Subprozessoren-Verzeichnis
Die Drittanbieter, die Personendaten unserer Kunden im Auftrag von Guard.ch verarbeiten.
Einführung und Geltungsbereich
Ein Subprozessor ist ein Drittanbieter, den Guard.ch (betrieben von Zesiger.net) beizieht, um Personendaten in unserem Auftrag zu verarbeiten und so den Dienst zu erbringen. Dieses Verzeichnis nennt jeden dieser Anbieter, seine Rolle, die Kategorien der verarbeiteten Personendaten, den Ort der Verarbeitung und die Transfergarantie, auf die sich die Verarbeitung stützt.
Bei Untersuchungsinhalten handelt Guard.ch als Auftragsverarbeiter auf dokumentierte Weisung des Kunden; die Anbieter, die mit diesen Inhalten in Berührung kommen (dauerhafte Speicherung, Edge-Knoten für Aufzeichnungen, die KI-Analyseanbieter), sind Subprozessoren im Sinne von Art. 28 Abs. 2 und 4 DSGVO. Bei Konto-, Abrechnungs-, Sicherheits- und Plattformdaten handelt Guard.ch als Verantwortlicher, und die entsprechenden Anbieter sind unsere Auftragsverarbeiter. Der Transparenz halber führt dieses Verzeichnis beide Kategorien im selben Format auf. Wie sich die Tätigkeiten als Auftragsverarbeiter und als Verantwortlicher aufteilen, steht in Abschnitt 6.1 der Datenschutzerklärung.
Diese Seite ist das öffentliche Verzeichnis, auf das unser Auftragsverarbeitungsvertrag verweist. Widersprechen sich dieses Verzeichnis und der Auftragsverarbeitungsvertrag in einem wesentlichen Punkt, geht für den Vertragskunden der Auftragsverarbeitungsvertrag vor.
Ankündigung von Änderungen
Bevor wir einen Subprozessor aufnehmen oder ersetzen, der Personendaten unserer Kunden verarbeitet, aktualisieren wir dieses Verzeichnis mindestens dreissig (30) Tage im Voraus; so können Kunden die Änderung prüfen und ihr widersprechen, bevor sie wirksam wird. Änderungen ohne Einfluss darauf, wie Personendaten unserer Kunden verarbeitet, gespeichert oder übermittelt werden (etwa eine Umfirmierung, eine neue Adresse oder die Streichung eines Anbieters), übernehmen wir ohne Ankündigungsfrist mit der nächsten routinemässigen Aktualisierung.
Kunden und Interessenten können schriftliche Änderungsmitteilungen abonnieren: Schick dazu das Wort «subscribe» an [email protected]. Die Liste dient ausschliesslich Mitteilungen zu Subprozessoren und Rechtsdokumenten; abmelden kannst du dich jederzeit mit einer Antwort «unsubscribe».
Infrastruktur und Hosting
Alle dauerhaft gespeicherten Kundendaten, einschliesslich Untersuchungsaufzeichnungen, Produktionsdatenbank und Backups, liegen in einer einzigen Primärregion: im Rechenzentrum von Hetzner in Helsinki, Finnland (EWR). Es gibt nirgendwo sonst eine dauerhafte Kopie einer Aufzeichnung und keine Replikation über mehrere Regionen. Die Edge-Knoten in Singapur, Salt Lake City und Beauharnois führen die isolierten Untersuchungs-Container aus und streamen sie per WebRTC an die Nutzer; Aufzeichnungsartefakte existieren auf einem Edge-Knoten nur in der beschreibbaren Schicht des Containers, für die Dauer der Untersuchung und des Uploads nach Helsinki. Danach werden der Container und seine beschreibbare Schicht zerstört.
