Auftragsverarbeitungsvereinbarung (AVV/DPA)
Zuletzt aktualisiert: 12.04.2026
Diese AVV ergänzt den Hauptvertrag (AGB) über die Nutzung der Kidesk-Plattform zwischen:
- Verantwortlicher / Kunde: jeweiliger Kunde
- Auftragsbearbeiter: Kidesk, R. Murati, Rejhan Murati, Freihofstrasse 6, 8575 Bürglen, Schweiz, info@kidesk.ch
1. Gegenstand und Dauer der Bearbeitung
Der Auftragsbearbeiter bearbeitet Personendaten ausschliesslich zur Erbringung der vertraglich vereinbarten SaaS-Leistungen gemäss den AGB und allfälligen Zusatzvereinbarungen.
Die Dauer der Bearbeitung entspricht der Laufzeit des Hauptvertrags sowie allfälliger gesetzlicher Aufbewahrungspflichten.
2. Art und Zweck der Bearbeitung
Die Bearbeitung umfasst insbesondere:
- Speicherung, Strukturierung und Verwaltung von Geschäfts- und Kundendaten
- Bereitstellung von Funktionen für Offerten, Rechnungen, Aufträge, Dokumente und Kommunikation
- Bereitstellung von KI-gestützten Assistenzfunktionen (sofern aktiviert)
- Technische Administration, Betrieb, Sicherheit, Monitoring und Support
3. Kategorien von Personendaten
Je nach Nutzung und Konfiguration können insbesondere bearbeitet werden:
- Stammdaten (z. B. Namen, E-Mail, Adressen, Telefonnummern)
- Vertrags- und Abrechnungsdaten
- Finanzdaten (Rechnungen, Zahlungen, Bankverbindungen)
- Nutzungs-, Protokoll- und Metadaten
- Kommunikationsdaten
- Optional weitere vom Kunden erfasste Daten
4. Kategorien betroffener Personen
- Mitarbeitende und Nutzer des Kunden
- Kunden, Lieferanten und weitere Geschäftspartner des Kunden
- Sonstige Personen, deren Daten der Kunde in der Plattform bearbeitet
5. Weisungsrecht
Der Auftragsbearbeiter bearbeitet Personendaten nur auf dokumentierte Weisung des Verantwortlichen, soweit keine gesetzliche Pflicht zur abweichenden Bearbeitung besteht. Der Auftragsbearbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen geltendes Datenschutzrecht verstösst.
6. Vertraulichkeit
Der Auftragsbearbeiter stellt sicher, dass zur Bearbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7. Technische und organisatorische Massnahmen (TOM)
Der Auftragsbearbeiter trifft angemessene TOM gemäss Art. 8 revDSG, insbesondere:
- Zugriffskontrolle und rollenbasierte Berechtigungen (RBAC)
- Mandantentrennung (Multi-Tenancy)
- Authentifizierung und Sitzungs-/Zugangsschutz
- Transportverschlüsselung (TLS)
- Verschlüsselung sensibler Felder
- Protokollierung sicherheitsrelevanter Vorgänge (Audit Trail)
- Datensicherung (Backups) und Wiederherstellbarkeit
- Schutz vor unbefugter oder unrechtmässiger Bearbeitung
- CSRF-Schutz und Security Headers
- Verfahren zur Behebung von Sicherheitsvorfällen
- Datenminimierung bei KI-gestützten Prozessen
Die TOM können technisch weiterentwickelt werden, sofern das Sicherheitsniveau insgesamt nicht verschlechtert wird.
8. Unterauftragsbearbeiter
Der Verantwortliche ermächtigt den Auftragsbearbeiter, Unterauftragsbearbeiter gemäss der unten stehenden Liste einzusetzen, soweit diese für den Betrieb und die Leistungserbringung erforderlich sind.
Der Auftragsbearbeiter verpflichtet Unterauftragsbearbeiter vertraglich zu angemessenen Datenschutz- und Sicherheitsstandards.
Bei Änderungen der Unterauftragsbearbeiter-Liste wird der Verantwortliche informiert und hat das Recht, innert 30 Tagen Einspruch zu erheben. Kann keine Einigung erzielt werden, hat der Verantwortliche ein Sonderkündigungsrecht.
