Letzte Aktualisierung: 25.10.2025

1. Einleitung
Der Auftragsverarbeitungsvertrag ist Bestandteil des Lizenzvertrages.

2. Allgemeines
Die Parteien verpflichten sich, die einschlägige Datenschutzgesetzgebung gemäss schweizerischem Datenschutzgesetz einzuhalten. Personendaten dürfen nur für den Zweck und im Umfang, in dem dies für die Erfüllung und Durchführung des Vertrags erforderlich ist, bearbeitet werden. Die Parteien beachten die Prinzipien der Rechtmässigkeit, der Verhältnismässigkeit, der Zweckbindung, der Transparenz und von Treu und Glauben.

Eine Datenübermittlung ins Ausland ist nur unter den Voraussetzungen von Art. 16 DSG möglich und bedarf der Einwilligung der anderen Partei.

Ausnahme: Für Wartungs- und Entwicklungszwecke ist der Zugriff auf die Ayyah-App-Datenbanken durch die Developer von Vaadin gestattet. Diese Zugriffe finden aus Tschechien und Finnland statt. Die Developer sind jedoch nicht berechtigt, Daten von Ayyah lokal oder auf ihren Servern zu speichern.

3. Personendaten

Unter Personendaten werden alle Informationen verstanden, welche unter Art. 5 lit. a DSG definiert werden. Aus dem Vertrag, welchem der Auftragsdatenverarbeitungs-Vertrag zugrunde liegt, ergibt sich der Gegenstand des Auftrags sowie Art und Zweck der Datenverarbeitung.

4. Technische und organisatorische Massnahmen (TOM)
Die Parteien verpflichten sich, alle zumutbaren, erforderlichen, technischen und organisatorischen Massnahmen zum Schutz der Personendaten zu ergreifen, namentlich zur Verhinderung von unbefugten Zugriffen von Dritten, unbefugter Offenlegung, Verlust, Beschädigung, Löschung oder Vernichtung der Daten.

Die technischen und organisatorischen Massnahmen haben die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Neben der digitalisierten Informations- und Datensicherheit sind die Räumlichkeiten, in welchen die Daten bearbeitet werden, zutrittsgeschützt.
Die Sicherheitsvorkehrungen müssen dabei dem aktuellen Stand der Technik entsprechen und wirtschaftlich zumutbar sein.

Der Auftragsverarbeiter wird technische und organisatorische Massnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen von Art. 8 DSG und Art. 1 ff. DSV genügen.

Dem Auftraggeber sind die technischen und organisatorischen Massnahmen des Auftragsverarbeiters bekannt und er trägt die Verantwortung dafür, dass diese ein risikobasiertes, genügendes Schutzniveau bieten. Hierfür weist der Auftragsverarbeiter dem Auftraggeber die getroffenen Massnahmen in einem geeigneten TOM-Dokument aus.

5. Vertragserfüllung (Auftragsverarbeitung) und Beizug Dritter
Der Auftragsverarbeiter bearbeitet Daten lediglich im Auftrag und unter Weisung des Auftraggebers und nur so, wie dieser sie auch selbst bearbeiten dürfte. Eine Verwendung zu eigenen Zwecken des Auftragsverarbeiters ist ausdrücklich untersagt. Die durch den Auftraggeber gestatteten Tätigkeiten und Leistungsbeschreibungen ergeben sich aus dem Vertrag zwischen den Parteien. Änderungen der Leistungspflichten und Weisungen haben schriftlich zu erfolgen.

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Auftraggebers gegen anwendbare Gesetze verstösst. Er darf die Umsetzung der Weisung solange aussetzen, bis die Rechtmässigkeit der Weisung vom Auftraggeber bestätigt oder jene abgeändert wird.

Die Parteien, namentlich der Auftragsverarbeiter, gewährleisten, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragsverarbeiter tätigen Personen untersagt ist, die Daten ausserhalb der Regelungen im Vertrag, resp. ausserhalb der Weisungen des Auftraggebers zu verarbeiten. Es wird gewährleistet, dass die Mitarbeitenden einer angemessenen Vertraulichkeits- und Verschwiegenheitspflicht unterliegen, welche auch nach Beendigung des Auftrages fortbesteht.

Der Auftraggeber garantiert, dass der Auftragsverarbeiter die Daten gemäss Vertrag ohne Beschränkung rechtmässig verarbeiten darf und dass der Auftraggeber berechtigt ist, die Daten an den Auftragsverarbeiter zur Bearbeitung weiterzugeben.

Der Auftraggeber garantiert, dass alle notwendigen Voraussetzungen resp. Rechtfertigungsgründe für die vertraglich geschuldete Datenbearbeitung (Einwilligung etc.) vorliegen. Er ist verpflichtet, dem Auftragsverarbeiter allfällige Änderungen umgehend mitzuteilen (z.B. Widerruf von Einwilligungen durch betroffene Personen).

