Auftragsbearbeitungsvertrag (AVV) der Rocket9 GmbH

Stand:
Dieser Auftragsbearbeitungsvertrag (AVV) ist in der Version 1.1 gültig seit dem 08.02.2026.

Der Auftragsbearbeitungsvertrag (AVV) ist auch als PDF unter diesem Link einsehbar: –> PDF einsehen und herunterladen

1. Rollen und Verantwortlichkeiten

Der Auftraggeber gilt als Verantwortlicher im Sinne des Schweizer Datenschutzgesetzes (DSG). Die Rocket9 GmbH handelt in diesem Vertragsverhältnis ausschliesslich als Auftragsbearbeiter und bearbeitet Personendaten nur im Auftrag und nach Weisung des Auftraggebers.

2. Subauftragsbearbeiter (Subprozessoren)

Der Auftraggeber erteilt Rocket9 die allgemeine Genehmigung, zur Erbringung der vertraglich vereinbarten Leistungen Dritte (z. B. Freelancer, Hosting-Provider, SaaS-Anbieter) als Subauftragsbearbeiter beizuziehen. Rocket9 stellt sicher, dass Subauftragsbearbeiter:

  • vertraglich mindestens zu gleichwertigen Datenschutz- und Vertraulichkeitspflichten verpflichtet werden, wie sie sich aus diesem AVV ergeben; und

  • Personendaten ausschliesslich zur Erbringung der beauftragten Leistungen verarbeiten.

Rocket9 informiert den Auftraggeber auf Anfrage über die eingesetzten Subauftragsbearbeiter. Beabsichtigt Rocket9 Änderungen bei den eingesetzten Subauftragsbearbeitern, so kann der Auftraggeber aus wichtigem datenschutzrechtlichem Grund dagegen Einspruch erheben.

3. Gegenstand und Zweck der Bearbeitung

Die Datenbearbeitung erfolgt ausschliesslich zur Erbringung der vertraglich vereinbarten Leistungen gemäss den Allgemeinen Geschäftsbedingungen (AGB) und den spezifischen Angeboten. Dies umfasst insbesondere:

  • Entwicklung und Wartung von Websites & Webshops;

  • Einrichtung und Betreuung von Automationen & Integrationen (z. B. via API);

  • Kampagnenmanagement (Ads & Analytics);

  • Technische Betreuung, Support und Fehlerbehebung.

4. Dauer der Bearbeitung

Die Bearbeitung erfolgt ausschliesslich für die Dauer des jeweiligen Vertragsverhältnisses (z. B. Laufzeit von Site Protect+ oder Automation Care+) bzw. solange ein technischer Zugriff zur Auftragserfüllung zwingend erforderlich ist.

5. Art der Daten

Im Rahmen der Dienstleistung können insbesondere folgende Datenarten bearbeitet werden:

  • Kontaktdaten (Namen, E-Mail, Telefon, Adressen);

  • Technische Nutzungs- & Trackingdaten (z. B. IP-Adressen, Cookies, Referrer);

  • Kundendaten aus Webshops oder CRM-Systemen;

  • Zugangsdaten zu Systemen und Drittplattformen.

Es werden standardmässig keine besonders schützenswerten Personendaten bearbeitet, ausser dies erfolgt nach ausdrücklicher Weisung und Bereitstellung durch den Auftraggeber (z. B. im Gesundheitsbereich).

6. Ort der Bearbeitung & Datenbekanntgabe ins Ausland

Die Bearbeitung der Daten erfolgt primär in der Schweiz oder der EU/EWR. Soweit Rocket9 für die Leistungserbringung Dienstleister oder Subprozessoren in Drittstaaten (insb. USA) einsetzt (z. B. für Automationen via Zapier/Make oder Tracking via Google/Meta), stimmt der Auftraggeber diesem Transfer zu.

