DSGVO · Art. 28

Auftragsverarbeitungsvertrag (AVV)

Stand: Mai 2026

Dieser AVV gilt automatisch für alle Kunden, die meinlokal im geschäftlichen Kontext nutzen und dem Datenschutz der DSGVO unterliegen. Die Annahme erfolgt bei Vertragsschluss.

§ 1 Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (nachfolgend «AVV») regelt die Verarbeitung personenbezogener Daten durch meinlokal GmbH (nachfolgend «Auftragsverarbeiter») im Auftrag des Kunden (nachfolgend «Verantwortlicher») im Rahmen der Nutzung des Dienstes meinlokal.ch. Er gilt für die Dauer des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet folgende Datenkategorien im Auftrag des Verantwortlichen:

Unternehmensstammdaten (Name, Adresse, Kontaktdaten, Öffnungszeiten)
Website-Inhalte (Texte, Beschreibungen, Leistungen, Fotos)
Kommunikationsdaten (Änderungsanfragen per E-Mail, Chat, WhatsApp)

Zweck: Erstellung, Betrieb und Pflege der Website des Verantwortlichen.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
Zur Vertraulichkeit verpflichtetes Personal einzusetzen
Angemessene technische und organisatorische Massnahmen (TOM) gemäss Art. 32 DSGVO umzusetzen
Unterauftragsverarbeiter nur mit vorheriger Genehmigung einzusetzen
Den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten zu unterstützen
Daten nach Vertragsende zu löschen oder zurückzugeben

§ 4 Technische und organisatorische Massnahmen (TOM)

Verschlüsselung: TLS 1.3 für alle Datenübertragungen; Datenbank-Encryption at Rest (Neon PostgreSQL)
Zugriffskontrolle: Rollenbasiertes Zugriffsmodell; API-Key-Authentifizierung für Partner
Verfügbarkeit: Cloudflare CDN mit globalem Failover; automatische Backups
Auditierbarkeit: Lückenlose Change-Log-Protokollierung aller Inhaltsänderungen
Incident-Management: Meldung von Datenpannen an den Verantwortlichen innerhalb von 72 Stunden
Datenminimierung: Verarbeitung nur der für den Dienst notwendigen Daten

§ 5 Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit die allgemeine Genehmigung für den Einsatz der folgenden Unterauftragsverarbeiter:

Unterauftragsverarbeiter	Zweck	Standort / Garantie
Cloudflare, Inc.	Hosting, CDN, Workers	USA — SCC
Neon, Inc.	Datenbankhosting	Frankfurt (EU)
Anthropic, PBC	KI-Content-Generierung	USA — SCC
Mailgun (Sinch)	E-Mail-Versand	EU
Stripe, Inc.	Zahlungsabwicklung	USA/EU — SCC

Änderungen am Unterauftragsverarbeiterkreis werden dem Verantwortlichen mindestens 14 Tage im Voraus mitgeteilt (per E-Mail). Der Verantwortliche kann innerhalb dieser Frist widersprechen.

§ 6 Datenübermittlung in Drittländer

Soweit Daten in Drittländer ausserhalb des EWR übermittelt werden, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln (SCC, Beschluss 2021/914) oder einem Angemessenheitsbeschluss der EU-Kommission.

§ 7 Weisungsrecht

Weisungen erteilt der Verantwortliche schriftlich (E-Mail an datenschutz@meinlokal.ch). Mündliche Weisungen werden unverzüglich schriftlich bestätigt.

§ 8 Löschung und Rückgabe

Nach Vertragsende löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Anfrage wird eine Löschbestätigung ausgestellt.

§ 9 Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland (für DSGVO-pflichtige Kunden in der EU) bzw. Schweizer Recht (revDSG) für Kunden in der Schweiz.

Fragen zum AVV oder zur Datenschutz-Compliance richten Sie an: datenschutz@meinlokal.ch