Zusatzvereinbarung zur Datenverarbeitung (ZDV)
Gültig ab: 24. April 2026
Diese Zusatzvereinbarung zur Datenverarbeitung (nachfolgend «ZDV») konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Nutzung der Plattform «JagdDigital Prüfungsverwaltung» (nachfolgend «JHP» oder «die Plattform») durch den Mandanten ergeben. Die ZDV ist integraler Bestandteil des Nutzungsvertrags zwischen dem Anbieter und dem Mandanten.
Definitionen
Anbieter: Sylvio Svensson, Kappelenstrasse 15, CH-3270 Aarberg, info@jagdhundepruefung.ch. Betreiber der Plattform JHP.
Mandant: Der Verein, die Organisation oder die juristische Person, die JHP nutzt und über die Plattform personenbezogene Daten bearbeiten lässt. Der Mandant ist Vertragspartner des Anbieters gemäss Nutzungsvertrag.
Personendaten des Mandanten: Personenbezogene Daten, die im Auftrag des Mandanten durch den Anbieter im Rahmen der Nutzung der Plattform JHP bearbeitet werden. Dazu gehören insbesondere Daten von Hundeführern, Eigentümern, Hundeobleuten, Prüfungsleitern, Obmännern, Richtern, Mitgliedern und anderen betroffenen Personen, die der Mandant auf der Plattform erfasst oder erfassen lässt.
Kontakt-E-Mail für Datenschutzbenachrichtigungen: Die E-Mail-Adresse des für den Datenschutz zuständigen Kontakts des Mandanten. Der Mandant stellt sicher, dass diese E-Mail-Adresse gültig und aktuell ist.
1. Gegenstand und Dauer
Der Anbieter speichert und bearbeitet im Rahmen des Nutzungsvertrags die durch den Mandanten erfassten Personendaten.
Die vorliegende ZDV wird auf unbestimmte Zeit geschlossen. Sie endet automatisch mit Beendigung des Nutzungsvertrags zwischen Anbieter und Mandant.
Diese ZDV ersetzt alle bisherigen Vereinbarungen zur Auftragsdatenbearbeitung zwischen den Parteien.
2. Beschreibung der Verarbeitung
Der Anbieter übernimmt den technischen Betrieb der Plattform JHP. Die Erhebung und Nutzung der Daten sowie die Bearbeitung auf fachlicher Ebene erfolgen ausschliesslich durch den Mandanten. Der Kreis der betroffenen Personen sowie die Art und der Umfang der erfassten Daten werden vom Mandanten selbst bestimmt, indem dieser die Daten auf der Plattform erhebt oder erheben lässt.
Typische Bearbeitungsvorgänge im Rahmen von JHP umfassen insbesondere:
- Erfassung und Verwaltung von Personen-, Hunde- und Prüfungsdaten
- Online-Anmeldung zu Prüfungen durch Hundeführer
- Ausstellung von Rechnungen und Zahlungsabgleich
- Ausstellung von Zeugnissen und Bescheinigungen
- Führen einer Prüfungshistorie pro Hund
- Versand von Bestätigungen und Benachrichtigungen
- Führen eines Audit-Logs zu Nachweiszwecken
3. Rechte und Pflichten des Mandanten
Der Mandant ist datenschutzrechtlich verantwortliche Stelle im Sinne des DSG und — soweit anwendbar — der DSGVO für die über die Plattform bearbeiteten Personendaten.
Der Mandant entscheidet über Anfragen von betroffenen Personen zu Auskunft, Löschung und Berichtigung von Daten. Der Anbieter verweist betroffene Personen für derartige Anfragen an den Mandanten oder leitet die Anfragen an diesen weiter. Der Mandant verpflichtet sich, solche Anfragen umgehend zu bearbeiten.
Der Mandant verpflichtet sich, die Prüfung der generellen Zulässigkeit und Rechtmässigkeit der Datenbearbeitung wahrzunehmen und dem Anbieter ausreichend Weisungen zu erteilen.
Der Mandant teilt dem Anbieter eine Kontakt-E-Mail für Datenschutzbenachrichtigungen mit und stellt sicher, dass diese gültig und aktuell ist.
4. Weisungen des Mandanten
Der Mandant beauftragt den Anbieter, Personendaten des Mandanten ausschliesslich für Datenverarbeitungsdienste im Rahmen der Plattform JHP und für damit verbundenen technischen Support zu bearbeiten.
