Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (der «AVV») wird geschlossen zwischen dem Kunden, der die Nutzungsbedingungen von Guard.ch akzeptiert hat (der «Kunde»), und dem Betreiber von Guard.ch:

Auftragsverarbeiter

Zesiger.net (eingetragener Name), Schweiz, handelnd als Guard.ch

Inhaber

Janis Zesiger

Datenschutzkontakt

[email protected]

Sitzadresse und Registerangaben

Wie im Impressum veröffentlicht

Dieser AVV ist integraler Bestandteil der Nutzungsbedingungen, sobald der Kunde über Guard.ch Personendaten Dritter verarbeitet. Mit der Annahme der Nutzungsbedingungen akzeptiert der Kunde diesen AVV zugleich für sich selbst und für jedes verbundene Unternehmen, das sein Konto nutzt. Der AVV gilt mit dieser Annahme als von beiden Parteien abgeschlossen und wird ohne separate Unterschrift wirksam. Eine gegengezeichnete Ausfertigung kann der Kunde per E-Mail an [email protected] anfordern.

Verlangt das anwendbare Datenschutzrecht zusätzliche Klauseln (etwa die EU-Standardvertragsklauseln, das vom EDÖB anerkannte Schweizer Pendant oder das UK International Data Transfer Addendum), gelten diese Klauseln durch Verweis als einbezogen und gehen jeder widersprechenden Bestimmung dieses AVV oder der Nutzungsbedingungen vor. Im Verhältnis zwischen diesem AVV und den Nutzungsbedingungen hat in Datenschutzfragen dieser AVV Vorrang.

Soweit nicht anders definiert, haben die nachstehenden Begriffe die hier angegebene Bedeutung; fehlt eine Definition, gilt die Bedeutung aus den Nutzungsbedingungen.

Anwendbares Datenschutzrecht

Das Schweizer Bundesgesetz über den Datenschutz (DSG), die Verordnung (EU) 2016/679 (DSGVO), die UK-DSGVO samt UK Data Protection Act 2018 sowie jedes weitere Datenschutzgesetz, das auf die Verarbeitung der Parteien unter diesem AVV anwendbar ist.

Verantwortlicher

Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von Personendaten entscheidet.

Auftragsverarbeiter

Zesiger.net; verarbeitet Personendaten im Auftrag des Verantwortlichen.

Personendaten

Alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen und die der Auftragsverarbeiter im Rahmen der Erbringung von Guard.ch im Auftrag des Verantwortlichen verarbeitet.

Verarbeitung

Jeder Umgang mit Personendaten, insbesondere das Erheben, Aufzeichnen, Speichern, Abrufen, Übermitteln, Löschen oder Vernichten.

Subprozessor

Ein Dritter, den der Auftragsverarbeiter mit der Verarbeitung von Personendaten im Auftrag des Verantwortlichen betraut, darunter Hosting-Anbieter, Betreiber von Edge-Knoten und Storage-Anbieter.

Betroffene Person

Die bestimmte oder bestimmbare natürliche Person, auf die sich Personendaten beziehen.

Dienst

Der Website-Untersuchungsdienst von Guard.ch: Der Verantwortliche reicht eine Ziel-URL ein, der Dienst öffnet sie in einem isolierten Remote-Browser, zeichnet das Geschehen auf und stellt dem Verantwortlichen die entstandene Aufzeichnung samt automatisierter Analyse zur Prüfung und zum Replay bereit.

Untersuchung

Ein einzelner, zeitlich begrenzter Lauf des Dienstes gegen eine vom Verantwortlichen eingereichte Ziel-URL, wie in den Nutzungsbedingungen definiert.

Aufzeichnung

Die Artefakte, die eine Untersuchung erzeugt (Bildschirmaufzeichnung, Netzwerk- und Ereignislog, Cookies, Zertifikate, Lookups und abgeleitete Analysen), gespeichert im Workspace, der die Untersuchung gestartet hat.

