CheckInShine← Zurück
NutzungsbedingungenDatenschutzerklärungAuftragsbearbeitungsvertrag (AVV)

Anhang 1: Auftragsbearbeitungsvertrag (AVV)

Stand: 2. Juli 2026 · Version 1.1

zwischen der nutzenden Person gemäss Hauptvertrag (Nutzungsbedingungen CheckInShine) als Verantwortlicher

und der RC Represent GmbH, Kappelenring 26B, 3032 Hinterkappelen, Schweiz (UID CHE-109.064.886), als Auftragsbearbeiterin.

Dieser AVV ist integrierender Bestandteil der Nutzungsbedingungen und wird mit der Registrierung abgeschlossen. Er konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 9 DSG und – soweit die DSGVO auf die Bearbeitungen des Verantwortlichen anwendbar ist – nach Art. 28 Abs. 3 DSGVO. Bei Widersprüchen zum Hauptvertrag geht in datenschutzrechtlichen Fragen dieser AVV vor.

1. Gegenstand & Dauer

Gegenstand ist die Bearbeitung von Personendaten Dritter, die der Verantwortliche im Dienst CheckInShine erfasst oder über Gast-Funktionen des Dienstes erheben lässt. Art, Zweck und Umfang der Bearbeitung, die Kategorien betroffener Personen und die Datenkategorien ergeben sich aus Anlage 1. Die Dauer entspricht der Laufzeit des Hauptvertrags; Ziff. 10 (Löschung) gilt darüber hinaus.

2. Weisungsbindung

Die Auftragsbearbeiterin bearbeitet die Personendaten ausschliesslich auf dokumentierte Weisung des Verantwortlichen und nur zur Erbringung des Dienstes. Als Weisungen gelten der Hauptvertrag, dieser AVV sowie die Konfiguration und Nutzung der Funktionen des Dienstes durch den Verantwortlichen (z. B. Aktivierung automatisierter Gäste-Nachrichten). Individuelle Weisungen ausserhalb des Funktionsumfangs bedürfen der Vereinbarung in Textform; ein Anspruch auf deren Umsetzung besteht nicht, jedoch ein ausserordentliches Kündigungsrecht des Verantwortlichen, wenn eine rechtlich gebotene Weisung nicht umgesetzt werden kann.

Hält die Auftragsbearbeiterin eine Weisung für rechtswidrig, informiert sie den Verantwortlichen unverzüglich und darf die Umsetzung bis zur Klärung aussetzen. Eine Bearbeitung zu eigenen Zwecken der Auftragsbearbeiterin findet nicht statt; vorbehalten bleiben gesetzliche Pflichten, über die – soweit zulässig – vorgängig informiert wird.

3. Vertraulichkeit

Die Auftragsbearbeiterin stellt sicher, dass sämtliche zur Bearbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass sie die Daten nur nach Massgabe dieses AVV bearbeiten.

4. Datensicherheit

Die Auftragsbearbeiterin trifft und unterhält die technischen und organisatorischen Massnahmen gemäss Anlage 2 (Art. 8 DSG i.V.m. Art. 1 ff. DSV; Art. 32 DSGVO). Sie darf die Massnahmen weiterentwickeln, sofern das Schutzniveau insgesamt nicht unterschritten wird. Die jeweils aktuelle Fassung der Anlage 2 ist im Dienst abrufbar.

5. Unterauftragsbearbeiter

Der Verantwortliche erteilt die allgemeine Genehmigung zum Beizug der in Anlage 3 aufgeführten Unterauftragsbearbeiter (Art. 9 Abs. 3 DSG; Art. 28 Abs. 2 DSGVO). Die Auftragsbearbeiterin auferlegt jedem Unterauftragsbearbeiter vertraglich im Wesentlichen dieselben Datenschutzpflichten wie in diesem AVV und bleibt für dessen Leistungen verantwortlich.

Beabsichtigte Änderungen (Aufnahme oder Ersetzung) werden dem Verantwortlichen mindestens 30 Tage im Voraus per E-Mail oder im Dienst mitgeteilt. Der Verantwortliche kann innert dieser Frist aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben. Kann keine einvernehmliche Lösung gefunden werden, kann der Verantwortliche den Hauptvertrag auf den Zeitpunkt des Wirksamwerdens der Änderung ausserordentlich kündigen; er erhält eine anteilige Erstattung gemäss Ziff. 7 der Nutzungsbedingungen.

6. Bekanntgabe ins Ausland

Eine Bekanntgabe von Personendaten ins Ausland erfolgt nur in die in Anlage 3 genannten Staaten und nur, sofern die Voraussetzungen von Art. 16 f. DSG (bzw. Kap. V DSGVO) erfüllt sind: Angemessenheitsentscheid (Anhang 1 DSV, einschliesslich des Swiss–U.S. Data Privacy Framework für zertifizierte US-Anbieter) oder geeignete Garantien, insbesondere Standarddatenschutzklauseln mit Schweizer Ergänzungen.

