Legal Hub

Transparenz und Sicherheit für B2B-Kunden.

Auftragsbearbeitungsvertrag (ADV)

Gemäss Schweizerischem Datenschutzgesetz (revDSG)

Zwischen dem B2B-Kunden des Services "CleverTex" (nachfolgend "Verantwortlicher") und der Werk5 AG, Schweiz (nachfolgend "Auftragsbearbeiter"). Durch die aktive Nutzung der Plattform gilt dieser Vertrag als elektronisch akzeptiert.

1. Gegenstand und Zweck der Bearbeitung

Dieser ADV regelt die Rechte und Pflichten im Rahmen der Bearbeitung von Personendaten, die der Verantwortliche dem Auftragsbearbeiter zur Erbringung der Logistik- und Textildienstleistungen überlässt.

Zweck: Verwaltung von Berufsbekleidung, Steuerung von Mitarbeiter-Kontingenten, Bestellabwicklung sowie das lückenlose RFID-Tracking von Textilien über deren Lebenszyklus.

2. Kategorien von Daten und Betroffenen

  • Datenkategorien: Mitarbeiterstammdaten (Name, Personalnummer, Job-Funktion, Kleidergrössen), RFID-Bewegungsprofile (Ausgabe, Rückgabe, Wäscherei-Zyklen) sowie Metadaten aus logistischen Dokumenten (z.B. Lieferscheinen).
  • Betroffene Personen: Mitarbeitende des Verantwortlichen (Kunden).

3. Pflichten des Auftragsbearbeiters (Zero-Data-Training)

Der Auftragsbearbeiter bearbeitet die Personendaten ausschliesslich auf dokumentierte Weisung des Verantwortlichen (via UI-Aktionen im Portal).

Garantie für Künstliche Intelligenz: Werden Lieferscheine oder Wäscherei-Rapporte via KI-Textextraktion verarbeitet, garantiert der Auftragsbearbeiter, dass diese Dokumente niemals zum Training von öffentlichen oder privaten Machine-Learning-Modellen der eingesetzten KI-Provider (Google Vertex AI) verwendet werden (Zero-Data-Training).

4. Technische und Organisatorische Massnahmen (TOM)

Der Auftragsbearbeiter verpflichtet sich zur Einhaltung strenger Sicherheitsstandards:

  • Hosting (Datenstandort): Alle Daten werden zwingend auf Servern der Google Cloud in der Schweiz (Region: europe-west6, Zürich) gespeichert.
  • Verschlüsselung: Alle Daten werden "in transit" (TLS 1.3) und "at rest" verschlüsselt. Zugangsdaten werden gehasht (Argon2).
  • Mandantentrennung: Die Plattform ist so architektoniert, dass Daten verschiedener Verantwortlicher logisch strikt voneinander getrennt sind (Multi-Tenant Isolation).

5. Unterauftragsbearbeiter (Sub-Prozessoren)

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsbearbeiter zu. Der Auftragsbearbeiter stellt sicher, dass diese den strengen Schweizer Datenschutzanforderungen unterliegen:

UnternehmenZweck / LeistungStandort
Pythos AGEntwicklung, SaaS-Betrieb & technischer SupportSchweiz
Google Cloud (GCP)Hosting, Cloud-Storage, PostgreSQL DBZürich, CH
Google Vertex AI (Gemini)KI-gestützte Datenextraktion von Logistik-DokumentenZürich, CH (Routing)
Resend, Inc.Transaktionaler E-Mail-Versand (z.B. Einladungen)EU / Global

6. Datenlöschung & Rückgabe

Nach Beendigung der Vertragsbeziehung oder auf aktiven Wunsch des Verantwortlichen (Auslösen der Lösch-Funktion im Interface) werden die Personendaten unwiderruflich aus den aktiven Systemen gelöscht. Der Auftragsbearbeiter nimmt keine Daten als Geisel. Backups werden nach deren standardmässigen Rotationszyklen (max. 30 Tage) automatisch überschrieben.

7. Schlussbestimmungen

Diese Vereinbarung untersteht ausschliesslich Schweizer Recht. Ausschliesslicher Gerichtsstand ist der Hauptsitz der Werk5 AG, Schweiz. Stand: Juli 2026.