Zwischen der Liegenschaftsverwaltung/dem Nutzer des Services "ObjektAgent" (nachfolgend "Verantwortlicher") und der PYTHOS AG, Bachstrasse 29, 4566 Kriegstetten (nachfolgend "Auftragsbearbeiter"). Durch die aktive Nutzung der ObjektAgent-Plattform gilt dieser Vertrag als elektronisch akzeptiert.
1. Gegenstand und Zweck der Bearbeitung
Dieser ADV regelt die Rechte und Pflichten im Rahmen der Bearbeitung von Personendaten, die der Verantwortliche dem Auftragsbearbeiter zur Erbringung der Dienstleistungen gemäss den AGB überlässt.
Zweck: Automatisierung von Verwaltungsprozessen, KI-gestützte Vorkontierung von Handwerkerrechnungen, Mietzins-Matching (MT940), Mieter-Kommunikation via QR-Codes und fälschungssichere Protokollierung von Mutationen über ein Echtzeit-Audit-Log.
2. Kategorien von Daten und Betroffenen
- Datenkategorien: Stammdaten von Mietern, Eigentümern und Handwerkern (Name, Adresse, Kontaktdaten), Finanzdaten (Mietzinse, Beträge, IBAN), sowie Transaktionsdaten auf den hochgeladenen Dokumenten und Schadensmeldungen.
- Betroffene Personen: Mitarbeitende des Verantwortlichen sowie dessen Mieter, Eigentümer und Handwerker.
3. Pflichten des Auftragsbearbeiters (Zero-Data-Training)
Der Auftragsbearbeiter bearbeitet die Personendaten ausschliesslich auf dokumentierte Weisung des Verantwortlichen (Nutzung der Software).
Garantie für Künstliche Intelligenz: Der Auftragsbearbeiter garantiert, dass die hochgeladenen Dokumente und Mieteranliegen niemals zum Training von öffentlichen oder privaten Machine-Learning-Modellen der eingesetzten KI-Provider (Google Vertex AI / Gemini) verwendet werden (Zero-Data-Training).
4. Technische und Organisatorische Massnahmen (TOM)
Der Auftragsbearbeiter verpflichtet sich zur Einhaltung strenger Sicherheitsstandards:
- Hosting (Datenstandort): Alle Daten werden zwingend auf Servern der Google Cloud in der Schweiz (Region: europe-west6, Zürich) gespeichert.
- Echtzeit-Audit-Log: Jede finanz- oder mietrechtlich relevante Mutation wird mit kryptografischen Zeitstempeln lückenlos historisiert.
- Verschlüsselung: Alle Daten werden "in transit" (TLS 1.3) und "at rest" verschlüsselt. Zugangsdaten werden gehasht (Argon2).
5. Unterauftragsbearbeiter (Sub-Prozessoren)
Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsbearbeiter zu. Der Auftragsbearbeiter stellt sicher, dass diese den strengen Schweizer Datenschutzanforderungen unterliegen:
| Unternehmen | Zweck / Leistung | Standort |
|---|---|---|
| Google Cloud (GCP) | Hosting, Cloud-Storage, PostgreSQL DB | Zürich, CH |
| Google Vertex AI (Gemini) | KI-gestützte Datenextraktion (ohne Training) | Zürich, CH (Routing) |
| Stripe, Inc. | Abrechnung und Micro-Payments (Endkunden) | EU / Global |
6. Löschung, Rückgabe und Eigenverantwortung (GeBüV)
Nach Beendigung der Vertragsbeziehung oder auf aktiven Wunsch des Verantwortlichen (Auslösen der Lösch-Funktion im Interface) werden die Personendaten unwiderruflich gelöscht. Der Auftragsbearbeiter nimmt keine Daten als Geisel und blockiert keine Löschvorgänge.
GeBüV-Haftungsausschluss: Die Verantwortung für die Einhaltung der 10-jährigen gesetzlichen Aufbewahrungspflicht für Geschäftsunterlagen gemäss der Schweizer GeBüV und OR 957a liegt vollumfänglich und ausschliesslich beim Verantwortlichen. Löscht der Verantwortliche Daten im ObjektAgent, ist er selbst dafür verantwortlich, vorab lückenlose Backups und Exporte (Journale, PDFs und Audit-Logs) zu ziehen. Der Auftragsbearbeiter haftet nicht für Datenverluste, die durch vom Verantwortlichen initiierte Löschungen entstehen.
7. Schlussbestimmungen
Diese Vereinbarung untersteht ausschliesslich Schweizer Recht. Ausschliesslicher Gerichtsstand ist Kriegstetten, Schweiz. Stand: Juni 2026.