Auftragsverarbeitungsvertrag (AVV)

Artikel 1 — Vertragsparteien

Verantwortlicher: Organisation (Verein, STWEG, Interessengemeinschaft), registriert auf der Plattform sprav.cz, vertreten durch den Administrator der Organisation („Verantwortlicher“ oder „Organisation“).

Auftragsverarbeiter: TimeDeals Pavelka, Berglistrasse 28a, 8180 Bülach, Švýcarsko, UID: CHE-393.597.780, Betreiber der Plattform sprav.cz („Auftragsverarbeiter“).

Artikel 2 — Gegenstand und Dauer

2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Namen des Verantwortlichen ausschließlich zum Zweck der Erbringung von Dienstleistungen der Plattform sprav.cz (Mitgliederverwaltung, Abstimmungen, Dokumente, Kommunikation, Audit-Protokolle).

2.2 Dieser Vertrag ist für die Dauer der Nutzung der Plattform durch den Verantwortlichen wirksam. Nach Beendigung der Nutzung gelten die Bestimmungen über Rückgabe und Löschung von Daten (Art. 9).

Artikel 3 — Art und Zweck der Verarbeitung

• Verwaltung der Mitgliederbasis der Organisation
• Betrieb elektronischer Abstimmungen und Generierung von Ergebnisprotokollen
• Speicherung und Bereitstellung von Dokumenten für Mitglieder der Organisation
• Führung einer Audit-Spur der Aktivitäten in der Organisation
• Versand von Transaktions-E-Mails im Namen der Organisation
• Betrieb interner Kommunikation (Forum, Nachrichten)

Artikel 4 — Kategorien von Daten und Betroffenen

Betroffene:

• Mitglieder der Organisation
• Administratoren der Organisation
• Personen, die einen Mitgliedschaftsantrag gestellt haben

Datenkategorien:

• Identifikationsdaten: E-Mail-Adresse, Name (falls angegeben)
• Mitgliederdaten: Zugehörigkeit zur Organisation, Rolle, Mitgliedschaftsstatus
• Abstimmungsprotokolle: abgegebene Stimmen, Abstimmungszeitpunkt
• Kommunikationsdaten: Forumsbeiträge, Nachrichten
• In das System hochgeladene Dokumente
• Audit-Protokolle: wer/was/wann im Kontext der Organisation
• E-Mail-Zustellungsprotokolle

Artikel 5 — Pflichten des Auftragsverarbeiters

• 5.1 Anweisungen des Verantwortlichen: Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf der Grundlage nachgewiesener Anweisungen des Verantwortlichen, einschließlich der in diesem Vertrag enthaltenen Anweisungen und im Rahmen der Funktionalität der Plattform. Der Verantwortliche erteilt Anweisungen über Einstellungen und Aktionen in der Plattform.
• 5.2 Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung von Daten berechtigten Personen zur Verschwiegenheit verpflichtet sind.
• 5.3 Sicherheit: Der Auftragsverarbeiter implementiert angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (siehe Seite Sicherheit und Datenschutzerklärung, Punkt 11).
• 5.4 Zusammenarbeit: Der Auftragsverarbeiter leistet dem Verantwortlichen angemessene Unterstützung bei der Erfüllung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldung von Verstößen, Folgenabschätzung).
• 5.5 Rechte der Betroffenen: Der Auftragsverarbeiter hilft dem Verantwortlichen bei der Bearbeitung von Anfragen betroffener Personen (Zugang, Berichtigung, Löschung, Datenübertragbarkeit).
• 5.6 Meldung von Verstößen: Der Auftragsverarbeiter informiert den Verantwortlichen ohne unnötige Verzögerung (spätestens innerhalb von 48 Stunden) über jeden Verstoß gegen die Sicherheit personenbezogener Daten.
• 5.7 Einschränkung des Zugriffs: Der Auftragsverarbeiter greift auf personenbezogene Daten von Organisationsmitgliedern ausschließlich zum Zweck der technischen Wartung, Fehlerbehebung und Systemsicherheit zu. Der Auftragsverarbeiter greift nicht auf Inhalte von Abstimmungen, Diskussionen, Nachrichten oder Dokumenten der Organisation zu, es sei denn, dies ist zur Lösung eines technischen Problems auf Anfrage des Organisationsverantwortlichen erforderlich. Der Zugriff des Auftragsverarbeiters auf Daten ist technisch eingeschränkt und im Audit-Log aufgezeichnet.

