NEWLesen
Trust · AVV

Auftragsverarbeitungsvertrag.

Der Vertrag, der regelt, wie CodeCourier personenbezogene Daten in Ihrem Auftrag verarbeitet - Art. 28 DSGVO, mit den Standardvertragsklauseln 2021 als integralem Bestandteil. Vorab unterzeichnet, gegenzeichnung innerhalb eines Werktags.

AVV anfordernZur DSGVO-Seite
DokumentDPA · v2.1
RechtsgrundlageArt. 28 DSGVO
AuftragsverarbeiterCodeCourier
Verantwortlicher________________________
Wirksam ab__ / __ / ____
Auftragsverarbeiter
Verantwortlicher
Hintergrund

Was dieses Dokument tatsächlich regelt.

Art. 28 DSGVO verlangt einen schriftlichen Vertrag, sobald ein Dienstleister personenbezogene Daten im Auftrag eines Kunden verarbeitet - selbst routinemässig, selbst über eine SaaS-Oberfläche. Der AVV ist dieser Vertrag.

Er weist die Rollen zu: Sie sind der Verantwortliche (Sie entscheiden, warum und wie Daten verarbeitet werden), CodeCourier ist der Auftragsverarbeiter (wir handeln auf Ihre dokumentierten Weisungen hin). Anschliessend definiert er genau, was wir mit diesen Daten tun dürfen und was nicht.

Er heisst Addendum, weil er ergänzend zum Master Services Agreement (MSA) oder zu unseren AGB gilt - der kommerzielle Vertrag regelt die Leistung, der AVV legt die datenschutzrechtlichen Leitplanken obendrauf.

Brauchen Sie einen AVV?
  • Sie verarbeiten personenbezogene Daten von Personen aus der EU, dem EWR, dem Vereinigten Königreich oder der Schweiz über CodeCourier.
  • Sie laden Code, Logs oder Prompts hoch, die personenbezogene Daten enthalten können (Namen, E-Mails, Identifikatoren).
  • Sie unterliegen vertraglichen Anforderungen an die Datenresidenz oder Lieferanten-Due-Diligence.
Klauseln im Überblick

12 Klauseln, alle Art. 28-konform.

Jedes verpflichtende Element nach Art. 28 Abs. 3 DSGVO ist abgedeckt. Klartext-Zusammenfassungen unten - der eigentliche Vertragstext steht im Dokument selbst.

Klausel 1

Gegenstand & Dauer

Definiert, welche Verarbeitung umfasst ist (der CodeCourier-Dienst) und wie lange sie dauert (für die Laufzeit des MSA plus ein definiertes Restfenster).

Klausel 2

Art & Zweck der Verarbeitung

Beschreibt, was wir mit personenbezogenen Daten tatsächlich tun: Hosting, Code-Ausführung, Agent-Orchestrierung, Logging, Support und Abrechnung - und nichts darüber hinaus.

Klausel 3

Arten personenbezogener Daten

Listet die Datenkategorien auf, die verarbeitet werden können: Konto-Identifikatoren, Code und Prompts, Konfiguration, Support-Korrespondenz, Telemetrie.

Klausel 4

Kategorien betroffener Personen

Identifiziert, wessen Daten verarbeitet werden: Mitarbeiter, Auftragnehmer, Kunden des Verantwortlichen sowie alle Endnutzer, deren Daten der Verantwortliche über den Dienst übermittelt.

Klausel 5

Pflichten & Weisungen

Wir verarbeiten ausschliesslich auf dokumentierte Weisung des Verantwortlichen. Alles ausserhalb des Auftrags erfordert einen schriftlichen Change-Order oder eine eigene Rechtsgrundlage.

Klausel 6

Vertraulichkeit

Sämtliches Personal mit Zugriff ist schriftlich zur Verschwiegenheit verpflichtet. Zugriffe sind least-privilege, werden protokolliert und unter unseren SOC-2-Kontrollen quartalsweise überprüft.

