KiDeskKiDesk
KiDeskKiDesk
AnmeldenGratis starten
AVV

Auftrags­bearbeitungs­vertrag.

Die rechtliche Grundlage dafür, dass wir deine Daten in deinem Auftrag bearbeiten dürfen.

Stand · 27. Mai 2026

1. Parteien

Dieser Auftragsbearbeitungsvertrag (AVV) wird abgeschlossen zwischen dir als Verantwortlichem (im Sinne von Art. 5 lit. j revDSG) und der KiDesk AG, Heinrichstrasse 200, 8005 Zürich, als Auftragsbearbeiterin. Mit Akzeptanz der AGB akzeptierst du auch diesen AVV.

2. Gegenstand der Bearbeitung

Wir bearbeiten in deinem Auftrag Personendaten deiner Kunden, Mitarbeiter, Lieferanten und weiterer Geschäftspartner, soweit diese in KiDesk erfasst werden. Bearbeitungen umfassen: Speicherung, Strukturierung, Bereitstellung, Abruf, Übermittlung an dich, Löschung sowie KI-gestützte Verarbeitung (Belege, Vorschläge, Chat).

3. Dauer und Beendigung

Dieser AVV gilt für die Dauer deines KiDesk-Abonnements und endet mit dessen Kündigung. Nach Beendigung werden deine Daten gemäss Datenschutzerklärung Ziff. 9 gelöscht oder zurückgegeben.

4. Pflichten von KiDesk

  • Bearbeitung der Daten ausschliesslich gemäss deinen dokumentierten Weisungen (in der Regel: deine Nutzung von KiDesk).
  • Implementierung technischer und organisatorischer Massnahmen (TOM) — siehe Anhang.
  • Verpflichtung aller Mitarbeitenden auf das Datengeheimnis.
  • Unterstützung bei Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit).
  • Meldung von Datenpannen binnen 72 Stunden nach Kenntnisnahme.
  • Unterstützung bei deinen Pflichten zur Datenschutz-Folgenabschätzung.

5. Subunternehmer

Wir setzen Subunternehmer ein (siehe Datenschutzerklärung Ziff. 6). Mit allen besteht ein AVV mit gleichwertigen Pflichten. Wir informieren dich über geplante Wechsel mindestens 30 Tage im Voraus; du hast ein Widerspruchsrecht aus wichtigen Gründen.

6. Technische und organisatorische Massnahmen (TOM)

  • Zutrittskontrolle: Rechenzentren in der Schweiz mit Zutrittskontrolle.
  • Zugangskontrolle: 2FA für alle Admin-Zugänge, IP-Whitelisting für Produktion.
  • Zugriffskontrolle: Rollenbasiert (RBAC), Least-Privilege-Prinzip, Audit-Logs.
  • Weitergabekontrolle: TLS 1.3 in transit, AES-256 at rest (AWS KMS).
  • Eingabekontrolle: Vollständige Audit-Logs aller schreibenden Operationen.
  • Verfügbarkeitskontrolle: Tägliche Backups, geo-redundante Replikation.
  • Trennungskontrolle: Multi-Tenant mit Row-Level-Security pro tenantId.
  • Pseudonymisierung & Verschlüsselung: Sensible Felder (Tokens, IBANs etc.) zusätzlich applikationsseitig verschlüsselt.

7. Datenexport und -löschung

Du kannst jederzeit über die Einstellungen einen vollständigen Export deiner Daten anfordern (CSV + PDF + JSON). Nach Kündigung werden alle Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.

8. Kontrolle und Audit

Du hast das Recht, die Einhaltung dieses AVV durch uns zu überprüfen — durch Einsicht in unsere Sicherheits- und Compliance-Dokumentation, durch jährliche Anfragen oder durch einen Vor-Ort- Audit bei begründetem Anlass. Wir stellen auf Anfrage einen aktuellen Compliance-Report zur Verfügung.

9. Haftung

Die Haftung richtet sich nach den AGB Ziff. 8. Beide Parteien sind verpflichtet, Datenschutz­verstösse zu verhindern und einander unverzüglich zu informieren, sobald solche bekannt werden.

10. Schlussbestimmungen

Bei Widersprüchen zwischen AVV und AGB hat dieser AVV in Datenschutzfragen Vorrang. Im Übrigen gilt schweizerisches Recht, Gerichtsstand Zürich.