Azai Logo

Auftragsverarbeitungsvereinbarung (AVV)

zwischen

dem Kunden

(nachfolgend „Verantwortlicher“)

und

Azai AG

(nachfolgend „Auftragsverarbeiter“)

1. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter stellt dem Verantwortlichen eine cloudbasierte Softwareplattform für das Management von Bauprojekten zur Verfügung (nachfolgend „Plattform“).

Im Rahmen der Nutzung der Plattform kann der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Die Verarbeitung erfolgt ausschließlich:

  • auf Grundlage der Nutzungsbedingungen
  • dieser Auftragsverarbeitungsvereinbarung
  • der dokumentierten Weisungen des Verantwortlichen

Die Dauer der Verarbeitung entspricht der Dauer des Vertragsverhältnisses zwischen den Parteien.

2. Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Bereitstellung und zum Betrieb der Plattform.

Die Verarbeitung umfasst insbesondere:

  • Speicherung von Projektdaten
  • Verwaltung von Benutzerkonten
  • Bereitstellung von Kommunikationsfunktionen
  • Dokumentenmanagement
  • technische Wartung der Plattform
  • Supportleistungen

Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters erfolgt nicht.

3. Kategorien betroffener Personen

Die Verarbeitung kann folgende Kategorien von Personen betreffen:

  • Mitarbeiter des Verantwortlichen
  • Projektleiter
  • Bauleiter
  • Auftragnehmer und Subunternehmer
  • Ansprechpartner bei Kunden oder Lieferanten

4. Kategorien personenbezogener Daten

Je nach Nutzung der Plattform können insbesondere folgende Daten verarbeitet werden:

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Unternehmenszugehörigkeit
  • Projektbezogene Informationen
  • Dokumente und Kommunikationsinhalte
  • Nutzungs- und Logdaten

Der Verantwortliche entscheidet selbst, welche personenbezogenen Daten in die Plattform eingestellt werden.

5. Weisungsrecht

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den Weisungen des Verantwortlichen.

Weisungen können erfolgen über:

  • die Nutzung der Plattform
  • schriftliche Anweisungen
  • Supportanfragen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung gegen geltendes Datenschutzrecht verstößt.

6. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugang zu personenbezogenen Daten haben,

  • zur Vertraulichkeit verpflichtet sind oder
  • einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen

7. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.

Diese Maßnahmen umfassen insbesondere:

  • Zugriffskontrollen auf Systeme
  • Verschlüsselung der Datenübertragung (z. B. HTTPS/TLS)
  • rollenbasierte Zugriffsrechte
  • regelmäßige Backups
  • Monitoring und Logging
  • Schutz vor unbefugtem Zugriff

Der Auftragsverarbeiter kann Sicherheitsmaßnahmen anpassen, sofern das Sicherheitsniveau nicht wesentlich reduziert wird.

8. Subunternehmer (Subprocessor)

Der Auftragsverarbeiter kann zur Bereitstellung der Plattform Subunternehmer einsetzen.

Dies können insbesondere sein:

  • Cloud-Infrastruktur-Anbieter
  • E-Mail-Versanddienste
  • Monitoring- und Logging-Dienste
  • Authentifizierungsdienste

Eine aktuelle Liste der eingesetzten Subunternehmer ist hier verfügbar.

Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen der Subunternehmerliste.

Der Verantwortliche kann aus berechtigten Gründen gegen den Einsatz eines neuen Subunternehmers Einspruch erheben.

9. Datenübermittlung in Drittländer

Sofern personenbezogene Daten in Länder außerhalb der Schweiz oder des Europäischen Wirtschaftsraums übertragen werden, stellt der Auftragsverarbeiter sicher, dass geeignete Schutzmaßnahmen bestehen.

Dies kann erfolgen durch:

  • Angemessenheitsbeschlüsse
  • Standardvertragsklauseln
  • andere gesetzlich zulässige Garantien

10. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit möglich, bei:

  • der Beantwortung von Datenschutzanfragen betroffener Personen
  • der Einhaltung gesetzlicher Datenschutzpflichten
  • Datenschutz-Folgenabschätzungen
  • Sicherheitsmaßnahmen

11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über

  • Datenschutzverletzungen
  • Sicherheitsvorfälle
  • unbefugten Zugriff auf personenbezogene Daten

Die Meldung erfolgt innerhalb von 48 Stunden nach Bekanntwerden des Vorfalls.

12. Audit und Nachweispflichten

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser Vereinbarung nachzuweisen.

Audits können erfolgen durch:

  • Dokumentenprüfung
  • Zertifizierungen
  • Sicherheitsberichte

Vor-Ort-Audits sind nur mit angemessener Vorankündigung und unter Wahrung von Geschäftsgeheimnissen zulässig.

13. Rückgabe und Löschung von Daten

Nach Beendigung des Vertragsverhältnisses wird der Auftragsverarbeiter:

  • dem Verantwortlichen die Möglichkeit geben, Daten zu exportieren
  • personenbezogene Daten anschließend löschen

Die Löschung erfolgt innerhalb von 60 Tagen nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

14. Haftung

Die Haftung der Parteien richtet sich nach den Regelungen in den Nutzungsbedingungen.

15. Geltung und Änderungen

Diese Auftragsverarbeitungsvereinbarung gilt für die gesamte Dauer der Nutzung der Plattform.

Der Auftragsverarbeiter kann diese Vereinbarung anpassen, sofern gesetzliche Änderungen oder technische Entwicklungen dies erforderlich machen.

Der Verantwortliche wird über wesentliche Änderungen informiert.

16. Rangfolge

Im Falle von Widersprüchen zwischen dieser Vereinbarung und den Nutzungsbedingungen hat diese Auftragsverarbeitungsvereinbarung Vorrang hinsichtlich der Verarbeitung personenbezogener Daten.