Auftragsverarbeitungsvereinbarung

Letzte Aktualisierung: 01.04.2026 Diese Auftragsverarbeitungsvereinbarung (“AVV”) ist ein Zusatz zum Service Agreement (“Vereinbarung”) zwischen der Ruler GmbH (“Tale”, “wir”, “uns”, “unsere”) und der Entität oder Person, die die Vereinbarung abschließt (“Kunde”, “du”, “dein”). Diese AVV gilt, soweit Tale im Rahmen der Leistungserbringung gemäß der Vereinbarung personenbezogene Daten im Auftrag des Kunden verarbeitet. Mit Abschluss der Vereinbarung schließt der Kunde diese AVV im eigenen Namen und, soweit nach dem anwendbaren Datenschutzrecht erforderlich, im Namen seiner autorisierten Nutzer und verbundenen Unternehmen ab. Diese AVV tritt mit dem Datum der Vereinbarung in Kraft.

1. Definitionen

Begriffe in Großschreibung, die hier nicht definiert sind, haben die in der Vereinbarung festgelegten Bedeutungen. “Anwendbares Datenschutzrecht” meint das Schweizer Bundesgesetz über den Datenschutz (FADP/nDSG) samt Verordnungen, die EU-Datenschutz-Grundverordnung (DSGVO) und jede andere anwendbare Datenschutzgesetzgebung, jeweils in der aktuellen Fassung. “Verantwortlicher” meint die Entität, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Für diese AVV ist der Kunde der Verantwortliche. “Datenschutzvorfall” meint eine Verletzung der Sicherheit, die zur zufälligen oder widerrechtlichen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die Tale im Auftrag des Kunden verarbeitet. “Betroffene Person” meint die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen. “Personenbezogene Daten” meint alle Informationen über eine identifizierte oder identifizierbare natürliche Person, die Tale im Auftrag des Kunden im Zusammenhang mit den Leistungen verarbeitet. “Verarbeitung” meint jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, ob automatisiert oder nicht — einschließlich Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Änderung, Abfrage, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung, Abgleich, Kombination, Einschränkung, Löschung oder Zerstörung. “Auftragsverarbeiter” meint die Entität, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Für diese AVV ist Tale der Auftragsverarbeiter. “Unterauftragsverarbeiter” meint jede Dritt-Partei, die Tale für die Verarbeitung personenbezogener Daten im Auftrag des Kunden einsetzt.

2. Umfang und Zweck der Verarbeitung

2.1 Rollen

Der Kunde ist Verantwortlicher und Tale ist Auftragsverarbeiter hinsichtlich der unter dieser AVV verarbeiteten personenbezogenen Daten. Tale verarbeitet die Daten ausschließlich zur Bereitstellung und Pflege der Leistungen gemäß der Vereinbarung und nach den dokumentierten Weisungen des Kunden.

2.2 Details der Verarbeitung

Element	Beschreibung
Zweck der Verarbeitung	Bereitstellung der Tale-Plattform und verbundener Leistungen gemäß Vereinbarung, einschließlich KI-gestützter Workflow-Automatisierung, Konversations-Verwaltung und zugehöriger Betriebsfunktionen.
Art der Verarbeitung	Speichern, Abrufen, Organisieren, Strukturieren, Berechnen, Übermitteln und Anzeigen von Daten, soweit für die Leistungserbringung erforderlich.
Kategorien Betroffener	vom Kunden bestimmt; kann Mitarbeitende, Endnutzer, Kunden, Auftragnehmer, Geschäftskontakte und andere Personen des Kunden umfassen, deren Daten dieser in die Leistungen einspeist.
Kategorien personenbezogener Daten	vom Kunden bestimmt; kann Namen, E-Mail-Adressen, Telefonnummern, Firmendaten, Nachrichteninhalte, Konversationsdaten, Workflow-Daten, Dokumente und weitere Daten umfassen.
Dauer der Verarbeitung	Für die Laufzeit der Vereinbarung, zuzüglich einer Frist zur Rückgabe oder Löschung personenbezogener Daten gemäß Abschnitt 12.

