Auftragsbearbeitungsvertrag (AVV)
gemäss Art. 9 revDSG · Stand April 2026 · Version 1.0Dieser Auftragsbearbeitungsvertrag (nachfolgend «AVV») regelt die Rechte und Pflichten der Schule (nachfolgend «Verantwortliche») und der Vertretio (nachfolgend «Auftragsbearbeiterin») bei der Bearbeitung von Personendaten im Rahmen der Nutzung der Vertretio-Plattform. Er ergänzt den Hauptvertrag über die Nutzung der Plattform und konkretisiert die Pflichten gemäss Art. 9 des revidierten Schweizer Datenschutzgesetzes (revDSG).
1. Vertragsparteien
Verantwortliche ist die jeweilige Schule (Volksschule, Bezirksschule, Kantonsschule oder vergleichbare Bildungsinstitution), welche die Vertretio-Plattform für ihre Lehrpersonen einsetzt und mit Vertretio einen Nutzungsvertrag abgeschlossen hat. Die Verantwortliche bleibt im datenschutzrechtlichen Sinn alleinige Herrin über die in der Plattform bearbeiteten Personendaten.
Auftragsbearbeiterin ist:
Vertretio
Toygar Türkmen
8964 Rudolfstetten, Schweiz
E-Mail: info@vertretio.ch
2. Gegenstand und Dauer
Gegenstand dieses AVV ist die Bearbeitung von Personendaten durch die Auftragsbearbeiterin im Auftrag und nach Weisung der Verantwortlichen, soweit dies für die Bereitstellung und den Betrieb der Vertretio-Plattform erforderlich ist.
Der AVV gilt für die gesamte Laufzeit des Hauptvertrags über die Nutzung der Plattform und endet automatisch mit dessen Beendigung. Pflichten, die ihrer Natur nach über die Vertragsbeendigung hinaus fortbestehen (insbesondere Rückgabe und Löschung), bleiben davon unberührt.
3. Art und Zweck der Bearbeitung
Die Auftragsbearbeiterin bearbeitet Personendaten ausschliesslich zu folgenden Zwecken:
- Bereitstellung und Betrieb der Vertretio-Plattform (Web-App, iOS-App, Schnittstellen)
- Authentifizierung und Verwaltung von Lehrpersonen, Schul-Administrationen und weiteren Nutzerrollen
- Verwaltung von Stundenplänen, Verfügbarkeiten und Abwesenheiten
- Automatisierte Vermittlung von Vertretungen (3-Stufen-Matching: Springer, Bereitschaft, reguläre Lehrpersonen)
- Verwaltung von Langzeitabwesenheiten und externen Stellvertretungen
- Versand von Benachrichtigungen (E-Mail, Push) bei Vertretungsanfragen und Statusaktualisierungen
- Speicherung von Dokumenten zu Langzeitabwesenheiten (z. B. Kantonsformulare, Stelleninserate)
- Erstellen statistischer Auswertungen für die Verantwortliche (Excel-Export-Center)
- Sicherstellung der Funktionsfähigkeit, Stabilität und Sicherheit der Plattform
- Erbringung von Support-Leistungen auf Anfrage der Verantwortlichen
Eine über diese Zwecke hinausgehende Bearbeitung, insbesondere zu eigenen Zwecken der Auftragsbearbeiterin, zu Werbezwecken oder zur Weitergabe an Dritte, findet nicht statt.
4. Kategorien betroffener Personen und Personendaten
4.1 Betroffene Personen
- Lehrpersonen der Schule (reguläre Lehrpersonen, Springer, Assistenzen)
- Externe Stellvertretungen mit zeitlich befristetem Zugang
- Schul-Administrationen (Schulleitung, Sekretariat, Stellvertretungs-Verantwortliche)
4.2 Bearbeitete Personendaten
- Account-Daten: E-Mail-Adresse, verschlüsseltes Passwort, Vor- und Nachname, Lehrerkürzel, Telefonnummer (optional)
- Berufliche Daten: Schule, Rolle, unterrichtete Fächer, Klassen, Räume, Stundenplan-Lektionen, Stufen
- Verfügbarkeits- und Bereitschaftsdaten
- Krank- und Abwesenheitsmeldungen (ohne medizinische Diagnose)
- Vertretungs-Zuteilungen mit Status (offen, akzeptiert, abgelehnt, bestätigt)
- Langzeitabwesenheiten (Beginn, Ende, Typ, Pensum, optionale Notizen)
- Hochgeladene Dokumente zu Langzeitabwesenheiten (z. B. Arztzeugnisse, Kantonsformulare)
- Benachrichtigungs-Einstellungen und Push-Token (iOS-App)
- Technische Logdaten (IP-Adresse, Zeitstempel, aufgerufene URLs)
Die Auftragsbearbeiterin bearbeitet keine personenbezogenen Daten von Schülerinnen und Schülern. Klassenbezeichnungen (z. B. «3a», «Bb25») gelten nicht als Personendaten im Sinne des revDSG.
