Auftragsbearbeitungsvertrag (AVV)
Dieser Auftragsbearbeitungsvertrag (AVV; englisch Data Processing Agreement, DPA) regelt die Bearbeitung von Personendaten, die eine Garage (nachfolgend «Kunde») in DueDesk hochlädt und bearbeitet. Dabei ist der Kunde die verantwortliche Stelle (Controller/Verantwortliche) und DueDesk die Auftragsbearbeiterin (Processor) im Sinne von Art. 9 revDSG und Art. 28 DSGVO. Für die übrigen Daten (Konto, Abrechnung, Website) gilt die Datenschutzerklärung. Dieser AVV ist Bestandteil der AGB; eine unterzeichnete Fassung kann auf Anfrage zur Verfügung gestellt werden.
1. Gegenstand, Dauer, Art und Zweck
Gegenstand ist die Bearbeitung von Endkundendaten zum Zweck der automatisierten Kundenkommunikation per E-Mail (Erinnerungen an Service-, Reifenwechsel- und MFK-Termine), der Zuordnung eingehender Antworten und der zugehörigen Verwaltung. Die Bearbeitung erfolgt für die Dauer des Nutzungsverhältnisses zwischen dem Kunden und DueDesk.
2. Kategorien betroffener Personen und Daten
Betroffene Personen sind die Endkundinnen und -kunden des Kunden. Bearbeitet werden insbesondere Name, Anrede, E-Mail-Adresse, Telefonnummer und Adresse sowie Fahrzeugdaten (Marke, Modell, Kontrollschild, Fahrgestellnummer, Service-, MFK- und Reifendaten) und die Inhalte der mit den Endkundinnen und -kunden ausgetauschten E-Mails.
3. Weisungsgebundenheit
DueDesk bearbeitet die Endkundendaten ausschliesslich auf dokumentierte Weisung des Kunden und nicht für eigene Zwecke. Die Nutzung der Plattform gemäss den vereinbarten Funktionen gilt als entsprechende Weisung.
4. Vertraulichkeit
Zur Bearbeitung berechtigte Personen sind zur Vertraulichkeit verpflichtet. Der Zugriff ist auf die für die Leistungserbringung erforderlichen Personen beschränkt.
5. Technische und organisatorische Massnahmen (TOMs)
DueDesk trifft angemessene technische und organisatorische Massnahmen zum Schutz der Daten, insbesondere:
- Verschlüsselte Übertragung sämtlicher Daten (TLS).
- Verschlüsselte Speicherung beim Hosting-Dienstleister, soweit dieser dies unterstützt.
- Mandantentrennung über Row Level Security (RLS) – jede Garage sieht nur ihre eigenen Daten.
- Zugriffskontrolle und Berechtigungssteuerung nach dem Prinzip der minimalen Rechte (least privilege).
- Protokollierung sicherheitsrelevanter Vorgänge.
- Regelmässige Datensicherungen über die Infrastruktur des Hosting-Dienstleisters.
- Kontrollierte Bereitstellungs- und Deployment-Prozesse.
- Definierte Prozesse für Löschung und Export von Daten.
- Prozess zur Behandlung von Sicherheitsvorfällen (Incident Handling).
Es werden keine Zertifizierungen zugesichert, soweit diese nicht ausdrücklich nachgewiesen sind. Die Massnahmen können im Rahmen der technischen Weiterentwicklung angepasst werden, ohne das Schutzniveau zu verringern.
6. Unterauftragsbearbeiter
Der Kunde stimmt dem Beizug der folgenden Unterauftragsbearbeiter zu. Über beabsichtigte Änderungen (Hinzufügen oder Austausch) informiert DueDesk in geeigneter Form; der Kunde kann berechtigten Einwänden Geltung verschaffen.
| Dienstleister | Zweck | Standort / Übermittlung | Grundlage |
|---|---|---|---|
| Supabase | Datenbank, Authentifizierung und Hosting des Backends | Rechenzentrum Schweiz (Zürich) | Auftragsbearbeitungsvertrag |
| Resend | Versand der ausgehenden E-Mails und Empfang der Antworten | USA (Anbieter) | SCC / EU-US Data Privacy Framework, soweit anwendbar |
| OpenAI | KI-Textgenerierung und Antwortklassifizierung; erhält nur die erforderlichen Inhalte (z. B. Vorname, Fahrzeugdaten, Text eingehender Antworten) | USA | SCC, soweit anwendbar; API-Daten werden gemäss den API-Bedingungen nicht zum Training der Modelle verwendet |
| Stripe | Zahlungs- und Abonnementabwicklung (nur Kontaktdaten der Garage) | USA / EU | SCC / EU-US Data Privacy Framework, soweit anwendbar |
| Vercel | Hosting und Auslieferung der Webanwendung | USA (Anbieter) | SCC / EU-US Data Privacy Framework, soweit anwendbar |
7. Unterstützung bei Betroffenenrechten
DueDesk unterstützt den Kunden im Rahmen des technisch Möglichen dabei, Anfragen betroffener Personen (z. B. Auskunft, Berichtigung, Löschung, Datenherausgabe) zu bearbeiten. Richten sich solche Anfragen direkt an DueDesk, leiten wir sie an den Kunden weiter.
8. Unterstützung bei Datenschutzverletzungen
Tritt eine relevante Verletzung des Schutzes von Personendaten auf, informiert DueDesk den Kunden ohne unangemessene Verzögerung und unterstützt ihn bei der Erfüllung seiner Melde- und Benachrichtigungspflichten.
9. Löschung und Rückgabe bei Vertragsende
Nach Beendigung des Nutzungsverhältnisses werden die im Auftrag bearbeiteten Endkundendaten nach Wahl des Kunden gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Kunde kann seine Daten zudem während der Vertragsdauer in seinem Konto exportieren bzw. löschen.
10. Nachweise und Audits
DueDesk stellt dem Kunden auf Anfrage die zur Einhaltung dieses AVV erforderlichen Informationen in angemessenem Umfang zur Verfügung und ermöglicht Überprüfungen in verhältnismässiger Form.
11. Internationale Übermittlung
Die Kundendatenbank wird in der Schweiz (Zürich) betrieben. Einzelne Unterauftragsbearbeiter können Daten in den USA bearbeiten; in diesen Fällen wird, soweit anwendbar, durch geeignete Garantien (EU-US Data Privacy Framework und/oder Standardvertragsklauseln) für ein angemessenes Schutzniveau gesorgt. Eine ausschliessliche Bearbeitung in der Schweiz oder der EU wird nicht zugesichert.
12. Kontakt für Datenschutzanfragen
Anfragen zum Datenschutz und zu diesem AVV richten Sie bitte an support@duedesk.ch.
Stand: Juni 2026