2.3 Pflichten des Kunden

Der Kunde stellt sicher: a) dass er eine gültige Rechtsgrundlage nach anwendbarem Datenschutzrecht für die Verarbeitung personenbezogener Daten und für die Beauftragung von Tale hat; b) dass er gegenüber den Betroffenen alle notwendigen Informationen bereitgestellt und alle notwendigen Einwilligungen oder Berechtigungen eingeholt hat; c) dass seine Weisungen an Tale dem anwendbaren Datenschutzrecht entsprechen; d) dass er allein für die Genauigkeit, Qualität und Rechtmäßigkeit der übermittelten personenbezogenen Daten verantwortlich ist.

3. Pflichten von Tale als Auftragsverarbeiter

Tale verpflichtet sich: a) personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Kunden — einschließlich dieser AVV und der Vereinbarung — zu verarbeiten, soweit nicht gesetzlich anders vorgeschrieben; in letzterem Fall wird Tale den Kunden vor der Verarbeitung darüber informieren (sofern gesetzlich zulässig); b) sicherzustellen, dass zur Verarbeitung berechtigte Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c) geeignete technische und organisatorische Maßnahmen zum Schutz der Daten umzusetzen und aufrechtzuerhalten (siehe Abschnitt 6); d) keinen Unterauftragsverarbeiter ohne Einhaltung von Abschnitt 5 einzusetzen; e) unter Berücksichtigung der Art der Verarbeitung den Kunden mit angemessenen technischen und organisatorischen Maßnahmen bei der Beantwortung von Anfragen Betroffener zu unterstützen (Abschnitt 8); f) den Kunden bei der Einhaltung seiner Pflichten zu Datensicherheit, Meldung von Vorfällen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden zu unterstützen; g) nach Wahl des Kunden alle personenbezogenen Daten am Ende der Leistungserbringung zu löschen oder zurückzugeben (Abschnitt 12); h) dem Kunden alle Informationen bereitzustellen, die er zur Einhaltung der Pflichten aus dieser AVV benötigt, und Prüfungen zu ermöglichen und daran mitzuwirken (Abschnitt 9).

4. Weisungen des Kunden

4.1 Dokumentierte Weisungen

Der Kunde weist Tale an, personenbezogene Daten in dem Umfang zu verarbeiten, der zur Leistungserbringung gemäß Vereinbarung erforderlich ist. Zusätzliche oder abweichende Weisungen müssen schriftlich vereinbart werden.

4.2 Meldung widersprüchlicher Weisungen

Wird Tale bekannt, dass eine Weisung des Kunden gegen anwendbares Datenschutzrecht verstößt, informiert Tale den Kunden unverzüglich und kann die betroffene Verarbeitung aussetzen, bis eine rechtmäßige Weisung vorliegt.

5. Unterauftragsverarbeiter

5.1 Allgemeine Genehmigung

Der Kunde erteilt Tale eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern. Tale hält eine aktuelle Liste der Unterauftragsverarbeiter, die auf Anfrage erhältlich ist.

5.2 Benachrichtigung bei Änderungen

Tale informiert den Kunden mindestens 30 Tage vor dem Einsatz eines neuen oder dem Austausch eines bestehenden Unterauftragsverarbeiters, indem die Liste aktualisiert und — wo der Kunde entsprechende Benachrichtigungen abonniert hat — per E-Mail informiert wird.

5.3 Widerspruchsrecht

Der Kunde kann einem neuen oder ersetzenden Unterauftragsverarbeiter innerhalb von 30 Tagen nach Erhalt der Benachrichtigung schriftlich widersprechen. Der Widerspruch muss auf angemessenen Datenschutzgründen beruhen. Bei Widerspruch bemüht sich Tale mit zumutbarem wirtschaftlichen Aufwand um eine alternative Lösung, die den widersprochenen Unterauftragsverarbeiter vermeidet. Wird innerhalb von 30 Tagen keine Einigung erzielt, kann jede Partei die betroffenen Leistungen kündigen.