Der Auftragsverarbeiter verarbeitet Personendaten im Auftrag des Verantwortlichen ausschliesslich, um den Dienst zu erbringen und die dokumentierten Weisungen des Verantwortlichen umzusetzen. Die ausführliche Beschreibung der Verarbeitung steht in Anhang I; hier folgt die Zusammenfassung.

Für die Verarbeitung von Aufzeichnungsinhalten und Workspace-Artefakten ist der Kunde Verantwortlicher und Zesiger.net Auftragsverarbeiter. Der Kunde bestimmt, welche URLs untersucht werden und wer Zugriff auf den Workspace hat.

In einzelnen, begrenzten Bereichen legt jede Partei Zwecke und Mittel selbst fest; dort handeln beide Parteien als eigenständige Verantwortliche. Im Einklang mit Abschnitt 6.1 der Datenschutzerklärung gehören dazu: Abrechnungs- und Steuerunterlagen; das Erkennen und Verhindern von Missbrauch des Dienstes; die Absicherung der Plattform und Infrastruktur des Auftragsverarbeiters; gesetzliche Aufzeichnungspflichten des Auftragsverarbeiters; die Erfüllung rechtlicher Pflichten, die den Auftragsverarbeiter treffen (etwa eine verbindliche Anordnung einer Schweizer Behörde); sowie der Betrieb der eigenen Marketing-Website des Auftragsverarbeiters. Aufzeichnungsinhalte nutzt der Auftragsverarbeiter für keinen weiteren eigenen Zweck und nicht zum Trainieren von Modellen.

Der Kunde sichert zu, dass er nach dem anwendbaren Datenschutzrecht über eine gültige Rechtsgrundlage verfügt, wenn er den Auftragsverarbeiter anweist, die von ihm eingereichten URLs und Inhalte zu untersuchen; dazu gehören, wo rechtlich erforderlich, auch Transparenzhinweise an die betroffenen Personen der untersuchten Seiten. Was eine Untersuchung aufzeichnet, einschliesslich der Grenzen der eingebauten Minimierung, beschreibt Abschnitt 4.3 der Datenschutzerklärung; diese Beschreibung ist Teil der dokumentierten Weisung des Verantwortlichen.

Der Dienst erlaubt dem Kunden, das Replay einer Untersuchung von privat (Standard) auf Linkfreigabe umzustellen. Das Replay ist dann für jede Person sichtbar, die den Link kennt, bis die Freigabe widerrufen wird oder die Aufbewahrungsfrist abläuft. Das Aktivieren der Linkfreigabe gilt als dokumentierte Weisung, diese Aufzeichnung gegenüber jedem Inhaber des Links offenzulegen. Für die Rechtmässigkeit dieser Offenlegung ist der Kunde verantwortlich, auch gegenüber Dritten, deren Personendaten, Zugangsdaten, Cookies oder Formulareingaben in der Aufzeichnung erscheinen, ebenso dafür, die Freigabe zu widerrufen, sobald sie nicht mehr gebraucht wird.

In Bezug auf die Personendaten des Verantwortlichen verpflichtet sich der Auftragsverarbeiter zu Folgendem.

5.1 Dokumentierte Weisungen

Der Auftragsverarbeiter verarbeitet Personendaten nur auf dokumentierte Weisung des Verantwortlichen, auch was Übermittlungen in ein Drittland betrifft, es sei denn, Unionsrecht, das Recht eines Mitgliedstaats, Schweizer Recht oder anderes Recht, dem der Auftragsverarbeiter unterliegt, verpflichtet ihn zu etwas anderem. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Pflicht, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses untersagt. Die Weisungen des Verantwortlichen ergeben sich aus diesem AVV, den Nutzungsbedingungen, dem in der Datenschutzerklärung dokumentierten Aufzeichnungsverhalten und der vom Verantwortlichen im Produkt gewählten Konfiguration (Workspace-Einstellungen, Planwahl, Zugriffskontrollen). Hält der Auftragsverarbeiter eine Weisung für einen Verstoss gegen das anwendbare Datenschutzrecht, informiert er den Verantwortlichen unverzüglich.