Die Edge-Knoten sind dedizierte Server, gemietet bei den unten pro Standort aufgeführten Rechenzentrumsanbietern. Vertragsunterlagen der Anbieter und Details zu den Transfer Impact Assessments erhalten Kunden auf schriftliche Anfrage an [email protected].
| Anbieter | Rolle und Zweck | Datenkategorien | Standort | Transfergarantie |
|---|---|---|---|---|
| Hetzner Online GmbH | Dauerhaftes Hosting: Produktionsdatenbank, S3-kompatibler Objektspeicher für Untersuchungsaufzeichnungen, Kontodaten und Abrechnungsunterlagen sowie verschlüsselte Backups. | Alle dauerhaft gespeicherten Personendaten unserer Kunden: Kontodaten, Zahlungs-Metadaten, Untersuchungsaufzeichnungen, Logs und Backups. | Helsinki, Finnland (EWR). Sitz der Gesellschaft: Gunzenhausen, Deutschland. | Verarbeitung innerhalb des EWR; die DSGVO gilt unmittelbar, und der EWR ist nach Schweizer Datenschutzrecht als angemessen anerkannt, ein zusätzlicher Transfermechanismus ist deshalb nicht nötig. Ein Auftragsverarbeitungsvertrag mit Hetzner liegt vor. |
| OVHcloud (OVH Singapore PTE Ltd) | Betreibt den Edge-Knoten, der die isolierten Untersuchungs-Container und das WebRTC-Streaming für Untersuchungen aus dem Raum Asien-Pazifik ausführt. | Flüchtige Aufzeichnungsartefakte (Bildschirmaufzeichnung, Ereignislog, Metadaten) innerhalb des Untersuchungs-Containers, nur für die Dauer der Untersuchung und des Uploads nach Helsinki. Zwischen zwei Untersuchungen verbleiben dort keine Kundendaten. | Singapur. OVHcloud führt Singapur als Dedicated-Server-Region für Asien-Pazifik. | Für Singapur besteht kein Angemessenheitsbeschluss der EU oder der Schweiz. Auftragsverarbeitungsbedingungen von OVHcloud, EU-Standardvertragsklauseln (Modul Auftragsverarbeiter zu Auftragsverarbeiter) und das vom EDÖB anerkannte Schweizer Pendant, dazu Verschlüsselung bei der Übertragung (TLS 1.3, DTLS-SRTP) für den Analysten-Stream und den Artefakt-Upload. |
| FiberState, LLC | Betreibt den Edge-Knoten, der die isolierten Untersuchungs-Container und das WebRTC-Streaming für Untersuchungen aus Nordamerika ausführt. | Flüchtige Aufzeichnungsartefakte (Bildschirmaufzeichnung, Ereignislog, Metadaten) innerhalb des Untersuchungs-Containers, nur für die Dauer der Untersuchung und des Uploads nach Helsinki. Zwischen zwei Untersuchungen verbleiben dort keine Kundendaten. | Salt Lake City, Utah, USA. Von FiberState publizierte Anschrift: 106 East 13200 South, Draper, UT 84020, USA. | FiberState ist nicht unter dem EU-US Data Privacy Framework zertifiziert. EU-Standardvertragsklauseln (Modul Auftragsverarbeiter zu Auftragsverarbeiter) und das vom EDÖB anerkannte Schweizer Pendant, ein dokumentiertes Transfer Impact Assessment sowie Verschlüsselung bei der Übertragung. |
| OVHcloud (OVH Hebergement INC) | Betreibt den Edge-Knoten, der die isolierten Untersuchungs-Container und das WebRTC-Streaming für Untersuchungen aus Nordamerika ausführt. | Flüchtige Aufzeichnungsartefakte (Bildschirmaufzeichnung, Ereignislog, Metadaten) innerhalb des Untersuchungs-Containers, nur für die Dauer der Untersuchung und des Uploads nach Helsinki. Zwischen zwei Untersuchungen verbleiben dort keine Kundendaten. | Beauharnois, Québec, Kanada. OVHcloud führt Beauharnois als Dedicated-Server-Region für Nordamerika. | Der kanadische Privatsektor (PIPEDA) ist von der Europäischen Kommission (Entscheidung 2002/2/EG) und von der Schweiz als angemessen anerkannt. Zusätzlich gelten die Auftragsverarbeitungsbedingungen von OVHcloud, die EU-Standardvertragsklauseln und das Schweizer Pendant. |
Netzwerk, Frontend-Auslieferung und Bot-Schutz
Cloudflare stellt das DNS für guard.ch und liefert das guard.ch-Web-Frontend über sein Edge-Netzwerk aus. Backend-API-Anfragen aus dem Dashboard beantwortet unsere eigene Origin-Infrastruktur, und Aufzeichnungsinhalte (Aufnahmen und Replay-Artefakte) kommen vom Origin in Helsinki; die Rolle von Cloudflare beschränkt sich auf DNS, die Auslieferung des Web-Frontends und Turnstile. Cloudflare Turnstile läuft auf den Formularen für Registrierung, Anmeldung, E-Mail-Code-Bestätigung, Passwort-Zurücksetzen und den Untersuchungs-Launcher und wehrt automatisierten Missbrauch ab.