5.4 Pflichten der Unterauftragsverarbeiter

Setzt Tale einen Unterauftragsverarbeiter ein, so verpflichtet sich Tale: a) dem Unterauftragsverarbeiter schriftlich Datenschutzpflichten aufzuerlegen, die nicht hinter denen dieser AVV zurückbleiben; b) gegenüber dem Kunden für die Leistung des Unterauftragsverarbeiters uneingeschränkt zu haften.

6. Technische und organisatorische Maßnahmen

6.1 Sicherheitsmaßnahmen

Tale implementiert und pflegt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gegen unbefugte oder widerrechtliche Verarbeitung und gegen zufälligen Verlust, Zerstörung, Schädigung oder Offenlegung, darunter nach Bedarf: a) Verschlüsselung bei Übertragung und Speicherung; b) Maßnahmen zur dauerhaften Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste; c) Maßnahmen zur rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugangs zu Daten nach einem physischen oder technischen Vorfall; d) Zugriffskontrollen, die sicherstellen, dass Daten nur autorisierten Personen nach dem Need-to-Know-Prinzip zugänglich sind; e) regelmäßige Tests, Bewertungen und Überprüfungen der Wirksamkeit der Maßnahmen; f) physische Sicherheitsmaßnahmen für Rechenzentren und Infrastruktur; g) Security-Awareness-Schulungen der Mitarbeitenden.

6.2 Zertifizierungen

Tale hält ISO-27001- und SOC-2-Type-II-Zertifizierungen. Tale erhält diese (oder gleichwertige Standards) aufrecht und weist dem Kunden auf zumutbare Anfrage eine aktuelle Zertifizierung nach.

6.3 Aktualisierungen

Tale kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren, sofern der Gesamtschutz der personenbezogenen Daten nicht wesentlich sinkt.

7. Meldung von Datenschutzvorfällen

7.1 Meldung an den Kunden

Tale meldet dem Kunden jeden Datenschutzvorfall, der personenbezogene Daten betrifft, die im Auftrag des Kunden verarbeitet werden, unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme.

7.2 Inhalt der Meldung

Die Meldung enthält, soweit zum Zeitpunkt vernünftigerweise verfügbar: a) eine Beschreibung der Art des Vorfalls, soweit möglich einschließlich Kategorien und ungefährer Zahl der betroffenen Personen sowie der betroffenen Datensätze; b) Kontaktdaten der Anlaufstelle von Tale für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen; d) eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Vorfalls, einschließlich Maßnahmen zur Minderung möglicher negativer Auswirkungen.

7.3 Kooperation

Tale kooperiert mit dem Kunden und unternimmt zumutbare wirtschaftliche Schritte bei Untersuchung, Eindämmung und Behebung des Vorfalls.

7.4 Grenzen der Meldung

Die Meldung eines Datenschutzvorfalls durch Tale stellt kein Schuldeingeständnis dar. Der Kunde ist allein dafür verantwortlich, zu bestimmen, ob ein Vorfall Meldepflichten nach anwendbarem Datenschutzrecht auslöst, und diese zu erfüllen.

8. Rechte Betroffener

8.1 Unterstützung

Tale unterstützt den Kunden — unter Berücksichtigung der Art der Verarbeitung — mit angemessenen technischen und organisatorischen Maßnahmen bei der Beantwortung von Anfragen Betroffener zur Wahrnehmung ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

8.2 Weiterleitung von Anfragen

Erhält Tale eine Anfrage direkt von einer betroffenen Person zu Daten, die im Auftrag des Kunden verarbeitet werden, leitet Tale die Anfrage unverzüglich an den Kunden weiter und antwortet nicht direkt, es sei denn, der Kunde weist dies an oder geltendes Recht verlangt es.

8.3 Kosten

Erfordert die Unterstützung bei Anfragen Betroffener einen erheblichen Aufwand, der über das vernünftigerweise zu Erwartende hinausgeht, kann Tale dem Kunden eine angemessene Gebühr entsprechend den Verwaltungskosten in Rechnung stellen.

9. Audits und Prüfungen

9.1 Audit-Berichte

Tale stellt dem Kunden auf zumutbare Anfrage und nicht mehr als einmal jährlich Kopien relevanter Dritt-Audit-Berichte oder Zertifizierungen (z. B. SOC-2-Type-II-Berichte, ISO-27001-Zertifikate) zur Verfügung, um die Einhaltung der Pflichten aus dieser AVV zu belegen.

