Zum Hauptinhalt springen
Home

Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag («AVV») konkretisiert die Pflichten der Vertragsparteien zum Datenschutz, die sich aus dem Hauptvertrag (Allgemeine Geschäftsbedingungen, «AGB») zwischen dem Geschäftskunden («Verantwortlicher») und LoyaltyBar («Auftragsverarbeiter») ergeben. Er gilt als Anhang zu den AGB und wird mit deren Annahme wirksam.

Massgebend sind das Schweizer Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) sowie, soweit anwendbar, die EU-Datenschutz- Grundverordnung (DSGVO, insbesondere Art. 28).

1. Vertragsparteien

Verantwortlicher:Der Geschäftskunde gemäss Registrierung auf der Plattform.

Auftragsverarbeiter:
Niclas Semprevivo (LoyaltyBar)
Spyristrasse 3
9008 St. Gallen
Schweiz
E-Mail: niclas@loyaltybar.ch

2. Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung der LoyaltyBar-Plattform zur Verwaltung von Treueprogrammen (Stempelkarten und Punktesysteme) durch den Verantwortlichen gegenüber seinen Endkunden.

Die Dauer entspricht der Laufzeit des Hauptvertrags. Der AVV endet automatisch mit Beendigung des Hauptvertrags.

3. Art, Zweck und Umfang der Bearbeitung

Konkrete Details zu Art und Zweck der Bearbeitung, Datenarten, Kategorien betroffener Personen sowie Bearbeitungsdauer sind in Anhang 1 dieses AVV festgehalten.

Der Auftragsverarbeiter bearbeitet Personendaten ausschliesslich auf dokumentierte Weisung des Verantwortlichen, sofern keine gesetzliche Verpflichtung zu einer abweichenden Bearbeitung besteht. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen die entsprechenden rechtlichen Anforderungen vor der Bearbeitung mit, sofern nicht das einschlägige Recht eine solche Mitteilung verbietet.

Die Nutzung der Plattform gemäss den AGB sowie die Konfigurationen und Einstellungen, die der Verantwortliche vornimmt, gelten als dokumentierte Weisungen.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • Personendaten nur im Rahmen dieses AVV und der Weisungen des Verantwortlichen zu bearbeiten;
  • Personen, die zur Bearbeitung der Daten befugt sind, zur Vertraulichkeit zu verpflichten oder sicherzustellen, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • technische und organisatorische Massnahmen gemäss Anhang 2 zu treffen und aufrechtzuerhalten;
  • Unterauftragsverarbeiter nur unter Einhaltung von Ziffer 7 einzusetzen;
  • den Verantwortlichen bei der Wahrnehmung seiner Pflichten zur Beantwortung von Ersuchen betroffener Personen zu unterstützen (Ziffer 9);
  • den Verantwortlichen bei der Sicherstellung der Pflichten aus den Art. 32 bis 36 DSGVO bzw. Art. 7, 8 und 24 DSG zu unterstützen, soweit erforderlich und unter Berücksichtigung der Art der Bearbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen;
  • dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieses AVV erforderlich sind, und Audits gemäss Ziffer 10 zu ermöglichen.

5. Pflichten des Verantwortlichen

Der Verantwortliche:

  • trägt die Verantwortung für die Rechtmässigkeit der Datenbearbeitung gegenüber den betroffenen Personen;
  • informiert seine Endkunden in eigener Datenschutzerklärung über die Nutzung der LoyaltyBar-Plattform und holt die erforderlichen Einwilligungen ein, soweit gesetzlich vorgeschrieben;
  • meldet Datenschutzvorfälle in seinem Verantwortungsbereich den zuständigen Behörden und betroffenen Personen, soweit gesetzlich vorgeschrieben;
  • gibt nur Daten in die Plattform ein, für deren Bearbeitung er eine Rechtsgrundlage besitzt;
  • verwendet die ihm über die Plattform sichtbaren Endkundendaten (insbesondere E-Mail-Adressen) ausschliesslich zu betrieblichen Zwecken im Rahmen seines Treueprogramms (Wiedererkennung wiederkehrender Endkunden, Einlösungen, Treueprogramm-Kommunikation). Jegliche Verwendung für Direktmarketing, Werbe-E-Mails, Newsletter oder vergleichbare Massnahmen setzt eine separate, ausdrückliche und nachweisbare Einwilligung des betroffenen Endkunden voraus, die der Verantwortliche ausserhalb der LoyaltyBar-Plattform einholt.

