Zusatzvereinbarung zur Datenverarbeitung (ZDV)
Stand: 25. Mai 2026
Diese Zusatzvereinbarung zur Datenverarbeitung (nachfolgend «ZDV») konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Nutzung der Cloud-basierten Produkte der Produktfamilie JagdDigital durch den Mandanten ergeben. Die ZDV ist integraler Bestandteil des jeweiligen Nutzungsvertrags zwischen dem Anbieter und dem Mandanten.
Sie gilt als Rahmendokument für alle Cloud-Produkte von JagdDigital, bei denen der Anbieter Personendaten im Auftrag eines Mandanten bearbeitet.
Definitionen
Anbieter: Sylvio Svensson, Kappelenstrasse 15, CH-3270 Aarberg, info@jagddigital.ch. Betreiber der Produktfamilie JagdDigital.
Mandant: Der Verein, die Organisation, die Jagdgesellschaft oder die juristische Person, die ein Cloud-Produkt von JagdDigital nutzt und über die Plattform Personendaten bearbeiten lässt. Der Mandant ist Vertragspartner des Anbieters gemäss Nutzungsvertrag.
Produkt: Das jeweilige Cloud-Produkt aus der Produktfamilie JagdDigital, das der Mandant gemäss Nutzungsvertrag einsetzt. Beispiele sind die Plattform «JagdDigital Prüfungsverwaltung» (JHP) und das Modul «Wildzählung». Weitere Produkte können hinzukommen.
Personendaten des Mandanten: Personenbezogene Daten, die im Auftrag des Mandanten durch den Anbieter im Rahmen der Nutzung eines Produkts bearbeitet werden. Dazu gehören insbesondere Daten von Mitgliedern, Teilnehmern, Hundeführern, Beobachtern, Richtern, Prüfungsleitern und anderen betroffenen Personen, die der Mandant auf der Plattform erfasst oder erfassen lässt.
Kontakt-E-Mail für Datenschutzbenachrichtigungen: Die E-Mail-Adresse des für den Datenschutz zuständigen Kontakts des Mandanten. Der Mandant stellt sicher, dass diese E-Mail-Adresse gültig und aktuell ist.
1. Gegenstand und Dauer
Der Anbieter speichert und bearbeitet im Rahmen des Nutzungsvertrags die durch den Mandanten erfassten Personendaten.
Die vorliegende ZDV wird auf unbestimmte Zeit geschlossen. Sie endet automatisch mit Beendigung des Nutzungsvertrags zwischen Anbieter und Mandant.
Diese ZDV ersetzt alle bisherigen Vereinbarungen zur Auftragsdatenbearbeitung zwischen den Parteien für das jeweilige Produkt.
2. Beschreibung der Verarbeitung
Der Anbieter übernimmt den technischen Betrieb des jeweiligen Produkts. Die Erhebung und Nutzung der Daten sowie die Bearbeitung auf fachlicher Ebene erfolgen ausschliesslich durch den Mandanten. Der Kreis der betroffenen Personen sowie die Art und der Umfang der erfassten Daten werden vom Mandanten selbst bestimmt, indem dieser die Daten auf der Plattform erhebt oder erheben lässt.
Typische Bearbeitungsvorgänge im Rahmen der JagdDigital-Cloud-Produkte umfassen je nach Produkt insbesondere:
- Erfassung und Verwaltung von Personen-, Hunde- und Prüfungsdaten
- Online-Anmeldung und Registrierung von Teilnehmern
- Erfassung von Wildbeobachtungen, Zählungen und ähnlichen Felddaten
- Geografische Verortung von Beobachtungen und Aktivitäten
- Ausstellung von Rechnungen und Zahlungsabgleich
- Ausstellung von Zeugnissen, Bescheinigungen und Reports
- Führen einer Historie pro Datensatz (Hund, Beobachtung, etc.)
- Versand von Bestätigungen und Benachrichtigungen
- Führen eines Audit-Logs zu Nachweiszwecken
Der konkrete Verarbeitungsumfang ergibt sich aus dem jeweils eingesetzten Produkt. Produktspezifische Ergänzungen können im Anhang oder in einem produktbezogenen Zusatzdokument geregelt werden.
3. Rechte und Pflichten des Mandanten
Der Mandant ist datenschutzrechtlich verantwortliche Stelle im Sinne des DSG und — soweit anwendbar — der DSGVO für die über die Plattform bearbeiteten Personendaten.
Der Mandant entscheidet über Anfragen von betroffenen Personen zu Auskunft, Löschung und Berichtigung von Daten. Der Anbieter verweist betroffene Personen für derartige Anfragen an den Mandanten oder leitet die Anfragen an diesen weiter. Der Mandant verpflichtet sich, solche Anfragen umgehend zu bearbeiten.
Der Mandant verpflichtet sich, die Prüfung der generellen Zulässigkeit und Rechtmässigkeit der Datenbearbeitung wahrzunehmen und dem Anbieter ausreichend Weisungen zu erteilen.