5.2 Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der Personendaten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und dass jede Person nur auf das zugreifen kann, was sie für ihre Aufgabe braucht.

5.3 Sicherheit der Verarbeitung (Art. 32 DSGVO; Art. 8 DSG)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Anhang II fasst diese Massnahmen zusammen; im Detail sind sie unter /legal/security beschrieben. Der Auftragsverarbeiter überprüft und bewertet ihre Wirksamkeit laufend und entwickelt sie mit der Bedrohungslage und dem Stand der Technik weiter, ohne das Gesamtschutzniveau während einer Abonnementslaufzeit wesentlich abzusenken.

5.4 Unterstützung bei Betroffenenanfragen

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen, soweit möglich, mit geeigneten technischen und organisatorischen Massnahmen dabei, Anträge auf Ausübung der Betroffenenrechte nach Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) und die entsprechenden Rechte nach DSG und UK-DSGVO zu beantworten. Wendet sich eine betroffene Person wegen Aufzeichnungsinhalten direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter und antwortet nicht in der Sache, ausser er verarbeitet dieselben Daten nach Abschnitt 4 als eigenständiger Verantwortlicher.

5.5 Unterstützung bei Sicherheit, DSFA und Konsultationspflichten (Art. 32 bis 36 DSGVO)

Der Auftragsverarbeiter unterstützt den Verantwortlichen dabei, die Pflichten aus den Artikeln 32 bis 36 DSGVO einzuhalten, unter Berücksichtigung der Art der Verarbeitung und der ihm verfügbaren Informationen. Dazu gehören die Mithilfe bei Datenschutz-Folgenabschätzungen und bei vorherigen Konsultationen der Aufsichtsbehörden sowie die in Abschnitt 9 beschriebene Unterstützung bei Datenschutzverletzungen.

5.6 Rückgabe oder Löschung bei Vertragsende

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle Personendaten oder gibt sie an ihn zurück und löscht vorhandene Kopien, sofern nicht Unionsrecht, das Recht eines Mitgliedstaats, Schweizer Recht oder anderes anwendbares Recht ihre Speicherung verlangt. Die Standardlöschung erfolgt automatisch mit Ablauf der Aufbewahrungsfrist des Plans (ein Tag auf Free-Plänen, ein Monat auf bezahlten Plänen). Nach Ende des Abonnements bleiben Aufzeichnungen bis zu einem (1) Monat für den Export erhalten und werden dann zusammen mit den Workspace-Metadaten gelöscht, im Einklang mit Ziffer 14 der Nutzungsbedingungen. Der Verantwortliche kann schriftlich eine frühere Löschung verlangen. Verschlüsselte Backups laufen innerhalb weiterer fünfunddreissig (35) Tage nach der Primärlöschung aus. Unterlagen, die der Auftragsverarbeiter aufgrund gesetzlicher Aufbewahrungspflichten behalten muss (etwa Schweizer Buchführungsunterlagen nach Art. 958f OR), bewahrt er nur für die gesetzliche Dauer auf.

5.7 Nachweis der Einhaltung

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind, und ermöglicht und unterstützt Audits durch den Verantwortlichen oder einen von ihm beauftragten Prüfer, nach Massgabe von Abschnitt 10.

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung, für die Verarbeitung von Personendaten Subprozessoren beizuziehen. Die aktuelle Liste der genehmigten Subprozessoren, je Anbieter mit Rolle, Standort und Transfergarantie, wird unter /legal/subprocessors geführt und ist Teil dieses AVV (Anhang III).

