FlenioFlenio

Auftragsverarbeitungsvertrag (AVV)

Stand: 7. Mai 2026 · Version 2.0 · gemäss Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") regelt die Verarbeitung personen­bezogener Daten durch Innopulse Consulting GmbH, Gotthardstrasse 30, 6300 Zug, Schweiz (UID CHE-219.727.921, im Folgenden „Auftragsverarbeiter" oder „Flenio") im Auftrag des Flenio-Kunden („Verantwortlicher"). Er bildet einen integralen Bestandteil der Nutzungsbedingungen und tritt mit Vertragsschluss automatisch in Kraft.

§ 1 Gegenstand und Dauer

(1) Gegenstand der Verarbeitung sind alle personenbezogenen Daten, die der Verantwortliche im Rahmen der Nutzung von Flenio (Software-as-a-Service-Projektmanagement) eingibt, hochlädt oder durch Mitarbeitende eingeben lässt – insbesondere Namen, E-Mail-Adressen, Aufgaben­inhalte, Kommentare, Anhänge, Custom-Field-Werte, Zeiteinträge.

(2) Dauer: Der AVV gilt für die Laufzeit des Hauptvertrags zwischen den Parteien. Endet der Hauptvertrag, gelten die Pflichten dieses AVV für die in § 8 geregelte Rückgabe- und Löschphase fort.

§ 2 Art und Zweck der Verarbeitung

Bereitstellung von Projektmanagement-Funktionen: Speichern, Anzeigen, Filtern, Suchen, Sortieren, Bearbeiten und Löschen der vom Verantwortlichen eingegebenen Inhalte. Versand von In-App- und E-Mail-Benachrichtigungen über Resend. Optional: Verarbeitung von KI-Prompts über Anthropic gemäss Art. 28 DSGVO.

§ 3 Art der personenbezogenen Daten

  • Stammdaten (Vor-/Nachname, E-Mail, optional Profilbild und Telefon)
  • Authentifizierungs- und Verbindungsdaten
  • Inhaltsdaten (vom Verantwortlichen eingestellte Aufgaben, Kommentare, Anhänge)
  • Kommunikations- und Logdaten
  • Zeit- und Aufwands-Tracking-Daten

§ 4 Kategorien betroffener Personen

  • Mitarbeitende des Verantwortlichen, die Flenio nutzen
  • Externe Mitarbeitende und Gäste, die in einen Workspace eingeladen werden
  • Kunden, Lieferanten oder weitere Dritte, deren Daten in Aufgaben oder Kommentaren erfasst werden

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personen­bezogene Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen. Die Hauptweisungen ergeben sich aus dem Hauptvertrag und der Nutzung der Anwendung; weiter­gehende Weisungen können per E-Mail an datenschutz@flenio.ch erteilt werden.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstösst.

(3) Alle eingesetzten Personen, die Zugang zu personen­bezogenen Daten erhalten, sind nach Art. 28 Abs. 3 lit. b DSGVO zur Vertraulichkeit verpflichtet.

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen Betroffener (Art. 12–22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35) und der Meldung von Datenschutz­verletzungen (Art. 33, 34).

§ 6 Technische und organisatorische Massnahmen (TOM)

Flenio implementiert die folgenden Mass­nahmen nach Art. 32 DSGVO:

6.1 Vertraulichkeit

  • Zutrittskontrolle: Rechen­zentren von Supabase / AWS Zürich (eu-central-2); mehrstufige Zutrittskontrolle inkl. biometrischer Verfahren.
  • Zugangskontrolle: 2-Faktor-Authentifizierung für alle Mitarbeitenden, Single-Sign-On für interne Tools, Passwort-Hashes mit bcrypt.
  • Zugriffskontrolle: Row-Level Security auf Datenbank-Ebene, Workspace-Isolation, rollenbasierte Berechtigungen.
  • Trennungs­kontrolle: getrennte Test-, Staging- und Produktiv­umgebungen.
  • Pseudonymisierung wo praktikabel; KI-Prompts ohne Klarnamen.

