Auftragsverarbeitungsvertrag (AVV)
Vertrag über die Auftragsbearbeitung personenbezogener Daten
Stand: März 2026 — gemäss Schweizer Bundesgesetz über den Datenschutz (DSG) und EU-Datenschutz-Grundverordnung (DSGVO)
Vertragsparteien
| Auftraggeber | Die jeweilige Kindertagesstätte (Kita), die den AVV durch Nutzung der Plattform akzeptiert |
| Auftragnehmer | Even Rütimann (Einzelunternehmen) Haldeweg 8 5436 Würenlos, Schweiz |
| Vertreten durch | Even Rütimann (Inhaber) |
| Kontakt | support@kidpilot.ch |
1. Einleitung, Geltungsbereich, Definitionen
(1) Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer (im Folgenden «Parteien» genannt) im Rahmen einer Bearbeitung von Personendaten im Auftrag.
(2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) Personendaten des Auftraggebers in dessen Auftrag verarbeiten.
(3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition einschlägiger Datenschutzgesetze, insbesondere des Schweizer Bundesgesetzes über den Datenschutz (Datenschutzgesetz – DSG) und der EU-Datenschutz-Grundverordnung (DSGVO) zu verstehen. In diesem Sinne ist der Auftraggeber der «Verantwortliche», der Auftragnehmer der «Auftragsbearbeiter» bzw. «Auftragsverarbeiter».
2. Gegenstand und Dauer der Bearbeitung
2.1 Gegenstand
Der Auftragnehmer übernimmt die Bereitstellung und den Betrieb der Applikation «KidPilot» (integriert in die Plattform www.kidpilot.ch) zur digitalen Verwaltung von Kindertagesstätten, Kommunikation mit Erziehungsberechtigten, Erfassung von Anwesenheiten und Dokumentation von Tagesberichten.
Die Bearbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag (Nutzungsbedingungen / AGB der Plattform KidPilot) – im Folgenden «Hauptvertrag».
2.2 Dauer
Die Bearbeitung beginnt mit der Registrierung des Auftraggebers auf der Plattform und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder des Hauptvertrags durch eine Partei.
3. Art, Zweck und Betroffene der Datenbearbeitung
3.1 Art der Bearbeitung
Beschaffen, speichern, aufbewahren, verwenden, verändern, bekanntgeben, archivieren, löschen, vernichten.
3.2 Zweck der Bearbeitung
Der zugrundeliegende Zweck der Bearbeitung ist die digitale Organisation des Kita-Alltags, insbesondere:
- Verwaltung von Stammdaten (Kinder, Eltern, Mitarbeiter)
- Erfassung und Dokumentation von Anwesenheiten
- Erstellung und Übermittlung von Tagesberichten
- Kommunikation zwischen Kita und Erziehungsberechtigten
- Verwaltung von Abholberechtigungen und Notfallkontakten
3.3 Art der Daten
Es werden folgende Daten bearbeitet:
- Stammdaten von Kindern: Name, Vorname, Geburtsdatum, Geschlecht
- Stammdaten von Erziehungsberechtigten und Mitarbeitern: Name, Vorname, Adresse, E-Mail-Adresse, Telefonnummer, Fotos/Avatare
- Betreuungsdaten: Anwesenheitszeiten, Gruppenzugehörigkeit, Abholberechtigungen
- Besonders schützenswerte Personendaten (Art. 5 lit. c DSG): Gesundheitsdaten der Kinder (Allergien, Medikamente, Krankheitsmeldungen, Ernährungsbesonderheiten)
- Protokolldaten: Logfiles, Geräte-Informationen bei Abstürzen (Crashlytics)
3.4 Kategorien der betroffenen Personen
- Kinder (Minderjährige)
- Erziehungsberechtigte / Eltern
- Mitarbeiter des Auftraggebers (Kita-Personal)
4. Pflichten des Auftragnehmers
(1) Der Auftragnehmer bearbeitet Personendaten ausschliesslich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Bearbeitung verpflichtet.