7. Unterstützung des Verantwortlichen

Die Auftragsbearbeiterin unterstützt den Verantwortlichen mit angemessenen Mitteln:

8. Nachweise & Audit

Die Auftragsbearbeiterin stellt dem Verantwortlichen die zum Nachweis der Pflichteinhaltung erforderlichen Informationen zur Verfügung (dieser AVV, Anlagen 1–3, auf Anfrage zusätzliche Beschreibungen der Massnahmen). Der Verantwortliche kann höchstens einmal jährlich sowie bei begründetem Anlass (insbesondere nach einer Verletzung der Datensicherheit) eine Überprüfung verlangen; diese erfolgt primär durch schriftliche Auskünfte oder vorhandene Prüfberichte. Vor-Ort-Audits sind mit mindestens 30 Tagen Vorankündigung, während üblicher Geschäftszeiten und ohne Störung des Betriebs möglich; die eigenen Kosten trägt jede Partei selbst.

9. Gast-Datenschutzhinweise

Der Dienst generiert pro Unterkunft einen Datenschutzhinweis für Gäste im Namen des Verantwortlichen (Vorlage gemäss Dienst). Der Verantwortliche prüft den Hinweis, ergänzt ihn bei Bedarf und bleibt für die Erfüllung seiner Informationspflichten (Art. 19 ff. DSG; Art. 13 f. DSGVO) verantwortlich.

10. Löschung & Rückgabe

Nach Beendigung des Hauptvertrags kann der Verantwortliche seine Daten während 30 Tagen im eingeschränkten Zugriffsmodus exportieren (JSON). Nach Ablauf dieser Frist löscht die Auftragsbearbeiterin sämtliche Personendaten des Verantwortlichen innert weiterer 30 Tage, einschliesslich der Kopien in Sicherungen im Rahmen der ordentlichen Backup-Rotation (max. 30 Tage), vorbehältlich gesetzlicher Aufbewahrungspflichten. Auf Verlangen bestätigt sie die Löschung in Textform. Bei Selbstlöschung des Kontos durch den Verantwortlichen erfolgt die Löschung unmittelbar, mit derselben Backup-Rotation.

11. Haftung, Recht & Gerichtsstand

Für die Haftung gilt Ziff. 11 der Nutzungsbedingungen; zwingende datenschutzrechtliche Haftungsregeln (insbesondere Art. 82 DSGVO, soweit anwendbar) bleiben unberührt. Anwendbares Recht und Gerichtsstand richten sich nach Ziff. 16 der Nutzungsbedingungen.


Anlage 1: Beschreibung der Bearbeitung

ElementBeschreibung
GegenstandBereitstellung der SaaS-Lösung CheckInShine zur Verwaltung von Ferienunterkünften
Art der BearbeitungSpeichern, Anzeigen, Strukturieren, Übermitteln (E-Mail-Versand an Gäste), Exportieren, Sichern, Löschen
ZweckeBuchungs- und Belegungsverwaltung; Reinigungsorganisation; Gästekommunikation (Anfragen, automatisierte Nachrichten, Gästehandbuch, Gästebuch); Kalender-Synchronisation
Kategorien betroffener PersonenGäste und Anfragende; Reinigungskräfte und weitere eingeladene Personen; Begleitpersonen von Gästen
DatenkategorienGäste: Name, optionale E-Mail, Aufenthaltszeitraum, Personenzahl, Sprache, Haustiere, Preis, interne Notizen, Anfrageinhalte, Gästebucheinträge (Name, Nachricht, Fotos), Zugriffsprotokoll Gästehandbuch; sofern die Meldeschein-Funktion genutzt wird zusätzlich: Geburtsdatum, Nationalität, Ausweisart und -nummer, Wohnadresse (konfigurierbare Löschfrist 6–24 Monate nach Abreise, Standard 12). Reinigungskräfte: Name, E-Mail, Rolle, Termine, Checklisten, hochgeladene Fotos, Vorkommnis-Meldungen
Besonders schützenswerte PersonendatenNicht vorgesehen; der Verantwortliche erfasst keine solchen Daten (z. B. Gesundheitsdaten) in Freitextfeldern
Ort der BearbeitungSchweiz (Hosting); Ausland nur gemäss Anlage 3

Anlage 2: Technische und organisatorische Massnahmen (TOMs)

Anlage 3: Unterauftragsbearbeiter

UnterauftragsbearbeiterLeistungOrt der BearbeitungGrundlage Auslandsbekanntgabe
Infomaniak Network SA, Genf (CH)Hosting, Datenbank, E-Mail-Versand (SMTP)Schweiz– (keine Auslandsbekanntgabe)
Stripe Payments Europe Ltd (IE) / Stripe, Inc. (USA)Zahlungsabwicklung, Abo-Verwaltung (nur Konto-/Zahlungsdaten des Verantwortlichen; keine Gastdaten)EU / USAAngemessenheit (EU); Swiss–U.S. Data Privacy Framework (USA, zertifiziert)
Open-MeteoWetterdaten, Ortssuche (Koordinaten der Unterkunft; keine Gastdaten)EUAngemessenheit (Anhang 1 DSV)
frankfurter.devEZB-Referenz-Wechselkurse (Abruf serverseitig; keine Personendaten)EU– (keine Personendaten)

*Hinweis: Stripe, Open-Meteo und frankfurter.dev bearbeiten keine Gäste- oder Reinigungskraftdaten; sie sind der Vollständigkeit halber aufgeführt, soweit Randdaten (z. B. Konto- oder Standortdaten) betroffen sein können.*