Der Mandant teilt dem Anbieter eine Kontakt-E-Mail für Datenschutzbenachrichtigungen mit und stellt sicher, dass diese gültig und aktuell ist.
4. Weisungen des Mandanten
Der Mandant beauftragt den Anbieter, Personendaten des Mandanten ausschliesslich für Datenverarbeitungsdienste im Rahmen des jeweiligen Produkts und für damit verbundenen technischen Support zu bearbeiten.
Der Anbieter verpflichtet sich, Personendaten des Mandanten ausschliesslich im Rahmen der vertraglich festgelegten Weisungen des Mandanten zu bearbeiten.
Der Anbieter wird den Weisungen des Mandanten folgen, ausser eine gesetzliche Regelung, die für den Anbieter gilt, verpflichtet diesen zu einer abweichenden Bearbeitung. In diesem Fall informiert der Anbieter den Mandanten, es sei denn, gesetzliche Regelungen verbieten dies.
Der Anbieter kann verlangen, dass Weisungen in einer bestimmten Form erteilt werden. Die Schriftform ist in jedem Fall gültig.
5. Vertraulichkeit
Der Anbieter verpflichtet sich, die Daten des Mandanten vertraulich zu behandeln.
Sofern der Anbieter Mitarbeiter oder Unterauftragnehmer einsetzt, verpflichtet er diese ebenfalls zur vertraulichen Behandlung der Daten des Mandanten.
6. Technische und organisatorische Massnahmen
Die technischen und organisatorischen Massnahmen (TOM) zum Schutz der Personendaten sind im separaten Dokument «Technische und organisatorische Massnahmen» beschrieben, welches integraler Bestandteil dieser ZDV ist.
Die TOM gilt als Rahmendokument für alle Cloud-Produkte der Produktfamilie JagdDigital. Produktspezifische Ergänzungen oder Abweichungen können im jeweiligen produktbezogenen Anhang dokumentiert werden.
Der Anbieter kann die technischen und organisatorischen Massnahmen von Zeit zu Zeit anpassen, um neuen Entwicklungen Rechnung zu tragen, sofern das Schutzniveau dadurch nicht reduziert wird.
Bei Fragen zum Datenschutz und zu den technischen und organisatorischen Massnahmen kann sich der Mandant jederzeit an den Anbieter wenden. Der Anbieter verpflichtet sich, die entsprechenden Auskünfte zu erteilen und die Umsetzung der Massnahmen auf Anfrage nachzuweisen.
7. Speicherort und Datentransfer
Die produktiven Personendaten des Mandanten werden ausschliesslich in Rechenzentren innerhalb der Schweiz und des europäischen Wirtschaftsraums (EWR) gespeichert.
Im Einzelnen:
- Cloud Storage, Cloud Functions, Programmcode: Rechenzentrum Zürich (
europe-west6, Schweiz) - Datenbank (Firestore): Multi-Region
eur3(Rechenzentren Belgien und Niederlande, mit Witness-Replik in Finnland) - Benutzer-Authentifizierung (E-Mail-Adressen, Passwort-Hashes): global verteilt auf Infrastruktur von Google, mit Primärstandort USA. Für diesen Teil der Datenbearbeitung werden die vertraglichen Garantien und Standardvertragsklauseln von Google Ireland Limited angewendet.
Produktspezifische Abweichungen vom Standardspeicherort werden im jeweiligen produktbezogenen Anhang dokumentiert.
Unterauftragsverarbeiter können Personendaten in andere Länder transferieren, sofern dies zur Leistungserbringung notwendig ist und ein angemessenes Schutzniveau gewährleistet wird.
8. Unterauftragsverarbeiter
Der Anbieter kann Unterauftragsverhältnisse eingehen, insbesondere mit:
- Rechenzentrumsbetreibern und Cloud-Anbietern
- Anbietern von Zahlungsdienstleistungen
- Anbietern für Kommunikationslösungen (E-Mail-Versand, SMS)
- Anbietern für Sicherheits- und Schutzfunktionen (z. B. Bot-Schutz, Spam-Abwehr)
Unterauftragnehmer werden sorgfältig ausgewählt unter besonderer Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Massnahmen. Es werden nur diejenigen Daten an Unterauftragnehmer übertragen, die für die Leistungserbringung notwendig sind.
Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter wird dem Mandanten auf Anfrage zur Verfügung gestellt und ist zudem im Anhang zu dieser ZDV aufgeführt.
Wird ein neuer Unterauftragsverarbeiter hinzugefügt, informiert der Anbieter den Mandanten mindestens zehn Tage vor dem Einsatz. Die Benachrichtigung erfolgt an die Kontakt-E-Mail für Datenschutzbenachrichtigungen.
Der Mandant kann jeden neuen Unterauftragsverarbeiter ablehnen. Im Fall einer Ablehnung kann der Mandant den Nutzungsvertrag innerhalb von 90 Tagen ab der Benachrichtigung kündigen. Dieses Kündigungsrecht ist die einzige Möglichkeit des Mandanten, einen Unterauftragsverarbeiter abzulehnen.
