ereefy
AnmeldenKostenlos testen
vereefy.aiLegalAVV
AVV · Art. 28 DSGVO

Auftragsverarbeitungsvertrag

Vertragliche Grundlage für die DSGVO-konforme Verarbeitung personenbezogener Daten im Auftrag — gemäss Art. 28 DSGVO.

Stand: April 2026

Signierten AVV anfordern
ÜbersichtAGBDatenschutzAVVSubprozessorenImpressum
Dies ist die öffentliche Vorschau des Auftragsverarbeitungsvertrags. Für Enterprise-Kunden stellen wir den AVV auf Anfrage in signierter Form zur Verfügung. legal@vereefy.ai

Parteien

Dieser Auftragsverarbeitungsvertrag (AVV) wird geschlossen zwischen dem Kunden als Verantwortlichem und der Vereefy AG (in Gründung), c/o Crownhill Capital AG, Bahnhofstrasse 29, 6300 Zug als Auftragsverarbeiter.

1. Gegenstand und Dauer

Dieser AVV konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Vereefy im Auftrag des Kunden bei der Nutzung der Plattform Vereefy.

Die Dauer entspricht der Laufzeit des zugrunde liegenden Hauptvertrags. Nach dessen Beendigung gelten die Regelungen zur Löschung und Rückgabe von Daten fort.

2. Rollen der Parteien

  • Der Kunde ist Verantwortlicher im Sinne des anwendbaren Datenschutzrechts.
  • Vereefy handelt als Auftragsverarbeiter im Auftrag des Kunden.
  • Soweit Vereefy personenbezogene Daten für eigene Zwecke verarbeitet (z.B. Abrechnung, Sicherheitsprotokollierung), handelt Vereefy insoweit als eigenständig Verantwortlicher.

3. Gegenstand, Art und Zweck der Verarbeitung

Gegenstand ist die Verarbeitung personenbezogener Daten, die der Kunde über die Plattform übermittelt oder die im Rahmen der Bereitstellung entstehen. Art und Zweck umfassen insbesondere:

  • Bereitstellung und Betrieb der Plattform und API
  • Protokollierung, Analyse und Dokumentation von KI-Interaktionen
  • Erstellung von Audit-Trails, technischen Nachweisen und Reports
  • Benutzer- und Rechteverwaltung
  • Sicherheitsmassnahmen, Monitoring und Incident-Handling
  • Support und Behebung von Störungen

4. Art der Daten und Kategorien betroffener Personen

Verarbeitete Datenkategorien:

  • Stammdaten (z.B. Name, geschäftliche Kontaktdaten von Mitarbeitenden des Kunden)
  • Nutzer- und Account-Daten (z.B. Nutzerkennung, Rollen, Berechtigungen)
  • Technische Protokoll- und Nutzungsdaten (z.B. IP-Adresse, API-Calls, Zeitstempel)
  • Durch den Kunden übermittelte Inhalte (z.B. Prompt- oder Output-Daten)
  • Report- und Audit-Metadaten

Kategorien betroffener Personen: Mitarbeitende und Nutzer des Kunden, Kunden und Geschäftspartner des Kunden, sonstige Personen, deren Daten der Kunde verarbeiten lässt.

5. Weisungsrecht des Kunden

Vereefy verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, sofern keine gesetzliche Verpflichtung besteht. Die Nutzung der Plattform, Konfigurationen, API-Requests sowie die Erstellung von Reports gelten als Weisungen des Kunden.

Vereefy informiert den Kunden unverzüglich, wenn eine Weisung gegen anwendbares Datenschutzrecht verstösst.

6. Vertraulichkeit

Vereefy stellt sicher, dass Mitarbeitende mit Zugang zu personenbezogenen Daten zur Vertraulichkeit verpflichtet sind und über die einschlägigen Datenschutzvorschriften informiert sind.

7. Technische und organisatorische Massnahmen (TOM)

Vereefy verpflichtet sich, angemessene TOM zum Schutz personenbezogener Daten zu treffen. Die Massnahmen sind im TOM-Anhang (auf Anfrage) beschrieben. Vereefy kann diese anpassen und weiterentwickeln, sofern das vereinbarte Schutzniveau nicht wesentlich unterschritten wird.

Wesentliche TOM: Transportverschlüsselung (TLS), Verschlüsselung ruhender Daten, mehrschichtige Mandantenisolierung (Applikationslogik + Row Level Security + optional physische Trennung), SHA-256 Hash-Chain Audit Trail, append-only Audit-Log mit Datenbank-Trigger, rollenbasierte Zugriffskontrollen, Rate Limiting.

8. Einsatz von Subprozessoren

Der Kunde erteilt Vereefy die generelle Genehmigung, Subprozessoren einzusetzen. Die aktuellen Subprozessoren sind in der Subprozessor-Liste aufgeführt.

Vereefy verpflichtet Subprozessoren vertraglich auf das Datenschutzniveau dieses AVV und informiert den Kunden über wesentliche Änderungen mit einer Vorlaufzeit von mindestens 14 Tagen. Der Kunde kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

9. Unterstützung des Kunden

Vereefy unterstützt den Kunden bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) sowie bei Datenschutzvorfällen und ggf. erforderlichen Datenschutz-Folgenabschätzungen.

10. Datenschutzverletzungen

Vereefy informiert den Kunden unverzüglich, sobald eine Verletzung des Schutzes personenbezogener Daten festgestellt wird, die Daten des Kunden betrifft. Die Mitteilung enthält Informationen zur Art des Vorfalls, betroffenen Datenkategorien, wahrscheinlichen Folgen sowie zu getroffenen Massnahmen.

11. Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrags oder auf Weisung des Kunden löscht Vereefy personenbezogene Daten oder gibt sie zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Der Kunde hat nach Vertragsende 30 Tage Zeit, exportierbare Daten, Reports und Audit-Nachweise herunterzuladen.

12. Nachweise und Audits

Vereefy stellt dem Kunden auf Anfrage angemessene Informationen und Nachweise (Dokumentationen zu TOM, Selbstauskünfte) zur Verfügung. Audits erfolgen nach vorheriger Vereinbarung zu üblichen Geschäftszeiten und in einem für beide Parteien zumutbaren Umfang.

13. Sonstige Bestimmungen

Bei Widersprüchen zwischen diesem AVV und den AGB haben die Bestimmungen dieses AVV für datenschutzrechtliche Fragen Vorrang. Sobald die Vereefy AG im Handelsregister eingetragen ist, gehen alle Rechte und Pflichten aus diesem AVV auf die Vereefy AG über.