gemäss Art. 28 Datenschutz-Grundverordnung (DSGVO) und Art. 9 Bundesgesetz über den Datenschutz (DSG)
Stand: April 2026
Verantwortlicher (Auftraggeber):
Die Organisation oder natürliche Person, die ein Konto auf Vuela erstellt hat (identifiziert durch den bei der Registrierung hinterlegten Organisationsnamen und die E-Mail-Adresse des Organisationsverwalters),
nachfolgend "Verantwortlicher" genannt,
Auftragsverarbeiter (Auftragnehmer):
| Firma | Open Digital (Verein) |
| Sitz | 8400 Winterthur, Schweiz |
| Kontakt Datenschutz | privacy@opendigital.ch |
nachfolgend "Auftragsverarbeiter" genannt.
Der Auftragsverarbeiter betreibt die Software Vuela (app.vuela.aero), ein webbasiertes System zur Führung von Bordbüchern (Aircraft Logbooks) für Flugzeugflotten. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung dieser Software.
Dieser Vertrag gilt für die Dauer des Abonnements des Verantwortlichen bei Vuela. Bei Beendigung des Abonnements gelten die Regelungen in Abschnitt 11 (Datenrückgabe und Löschung).
| Kategorie | Beschreibung |
|---|---|
| Mitglieder | Personen, die der Organisation auf Vuela zugeordnet sind (z.B. Vereinsmitglieder, Haltergemeinschaft) |
| Piloten | Personen, die in Flugeinträgen als Pilot, Fluglehrer oder Eigentümer erfasst werden |
| Organisationsverwalter | Mitglieder mit der Rolle "Manager", die administrative Funktionen nutzen |
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen. Die Weisungen ergeben sich aus diesem Vertrag und den Konfigurationseinstellungen der Software.
Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstösst, informiert er den Verantwortlichen unverzüglich.
Sofern der Auftragsverarbeiter durch Unionsrecht oder das Recht eines Mitgliedstaates bzw. der Schweiz zu einer Verarbeitung verpflichtet ist, die über die Weisungen des Verantwortlichen hinausgeht, teilt er dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, es sei denn, das betreffende Recht verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses (Art. 28 Abs. 3 lit. a DSGVO).
Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter trifft die in Abschnitt 12 beschriebenen technischen und organisatorischen Massnahmen (TOM). Der Auftragsverarbeiter stellt sicher, dass diese Massnahmen ein dem Risiko angemessenes Schutzniveau gewährleisten.
Der Auftragsverarbeiter setzt die in Abschnitt 9 genannten Unterauftragnehmer ein. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung zum Einsatz weiterer Unterauftragnehmer.
Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Verantwortliche kann gegen solche Änderungen innerhalb von 30 Tagen nach Mitteilung Einspruch erheben. Erhebt der Verantwortliche berechtigten Einspruch und kann keine einvernehmliche Lösung gefunden werden, hat der Verantwortliche ein ausserordentliches Kündigungsrecht mit einer Frist von 30 Tagen.
Der Auftragsverarbeiter schliesst mit jedem Unterauftragnehmer einen Vertrag, der diesem mindestens die gleichen Datenschutzpflichten auferlegt wie dieser Vertrag.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:
a) Betroffenenrechten (Art. 15-22 DSGVO / Art. 25-29 DSG): Bereitstellung technischer Möglichkeiten zur Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und Datenportabilitätsanfragen. Anfragen, die nicht durch den Verantwortlichen selbst in der Anwendung erledigt werden können, werden durch den Auftragsverarbeiter innerhalb von 30 Tagen bearbeitet.
b) Meldung von Datenschutzverletzungen (Art. 33-34 DSGVO / Art. 24 DSG): Unverzügliche Information des Verantwortlichen bei Kenntnis einer Verletzung des Schutzes personenbezogener Daten, in jedem Fall innerhalb von 48 Stunden, damit der Verantwortliche seine Meldepflicht gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden (DSGVO) bzw. so rasch als möglich (DSG) erfüllen kann.
Die Meldung enthält mindestens:
c) Datenschutz-Folgenabschätzung (Art. 35-36 DSGVO / Art. 22 DSG): Bereitstellung erforderlicher Informationen.
Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten gemäss Abschnitt 11 dieses Vertrages, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO / Art. 9 DSG festgelegten Pflichten zur Verfügung.
Der Auftragsverarbeiter ermöglicht und trägt zu Überprüfungen (einschliesslich Inspektionen) bei, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden. Überprüfungen sind mit einer Vorlaufzeit von mindestens 14 Werktagen anzukündigen.
Der Verantwortliche stellt sicher, dass die Verarbeitung personenbezogener Daten auf einer gemäss Art. 6 DSGVO / Art. 6 und 31 DSG geltenden Rechtsgrundlage beruht.
