Trust
AVV-Vorlage gemäß Art. 28 EU DSGVO und Art. 9 revDSG. PDF zur Unterzeichnung herunterladen.
Ausführbares PDF herunterladen
Für die Unterzeichnung gegengezeichnete Kopie anfordern unter privacy@legalaudit.ch. Wesentliche Änderungen werden mindestens 30 Tage im Voraus mitgeteilt.
Dieser AVV wird zwischen dem Kunden (Verantwortlicher) und der LegalAudit SA, Lugano, Schweiz (Auftragsverarbeiter) geschlossen. Für DSGVO-relevante Sachverhalte handelt LegalAudit als Auftragsverarbeiter. Soweit LegalAudit technische Mittel festlegt, die zur Diensterbringung zwingend erforderlich sind, erfolgt dies auf dokumentierte Weisung des Verantwortlichen.
Personenbezogene Daten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter, Unterauftragsverarbeiter und Aufsichtsbehörde haben die Bedeutung gemäß Art. 4 DSGVO und Art. 5 revDSG. "Dienste" bezeichnet die LegalAudit Cyber Console, die forensische Dossier-Erstellung, das Expert Review und das Enterprise Monitoring.
Gegenstand: technische Triage von Kunden-Artefakten (URLs, Dateien, Archive, E-Mails) und Erstellung forensischer Dossiers. Dauer: Laufzeit des Servicevertrags zuzüglich der Aufbewahrungsfristen aus Abschnitt 9. Art: Speicherung, Scan, sandbox-Extraktion, KI-gestützte Analyse, Dossier-Rendering.
Betroffene: autorisierte Nutzer des Verantwortlichen; in eingereichten Beweismitteln genannte Personen (Namen, E-Mail, IP-Adressen, Finanzidentifikatoren). Datenkategorien: Identifikations-, berufliche Kontakt-, technische Telemetrie- und alle in Beweisen enthaltenen personenbezogenen Daten.
LegalAudit verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, verpflichtet Personal zur Vertraulichkeit, setzt die Maßnahmen aus Abschnitt 7 um, unterstützt den Verantwortlichen bei Art. 32-36 DSGVO, löscht oder gibt Daten nach Ende des Auftrags zurück und stellt alle Informationen zum Compliance-Nachweis bereit.
Der Verantwortliche erteilt allgemeine Genehmigung für die unter legalaudit.ch/trust/subprocessors aufgeführten Unterauftragsverarbeiter. LegalAudit kündigt Änderungen mindestens 30 Tage im Voraus an; der Verantwortliche kann aus begründetem Anlass widersprechen. Bestehende Unterauftragsverarbeiter sind durch schriftliche Verträge mit im Wesentlichen gleichen Pflichten gebunden.
Verschlüsselung in Transit (TLS 1.3 mit HSTS Preload), at-Rest (AWS KMS SSE-KMS, kundengetrennte Pfade), SHA-256 hash-chained WORM Audit-Log, Least-Privilege IAM, ClamAV-Scan jedes Uploads, Bubblewrap-sandbox für Archive, SSRF-Schutz bei ausgehenden Aufrufen, verbindliche MFA für Produktionszugriff, RBAC und vierteljährliche Zugriffsprüfungen.
LegalAudit meldet jede Verletzung personenbezogener Daten unverzüglich, jedenfalls innerhalb von 24 Stunden nach Kenntnis, an security@legalaudit.ch. Die Meldung enthält Art der Verletzung, betroffene Kategorien und ungefähre Anzahl, wahrscheinliche Folgen und ergriffene oder vorgeschlagene Maßnahmen.
LegalAudit unterstützt den Verantwortlichen mit angemessenen technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung der Pflichten aus Kapitel III DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch). Bei LegalAudit eingehende Anfragen werden binnen 2 Arbeitstagen an den Verantwortlichen weitergeleitet.
Free-Chat: 24 Stunden. Paid-Chat: 30 Tage. Forensische Dossiers: für die Dauer der Kundenbeziehung zuzüglich gesetzlicher Aufbewahrung. Audit-Log: mindestens 13 Monate (Art. 958f OR). Bei Beendigung löscht oder retourniert LegalAudit alle personenbezogenen Daten binnen 30 Tagen, ausser Unions- oder schweizerisches Recht verlangt Aufbewahrung.
Primäre Datenresidenz ist die Schweiz und die EU. Wo ein Unterauftragsverarbeiter Daten außerhalb EWR/Schweiz verarbeitet, stützen sich Übermittlungen auf die EU-Standardvertragsklauseln (Beschluss 2021/914) und den Schweizer Addendum, mit dokumentierten Transfer Impact Assessments.
Einmal pro Kalenderjahr mit 30 Tagen schriftlicher Vorankündigung kann der Verantwortliche die Einhaltung dieses AVV durch Einsicht in unabhängige Auditberichte (SOC 2, ISO 27001 sobald verfügbar) oder durch ein Vor-Ort-Audit eines beiderseits zugelassenen Dritten unter Geheimhaltung prüfen. Kosten trägt der Verantwortliche, ausser bei wesentlicher Non-Compliance.
Die Haftung unterliegt den Beschränkungen des Hauptvertrags. Dieser AVV tritt mit Unterzeichnung in Kraft, läuft für die Dauer des zugrundeliegenden Vertrags und besteht fort, bis alle personenbezogenen Daten gelöscht oder retourniert sind.
Dieser AVV unterliegt materiellem schweizerischem Recht. Gerichtsstand ist Lugano, Schweiz, unbeschadet zwingender EU-Mitgliedstaaten-Vorschriften zum Schutz Betroffener.
Art, Zweck, Dauer, Kategorien von Daten und Betroffenen gemäß Abschnitten 3 und 4.
Aktuelle Liste unter legalaudit.ch/trust/subprocessors. Änderungen werden über das Trust Center und per E-Mail an die vom Verantwortlichen benannten Kontakte mitgeteilt.
Im Detail unter legalaudit.ch/trust/security.
Informationsdokument der LegalAudit SA. Aussagen spiegeln den aktuellen Stand der Kontrollen wider und werden quartalsweise geprüft. Keine vertragliche Zusicherung, ausser durch unterzeichneten Vertrag. Verbindliche Bedingungen: AVV bei privacy@legalaudit.ch anfordern.