4.3 Besondere Personendaten
Hochgeladene Arztzeugnisse können besondere Personendaten im Sinne von Art. 5 lit. c Ziff. 2 revDSG (Daten über die Gesundheit) enthalten. Die Auftragsbearbeiterin trifft hierfür erhöhte Schutzmassnahmen (private Storage-Buckets, signierte URLs mit kurzer Gültigkeit, strikte Zugriffskontrolle nur für Schul-Admins der jeweiligen Schule).
5. Pflichten der Auftragsbearbeiterin
Die Auftragsbearbeiterin verpflichtet sich:
- Personendaten ausschliesslich im Rahmen der dokumentierten Weisungen der Verantwortlichen zu bearbeiten
- Die Verantwortliche unverzüglich zu informieren, falls eine Weisung gegen geltendes Datenschutzrecht verstösst
- Alle mit der Bearbeitung befassten Personen zur Vertraulichkeit zu verpflichten
- Die Verantwortliche bei der Erfüllung ihrer Pflichten gegenüber betroffenen Personen zu unterstützen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit)
- Die Verantwortliche bei der Erfüllung ihrer Meldepflichten bei Datenpannen zu unterstützen
- Die Verantwortliche bei Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden zu unterstützen
- Auf Verlangen der Verantwortlichen alle für den Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen zur Verfügung zu stellen
6. Technische und organisatorische Massnahmen (TOMs)
Die Auftragsbearbeiterin trifft folgende technische und organisatorische Massnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus (Art. 8 revDSG):
6.1 Vertraulichkeit
- Verschlüsselte Übertragung sämtlicher Daten via HTTPS (TLS 1.2 oder höher)
- Verschlüsselte Speicherung in der Datenbank (Encryption at Rest)
- Sicheres Hashing von Passwörtern (bcrypt-basiert, keine Klartext-Speicherung)
- Multi-Tenant-Isolation auf Datenbank-Ebene mittels Row Level Security
- Strikte rollenbasierte Zugriffskontrolle: Lehrpersonen sehen nur ihre eigenen Daten, Schul-Admins nur die Daten ihrer Schule
- Schutz der Arztzeugnis-Dokumente in privaten Storage-Buckets mit zeitlich befristeten signierten URLs
6.2 Integrität
- Schutz gegen Cross-Site-Scripting (XSS), SQL-Injection und vergleichbare Angriffe
- Content-Security-Policy (CSP) und HTTP-Sicherheits-Header
- HMAC-signierte Tokens für E-Mail-Aktionslinks
- Input-Validierung auf Server- und Datenbank-Ebene
6.3 Verfügbarkeit und Belastbarkeit
- Hosting bei spezialisierten Anbietern mit Redundanz und automatisierten Backups
- Rate-Limiting auf allen API-Endpunkten zum Schutz vor Überlastung und Missbrauch
- Regelmässige Sicherheits-Updates der eingesetzten Software
6.4 Verfahren zur regelmässigen Überprüfung
- Regelmässige interne Sicherheits-Audits (zuletzt: April 2026)
- Pseudonymisierung und Minimierung der Datenbearbeitung, wo immer möglich
- Dokumentation aller Bearbeitungstätigkeiten
7. Unterauftragsbearbeiter
Die Verantwortliche genehmigt mit Abschluss dieses AVV den Einsatz folgender Unterauftragsbearbeiter:
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase | Datenbank, Authentifizierung, Storage | Zürich, Schweiz |
| Vercel Inc. | Hosting der Web-App und Serverless-Funktionen | Frankfurt, Deutschland |
| Anthropic PBC | KI-gestützte Stundenplan-Analyse (optional) | USA |
| Resend | Versand von Transaktions-E-Mails | USA |
| Apple Inc. | Push-Benachrichtigungen (APNs) für iOS-App | USA |
| ImprovMX | E-Mail-Weiterleitung für info@vertretio.ch | Frankreich |
Mit allen Unterauftragsbearbeitern bestehen entsprechende Auftragsbearbeitungsvereinbarungen, welche die Pflichten gemäss diesem AVV im Wesentlichen sinngemäss weitergeben.
Die Auftragsbearbeiterin informiert die Verantwortliche über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsbearbeitern und gibt der Verantwortlichen damit die Möglichkeit, gegen solche Änderungen Einspruch zu erheben.
