Anhang 1: Auftragsbearbeitungsvertrag (AVV)
Stand: 2. Juli 2026 · Version 1.1
zwischen der nutzenden Person gemäss Hauptvertrag (Nutzungsbedingungen CheckInShine) als Verantwortlicher
und der RC Represent GmbH, Kappelenring 26B, 3032 Hinterkappelen, Schweiz (UID CHE-109.064.886), als Auftragsbearbeiterin.
Dieser AVV ist integrierender Bestandteil der Nutzungsbedingungen und wird mit der Registrierung abgeschlossen. Er konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 9 DSG und – soweit die DSGVO auf die Bearbeitungen des Verantwortlichen anwendbar ist – nach Art. 28 Abs. 3 DSGVO. Bei Widersprüchen zum Hauptvertrag geht in datenschutzrechtlichen Fragen dieser AVV vor.
1. Gegenstand & Dauer
Gegenstand ist die Bearbeitung von Personendaten Dritter, die der Verantwortliche im Dienst CheckInShine erfasst oder über Gast-Funktionen des Dienstes erheben lässt. Art, Zweck und Umfang der Bearbeitung, die Kategorien betroffener Personen und die Datenkategorien ergeben sich aus Anlage 1. Die Dauer entspricht der Laufzeit des Hauptvertrags; Ziff. 10 (Löschung) gilt darüber hinaus.
2. Weisungsbindung
Die Auftragsbearbeiterin bearbeitet die Personendaten ausschliesslich auf dokumentierte Weisung des Verantwortlichen und nur zur Erbringung des Dienstes. Als Weisungen gelten der Hauptvertrag, dieser AVV sowie die Konfiguration und Nutzung der Funktionen des Dienstes durch den Verantwortlichen (z. B. Aktivierung automatisierter Gäste-Nachrichten). Individuelle Weisungen ausserhalb des Funktionsumfangs bedürfen der Vereinbarung in Textform; ein Anspruch auf deren Umsetzung besteht nicht, jedoch ein ausserordentliches Kündigungsrecht des Verantwortlichen, wenn eine rechtlich gebotene Weisung nicht umgesetzt werden kann.
Hält die Auftragsbearbeiterin eine Weisung für rechtswidrig, informiert sie den Verantwortlichen unverzüglich und darf die Umsetzung bis zur Klärung aussetzen. Eine Bearbeitung zu eigenen Zwecken der Auftragsbearbeiterin findet nicht statt; vorbehalten bleiben gesetzliche Pflichten, über die – soweit zulässig – vorgängig informiert wird.
3. Vertraulichkeit
Die Auftragsbearbeiterin stellt sicher, dass sämtliche zur Bearbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass sie die Daten nur nach Massgabe dieses AVV bearbeiten.
4. Datensicherheit
Die Auftragsbearbeiterin trifft und unterhält die technischen und organisatorischen Massnahmen gemäss Anlage 2 (Art. 8 DSG i.V.m. Art. 1 ff. DSV; Art. 32 DSGVO). Sie darf die Massnahmen weiterentwickeln, sofern das Schutzniveau insgesamt nicht unterschritten wird. Die jeweils aktuelle Fassung der Anlage 2 ist im Dienst abrufbar.
5. Unterauftragsbearbeiter
Der Verantwortliche erteilt die allgemeine Genehmigung zum Beizug der in Anlage 3 aufgeführten Unterauftragsbearbeiter (Art. 9 Abs. 3 DSG; Art. 28 Abs. 2 DSGVO). Die Auftragsbearbeiterin auferlegt jedem Unterauftragsbearbeiter vertraglich im Wesentlichen dieselben Datenschutzpflichten wie in diesem AVV und bleibt für dessen Leistungen verantwortlich.
Beabsichtigte Änderungen (Aufnahme oder Ersetzung) werden dem Verantwortlichen mindestens 30 Tage im Voraus per E-Mail oder im Dienst mitgeteilt. Der Verantwortliche kann innert dieser Frist aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben. Kann keine einvernehmliche Lösung gefunden werden, kann der Verantwortliche den Hauptvertrag auf den Zeitpunkt des Wirksamwerdens der Änderung ausserordentlich kündigen; er erhält eine anteilige Erstattung gemäss Ziff. 7 der Nutzungsbedingungen.