Der Anbieter verpflichtet sich, Personendaten des Mandanten ausschliesslich im Rahmen der vertraglich festgelegten Weisungen des Mandanten zu bearbeiten.
Der Anbieter wird den Weisungen des Mandanten folgen, ausser eine gesetzliche Regelung, die für den Anbieter gilt, verpflichtet diesen zu einer abweichenden Bearbeitung. In diesem Fall informiert der Anbieter den Mandanten, es sei denn, gesetzliche Regelungen verbieten dies.
Der Anbieter kann verlangen, dass Weisungen in einer bestimmten Form erteilt werden. Die Schriftform ist in jedem Fall gültig.
5. Vertraulichkeit
Der Anbieter verpflichtet sich, die Daten des Mandanten vertraulich zu behandeln.
Sofern der Anbieter Mitarbeiter oder Unterauftragnehmer einsetzt, verpflichtet er diese ebenfalls zur vertraulichen Behandlung der Daten des Mandanten.
6. Technische und organisatorische Massnahmen
Die technischen und organisatorischen Massnahmen (TOM) zum Schutz der Personendaten sind im separaten Dokument «Technische und organisatorische Massnahmen» beschrieben, welches integraler Bestandteil dieser ZDV ist.
Der Anbieter kann die technischen und organisatorischen Massnahmen von Zeit zu Zeit anpassen, um neuen Entwicklungen Rechnung zu tragen, sofern das Schutzniveau dadurch nicht reduziert wird.
Bei Fragen zum Datenschutz und zu den technischen und organisatorischen Massnahmen kann sich der Mandant jederzeit an den Anbieter wenden. Der Anbieter verpflichtet sich, die entsprechenden Auskünfte zu erteilen und die Umsetzung der Massnahmen auf Anfrage nachzuweisen.
7. Speicherort und Datentransfer
Die produktiven Personendaten des Mandanten werden ausschliesslich in Rechenzentren innerhalb der Schweiz und des europäischen Wirtschaftsraums (EWR) gespeichert.
Im Einzelnen:
- Cloud Storage, Cloud Functions, Programmcode: Rechenzentrum Zürich (
europe-west6, Schweiz) - Datenbank (Firestore): Multi-Region
eur3(Rechenzentren Belgien und Niederlande, mit Witness-Replik in Finnland) - Benutzer-Authentifizierung (E-Mail-Adressen, Passwort-Hashes): global verteilt auf Infrastruktur von Google, mit Primärstandort USA. Für diesen Teil der Datenbearbeitung werden die vertraglichen Garantien und Standardvertragsklauseln von Google Ireland Limited angewendet.
Unterauftragsverarbeiter können Personendaten in andere Länder transferieren, sofern dies zur Leistungserbringung notwendig ist und ein angemessenes Schutzniveau gewährleistet wird.
8. Unterauftragsverarbeiter
Der Anbieter kann Unterauftragsverhältnisse eingehen, insbesondere mit:
- Rechenzentrumsbetreibern und Cloud-Anbietern
- Anbietern von Zahlungsdienstleistungen
- Anbietern für Kommunikationslösungen (E-Mail-Versand, SMS)
- Anbietern für Sicherheits- und Schutzfunktionen (z. B. Bot-Schutz, Spam-Abwehr)
Unterauftragnehmer werden sorgfältig ausgewählt unter besonderer Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Massnahmen. Es werden nur diejenigen Daten an Unterauftragnehmer übertragen, die für die Leistungserbringung notwendig sind.
Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter wird dem Mandanten auf Anfrage zur Verfügung gestellt und ist zudem im Anhang zu dieser ZDV aufgeführt.
Wird ein neuer Unterauftragsverarbeiter hinzugefügt, informiert der Anbieter den Mandanten mindestens zehn Tage vor dem Einsatz. Die Benachrichtigung erfolgt an die Kontakt-E-Mail für Datenschutzbenachrichtigungen.
Der Mandant kann jeden neuen Unterauftragsverarbeiter ablehnen. Im Fall einer Ablehnung kann der Mandant den Nutzungsvertrag innerhalb von 90 Tagen ab der Benachrichtigung kündigen. Dieses Kündigungsrecht ist die einzige Möglichkeit des Mandanten, einen Unterauftragsverarbeiter abzulehnen.
9. Unterstützung bei Betroffenenrechten
Der Anbieter unterstützt den Mandanten bei Anfragen von betroffenen Personen zu Löschung, Berichtigung und Auskunft.
