Auftragsverarbeitungsvertrag (AVV)

der heyteo AG, Steigstrasse 18, 8463 Benken (ZH), Schweiz

Version 2.0 · Gültig ab 21. Mai 2026

1 Definitionen

1.1 Hauptvertrag. Der zwischen heyteo und dem Partner zur Erbringung der heyteo Services abgeschlossene Vertrag — bestehend aus den Nutzungsbedingungen (NB), den Allgemeinen Projektbedingungen (APB) und dem Bestellformular oder einer gleichwertigen Vereinbarung — in welchen der vorliegende AVV als integraler Bestandteil aufgenommen wurde.

1.2 Services. Die vom Anbieter erbrachten Software-Agent- und KI-Chat-Dienstleistungen gemäss Hauptvertrag, einschliesslich produktspezifischer Ausprägungen wie z.B. Teo HR Coach oder branchenspezifischer Concierge-Agents.

1.3 Subunternehmer. Dritte, die im Auftrag von heyteo Personendaten bearbeiten.

1.4 Personendaten. Alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, welche heyteo im Rahmen des Hauptvertrages übermittelt werden und für die der Partner verantwortlich ist.

1.5 AVV. Der vorliegende Auftragsverarbeitungsvertrag inklusive Exhibit 1 und Exhibit 2, welcher als Anhang integraler Bestandteil des Hauptvertrages ist.

2 Vertragsgegenstand

2.1 Der Partner beauftragt heyteo mit der Bearbeitung von Personendaten gemäss den Bestimmungen dieses AVV. Der Partner ist für die Personendaten verantwortlich.

2.2 Gegenstand der zu bearbeitenden Personendaten, Dauer der Bearbeitung, Art und Kategorie der Personendaten sowie Zweck der Bearbeitung ergeben sich aus dem Hauptvertrag und dem Exhibit 1 zu diesem AVV, sofern sie nicht bereits im Hauptvertrag und im Bestellformular genügend konkretisiert sind.

3 Weisungsgemässe Bearbeitung

3.1 Heyteo bearbeitet die Personendaten ausschliesslich für die Zwecke des Hauptvertrages einschliesslich dieses AVV sowie gemäss den dokumentierten Weisungen des Partners.

3.2 Der Partner kann jederzeit neue Weisungen in Bezug auf die Bearbeitung von Personendaten ausgeben oder bestehende Weisungen ergänzen bzw. ändern, sofern sich diese aus den anwendbaren Datenschutzgesetzen ergeben oder im Zusammenhang mit der Erfüllung des Hauptvertrages erfolgen. Dies umfasst insbesondere Abweichungen in Bezug auf Berichtigung, Löschung und Sperrung von Personendaten. Sowohl der Partner als auch heyteo sind verpflichtet, alle erteilten Weisungen des Partners zu dokumentieren.

3.3 Ist heyteo der Meinung, dass eine Weisung des Partners gegen anwendbare datenschutzrechtliche Bestimmungen verstösst, teilt heyteo dies dem Partner zeitnah mit. Heyteo ist berechtigt, die Durchführung einer offensichtlich rechtswidrigen Weisung abzulehnen.

3.4 Vom Weisungsrecht des Partners unberührt bleiben die zwingend anwendbaren datenschutzgesetzlichen Pflichten von heyteo.

4 Vertraulichkeit

Heyteo verpflichtet sich, alle mit der Bearbeitung von Personendaten betrauten Mitarbeitenden zur Vertraulichkeit der Personendaten zu verpflichten. Diese Vertraulichkeitsverpflichtung gilt auch nach Beendigung der Tätigkeit für den Partner weiter.

5 Schutzmassnahmen

Heyteo sichert zu, dass geeignete technische und organisatorische Massnahmen (TOMs) gemäss Art. 8 DSG bzw. Art. 32 DSGVO getroffen wurden, um ein angemessenes Schutzniveau für die Verarbeitung der Personendaten zu gewährleisten. Auf Wunsch stellt heyteo dem Partner Informationen über die implementierten TOMs zur Verfügung. Die Herausgabe dieser Nachweise kann unter angemessenen Vertraulichkeitsauflagen erfolgen. Der Partner anerkennt, dass die Personendaten auch an Subunternehmer weitergegeben werden und dass auch bei sorgfältiger Auswahl und Prüfung der Subunternehmer kein absoluter Schutz der Personendaten zugesichert werden kann.

