Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 12. Juli 2026

Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Nutzungsbedingungen zwischen der Kundin/dem Kunden („Verantwortlicher", „Sie") und der OSHOOT AG, Industriestrasse 19, 8112 Otelfingen, Schweiz („Auftragsverarbeiter", „wir"), Betreiberin von Momo (der „Dienst"). Er regelt unsere Verarbeitung personenbezogener Daten in Ihrem Auftrag und berücksichtigt die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO, Art. 28) sowie des revidierten Schweizer Datenschutzgesetzes (revDSG, Art. 9).

1. Rollen & Geltungsbereich

Sie sind Verantwortlicher der personenbezogenen Daten, die Sie und Ihre Nutzerinnen und Nutzer in den Dienst eingeben; wir handeln als Ihr Auftragsverarbeiter. Wir verarbeiten personenbezogene Daten ausschliesslich zur Erbringung des Dienstes und nur auf Ihre dokumentierten Weisungen, einschliesslich derjenigen, die sich aus diesem AVV und den Nutzungsbedingungen ergeben.

2. Gegenstand, Art & Zweck

Gegenstand und Dauer: die Erbringung des Dienstes, solange Ihr Konto aktiv ist. Art und Zweck: Hosting, Speicherung und Verarbeitung personenbezogener Daten, damit Ihre Organisation Zeit erfassen, Absenzen und Saldi verwalten, Spesen abwickeln und Auswertungen erstellen kann. Details siehe Anhang 1.

3. Unsere Pflichten

  • Verarbeitung personenbezogener Daten ausschliesslich auf Ihre dokumentierten Weisungen, einschliesslich bei Übermittlungen in Drittländer, sofern wir nicht gesetzlich anders verpflichtet sind (in diesem Fall informieren wir Sie, soweit rechtlich zulässig).
  • Sicherstellung, dass die zur Datenverarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
  • Umsetzung geeigneter technischer und organisatorischer Massnahmen (Art. 32 DSGVO) — siehe Anhang 2.
  • Unterstützung bei der Beantwortung von Anfragen betroffener Personen sowie bei Ihren Pflichten zur Datensicherheit, Meldung von Verletzungen und Datenschutz-Folgenabschätzung (DSFA), unter Berücksichtigung der Art der Verarbeitung.
  • Nach Beendigung des Dienstes: Löschung oder Rückgabe aller personenbezogenen Daten sowie Löschung bestehender Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Bereitstellung der zum Nachweis der Einhaltung erforderlichen Informationen und Ermöglichung von Audits sowie Unterstützung dabei (siehe Ziff. 7).

4. Unterauftragsverarbeiter

Sie erteilen die allgemeine Genehmigung, die in Anhang 3 aufgeführten Unterauftragsverarbeiter einzusetzen. Wir verpflichten jeden Unterauftragsverarbeiter zu Datenschutzpflichten, die denjenigen dieses AVV gleichwertig sind, und bleiben für deren Leistung verantwortlich. Wir informieren Sie über geplante Änderungen (Hinzufügung/Ersatz) und geben Ihnen eine angemessene Gelegenheit, aus nachvollziehbaren Datenschutzgründen zu widersprechen.

5. Datenschutzverletzung

Wir benachrichtigen Sie unverzüglich, nachdem uns eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Ihre Daten betrifft, einschliesslich der Informationen, die Sie zur Erfüllung Ihrer eigenen Meldepflichten vernünftigerweise benötigen.

6. Internationale Übermittlungen

Ihre Daten werden in der Europäischen Union (Frankfurt, Deutschland) gehostet. Sofern eine Verarbeitung durch uns oder einen Unterauftragsverarbeiter eine Übermittlung ausserhalb des EWR oder der Schweiz beinhaltet, erfolgt diese auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien (z. B. EU-Standardvertragsklauseln mit Schweizer Zusatz).

7. Audits

Nach angemessener Vorankündigung und höchstens einmal pro Jahr (sofern nicht von einer Aufsichtsbehörde verlangt) stellen wir die zur Demonstration der Einhaltung dieses AVV erforderlichen Informationen bereit, einschliesslich verfügbarer Berichte unabhängiger Dritter.

8. Haftung & anwendbares Recht

Die Haftung richtet sich nach den Nutzungsbedingungen. Dieser AVV unterliegt Schweizer Recht. Bei Widersprüchen zwischen diesem AVV und den Nutzungsbedingungen in Bezug auf den Datenschutz geht dieser AVV vor.


Anhang 1 — Details der Verarbeitung

  • Kategorien betroffener Personen: Teammitglieder/Mitarbeitende des Verantwortlichen sowie Personen, die in Einträgen genannt werden (z. B. Projektkontakte).
  • Kategorien personenbezogener Daten: Name, E-Mail, Rolle, Sprache; Zeiteinträge, Projekte, Absenzen und Saldi; Spesen und Notizen; Authentifizierungsdaten.
  • Besondere Kategorien: nicht vorgesehen. Geben Sie keine besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) ein, die über das hinausgehen, was Absenztypen ohnehin implizieren.
  • Häufigkeit: fortlaufend, für die Dauer des Dienstes.

Anhang 2 — Technische & organisatorische Massnahmen

  • Verschlüsselung der Übertragung (TLS/HTTPS) für sämtliche Verbindungen.
  • Hosting in der EU-Region (Frankfurt); Zugang zur Produktionsumgebung ist auf befugtes Personal beschränkt.
  • Authentifizierung mit gehashten Passwörtern; rollenbasierte Zugriffe innerhalb jeder Organisation; Mandanten-Trennung.
  • Verwaltete Datenbank mit automatisierten Backups; Protokollierung und Überwachung.
  • Einsatz geprüfter Unterauftragsverarbeiter unter Auftragsverarbeitungsvereinbarungen.
  • Selbstbedienungs-Datenexport und Kontolöschung für betroffene Personen.

Anhang 3 — Unterauftragsverarbeiter

Unterauftragsverarbeiter Zweck Standort
DigitalOceanHosting & SpeicherungEU (Frankfurt)
StripeAbrechnung von AbonnementsEU / global
ResendTransaktions-E-MailsEU / global

Fragen zu diesem AVV: privacy@momotime.app