bivy

Auftragsverarbeitungsvertrag (AVV)

Vertragliche Regelungen zur Auftragsverarbeitung personenbezogener Daten durch bivy.

Version 1.0·Stand: 2026-03-07

Auftragsverarbeitungsvertrag (AVV)

Version: 1.0 Stand: [DATUM] Auftragsverarbeiterin: [FIRMENNAME UND RECHTSFORM, z.B. bivy GmbH]

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch bivy (nachfolgend «Auftragsverarbeiterin») im Auftrag des Nutzers (nachfolgend «Verantwortlicher») im Rahmen der Nutzung der SaaS-Plattform bivy.

Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und die Datenschutzerklärung von bivy und ist integraler Bestandteil des Vertragsverhältnisses.

1.2 Dauer

Dieser AVV gilt für die gesamte Dauer des Vertragsverhältnisses zwischen dem Verantwortlichen und bivy. Er endet automatisch mit Beendigung des Hauptvertrags (AGB), vorbehaltlich der nachvertraglichen Pflichten gemäss Abschnitt 9.

2. Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

bivy verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen durch:

  • Speicherung und Verwaltung von Projektdaten
  • Empfang, Speicherung und Analyse weitergeleiteter E-Mails
  • KI-gestützte Verarbeitung (Aufgabenextraktion, Entscheidungsunterstützung, Bautagebuch)
  • Dokumenten- und Fotoverwaltung
  • Darstellung und Aufbereitung der Daten über die Plattform

2.2 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschliesslich zum Zweck der Erbringung der vertraglich vereinbarten SaaS-Dienstleistung — eines digitalen Bauprojekt-Cockpits für die Verwaltung privater Bauprojekte, einschliesslich KI-gestützter Funktionen.

3. Kategorien betroffener Personen und personenbezogener Daten

3.1 Kategorien betroffener Personen

  • Plattformnutzer (Verantwortlicher und dessen autorisierte Benutzer)
  • Dritte Kontaktpersonen: Unternehmer, Handwerker, Architekten, Bauleiter, Lieferanten und sonstige Dritte, deren Daten vom Verantwortlichen auf die Plattform hochgeladen oder weitergeleitet werden

3.2 Kategorien personenbezogener Daten

Kategorie Beschreibung
Kontaktdaten Dritter Name, E-Mail-Adresse, Firma, Telefonnummer (soweit in Kommunikation oder Dokumenten enthalten)
Kommunikationsinhalte Inhalte weitergeleiteter E-Mails, Betreffzeilen, Anhänge
Projektbezogene Daten Aufgaben, Entscheidungen, Notizen, Bautagebuch-Einträge, die Bezug zu Dritten haben
Dokumente Hochgeladene Dokumente und Fotos, die personenbezogene Daten Dritter enthalten können
KI-abgeleitete Daten Aus Nutzereingaben extrahierte Aufgaben, Termine und Zusammenfassungen, die Bezug zu Dritten haben

3.3 Keine besonderen Kategorien

Die Verarbeitung umfasst grundsätzlich keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO bzw. Art. 5 lit. c DSG. Der Verantwortliche ist verpflichtet, sicherzustellen, dass keine besonderen Kategorien personenbezogener Daten auf die Plattform hochgeladen werden, es sei denn, dies ist ausdrücklich vereinbart.

4. Pflichten der Auftragsverarbeiterin (bivy)

4.1 Weisungsgebundenheit

bivy verarbeitet personenbezogene Daten ausschliesslich gemäss den dokumentierten Weisungen des Verantwortlichen. Die Weisungen ergeben sich aus:

a) diesem AVV; b) den AGB und der Datenschutzerklärung; c) der Nutzung der Plattformfunktionen durch den Verantwortlichen; d) ausdrücklichen Einzelweisungen per E-Mail an datenschutz@bivy.ch.

Ist bivy der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstösst, wird bivy den Verantwortlichen unverzüglich darauf hinweisen.