(2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemässer Datenbearbeitung.
(3) Der Auftragnehmer verpflichtet sich, bei der Bearbeitung die Vertraulichkeit streng zu wahren.
(4) Personen, die Kenntnis von den im Auftrag bearbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
(5) Der Auftragnehmer sichert zu, dass die bei ihm zur Bearbeitung eingesetzten Personen vor Beginn der Bearbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden.
(6) Im Zusammenhang mit der beauftragten Bearbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten.
(7) Wird der Auftraggeber durch den EDÖB oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen.
(8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen.
(9) Ort der Bearbeitung: Die primäre Speicherung der Daten erfolgt in der Schweiz (Serverstandort Zürich, AWS Region eu-central-2). Eine Übermittlung von Daten ins Ausland (z.B. USA für Push-Nachrichten oder Fehleranalyse) erfolgt nur an Anbieter, die ein angemessenes Datenschutzniveau gewährleisten oder durch das EU-U.S. / Swiss-U.S. Data Privacy Framework (DPF) bzw. Standardvertragsklauseln (SCC) abgesichert sind.
5. Sicherheit der Bearbeitung
(1) Die in Anlage 1 beschriebenen Datensicherheitsmassnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum.
(2) Die Datensicherheitsmassnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird.
(3) Wesentliche Änderungen sind dem Auftraggeber unverzüglich mitzuteilen.
(4) Der Auftragnehmer sichert zu, dass die im Auftrag bearbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
(5) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige Backups.
6. Regelungen zur Berichtigung, Löschung und Sperrung von Daten
(1) Im Rahmen des Auftrags bearbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
(2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.
7. Unterauftragsverhältnisse (Subdienstleister)
(1) Die Beauftragung von Subunternehmern ist nur mit Zustimmung des Auftraggebers zugelassen.
(2) Die Zustimmung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind.
(3) Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.
(4) Die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer sind durch den Auftraggeber genehmigt.
8. Rechte und Pflichten des Auftraggebers
(1) Für die Beurteilung der Zulässigkeit der beauftragten Bearbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
(2) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang zu kontrollieren.
9. Mitteilungspflichten
(1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag bearbeiteter personenbezogener Daten unverzüglich (innerhalb von 72 Stunden) mit.
(2) Die Meldung muss mindestens folgende Angaben enthalten:
- Beschreibung der Art der Verletzung
- Name und Kontaktdaten einer Anlaufstelle
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen Massnahmen
10. Weisungen
(1) Der Auftraggeber behält sich hinsichtlich der Bearbeitung im Auftrag ein umfassendes Weisungsrecht vor.
(2) Weisungen können schriftlich an support@kidpilot.ch gerichtet werden.
11. Beendigung des Auftrags
(1) Nach Beendigung des Vertrags werden die Daten im Live-System sofort gesperrt.
(2) Die endgültige Löschung aus allen Backups erfolgt technisch bedingt spätestens nach 30 Tagen.
(3) Der Auftragnehmer hat den Nachweis der ordnungsgemässen Löschung auf Anfrage zu führen.
12. Haftung
(1) Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenbearbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.
(2) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.
13. Sonstiges
(1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmassnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln.
(2) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
(3) Es gilt Schweizer Recht. Gerichtsstand ist Würenlos, Schweiz.
Anlage 1 – Technische und organisatorische Massnahmen (TOMs)
Im Folgenden werden die auftragsbezogenen technischen und organisatorischen Massnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt.