Der Beizug von Dritten als Subunternehmer mit Zugriff auf personenbezogene Daten ist nur zulässig, wenn der Auftraggeber vorher schriftlich zugestimmt hat. Aktuell sind folgende Subunternehmen involviert:

• Vaadin Ltd, Turku, Finnland, Softwareentwicklung
• Nine Internet Solutions AG, Zürich, Schweiz, System Operator und Hosting
• Intuit Inc. (Mailchimp), Mountain View, USA, E-Mail E-Mail-Newsletter an Kundenkontakt
• Cloudflare, Inc., San Francisco, USA, Web-Sicherheit, CDN, DDoS-Schutz

Zur Leistungserbringung beigezogene Dritte unterliegen denselben Pflichten wie die Parteien. Der Auftraggeber sowie der Auftragsverarbeiter garantieren ihre Pflichten allfälligen Dritten zu überbinden. Sie bleiben für die Einhaltung der Pflichten verantwortlich.

Soweit durch den Einsatz von Subunternehmen eine Bekanntgabe personenbezogener Daten in ein Land ohne angemessenen Datenschutz erfolgt, sichert der Auftragsverarbeiter die Gewährleistung des Datenschutzes mittels geeigneter Garantien, insbesondere europäischen Standarddatenschutzklauseln inklusive der nach Schweizer Datenschutzrecht erforderlichen Anpassungen zu. Der Auftragsverarbeiter versichert sich der Einhaltung dieser Bestimmungen sowie der Datensicherheit durch die Subunternehmer.

6. Betroffenenrechte
Die Parteien verpflichten sich die Betroffenenrechte zu wahren und zu garantieren. Der Auftraggeber hat die Pflicht, die betroffenen Personen über die Datenbearbeitungen im Sinne von Art. 6 Abs. 3 DSG zu informieren.

Die betroffene Person hat namentlich das Recht auf Auskunft, Löschung, Korrektur, Einschränkung der Bearbeitung, Sperrung sowie Portabilität der Daten (Art. 25 ff. und 32 DSG).

Können Daten aufgrund gesetzlicher oder geschäftlicher Pflichten nicht gelöscht werden, werden sie blockiert. Ist die Richtigkeit oder Unrichtigkeit von Daten nicht beweisbar, werden sie mit einem Bestreitungsvermerk versehen.

Die Parteien verpflichten sich, die Daten, welche die betroffenen Personen zur Bearbeitung zur Verfügung gestellt haben, in einem gängigen, maschinenlesbaren Format auf Anfrage der betroffenen Person herauszugeben. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragsverarbeiter, leitet dieser die entsprechende Anfrage der betroffenen Person an den Auftraggeber weiter. Die Parteien unterstützen einander soweit vereinbart bei der Bearbeitung der Betroffenenanfragen. Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird, sofern er entsprechende Anfragen umgehend an den Auftraggeber weitergeleitet hat.

7. Datenschutzbeauftragte Person
Die Parteien nennen einander gegenseitig einen Ansprechpartner für im Rahmen des Vertrags anfallende Fragen des Datenschutzes.
Auftragsverarbeiter: Ayyah AG, Julian Karrer (julian.karrer@ayyah.com)

8. Mitteilungspflichten und Kontrollrechte
Der Auftragsverarbeiter unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes von Personendaten bekannt werden.

Der Auftraggeber hat das Recht, beim Auftragsverarbeiter selber oder durch eine unabhängige, eingesetzte Revisionsgesellschaft ein Audit durchzuführen, namentlich aber nicht ausschliesslich, um die Einhaltung der in der vorliegenden Vereinbarung definierten Pflichten auditieren zu können. Ein Audit ist dem Processor/Auftragsverarbeiter mindestens 5 Werktage vorher schriftlich (E-Mail genügt) anzukündigen. Der Auftraggeber berücksichtigt vor der Geltendmachung seines Auditrechts bereits vorhandene, gültige und anwendbare Prüfergebnisse, um redundante Audits zu vermeiden. Für die formalen Bedingungen gelten, soweit vorhanden, die Bestimmungen des Vertrages.

9. Löschung der Daten und Rückgabe
Nach Erfüllung des Zwecks, jedenfalls aber nach Beendigung, Ablauf oder Kündigung des Vertrages hat der Auftragsverarbeiter alle Daten an den Auftraggeber herauszugeben oder mit Erlaubnis des Auftraggebers zu löschen. Allfällige Kopien sind zu löschen. Allfällige gesetzliche Aufbewahrungspflichten bleiben vorbehalten.

10. Schriftform
Änderungen dieses Anhangs bedürfen der Schriftlichkeit. Selbiges gilt für die Änderung der Schriftformklausel.

11. Inkrafttreten und Dauer
Der vorliegende Datenverarbeitungsvertrag gilt für die gesamte Dauer der vertraglichen Beziehung der Parteien.

12. Gerichtsstand
Ausschliesslicher Gerichtsstand für Streitigkeiten aus dem Datenverarbeitungsvertrag ist Zürich, Schweiz.

Ayyah AG
Merkurstrasse 51
8032 Zürich
datenschutz@ayyah.com