In Kraft: 10. Mai 2026
Dieser Auftragsverarbeitungs-Vertrag ("AVV") ist Teil der Allgemeinen Geschäftsbedingungen zwischen Ihnen (der "Verantwortliche") und SASystems ("Auftragsverarbeiter", "wir", "uns"). Er regelt, wie wir personenbezogene Daten in Ihrem Auftrag verarbeiten, wenn Sie Shiftavo (der "Dienst") nutzen. Er ist so verfasst, dass er Artikel 28 der EU-Datenschutz-Grundverordnung (DSGVO) und Artikel 9 des Schweizer Datenschutzgesetzes (DSG) entspricht.
1. Gegenstand und Dauer
Wir verarbeiten personenbezogene Daten in Ihrem Auftrag ausschliesslich zur Bereitstellung des Dienstes für die Dauer Ihres Abonnements und für den nach den AGB festgelegten Zeitraum nach Beendigung.
Die verarbeiteten Kategorien personenbezogener Daten sind: Identifikationsdaten (Name, Kontaktangaben), Beschäftigungsdaten (Rolle, Standort, Arbeitszeiten, Dienstpläne, Abwesenheits-Salden, Anwesenheitsdaten) und alle weiteren Daten, die Ihr Team in den Dienst eingibt. Die Kategorien betroffener Personen sind: Ihre Mitarbeitenden, Auftragnehmenden und sonstigen Personen, deren Daten Sie über den Dienst verarbeiten.
2. Verarbeitung auf dokumentierte Weisung
Wir verarbeiten personenbezogene Daten nur auf Ihre dokumentierte Weisung. Die AGB, die Datenschutzerklärung, dieser AVV und die Konfigurationen, die Sie in Ihrem Tenant vornehmen, bilden Ihre anfänglichen dokumentierten Weisungen. Weitere Weisungen bedürfen der Schriftform.
Sind wir der Auffassung, dass eine Weisung gegen anwendbares Datenschutzrecht verstösst, teilen wir Ihnen dies mit. Wir können die Verarbeitung nach dieser Weisung aussetzen, bis die Frage geklärt ist.
3. Vertraulichkeit des Personals
Wir stellen sicher, dass Personal, das zur Verarbeitung personenbezogener Daten befugt ist, einer vertraglichen oder gesetzlichen Vertraulichkeits-Pflicht unterliegt und in Datenschutz-Verantwortlichkeiten geschult ist.
4. Sicherheitsmassnahmen
Wir setzen angemessene technische und organisatorische Massnahmen zum Schutz personenbezogener Daten gegen unberechtigte oder unrechtmässige Verarbeitung, unbeabsichtigten Verlust, Zerstörung oder Beschädigung ein. Aktuelle Massnahmen umfassen:
- Verschlüsselung personenbezogener Daten bei Übertragung und Speicherung.
- Zugriffskontrollen nach dem Prinzip des geringsten Privilegs.
- Logging des Zugriffs auf personenbezogene Daten und sicherheits-relevante Ereignisse.
- Regelmässige Backups, deren Wiederherstellung getestet wird.
- Schwachstellen-Management und routinemässiges Patching der Infrastruktur.
- Personal-Zugriffs-Reviews und Offboarding-Verfahren.
Wir können diese Massnahmen im Laufe der Zeit anpassen, sofern das Schutzniveau nicht gesenkt wird.
5. Unter-Auftragsverarbeiter
Sie erteilen uns die generelle schriftliche Genehmigung, Unter-Auftragsverarbeiter mit Teilen der Verarbeitung zu beauftragen. Die aktuellen Kategorien von Unter-Auftragsverarbeitern sind in der Datenschutzerklärung aufgeführt.
Wenn wir einen neuen Unter-Auftragsverarbeiter beauftragen oder einen ersetzen, aktualisieren wir die Liste und informieren Sie im Voraus. Sie können binnen dreissig Tagen aus berechtigten datenschutz-bezogenen Gründen widersprechen; können wir den Widerspruch nicht ausräumen, können Sie den betroffenen Teil des Dienstes ohne Pönale beenden.