Klausel 7

Sicherheitsmassnahmen (Art. 32)

Hängt die technischen und organisatorischen Massnahmen an: Verschlüsselung, Zugriffskontrolle, Pseudonymisierung, Resilienz, Incident Response, regelmässige Tests.

Klausel 8

Unterauftragnehmer

Generelle Genehmigung mit 30 Tagen Vorankündigung für neue Unterauftragnehmer. Verantwortliche behalten ein Widerspruchsrecht und im begründeten Fall ein Kündigungsrecht.

Klausel 9

Unterstützung bei Betroffenenrechten

Wir unterstützen Verantwortliche dabei, Anträge auf Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität und Widerspruch innerhalb der 30-Tage-Frist der DSGVO zu beantworten.

Klausel 10

Meldung von Datenpannen

Wir informieren den Verantwortlichen unverzüglich - und niemals später als 24 Stunden nach Kenntnisnahme - mit allen Informationen, die für die Meldungen nach Art. 33/34 erforderlich sind.

Klausel 11

Auditrechte

Der jährliche SOC-2-Type-II-Bericht deckt Routine-Audits ab; begründete Vor-Ort-Audits sind mit 30 Tagen Vorlauf und angemessenen Vertraulichkeitsregeln möglich.

Klausel 12

Rückgabe oder Löschung

Bei Vertragsende wählen Verantwortliche zwischen Rückgabe oder Löschung der personenbezogenen Daten. Die Löschung erfolgt innerhalb von 30 Tagen, auf Wunsch mit schriftlicher Bestätigung.

Dies sind Erläuterungen, nicht der Vertrag. Fordern Sie das Dokument für den genauen Wortlaut an.

In 3 Schritten unterzeichnen

Vorab unterzeichnet und bereit.

Unser AVV ist auf Auftragsverarbeiter-Seite bereits unterzeichnet. Sie zeichnen gegen und schicken zurück - die meisten Verträge sind innerhalb eines Werktags vollständig ausgefertigt.

Schritt 01

Anfordern

Schreiben Sie an unser Legal-Team mit Firmenname und der E-Mail-Adresse, die im Vertrag genannt werden soll. Sie erhalten das vorab unterzeichnete PDF, die SCCs und den Sicherheitsanhang.

→ Per E-Mail anfordern
Schritt 02

Prüfen & gegenzeichnen

Nehmen Sie sich die Zeit, die Sie brauchen. Die meisten Teams sind in 1–3 Tagen durch. Kleinere Anpassungen prüfen wir gern, soweit rechtlich vertretbar - der AVV ist auf Art.-28-Konformität getrimmt.

Prüffenster
Schritt 03

Gegenausfertigung

Senden Sie das unterzeichnete Exemplar zurück. Wir gegenzeichnen bei Eingang und schicken das vollständig ausgefertigte PDF mit eindeutiger Referenznummer für Ihre Akten.

24-Stunden-Bearbeitung
Verwaltung von Unterauftragnehmern

Offengelegt, geprüft, steuerbar.

Wir setzen auf eine kurze, bewusst kleine Liste von Unterauftragnehmern, um den Dienst zu erbringen. Jeder einzelne ist vertraglich an die gleichen Art.-28-Pflichten gebunden, die wir Ihnen gegenüber tragen.

Unterauftragnehmer sind die Dritten, mit denen wir den Dienst betreiben - Cloud-Infrastruktur, Sandbox-Runtime, Transaktions-E-Mail, Observability und Analytics. Keiner davon steht zwischen Ihnen und Ihren Daten ohne eigene unterzeichnete Verarbeitungsvereinbarung.

Bevor wir einen Unterauftragnehmer hinzufügen oder austauschen, erhält jeder Verantwortliche im AVV mindestens 30 Tage schriftliche Vorankündigung. Die Mitteilung benennt Vendor, Verarbeitungsumfang, Standort und Rechtsgrundlage.