9. Unterstützung bei Betroffenenrechten
Der Anbieter unterstützt den Mandanten bei Anfragen von betroffenen Personen zu Löschung, Berichtigung und Auskunft.
Der Mandant kann über die Funktionen der Plattform selbst Daten bearbeiten und löschen. Daten können in der Änderungshistorie (Audit-Log) verfügbar bleiben, um Nachvollziehbarkeit zu gewährleisten. Der Anbieter löscht die Änderungshistorie auf Verlangen des Mandanten, sofern keine gesetzlichen Pflichten entgegenstehen.
10. Löschung der Daten nach Vertragsende
Nach Beendigung des Nutzungsvertrags beauftragt der Mandant den Anbieter, alle Personendaten des Mandanten zu löschen.
Der Anbieter erfüllt diesen Auftrag sobald technisch praktikabel, innerhalb einer maximalen Frist von 18 Monaten ab Vertragsende. Diese Frist trägt der Tatsache Rechnung, dass Backups rotierend gespeichert werden und nicht selektiv pro Mandant bereinigt werden können. Gesetzliche Aufbewahrungspflichten bleiben vorbehalten.
Bis die Daten vollständig gelöscht sind, sorgt der Anbieter auch nach Ablauf des Nutzungsvertrags für die Einhaltung des Datenschutzes wie während der Vertragslaufzeit.
Auf Wunsch stellt der Anbieter dem Mandanten vor der Löschung einen Export der Daten in einem gängigen, maschinenlesbaren Format zur Verfügung.
11. Benachrichtigung bei Datenschutzvorfällen
Erhält der Anbieter Kenntnis von einem Datenschutzvorfall, der Personendaten des Mandanten betrifft, wird der Anbieter:
a) umgehend vernünftige Schritte unternehmen, um den Schaden zu begrenzen und die Personendaten des Mandanten zu sichern,
b) den Mandanten umgehend und ohne unangemessene Verzögerung benachrichtigen. Die Benachrichtigung erfolgt an die Kontakt-E-Mail für Datenschutzbenachrichtigungen.
Die Benachrichtigung enthält, soweit möglich und verhältnismässig:
- Beschreibung der Art des Vorfalls
- Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- Wahrscheinliche Folgen
- Bereits ergriffene oder geplante Gegenmassnahmen
12. Produktspezifische Ergänzungen
Für einzelne Cloud-Produkte können produktspezifische Ergänzungen oder Abweichungen zu dieser Rahmen-ZDV gelten. Solche Ergänzungen werden im jeweiligen produktbezogenen Anhang dokumentiert und sind Bestandteil dieser ZDV für das betreffende Produkt.
13. Änderungen dieser Vereinbarung
Beabsichtigt der Anbieter, diese ZDV zu ändern, benachrichtigt er den Mandanten mindestens 30 Tage vor Inkrafttreten der Änderung. Die Benachrichtigung erfolgt an die Kontakt-E-Mail für Datenschutzbenachrichtigungen.
Lehnt der Mandant die Änderung ab, kann er den Nutzungsvertrag innerhalb von 90 Tagen ab der Benachrichtigung kündigen. Dieses Kündigungsrecht ist die einzige Möglichkeit des Mandanten, eine Vertragsänderung abzulehnen.
14. Schlussbestimmungen
Sollte eine Bestimmung dieser ZDV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen am nächsten kommt.
Für diese ZDV gilt schweizerisches Recht. Gerichtsstand ist der Sitz des Anbieters, soweit gesetzlich zulässig.
Anhang — Liste der Unterauftragsverarbeiter
Stand: 25. Mai 2026
Aktiv eingesetzt
| Unterauftragsverarbeiter | Zweck | Speicherort |
|---|---|---|
| Google Ireland Limited (Google Cloud / Firebase) | Betrieb der Cloud-Produkte: Datenbank, Speicherung, Serverfunktionen, Authentifizierung | Schweiz (europe-west6) und EWR (eur3: Belgien, Niederlande, Finnland); Authentifizierung global (Primärstandort USA) |
| Infomaniak Network SA | Hosting der Websites jagddigital.ch und jagdhundepruefung.ch |
Genf, Schweiz |
| Cloudflare, Inc. (Turnstile) | Bot-Schutz und Missbrauchsabwehr bei öffentlichen Anmeldeformularen | Global verteilt, Primärstandort USA; Datenbearbeitung nach Cloudflare Data Processing Addendum mit Standardvertragsklauseln |
Geplant
Die folgenden Dienste sind im Rahmen der Weiterentwicklung der Produktfamilie vorgesehen. Vor dem produktiven Einsatz erfolgt eine Benachrichtigung des Mandanten gemäss Abschnitt 8 dieser ZDV.
| Unterauftragsverarbeiter | Zweck | Speicherort |
|---|---|---|
| Brevo SAS oder Twilio Sendgrid Inc. | Transaktionaler E-Mail-Versand (Anmeldebestätigungen, Rechnungen, Benachrichtigungen) | EWR (Brevo: Frankreich) bzw. USA mit Standardvertragsklauseln (Sendgrid) |
Stand: 25. Mai 2026