9. Unterstützungspflichten
Der Auftragsbearbeiter unterstützt den Verantwortlichen in angemessenem Umfang bei:
- Beantwortung von Betroffenenanfragen (Art. 25–29 revDSG)
- Abklärung und Dokumentation von Datenschutzverletzungen
- Datenschutz-Folgenabschätzungen und Behördenanfragen, soweit erforderlich
10. Meldung von Datenschutzverletzungen
Bei bekannt gewordenen Verletzungen der Datensicherheit informiert der Auftragsbearbeiter den Verantwortlichen unverzüglich nach Kenntnis, soweit die Verletzung Daten des Verantwortlichen betrifft.
Die Meldung enthält mindestens:
- Art der Verletzung
- Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
- Wahrscheinliche Folgen
- Ergriffene oder vorgeschlagene Massnahmen
11. Datenrückgabe und Löschung
Nach Vertragsende werden personenbezogene Daten nach Weisung des Verantwortlichen gelöscht oder in einem gängigen elektronischen Format zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Daten stehen nach Vertragsende noch 30 Tage zum Export zur Verfügung. Danach erfolgt die Löschung.
12. Nachweise und Auditrechte
Der Auftragsbearbeiter stellt dem Verantwortlichen auf Anfrage angemessene Informationen zur Verfügung, die zur Prüfung der Einhaltung dieser AVV erforderlich sind.
Audits erfolgen nach vorgängiger Abstimmung (mindestens 30 Tage Vorlaufzeit), in angemessenen Abständen und unter Wahrung von Geschäftsgeheimnissen sowie der Sicherheit anderer Kunden.
13. Datenbekanntgabe ins Ausland
Personendaten werden an Unterauftragsbearbeiter in den USA und der EU übermittelt.
Rechtsgrundlage für die Übermittlung in die USA: Dienstleister mit Zertifizierung unter dem Swiss-US Data Privacy Framework (DPF) bieten ein angemessenes Datenschutzniveau gemäss Art. 16 Abs. 1 revDSG. Für Dienstleister ohne DPF-Zertifizierung werden Standardvertragsklauseln (SCC) eingesetzt.
Übermittlung in die EU: Die EU verfügt über ein angemessenes Datenschutzniveau gemäss der Länderliste des Bundesrats.
14. Haftung
Die Haftung richtet sich nach den vertraglichen Vereinbarungen im Hauptvertrag (AGB) sowie den zwingenden gesetzlichen Bestimmungen.
15. Schlussbestimmungen
Soweit diese AVV keine speziellen Regelungen enthält, gelten die Bestimmungen des Hauptvertrags (AGB).
Es gilt Schweizer Recht. Gerichtsstand ist — soweit gesetzlich zulässig — Bürglen TG, Schweiz.
16. Unterauftragsbearbeiter
Je nach gebuchten Modulen und aktivierten Funktionen können insbesondere folgende Unterauftragsbearbeiter eingesetzt werden:
| Dienstleister | Zweck | Standort | Garantie |
|---|---|---|---|
| Vercel Inc. | Hosting, Deployment | USA | DPF |
| Neon Inc. | Datenbank (PostgreSQL) | USA | SCC |
| Amazon Web Services | Dateispeicher (S3) | EU (Frankfurt) | DPF |
| Cloudflare Inc. | CDN, Dateispeicher | USA / global | DPF |
| Resend Inc. | E-Mail-Versand | USA | SCC |
| Functional Software (Sentry) | Monitoring, Fehleranalyse | USA | SCC |
| Upstash Inc. | Caching, Rate Limiting | EU (Frankfurt) | SCC |
| Google Cloud (Vertex AI) | KI-Dienste, Dokumentenanalyse | USA / EU | DPF |
| OpenAI Inc. | KI-Dienste (optional) | USA | SCC |
| AWS Bedrock | KI-Dienste (optional) | EU (Frankfurt) | DPF |
| Langfuse GmbH | KI-Tracing (optional) | EU (Deutschland) | EU |
| Tavily Inc. | Web-Recherche für KI (optional) | USA | SCC |
| Stripe Inc. | Zahlungsabwicklung | USA | DPF |
| Twilio Inc. | Kommunikation (optional) | USA | DPF |
| Google LLC (Maps) | Karten-/Geodienste (optional) | USA | DPF |
Die tatsächliche Nutzung hängt von der konkreten Kundenkonfiguration und dem Funktionsumfang ab.