Auftragsverarbeitungsvereinbarung (AVV / DPA)
Gemäss nFADG Art. 9 und DSGVO Art. 28 · Stand: April 2026
1. Parteien
Auftraggeber: Der Betrieb, welcher Gastrora einsetzt (Verantwortlicher im Sinn von Art. 5 lit. j nFADG / Art. 24 DSGVO).
Auftragsverarbeiterin:
Haus der Finanzen GmbH
Freiburgstrasse 443, 3018 Bern
UID/MWST: CHE-462.314.248 MWST
Kontakt: info@gastrora.ch
2. Gegenstand der Auftragsverarbeitung
Gastrora bearbeitet Personendaten im Auftrag des Kunden ausschliesslich zum Zweck des Betriebs der Gastrora-Plattform (Schichtplanung, Arbeitszeitkontrolle, WhatsApp-Kommunikation, Saldo-Berechnung). Die Bearbeitung erfolgt nach Weisung des Auftraggebers.
3. Art der Personendaten und Kategorien betroffener Personen
Betroffene Personen: Mitarbeiter des Auftraggebers, Administratoren.
Kategorien: Name, Kontaktdaten (Telefon, E-Mail), Anstellungsdaten (Pensum, Lohn, Anstellungsbeginn), Arbeitszeit-Daten (Schichten, Erfassungen, Pausen, Abwesenheiten), Audit-Daten.
4. Technische & organisatorische Massnahmen (TOM)
- TLS-Verschlüsselung für alle Datenübertragungen (HTTPS)
- Passwort-Hashing (bcrypt/argon2 via Supabase Auth)
- Row Level Security (RLS) auf allen Tabellen
- Zugriff nur für berechtigte Mitglieder des Betriebs (company_members)
- Tägliche verschlüsselte Backups in Supabase
- Audit-Trail für Zeit-Korrekturen (wer, wann, was)
- Physische & logische Trennung zu anderen Kunden (Multi-Tenant via RLS)
5. Unterauftragsverarbeiter
Der Auftraggeber stimmt der Einschaltung folgender Unterauftragsverarbeiter zu:
| Dienst | Zweck | Standort |
|---|---|---|
| Supabase | Datenbank, Auth, Storage | Frankfurt, EU |
| Vercel Inc. | App-Hosting, Cron-Jobs | EU (fra1) / USA (iad1) |
| Meta Platforms Ireland Ltd. | WhatsApp Cloud API (Nachrichtenversand) | Irland, EU |
| Anthropic Ireland Ltd. | Optionale NLP-Klassifikation (Claude API) | USA / EU |
6. Ort der Datenverarbeitung
Die primäre Datenhaltung erfolgt innerhalb der EU (Supabase Frankfurt). Übermittlungen in die USA (Vercel, Anthropic) erfolgen auf Grundlage der EU-Standardvertragsklauseln und — soweit anwendbar — des EU-US Data Privacy Framework.
7. Rechte der betroffenen Personen
Die Auftragsverarbeiterin unterstützt den Auftraggeber bei der Erfüllung von Auskunfts-, Berichtigungs-, Lösch- und Sperrpflichten gegenüber den betroffenen Personen. Anfragen an info@gastrora.ch werden innert 30 Tagen bearbeitet.
8. Löschung & Rückgabe
Nach Beendigung des Vertragsverhältnisses werden alle Personendaten des Auftraggebers auf dessen Wahl entweder gelöscht oder in einem strukturierten, gängigen Format zurückgegeben, unter Beachtung gesetzlicher Aufbewahrungspflichten (Art. 46 ArG: 5 Jahre für Arbeitszeit-Unterlagen).
9. Meldepflicht bei Datenpannen
Die Auftragsverarbeiterin meldet dem Auftraggeber Datenschutzverletzungen unverzüglich, spätestens jedoch innert 72 Stunden nach Kenntnisnahme (Art. 24 nFADG / Art. 33 DSGVO).
10. Schriftform
Diese AVV ist Bestandteil der AGB der Gastrora-Nutzungsvereinbarung. Änderungen bedürfen der Schriftform oder der elektronischen Zustimmung im Dashboard.