numbers
Rechtliches

Auftragsbearbeitungsvertrag (ABV)

Stand: Juli 2026

gemäss Art. 9 des Bundesgesetzes über den Datenschutz (DSG)

Zwischen

dem jeweiligen Vertragspartner der numbers AG

(nachfolgend «Verantwortlicher» oder «Kunde» genannt)

und der

numbers AG, Rütlistrasse 7, 3014 Bern

UID: CHE-459.273.293

(nachfolgend «Auftragsbearbeiter» oder «numbers» genannt)

1. Gegenstand, Dauer und Umfang der Bearbeitung

  • Dieser ABV regelt die datenschutzrechtlichen Pflichten der Vertragsparteien, sofern numbers im Rahmen des Hauptvertrags (z. B. Managed-Services-Vertrag, Setup-Projekt, Retainer) Personendaten im Auftrag des Kunden bearbeitet.

  • Die Bearbeitung erfolgt ausschliesslich zum Zweck der Erbringung der vertraglich vereinbarten Digital-Marketing- und Sales-Dienstleistungen (z. B. Setup und Betrieb von Lead-Generierungs-Funnels, Betreuung von Werbekampagnen, CRM-Management, Web-Analytics).

  • Die Laufzeit dieses ABV richtet sich nach der Dauer des Hauptvertrags und endet automatisch mit dessen Beendigung.

2. Kategorien von Personendaten und betroffenen Personen

  • Kategorien der betroffenen Personen:

    • Interessenten, Website-Besucher und Leads des Kunden

    • Bestehende Endkunden des Kunden

    • Mitarbeitende des Kunden (interne Ansprechpersonen)

  • Kategorien der bearbeiteten Personendaten:

    • Stamm- und Kontaktdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Firmenname, geschäftliche Funktion.

    • Inhaltsdaten: Eingaben in Kontakt- oder Lead-Formulare (z. B. via Fillout), Offert-Anfragen, Chat- oder Korrespondenzhistorien.

    • Digitale Nutzungsdaten: IP-Adressen, Geräte- und Browser-Informationen, Tracking-IDs, pseudonyme Werbe-IDs, Interaktionsdaten auf der Website des Kunden.

    • Besonders schützenswerte Personendaten: Werden von numbers im Rahmen des Standard-Auftrags grundsätzlich nicht im Auftrag des Kunden bearbeitet.

3. Pflichten der numbers AG (Auftragsbearbeiter)

  • Weisungsgebundenheit: numbers bearbeitet die Personendaten ausschliesslich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Kunden (Art. 9 Abs. 1 lit. a DSG).

  • Vertraulichkeit: numbers stellt sicher, dass sich sämtliche mit der Datenbearbeitung beauftragten Mitarbeitenden zur Vertraulichkeit verpflichtet haben.

  • Meldepflicht bei Sicherheitsverletzungen: Stellt numbers eine Verletzung der Datensicherheit fest (Data Breach), meldet sie dies dem Kunden unaufgefordert, unentgeltlich und zeitgerecht, sobald sie Gewissheit über den Vorfall erlangt hat (Art. 24 DSG).

  • Unterstützungspflicht: numbers unterstützt den Kunden mit geeigneten technischen und organisatorischen Massnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen betroffener Personen (z. B. Auskunfts-, Berichtigungs- oder Löschbegehren) nachzukommen. Entsteht numbers hierdurch ein erheblicher, vom Kunden zu vertretender Mehraufwand, ist dieser vom Kunden nach den regulären Agentur-Stundensätzen zu vergüten.

4. Beizug von Unter-Auftragsbearbeitern (Sub-Dienstleister)

  • Der Kunde erteilt numbers die generelle Genehmigung, zur Vertragserfüllung weitere Auftragsbearbeiter beizuziehen (Art. 9 Abs. 3 DSG).

