cosigna
Büro anlegen

Rechtliches

Auftragsverarbeitungs­vertrag.

AVV / DPA gemäss Art. 28 DSGVO und Art. 9 revDSG. Für Architektur-Büros, die Bauherrschaftsdaten in Cosigna verarbeiten.

Stand: 2026-06-07 · ⚖️ Anwaltliche Freigabe ausstehend

1. Vertragsparteien

Verantwortliche (im Folgenden „Auftraggeberin"): die Architektur-Kundin / der Architektur-Kunde.
Auftragsverarbeiterin: AI & Co GmbH, Lättichstrasse 6, 6340 Baar, Schweiz, UID CHE-305.935.951 (im Folgenden „Anbieterin").

2. Gegenstand und Dauer der Verarbeitung

Die Anbieterin verarbeitet personenbezogene Daten ausschliesslich zur Erbringung der vertraglich vereinbarten Plattformleistungen (siehe AGB). Die Dauer entspricht der Dauer des Hauptvertrags.

3. Art und Zweck der Verarbeitung

  • Speicherung und Strukturierung von Projektdaten.
  • Authentifizierung und Zugriffskontrolle.
  • Audit-Log-Schreibung zur Beweissicherung.
  • KI-gestützte Strukturierungsvorschläge (optional, Opt-out möglich).

4. Kategorien betroffener Personen

  • Mitarbeitende der Auftraggeberin.
  • Bauherrschaft (natürliche oder juristische Personen).
  • Bauherrenvertretung und beauftragte Dritte (z. B. Fachplaner).

5. Kategorien personenbezogener Daten

  • Stammdaten (Name, Kontakt, Rolle).
  • Inhaltsdaten (Pläne, Vorschläge, Freigaben).
  • Nutzungsdaten (Login, IP-Range, Zeitstempel).

6. Technische und organisatorische Massnahmen

Die Anbieterin verpflichtet sich zu angemessenen TOM nach Art. 32 DSGVO — insbesondere Verschlüsselung in transit und at rest, Mehrstufige Authentifizierung für privilegierte Zugriffe, rollenbasiertem Zugriffsmanagement (RBAC) auf Basis von Row-Level Security und einem hash-verketteten Audit-Log.

7. Sub-Auftragsverarbeiter

Die aktuelle Liste der Sub-Auftragsverarbeiter (z. B. Supabase, Stripe, Resend, Anthropic) ist unter www.cosigna.ch/sub-processors abrufbar. Änderungen werden mindestens 30 Tage im Voraus angezeigt; die Auftraggeberin hat das Recht, aus wichtigem Grund zu widersprechen.

8. Rechte der betroffenen Personen

Die Anbieterin unterstützt die Auftraggeberin bei der Wahrnehmung von Auskunfts-, Berichtigungs- und Löschpflichten, soweit dies mit vertretbarem Aufwand möglich ist. Die Audit-Log-Aufbewahrung erfolgt im Einklang mit Art. 17 Abs. 3 DSGVO und kann nicht durch Einzelanfragen aufgehoben werden, sondern nur PII-anonymisiert.

9. Pflichten der Auftraggeberin

  • Sicherstellung der Rechtsgrundlage für die Erhebung und Übermittlung personenbezogener Daten an die Plattform.
  • Information der Bauherrschaft über die Nutzung von Cosigna als Auftragsverarbeiterin.

10. Beendigung

Bei Beendigung des Hauptvertrags werden Daten nach Wahl der Auftraggeberin entweder exportiert (Dossier + CSV) und anschliessend gelöscht oder unter Beachtung des Audit-Log-Zwangs PII-anonymisiert.

Hinweis: dieser AVV-Entwurf dient der internen Abstimmung. Für eine rechtswirksame Verwendung gegenüber Kundinnen und Kunden ist eine anwaltliche Schlussprüfung notwendig.