8. Datenübermittlung ins Ausland
Aus dem Einsatz der oben aufgeführten Unterauftragsbearbeiter ergibt sich, dass Personendaten in bestimmten Fällen ins Ausland übermittelt werden, insbesondere in die EU/EWR-Staaten und in die USA. Der Bundesrat anerkennt die EU/EWR-Staaten als Länder mit angemessenem Datenschutzniveau.
Für Übermittlungen in die USA stützt sich die Auftragsbearbeiterin auf folgende Schutzmassnahmen:
- Standardvertragsklauseln (SCCs) der Europäischen Kommission mit Schweizer Anpassungen
- Technische Schutzmassnahmen (Verschlüsselung in Übertragung und Speicherung)
- Vertragliche Verpflichtung der Anbieter zur Einhaltung des Datenschutzes
- Prüfung der Erforderlichkeit der Übermittlung im Einzelfall
Die Hauptdatenbank mit allen anwendungsrelevanten Personendaten verbleibt physisch in der Schweiz (Supabase, Zürich).
9. Meldung von Datenpannen
Die Auftragsbearbeiterin meldet der Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnis, jede Verletzung der Datensicherheit, die zu einem Verlust, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf Personendaten führt oder führen könnte (Datenpanne).
Die Meldung enthält mindestens:
- Eine Beschreibung der Art der Datenpanne
- Die betroffenen Kategorien und ungefähre Anzahl betroffener Personen und Daten
- Die wahrscheinlichen Folgen der Datenpanne
- Die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung und Eindämmung
Die Auftragsbearbeiterin unterstützt die Verantwortliche bei der Erfüllung ihrer eigenen Meldepflichten gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie gegebenenfalls gegenüber den betroffenen Personen.
10. Rechte der betroffenen Personen
Wenden sich betroffene Personen direkt an die Auftragsbearbeiterin mit Anfragen zur Ausübung ihrer Datenschutzrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), leitet die Auftragsbearbeiterin diese Anfragen unverzüglich an die Verantwortliche weiter.
Die Auftragsbearbeiterin unterstützt die Verantwortliche bei der Beantwortung solcher Anfragen mit geeigneten technischen und organisatorischen Massnahmen, soweit dies im Rahmen der angebotenen Plattform-Funktionen möglich ist.
11. Auditrechte
Die Verantwortliche ist berechtigt, die Einhaltung der Pflichten aus diesem AVV durch die Auftragsbearbeiterin zu überprüfen oder durch einen unabhängigen Prüfer prüfen zu lassen. Solche Prüfungen erfolgen mit angemessener Vorankündigung (mindestens 30 Tage), während der üblichen Geschäftszeiten und ohne den ordentlichen Geschäftsbetrieb der Auftragsbearbeiterin zu beeinträchtigen.
Die Auftragsbearbeiterin stellt der Verantwortlichen auf Anfrage Berichte über durchgeführte interne Sicherheits-Audits sowie Zertifizierungen der eingesetzten Unterauftragsbearbeiter zur Verfügung.
12. Rückgabe und Löschung
Nach Beendigung des Hauptvertrags werden sämtliche Personendaten der Verantwortlichen nach deren Wahl entweder zurückgegeben oder unwiderruflich gelöscht.
Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format (JSON-Export über das Superadmin-Tool). Die Löschung umfasst alle Datenbankeinträge, gespeicherten Dokumente, Backups (im Rahmen der Backup-Rotationszyklen der Unterauftragsbearbeiter) sowie Authentifizierungs-Konten der Schule.
Die Löschung erfolgt spätestens innerhalb von 90 Tagen nach Vertragsbeendigung. Die Auftragsbearbeiterin bestätigt der Verantwortlichen die Löschung schriftlich.
Vorbehalten bleiben gesetzliche Aufbewahrungspflichten, welche einer Löschung entgegenstehen.
13. Haftung
Die Haftung der Vertragsparteien richtet sich nach den Bestimmungen des Hauptvertrags sowie den anwendbaren gesetzlichen Vorschriften, insbesondere des revDSG. Jede Partei haftet gegenüber der anderen für Schäden, die durch eine schuldhafte Verletzung dieses AVV verursacht werden.
14. Schlussbestimmungen
Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform (E-Mail genügt). Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV in datenschutzrechtlichen Belangen vor.
Es gilt schweizerisches Recht unter Ausschluss des kollisionsrechtlichen Verweisrechts. Gerichtsstand ist Bremgarten AG, Schweiz.
15. Inkrafttreten
Dieser AVV tritt mit der Annahme des Hauptvertrags über die Nutzung der Vertretio-Plattform durch die Verantwortliche in Kraft und gilt für dessen gesamte Laufzeit.