Auftragsverarbeitungsvertrag

Zwischen dem Business Kunden, nachfolgend Verantwortlicher genannt, und der Solid Technologies AG, handelnd als Mono, nachfolgend Auftragsverarbeiter genannt.

1. Gegenstand der Vereinbarung Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen im Bereich der Künstlichen Intelligenz über die Mono Plattform. Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.

2. Kategorien betroffener Personen und Art der Daten Die Verarbeitung umfasst Textdaten, Dokumente und Eingaben, die der Verantwortliche in die Mono Plattform überträgt. Davon betroffen sind Mitarbeitende, Kunden und Geschäftspartner des Verantwortlichen. Besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, sind von der Verarbeitung explizit ausgeschlossen. Der Verantwortliche verpflichtet sich, solche sensiblen Daten vor der Eingabe in das System zwingend zu anonymisieren.

3. Nutzung für Trainingszwecke Der Auftragsverarbeiter garantiert hiermit ausdrücklich, dass sämtliche Eingaben und generierten Ausgaben des Verantwortlichen nicht für das Training, die Verbesserung oder die Feinabstimmung der eingesetzten KI Modelle verwendet werden. Dies wird durch die vertraglichen API Vereinbarungen mit den Modell Anbietern sichergestellt.

4. Ort der Datenverarbeitung Die physische Speicherung und das Hosting der Kundendaten erfolgen ausschliesslich auf Servern in Deutschland. Für die Generierung der Antworten werden die Daten als reiner Transitverkehr temporär an die externen KI Schnittstellen übermittelt und dort nicht gespeichert.

5. Unterauftragsverarbeiter Der Verantwortliche stimmt dem Einsatz der folgenden Unterauftragsverarbeiter für die Bereitstellung der KI Modelle zu:

  • Google
  • OpenAI
  • Anthropic
  • OpenRouter

Der Auftragsverarbeiter informiert den Verantwortlichen rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern.

6. Internationale Datentransfers Sofern bei der Nutzung der Unterauftragsverarbeiter ein Datentransfer in die USA stattfindet, stützt sich der Auftragsverarbeiter bei zertifizierten Unternehmen auf die Angemessenheitsbeschlüsse der Schweiz und der EU. Dies erfolgt konkret auf Basis des Swiss US Data Privacy Framework sowie des EU US Data Privacy Framework. Für Anbieter ohne diese Zertifizierung, wie Anthropic und OpenRouter, schliesst der Auftragsverarbeiter die Standardvertragsklauseln der Europäischen Kommission als Rechtsgrundlage für den sicheren Datentransfer ab.

7. Technische und organisatorische Massnahmen Der Auftragsverarbeiter gewährleistet die Sicherheit der Daten durch strenge technische Massnahmen. Alle Daten werden sowohl bei der Übertragung als auch bei der Speicherung auf den Festplatten vollständig verschlüsselt. Der Zugriff auf die Produktionsdatenbank unterliegt restriktiven Zugangskontrollen und ist ausschliesslich auf den Geschäftsführer Jonas Kamber beschränkt. Es haben keine weiteren Mitarbeitenden oder externe Dienstleister Zugriff auf die Daten des Verantwortlichen.

8. Löschung der Daten Gelöschte Chatverläufe oder Accountdaten werden nach Zweckerfüllung aus den aktiven Systemen entfernt. Der Auftragsverarbeiter garantiert, dass sämtliche gelöschten Daten nach einer Frist von maximal 30 Tagen endgültig und unwiderruflich aus allen Backups und Archiven vernichtet werden.