4.2 Vertraulichkeit

bivy stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.3 Technische und organisatorische Massnahmen

bivy trifft angemessene technische und organisatorische Massnahmen gemäss Art. 32 DSGVO bzw. Art. 8 DSG, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Massnahmen umfassen insbesondere:

  • Verschlüsselung in Transit: TLS 1.2 oder höher für alle Datenübertragungen
  • Verschlüsselung at Rest: AES-256-Verschlüsselung (AWS KMS / Supabase) für alle gespeicherten Daten
  • Zugangskontrolle: Multi-Faktor-Authentifizierung, Prinzip der minimalen Berechtigung
  • Mandantentrennung: Row-Level Security (RLS) in der Datenbank
  • Eingabekontrolle: Protokollierung von Änderungen an personenbezogenen Daten
  • Verfügbarkeitskontrolle: Regelmässige Backups, Redundanz der Infrastruktur
  • Passwortsicherheit: Ausschliessliche Speicherung als kryptographischer Hash (bcrypt)
  • Regelmässige Sicherheitsprüfungen: Automatische Schwachstellenscans der Abhängigkeiten

4.4 Unterstützung des Verantwortlichen

bivy unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen bei:

a) der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO / Art. 25–29 DSG); b) der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Datenschutz-Folgenabschätzung, vorherige Konsultation); c) der Meldung von Datenschutzverletzungen gemäss Abschnitt 8.

5. Pflichten des Verantwortlichen (Nutzer)

5.1 Rechtmässigkeit

Der Verantwortliche ist für die Rechtmässigkeit der Datenverarbeitung verantwortlich. Er gewährleistet insbesondere, dass:

a) er über eine gültige Rechtsgrundlage für die Verarbeitung der Daten verfügt (Art. 6 DSGVO / Art. 31 DSG); b) er die betroffenen Personen — einschliesslich Dritter wie Unternehmer und Handwerker — ordnungsgemäss über die Verarbeitung informiert hat (Art. 13/14 DSGVO / Art. 19 DSG); c) keine besonderen Kategorien personenbezogener Daten ohne ausdrückliche Vereinbarung hochgeladen werden.

5.2 Informationspflicht gegenüber Dritten

Der Verantwortliche ist allein dafür verantwortlich, Dritte (insbesondere Unternehmer, Handwerker, Architekten), deren Daten auf die Plattform hochgeladen oder per E-Mail weitergeleitet werden, über die Datenverarbeitung zu informieren. Hierzu gehört insbesondere die Information über:

a) die Verarbeitung auf der bivy-Plattform, einschliesslich KI-gestützter Funktionen; b) die Datenschutzerklärung von bivy (bivy.ch/datenschutz); c) die Rechte der betroffenen Dritten (Auskunft, Löschung, Berichtigung).

bivy stellt dem Verantwortlichen eine Musterklausel für Werkverträge zur Verfügung (siehe Abschnitt 12).

5.3 Weisungen

Der Verantwortliche ist berechtigt, bivy Weisungen hinsichtlich der Verarbeitung personenbezogener Daten zu erteilen. Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, bedürfen einer gesonderten Vereinbarung.

6. Unterauftragsverarbeiter

6.1 Genehmigte Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter:

Unterauftragsverarbeiter Zweck Standort Garantien
Amazon Web Services EMEA SARL Hosting (Lambda, CloudFront, S3), KI-Verarbeitung (Bedrock) EU — Frankfurt (eu-central-1), Stockholm (eu-north-1), Irland (eu-west-1) AVV; AWS DSGVO-Datenverarbeitungszusatz
Supabase Inc. Datenbank (PostgreSQL), Authentifizierung, Dateispeicherung EU — Frankfurt (eu-central-1) AVV; Supabase DPA
Stripe Payments Europe Ltd. Zahlungsabwicklung EU (Irland) AVV; PCI DSS Level 1
Amazon Web Services (SES) E-Mail-Empfang und -Verarbeitung EU — Frankfurt (eu-central-1) Teil des AWS-Datenverarbeitungszusatzes

6.2 Änderungen bei Unterauftragsverarbeitern

bivy informiert den Verantwortlichen über geplante Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen solche Änderungen Einspruch zu erheben. Die Benachrichtigung erfolgt per E-Mail mit einer Frist von mindestens 30 Tagen vor der geplanten Änderung.