9.2 Zusätzliche Audits

Hält der Kunde die nach Ziffer 9.1 gelieferten Informationen vernünftigerweise für unzureichend, kann er ein zusätzliches Audit verlangen. Solche Audits sind: a) auf Kosten des Kunden durchzuführen (es sei denn, das Audit deckt einen wesentlichen Verstoß von Tale auf); b) mit einer angemessenen Vorankündigung von mindestens 30 Tagen anzukündigen; c) während regulärer Geschäftszeiten und unter Minimierung der Beeinträchtigung des Tale-Betriebs durchzuführen; d) durch den Kunden oder einen unabhängigen Dritt-Auditor durchzuführen, der kein Wettbewerber von Tale ist und angemessenen Vertraulichkeitspflichten unterliegt; e) im Umfang auf die Verarbeitung der personenbezogenen Daten des Kunden beschränkt.

9.3 Vertraulichkeit

Alle aus Audits erhaltenen Berichte, Feststellungen und Informationen gelten als vertrauliche Informationen von Tale und unterliegen den Vertraulichkeitsbestimmungen der Vereinbarung.

10. Internationale Datenübermittlung

10.1 Verarbeitungs-Standorte

Tale verarbeitet personenbezogene Daten primär in der Schweiz. Deployt der Kunde Tale auf eigener Infrastruktur (on-premises oder Private Cloud), bestimmt der Kunde den Verarbeitungsort.

10.2 Übermittlung in angemessene Länder

Tale kann Daten in Länder verarbeiten, die der Schweizer Bundesrat nach Art. 16 FADP oder die Europäische Kommission nach Art. 45 DSGVO als Länder mit angemessenem Schutzniveau anerkannt hat.

10.3 Schutz bei sonstigen Übermittlungen

Tale übermittelt personenbezogene Daten nicht in Länder ohne angemessenes Schutzniveau, es sei denn, es bestehen geeignete Schutzmaßnahmen wie von der Europäischen Kommission genehmigte Standardvertragsklauseln oder vom EDÖB anerkannte Mechanismen.

10.4 Transparenz

Die aktuellen Verarbeitungsorte und etwaigen Transfermechanismen sind in der unter 5.1 genannten Unterauftragsverarbeiter-Liste beschrieben.

11. Vertraulichkeit

Tale behandelt alle unter dieser AVV verarbeiteten personenbezogenen Daten als vertrauliche Informationen. Diese Pflicht besteht auch nach Beendigung dieser AVV und der Vereinbarung fort. Tale stellt sicher, dass alle Personen mit Zugriff angemessenen Vertraulichkeitspflichten unterliegen.

12. Aufbewahrung und Löschung

12.1 Während der Vereinbarung

Tale bewahrt personenbezogene Daten für die Dauer der Vereinbarung und gemäß den dokumentierten Weisungen des Kunden auf.

12.2 Bei Beendigung

Bei Beendigung oder Ablauf der Vereinbarung wird Tale auf schriftlichen Wunsch des Kunden: a) alle personenbezogenen Daten in einem gängigen, maschinenlesbaren Format an den Kunden zurückgeben oder b) alle personenbezogenen Daten sicher löschen und dies schriftlich bestätigen. Stellt der Kunde innerhalb von 30 Tagen nach Beendigung keinen schriftlichen Antrag, löscht Tale alle personenbezogenen Daten innerhalb von 90 Tagen nach Beendigung.

12.3 Gesetzliche Aufbewahrung

Verlangt geltendes Recht von Tale, bestimmte Daten über die Beendigung hinaus aufzubewahren, informiert Tale den Kunden, beschränkt die weitere Verarbeitung auf das gesetzlich Erforderliche und schützt die Daten weiterhin gemäß dieser AVV.