6. Bekanntgabe ins Ausland
Eine Bekanntgabe von Personendaten ins Ausland erfolgt nur in die in Anlage 3 genannten Staaten und nur, sofern die Voraussetzungen von Art. 16 f. DSG (bzw. Kap. V DSGVO) erfüllt sind: Angemessenheitsentscheid (Anhang 1 DSV, einschliesslich des Swiss–U.S. Data Privacy Framework für zertifizierte US-Anbieter) oder geeignete Garantien, insbesondere Standarddatenschutzklauseln mit Schweizer Ergänzungen.
7. Unterstützung des Verantwortlichen
Die Auftragsbearbeiterin unterstützt den Verantwortlichen mit angemessenen Mitteln:
- Betroffenenrechte: Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Herausgabe/Übertragung), die bei der Auftragsbearbeiterin eingehen, werden nicht selbst beantwortet, sondern unverzüglich, spätestens innert 5 Arbeitstagen, an den Verantwortlichen weitergeleitet. Der Dienst stellt Selbstbedienungsfunktionen bereit (Einsicht, Berichtigung, Löschung von Gast- und Buchungsdaten, JSON-Export), mit denen der Verantwortliche Anfragen in der Regel eigenständig erfüllen kann.
- Datensicherheit & Meldepflichten: Bei einer Verletzung der Datensicherheit, die Personendaten des Verantwortlichen betrifft, informiert die Auftragsbearbeiterin den Verantwortlichen unverzüglich, in der Regel innert 48 Stunden nach Kenntnis, mit den verfügbaren Angaben (Art der Verletzung, betroffene Datenkategorien und Personen, voraussichtliche Folgen, ergriffene Massnahmen) und ergänzt diese fortlaufend. Die Meldung an Behörden (Art. 24 DSG; Art. 33 DSGVO) und betroffene Personen obliegt dem Verantwortlichen; die Auftragsbearbeiterin unterstützt dabei.
- Weitere Pflichten: Auf Anfrage Unterstützung bei Datenschutz-Folgenabschätzungen und Konsultationen (Art. 22 f. DSG; Art. 35 f. DSGVO), soweit die Informationen der Auftragsbearbeiterin zugänglich sind.
8. Nachweise & Audit
Die Auftragsbearbeiterin stellt dem Verantwortlichen die zum Nachweis der Pflichteinhaltung erforderlichen Informationen zur Verfügung (dieser AVV, Anlagen 1–3, auf Anfrage zusätzliche Beschreibungen der Massnahmen). Der Verantwortliche kann höchstens einmal jährlich sowie bei begründetem Anlass (insbesondere nach einer Verletzung der Datensicherheit) eine Überprüfung verlangen; diese erfolgt primär durch schriftliche Auskünfte oder vorhandene Prüfberichte. Vor-Ort-Audits sind mit mindestens 30 Tagen Vorankündigung, während üblicher Geschäftszeiten und ohne Störung des Betriebs möglich; die eigenen Kosten trägt jede Partei selbst.
9. Gast-Datenschutzhinweise
Der Dienst generiert pro Unterkunft einen Datenschutzhinweis für Gäste im Namen des Verantwortlichen (Vorlage gemäss Dienst). Der Verantwortliche prüft den Hinweis, ergänzt ihn bei Bedarf und bleibt für die Erfüllung seiner Informationspflichten (Art. 19 ff. DSG; Art. 13 f. DSGVO) verantwortlich.
10. Löschung & Rückgabe
Nach Beendigung des Hauptvertrags kann der Verantwortliche seine Daten während 30 Tagen im eingeschränkten Zugriffsmodus exportieren (JSON). Nach Ablauf dieser Frist löscht die Auftragsbearbeiterin sämtliche Personendaten des Verantwortlichen innert weiterer 30 Tage, einschliesslich der Kopien in Sicherungen im Rahmen der ordentlichen Backup-Rotation (max. 30 Tage), vorbehältlich gesetzlicher Aufbewahrungspflichten. Auf Verlangen bestätigt sie die Löschung in Textform. Bei Selbstlöschung des Kontos durch den Verantwortlichen erfolgt die Löschung unmittelbar, mit derselben Backup-Rotation.
11. Haftung, Recht & Gerichtsstand
Für die Haftung gilt Ziff. 11 der Nutzungsbedingungen; zwingende datenschutzrechtliche Haftungsregeln (insbesondere Art. 82 DSGVO, soweit anwendbar) bleiben unberührt. Anwendbares Recht und Gerichtsstand richten sich nach Ziff. 16 der Nutzungsbedingungen.
