Zum Hauptinhalt springen
Aproxera AG

Rechtliches

Auftragsverarbeitungsvertrag

Version 1.0 vom März 2026

zwischen

Aproxera AG

Schäflistrasse 1

9430 St. Margrethen

Schweiz

CHE-357.168.012

(nachfolgend «Auftragsbearbeiter»)

und

dem jeweiligen Kunden

(nachfolgend «Verantwortlicher»)

1 Zweck und Gegenstand

Dieser Auftragsverarbeitungsvertrag («AVV») regelt die Bearbeitung von Personendaten durch den Auftragsbearbeiter im Auftrag des Verantwortlichen gemäss dem Schweizer Bundesgesetz über den Datenschutz (DSG).

Dieser AVV ergänzt die zwischen den Parteien bestehenden Verträge, insbesondere die Allgemeinen Geschäftsbedingungen und Einzelverträge.

2 Rolle der Parteien

Der Verantwortliche bleibt allein verantwortlich für die Rechtmässigkeit der Bearbeitung von Personendaten.

Der Auftragsbearbeiter bearbeitet Personendaten ausschliesslich im Auftrag und gemäss den Weisungen des Verantwortlichen.

3 Art und Zweck der Bearbeitung

Die Bearbeitung erfolgt ausschliesslich zur Erbringung der vertraglich vereinbarten Leistungen, insbesondere:

  • Entwicklung von Softwarelösungen
  • Konfiguration von Anwendungen
  • Integration von Systemen und APIs
  • Wartung und Support
  • Fehleranalyse und Fehlerbehebung
  • technische Beratung

4 Kategorien von Personendaten

Die Bearbeitung kann insbesondere folgende Daten umfassen:

  • Namen
  • E-Mail-Adressen
  • Telefonnummern
  • Benutzerkontodaten
  • geschäftliche Kontaktdaten
  • System- und Nutzungsdaten

Der genaue Umfang wird durch die Nutzung der Systeme des Verantwortlichen bestimmt.

5 Kategorien betroffener Personen

Betroffen sein können insbesondere:

  • Mitarbeiter des Verantwortlichen
  • Kunden des Verantwortlichen
  • Geschäftspartner des Verantwortlichen
  • Nutzer der vom Verantwortlichen betriebenen Systeme

6 Ort der Bearbeitung

Die Bearbeitung erfolgt primär auf den Systemen des Verantwortlichen oder auf durch den Verantwortlichen beauftragten Systemen Dritter.

Der Auftragsbearbeiter speichert Personendaten nicht dauerhaft auf eigenen Systemen, sofern dies nicht ausdrücklich vereinbart wurde.

7 Weisungsrecht

Der Auftragsbearbeiter bearbeitet Personendaten ausschliesslich:

  • gemäss diesem AVV
  • gemäss den vertraglichen Vereinbarungen
  • gemäss dokumentierten oder üblichen Weisungen des Verantwortlichen

Sofern eine Weisung nach Auffassung des Auftragsbearbeiters gegen geltendes Datenschutzrecht verstösst, wird der Auftragsbearbeiter den Verantwortlichen darauf hinweisen.

8 Vertraulichkeit

Der Auftragsbearbeiter verpflichtet sich:

  • Personendaten vertraulich zu behandeln
  • Zugriff nur autorisierten Personen zu gewähren
  • Mitarbeitende und beigezogene Dritte zur Vertraulichkeit zu verpflichten

Diese Verpflichtung gilt auch nach Beendigung des Vertrags.

9 Technische und organisatorische Massnahmen

Der Auftragsbearbeiter trifft angemessene Sicherheitsmassnahmen, insbesondere:

  • Zugriffskontrollen
  • Authentifizierungsverfahren
  • verschlüsselte Verbindungen (z. B. VPN, TLS)
  • Zugriffsbeschränkung auf autorisierte Personen
  • sichere Verwaltung von Zugangsdaten

10 Subauftragsbearbeiter

Der Verantwortliche stimmt dem Einsatz von Subauftragsbearbeitern zu.

Der Auftragsbearbeiter kann insbesondere folgende Subauftragsbearbeiter einsetzen:

  • Microsoft Corporation (z. B. Microsoft 365, Azure)
  • Atlassian Pty Ltd (z. B. Jira, Confluence)
  • engomo GmbH (Low-Code Plattform)

Der Auftragsbearbeiter stellt sicher, dass Subauftragsbearbeiter angemessene Datenschutzmassnahmen einhalten.

Der Auftragsbearbeiter informiert den Verantwortlichen auf Anfrage über wesentliche Änderungen hinsichtlich eingesetzter Subauftragsbearbeiter.

11 Zugriff durch Mitarbeitende und Dritte

Zugriff auf Personendaten erhalten nur:

  • Mitarbeitende des Auftragsbearbeiters, soweit erforderlich
  • autorisierte Subunternehmer, soweit erforderlich

Alle Personen unterliegen Vertraulichkeitsverpflichtungen.

12 Unterstützungspflichten

12.1 Der Auftragsbearbeiter unterstützt den Verantwortlichen angemessen bei:

  • der Einhaltung gesetzlicher Datenschutzpflichten
  • der Untersuchung von Datenschutzverletzungen
  • der Bearbeitung von Anfragen betroffener Personen

12.2 Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV in angemessenem Umfang zu überprüfen oder durch einen unabhängigen Dritten überprüfen zu lassen, sofern dies mit angemessener Vorankündigung erfolgt und den Geschäftsbetrieb des Auftragsbearbeiters nicht unverhältnismässig beeinträchtigt.

13 Datensicherheit und Datenschutzverletzungen

Der Auftragsbearbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Datenschutzverletzungen, soweit diese den Verantwortlichen betreffen.

14 Rückgabe und Löschung von Daten

Nach Beendigung der Zusammenarbeit wird der Auftragsbearbeiter:

  • Personendaten gemäss Weisung des Verantwortlichen löschen oder zurückgeben

Davon ausgenommen sind Daten, die sich auf Systemen des Verantwortlichen befinden.

15 Haftung

Die Haftung richtet sich nach den zwischen den Parteien vereinbarten vertraglichen Bestimmungen, insbesondere den Allgemeinen Geschäftsbedingungen der Aproxera AG.

16 Dauer

Dieser AVV gilt für die Dauer der vertraglichen Zusammenarbeit zwischen den Parteien.

17 Schlussbestimmungen

Dieser AVV untersteht Schweizer Recht.

Ausschliesslicher Gerichtsstand ist St. Margrethen SG, Schweiz, soweit gesetzlich zulässig.

18 Bestandteil der Vertragsbeziehung

Dieser AVV ist Bestandteil der Vertragsbeziehung zwischen dem Verantwortlichen und der Aproxera AG.

Zurück zur Startseite