  • Der Kunde genehmigt zum Zeitpunkt des Vertragsschlusses ausdrücklich den Einsatz des folgenden Standard-Technologie-Stacks von numbers:

    • ClickUp (ClickUp Inc., USA) – CRM & Projektmanagement-Infrastruktur

    • Fillout (Tidewater Inc., USA) – Interaktive Formular- und Lead-Engine

    • ActiveCampaign (ActiveCampaign LLC, USA) – E-Mail-Marketing-Automation

    • Google Cloud / Workspace / Analytics / Ads (Google Ireland Ltd. / Google LLC, USA) – Cloud-Ablage, Analytics, Paid Advertising

    • Microsoft Clarity (Microsoft Corp., USA) – UX-Analyse & Session-Recordings

    • Meta (Meta Platforms Ireland Ltd., Irland) – Werbenetzwerk / Conversion Pixel

    • LinkedIn (LinkedIn Ireland Unlimited Company) – Werbenetzwerk / Insight Tag

    • StackAdapt (StackAdapt Inc., Kanada/USA) – Programmatic B2B Advertising

    • Storyblok / GoDaddy / Cloudflare – CMS, Webhosting, CDN & Web-Sicherheit

  • Beabsichtigt numbers, einen Sub-Dienstleister zu ersetzen oder das Setup um ein zwingendes Tool zu erweitern, informiert sie den Kunden vorgängig auf elektronischem Weg. Der Kunde kann dem Wechsel innert 14 Tagen aus wichtigen, nachzuweisenden datenschutzrechtlichen Gründen schriftlich widersprechen. Erfolgt kein Widerspruch, gilt der neue Unter-Auftragsbearbeiter als genehmigt.

5. Technische und organisatorische Massnahmen (TOMs)

numbers garantiert ein dem Risiko angemessenes Schutzniveau (Art. 8 DSG) durch die konsequente Umsetzung der folgenden Mindest-Sicherheitsstandards:

  • Zugangskontrolle: Absicherung sämtlicher Cloud-Instanzen, Werbekonten und Laptops der Mitarbeitenden durch zwingende Zwei-Faktor-Authentifizierung (2FA).

  • Datenträger-Sicherheit: Vollständige Festplattenverschlüsselung sämtlicher lokaler Arbeitsgeräte (Laptops).

  • Zugriffskontrolle: Vergabe von Berechtigungen im CRM und in den Werbekonten strikt nach dem Need-to-Know-Prinzip.

  • Datentrennung: Logische, softwareseitige Trennung der Kundendaten von Daten anderer Mandanten.

  • Daten-Maskierung: Zwingende Aktivierung der automatischen Text-Schwärzung (Masking) bei eingesetzten Session-Recording-Tools (Microsoft Clarity).

6. Datenübermittlung ins Ausland (Drittstaatentransfer)

Erfolgt durch den Einsatz der unter Ziffer 4.2 genannten Sub-Dienstleister ein Datentransfer in Staaten ohne vom Schweizer Bundesrat anerkanntes angemessenes Datenschutzniveau (insbesondere in die USA), garantiert numbers, dass der Transfer rechtmässig abgestützt ist. Dies erfolgt primär über die Zertifizierung des jeweiligen US-Anbieters unter dem Swiss-US Data Privacy Framework (DPF) oder hilfsweise durch den Abschluss der Standardvertragsklauseln der EU-Kommission (SCC) inklusive des zwingenden Schweizer «Swiss Addendums».

7. Rückgabe und Löschung von Personendaten

Nach Beendigung des Hauptvertrags löscht numbers sämtliche im Auftrag des Kunden bearbeiteten und in der eigenen Sphäre gespeicherten Personendaten (z. B. exportierte Lead-Listen im ClickUp) innert 30 Tagen vollständig, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen oder die Parteien ein kostenpflichtiges Daten-Migrationsprojekt vereinbart haben. Auf der Infrastruktur des Kunden gehostete Daten (z. B. im eigenen HubSpot des Kunden) verbleiben in dessen alleiniger Verantwortung.

8. Schlussbestimmungen

  • Sollten einzelne Bestimmungen dieses ABV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

  • Bei allfälligen Widersprüchen zwischen diesem ABV und den sonstigen Vereinbarungen der Parteien (insbesondere den AGB) gehen die Bestimmungen dieses ABV im Hinblick auf den Datenschutz vor.

  • Auf dieses Vertragsverhältnis ist ausschliesslich schweizerisches Recht anwendbar. Gerichtsstand ist Bern.