Erhebt der Verantwortliche innerhalb von 14 Tagen nach Benachrichtigung begründeten Einspruch, werden die Parteien eine einvernehmliche Lösung suchen. Kann keine Einigung erzielt werden, hat der Verantwortliche das Recht, den Hauptvertrag ausserordentlich zu kündigen.

6.3 Pflichten gegenüber Unterauftragsverarbeitern

bivy stellt vertraglich sicher, dass allen Unterauftragsverarbeitern mindestens gleichwertige Datenschutzpflichten auferlegt werden, wie sie in diesem AVV festgelegt sind. bivy bleibt gegenüber dem Verantwortlichen für die Erfüllung der Pflichten durch Unterauftragsverarbeiter verantwortlich.

7. Datenübermittlung in Drittländer

7.1 Grundsatz: Verarbeitung ausschliesslich in der EU

Sämtliche personenbezogene Daten werden ausschliesslich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeitet und gespeichert.

Die technische Infrastruktur von bivy befindet sich in:

  • Frankfurt, Deutschland (eu-central-1) — primärer Standort
  • Stockholm, Schweden (eu-north-1) — KI-Verarbeitung (Bedrock)
  • Dublin, Irland (eu-west-1) — KI-Verarbeitung (Bedrock), Zahlungsabwicklung (Stripe)

7.2 Keine Übermittlung in Drittländer

bivy übermittelt keine personenbezogenen Daten in Länder ausserhalb der EU/des EWR, die über keinen Angemessenheitsbeschluss gemäss Art. 45 DSGVO verfügen.

Die Schweiz wird von der Europäischen Kommission als Land mit angemessenem Datenschutzniveau anerkannt.

8. Meldung von Datenschutzverletzungen

8.1 Meldepflicht an den Verantwortlichen

bivy benachrichtigt den Verantwortlichen unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten (Data Breach).

Die Benachrichtigung umfasst mindestens:

a) die Art der Verletzung, einschliesslich der betroffenen Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze; b) den Namen und die Kontaktdaten der Ansprechperson; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung; d) eine Beschreibung der ergriffenen oder vorgeschlagenen Massnahmen.

8.2 Unterstützung bei Meldungen

bivy unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO / Art. 24 DSG) und bei der Benachrichtigung betroffener Personen (Art. 34 DSGVO / Art. 24 Abs. 3 DSG).

9. Rückgabe und Löschung von Daten

9.1 Bei Vertragsende

Nach Beendigung des Hauptvertrags:

a) stellt bivy dem Verantwortlichen während einer Frist von 30 Tagen die Möglichkeit zum Export seiner Daten über die Plattform bereit; b) nach Ablauf der 30-tägigen Exportfrist löscht bivy sämtliche personenbezogene Daten des Verantwortlichen unwiderruflich, es sei denn, eine gesetzliche Aufbewahrungspflicht steht dem entgegen; c) bivy bestätigt die Löschung auf Anfrage des Verantwortlichen schriftlich.

9.2 Löschung auf Weisung

bivy löscht personenbezogene Daten auf Weisung des Verantwortlichen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

10. Audit- und Kontrollrechte

10.1 Informationsrecht

bivy stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO bzw. Art. 9 DSG niedergelegten Pflichten zur Verfügung.

10.2 Audits

bivy ermöglicht Inspektionen — einschliesslich Überprüfungen — durch den Verantwortlichen oder einen von diesem beauftragten Prüfer und trägt zu diesen bei. Audits werden:

a) mit angemessener Vorlaufzeit (mindestens 30 Tage) angekündigt; b) während der üblichen Geschäftszeiten durchgeführt; c) so gestaltet, dass der laufende Betrieb nicht unangemessen beeinträchtigt wird; d) maximal einmal pro Jahr durchgeführt, es sei denn, ein konkreter Anlass erfordert eine zusätzliche Prüfung.