| Anbieter | Rolle und Zweck | Datenkategorien | Standort | Transfergarantie |
|---|---|---|---|---|
| Cloudflare, Inc. (DNS und Auslieferung des Frontends) | Autoritatives DNS für guard.ch und Auslieferung des guard.ch-Web-Frontends (Marketing-Site und Dashboard-Anwendung) über die Edge von Cloudflare, einschliesslich TLS-Terminierung auf diesen Routen. | IP-Adresse, User-Agent und Anfrage-Metadaten der Besucher bei Zugriffen auf das guard.ch-Frontend. Backend-API-Anfragen und Aufzeichnungsinhalte liefert unsere eigene Origin-Infrastruktur an den in diesem Verzeichnis genannten Hosting-Standorten; die Rolle von Cloudflare beschränkt sich auf DNS, die Auslieferung des Web-Frontends und Turnstile. | Sitz der Gesellschaft: San Francisco, Kalifornien, USA. Globale Anycast-Edge. | Zertifiziert unter dem EU-US Data Privacy Framework und der Schweiz-US-Erweiterung (siehe offizielle DPF-Liste); als Rückfallebene wirken die EU-Standardvertragsklauseln und das vom EDÖB anerkannte Schweizer Pendant aus dem Auftragsverarbeitungsvertrag mit Cloudflare. |
| Cloudflare, Inc. (Turnstile) | Verwaltete Bot-Challenges auf den Formularen für Registrierung, Anmeldung, E-Mail-Code-Bestätigung, Passwort-Zurücksetzen und den Untersuchungs-Launcher (/start). | IP-Adresse, User-Agent und Interaktionssignale für die Dauer der Challenge, dazu ein Site-Token pro Anfrage. Keine Kontoinhalte und keine Aufzeichnungsinhalte. | Sitz der Gesellschaft: San Francisco, Kalifornien, USA. Globale Anycast-Edge. | Zertifiziert unter dem EU-US Data Privacy Framework und der Schweiz-US-Erweiterung (siehe offizielle DPF-Liste); als Rückfallebene wirken die EU-Standardvertragsklauseln und das vom EDÖB anerkannte Schweizer Pendant. |
Identität und Authentifizierung
Guard.ch unterstützt Passkeys, die Anmeldung mit E-Mail und Passwort sowie die föderierte Anmeldung mit Google oder Microsoft. Die föderierten Anbieter erhalten nur dann Daten, wenn du diese Anmeldemethode aktiv wählst; meldest du dich mit Passkey oder mit E-Mail und Passwort an, fliessen keine Daten an die unten genannten Anbieter. Als Identitätsanbieter verarbeiten Google und Microsoft das Anmeldeereignis zusätzlich nach ihren eigenen Bedingungen, als eigenständige Verantwortliche für ihre jeweiligen Identitätsdienste; der Transparenz halber sind sie hier aufgeführt.
