Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten gemäss Art. 28 DSGVO und Art. 9 revDSG zwischen dir als Gastgeber (Verantwortlicher) und der TEAM M digital GmbH (Auftragsverarbeiter).

1. Vertragsparteien

Verantwortlicher: Du als Gastgeber, identifiziert über dein CheckYout-Konto (E-Mail-Adresse).

Auftragsverarbeiter:
TEAM M digital GmbH
Trogenstrasse 6
3653 Oberhofen am Thunersee
Schweiz

2. Gegenstand und Dauer

Dieser AVV gilt für die Dauer deiner Nutzung von CheckYout. Er endet automatisch mit der Löschung deines Kontos.

3. Art und Zweck der Verarbeitung

CheckYout verarbeitet personenbezogene Daten in deinem Auftrag, um folgende Funktionen bereitzustellen:

Personalisierte Begrüssung deiner Gäste auf der Check-out-Seite (Vorname via PMS)
Versand von Check-out-Benachrichtigungen an deine Reinigungskräfte (Telefonnummer, E-Mail, WhatsApp)
Koordination aufeinanderfolgender Buchungen (z.B. Erkennung gleichtägiger Anreise)
Steuerung der mit deinem Konto verbundenen Smart-Home-Geräte (Heizung, Licht, Türschloss) in Abhängigkeit vom Buchungsstatus
Übermittlung an deine konfigurierten Webhooks
Statistiken und Reporting in deinem Dashboard

4. Art der personenbezogenen Daten

Gastdaten aus PMS-Integration:

Vor- und Nachname des Gasts
Check-in-Datum und -Uhrzeit
Check-out-Datum und -Uhrzeit
Buchungskanal (z.B. Booking.com, Airbnb, Direktbuchung)
PMS-interne Buchungs-ID
Anzahl der angemeldeten Gäste
Zuordnung zur gebuchten Unterkunft

Kontaktdaten deiner Reinigungskräfte:

Name
Telefonnummer (für WhatsApp-Benachrichtigung)
E-Mail-Adresse (für E-Mail-Benachrichtigung)

Sonstige Daten:

Webhook-Empfangsadressen (optional, von dir konfiguriert)

Nicht aus dem PMS geladen und nicht verarbeitet werden: E-Mail-Adressen oder Telefonnummern von Gästen, Zahlungsdaten, Ausweis- oder Meldedaten sowie Kommunikation zwischen Gast und Gastgeber.

5. Kategorien betroffener Personen

Gäste deiner Ferienwohnungen
Mitarbeitende deiner Reinigungsteams

6. Pflichten des Auftragsverarbeiters

CheckYout verpflichtet sich, die Daten ausschliesslich zur Erfüllung dieses Vertrags zu verarbeiten und folgende Pflichten zu erfüllen:

Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (= deine Konfiguration im Dashboard)
Verschwiegenheit aller mit der Verarbeitung beauftragten Personen
Umsetzung angemessener technischer und organisatorischer Massnahmen (siehe Anhang 1)
Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten
Meldung von Datenpannen innerhalb von 24 Stunden nach Kenntnisnahme

7. Subunternehmer

Folgende Subunternehmer setzen wir mit deiner Zustimmung ein:

Vercel Inc. (USA, DPF) — Hosting
Supabase Inc. (USA, EU-Rechenzentrum) — Datenbank
Twilio Inc. (USA, DPF) — WhatsApp-Versand (über Meta Platforms Ireland Ltd.)
Resend Inc. (USA, DPF) — E-Mail-Versand
Stripe Payments Europe Ltd. (Irland) — Zahlungsabwicklung

Wir informieren dich per E-Mail mindestens 30 Tage im Voraus über jede beabsichtigte Änderung dieser Liste. Du kannst widersprechen — bei berechtigten Gründen kannst du den Vertrag in diesem Fall ausserordentlich kündigen.

8. Technische und organisatorische Massnahmen (Anhang 1)

Gemäss Art. 32 DSGVO / Art. 8 revDSG setzen wir folgende Massnahmen zum Schutz der in deinem Auftrag verarbeiteten personenbezogenen Daten ein:

Vertraulichkeit — Zugriff, Authentifizierung

Zwei-Faktor-Authentifizierung verfügbar (TOTP via Authenticator-App, Passkeys/WebAuthn)
Zwei-Faktor-Authentifizierung für alle Administrator-Konten erzwungen (AAL2-Session)
Passwort-Mindestlänge 10 Zeichen mit Entropie-Prüfung (zxcvbn, Score ≥ 3) und Abgleich gegen bekannte Datenpannen (Have-I-Been-Pwned k-Anonymity-Range)
Rate-Limiting auf Authentifizierungs-Endpunkten (IP- und E-Mail-basiert, Upstash Redis)
Account-Lockout nach 5 Fehlversuchen pro E-Mail / 15 Minuten
Geräte-Tracking mit E-Mail-Benachrichtigung bei Anmeldung von neuem Gerät
Rollenbasierte Zugriffskontrolle (super_admin, dpo, support) mit 4-Augen-Prinzip bei kritischen Operationen
Row Level Security (PostgreSQL RLS) auf allen personenbezogenen Tabellen
Sensible Aktionen (z. B. Löschung nach Art. 17 DSGVO) erfordern Step-up-MFA mit frischem TOTP-Code

