Auftragsverarbeitungsvertrag (AVV)
Stand: 6. Juli 2026
Stand: 6. Juli 2026. Diese Version gilt ab dem 6. Juli 2026. Bei wesentlichen Änderungen an diesem Auftragsverarbeitungsvertrag werden Sie rechtzeitig benachrichtigt. Dieser Auftragsverarbeitungsvertrag ("AVV") regelt die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der LokBox-Dienste. Er erfüllt die gesetzlichen Anforderungen nach Art. 28 DSGVO sowie nach dem Schweizer Datenschutzgesetz (revDSG / nDSG). Änderungshistorie: Version 2026-07-06 – Ergänzung der Datenkategorien und der Kategorien betroffener Personen (§ 2), Präzisierung der EU-Datenhaltung (§ 5), Aufnahme einer Gerichtsstandsklausel (§ 11), Klarstellungen zu Weisungen und Unterauftragsverarbeitern (§§ 3, 4). Version 2026-06-16 – Erstfassung.
1. Parteien
Verantwortlicher (Kunde): Der Nutzer der LokBox-Dienste, der personenbezogene Daten im Rahmen seines Kontos verarbeitet. Auftragsverarbeiter (Anbieter): bubloo, Kubilé, Lischenweg 7, 4915 St. Urban, Schweiz (UID: CHE-190.821.402).
2. Gegenstand, Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach den dokumentierten Weisungen des Verantwortlichen zur Erbringung der LokBox-Dienste (KI-gestützte Browser-Automatisierung, Textverarbeitung und API-Integrationen). Die Verarbeitung umfasst das Erheben, Erfassen, Speichern, Auslesen, Abfragen und Löschen von Daten. Kategorien personenbezogener Daten: Mandanten-Stammdaten (Namen, Adressen, Kontaktdaten, Firmen- und Rechtsformangaben); Identifikatoren (z.B. UID, Handelsregister-, Steuer- und Sozialversicherungsnummern, soweit vom Verantwortlichen eingegeben); sowie Portal-Aufgabendaten (die vom Verantwortlichen erteilten Aufgabentexte, hochgeladene Dokumente, Zugangs-Kontext und die vom Agenten erzeugten Ergebnis- und Protokolldaten). Kategorien betroffener Personen: Mandanten des Verantwortlichen und deren vertretungsberechtigte bzw. Kontaktpersonen, Mitarbeitende und Endnutzer des Verantwortlichen sowie sonstige natürliche Personen, deren Daten der Verantwortliche im Rahmen einer Aufgabe eingibt.
3. Weisungsbindung und Vertraulichkeit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO, das revDSG oder sonstige Datenschutzbestimmungen verstößt, informiert er den Verantwortlichen unverzüglich (Art. 28 Abs. 3 UAbs. 2 DSGVO). Der Auftragsverarbeiter gewährleistet, dass sich alle zur Verarbeitung berechtigten Personen (Mitarbeiter) zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
4. Unterauftragsverarbeiter (Subprocessors)
Der Auftragsverarbeiter setzt für die Erbringung der Dienste insbesondere folgende Unterauftragsverarbeiter ein: Hetzner Online GmbH (Frontend- & Backend-Hosting, Deutschland/Falkenstein (fsn1)); Amazon Web Services (AWS) (LLM Inference (Bedrock) – kein Training, EU eu-central-1 Frankfurt); Supabase (Datenbank & Speicherung, EU eu-central-1 Frankfurt); Stripe (Zahlungsabwicklung, EU/Irland); Sentry (Fehler-Monitoring, EU de.sentry.io). Die vollständige und jeweils aktuelle Liste der Unterauftragsverarbeiter ist unter lokbox.ch/subprocessors abrufbar und für den Umfang der erteilten Zustimmung maßgeblich; der Verantwortliche stimmt dem Einsatz der dort aufgeführten Unterauftragsverarbeiter hiermit zu. Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die den in diesem AVV vereinbarten im Wesentlichen gleichwertig sind (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter informiert den Verantwortlichen rechtzeitig über jede beabsichtigte Änderung (Hinzuziehung oder Ersetzung); der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
5. Internationale Datenübermittlung (Drittlandtransfer)
LokBox ist ein Schweizer Anbieter; die Datenverarbeitung und -speicherung findet jedoch auf europäischer Infrastruktur in der EU/im EWR (insbesondere Frankfurt) statt. Ein produktives Hosting personenbezogener Daten in der Schweiz erfolgt im Rahmen der Cloud-Dienste nicht. Sofern durch die Nutzung bestimmter Integrationen (z.B. Notion) Daten in die USA übermittelt werden, stützt sich der Auftragsverarbeiter auf die Standardvertragsklauseln (SCC) der EU-Kommission (sowie den entsprechenden Schweizer Anpassungen) und das Data Privacy Framework (DPF), um ein angemessenes Datenschutzniveau gemäß Art. 46 DSGVO sicherzustellen.
6. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen gemäss Art. 32 DSGVO ergriffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören unter anderem: Verschlüsselung: Alle Datenübertragungen (TLS/SSL) sowie gespeicherte Daten (Data at Rest) sind verschlüsselt; Isolierung: Browser-Automatisierungen laufen in kurzlebigen, isolierten Sandbox-Umgebungen; Zugangs- und Zugriffskontrolle: Physischer und logischer Zugriff ist restriktiv geregelt.
7. Unterstützungspflichten und Meldung von Datenschutzverletzungen (Breach Notification)
Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Beantwortung von Anfragen zur Wahrnehmung von Betroffenenrechten (Auskunft, Berichtigung, Löschung etc.). Im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach) meldet der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich nach Bekanntwerden und unterstützt ihn bei seinen gesetzlichen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO) sowie bei Datenschutz-Folgenabschätzungen.
8. Kontroll- und Auditrechte
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem AVV niedergelegten Pflichten nachzuweisen. Der Verantwortliche (oder ein von ihm beauftragter unabhängiger Prüfer) hat das Recht, nach rechtzeitiger Ankündigung angemessene Überprüfungen (Audits) durchzuführen.
9. Datenaufbewahrung und Löschung (Retention & Deletion)
Nach Abschluss der Erbringung der Verarbeitungsleistungen oder bei Kündigung löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück (exportiert sie), sofern keine gesetzliche Verpflichtung zur Speicherung besteht. Eine technische Soft-Delete-Phase von 30 Tagen kann gelten, um versehentlichen Datenverlust zu verhindern, bevor Daten physisch unwiderruflich gelöscht werden.
10. Vertragsdauer
Dieser AVV wird auf unbestimmte Zeit geschlossen und endet automatisch mit der Beendigung des Hauptvertrages über die Nutzung der LokBox-Dienste.
11. Anwendbares Recht und Gerichtsstand
Auf diesen AVV findet ausschließlich schweizerisches Recht Anwendung, unter Ausschluss der Kollisionsnormen und des UN-Kaufrechts. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Luzern, Schweiz, soweit keine zwingenden gesetzlichen Gerichtsstände entgegenstehen.