Anlage 1: Beschreibung der Bearbeitung
| Element | Beschreibung |
|---|---|
| Gegenstand | Bereitstellung der SaaS-Lösung CheckInShine zur Verwaltung von Ferienunterkünften |
| Art der Bearbeitung | Speichern, Anzeigen, Strukturieren, Übermitteln (E-Mail-Versand an Gäste), Exportieren, Sichern, Löschen |
| Zwecke | Buchungs- und Belegungsverwaltung; Reinigungsorganisation; Gästekommunikation (Anfragen, automatisierte Nachrichten, Gästehandbuch, Gästebuch); Kalender-Synchronisation |
| Kategorien betroffener Personen | Gäste und Anfragende; Reinigungskräfte und weitere eingeladene Personen; Begleitpersonen von Gästen |
| Datenkategorien | Gäste: Name, optionale E-Mail, Aufenthaltszeitraum, Personenzahl, Sprache, Haustiere, Preis, interne Notizen, Anfrageinhalte, Gästebucheinträge (Name, Nachricht, Fotos), Zugriffsprotokoll Gästehandbuch; sofern die Meldeschein-Funktion genutzt wird zusätzlich: Geburtsdatum, Nationalität, Ausweisart und -nummer, Wohnadresse (konfigurierbare Löschfrist 6–24 Monate nach Abreise, Standard 12). Reinigungskräfte: Name, E-Mail, Rolle, Termine, Checklisten, hochgeladene Fotos, Vorkommnis-Meldungen |
| Besonders schützenswerte Personendaten | Nicht vorgesehen; der Verantwortliche erfasst keine solchen Daten (z. B. Gesundheitsdaten) in Freitextfeldern |
| Ort der Bearbeitung | Schweiz (Hosting); Ausland nur gemäss Anlage 3 |
Anlage 2: Technische und organisatorische Massnahmen (TOMs)
- Transportverschlüsselung: HTTPS/TLS mit HSTS für sämtliche Verbindungen.
- Zugriffskontrolle: Authentifizierung mit Passwort (Speicherung ausschliesslich als argon2id-Hash); signierte Session-Cookies; rollenbasierte Feldrechte (Reinigungskräfte ohne Zugriff auf Preise, Gastnamen, Gast-E-Mails, interne Notizen); Mandantentrennung auf Datenebene.
- Gast-Zugänge: Gästehandbuch nur über nicht erratbare Zugriffs-Token; keine Suchmaschinen-Indexierung; Zugriffsprotokollierung.
- Missbrauchsabwehr: Rate-Limiting und Spam-Schutz auf öffentlichen Endpunkten (Buchungsanfrage, Gästebuch).
- Protokollierung: Server-Protokolle (IP, Zeitpunkt, Ressource, User-Agent) zur Sicherheits- und Fehlerabwehr, Aufbewahrung max. 90 Tage.
- Datensicherung: Regelmässige, verschlüsselte Sicherungen; Rotation max. 30 Tage; Wiederherstellungstests.
- Standort: Hosting und E-Mail-Versand in der Schweiz (Infomaniak); keine Auslieferung von Programmbibliotheken über Dritt-CDNs (Self-Hosting).
- Organisation: Zugriff auf Produktionsdaten nur für befugte, zur Vertraulichkeit verpflichtete Personen nach dem Need-to-know-Prinzip; Sicherheitsupdates zeitnah; dokumentierter Prozess für Verletzungen der Datensicherheit.
Anlage 3: Unterauftragsbearbeiter
| Unterauftragsbearbeiter | Leistung | Ort der Bearbeitung | Grundlage Auslandsbekanntgabe |
|---|---|---|---|
| Infomaniak Network SA, Genf (CH) | Hosting, Datenbank, E-Mail-Versand (SMTP) | Schweiz | – (keine Auslandsbekanntgabe) |
| Stripe Payments Europe Ltd (IE) / Stripe, Inc. (USA) | Zahlungsabwicklung, Abo-Verwaltung (nur Konto-/Zahlungsdaten des Verantwortlichen; keine Gastdaten) | EU / USA | Angemessenheit (EU); Swiss–U.S. Data Privacy Framework (USA, zertifiziert) |
| Open-Meteo | Wetterdaten, Ortssuche (Koordinaten der Unterkunft; keine Gastdaten) | EU | Angemessenheit (Anhang 1 DSV) |
| frankfurter.dev | EZB-Referenz-Wechselkurse (Abruf serverseitig; keine Personendaten) | EU | – (keine Personendaten) |
*Hinweis: Stripe, Open-Meteo und frankfurter.dev bearbeiten keine Gäste- oder Reinigungskraftdaten; sie sind der Vollständigkeit halber aufgeführt, soweit Randdaten (z. B. Konto- oder Standortdaten) betroffen sein können.*
