU Standardvertragsklauseln Anwendung.

Modul 3 (Processor → Sub-Processor in Drittland): Anwendbar im klassischen Drei-Schicht-Modell — Verantwortlicher (Controller, EU/CH) → AV1 (Processor, EU/CH) → AV2 (Sub-Processor, Drittland). Die Standardvertragsklauseln aus EU Implementing Decision 2021/914 Modul 3 bilden integralen Bestandteil dieses Vertrags. Insbesondere übernimmt AV2 die Pflicht, AV1 bei der Erfüllung seiner Verpflichtungen gegenüber dem Verantwortlichen zu unterstützen.

Anhänge zur SCC: Anhang I.A: vollständig; Anhang I.B: Datenkategorien wie oben; Anhang II: Azure Trust Center TOM-Übersicht; Anhang III: leer (keine Sub-Sub-Processoren ohne Genehmigung)

Schrems II Risiko-Bewertung (EuGH C-311/18): AV1 und AV2 führen vor Vertragsabschluss eine dokumentierte Risiko-Bewertung des Drittland-Datenschutz-Niveaus durch (insbesondere Zugriff staatlicher Behörden, Massenüberwachungs-Programme). Bei Bedarf werden ergänzende technische, organisatorische und vertragliche Massnahmen ergriffen (z.B. End-to-End-Verschlüsselung mit ausschliesslich beim Verantwortlichen verbleibendem Key, Pseudonymisierung vor Übermittlung, vertragliche Drittland-Zugriffs-Anzeige-Klauseln).

FADP/nDSG Annex zu EU SCCs (EDÖB Anerkennung Juni 2021): Soweit der Verantwortliche seinen Sitz in der Schweiz hat oder die Verarbeitung CH-Bezug aufweist, werden die EU SCC durch folgenden FADP-Annex ergänzt:
• Anwendbares Recht: Schweizer Recht (nDSG) ersetzt EU-Recht-Referenzen, soweit der Verantwortliche CH-Sitz hat;
• Begriffs-Adaption: "Personendaten" anstelle von "personenbezogene Daten"; "betroffene Person" bleibt anwendbar; "Verantwortlicher" bleibt anwendbar;
• Drittland-Definition: Drittland im Sinne von nDSG Art. 16 + DSV Anhang 1 (Staat ohne angemessenes Datenschutz-Niveau);
• Vorrang nDSG-Schutz: Soweit nDSG einen höheren Schutzstandard als DSGVO vorsieht, gilt der höhere Standard.

EDÖB als Aufsichts-Behörde (FDPIC — Federal Data Protection and Information Commissioner): Soweit der Verantwortliche seinen Sitz in der Schweiz hat, ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die zuständige Aufsichts-Behörde. AV2 anerkennt die Zuständigkeit des EDÖB für Beschwerden betroffener Personen, Aufsichtsmassnahmen und Datenpannen-Meldungen. Bei dualer Geltung (EU + CH) erfolgt eine koordinierte Aufsicht zwischen EDÖB und der zuständigen EU-Aufsichts-Behörde des Verantwortlichen.

nDSG-Vorrang-Klausel: Soweit das nDSG einen höheren Schutzstandard als die DSGVO oder andere ausländische Datenschutz-Rechte vorsieht (insbesondere bei besonders schützenswerten Personendaten nDSG Art. 5 lit. c, Profiling mit hohem Risiko nDSG Art. 5 lit. f, oder Verarbeitung im öffentlichen Sektor), gilt der höhere nDSG-Schutz vorrangig. Eine vertragliche Absenkung des nDSG-Schutz-Niveaus durch ausländische Klauseln ist nichtig (nDSG Art. 60 Abs. 1; ZGB Art. 19 + 27).

Audit-Recht-Kette (Verantwortlicher → AV1 → AV2): Der Verantwortliche hat das Recht, durch AV1 oder direkt das Audit-Recht gegenüber AV2 auszuüben.

Pre-Audit-Notice 60 Tage: AV1 kann bei AV2 alle 24 Monate ein Audit durchführen, mit Vorankündigung von mindestens 60 Tagen (für stark regulierte Anbieter wie Hyperscaler).

ISO/SOC-Standard-Berichte als Audit-Alternative: AV2 stellt ISO 27001, ISO 27018, SOC 2 Type II Reports — jährliche Aktualisierung via Azure Service Trust Portal (jährliche Aktualisierung) als Standard-Audit-Alternative zur Verfügung. Sofern die Standard-Berichte angemessen die TOM-Wirksamkeit nachweisen, kann AV1 auf ein eigenes Vor-Ort-Audit verzichten. Die Berichte werden auf Anfrage innerhalb 30 Tagen kostenfrei zur Verfügung gestellt.

(a) Anwendbares Recht: Dieser Sub-DPA untersteht schweizerischem Recht; bei Drittland-Transfer-Klauseln gelten die EU SCC mit Gerichtsstand am Sitz des Verantwortlichen.

(b) Gerichtsstand: Gericht am Zürich; für betroffene Personen-Klagen besteht zusätzlich ein Wahl-Gerichtsstand am eigenen Wohnsitz (nDSG Art. 32 Abs. 2; DSGVO Art. 79 Abs. 2).

(c) Verhältnis zu Master-AVV: Bei Widersprüchen zwischen diesem Sub-DPA und dem Master-AVV gilt die für die betroffenen Personen günstigere Regelung. AV2 anerkennt die im Master-AVV gegenüber dem Verantwortlichen eingegangenen Verpflichtungen und verpflichtet sich, AV1 die Erfüllung dieser Pflichten zu ermöglichen (Erfüllungshilfe).

(d) Schriftform: Änderungen und Ergänzungen bedürfen der Schriftform (OR Art. 11 ff.; die qualifizierte elektronische Signatur ZertES ist gleichgestellt).

(e) Salvatorische Klausel: Unwirksamkeit einzelner Bestimmungen lässt die übrigen unberührt. Unwirksame Bestimmungen werden durch wirksame Regelungen ersetzt, die dem datenschutzrechtlichen Schutzziel möglichst nahekommen.

Ort und Datum: Zürich, 20. Juni 2026

ZU URKUND DESSEN haben die Parteien diese Vereinbarung am angegebenen Datum unterzeichnet.