Dieser Auftragsverarbeitungsvertrag (nachfolgend «AVV») regelt die Verarbeitung personenbezogener Daten durch die Wealthior Group GmbH («Auftragsverarbeiter») im Auftrag des Kunden (Hotelbetrieb, nachfolgend «Verantwortlicher») bei der Nutzung des Dienstes Pernotto. Er konkretisiert die Anforderungen von Art. 9 revDSG sowie, soweit anwendbar, von Art. 28 DSGVO.

Dieser AVV ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen und gilt automatisch ab Vertragsschluss zwischen dem Verantwortlichen und Wealthior. Eine separate Unterschrift ist nicht erforderlich.

1. Parteien

Verantwortlicher: Der Kunde gemäss den AGB. Der Kunde ist alleinverantwortlich für die Rechtmässigkeit der von ihm in Pernotto erfassten Personendaten, insbesondere der Gästedaten.

Auftragsverarbeiter: Wealthior Group GmbH, Sinserstrasse 67, 6330 Cham, Schweiz; Kontakt: info@pernotto.ch.

2. Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung des Pernotto- Mini-PMS-Dienstes für den Verantwortlichen. Die Verarbeitung umfasst die Speicherung, Strukturierung, Verknüpfung, Auswertung, Anzeige sowie den Versand von Personendaten in dem Umfang, der für die im Dienst angebotene Funktionalität notwendig ist.

Die Dauer der Verarbeitung entspricht der Vertragsdauer gemäss AGB zuzüglich einer Übergangsfrist von 30 Tagen für den Datenexport sowie der gesetzlich vorgeschriebenen Aufbewahrungsfristen (insbesondere Art. 958f OR).

3. Art und Zweck der Verarbeitung

Verwaltung von Gästestammdaten und Buchungen;
Berechnung und Erstellung von Rechnungen einschliesslich der Schweizer QR-Rechnung;
Erstellung der Beherbergungsmeldung gemäss kantonalem Recht;
Versand von Rechnungs-E-Mails an Gäste und an die hinterlegte Kontaktadresse des Hotelbetriebs.

4. Kategorien betroffener Personen und Datenarten

Betroffene Personen: Gäste des Verantwortlichen, Mitarbeitende des Verantwortlichen, Geschäftspartnerinnen und Geschäftspartner.

Datenarten:

Stammdaten (Vor- und Nachname, Geburtsdatum, Geschlecht, Adresse, Nationalität);
Kontaktdaten (E-Mail-Adresse, Telefonnummer);
Ausweisdaten (Art und Nummer des Identitätsdokuments);
Aufenthalts- und Buchungsdaten (Anreise, Abreise, Zimmer, Personenzahl, Verpflegung, Konsumationen);
Rechnungs- und Zahlungsdaten (Beträge, IBAN, Zahlungs-Status);
Notizen des Hotelbetriebs zum Aufenthalt.

Soweit der Verantwortliche besondere Kategorien personenbezogener Daten (Art. 5 lit. c revDSG, Art. 9 DSGVO) im Dienst erfasst, geschieht dies auf seine alleinige Verantwortung. Der Verantwortliche wird Pernotto vorab informieren, falls solche Daten regelmässig verarbeitet werden sollen.

5. Pflichten des Auftragsverarbeiters

Wealthior verpflichtet sich:

Personendaten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Die Konfiguration des Dienstes und die im AGB beschriebenen Funktionen gelten als laufende Weisungen.
Die mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten.
Geeignete technische und organisatorische Massnahmen (TOM) gemäss Ziffer 7 zu treffen.
Den Verantwortlichen bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Anfragen betroffener Personen mit angemessenen Mitteln zu unterstützen.
Den Verantwortlichen bei der Wahrnehmung seiner Pflichten zur Datensicherheit, zur Meldung von Datenschutzverletzungen und zur Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen.
Verletzungen des Datenschutzes unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme an den Verantwortlichen zu melden, mit allen für eine Meldung an die Aufsichtsbehörde erforderlichen Informationen.

6. Pflichten des Verantwortlichen

Der Verantwortliche stellt sicher, dass für die Verarbeitung der in Pernotto erfassten Daten eine ausreichende Rechtsgrundlage besteht und die betroffenen Personen über die Verarbeitung informiert sind.
Der Verantwortliche informiert seine Gäste in seiner eigenen Datenschutzerklärung über die Nutzung von Pernotto als Auftragsverarbeiter sowie über die nach Ziffer 9 eingesetzten Subprozessoren.
Der Verantwortliche meldet Datenschutzvorfälle, die nicht von Pernotto verursacht sind, eigenständig an die zuständige Behörde.