Widersprechen Sie aus berechtigten datenschutzrechtlichen Gründen und können wir keine Alternative anbieten, dürfen Sie den betroffenen Teil des Dienstes ohne Strafe kündigen. Schweigen nach Ablauf der 30 Tage gilt als Zustimmung.

Erfasste Kategorien
  • Cloud-Infrastruktur
  • Sandbox-Runtime
  • Transaktions-E-Mail
  • Observability
  • Produkt-Analytics
Aktuelle Unterauftragnehmerliste anfordern
Auditrecht

Prüfen statt nur vertrauen.

Der AVV gewährt Verantwortlichen ein gestaffeltes Auditrecht - jährliche Drittberichte für den Regelfall, Vor-Ort-Audits, wenn ein konkreter Anlass besteht.

ISO 27001 (auf der Roadmap)

Die ISO-27001-Zertifizierung steht auf unserer Security-Roadmap. Bis dahin teilen wir Enterprise-Verantwortlichen auf Wunsch gleichwertige Kontrollnachweise und Gap-Analysen.

Audits bei konkretem Anlass

Wenn SOC-2-Nachweise nicht ausreichen - etwa nach einem Vorfall oder einer Behördenanfrage - können Verantwortliche mit 30 Tagen schriftlicher Vorankündigung ein Vor-Ort-Audit anfordern.

Audits respektieren Vertraulichkeit und Betriebskontinuität - sie prüfen Kontrollen, nicht den Datenabfluss.

Grenzüberschreitend

Transfers über SCCs abgesichert.

Wenn personenbezogene Daten aus der EU/dem EWR, dem Vereinigten Königreich oder der Schweiz in ein Drittland fliessen, bezieht der AVV die Standardvertragsklauseln der Europäischen Kommission von 2021 - Modul 2 (Verantwortlicher-an-Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter-an-Unterauftragnehmer) - als integralen Bestandteil ein, mit automatischer Anwendung des UK-Addendums und der schweizerischen FDPIC-Varianten.

Die Schweiz profitiert vom Schweizer-EU-Angemessenheitsrahmen; UK-Transfers laufen unter dem UK IDTA / Addendum. Für jeden Subprocessor-Standort führen wir ein Transfer Impact Assessment durch und stellen es auf Anfrage zur Verfügung.

Alle Transferdetails auf der DSGVO-Seite
Sicherheitsanhang

Art.-32-Massnahmen, im Vertrag verankert.

Der AVV hängt die technischen und organisatorischen Massnahmen (TOMs) an, die wir zum Schutz personenbezogener Daten unterhalten - eine vertraglich verbindliche Zusammenfassung dessen, was im Detail auf unserer Security-Seite steht.

Alle technischen Massnahmen auf der Security-Seite
  • Verschlüsselung - in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), mit verwaltetem Schlüsselwechsel.
  • Zugriffskontrolle - SSO, MFA, Least-Privilege-RBAC, quartalsweise Zugriffsreviews.
  • Pseudonymisierung - wo praktikabel auf Identifikatoren in Logs und Analytics angewandt.
  • Resilienz - Multi-AZ-Infrastruktur, automatisierte Backups, getestete Wiederherstellungsverfahren.
  • Incident Response - 24/7-Bereitschaft, dokumentierte Runbooks, 24-Stunden-SLA für Meldungen.
  • Regelmässige Tests - jährliche Pentests durch Dritte, kontinuierliche automatisierte Scans.
Kooperation

Wir helfen Ihnen, Ihren Pflichten nachzukommen.

Verantwortliche tragen die Hauptlast für Betroffenenrechte, DSFA und Meldepflichten. Der AVV verpflichtet uns vertraglich zu angemessener Unterstützung in jedem dieser Bereiche - für Routinefälle ohne Zusatzkosten.

Konkret: Wir stellen die bei uns liegenden Daten für Auskunfts- und Portabilitätsanträge bereit, vollziehen Löschungen auf Ihre schriftliche Weisung, unterstützen Ihre DSFA mit Informationen zur Verarbeitung und melden Datenpannen innerhalb von 24 Stunden nach Kenntnisnahme - mit allen Angaben, die Sie für Ihre Meldung nach Art. 33 benötigen.

