Auftragsbearbeitungsvertrag (AVV)

Vertrag zur Bearbeitung personenbezogener Daten im Auftrag gemäss Schweizer Datenschutzgesetz (revDSG).

Vertragsparteien

Auftraggeber (Verantwortlicher):
Der jeweilige Verein / die Organisation, welche ein Konto bei DartsAnion erstellt und die Plattform zur Bearbeitung personenbezogener Daten nutzt.

Auftragsbearbeiter:
DartsAnion (Einzelunternehmen), Michael Strähl, Schweiz
E-Mail: info@dartsanion.ch

1. Gegenstand und Zweck

Der Auftragsbearbeiter stellt eine webbasierte Softwarelösung (SaaS) zur Vereinsverwaltung zur Verfügung. Der Auftragsbearbeiter bearbeitet personenbezogene Daten ausschliesslich im Auftrag und nach Weisung des Auftraggebers, soweit dies zur Bereitstellung, Wartung und Sicherung der Plattform erforderlich ist.

2. Art der Daten und Kategorien betroffener Personen
2.1 Datenkategorien (Beispiele)
  • Stammdaten (z.B. Vorname, Nachname, Benutzername)
  • Kontaktdaten (z.B. E-Mail-Adresse)
  • Vereins-/Mitgliedschaftsdaten (z.B. Rollen, Status, interne Notizen, sofern durch Auftraggeber erfasst)
  • Organisationsdaten (z.B. Vereinsname, Adresse/Standortdaten, sofern durch Auftraggeber erfasst)
  • Technische Nutzungsdaten (z.B. IP-Adresse, Login-Zeitpunkt, Geräte-/Browserinformationen soweit systembedingt)
2.2 Betroffene Personen
  • Mitglieder, Funktionäre, Spielleiter, Administratoren des Auftraggebers
  • Weitere Personen, deren Daten der Auftraggeber in der Plattform erfasst
3. Weisungsrecht des Auftraggebers

Der Auftraggeber ist Verantwortlicher und entscheidet über Zweck und Mittel der Bearbeitung. Der Auftragsbearbeiter bearbeitet Daten nur gemäss dokumentierter Weisung des Auftraggebers, insbesondere durch Nutzung der Funktionen der Plattform (Einstellungen, Rollen, Datenexport/Löschung, etc.). Gesetzliche Pflichten des Auftragsbearbeiters bleiben vorbehalten; in diesem Fall informiert der Auftragsbearbeiter den Auftraggeber, sofern rechtlich zulässig.

4. Vertraulichkeit

Der Auftragsbearbeiter stellt sicher, dass mit der Bearbeitung betraute Personen zur Vertraulichkeit verpflichtet sind und nur soweit Zugriff erhalten, wie dies zur Erfüllung der Leistungen erforderlich ist (Need-to-know-Prinzip).

5. Technische und organisatorische Massnahmen (TOM)

Der Auftragsbearbeiter trifft angemessene technische und organisatorische Massnahmen zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit.

  • Zugriffskontrolle: rollenbasierte Berechtigungen, getrennte Konten, minimaler Zugriff
  • Transportverschlüsselung: TLS/HTTPS für die Übertragung
  • Authentisierung: Passwort-Hashing, optional 2FA/zusätzliche Schutzmechanismen (sofern aktiviert)
  • Protokollierung: technische Logs zur Fehleranalyse und Sicherheit (z.B. Loginereignisse)
  • Backup/Recovery: regelmässige Sicherungen gemäss Hosting- und Betriebsprozessen
  • Patch-/Vulnerability-Management: Updates und Wartung nach bestem Wissen
  • Mandantentrennung: logische Trennung von Vereinsdaten durch Zugriffskonzepte
Hinweis: Die konkrete Ausgestaltung kann sich technisch weiterentwickeln, wobei das Schutzniveau mindestens gleichwertig bleibt.
6. Unterauftragsbearbeiter

Der Auftragsbearbeiter kann Unterauftragsbearbeiter einsetzen, soweit dies für den Betrieb der Plattform erforderlich ist. Der Auftragsbearbeiter stellt sicher, dass Unterauftragsbearbeiter angemessene Datenschutz- und Sicherheitsstandards einhalten.

Dienst Zweck Standort
Hostinger Hosting / Infrastruktur EU (Niederlande)
Stripe Zahlungsabwicklung / Abonnementverwaltung Je nach Stripe-Setup (Stripe Payments Europe; Verarbeitung kann international erfolgen)
Der Auftraggeber erklärt sich mit diesen Unterauftragsbearbeitern einverstanden, soweit sie für die Leistungserbringung erforderlich sind.
7. Datenübermittlung ins Ausland

Eine Bearbeitung ausserhalb der Schweiz kann insbesondere durch Hosting in der EU (Niederlande) sowie durch die Zahlungsabwicklung via Stripe erfolgen. Der Auftragsbearbeiter achtet darauf, dass ein angemessenes Datenschutzniveau oder geeignete Garantien bestehen.

8. Unterstützung des Auftraggebers

Der Auftragsbearbeiter unterstützt den Auftraggeber im angemessenen Umfang bei Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung), soweit dies den Verantwortungsbereich des Auftragsbearbeiters betrifft und technisch möglich ist.

9. Meldung von Sicherheitsvorfällen

Der Auftragsbearbeiter informiert den Auftraggeber innerhalb angemessener Frist über bekannt gewordene erhebliche Sicherheitsvorfälle, die personenbezogene Daten des Auftraggebers betreffen, und unterstützt bei erforderlichen Massnahmen.

10. Rückgabe und Löschung

Nach Beendigung des Nutzungsverhältnisses kann der Auftraggeber, soweit verfügbar, Daten exportieren. Der Auftragsbearbeiter löscht oder anonymisiert personenbezogene Daten nach Ablauf angemessener Fristen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen oder technische Backups eine verzögerte Löschung bedingen.

11. Kontrollrechte / Nachweise

Der Auftraggeber kann im angemessenen Rahmen Nachweise zur Einhaltung dieses AVV verlangen. Audits erfolgen nach vorgängiger Abstimmung und unter Wahrung von Geschäftsgeheimnissen und Sicherheitsanforderungen.

12. Laufzeit

Dieser AVV gilt für die Dauer des Nutzungsverhältnisses zwischen Auftraggeber und Auftragsbearbeiter und endet mit dessen Beendigung.

13. Anwendbares Recht und Gerichtsstand

Es gilt Schweizer Recht. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragsbearbeiters in der Schweiz.

Stand: 17.04.2026