1. Verschlüsselung
| Massnahme | Umsetzung |
|---|---|
| Übertragungsverschlüsselung | Alle Daten werden via SSL/TLS (HTTPS) verschlüsselt übertragen |
| Speicherverschlüsselung | Datenbank ist «at rest» verschlüsselt (AES-256) |
| Passwort-Hashing | Passwörter werden niemals im Klartext gespeichert (bcrypt via Supabase Auth) |
2. Vertraulichkeit
| Massnahme | Umsetzung |
|---|---|
| Zutrittskontrolle | Server befinden sich in hochsicheren AWS-Rechenzentren in Zürich (eu-central-2). Der Auftragnehmer hat keinen physischen Zutritt. |
| Zugangskontrolle | Zugang zur App nur mit individuellem Account und Passwort möglich |
| Zugriffskontrolle (RLS) | Einsatz von Row Level Security (RLS) auf Datenbankebene. Jeder Nutzer kann technisch nur auf die Daten zugreifen, die seiner Rolle und seiner Kita-ID zugeordnet sind. Mandantenübergreifende Einsicht ist technisch ausgeschlossen. |
| Trennungskontrolle | Strikte Trennung der Daten verschiedener Kitas durch Kita-ID auf Datenbankebene |
3. Integrität
| Massnahme | Umsetzung |
|---|---|
| Eingabekontrolle | Protokollierung kritischer Änderungen (Audit Log) innerhalb der Applikation |
| Weitergabekontrolle | Verschlüsselte Übertragung aller Daten, keine Weitergabe an unbefugte Dritte |
4. Verfügbarkeit und Belastbarkeit
| Massnahme | Umsetzung |
|---|---|
| Backups | Tägliche, automatisierte Backups durch den Hosting-Provider (Supabase/AWS Zürich) |
| Recovery | Point-in-Time Recovery (PITR) ermöglicht Wiederherstellung zu jedem Zeitpunkt der letzten 7 Tage |
| Redundanz | Hosting auf AWS mit mehreren Availability Zones in der Schweiz |
5. Verfahren zur regelmässigen Überprüfung
| Massnahme | Umsetzung |
|---|---|
| Updates | Regelmässige Sicherheitsupdates der verwendeten Bibliotheken und Frameworks |
| Incident Response | Prozesse zur Meldung von Datenschutzverletzungen innerhalb von 72 Stunden |
| Wartungszugriff | Zugriff durch den Auftragnehmer (Even Rütimann) erfolgt nur zu Wartungs- und Supportzwecken und ist auf das notwendige Minimum beschränkt |
Anlage 2 – Zugelassene Subdienstleister
Der Auftraggeber stimmt der Beauftragung folgender Subdienstleister zu:
| Firma | Auftragsinhalt | Ort der Daten | Garantie |
|---|---|---|---|
| Supabase Inc. | Datenbank-Hosting, Authentifizierung, Speicherung von Dateien (Fotos) | Zürich, Schweiz (AWS eu-central-2) | Schweizer Serverstandort |
| Google LLC | Firebase Crashlytics (Fehleranalyse), Cloud Messaging (Push) | USA | EU-U.S. / Swiss-U.S. Data Privacy Framework (DPF) |
| Expo / 650 Industries, Inc. | Push-Benachrichtigungs-Service (Expo Push Notifications) | USA | Data Privacy Framework (DPF), SOC 2 Type 2 |
| OpenAI Ireland Ltd. | KI-gestützte Textgenerierung für Tagesrapporte (nur Vornamen und Betreuungsnotizen, kein Modell-Training mit Nutzerdaten) | EU / USA | Standardvertragsklauseln (SCC), API-DPA (kein Modell-Training) |
Anlage 3 – Weisungsberechtigte Personen
Zur Entgegennahme von Weisungen befugt (Auftragnehmer):
Even Rütimann
E-Mail: support@kidpilot.ch
Kontakt zur Meldung von Datenschutzverletzungen:
Even Rütimann
E-Mail: support@kidpilot.ch
Elektronische Zustimmung
Dieser Vertrag wird durch elektronische Zustimmung (Click-wrap) bei der Anfrage zur Nutzung der KidPilot-App geschlossen. Die Zustimmung wird mit Zeitstempel protokolliert und ist rechtlich bindend.
Weitere rechtliche Informationen: