Zurück

Auftragsverarbeitungs vertrag.

Stand: 18. Mai 2026 · Version 1.1

1. Präambel und Parteien

Dieser Auftragsverarbeitungsvertrag (nachfolgend AVV) konkretisiert die datenschutzrechtlichen Pflichten der Parteien, die sich aus dem Hauptvertrag über die Nutzung der iglesio-Plattform ergeben. Er gilt für alle Tätigkeiten, bei denen Personen, die für iglesio handeln, personenbezogene Daten des Verantwortlichen verarbeiten. Der AVV erfüllt die Anforderungen von Art. 28 DSGVO und Art. 9 DSG (Bearbeitung durch Auftragsbearbeiter).

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO beziehungsweise Art. 5 lit. j DSG ist der Kunde, also die Kirchgemeinde, das Pfarramt, der Verein, das Werk oder die kirchliche Organisation, die iglesio auf Grundlage eines Abonnements nutzt.

Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO beziehungsweise Art. 5 lit. k DSG ist Levyn Schneider als Inhaber des Einzelunternehmens, das unter der Bezeichnung iglesio auftritt (nachfolgend iglesio).

Im Konfliktfall gehen die Regelungen dieses AVV denen des Hauptvertrags in Datenschutzfragen vor.

2. Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist der Betrieb der iglesio-Plattform zur Verwaltung kirchlicher Organisationen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Mit dessen Beendigung endet auch dieser AVV. Die Pflichten zur Löschung oder Rückgabe nach Ziffer 12 bleiben davon unberührt.

3. Art und Zweck der Verarbeitung

Die Verarbeitung dient ausschliesslich dazu, dem Verantwortlichen die iglesio-Plattform für seine kirchliche Verwaltungstätigkeit bereitzustellen. Dazu gehören insbesondere die Verwaltung von Personen und Kontakten, die Planung von Freiwilligen- und Anlasseinsätzen, die Rollen- und Rechteverwaltung sowie der Versand transaktionaler Benachrichtigungen.

Die Verarbeitung erfolgt ausschliesslich auf dokumentierte Weisung des Verantwortlichen. Weisungen werden in der Regel durch die Nutzung der Plattform erteilt. Individuelle Weisungen sind in Textform an [email protected] zu richten.

4. Art der personenbezogenen Daten

Verarbeitet werden insbesondere folgende Datenarten, soweit der Verantwortliche sie erfasst:

  • Stamm- und Kontaktdaten
  • Mitgliedschafts-, Status- und Kategoriedaten
  • Daten zu Engagement, Einsätzen und Verfügbarkeiten
  • Kommunikations- und Inhaltsdaten
  • Einwilligungs- und Audit-Daten
  • Nutzungs- und Sicherheitsdaten der Administratoren

Sofern der Verantwortliche im Rahmen seiner kirchlichen Verwaltungstätigkeit Angaben erhebt, die als besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO und Art. 5 lit. c DSG gelten (insbesondere weltanschauliche Angaben in Zusatzfeldern oder Notizen), stützt sich die Bearbeitung auf Art. 9 Abs. 2 lit. d DSGVO (Verarbeitung durch religiöse Vereinigungen im Rahmen ihrer rechtmässigen Tätigkeit) sowie auf entsprechende Rechtsgrundlagen nach DSG. Ein dediziertes Feld für die Religionszugehörigkeit wird von der Plattform nicht vorgegeben.

5. Kategorien betroffener Personen

  • Mitglieder und Angehörige der Kirchgemeinde oder Organisation
  • Gäste, Interessierte und Erstkontakte
  • Hauptamtliche Mitarbeitende
  • Ehrenamtliche und freiwillige Helfende
  • Kinder und Jugendliche, etwa in der Jugend- oder Jungschararbeit
  • Kontaktpersonen externer Organisationen und Partnergemeinden im Netzwerk
  • Formular-Einsendende auf öffentlichen Webseiten

6. Pflichten des Auftragsverarbeiters

iglesio verpflichtet sich insbesondere:

  • Daten ausschliesslich im Rahmen des Hauptvertrags und dokumentierter Weisungen zu verarbeiten und keine eigenen Zwecke zu verfolgen
  • alle zur Verarbeitung berechtigten Personen auf Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen
  • die in Ziffer 10 referenzierten technischen und organisatorischen Massnahmen einzuhalten, fortzuentwickeln und regelmässig zu überprüfen
  • den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach pflichtgemässem Ermessen gegen geltendes Datenschutzrecht verstösst
  • den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO sowie der Pflichten nach DSG angemessen zu unterstützen, insbesondere bei Datenschutz-Folgenabschätzungen und bei der Meldung von Datenschutzverletzungen
  • den Verantwortlichen bei der Bearbeitung von Betroffenenrechten durch geeignete technische Mittel zu unterstützen (Datenexport, Korrektur, Löschanträge, Sperrung)
  • dem Verantwortlichen auf Anfrage die zur Einhaltung von Art. 28 DSGVO erforderlichen Informationen bereitzustellen und Prüfungen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer zu ermöglichen
  • eine Datenschutz-Anlaufstelle zu unterhalten. Kontakt: [email protected]

7. Pflichten des Verantwortlichen

Der Verantwortliche trägt die Verantwortung für die Rechtmässigkeit der Verarbeitung. Er ist insbesondere verpflichtet:

  • die datenschutzrechtlichen Grundlagen der Verarbeitung zu prüfen und sicherzustellen, einschliesslich erforderlicher Einwilligungen der Erziehungsberechtigten bei minderjährigen Personen
  • Betroffene ordnungsgemäss zu informieren und ihre Rechte zu wahren
  • Zugangsdaten, Benutzerkonten, Rollen und Sichtbarkeiten sorgfältig zu verwalten und das Prinzip der geringsten Berechtigung anzuwenden
  • iglesio unverzüglich zu benachrichtigen, wenn er Fehler oder Unregelmässigkeiten bei der Verarbeitung feststellt
  • einen eigenen Datenschutzbeauftragten zu benennen, soweit gesetzlich erforderlich

8. Unterauftragsverarbeiter

Der Verantwortliche genehmigt mit Abschluss dieses AVV den Einsatz der unter iglesio.com/unterauftragsverarbeiter gelisteten Unterauftragsverarbeiter. iglesio informiert mindestens 30 Tage im Voraus über jede beabsichtigte Änderung. Der Verantwortliche kann innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen; führt der Widerspruch dazu, dass iglesio die Leistung nicht mehr vertragsgemäss erbringen kann, steht ein ausserordentliches Kündigungsrecht zu.

Mit allen Unterauftragsverarbeitern bestehen schriftliche Vereinbarungen mit gleichwertigen Schutzverpflichtungen. Bei Übermittlungen in Drittstaaten ohne Angemessenheitsbeschluss werden EU-Standardvertragsklauseln vereinbart.

9. Rechte betroffener Personen

iglesio unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Mitteln bei der Erfüllung seiner Pflichten nach Art. 12 bis 23 DSGVO sowie Art. 25 bis 32 DSG (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Im Produkt stehen entsprechende Funktionen für Export und Löschanträge in den Datenschutz-Einstellungen zur Verfügung.

Wenden sich Betroffene direkt an iglesio, leitet iglesio diese Anfragen unverzüglich an den Verantwortlichen weiter und reagiert nicht eigenständig in der Sache, soweit dies rechtlich zulässig ist.

10. Technische und organisatorische Massnahmen

iglesio trifft die in den technischen und organisatorischen Massnahmen beschriebenen Vorkehrungen gemäss Art. 32 DSGVO und Art. 8 DSG. Die jeweils aktuelle Fassung ist unter iglesio.com/toms abrufbar und Bestandteil dieses AVV. iglesio darf die Massnahmen fortentwickeln, sofern das Schutzniveau nicht unterschritten wird.

11. Meldung von Datenschutzverletzungen

iglesio meldet dem Verantwortlichen jede bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung. Die Meldung enthält, soweit verfügbar:

  • Art und Umfang der Verletzung
  • betroffene Kategorien und ungefähre Anzahl Betroffener und Datensätze
  • wahrscheinliche Folgen
  • bereits ergriffene oder vorgeschlagene Gegenmassnahmen
  • Kontaktdaten für Rückfragen

Die Meldung befreit den Verantwortlichen nicht von seinen eigenen Meldepflichten gegenüber der Aufsichtsbehörde und den Betroffenen.

12. Beendigung, Löschung und Rückgabe

Nach Beendigung des Hauptvertrags stellt iglesio dem Verantwortlichen während 60 Tagen einen Export aller personenbezogenen Daten in einem gängigen, maschinenlesbaren Format bereit. Nach Ablauf dieser Frist oder nach schriftlicher Bestätigung des Verantwortlichen löscht iglesio alle personenbezogenen Daten einschliesslich bestehender Kopien, soweit nicht eine Aufbewahrungspflicht nach Schweizer Recht, Unions- oder mitgliedstaatlichem Recht besteht.

Backups werden im Rahmen der dokumentierten Retention-Zyklen automatisch überschrieben. Für diesen Zeitraum bleiben die unter Ziffer 10 referenzierten Schutzmassnahmen vollständig bestehen.

13. Haftung und Schlussbestimmungen

Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags. Art. 82 DSGVO sowie Art. 39 DSG bleiben unberührt.

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Änderung dieser Formklausel.

Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt Schweizer Recht unter Ausschluss der Kollisionsnormen. Gerichtsstand ist Zürich, soweit zwingende gesetzliche Bestimmungen nichts anderes vorsehen.