Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Teil der Allgemeinen Geschäftsbedingungen zwischen Maxapp GmbH ("Auftragsverarbeiter") und dem Kunden ("Verantwortlicher") für die Verarbeitung personenbezogener Daten gemäss geltendem Datenschutzrecht.

1. Begriffsbestimmungen

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in DSGVO und Schweizer DSG definiert.
  • Verarbeitung: Jede Operation, die an personenbezogenen Daten durchgeführt wird, wie Erhebung, Aufzeichnung, Speicherung, Abruf, Verwendung, Offenlegung oder Löschung.
  • Verantwortlicher: Der Kunde, der PayMatch-Dienste nutzt und die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
  • Auftragsverarbeiter: Maxapp GmbH, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Unterauftragsverarbeiter: Jede dritte Partei, die von PayMatch zur Verarbeitung personenbezogener Daten beauftragt wird.

2. Geltungsbereich und Zweck

Dieser AVV gilt für alle personenbezogenen Daten, die von PayMatch im Auftrag des Verantwortlichen im Zusammenhang mit den PayMatch-Diensten verarbeitet werden, einschliesslich:

  • Rechnungserstellung und -verwaltung
  • Kunden- und Kontaktinformationen
  • Zahlungsabstimmungsdaten
  • Benutzerkonten- und Authentifizierungsdaten
  • Nutzungs- und Analysedaten

3. Details zur Datenverarbeitung

3.1 Art und Zweck der Verarbeitung

PayMatch verarbeitet personenbezogene Daten für folgende Zwecke:

  • Bereitstellung von Rechnungsverwaltungs- und QR-Rechnungsgenerierungsdiensten
  • Zahlungsabstimmung
  • Kunden- und Produktverwaltung
  • Abonnementabrechnung und Kontoverwaltung
  • Plattformwartung und Support
  • Sicherheitsüberwachung und Betrugsprävention

3.2 Arten personenbezogener Daten

  • Kontaktinformationen (Namen, E-Mail-Adressen, Telefonnummern)
  • Geschäftsinformationen (Firmennamen, Adressen, Mehrwertsteuer-Nummern)
  • Finanzdaten (Rechnungsbeträge, Zahlungsaufzeichnungen)
  • Benutzeranmeldedaten (E-Mail, verschlüsselte Passwörter)
  • Technische Daten (IP-Adressen, Geräteinformationen, Nutzungsprotokolle)

3.3 Kategorien betroffener Personen

  • Mitarbeiter und autorisierte Benutzer des Kunden
  • Geschäftskunden und Kunden des Kunden
  • Lieferanten und Händler des Kunden
  • Geschäftskontakte des Kunden

3.4 Dauer der Verarbeitung

Personenbezogene Daten werden für die Dauer der Dienstvereinbarung verarbeitet und gemäss den in unserer Datenschutzerklärung angegebenen Aufbewahrungsfristen aufbewahrt (in der Regel 10 Jahre für Geschäftsunterlagen gemäss Schweizer Handelsrecht).

4. Pflichten des Auftragsverarbeiters

4.1 Verarbeitungsanweisungen

PayMatch verarbeitet personenbezogene Daten nur auf dokumentierte Anweisungen des Verantwortlichen, es sei denn, dies ist nach geltendem Recht erforderlich. Die Bereitstellung von Diensten wie in den Allgemeinen Geschäftsbedingungen beschrieben, stellt die vollständigen Anweisungen des Verantwortlichen dar.

4.2 Vertraulichkeit

PayMatch stellt sicher, dass alle zur Verarbeitung personenbezogener Daten autorisierten Personen durch Vertraulichkeitsverpflichtungen gebunden sind und eine angemessene Schulung zu Datenschutzanforderungen erhalten.

4.3 Sicherheitsmassnahmen

PayMatch implementiert angemessene technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschliesslich:

  • Verschlüsselung von Daten während der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256)
  • Zugriffskontrollen und Authentifizierung (einschliesslich MFA-Unterstützung)
  • Regelmässige Sicherheitsbewertungen und Schwachstellentests
  • Automatisierte Backup- und Disaster-Recovery-Verfahren
  • Sicherheitsüberwachung und Incident-Erkennungssysteme
  • Regelmässige Sicherheitspatches und Updates
  • Physische Sicherheit von Rechenzentren (über zertifizierte Hosting-Anbieter)
  • Netzwerksicherheitsmassnahmen (Firewalls, DDoS-Schutz)

4.4 Meldung von Datenpannen

Im Falle einer Verletzung personenbezogener Daten wird PayMatch den Verantwortlichen unverzüglich und spätestens 72 Stunden nach Kenntnisnahme der Verletzung benachrichtigen. Die Benachrichtigung umfasst:

  • Art der Verletzung und betroffene Datenkategorien
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Massnahmen zur Behebung der Verletzung
  • Ansprechpartner für weitere Informationen

4.5 Rechte betroffener Personen

PayMatch wird den Verantwortlichen, soweit gesetzlich zulässig, unverzüglich über alle Anfragen betroffener Personen benachrichtigen. PayMatch unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Zugang, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch), indem angemessene technische und organisatorische Massnahmen bereitgestellt werden.

4.6 Datenschutz-Folgenabschätzung

PayMatch wird dem Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA), soweit nach geltendem Recht erforderlich, angemessene Unterstützung leisten, indem Informationen über die Verarbeitungstätigkeiten und Sicherheitsmassnahmen bereitgestellt werden.