Artikel 6 — Unterauftragsverarbeiter (Subprozessoren)

6.1 Der Verantwortliche stimmt der Verwendung der folgenden Unterauftragsverarbeiter zu:

6.2 Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen der Unterauftragsverarbeiter mit 30 Tagen Vorlaufzeit. Der Verantwortliche kann gegen die Änderung Einwände erheben; tut er dies und der Auftragsverarbeiter besteht auf der Änderung, hat der Verantwortliche das Recht, den Vertrag zu kündigen.

6.3 Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter mindestens das gleiche Datenschutzniveau bietet, das in diesem Vertrag und den geltenden Rechtsvorschriften (DSGVO / revDSG) festgelegt ist, insbesondere durch vertragliche Verpflichtungen.

6.4 Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber für Handlungen und Unterlassungen der Unterauftragsverarbeiter, als wären es seine eigenen.

Artikel 7 — Übermittlung von Daten in Drittländer

7.1 Die Übermittlung von Daten in die Schweiz ist durch einen Angemessenheitsbeschluss der Europäischen Kommission abgedeckt. Die Übermittlung in die USA (Vercel, Postmark, Stripe, Sentry) erfolgt über das EU-U.S. Data Privacy Framework.

7.2 Für die Verarbeitung personenbezogener Daten von Betroffenen in der Schweiz gelten diese Bestimmungen in Übereinstimmung mit dem revidierten schweizerischen Datenschutzgesetz (revDSG).

7.3 Sollte ein Angemessenheitsbeschluss seine Gültigkeit verlieren, werden Übermittlungen in Drittländer durch Standardvertragsklauseln (SCC) abgesichert.

Artikel 8 — Prüfung

8.1 Der Auftragsverarbeiter ermöglicht dem Verantwortlichen oder einem von ihm beauftragten unabhängigen Prüfer Zugang zu den Informationen, die zur Nachweisung der Erfüllung der Pflichten gemäß Art. 28 DSGVO erforderlich sind, in angemessenem Umfang und nach vorheriger Ankündigung (mindestens 30 Tage im Voraus).

8.2 Der Auftragsverarbeiter kann die Prüfung von der Unterzeichnung einer Verschwiegenheitsvereinbarung durch den Prüfer abhängig machen.

Artikel 9 — Rückgabe und Löschung von Daten

9.1 Nach Beendigung der Nutzung der Plattform durch den Verantwortlichen ermöglicht der Auftragsverarbeiter den Export der Organisationsdaten (Mitglieder, Abstimmungen, Dokumente, Audit) in maschinenlesbarem Format.

9.2 Nach Ablauf einer angemessenen Frist für den Export (60 Tage) löscht der Auftragsverarbeiter die Daten der Organisation, mit Ausnahme von Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist oder ein berechtigtes Interesse besteht (Audit-Protokolle, Zustellungsnachweise).

Artikel 10 — Schlussbestimmungen

10.1 Dieser Vertrag unterliegt schweizerischem Recht. Für die Beilegung von Streitigkeiten sind die Gerichte in Bülach, Schweiz, zuständig.

10.2 Dieser Vertrag wird mit dem Zeitpunkt der Annahme durch den Administrator der Organisation auf der Plattform wirksam (Ankreuzen der Zustimmung bei der Registrierung der Organisation oder in den Organisationseinstellungen). Die Annahme wird mit Zeitstempel aufgezeichnet.

10.3 Im Falle eines Widerspruchs zwischen diesem Vertrag und den Nutzungsbedingungen hat dieser Vertrag Vorrang im Bereich des Datenschutzes.