Der Mandant kann über die Funktionen der Plattform selbst Daten bearbeiten und löschen. Daten können in der Änderungshistorie (Audit-Log) verfügbar bleiben, um Nachvollziehbarkeit zu gewährleisten. Der Anbieter löscht die Änderungshistorie auf Verlangen des Mandanten, sofern keine gesetzlichen Pflichten entgegenstehen.
10. Löschung der Daten nach Vertragsende
Nach Beendigung des Nutzungsvertrags beauftragt der Mandant den Anbieter, alle Personendaten des Mandanten zu löschen.
Der Anbieter erfüllt diesen Auftrag sobald technisch praktikabel, innerhalb einer maximalen Frist von 18 Monaten ab Vertragsende. Diese Frist trägt der Tatsache Rechnung, dass Backups rotierend gespeichert werden und nicht selektiv pro Mandant bereinigt werden können. Gesetzliche Aufbewahrungspflichten bleiben vorbehalten.
Bis die Daten vollständig gelöscht sind, sorgt der Anbieter auch nach Ablauf des Nutzungsvertrags für die Einhaltung des Datenschutzes wie während der Vertragslaufzeit.
Auf Wunsch stellt der Anbieter dem Mandanten vor der Löschung einen Export der Daten in einem gängigen, maschinenlesbaren Format zur Verfügung.
11. Benachrichtigung bei Datenschutzvorfällen
Erhält der Anbieter Kenntnis von einem Datenschutzvorfall, der Personendaten des Mandanten betrifft, wird der Anbieter:
a) umgehend vernünftige Schritte unternehmen, um den Schaden zu begrenzen und die Personendaten des Mandanten zu sichern,
b) den Mandanten umgehend und ohne unangemessene Verzögerung benachrichtigen. Die Benachrichtigung erfolgt an die Kontakt-E-Mail für Datenschutzbenachrichtigungen.
Die Benachrichtigung enthält, soweit möglich und verhältnismässig:
- Beschreibung der Art des Vorfalls
- Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- Wahrscheinliche Folgen
- Bereits ergriffene oder geplante Gegenmassnahmen
12. Änderungen dieser Vereinbarung
Beabsichtigt der Anbieter, diese ZDV zu ändern, benachrichtigt er den Mandanten mindestens 30 Tage vor Inkrafttreten der Änderung. Die Benachrichtigung erfolgt an die Kontakt-E-Mail für Datenschutzbenachrichtigungen.
Lehnt der Mandant die Änderung ab, kann er den Nutzungsvertrag innerhalb von 90 Tagen ab der Benachrichtigung kündigen. Dieses Kündigungsrecht ist die einzige Möglichkeit des Mandanten, eine Vertragsänderung abzulehnen.
13. Schlussbestimmungen
Sollte eine Bestimmung dieser ZDV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen am nächsten kommt.
Für diese ZDV gilt schweizerisches Recht. Gerichtsstand ist der Sitz des Anbieters, soweit gesetzlich zulässig.
Anhang — Liste der Unterauftragsverarbeiter
Stand: 24. April 2026
Aktiv eingesetzt
| Unterauftragsverarbeiter | Zweck | Speicherort |
|---|---|---|
| Google Ireland Limited (Google Cloud / Firebase) | Betrieb der Plattform: Datenbank, Speicherung, Serverfunktionen, Authentifizierung | Schweiz (europe-west6) und EWR (eur3: Belgien, Niederlande, Finnland); Authentifizierung global (Primärstandort USA) |
| Infomaniak Network SA | Hosting der Website jagdhundepruefung.ch |
Genf, Schweiz |
Geplant (Phase 3b)
Die folgenden Dienste sind im Rahmen der Weiterentwicklung der Plattform vorgesehen. Vor dem produktiven Einsatz erfolgt eine Benachrichtigung des Mandanten gemäss Abschnitt 8 dieser ZDV.
| Unterauftragsverarbeiter | Zweck | Speicherort |
|---|---|---|
| Cloudflare, Inc. (Turnstile) | Bot-Schutz und Missbrauchsabwehr bei öffentlichen Anmeldeformularen | Global verteilt, Primärstandort USA; Datenbearbeitung nach Cloudflare Data Processing Addendum mit Standardvertragsklauseln |
| Brevo SAS oder Twilio Sendgrid Inc. | Transaktionaler E-Mail-Versand (Anmeldebestätigungen, Rechnungen, Benachrichtigungen) | EWR (Brevo: Frankreich) bzw. USA mit Standardvertragsklauseln (Sendgrid) |
Stand: 24. April 2026