13. Haftung

Die Haftung aus dieser AVV unterliegt den Haftungsbeschränkungen und -ausschlüssen der Vereinbarung, soweit nach anwendbarem Datenschutzrecht zulässig. Weder diese AVV noch die Vereinbarung schließen die Haftung einer Partei für Schäden aus vorsätzlichem oder grob fahrlässigem Verstoß gegen anwendbares Datenschutzrecht aus oder beschränken sie.

14. Verhältnis zur Vereinbarung

14.1 Vorrang

Bei Widersprüchen zwischen dieser AVV und der Vereinbarung gehen die Bestimmungen dieser AVV hinsichtlich der Verarbeitung personenbezogener Daten vor.

14.2 Einbeziehung

Diese AVV ist Bestandteil der Vereinbarung. Alle Bestimmungen der Vereinbarung, die durch diese AVV nicht ausdrücklich geändert werden, bleiben vollumfänglich bestehen.

14.3 Salvatorische Klausel

Ist eine Bestimmung dieser AVV ungültig oder nicht durchsetzbar, bleiben die übrigen vollumfänglich bestehen.

15. Anwendbares Recht und Gerichtsstand

Diese AVV unterliegt dem materiellen Recht der Schweiz, unter Ausschluss der Kollisionsnormen und des UN-Übereinkommens über Verträge über den internationalen Warenkauf (CISG). Streitigkeiten aus oder im Zusammenhang mit dieser AVV unterliegen der ausschließlichen Zuständigkeit der zuständigen Gerichte des Kantons Bern, Schweiz, soweit nicht zwingendes Recht entgegensteht.

16. Änderungen

Tale kann diese AVV von Zeit zu Zeit aktualisieren, um Änderungen der Verarbeitungspraktiken oder des anwendbaren Datenschutzrechts abzubilden. Wesentliche Änderungen werden dem Kunden vorab mitgeteilt. Die fortgesetzte Nutzung der Leistungen nach Inkrafttreten der Änderungen gilt als Annahme der aktualisierten AVV.

17. Kontakt

Bei Fragen zu dieser AVV oder zu Verarbeitungstätigkeiten erreichst du uns über unser Kontaktformular. Ruler GmbH Seestrasse 4 3700 Spiez Schweiz

Start

Cloud

Self-hosted

Platform

Tutorials

Entwicklung

Rechtliches

​1. Definitionen

​2. Umfang und Zweck der Verarbeitung

​2.1 Rollen

​2.2 Details der Verarbeitung

​2.3 Pflichten des Kunden

​3. Pflichten von Tale als Auftragsverarbeiter

​4. Weisungen des Kunden

​4.1 Dokumentierte Weisungen

​4.2 Meldung widersprüchlicher Weisungen

​5. Unterauftragsverarbeiter

​5.1 Allgemeine Genehmigung

​5.2 Benachrichtigung bei Änderungen

​5.3 Widerspruchsrecht

​5.4 Pflichten der Unterauftragsverarbeiter

​6. Technische und organisatorische Maßnahmen

​6.1 Sicherheitsmaßnahmen

​6.2 Zertifizierungen

​6.3 Aktualisierungen

​7. Meldung von Datenschutzvorfällen

​7.1 Meldung an den Kunden

​7.2 Inhalt der Meldung

​7.3 Kooperation

​7.4 Grenzen der Meldung

​8. Rechte Betroffener

​8.1 Unterstützung

​8.2 Weiterleitung von Anfragen

​8.3 Kosten

​9. Audits und Prüfungen

​9.1 Audit-Berichte

​9.2 Zusätzliche Audits

​9.3 Vertraulichkeit

​10. Internationale Datenübermittlung

​10.1 Verarbeitungs-Standorte

​10.2 Übermittlung in angemessene Länder

​10.3 Schutz bei sonstigen Übermittlungen

​10.4 Transparenz

​11. Vertraulichkeit

​12. Aufbewahrung und Löschung

​12.1 Während der Vereinbarung

​12.2 Bei Beendigung

​12.3 Gesetzliche Aufbewahrung

​13. Haftung

​14. Verhältnis zur Vereinbarung

​14.1 Vorrang

​14.2 Einbeziehung

​14.3 Salvatorische Klausel

​15. Anwendbares Recht und Gerichtsstand

​16. Änderungen

​17. Kontakt