6. Datensicherheit (TOMs)

Der Auftragsverarbeiter trifft die in Anhang 2beschriebenen technischen und organisatorischen Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Er prüft diese Massnahmen regelmässig und passt sie bei Bedarf dem Stand der Technik an.

7. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter mit Annahme dieses AVV eine allgemeine schriftliche Genehmigung zum Einsatz der in Anhang 3aufgeführten Unterauftragsverarbeiter.

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor jeder beabsichtigten Änderung der Liste durch Aktualisierung dieser Seite und per E-Mail an die hinterlegte Kontaktadresse. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen widersprechen. Im Widerspruchsfall sind beide Parteien berechtigt, den Hauptvertrag mit angemessener Frist ausserordentlich zu kündigen.

Der Auftragsverarbeiter verpflichtet alle Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die denen dieses AVV im Wesentlichen entsprechen. Bei Datenübermittlungen in Drittländer werden geeignete Garantien (insb. EU-Standardvertragsklauseln, Schweizer Ergänzung, soweit anwendbar) sichergestellt.

8. Mitteilung von Datenpannen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten in seinem Verantwortungsbereich. Die Benachrichtigung enthält mindestens die in Art. 33 Abs. 3 DSGVO bzw. Art. 24 DSG genannten Informationen, soweit verfügbar.

9. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit angemessenen technischen und organisatorischen Massnahmen bei der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, so leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter und antwortet nicht selbst, sofern nicht abweichend vereinbart.

10. Audit-Rechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen. Audits werden mindestens 30 Tage im Voraus angekündigt, während üblicher Geschäftszeiten durchgeführt und so organisiert, dass sie den Betrieb möglichst wenig beeinträchtigen.

Der Auftragsverarbeiter kann seine Audit-Pflichten durch Vorlage geeigneter Zertifizierungen oder unabhängiger Prüfberichte seiner Unterauftragsverarbeiter (z.B. SOC 2, ISO 27001) erfüllen. Die Kosten eines Audits durch den Verantwortlichen trägt dieser, ausser der Audit ergibt eine wesentliche Verletzung dieses AVV.

11. Beendigung — Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle im Auftrag des Verantwortlichen bearbeiteten Personendaten innerhalb von 90 Tagen, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch werden die Daten zuvor in einem gängigen, maschinenlesbaren Format zurückgegeben.

Backups werden im Rahmen der üblichen Backup-Zyklen automatisch gelöscht (max. 30 Tage nach der primären Löschung).

12. Haftung

Die Haftung der Parteien richtet sich nach den AGB. Bei Datenschutzverstössen haftet jede Partei für Schäden in ihrem jeweiligen Verantwortungsbereich nach den anwendbaren datenschutzrechtlichen Vorschriften.

13. Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt schweizerisches Recht unter Ausschluss kollisionsrechtlicher Bestimmungen. Ausschliesslicher Gerichtsstand ist St. Gallen, Schweiz, soweit gesetzlich zulässig.

Anhang 1 — Konkrete Bearbeitungsdetails

Art und Zweck der Bearbeitung

Verwaltung digitaler Treueprogramme: Erfassung von Stempeln und Punkten, Identifikation wiederkehrender Endkunden, Einlösung von Prämien, Bereitstellung von Statistiken für den Verantwortlichen.

Kategorien betroffener Personen

  • Endkunden des Verantwortlichen (Inhaber von Treuekarten)
  • Mitarbeitende des Verantwortlichen, die die Plattform nutzen

Kategorien personenbezogener Daten

  • Kontaktdaten der Endkunden bei freiwilliger Kontoerstellung (E-Mail-Adresse)
  • Pseudonyme Geräte-Kennungen (zufällig generierte UUIDs)
  • Transaktionsdaten (Zeitstempel, Vendor-Zuordnung, Stempel- bzw. Punktezahl, Einlösungen)
  • Kontaktdaten der Mitarbeitenden des Verantwortlichen (E-Mail- Adresse)
  • Technische Logdaten zur Sicherheit und Fehleranalyse (IP-Adresse, User-Agent, Zeitstempel)

