Auftragsbearbeitungsvertrag (ABV)
Stand: Juli 2026
gemäss Art. 9 des Bundesgesetzes über den Datenschutz (DSG)
Zwischen
dem jeweiligen Vertragspartner der numbers AG
(nachfolgend «Verantwortlicher» oder «Kunde» genannt)
und der
numbers AG, Rütlistrasse 7, 3014 Bern
UID: CHE-459.273.293
(nachfolgend «Auftragsbearbeiter» oder «numbers» genannt)
1. Gegenstand, Dauer und Umfang der Bearbeitung
Dieser ABV regelt die datenschutzrechtlichen Pflichten der Vertragsparteien, sofern numbers im Rahmen des Hauptvertrags (z. B. Managed-Services-Vertrag, Setup-Projekt, Retainer) Personendaten im Auftrag des Kunden bearbeitet.
Die Bearbeitung erfolgt ausschliesslich zum Zweck der Erbringung der vertraglich vereinbarten Digital-Marketing- und Sales-Dienstleistungen (z. B. Setup und Betrieb von Lead-Generierungs-Funnels, Betreuung von Werbekampagnen, CRM-Management, Web-Analytics).
Die Laufzeit dieses ABV richtet sich nach der Dauer des Hauptvertrags und endet automatisch mit dessen Beendigung.
2. Kategorien von Personendaten und betroffenen Personen
Kategorien der betroffenen Personen:
Interessenten, Website-Besucher und Leads des Kunden
Bestehende Endkunden des Kunden
Mitarbeitende des Kunden (interne Ansprechpersonen)
Kategorien der bearbeiteten Personendaten:
Stamm- und Kontaktdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Firmenname, geschäftliche Funktion.
Inhaltsdaten: Eingaben in Kontakt- oder Lead-Formulare (z. B. via Fillout), Offert-Anfragen, Chat- oder Korrespondenzhistorien.
Digitale Nutzungsdaten: IP-Adressen, Geräte- und Browser-Informationen, Tracking-IDs, pseudonyme Werbe-IDs, Interaktionsdaten auf der Website des Kunden.
Besonders schützenswerte Personendaten: Werden von numbers im Rahmen des Standard-Auftrags grundsätzlich nicht im Auftrag des Kunden bearbeitet.
3. Pflichten der numbers AG (Auftragsbearbeiter)
Weisungsgebundenheit: numbers bearbeitet die Personendaten ausschliesslich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Kunden (Art. 9 Abs. 1 lit. a DSG).
Vertraulichkeit: numbers stellt sicher, dass sich sämtliche mit der Datenbearbeitung beauftragten Mitarbeitenden zur Vertraulichkeit verpflichtet haben.
Meldepflicht bei Sicherheitsverletzungen: Stellt numbers eine Verletzung der Datensicherheit fest (Data Breach), meldet sie dies dem Kunden unaufgefordert, unentgeltlich und zeitgerecht, sobald sie Gewissheit über den Vorfall erlangt hat (Art. 24 DSG).
Unterstützungspflicht: numbers unterstützt den Kunden mit geeigneten technischen und organisatorischen Massnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen betroffener Personen (z. B. Auskunfts-, Berichtigungs- oder Löschbegehren) nachzukommen. Entsteht numbers hierdurch ein erheblicher, vom Kunden zu vertretender Mehraufwand, ist dieser vom Kunden nach den regulären Agentur-Stundensätzen zu vergüten.
4. Beizug von Unter-Auftragsbearbeitern (Sub-Dienstleister)
Der Kunde erteilt numbers die generelle Genehmigung, zur Vertragserfüllung weitere Auftragsbearbeiter beizuziehen (Art. 9 Abs. 3 DSG).
