Auftragsverarbeitungsvertrag (AVV)
Version 1.0 · Gültig ab [TT.MM.JJJJ]
Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die AGB und regelt die Bearbeitung von Personendaten, die der Kunde (als verantwortliche Stelle) im Rahmen der Nutzung von Passly durch den Anbieter (als Auftragsbearbeiter) bearbeiten lässt. Massgebend sind das revidierte Schweizer Datenschutzgesetz (revDSG) sowie, soweit anwendbar, die DSGVO.
1. Gegenstand & Dauer
Gegenstand ist die Bearbeitung von Personendaten der Endkunden des Kunden (Name, Geburtsdatum, Stempel-/Treuedaten, Geräte-Token für Wallet-Benachrichtigungen) zum Zweck des Betriebs digitaler Stempelkarten. Die Dauer entspricht der Laufzeit des Hauptvertrags.
2. Weisungsgebundenheit
Der Anbieter bearbeitet die Daten ausschliesslich im Rahmen der Weisungen des Kunden und der vertraglich vereinbarten Funktionen. Eine Nutzung für eigene Zwecke erfolgt nicht.
3. Vertraulichkeit
Der Anbieter verpflichtet die mit der Bearbeitung betrauten Personen zur Vertraulichkeit.
4. Technische & organisatorische Massnahmen (TOM)
- Verschlüsselung sämtlicher Verbindungen (TLS/HTTPS)
- Zugriffsbeschränkung über Authentifizierung & Rollen (RBAC) und Row Level Security
- Rate Limiting und CORS-Schutz an der API
- Audit-Protokolle für sicherheitsrelevante Aktionen
- Regelmässige Backups (siehe Datenschutzerklärung)
5. Unterauftragsbearbeiter
Der Kunde genehmigt den Einsatz folgender Unterauftragsbearbeiter:
- Supabase– Datenbank & Authentifizierung (EU)
- Railway – Hosting des Backends (EU)
- Vercel – Hosting des Frontends
- Apple– Apple Wallet & Push-Benachrichtigungen (USA)
- Resend – E-Mail-Versand
Wesentliche Änderungen am Kreis der Unterauftragsbearbeiter werden dem Kunden mit angemessener Frist mitgeteilt.
6. Unterstützung des Kunden
Der Anbieter unterstützt den Kunden angemessen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenportabilität) sowie bei Meldepflichten im Falle einer Datenschutzverletzung.
7. Datenschutzverletzungen
Der Anbieter informiert den Kunden unverzüglich, sobald ihm eine Verletzung des Schutzes der bearbeiteten Personendaten bekannt wird.
8. Löschung & Rückgabe
Nach Beendigung des Vertrags werden die bearbeiteten Personendaten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Wunsch erfolgt vorher ein Datenexport.
9. Kontrollrechte
Der Anbieter stellt dem Kunden die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen auf Anfrage zur Verfügung.
10. Kontakt
Datenschutzanfragen richtest du an team@getpassly.ch.