Sichtbarkeit der E-Mail-Adresse: Die E-Mail-Adresse eines Endkunden wird dem Verantwortlichen über die Plattform sichtbar, sobald (a) der Endkunde eine Prämie bei ihm einlöst oder (b) der Endkunde nach mindestens einer vorherigen erfolgreichen Transaktion erneut bei ihm scannt. Bei Erst-Scans bleibt die E-Mail-Adresse für den Verantwortlichen verborgen. Diese Sichtbarkeitsregeln entsprechen der dokumentierten Konfiguration der Plattform und gelten als Weisung im Sinne von Ziffer 3.

Es werden keine besonders schützenswerten Personendaten im Sinne von Art. 5 lit. c DSG bzw. Art. 9 DSGVO bearbeitet, sofern der Verantwortliche solche nicht selbständig in die Plattform eingibt.

Dauer

Bearbeitung für die Dauer des Hauptvertrags zuzüglich der in Ziffer 11 genannten Löschfristen.

Anhang 2 — Technische und organisatorische Massnahmen

Vertraulichkeit

  • Zugriffskontrolle: rollenbasierte Berechtigungen, Row Level Security (RLS) auf Datenbankebene
  • Authentifizierung der Endkunden mittels achtstelligem Einmalpasswort (OTP) per E-Mail; keine dauerhaften Kundenpasswörter
  • Authentifizierung der Verantwortlichen mittels E-Mail und Passwort kombiniert mit OTP-Verifikation
  • Pseudonymisierung: Endgeräte werden mit zufällig generierten UUIDs identifiziert
  • Need-to-know-Prinzip beim Zugriff auf Produktivdaten durch Mitarbeitende des Auftragsverarbeiters

Integrität

  • Verschlüsselte Datenübertragung (TLS 1.2 oder höher)
  • Verschlüsselung ruhender Daten (AES-256 auf Datenbankebene durch Supabase / AWS)
  • Eingabevalidierung und parametrisierte Datenbankabfragen zum Schutz vor Injection-Angriffen

Verfügbarkeit und Belastbarkeit

  • Tägliche automatische Backups durch den Datenbank-Hostinganbieter (Aufbewahrung mindestens 7 Tage)
  • Redundante Infrastruktur durch managed Cloud-Services
  • Monitoring und Logging sicherheitsrelevanter Ereignisse

Verfahren zur regelmässigen Prüfung

  • Regelmässige Aktualisierung der Software-Abhängigkeiten und Sicherheits-Patches
  • Überprüfung der Zugriffsberechtigungen mindestens jährlich
  • Code-Reviews für Sicherheits- und datenschutzrelevante Änderungen

Die Liste ist nicht abschliessend. Massnahmen werden dem aktuellen Stand der Technik laufend angepasst.

Anhang 3 — Genehmigte Unterauftragsverarbeiter

  • Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 / 535 Mission Street, San Francisco, USA — Datenbank- und Authentifizierungsdienste. Datenhaltung in der EU (AWS eu-central-1, Frankfurt). Datenübermittlung an Drittländer ist durch EU-Standardvertragsklauseln und Schweizer Ergänzung abgesichert.
  • Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA — Hosting der Webanwendung und CDN. Es werden keine Personendaten dauerhaft gespeichert; Verarbeitung erfolgt flüchtig im Rahmen der Auslieferung. Datenübermittlung in die USA ist durch EU-Standardvertragsklauseln und Schweizer Ergänzung abgesichert.
  • Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA — eingesetzt durch Supabase als SMTP-Relay für transaktionale E-Mails (Verifizierungscodes per OTP, Systembenachrichtigungen). Verarbeitet im Rahmen des Supabase-Vertragsverhältnisses; LoyaltyBar hat keinen direkten Vertrag mit Resend. Datenübermittlung in die USA ist durch EU-Standardvertragsklauseln und Schweizer Ergänzung abgesichert.

Stand: Mai 2026. Änderungen werden gemäss Ziffer 7 angekündigt.

Stand dieses AVV: Mai 2026. Die jeweils aktuelle Fassung ist auf dieser Seite einsehbar.