Will der Auftragsverarbeiter einen Subprozessor, der Personendaten des Verantwortlichen verarbeitet, hinzufügen oder ersetzen, kündigt er die Änderung mindestens dreissig (30) Tage vor dem Wirksamwerden an: durch Aktualisierung der Subprozessoren-Seite und, sofern der Verantwortliche die dort beschriebenen Änderungsmitteilungen abonniert hat, per E-Mail. Änderungen ohne Auswirkung darauf, wie Personendaten verarbeitet, gespeichert oder übermittelt werden (etwa die Umfirmierung eines Anbieters, eine Adressänderung oder die Streichung eines Anbieters), können ohne Ankündigungsfrist mit der nächsten routinemässigen Aktualisierung des Verzeichnisses nachgeführt werden. Der Verantwortliche kann aus nachvollziehbaren Datenschutzgründen innert vierzehn (14) Tagen nach der Mitteilung schriftlich an [email protected] Widerspruch erheben. Geht ein fristgerechter Widerspruch ein, suchen die Parteien nach Treu und Glauben eine praktikable Alternative. Lässt sich keine Alternative vernünftigerweise vereinbaren, kann der Verantwortliche den betroffenen Teil des Dienstes ohne Vertragsstrafe kündigen und erhält für die ungenutzte Laufzeit eine anteilige Rückerstattung; dies ist sein einziger Rechtsbehelf.

Der Auftragsverarbeiter verpflichtet jeden Subprozessor durch schriftlichen Vertrag auf Datenschutzpflichten, die inhaltlich nicht weniger schützen als dieser AVV, insbesondere auf hinreichende Garantien für geeignete technische und organisatorische Massnahmen. Gegenüber dem Verantwortlichen haftet der Auftragsverarbeiter vollumfänglich dafür, dass jeder Subprozessor seine Pflichten erfüllt.

Der Auftragsverarbeiter hat seinen Sitz in der Schweiz, der sowohl die Europäische Kommission als auch das Vereinigte Königreich ein angemessenes Datenschutzniveau attestieren. Alle dauerhaften Kundeninhalte, einschliesslich Aufzeichnungen, Kontodaten und der Produktionsdatenbank, liegen im Hetzner-Rechenzentrum in Helsinki, Finnland (EU/EWR). Von Aufzeichnungen existiert nirgendwo sonst eine dauerhafte Kopie.

Edge-Knoten in Singapur, Salt Lake City (USA) und Beauharnois (Kanada) betreiben den Untersuchungs-Container, rendern die Seite und schreiben die Aufzeichnungsartefakte für die Dauer der Untersuchung in das beschreibbare Dateisystem des Containers. Am Ende der Untersuchung werden die Artefakte über TLS nach Helsinki hochgeladen, und der Container wird samt beschreibbarer Schicht zerstört; zwischen zwei Untersuchungen verbleibt nichts auf einem Edge-Knoten. Flüchtige Aufzeichnungsdaten können daher für die begrenzte Lebensdauer des Untersuchungs-Containers ausserhalb des EWR und der Schweiz verarbeitet werden.

Übermittlungen von Personendaten ausserhalb des EWR, der Schweiz und des Vereinigten Königreichs sind wie folgt abgesichert, analog zu Abschnitt 9 der Datenschutzerklärung:

• Kanada (Beauharnois): der Angemessenheitsbeschluss der Europäischen Kommission für den kanadischen Privatsektor unter PIPEDA, nach Schweizer Recht gleichwertig anerkannt; ergänzend bestehen die EU-Standardvertragsklauseln (Modul 3, Auftragsverarbeiter zu Auftragsverarbeiter) und das vom EDÖB anerkannte Schweizer Pendant.
• Singapur und USA (Edge-Knoten): die EU-Standardvertragsklauseln (Modul 3) und das vom EDÖB anerkannte Schweizer Pendant, dazu Transportverschlüsselung sowohl für den Analysten-Stream als auch für den Artefakt-Upload nach Helsinki.
• Subprozessoren mit Sitz in den USA: Ist der einzelne Anbieter unter dem EU-US Data Privacy Framework samt Schweizer Erweiterung zertifiziert, wie je Anbieter im Subprozessoren-Verzeichnis ausgewiesen, dient diese Zertifizierung als primärer Transfermechanismus, und die EU-Standardvertragsklauseln greifen als Rückfallebene. Für alle übrigen US-Übermittlungen gelten die EU-Standardvertragsklauseln und das vom EDÖB anerkannte Schweizer Pendant.
• Vereinigtes Königreich: Soweit die UK-DSGVO auf eine Übermittlung anwendbar ist, stützt sich der Auftragsverarbeiter auf die UK-Angemessenheitsregelungen für die Schweiz und den EWR und bei Weiterübermittlungen auf die unter der UK-DSGVO anerkannten Garantien (einschliesslich, soweit abgeschlossen, des International Data Transfer Addendum der ICO zu den EU-Standardvertragsklauseln).