Anfordern

Bereit zur Unterzeichnung?

Schreiben Sie uns kurz, und wir senden Ihnen das vollständige AVV-Paket - vorab unterzeichnet, bereit zur Gegenzeichnung und mit allem, was Procurement verlangen wird.

Vorab unterzeichneter AVV (PDF)

Art.-28-konform, bereit für Ihre Gegenzeichnung.

Standardvertragsklauseln

SCCs von 2021, Module 2 und 3, mit UK-Addendum und Schweizer Varianten.

Unterauftragnehmerliste

Aktuelle Vendors, Kategorien, Standorte und Transfermechanismen.

Sicherheitsanhang

Die technischen und organisatorischen Massnahmen nach Art. 32, in Vertragsform.

AVV-Paket anfordern

Antwort innerhalb eines Werktags. Rechtlich geprüft; Fragen willkommen.

FAQ

Häufige AVV-Fragen.

Brauche ich einen AVV, wenn ich nur den Free-Tarif nutze?
Ob ein AVV nötig ist, hängt davon ab, ob Sie personenbezogene Daten über CodeCourier verarbeiten - nicht vom Tarif. Wenn ja, gilt Art. 28 DSGVO auch in einem kostenlosen Workspace, und wir schliessen den AVV gerne kostenlos mit Ihnen ab.
Kann ich Änderungen am AVV verhandeln?
Unser AVV ist auf Art.-28-Konformität getrimmt und wird von Enterprise-Procurement- und Legal-Teams meist unverändert akzeptiert. Vernünftige Red-Lines - typischerweise zu Notice-Fristen, Audit-Scope und Definitionen - prüfen wir innerhalb von fünf Werktagen. Substanzielle Änderungen lassen wir von externer Kanzlei prüfen.
Ist der AVV zweisprachig?
Massgeblich ist die englische Fassung. Für DACH-Kunden stellen wir eine deutsche Lesefassung zusätzlich zum englischen Original bereit; im Konfliktfall geht die englische Fassung vor. Weitere Sprachen liefern wir für Enterprise-Verträge fallweise.
Deckt der AVV das Schweizer DSG ab?
Ja. Der AVV ist so verfasst, dass er sowohl unter der DSGVO als auch unter dem revidierten Schweizer DSG gültig ist; die SCCs sind mit den vom FDPIC empfohlenen Anpassungen ergänzt. In der Schweiz wohnhafte betroffene Personen geniessen dieselben Rechte und Rechtsmittel wie EU-Personen.
Was passiert mit meinen Daten, wenn ich kündige?
Bei Vertragsende wählen Sie innerhalb von 30 Tagen zwischen Rückgabe und Löschung der personenbezogenen Daten. Auf Wunsch erhalten Sie eine schriftliche Löschbestätigung. Für Backups gilt ein kurzes Restfenster (in der Regel bis zu 35 Tage), ebenso für Daten, die wir gesetzlich aufbewahren müssen (z. B. Rechnungsunterlagen).
Kann ich ein Joint-Controller-Addendum ergänzen?
Wenn Ihr Anwendungsfall uns als gemeinsam Verantwortliche und nicht als Auftragsverarbeiter einstuft - etwa bei bestimmten Co-Marketing-Konstellationen - fügen wir ein Addendum nach Art. 26 DSGVO an, das die Verantwortlichkeitsverteilung, Transparenzpflichten und den zentralen Ansprechpartner für betroffene Personen festlegt.
Legal bei CodeCourier

Vertragsfragen? Beantworten wir auch.

DSGVO-SeiteLegal kontaktieren
14 Tage kostenlos · keine Kreditkarte

Stellen Sie Ihren ersten KI-Ingenieur ein.
Bis zum Mittag live.

5 Minuten Onboarding. Erster PR innerhalb einer Stunde. Jederzeit kündbar.

Ersten Agenten deployen20-Min-Demo buchen