7. Entwicklungsumgebung & Live-Betrieb

Die Bearbeitung erfolgt je nach Projektphase getrennt:

  • Entwicklungsphase: Während der Erstellung können Daten temporär auf einer Entwicklungsumgebung (Staging-Server) von Rocket9 gespeichert werden. Dies dient ausschliesslich Entwicklungs-, Test- und Demonstrationszwecken.

  • Betrieb & Wartung: Nach Projektabschluss und Ãœbergabe (Go-Live) erfolgt die Datenhaltung ausschliesslich auf den Systemen und Accounts des Auftraggebers oder dessen Hosting-Providern.

Rocket9 speichert nach der Ãœbergabe keine produktiven Personendaten der Endkunden dauerhaft auf eigener Infrastruktur.

8. Weisungsgebundenheit

Rocket9 verpflichtet sich, Personendaten ausschliesslich gemäss den dokumentierten Weisungen des Auftraggebers zu bearbeiten, sofern gesetzliche Vorschriften nichts anderes verlangen.

9. Technische & organisatorische Massnahmen (TOM)

Rocket9 gewährleistet die Datensicherheit durch angemessene Massnahmen gemäss Art. 8 DSG:

  • Zugriffskontrolle: Zugriff auf Kundensysteme erfolgt nur bei technischem Bedarf und nur durch autorisierte Personen (Need-to-know-Prinzip).

  • Benutzerkonten: Verwendung individueller Benutzerkonten und 2-Faktor-Authentifizierung (2FA), wo technisch möglich.

  • Ãœbertragung: Nutzung verschlüsselter Verbindungen (SSL/TLS).

  • Zugriffsverwaltung: Entzug von Zugriffsberechtigungen nach Projektende, soweit Rocket9 dies technisch selbst umsetzen kann.

  • Integrität: Änderungen an produktiven Systemen werden, soweit praktikabel, dokumentiert (z. B. Changelogs, Tickets).

  • Staging-Sicherheit: Staging-Umgebungen werden durch Zugriffsbeschränkungen geschützt. Produktive Personendaten werden auf Staging-Umgebungen nur verwendet, wenn dies für Tests zwingend erforderlich ist; andernfalls werden anonymisierte Daten genutzt.

10. Unterstützung, Kontrolle & Aufwand

Rocket9 unterstützt den Auftraggeber bei der Wahrung der Betroffenenrechte (z. B. Auskunftsbegehren, Löschung) sowie bei der Abklärung von Datenschutzvorfällen im technisch erforderlichen Umfang. Der Auftraggeber hat das Recht, die Einhaltung dieses AVV in angemessener Weise zu überprüfen. Rocket9 kann diese Kontrolle durch Vorlage geeigneter Zertifizierungen oder Berichte ermöglichen. Soweit Unterstützungs- oder Kontrollleistungen über die vertragliche Wartung hinausgehen, werden sie nach Aufwand gemäss den aktuellen Stundensätzen verrechnet.

11. Datenschutzverletzungen

Rocket9 informiert den Auftraggeber unverzüglich, sobald eine Verletzung der Datensicherheit bekannt wird, die Daten des Auftraggebers betrifft. Die Meldepflicht gegenüber dem EDÖB oder betroffenen Personen obliegt allein dem Auftraggeber.

12. Folgen der Beendigung & Löschung

Nach Beendigung der Zusammenarbeit liegt es in der Verantwortung des Auftraggebers, Zugriffsrechte von Rocket9 auf seinen Systemen zu sperren. Da die produktiven Daten beim Auftraggeber liegen, ist keine gesonderte Rückgabe erforderlich. Sollten sich noch Datenkopien auf der Entwicklungsumgebung (Staging) von Rocket9 befinden, werden diese nach Vertragsende durch Rocket9 gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

13. Vertraulichkeit

Rocket9 verpflichtet sich, über alle im Rahmen des Auftrags bekannt gewordenen Daten und Informationen Stillschweigen zu bewahren. Diese Verpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

14. Recht & Gerichtsstand

Es gilt schweizerisches Recht. Gerichtsstand ist der Sitz der Rocket9 GmbH.