6.2 Integrität

  • Weiter­gabekontrolle: TLS 1.3 für sämtliche Übertragungen, Verschlüsselung at rest (AES-256).
  • Eingabe­kontrolle: Audit-Log aller sicherheits­relevanten Aktionen (Anmeldung, Mitglieder­änderungen, Daten­exporte).

6.3 Verfügbarkeit und Belastbarkeit

  • Redundante Architektur, automatische Backups (Point-in-Time-Recovery 7 Tage, Snapshots 30 Tage).
  • SLA 99.9 % im Business-Plan, RPO ≤ 24 Stunden, RTO ≤ 4 Stunden.

6.4 Verfahren zur regelmässigen Überprüfung

  • Vierteljährliche interne Reviews der TOMs.
  • Jährliche externe Penetration-Tests (geplant ab 2027 mit ISO 27001).
  • Logging und Monitoring rund um die Uhr.

§ 7 Unter­auftrags­verarbeiter

(1) Der Verantwortliche erteilt seine allgemeine Einwilligung zur Beauftragung der unter Datenschutzerklärung Ziffer 7 aufgeführten Unter­auftrags­verarbeiter (Sub-Processors).

(2) Bei Wechsel oder Hinzunahme weiterer Sub-Processors informiert Flenio den Verantwortlichen mindestens 30 Tage im Voraus per E-Mail. Der Verantwortliche kann dem Wechsel innert 14 Tagen aus wichtigem Grund widersprechen; in diesem Fall steht beiden Seiten ein ausser­ordent­liches Kündigungs­recht zu.

(3) Mit jedem Sub-Processor besteht ein eigener AVV mit mindestens gleich­wertigen Schutz­massnahmen.

§ 8 Rückgabe und Löschung

(1) Nach Vertrags­ende kann der Verantwortliche während 30 Tagen sämtliche Daten als JSON/CSV exportieren. Während dieser Phase bleibt der Workspace im „Soft-Delete"-Status.

(2) Spätestens 60 Tage nach Vertrags­ende werden alle personen­bezogenen Daten in den Produktiv­systemen gelöscht; Backups werden im Rahmen der nächsten Rotation (≤ 90 Tage) überschrieben.

(3) Eine Aufbewahrung über die genannten Fristen hinaus erfolgt ausschliesslich, soweit gesetzlich vorgeschrieben (z. B. Buchhaltungs­belege nach Art. 958f OR / § 257 HGB).

§ 9 Audit-Rechte

(1) Der Verantwortliche kann sich von der Einhaltung der TOMs überzeugen. Flenio stellt hierzu auf Anfrage einen aktuellen TOM-Bericht sowie verfügbare Zertifikate (z. B. Supabase SOC 2 Type 2) zur Verfügung.

(2) Vor-Ort-Prüfungen sind nach mindestens 30-tägiger Vorankündigung während üblicher Geschäfts­zeiten möglich; Kosten trägt der Verantwortliche, ausser eine wesentliche Pflichtverletzung wird festgestellt.

§ 10 Datenschutz­verletzungen

Flenio meldet Verletzungen des Schutzes personen­bezogener Daten unverzüglich, spätestens innert 24 Stunden nach Bekanntwerden, an datenschutz@flenio.ch bzw. an die hinterlegte Admin-E-Mail des Workspaces. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO geforderten Informationen.

§ 11 Haftung und Schluss­bestimmungen

(1) Die Haftung richtet sich nach den Nutzungs­bedingungen sowie ergänzend nach Art. 82 DSGVO.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt der übrige AVV davon unberührt. An die Stelle der unwirksamen Regelung tritt jene, die dem wirtschaft­lichen Zweck am nächsten kommt.

(3) Es gilt Schweizer Recht unter Ausschluss des UN-Kaufrechts. Soweit zwingende Bestimmungen der DSGVO Anwendung finden, gehen diese vor. Gerichtsstand ist Zug, Schweiz.

§ 12 Unterzeichnung

Mit Annahme der Nutzungsbedingungen und der Buchung eines kosten­pflichtigen Plans gilt dieser AVV als verbindlich abgeschlossen. Eine schriftliche Ausfertigung mit Unter­schriften kann bei Bedarf von Business-Kunden über hallo@flenio.ch angefordert werden.