Die Kosten des Audits trägt der Verantwortliche, es sei denn, das Audit ergibt eine wesentliche Pflichtverletzung durch bivy.

11. Haftung

Die Haftung der Parteien richtet sich nach den Bestimmungen der AGB (§ 12), der DSGVO (insbesondere Art. 82) und des DSG. Beide Parteien haften gegenüber betroffenen Personen gemäss den anwendbaren Datenschutzgesetzen.

12. Musterklausel für Werkverträge

Um die Informationspflicht des Verantwortlichen gegenüber Dritten (Abschnitt 5.2) zu erleichtern, stellt bivy die folgende Musterklausel zur Verfügung. Diese kann in Werkverträge, Architektenverträge oder sonstige Verträge mit Dritten aufgenommen werden.

Musterklausel: Digitale Projektabwicklung über bivy

Gegenstand: Der Auftraggeber/Bauleiter nutzt für die Verwaltung dieses Bauprojekts die SaaS-Plattform bivy (bivy.ch).

Datenverarbeitung: Im Rahmen der Projektabwicklung können folgende Daten des Auftragnehmers digital über bivy verarbeitet werden:

  • Name, E-Mail-Adresse, Firma
  • E-Mail-Korrespondenz (Inhalte, Anhänge)
  • Projektbezogene Dokumente und Korrespondenz
  • Aus der Kommunikation extrahierte Aufgaben und Termine

KI-Verarbeitung: bivy setzt künstliche Intelligenz ein, um aus der Kommunikation automatisch Aufgaben, Termine und Zusammenfassungen zu extrahieren. Die KI-Verarbeitung erfolgt in Echtzeit und ausschliesslich innerhalb der EU (Frankfurt, Stockholm, Irland). Die Daten werden nicht für das Training von KI-Modellen verwendet.

Datenspeicherung: Sämtliche Daten werden ausschliesslich in der EU (Frankfurt am Main, Deutschland) gespeichert und verarbeitet.

Datenschutzerklärung: Die vollständige Datenschutzerklärung von bivy ist abrufbar unter: bivy.ch/datenschutz

Rechte: Der Auftragnehmer hat das Recht, Auskunft über die über ihn gespeicherten Daten zu verlangen, deren Berichtigung oder Löschung zu beantragen und der Verarbeitung zu widersprechen. Anfragen können gerichtet werden an: datenschutz@bivy.ch

Einverständnis: Mit Unterzeichnung dieses Vertrags nimmt der Auftragnehmer die vorstehenden Informationen zur Kenntnis.

Ort, Datum: _______________

Unterschrift Auftragnehmer: _______________

13. Kontakt

Für Fragen zu diesem AVV:

E-Mail: datenschutz@bivy.ch Post: [FIRMENNAME UND RECHTSFORM], [STRASSE UND HAUSNUMMER], [PLZ] [ORT], Schweiz

14. Schlussbestimmungen

14.1 Vorrang

Im Falle von Widersprüchen zwischen diesem AVV und den AGB gehen die Bestimmungen dieses AVV in Bezug auf den Datenschutz vor.

14.2 Änderungen

Änderungen dieses AVV bedürfen der Schriftform. bivy kann diesen AVV mit einer Frist von 30 Tagen ändern, wobei die Bestimmungen der AGB (§ 15) sinngemäss gelten.

14.3 Anwendbares Recht und Gerichtsstand

Es gelten die Bestimmungen der AGB (§ 16) zum anwendbaren Recht und Gerichtsstand.

14.4 Sprache

Dieser AVV liegt in deutscher und englischer Fassung vor. Bei Widersprüchen zwischen den Sprachversionen ist die deutsche Fassung massgeblich.