Der Verantwortliche informiert die betroffenen Personen gemäss Art. 13/14 DSGVO / Art. 19-21 DSG über die Datenverarbeitung. Dies umfasst insbesondere die Information der Vereinsmitglieder bzw. Piloten darüber, dass deren Daten in Vuela verarbeitet werden.
Weisungen des Verantwortlichen werden schriftlich (auch per E-Mail) erteilt und dokumentiert.
Wendet sich eine betroffene Person mit Anträgen nach Art. 15-22 DSGVO / Art. 25-29 DSG an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter.
Der Auftragsverarbeiter stellt folgende technische Möglichkeiten bereit:
| Recht | Technische Umsetzung |
|---|---|
| Auskunft (Art. 15 DSGVO / Art. 25 DSG) | Manueller Export von Profil-, Flug- und Wartungsdaten durch den Auftragsverarbeiter auf Anfrage |
| Berichtigung (Art. 16 DSGVO / Art. 6 Abs. 5 DSG) | Bearbeitung von Mitgliederprofilen und Flugdaten durch den Verantwortlichen in der Anwendung |
| Löschung (Art. 17 DSGVO / Art. 6 Abs. 5 DSG) | Manuelle Löschung von Mitgliederprofilen, Flugdaten und zugehörigen Daten durch den Auftragsverarbeiter auf Anfrage |
| Einschränkung (Art. 18 DSGVO) | Deaktivierung von Benutzerkonten |
| Widerspruch (Art. 21 DSGVO) | Sperrung bzw. Einschränkung der Verarbeitung auf Weisung des Verantwortlichen |
| Datenportabilität (Art. 20 DSGVO / Art. 28 DSG) | Manueller Datenexport in maschinenlesbarem Format (JSON) durch den Auftragsverarbeiter auf Anfrage; Flugdaten-Export als CSV/PDF durch den Verantwortlichen in der Anwendung |
| Firma | Google Ireland Limited |
| Anschrift | Gordon House, Barrow Street, Dublin 4, Irland |
| Leistung | Benutzerauthentifizierung (Firebase Authentication) |
| Standort | USA (Firebase Authentication wird ausschliesslich in US-Rechenzentren betrieben) |
| Verarbeitete Daten | Authentifizierungsdaten (4.3): E-Mail-Adressen, Passwort-Hashes, Anmeldezeitpunkte |
| AVV | Firebase Data Processing and Security Terms |
| Garantien | EU-Standardvertragsklauseln (SCCs), ISO 27001, ISO 27017, ISO 27018, SOC 2/3 |
Hinweis: Firebase Authentication wird derzeit ausschliesslich in US-Rechenzentren betrieben. Der Datentransfer in die USA ist über die EU-Standardvertragsklauseln (SCCs) in den Firebase Data Processing and Security Terms abgesichert. Der Verantwortliche hat eine Transfer-Folgenabschätzung (TIA) durchzuführen.
| Firma | Google Ireland Limited |
| Anschrift | Gordon House, Barrow Street, Dublin 4, Irland |
| Leistung | Datenbankspeicherung (Cloud Firestore), serverseitige Logik (Cloud Functions), Dateispeicherung (Cloud Storage), Webanwendung (Firebase Hosting) |
| Standort | Firestore: eur3 (Europa, multi-regional) |
Cloud Functions: europe-west6 (Zürich, Schweiz) |
|
| Cloud Storage: EU (mehrere Regionen in der Europäischen Union) | |
| Firebase Hosting: Globales CDN | |
| Verarbeitete Daten | Alle in Abschnitt 4 genannten Kategorien |
| AVV | Firebase Data Processing and Security Terms |
| Garantien | EU-Standardvertragsklauseln (SCCs), ISO 27001, ISO 27017, ISO 27018, SOC 2/3 |
Hinweis: Firebase Hosting nutzt ein globales Content Delivery Network (CDN) mit weltweiten Edge-Standorten. Bei der Auslieferung statischer Inhalte (HTML, JavaScript, CSS) werden transiente HTTP-Metadaten (insbesondere IP-Adressen) an Edge-Standorten verarbeitet, die sich auch ausserhalb der EU/des EWR befinden können. Die eigentlichen personenbezogenen Anwendungsdaten (Abschnitt 4) werden nicht über das CDN verarbeitet, sondern ausschliesslich über die in Europa betriebenen Dienste (Firestore, Cloud Functions, Cloud Storage).