Für die beschriebenen Übermittlungen führt der Auftragsverarbeiter Transfer Impact Assessments durch und stellt dem Verantwortlichen auf schriftliche Anfrage an [email protected] eine Kopie der einschlägigen Assessments und Klauseln zur Verfügung.

Der Dienst stellt Self-Service-Werkzeuge bereit, mit denen der Verantwortliche Aufzeichnungen und Workspace-Artefakte einsehen, exportieren und löschen kann. Einzelne Datenpunkte innerhalb einer gespeicherten Aufzeichnung lassen sich damit derzeit nicht schwärzen oder bearbeiten: Gelöscht wird auf der Ebene der ganzen Aufzeichnung. Der Verantwortliche ist dafür verantwortlich, Betroffenenanfragen mit den verfügbaren Werkzeugen innerhalb der gesetzlichen Frist zu beantworten.

Kann der Verantwortliche eine Anfrage mit den Self-Service-Werkzeugen nicht erfüllen, hilft der Auftragsverarbeiter auf schriftliche Anfrage an [email protected]. Übliche Unterstützung ist im Abonnementspreis enthalten. Für offensichtlich unbegründete, überzogene oder sich wiederholende Anfragen kann ein angemessener Kostenersatz verlangt werden, soweit Art. 12 Abs. 5 DSGVO oder die entsprechende Bestimmung eines anderen anwendbaren Datenschutzgesetzes dies zulässt.

Über jede Verletzung des Schutzes von Personendaten, die Personendaten des Verantwortlichen betrifft, benachrichtigt der Auftragsverarbeiter den Verantwortlichen ohne unnötige Verzögerung, in jedem Fall innert achtundvierzig (48) Stunden nach Bekanntwerden, entsprechend der Zusage in Abschnitt 17 der Datenschutzerklärung. Die Benachrichtigung geht an die E-Mail-Adresse, die im Konto des Verantwortlichen hinterlegt ist.

Die Benachrichtigung enthält, soweit zum Zeitpunkt der Meldung bekannt:

• Eine Beschreibung der Art der Verletzung, nach Möglichkeit mit den Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze.
• Die wahrscheinlichen Folgen der Verletzung.
• Die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung, gegebenenfalls einschliesslich Massnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.
• Den Datenschutzkontakt des Auftragsverarbeiters für Rückfragen.

Liegen nicht alle Informationen gleichzeitig vor, dürfen sie ohne unangemessene weitere Verzögerung schrittweise nachgereicht werden. Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und liefert weitere Informationen, sobald sie verfügbar sind, damit der Verantwortliche seine eigenen Pflichten erfüllen kann: Nach Art. 33 DSGVO muss der Verantwortliche die zuständige Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden ab Kenntnis benachrichtigen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für natürliche Personen; nach Art. 34 DSGVO muss er die betroffenen Personen informieren, wenn die Verletzung voraussichtlich ein hohes Risiko zur Folge hat; und nach Art. 24 DSG muss ein Verantwortlicher, der Schweizer Recht untersteht, dem EDÖB so rasch als möglich Meldung erstatten, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt. Die Pflicht des Auftragsverarbeiters unter diesem AVV ist die Benachrichtigung des Verantwortlichen; Aufsichtsbehörden oder betroffene Personen benachrichtigt er nicht im Namen des Verantwortlichen, ausser er wird schriftlich ausdrücklich dazu angewiesen oder das auf ihn anwendbare Recht verlangt es.