7. Technische und organisatorische Massnahmen (TOM)

Wealthior unterhält ein dem Stand der Technik entsprechendes Sicherheitsdispositiv. Massgeblich sind insbesondere die folgenden Massnahmen:

Verschlüsselung in Übertragung: sämtliche Verbindungen werden über TLS 1.2 oder höher abgesichert.
Verschlüsselung im Ruhezustand: die Datenbank ist auf Plattenebene durch den Hosting-Provider Supabase verschlüsselt (AES-256).
Mandantentrennung: jede Anfrage wird über Postgres Row-Level Security an den jeweiligen Hotelbetrieb gebunden. Das Datenbank-Konto wechselt pro Anfrage in eine Rolle ohne BYPASSRLS-Privileg, sodass ein Anwendungsfehler keine mandantenübergreifenden Daten zurückgeben kann.
Zugriffskontrolle: Authentifizierung erfolgt über Clerk Inc. mit verschlüsselt gespeicherten Passwörtern und optional mit Zwei-Faktor-Authentifizierung.
Backups: tägliche Datenbank-Snapshots durch den Hosting-Provider, Aufbewahrung mindestens sieben Tage.
Logging: Zugriffs- und Anwendungslogs werden bis zu 30 Tage aufbewahrt.
Incident-Response: dokumentierter Prozess für die Meldung und Behandlung von Sicherheitsvorfällen, einschliesslich der 72-Stunden-Frist gemäss Ziffer 5.
Sichere Software-Entwicklung: Code-Reviews, Unit-Tests, statische Code-Analyse und Dependency-Scanning. Das System wird ausschliesslich aus einem versionierten Quellcode-Repository deployt.
Mitarbeitende: Personen mit Zugang zu produktiven Systemen sind zur Vertraulichkeit verpflichtet und haben minimal notwendige Berechtigungen.

8. Datenort

Die Hauptverarbeitung der Daten erfolgt in der Region Frankfurt (Europäische Union). Eine Übermittlung in Drittstaaten findet nur statt, soweit dies für den Betrieb des Dienstes notwendig ist und ein angemessenes Schutzniveau im Sinne von Art. 16 revDSG bzw. Art. 44 ff. DSGVO besteht (insbesondere Standardvertragsklauseln). Die im Einzelfall eingesetzten Subprozessoren sind unter Auftragsverarbeiter gelistet.

9. Subprozessoren

Der Verantwortliche stimmt der Beauftragung der unter Auftragsverarbeiter aufgeführten Subprozessoren zu. Wealthior wird den Verantwortlichen über beabsichtigte Änderungen oder Hinzufügungen mit einer Vorlaufzeit von mindestens 30 Tagen per E-Mail oder über die in der App hinterlegten Kommunikationskanäle informieren.

Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigen datenschutzrechtlichen Gründen widersprechen. Wird eine einvernehmliche Lösung nicht erreicht, ist der Verantwortliche berechtigt, den Vertrag ausserordentlich zu kündigen.

10. Audit-Rechte

Der Verantwortliche hat das Recht, sich von der Einhaltung dieses AVV zu überzeugen. Wealthior stellt hierfür auf Anfrage geeignete Nachweise zur Verfügung, insbesondere die aktuelle Sicherheitsbeschreibung sowie Berichte zertifizierter Anbieter.

Eine Vor-Ort-Inspektion ist mit angemessener Vorlaufzeit (mindestens 30 Tage) möglich, sofern berechtigte Gründe vorliegen und die Inspektion den laufenden Betrieb nicht beeinträchtigt. Die Kosten einer solchen Inspektion trägt der Verantwortliche.

11. Rückgabe und Löschung

Nach Beendigung des Hauptvertrages hat der Verantwortliche während 30 Tagen Zugriff auf seine Daten zum Zweck des Exports. Nach Ablauf dieser Frist werden die Daten innerhalb von 90 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Daten, die unter eine gesetzliche Aufbewahrungspflicht fallen (insbesondere Art. 958f OR, zehn Jahre für Buchhaltungsbelege), werden bis zum Ablauf der Frist gesperrt aufbewahrt und nach Ablauf gelöscht.

12. Haftung

Die Haftung der Parteien bestimmt sich nach den AGB. Vorbehalten bleiben zwingende gesetzliche Bestimmungen, insbesondere die direkte Haftung jeder Partei gegenüber den betroffenen Personen.

13. Anwendbares Recht und Gerichtsstand

Auf diesen AVV findet Schweizer Recht Anwendung, unter Ausschluss des Kollisionsrechts. Ausschliesslicher Gerichtsstand ist Cham (ZG), Schweiz.