6 Unterstützungspflichten

Heyteo unterstützt den Partner bezüglich des Projekts auf Verlangen jederzeit und soweit möglich bei der Einhaltung der geltenden Datenschutzgesetze. Insbesondere verpflichtet sich heyteo:

a) den Partner bei der Erstellung einer allfälligen Datenschutz-Folgenabschätzung zu unterstützen und Informationen bereitzustellen, damit dieser seinen datenschutzrechtlichen Pflichten zur Beantwortung von Anträgen von betroffenen Personen und Aufsichtsbehörden (Auskunft, Berichtigung, Löschung, Datenübertragung, Widerspruch, automatisierte Entscheidungsfindung) innerhalb der gesetzlichen Fristen nachkommen kann (vgl. Kapitel III DSGVO und Art. 25 ff. DSG);

b) datenschutzrechtliche Anträge Dritter unverzüglich an den Partner weiterzuleiten, sofern heyteo zur Beantwortung solcher Anträge nicht selbst gesetzlich verpflichtet ist;

c) den Partner unter Berücksichtigung der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis Art. 36 DSGVO bzw. Art. 8, 22 und 24 DSG genannten Pflichten zu unterstützen (Datensicherheitsmassnahmen, Datenschutz-Folgenabschätzung, vorherige Konsultation, Meldung von Verletzungen);

d) den Partner unverzüglich zu benachrichtigen, falls (i) heyteo in Bezug auf Personendaten Kenntnis von einem tatsächlichen oder mutmasslichen Datenschutzverstoss erlangt, (ii) heyteo von einer tatsächlichen oder drohenden Beeinträchtigung der Personendaten auf seiner Seite Kenntnis erhält, die einer Einhaltung des Hauptvertrages oder dieses AVV entgegensteht, oder (iii) heyteo vom Vorliegen etwaiger Anträge von Behörden auf Zugang oder von tatsächlichem Zugang zu Personendaten Kenntnis erhält, sofern diese Benachrichtigung nicht gesetzlich verboten ist.

7 Rückgabe oder Löschung

7.1 Heyteo wird auf Verlangen des Partners — spätestens nach Ablauf der unten genannten Aufbewahrungsfrist — sämtliche Personendaten an den Partner zurückgeben bzw. löschen oder anonymisieren, sofern heyteo nicht eine gesetzliche Aufbewahrungspflicht trifft. Heyteo bestätigt die Löschung auf Wunsch des Partners schriftlich.

7.2 Aufbewahrungsfrist. Soweit gesetzlich zulässig und vertraglich erforderlich, bewahrt heyteo Personendaten gemäss seiner Datenschutzerklärung zehn (10) Jahre ab Beendigung der Dienstleistung für den jeweiligen Partner auf. Von den Nutzern eingegebene Inhalte und von den Systemen gelieferte Antworten werden in der Regel nach 48 Monaten gelöscht oder anonymisiert. Technische Daten werden meist nach wenigen Tagen, spätestens nach 2 Jahren gelöscht.

8 Kontrollrechte

Um die Einhaltung dieses AVV durch heyteo zu überprüfen, stellt heyteo dem Partner alle notwendigen datenschutzrechtlichen Informationen zur Verfügung. Der Partner ist berechtigt, während der Betriebszeiten und ohne Störung des Geschäftsbetriebs ein datenschutzrechtliches Audit in Bezug auf die Personendaten durch einen vom Partner beauftragten Prüfer auf Kosten des Partners durchführen zu lassen.

9 Subunternehmer und Bekanntgabe ins Ausland

9.1 Heyteo ist berechtigt, zur Durchführung des Projekts die in Exhibit 2 dieses AVV aufgeführten Subunternehmer beizuziehen. Beabsichtigt heyteo, weitere Subunternehmer hinzuzuziehen oder einzelne Subunternehmer zu entfernen, informiert heyteo den Partner entsprechend und teilt ihm die Identität solcher Subunternehmer mit. Bei Bedenken seitens des Partners stimmen sich die Parteien vorgängig ab.