Audit- und Informationsanfragen unterstützt der Auftragsverarbeiter in folgender Reihenfolge. Erstens stellt er seine schriftliche Sicherheitsdokumentation bereit: die öffentliche Sicherheitserklärung unter /legal/security, Anhang II dieses AVV, das Subprozessoren-Verzeichnis und auf Anfrage weitere Architektur- und Kontrollbeschreibungen. Zweitens beantwortet er angemessene schriftliche Sicherheitsfragebögen des Verantwortlichen kostenlos, höchstens einmal alle zwölf (12) Monate, es sei denn, eine Datenschutzverletzung, die den Verantwortlichen betrifft, oder eine verbindliche Anordnung einer zuständigen Aufsichtsbehörde rechtfertigt eine weitere Runde.

Der Auftragsverarbeiter verfügt derzeit weder über einen SOC-2-Bericht noch über ein ISO/IEC-27001-Zertifikat noch über den Bericht eines abgeschlossenen externen Penetrationstests; Audit-Anfragen lassen sich nicht durch Verweis auf solche Dokumente erledigen. Der aktuelle Zertifizierungsstand ist unter /legal/security ehrlich ausgewiesen. Erlangt der Auftragsverarbeiter künftig eine einschlägige Bestätigung eines Dritten, kann er sie zur Erfüllung einer Audit-Anfrage anbieten, soweit sie deren Umfang abdeckt.

Reichen die genannten schriftlichen Informationen für den Nachweis der Einhaltung nicht aus oder verlangen das anwendbare Datenschutzrecht oder eine zuständige Aufsichtsbehörde ein Audit, darf der Verantwortliche (oder ein von ihm beauftragter unabhängiger Prüfer, der kein Wettbewerber des Auftragsverarbeiters ist) die Einhaltung dieses AVV unter folgenden Bedingungen prüfen: höchstens einmal alle zwölf (12) Monate, ausser eine Datenschutzverletzung, die den Verantwortlichen betrifft, oder eine verbindliche Anordnung einer zuständigen Aufsichtsbehörde gibt Anlass dazu; mit schriftlicher Ankündigung von mindestens dreissig (30) Tagen; während der üblichen Geschäftszeiten; aus der Ferne, wo dies vernünftigerweise möglich ist; beschränkt auf die Verarbeitung unter diesem AVV; ohne Zugriff auf Daten anderer Kunden oder auf Informationen, die die Sicherheit des Dienstes gefährden würden; und unter der Bedingung, dass der Prüfer eine angemessene Vertraulichkeitsvereinbarung unterzeichnet. Jede Partei trägt ihre eigenen Kosten; dauert ein Audit länger als einen Werktag, erstattet der Verantwortliche dem Auftragsverarbeiter zusätzlich dessen angemessenen Zeitaufwand und Auslagen, ausser das Audit deckt einen wesentlichen Verstoss des Auftragsverarbeiters gegen diesen AVV auf; in diesem Fall trägt der Auftragsverarbeiter seine eigenen Kosten und erstattet dem Verantwortlichen dessen angemessene Audit-Kosten.

Die Haftung jeder Partei unter diesem AVV richtet sich nach den Haftungsbeschränkungen der Nutzungsbedingungen. Die Gesamthaftung des Auftragsverarbeiters aus diesem AVV und den Nutzungsbedingungen zusammen ist gemäss Ziffer 19 der Nutzungsbedingungen begrenzt. Nichts in diesem AVV beschränkt oder schliesst eine Haftung aus, die sich nach dem anwendbaren Datenschutzrecht nicht beschränken oder ausschliessen lässt, einschliesslich der Haftung gegenüber betroffenen Personen nach Art. 82 DSGVO.