Integrität — Kryptografie, Transport

TLS 1.3 für sämtliche Übertragung; HTTP Strict Transport Security (HSTS) mit Preload
Content-Security-Policy (CSP) zur Abwehr von XSS-basierter Datenexfiltration
Weitere Sicherheits-Header: X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy, Permissions-Policy, X-Permitted-Cross-Domain-Policies
Passwort-Speicherung mit bcrypt (via Supabase Auth)
Anwendungsseitige AES-256-GCM-Verschlüsselung aller sensiblen Zugangs-Tokens (OAuth Access-/Refresh-Tokens für Smart-Home- und Smart-Lock-Integrationen, PMS-API-Schlüssel)
HMAC-SHA256-Signaturen für alle ausgehenden Partner-Webhooks, Timing-safe Verify auf Empfängerseite dokumentiert
Server-Side-Request-Forgery-Schutz für Partner-Webhook-Zustellung (Block privater IP-Bereiche, Cloud-Metadata-Endpoints, interner Hostnamen — mit DNS-Rebinding-Schutz vor jedem ausgehenden Request)

Verfügbarkeit — Backup, Wiederherstellung

Tägliche Datenbank-Snapshots mit Point-in-Time-Recovery (Supabase Pro)
Disaster-Recovery-Runbook für Datenbank-Ausfall, Datenpanne, Ransomware und Verlust kritischer Schlüssel
Quartalsweiser Restore-Test gegen Staging-Umgebung
Code und Konfiguration versioniert in Git; Produktions-Deployments via Vercel mit Rollback-Fähigkeit

Nachvollziehbarkeit — Rechenschaftspflicht

Revisionssicherer Audit-Log aller Administrations- und sicherheitsrelevanten Aktionen (append-only, kein UPDATE, kein DELETE), gemäss Art. 5 Abs. 2 DSGVO
Separater Sicherheits-Ereignis-Log pro Benutzer (Anmeldungen, MFA-Änderungen, Recovery-Code-Nutzung, Sitzungsabmeldung)
Pseudonymisierung wo möglich (z. B. automatische Nullung von IP-Adressen und User-Agents in Gast-Ereignissen nach 30 Tagen)

Organisatorische Massnahmen

Automatisierte Abhängigkeits-Überprüfung (Dependabot, wöchentlich) mit gruppierten Sicherheits-Updates
Statische Code-Sicherheitsanalyse (CodeQL) bei jedem Commit auf main
Secret-Scanning im Code-Repository (TruffleHog, verifizierte Funde) + Pre-Commit-Hook gegen versehentliches Committen von Zugangsdaten
Verantwortlicher Offenlegungs-Prozess für Sicherheitsforschende (security.txt, Policy)
Rotationsprozess für Admin-Zugangsdaten; separate Aufbewahrung kritischer Schlüssel (z. B. Master-Verschlüsselungsschlüssel offline im Tresor)

9. Mitwirkung bei Betroffenenrechten

Erhältst du als Verantwortlicher eine Anfrage einer betroffenen Person (Auskunft, Berichtigung, Löschung), unterstützen wir dich bei der Beantwortung. Schreibe uns an info@checkyout.app.

10. Datenpannen

Bei Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informieren wir dich unverzüglich, spätestens innerhalb von 24 Stunden, per E-Mail an die in deinem Konto hinterlegte Adresse.

11. Löschung und Aufbewahrungsfristen

Gastdaten aus PMS-Integrationen werden automatisch 30 Tage nach dem Check-out-Datum gelöscht. Webhook-Logs werden nach 30 Tagen automatisch gelöscht. Versandprotokolle an deine Reinigungskräfte (WhatsApp, E-Mail) werden nach 90 Tagen gelöscht.

Nach Beendigung des Vertrags löschen wir alle übrigen in deinem Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen — sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z.B. Rechnungsdaten: 10 Jahre).

Du kannst die Löschung einzelner Datensätze jederzeit über dein Dashboard oder per E-Mail an info@checkyout.app anordnen.

12. Kontrollrechte

Du kannst die Einhaltung dieses AVV jederzeit kontrollieren. Schriftliche Anfragen beantworten wir innerhalb von 30 Tagen.

13. Haftung

Es gilt die gesetzliche Haftungsregelung gemäss Art. 82 DSGVO bzw. Art. 39 revDSG.

14. Schlussbestimmungen

Änderungen dieses AVV bedürfen der Textform. Es gilt schweizerisches Recht. Gerichtsstand ist Thun.