4.7 Löschung und Rückgabe von Daten

Bei Beendigung der Dienste wird PayMatch auf Wunsch des Verantwortlichen alle personenbezogenen Daten löschen oder an den Verantwortlichen zurückgeben und vorhandene Kopien löschen (ausser dort, wo die Aufbewahrung gesetzlich erforderlich ist). Personenbezogene Daten können in maschinenlesbarem Format (JSON/CSV) exportiert werden.

4.8 Prüfungsrechte

PayMatch stellt dem Verantwortlichen die zur Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung und ermöglicht Prüfungen, einschliesslich Inspektionen, durch den Verantwortlichen oder einen unabhängigen Prüfer. Solche Prüfungen werden nach angemessener Ankündigung und während der Geschäftszeiten durchgeführt, höchstens einmal pro Jahr, es sei denn, dies ist aufgrund einer Datenpanne oder regulatorischen Anforderung erforderlich.

5. Unterauftragsverarbeiter

5.1 Allgemeine Autorisierung

Der Verantwortliche erteilt eine allgemeine Autorisierung für PayMatch, Unterauftragsverarbeiter zu beauftragen. PayMatch stellt sicher, dass Unterauftragsverarbeiter durch Datenschutzverpflichtungen gebunden sind, die denen in diesem AVV entsprechen.

5.2 Aktuelle Unterauftragsverarbeiter

PayMatch verwendet derzeit folgende Unterauftragsverarbeiter:

Vercel Inc. (USA)

Zweck: Anwendungshosting und CDN

Datenstandort: Global (mit EU/Schweizer Datenresidenz-Optionen)

Sicherheitsmassnahmen: DSGVO-konform, Standardvertragsklauseln

Supabase Inc. (USA)

Zweck: Datenbankhosting und Authentifizierung

Datenstandort: eu-central-2 (Zürich, Schweiz)

Sicherheitsmassnahmen: DSGVO-konform, EU-Datenresidenz, SOC 2 Type II

Amazon Web Services (AWS)

Zweck: Datenspeicherung und Infrastruktur

Datenstandort: eu-central-2 (Zürich, Schweiz)

Sicherheitsmassnahmen: DSGVO-konform, ISO 27001, SOC 2

Stripe Payments Europe Ltd. (Irland)

Zweck: Abonnementzahlungsabwicklung

Datenstandort: Europäische Union

Sicherheitsmassnahmen: DSGVO-konform, PCI-DSS Level 1

5.3 Änderungen an Unterauftragsverarbeitern

PayMatch wird den Verantwortlichen über beabsichtigte Änderungen bezüglich der Hinzufügung oder des Ersatzes von Unterauftragsverarbeitern mindestens 30 Tage im Voraus informieren. Der Verantwortliche kann solchen Änderungen aus berechtigten datenschutzrechtlichen Gründen widersprechen. Wenn der Verantwortliche widerspricht, wird PayMatch entweder die Änderung nicht vornehmen oder der Verantwortliche kann die betroffenen Dienste kündigen.

5.4 Haftung für Unterauftragsverarbeiter

PayMatch bleibt dem Verantwortlichen vollständig für die Erfüllung der Verpflichtungen der Unterauftragsverarbeiter unter diesem AVV haftbar.

6. Internationale Datenübertragungen

Personenbezogene Daten können in Länder ausserhalb der Schweiz und des Europäischen Wirtschaftsraums (EWR) übertragen und dort verarbeitet werden. Für solche Übertragungen stellt PayMatch sicher, dass angemessene Sicherheitsmassnahmen vorhanden sind:

  • EU/EWR-Übertragungen: DSGVO gilt direkt
  • Schweiz: Als angemessenen Schutz bietend anerkannt
  • USA und andere Länder: Standardvertragsklauseln (SCCs), die von der Europäischen Kommission und dem Schweizer Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) genehmigt wurden
  • Bevorzugte Datenresidenz: Daten werden hauptsächlich in der EU (Frankfurt, Deutschland) gespeichert

7. Haftung und Freistellung

Die Haftung jeder Partei unter diesem AVV unterliegt den in den Allgemeinen Geschäftsbedingungen festgelegten Beschränkungen. Der Verantwortliche ist dafür verantwortlich, die Einhaltung der geltenden Datenschutzgesetze bei der Nutzung der Dienste und den an PayMatch erteilten Anweisungen sicherzustellen.

8. Laufzeit und Kündigung

Dieser AVV bleibt für die Dauer der Dienstvereinbarung in Kraft und wird automatisch mit der Beendigung der Allgemeinen Geschäftsbedingungen beendet. Abschnitte bezüglich Datenlöschung, Prüfungsrechten und Haftung bleiben nach Beendigung in Kraft, soweit dies zur Erfüllung ihrer Zwecke erforderlich ist.

9. Geltendes Recht und Gerichtsstand

Dieser AVV unterliegt Schweizer Recht. Gerichtsstand ist Zürich, Schweiz. Dieser AVV unterliegt den Bestimmungen der DSGVO (soweit anwendbar) und des Schweizer DSG.

10. Kontaktinformationen

Bei Fragen oder Bedenken bezüglich dieses AVV oder der Datenverarbeitungspraktiken:

Maxapp GmbH

Datenschutzbeauftragter: legal@paymatch.app

Rotkreuz, Schweiz

Zuletzt aktualisiert: 10. Februar 2026
Dieser Auftragsverarbeitungsvertrag ergänzt die PayMatch Allgemeinen Geschäftsbedingungen und Datenschutzerklärung.

Zuletzt aktualisiert: 10. Februar 2026

AGBDatenschutzImpressumDPASicherheitCookies

Wir verwenden Cookies

Wir verwenden Cookies, um Ihr Browsing-Erlebnis zu verbessern und unsere Dienste zu analysieren. Mehr erfahren