Hinweis: Stripe wird nur eingesetzt, wenn der Verantwortliche eine Online-Zahlungsart wählt (z.B. Kreditkarte, TWINT, Apple Pay, Google Pay). Bei Zahlung auf Rechnung erfolgt keine Datenübermittlung an Stripe.
| Firma | Stripe Payments Europe, Limited |
| Anschrift | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland |
| Leistung | Zahlungsabwicklung, Abonnement-Verwaltung, Rechnungsstellung |
| Standort | EU (Irland) |
| Verarbeitete Daten | E-Mail-Adresse, Organisationsname, Abo-Plan, Zahlungsinformationen |
| AVV | Stripe Data Processing Agreement (stripe.com/legal/dpa) |
| Garantien | PCI DSS Level 1, SOC 1/2, EU-Standardvertragsklauseln (SCCs) |
| Firma | Mailgun Technologies, Inc. (Tochtergesellschaft der Sinch AB) |
| Anschrift | 112 E Pecan St, San Antonio, TX 78205, USA |
| Muttergesellschaft | Sinch AB (publ), Lindhagensgatan 112, 112 51 Stockholm, Schweden |
| Leistung | E-Mail-Versand (Mitgliedereinladungen, Benachrichtigungen zu Flugbemerkungen und Techlog-Einträgen, Abo-Hinweise) |
| Standort | EU (Frankfurt, Deutschland — Mailgun EU-Region) |
| Verarbeitete Daten | E-Mail-Adressen (4.2), Organisationsname |
| AVV | Mailgun Data Processing Addendum (mailgun.com/dpa) |
| Garantien | EU-Datenverarbeitung, EU-US Data Privacy Framework, EU-Standardvertragsklauseln (SCCs) |
Folgende Datenverarbeitungen erfolgen ausserhalb der EU/des EWR bzw. der Schweiz:
| Dienst | Zielland | Transfermechanismus |
|---|---|---|
| Firebase Authentication | USA | EU-Standardvertragsklauseln (SCCs) via Firebase Data Processing and Security Terms |
| Firebase Hosting (CDN) | Global (Edge-Standorte weltweit) | EU-Standardvertragsklauseln (SCCs) |
| Mailgun (Firmensitz) | USA (Firmensitz); Datenverarbeitung in EU (Frankfurt) | EU-Standardvertragsklauseln (SCCs), EU-US Data Privacy Framework |
Für Datentransfers in die USA stützt sich der Auftragsverarbeiter auf die EU-Standardvertragsklauseln (SCCs) gemäss Art. 46 Abs. 2 lit. c DSGVO sowie Art. 16 Abs. 2 lit. d DSG. Der Verantwortliche ist verpflichtet, eine eigene Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) durchzuführen und zu dokumentieren.
Nach Ablauf des Abonnements (einschliesslich nach Ablauf der Testphase ohne Abschluss eines Abonnements) wird die Organisation in den Lesemodus versetzt. Die Daten bleiben vollständig erhalten und können eingesehen, aber nicht mehr bearbeitet werden.
Auf Wunsch des Verantwortlichen stellt der Auftragsverarbeiter alle verarbeiteten personenbezogenen Daten in einem gängigen, maschinenlesbaren Format (JSON) zur Verfügung. Flugdaten können zusätzlich als CSV oder PDF exportiert werden.
Die Frist für die Datenrückgabe beträgt 30 Tage nach Vertragsende bzw. nach Anfrage des Verantwortlichen.
Auf ausdrückliche Weisung des Verantwortlichen oder 90 Tage nach Ablauf des Abonnements (sofern kein neues Abonnement abgeschlossen wird) löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten unwiderruflich, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
Auf Antrag des Verantwortlichen kann die Löschfrist einmalig um bis zu 12 Monate verlängert werden.
Die Löschung umfasst: - Mitgliederprofile und zugehörige Daten - Authentifizierungsdaten (Firebase Auth Accounts) - Flugdaten, Techlog-Einträge, Checks und Reservationen - Hochgeladene Dokumente (Tankquittungen, Techlog-Anhänge) - Abonnement- und Rechnungsdaten - Organisationskonfiguration
Auf Anfrage bestätigt der Auftragsverarbeiter dem Verantwortlichen die vollständige Löschung schriftlich.
Der Auftragsverarbeiter stellt sicher, dass auch bei den Unterauftragnehmern die Daten gemäss den gleichen Anforderungen gelöscht werden.
