Auftragsverarbeitungsvertrag (AVV) — Muster

Dies ist das Muster-AVV, das jeder ClubKit-Verein beim Onboarding digital akzeptiert. Der Verein-spezifische Teil (Vereinsname, Adresse, Kontaktperson) wird beim Onboarding automatisch aus den Vereinsdaten befüllt. Der hier wiedergegebene Text entspricht der rechtsverbindlichen Fassung ohne Tenant-Variablen.

gemäss Art. 28 der EU-Datenschutz-Grundverordnung (DSGVO) und Art. 9 des Schweizer Datenschutzgesetzes (DSG)

zwischen
{Vereinsname, Adresse, PLZ Ort}
(nachfolgend "Verantwortlicher")

und
DayZero AG
Hardturmstrasse 253
8005 Zürich
Schweiz
Handelsregister CH-020.3.044.167-4 / UID CHE-270.251.838
(nachfolgend "Auftragsverarbeiter")

1. Gegenstand und Dauer des Auftrags

1.1 Gegenstand

Der Auftragsverarbeiter stellt dem Verantwortlichen die ClubKit-Plattform zur Verfügung (siehe AGB). Im Rahmen dieser Bereitstellung verarbeitet der Auftragsverarbeiter im Auftrag des Verantwortlichen personenbezogene Daten, insbesondere Vereinsmitglieder-Daten, Kontaktdaten, Anmeldedaten zu Veranstaltungen und Helfereinsätzen.

1.2 Dauer

Dieser AVV gilt für die Dauer des Hauptvertrags (AGB) und bis zum vollständigen Abschluss aller damit zusammenhängenden Datenverarbeitungen.

2. Art, Zweck und Umfang der Datenverarbeitung

2.1 Zweck

Die Datenverarbeitung erfolgt zum Zweck der Bereitstellung, Wartung und Weiterentwicklung der ClubKit-Plattform für den Verantwortlichen.

2.2 Art der verarbeiteten Daten

• Stammdaten von Vereinsmitgliedern (Name, Vorname, Anzeigename, E-Mail-Adresse, optional: Bild, Beschreibung, Adresse)
• Login- und Authentifizierungsdaten (Passwort-Hash, Session-Cookies)
• Mitgliedschaftsstatus, Eintrittsdatum
• Anmeldungen zu Veranstaltungen und Helfereinsätzen
• Ggf. Kontakt-Formular-Eingaben von Website-Besuchern
• Log-Daten (IP-Adresse, Zugriffszeit) zur Absicherung und Fehleranalyse

2.3 Kategorien betroffener Personen

• Mitglieder des Vereins
• Interessierte, die sich für Veranstaltungen anmelden
• Besucher der Vereinswebsite, die das Kontaktformular nutzen

2.4 Ort der Verarbeitung

Serverstandort: Frankfurt am Main, Deutschland (Hetzner Online GmbH, EU/EWR). CDN (Cloudflare, USA) verarbeitet technische Metadaten (IP, TLS-Handshake).

Nicht umfasst von diesem AVV: die eigenständige Datenverarbeitung durch DayZero für die zentrale Reichweitenanalyse über Google Analytics 4. Hierfür ist DayZero eigenständiger Verantwortlicher (Joint-Controller-Konstruktion, geregelt in AGB Ziffer 5.3 und der Datenschutzerklärung der Vereinswebsite).

3. Pflichten des Auftragsverarbeiters

3.1 Weisungsbindung

Der Auftragsverarbeiter verarbeitet die Daten ausschliesslich im Rahmen dieses Vertrags und auf dokumentierte Weisung des Verantwortlichen. Die Bereitstellung der in den AGB beschriebenen Funktionen gilt als Dauerweisung.

3.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle Personen, die mit der Verarbeitung der Daten betraut sind, zur Vertraulichkeit verpflichtet sind.

3.3 Technische und organisatorische Massnahmen

Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Massnahmen zum Schutz der Daten (siehe Anlage A).

3.4 Unterauftragsverarbeiter

Der Auftragsverarbeiter darf Unterauftragsverarbeiter einsetzen. Aktuell werden folgende Unterauftragsverarbeiter eingesetzt:

• Hetzner Online GmbH — Server-Hosting — Frankfurt am Main, DE
• Cloudflare Inc. — CDN, DDoS-Schutz, TLS — San Francisco, USA
• Resend, Inc. — Transaktionaler E-Mail-Versand — Delaware, USA

Mit diesen Unterauftragsverarbeitern bestehen entsprechende vertragliche Vereinbarungen (Auftragsverarbeitungsverhältnis inkl. Standardvertragsklauseln bei Drittland-Übermittlungen).