9.2 Die Beauftragung von Subunternehmern als Verarbeiter von Personendaten ist zulässig, soweit diese im Umfang des Unterauftrages ihrerseits die Anforderungen des vorliegenden Vertrages erfüllen. Vorbehaltlich anderweitiger Vereinbarungen zwischen den Parteien ist heyteo verpflichtet, mit den Subunternehmern Vereinbarungen über angemessene Datenschutz- und Informationssicherheitsmassnahmen abzuschliessen und sicherzustellen, dass die Subunternehmer ihrerseits die Anforderungen dieses AVV erfüllen.

9.3 Der Partner stimmt zu, dass die Personendaten von den Subunternehmern und von heyteo auch zu den in Exhibit 1 zum AVV aufgeführten Zwecken verwendet werden dürfen, und verpflichtet sich, die Nutzer über diese über den Zweck des Projekts hinausgehende Nutzung zu informieren.

9.4 Der Partner anerkennt und stimmt zu, dass heyteo Personendaten auch an Subunternehmer weitergeben darf, die nicht gesondert für HR-Daten zertifiziert sind, und heyteo in Bezug auf solche Personendaten nicht verpflichtet ist, vertragliche oder technische Schutzmassnahmen zu ergreifen, die über das in diesem AVV vereinbarte Niveau hinausgehen. Soweit der Teo HR Coach Teil der Services ist, verpflichtet sich der Partner, vor Weitergabe der Personendaten an heyteo die Einwilligung der betroffenen Nutzer zur Weitergabe der entsprechenden Nutzerdaten an WhatsApp/Meta Platforms Inc. und Twilio Inc. in den USA einzuholen.

10 Anwendbares Recht und Gerichtsstand

10.1 Dieser AVV untersteht ausschliesslich Schweizer Recht, unter Ausschluss von Kollisionsnormen.

10.2 Ausschliesslicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Andelfingen, Kanton Zürich, Schweiz, vorbehaltlich zwingender Gerichtsstände.

11 Verhältnis zu den Anhängen und dem Hauptvertrag

11.1 Im Falle von Abweichungen zwischen den Exhibits dieses AVV und dem Hauptteil dieses AVV geht der Hauptteil des AVV den Exhibits vor.

11.2 Im Falle von Abweichungen zwischen diesem AVV und dem übrigen Hauptvertrag (NB, APB, Bestellformular) geht dieser AVV in Datenschutzfragen vor.

Exhibit 1 zum AVV — Gegenstand, Art, Zweck

1 Gegenstand, Art und Zweck der Bearbeitung

Zusätzlich zur Erbringung der Leistungen aus dem Hauptvertrag werden Personendaten für die hier beschriebenen Zwecke bearbeitet. Die folgenden Datenschutzbestimmungen und Verarbeitungsrichtlinien der eingesetzten Subunternehmer gelten ergänzend:

- WhatsApp Ireland Ltd. — Merrion Road, Dublin 4, D04 X2K5 — Irland

- OpenAI Ireland Ltd. — 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43 — Irland - Google Ireland Ltd. — Gordon House, Barrow Street, Dublin 4 — Irland

- Twilio, Inc. — 101 Spear St, San Francisco, California 94105 — USA

- XIAG AG — Archstrasse 7, 8400 Winterthur — Schweiz

2 Dauer der Verarbeitung

Die Personendaten, für welche der Partner verantwortlich ist, werden für die Dauer des Hauptvertrages sowie der in Ziffer 7 dieses AVV festgelegten Aufbewahrungsfristen bearbeitet.

3 Art der Personendaten

Vom Nutzer eingegebene Informationen, von den Software-Agents gelieferte Antworten, Kontakt- und Stammdaten der Nutzer (soweit übermittelt) sowie technische Daten (z.B. IP-Adresse, Geräte- und Verbindungsdaten). Eine produktspezifische Konkretisierung kann sich aus dem Bestellformular oder einer projektspezifischen Vereinbarung ergeben.

4 Kategorien der Personendaten

Kunden- und Nutzerdaten.

Exhibit 2 zum AVV — Subunternehmer

Stand: 21. Mai 2026

Hinweis: Diese Liste umfasst Subunternehmer, die Personendaten der Endnutzer im Rahmen der Service-Erbringung bearbeiten. Zahlungsdienstleister, CRM- und Buchhaltungsdienstleister von heyteo (zur Verwaltung der Geschäftsbeziehung mit dem Partner) bearbeiten keine Endnutzer-Personendaten im Sinne dieses AVV.