Zutrittskontrolle:
- Serverinfrastruktur wird von Google Cloud betrieben
(zertifizierte Rechenzentren, ISO 27001)
- Datenbank: eur3 (Europa, multi-regional)
- Cloud Functions: europe-west6 (Zürich, Schweiz)
- Cloud Storage: EU (mehrere Regionen in der Europäischen Union)
- Kein physischer Zugang des Auftragsverarbeiters zu
Hardware erforderlich
Zugangskontrolle: - Firebase Authentication mit individuellen Benutzerkonten - E-Mail-/Passwort-basierte Anmeldung - Rollenbasierte Zugriffskontrolle (Manager/Mitglied) - Optionaler schreibgeschützter Zugang (Read-Only Access Token)
Zugriffskontrolle: - Firestore Security Rules für pfadbasierte Zugriffsbeschränkung - Organisationsbasierte Datentrennung: Mitglieder sehen nur Daten ihrer eigenen Organisation - Manager-exklusive Bereiche (Rechnungen, Abonnement) - API-Authentifizierung mittels Firebase ID Tokens
Trennungskontrolle: - Multi-Tenant-Architektur auf einer gemeinsam genutzten Firestore-Instanz - Datentrennung über anwendungsseitige Zugriffskontrollen (Firestore Security Rules und organisationsbasierte Filterung) - Jede Organisation hat eigene Datenpfade in Firestore
Weitergabekontrolle: - HTTPS/TLS-Verschlüsselung für alle Datenübertragungen - AES-256 Encryption at Rest durch Google Cloud Firestore - Stripe-Kommunikation über TLS-verschlüsselte API
Eingabekontrolle:
- createdBy/updatedBy/deletedBy-Felder zur
Nachvollziehbarkeit
- Zeitstempel bei Datenerstellung und -änderung
- Versionierung von Flugeinträgen (Soft Delete)
- Reservationsänderungen mit vollständigem Audit Trail
Verfügbarkeitskontrolle: - Google Cloud SLA für Firebase-Dienste - Automatische Skalierung der Cloud Functions - Redundante Datenspeicherung durch Google Cloud
Belastbarkeitskontrolle: - Automatische Skalierung durch Firebase/Google Cloud - Keine eigene Server-Infrastruktur erforderlich
Datensicherung: - Automatische Sicherungskopien durch Google Cloud - Tägliche Sicherung: Aufbewahrung für 7 Tage - Sicherungskopien sind durch die gleichen Verschlüsselungsmechanismen geschützt wie die Produktivdaten
Datenschutz-Management: - Soft Delete für Organisationen, Flugzeuge, Mitglieder und Flüge (Daten werden als gelöscht markiert, nicht sofort physisch entfernt) - Löschung auf Anfrage des Verantwortlichen
Incident-Response: - Benachrichtigung des Verantwortlichen innerhalb von 48 Stunden bei Datenschutzverletzungen
| Unterauftragnehmer | Datenkategorien | Verarbeitungsort |
|---|---|---|
| Google Cloud / Firebase (Auth) | 4.3 Authentifizierungsdaten | USA (via SCCs abgesichert) |
| Google Cloud / Firebase (Firestore) | 4.1–4.8 (alle Kategorien) | eur3 (Europa, multi-regional) |
| Google Cloud / Firebase (Functions) | 4.1–4.8 (Laufzeitverarbeitung) | europe-west6 (Zürich) |
| Google Cloud / Firebase (Storage) | 4.8 Dokumente, 4.7 Rechnungs-PDFs | EU (mehrere Regionen) |
| Google Cloud / Firebase (Hosting) | HTTP-Metadaten (IP-Adressen) | Globales CDN |
| Stripe (nur bei Online-Zahlung) | 4.2 E-Mail, 4.7 Zahlungsdaten, Organisationsname | EU (Irland) |
| Mailgun (Sinch) | 4.2 E-Mail-Adressen, Organisationsname | EU (Frankfurt) |
Dieser Vertrag konkretisiert die Pflichten des Auftragsverarbeiters nach Art. 28 DSGVO sowie nach Art. 9 DSG (dort "Auftragsbearbeiter" genannt). Soweit die DSGVO und das DSG unterschiedliche Anforderungen stellen, gilt jeweils die strengere Regelung.
Bei Widersprüchen zwischen diesem Vertrag und den Allgemeinen Geschäftsbedingungen (AGB) von Vuela hat dieser Vertrag Vorrang, soweit datenschutzrechtliche Belange betroffen sind.
Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung ist durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
Der Auftragsverarbeiter kann diesen Vertrag mit einer Ankündigungsfrist von 30 Tagen anpassen, um gesetzliche Anforderungen zu erfüllen oder Änderungen an den Unterauftragnehmern abzubilden. Der Verantwortliche wird per E-Mail über Änderungen informiert.
Die Haftung richtet sich nach den Regelungen der DSGVO, insbesondere Art. 82 DSGVO, sowie den anwendbaren Bestimmungen des schweizerischen Obligationenrechts (OR).
Dieser Vertrag unterliegt dem Recht der Schweizerischen Eidgenossenschaft, sofern nicht zwingende Bestimmungen der DSGVO Vorrang haben.
Gerichtsstand ist Winterthur, Schweiz.
Dieser AVV tritt mit der Registrierung auf Vuela und der Annahme der Allgemeinen Geschäftsbedingungen in Kraft. Eine separate Unterzeichnung ist nicht erforderlich.
Auf Wunsch des Verantwortlichen kann dieser AVV zusätzlich in schriftlicher Form unterzeichnet werden.