Bexio AG (Schweiz) wird nur für die Rechnungsstellung an den Verein eingesetzt und verarbeitet keine personenbezogenen Daten der Vereinsmitglieder; sie ist daher kein Unterauftragsverarbeiter im Sinne dieses AVV.

Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu. Weitere Unterauftragsverarbeiter werden dem Verantwortlichen mit einer Frist von 30 Tagen vorab mitgeteilt; der Verantwortliche kann dem Einsatz innerhalb dieser Frist aus wichtigem Grund widersprechen.

3.5 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO (technische und organisatorische Massnahmen, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).

3.6 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnis einer Datenschutzverletzung über diese. Die Meldung erfolgt an die im Vereins-Adminbereich hinterlegte Kontakt-E-Mail sowie an alle als "Vereinsadministrator" markierten Benutzer.

3.7 Löschung / Rückgabe

Nach Beendigung des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen die Daten in einem strukturierten Format zur Verfügung (einmaliger Export oder 30 Tage Lesezugriff). Spätestens 60 Tage nach Beendigung werden die Daten vom Auftragsverarbeiter gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

3.8 Nachweis- und Kontrollrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses Vertrags erforderlich sind. Er ermöglicht Überprüfungen, einschliesslich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden.

Solche Überprüfungen werden mindestens 30 Tage vorab schriftlich angekündigt und erfolgen während der üblichen Geschäftszeiten. Nicht angemessene Prüfungen (z.B. häufiger als einmal pro Jahr oder unverhältnismässig aufwendig) kann der Auftragsverarbeiter ablehnen oder angemessene Kosten verrechnen.

4. Pflichten des Verantwortlichen

4.1

Der Verantwortliche ist für die Rechtmässigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen allein verantwortlich.

4.2

Der Verantwortliche informiert die betroffenen Personen (Mitglieder, Besucher) transparent über die Datenverarbeitung, insbesondere durch die Datenschutzerklärung auf der Vereinswebsite.

4.3

Der Verantwortliche meldet etwaige Änderungen der Kontaktperson für Datenschutzangelegenheiten unverzüglich an den Auftragsverarbeiter.

5. Anwendbares Recht, Gerichtsstand

Es gilt Schweizer Recht. Gerichtsstand ist Zürich.

6. Schlussbestimmungen

Dieser AVV gilt ab dem Zeitpunkt der digitalen Zustimmung durch den Verantwortlichen im Rahmen des Vereins-Onboardings. Er ersetzt alle früheren Vereinbarungen über die Auftragsverarbeitung zwischen den Parteien.

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) geht dieser AVV im Hinblick auf datenschutzrechtliche Bestimmungen vor.

Anlage A — Technische und organisatorische Massnahmen (TOM)

A.1 Vertraulichkeit

• Zugangskontrolle: Zugang zu Produktivsystemen nur für autorisierte DayZero-Mitarbeitende mit individuellem SSH-Key-Login. Zwei-Faktor-Authentisierung für kritische Administrations-Tools.
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept innerhalb der Plattform. Super-Admins (DayZero) vs. Vereinsadmins vs. Mitglieder vs. anonyme Besucher. Tenant-Isolation über Row-Level-Security (PostgreSQL).
• Trennungskontrolle: Vereine sind voneinander in separaten logischen Datenbereichen getrennt.
• Verschlüsselung: TLS 1.2+ für Transport, bcrypt für Passwörter, Festplatten-Verschlüsselung auf Application-Servern.

A.2 Integrität

• Eingabekontrolle: Admin-Aktionen werden in Audit-Logs erfasst.
• Weitergabekontrolle: Datentransport zu Sub-Processors verschlüsselt.

A.3 Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle: Regelmässige Backups (täglich), Monitoring, USV-Absicherung durch Rechenzentrum (Hetzner).
• Wiederherstellung: Dokumentierte Recovery-Pläne, getestet mindestens einmal pro Quartal.

A.4 Verfahren zur regelmässigen Überprüfung

• Interne Reviews der TOM mindestens einmal pro Jahr.
• Aktualisierung der TOM bei wesentlichen Änderungen der Technik oder der Verarbeitungsprozesse.

A.5 Auftragskontrolle

• Weisungsbindung des Auftragsverarbeiters (siehe Ziffer 3.1).
• Schulung der Mitarbeitenden auf Datenschutzgrundsätze.

Stand: 2026-04-21 – Version 0.1-draft (Muster-Dokument, wird beim Onboarding pro Verein generiert)