Der Kunde stellt den Auftragsverarbeiter von Ansprüchen betroffener Personen oder von Aufsichtsbehörden frei, soweit diese Ansprüche auf Weisungen oder Inhalten des Kunden beruhen (etwa URLs, deren Untersuchung der Kunde unter Verstoss gegen das anwendbare Datenschutzrecht in Auftrag gegeben hat). Der Auftragsverarbeiter stellt den Kunden von Ansprüchen frei, soweit sie auf einer Verletzung seiner Pflichten aus diesem AVV beruhen. Ist der Kunde Konsument, gelten diese Freistellungen nur, soweit das zwingende Recht an seinem gewöhnlichen Aufenthaltsort sie zulässt.

Dieser AVV tritt am oben angegebenen Datum in Kraft oder, falls später, an dem Tag, an dem der Kunde die Nutzungsbedingungen erstmals akzeptiert. Er gilt, solange der Auftragsverarbeiter Personendaten im Auftrag des Verantwortlichen verarbeitet.

Mit der Beendigung des Abonnements stellt der Auftragsverarbeiter die Verarbeitung von Personendaten im Auftrag des Verantwortlichen ein (abgesehen vom Export-Aufbewahrungsfenster und den gesetzlichen Aufbewahrungspflichten nach Abschnitt 5.6) und löscht die Daten oder gibt sie zurück, nach Wahl des Verantwortlichen. Bestimmungen, die ihrer Natur nach fortgelten sollen (Vertraulichkeit, Haftung, anwendbares Recht), bleiben in Kraft.

Dieser AVV untersteht dem materiellen Recht der Schweiz unter Ausschluss der Kollisionsregeln. Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Schmiedrued, Schweiz, vorbehaltlich zwingender Gerichtsstände des anwendbaren Datenschutzrechts (insbesondere des Rechts betroffener Personen, an ihrem gewöhnlichen Aufenthaltsort zu klagen).

Für jede Datenschutzfrage und zur Ausübung von Rechten unter diesem AVV wendet sich der Kunde an [email protected].

Dieser Anhang beschreibt die Verarbeitung von Personendaten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen durchführt. Gelten für eine Übermittlung unter diesem AVV die EU-Standardvertragsklauseln, dient dieser Anhang als die in deren Anhang I geforderte Beschreibung der Verarbeitung.

Der Auftragsverarbeiter setzt die technischen und organisatorischen Massnahmen um, die unter /legal/security vollständig beschrieben sind, samt der Angabe, was heute umgesetzt ist und was auf der Roadmap steht. Die folgende Zusammenfassung gibt den aktuellen Stand wieder.