Der Kunde genehmigt zum Zeitpunkt des Vertragsschlusses ausdrücklich den Einsatz des folgenden Standard-Technologie-Stacks von numbers:
ClickUp (ClickUp Inc., USA) – CRM & Projektmanagement-Infrastruktur
Fillout (Tidewater Inc., USA) – Interaktive Formular- und Lead-Engine
ActiveCampaign (ActiveCampaign LLC, USA) – E-Mail-Marketing-Automation
Google Cloud / Workspace / Analytics / Ads (Google Ireland Ltd. / Google LLC, USA) – Cloud-Ablage, Analytics, Paid Advertising
Microsoft Clarity (Microsoft Corp., USA) – UX-Analyse & Session-Recordings
Meta (Meta Platforms Ireland Ltd., Irland) – Werbenetzwerk / Conversion Pixel
LinkedIn (LinkedIn Ireland Unlimited Company) – Werbenetzwerk / Insight Tag
StackAdapt (StackAdapt Inc., Kanada/USA) – Programmatic B2B Advertising
Storyblok / GoDaddy / Cloudflare – CMS, Webhosting, CDN & Web-Sicherheit
Beabsichtigt numbers, einen Sub-Dienstleister zu ersetzen oder das Setup um ein zwingendes Tool zu erweitern, informiert sie den Kunden vorgängig auf elektronischem Weg. Der Kunde kann dem Wechsel innert 14 Tagen aus wichtigen, nachzuweisenden datenschutzrechtlichen Gründen schriftlich widersprechen. Erfolgt kein Widerspruch, gilt der neue Unter-Auftragsbearbeiter als genehmigt.
5. Technische und organisatorische Massnahmen (TOMs)
numbers garantiert ein dem Risiko angemessenes Schutzniveau (Art. 8 DSG) durch die konsequente Umsetzung der folgenden Mindest-Sicherheitsstandards:
Zugangskontrolle: Absicherung sämtlicher Cloud-Instanzen, Werbekonten und Laptops der Mitarbeitenden durch zwingende Zwei-Faktor-Authentifizierung (2FA).
Datenträger-Sicherheit: Vollständige Festplattenverschlüsselung sämtlicher lokaler Arbeitsgeräte (Laptops).
Zugriffskontrolle: Vergabe von Berechtigungen im CRM und in den Werbekonten strikt nach dem Need-to-Know-Prinzip.
Datentrennung: Logische, softwareseitige Trennung der Kundendaten von Daten anderer Mandanten.
Daten-Maskierung: Zwingende Aktivierung der automatischen Text-Schwärzung (Masking) bei eingesetzten Session-Recording-Tools (Microsoft Clarity).
6. Datenübermittlung ins Ausland (Drittstaatentransfer)
Erfolgt durch den Einsatz der unter Ziffer 4.2 genannten Sub-Dienstleister ein Datentransfer in Staaten ohne vom Schweizer Bundesrat anerkanntes angemessenes Datenschutzniveau (insbesondere in die USA), garantiert numbers, dass der Transfer rechtmässig abgestützt ist. Dies erfolgt primär über die Zertifizierung des jeweiligen US-Anbieters unter dem Swiss-US Data Privacy Framework (DPF) oder hilfsweise durch den Abschluss der Standardvertragsklauseln der EU-Kommission (SCC) inklusive des zwingenden Schweizer «Swiss Addendums».
7. Rückgabe und Löschung von Personendaten
Nach Beendigung des Hauptvertrags löscht numbers sämtliche im Auftrag des Kunden bearbeiteten und in der eigenen Sphäre gespeicherten Personendaten (z. B. exportierte Lead-Listen im ClickUp) innert 30 Tagen vollständig, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen oder die Parteien ein kostenpflichtiges Daten-Migrationsprojekt vereinbart haben. Auf der Infrastruktur des Kunden gehostete Daten (z. B. im eigenen HubSpot des Kunden) verbleiben in dessen alleiniger Verantwortung.
8. Schlussbestimmungen
Sollten einzelne Bestimmungen dieses ABV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Bei allfälligen Widersprüchen zwischen diesem ABV und den sonstigen Vereinbarungen der Parteien (insbesondere den AGB) gehen die Bestimmungen dieses ABV im Hinblick auf den Datenschutz vor.
Auf dieses Vertragsverhältnis ist ausschliesslich schweizerisches Recht anwendbar. Gerichtsstand ist Bern.