Wir verpflichten jeden Unter-Auftragsverarbeiter durch schriftlichen Vertrag zu Datenschutz-Pflichten, die diesem AVV nicht nachstehen.
6. Unterstützung bei Rechten betroffener Personen
Wir unterstützen Sie durch angemessene technische und organisatorische Massnahmen und soweit möglich bei Anfragen von betroffenen Personen zur Ausübung ihrer Rechte nach anwendbarem Recht — Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Der Dienst enthält Self-Service-Funktionen für die meisten dieser Rechte; für Anfragen, die nicht über das Produkt erfüllbar sind, wenden Sie sich an support@shiftavo.com.
7. Verletzungsmeldung
Wenn uns eine Verletzung des Schutzes Ihrer personenbezogenen Daten bekannt wird, benachrichtigen wir Sie ohne unangemessene Verzögerung mit den Informationen, die Sie zur Erfüllung Ihrer eigenen Meldepflichten nach DSGVO, DSG oder anderem anwendbarem Recht benötigen. Die Meldung umfasst, soweit bekannt: die Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die getroffenen oder vorgeschlagenen Massnahmen.
8. Unterstützung bei Compliance-Pflichten
Unter Berücksichtigung der Art der Verarbeitung und der uns vorliegenden Informationen unterstützen wir Sie bei:
- Datenschutz-Folgenabschätzungen (DSFA) nach Artikel 35 DSGVO / Artikel 22 DSG.
- Vorherigen Konsultationen mit Aufsichtsbehörden nach Artikel 36 DSGVO.
- Sicherheits- und Verletzungs-Reaktions-Pflichten nach Artikeln 32–34 DSGVO / Artikeln 8 und 24 DSG.
9. Internationale Übermittlungen
Personenbezogene Daten werden in der Schweiz und in der Europäischen Union gespeichert. Wo ein Unter-Auftragsverarbeiter gelegentlich Daten ausserhalb dieser Region verarbeitet, stützen wir uns auf die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und der Europäischen Kommission anerkannten Standardvertragsklauseln, mit allen weiteren nach anwendbarem Recht erforderlichen Schutzmassnahmen.
10. Ende der Vereinbarung
Bei Beendigung des Dienstes können Sie Ihre personenbezogenen Daten dreissig Tage lang mit den in den AGB beschriebenen Export-Funktionen exportieren. Nach diesem Zeitraum löschen oder anonymisieren wir personenbezogene Daten, die in Ihrem Auftrag verarbeitet wurden, ausser zwingendes Recht verlangt eine längere Aufbewahrung. Auf Anfrage bestätigen wir die Löschung schriftlich.
11. Audits und Inspektionen
Wir stellen Ihnen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses AVV erforderlich sind. Sie können — höchstens einmal pro Jahr und mit dreissig Tagen schriftlicher Vorlaufzeit — unsere Einhaltung prüfen: selbst oder durch eine einvernehmlich vereinbarte, zur Verschwiegenheit verpflichtete Drittpartei. Wir können diese Pflicht auch erfüllen, indem wir einen aktuellen Drittanbieter-Audit-Bericht (zum Beispiel SOC 2 oder ISO 27001) zur Verfügung stellen, sofern verfügbar.
Audits müssen unsere Sicherheits-Richtlinien respektieren, dürfen den Dienst für andere Kundinnen und Kunden nicht stören und gehen zu Ihren Lasten, sofern sie keinen wesentlichen Verstoss gegen diesen AVV aufdecken.
12. Haftung
Die Haftungs-Bestimmungen der AGB gelten für Ansprüche nach diesem AVV, ausser zwingendes Recht bestimmt anders.
13. Anwendbares Recht
Dieser AVV unterliegt dem Schweizer materiellen Recht und folgt den Gerichtsstand- und Streitbeilegungs-Bestimmungen aus den AGB.
14. Kontakt
Fragen zu diesem AVV:
SASystems Mühlackerstrasse 73 8046 Zürich Schweiz support@shiftavo.com