• Verschlüsselung. Mindestens TLS 1.2, bevorzugt TLS 1.3 für den gesamten HTTP-Verkehr; wo WebRTC zum Einsatz kommt, sind die Medienströme des Remote-Browsers zusätzlich mit DTLS-SRTP geschützt; Aufzeichnungsartefakte werden über TLS in den Speicher hochgeladen, und interne Aufrufe zwischen Edge-Ebene und Backend sind mit einem Shared-Secret-Header authentifiziert. Die Speichervolumes in Helsinki sind auf Blockebene verschlüsselt; Backups bleiben in der Helsinki-Umgebung und unterliegen derselben Verschlüsselung im Ruhezustand. Zugangsdaten der Konten werden mit bcrypt gehasht.
• Isolation und Vertraulichkeit. Jede Untersuchung läuft in einem eigenen Container mit frischer Dateisystem-Schicht und getrennten Prozess- und Netzwerk-Namespaces; Container können weder die Dateisysteme noch die Prozesse anderer Container sehen. Am Ende der Untersuchung wird der Container zerstört und seine beschreibbare Schicht verworfen; zwischen zwei Untersuchungen verbleiben keine Aufzeichnungsdaten auf einem Edge-Knoten. Gespeicherte Aufzeichnungen sind an den erzeugenden Workspace gebunden; Zugriffe über Workspace-Grenzen hinweg weist das Backend ab (Default Deny).
• Zugriffskontrolle. Eigene Zugangsdaten pro Konto mit Passkey-Unterstützung (WebAuthn); rollenbasierte Zugriffskontrolle und OIDC Single Sign-on auf den Plänen, die sie enthalten; opake, serverseitig widerrufbare Session-Token, gebunden an den ausstellenden Workspace. Der interne Produktionszugriff ist nach dem Least-Privilege-Prinzip auf den kleinstmöglichen Personenkreis beschränkt; sensible Operationen werden in einem Append-only-Audit-Log festgehalten.
• Netzwerksegmentierung. Browser-Container halten keine Speicher-Zugangsdaten; Lesezugriffe auf den Speicher laufen über das Backend, das Workspace-Mitgliedschaft und Eigentum an der Aufzeichnung prüft, bevor es eine Download-URL ausstellt; der einzige ausgehende Netzwerkzugang des Remote-Browsers ist das öffentliche Internet.
• Verfügbarkeit und Wiederherstellung. Laufende Überwachung von Backend, Proxy, Edge-Flotte und Speicherebene mit Bereitschafts-Alarmierung; ein dokumentierter Incident-Response-Prozess; verschlüsselte Backups, die innerhalb von fünfunddreissig (35) Tagen nach der Primärlöschung auslaufen.
• Schwachstellenmanagement. Gepinnte Abhängigkeiten mit überwachten Sicherheitsmeldungen; zügiges Patchen kritischer CVEs auf Komponenten mit Internet-Exposition; regelmässige Neubauten der Browser-Images gegen den neuesten stabilen Upstream. Einen externen Penetrationstest hat der Auftragsverarbeiter noch nicht abgeschlossen; einer ist für 2026 geplant, und es wird keine Zertifizierung oder Bestätigung (SOC 2, ISO/IEC 27001) beansprucht (siehe Abschnitt 10).
• Eingebaute Datenminimierung. Maskierung von Passwortfeldern, Zeichen-Obergrenzen pro Feld und Payload, Ausschluss binärer Antwortinhalte, harte Zeit- und Ereignislimiten pro Untersuchung, planbasierte Aufbewahrung und Self-Service-Löschung. Eine automatisierte Schwärzung von Inhalten jenseits der Passwörter, eine Eingrenzung der Aufzeichnung oder eine Prüfung vor dem Upload bietet die Pipeline derzeit nicht; diese Grenzen sind in Abschnitt 4.3 der Datenschutzerklärung offengelegt.
• Governance. Dokumentierter Datenschutzkontakt ([email protected]), interne Eskalation bei Vorfällen und ein öffentliches Subprozessoren-Verzeichnis mit Änderungsmitteilung.
• Physische Sicherheit. Die dauerhafte Speicherung läuft in den Rechenzentren der im Subprozessoren-Verzeichnis aufgeführten Hosting-Anbieter, die physische Zutrittskontrollen im Rahmen eigener auditierter Programme betreiben; der Auftragsverarbeiter stützt sich auf diese Kontrollen der Anbieter und betreibt keine eigenen Rechenzentren.

Der vollständige Massnahmenkatalog und die ehrliche Auflistung, welche Zertifizierungen der Auftragsverarbeiter hält und welche nicht, sind unter /legal/security veröffentlicht und werden bei jeder wesentlichen Änderung der Kontrollen aktualisiert.

Die aktuelle Liste der genehmigten Subprozessoren, mit Name der juristischen Einheit, Land der Verarbeitung, Umfang der Verarbeitung und anwendbarem Transfermechanismus, ist unter /legal/subprocessors veröffentlicht und Teil dieses AVV.

Jeder Subprozessor, der dort im Zeitpunkt der Annahme dieses AVV aufgeführt ist, gilt als vom Verantwortlichen genehmigt. Spätere Ergänzungen oder Ersetzungen werden nach Abschnitt 6 angekündigt.