| Anbieter | Rolle und Zweck | Datenkategorien | Standort | Transfergarantie |
|---|---|---|---|---|
| Google LLC (Anmeldung mit Google) | OAuth-2.0-Identitätsbestätigung, wenn jemand die Anmeldung mit Google wählt. Google liefert die verifizierte E-Mail-Adresse, den Namen und die URL des Profilbilds zurück; damit legt Guard.ch das Konto an oder findet es wieder. | OAuth-Kennungen und die genannten Basis-Profilfelder. Daten fliessen nur, wenn diese Anmeldemethode aktiv gewählt wird. | Mountain View, Kalifornien, USA. | Zertifiziert unter dem EU-US Data Privacy Framework und der Schweiz-US-Erweiterung (siehe offizielle DPF-Liste); als Rückfallebene wirken die EU-Standardvertragsklauseln und das vom EDÖB anerkannte Schweizer Pendant. |
| Microsoft Corporation (Anmeldung mit Microsoft) | OAuth-2.0-/OpenID-Connect-Identitätsbestätigung gegen Microsoft Entra ID, wenn jemand die Anmeldung mit Microsoft wählt. Microsoft liefert die verifizierte E-Mail-Adresse, den Anzeigenamen und die Tenant-Kennung zurück. | OAuth- und SSO-Kennungen und die genannten Basis-Profilfelder. Daten fliessen nur, wenn diese Anmeldemethode aktiv gewählt wird. | Redmond, Washington, USA. | Zertifiziert unter dem EU-US Data Privacy Framework und der Schweiz-US-Erweiterung (siehe offizielle DPF-Liste); als Rückfallebene wirkt das Microsoft Products and Services Data Protection Addendum mit EU-Standardvertragsklauseln und dem vom EDÖB anerkannten Schweizer Pendant. |
Zahlungen
Stripe wickelt die Zahlungen für Guard.ch-Abonnements ab. Vertragspartnerin von Guard.ch ist Stripe Payments Europe, Ltd.; an der Verarbeitung können auch Stripe, Inc. und weitere Gesellschaften der Stripe-Gruppe unter dem Auftragsverarbeitungsvertrag von Stripe beteiligt sein. Guard.ch erhält und speichert nie vollständige Kartennummern: Die Zahlungsmethode wird bei Stripe tokenisiert, und in unseren Abrechnungsdaten landen nur das Token, die Kartenmarke und die letzten vier Ziffern. Für bestimmte Tätigkeiten, etwa die Betrugsüberwachung und die eigene regulatorische Compliance, handelt Stripe als eigenständiger Verantwortlicher, wie in der eigenen Datenschutzdokumentation von Stripe beschrieben.
| Anbieter | Rolle und Zweck | Datenkategorien | Standort | Transfergarantie |
|---|---|---|---|---|
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung für Guard.ch-Abonnements: Checkout, Abonnementsabrechnung, Rechnungen, Rückerstattungen und die Bearbeitung von Zahlungsstreitigkeiten. Stripe Payments Europe, Ltd. ist die Stripe-Gesellschaft, mit der Guard.ch den Vertrag hat. | Rechnungsname und -adresse, E-Mail-Adresse, Token der Zahlungsmethode und Transaktionsdaten. Kartennummern bleiben im PCI-DSS-Bereich von Stripe; Guard.ch erhält und speichert die Kartennummer nie. | Dublin, Irland (EWR). | Verarbeitung innerhalb des EWR unter der DSGVO. Auftragsverarbeitungsvertrag mit Stripe liegt vor. |
| Stripe, Inc. | Verarbeitung innerhalb der Stripe-Gruppe in den USA, etwa für Kunden, die ausserhalb des EWR, des Vereinigten Königreichs und der Schweiz abgerechnet werden, sowie Stripes Zahlungs-, Risiko- und Betrugspräventions-Infrastruktur. | Dieselben Abrechnungs- und Transaktionsdaten wie oben, soweit Stripe sie über seine US-Infrastruktur leitet. | South San Francisco, Kalifornien, USA. | Zertifiziert unter dem EU-US Data Privacy Framework und der Schweiz-US-Erweiterung (siehe offizielle DPF-Liste); als Rückfallebene wirken die EU-Standardvertragsklauseln und das vom EDÖB anerkannte Schweizer Pendant aus dem Auftragsverarbeitungsvertrag mit Stripe. |
Kommunikation
Ausgehende Transaktions-E-Mails (Bestätigungscodes fürs Konto, Einmal-Anmeldecodes, Kontaktformular-Bestätigungen und ähnliche Konto- und Dienstmitteilungen) gehen von [email protected] aus, der gemeinsamen Transaktionsadresse der Plattform aus browser.lol und guard.ch, über das SMTP-Relay von Google Workspace. Aufzeichnungsinhalte stecken nie in Transaktions-E-Mails.
| Anbieter | Rolle und Zweck | Datenkategorien | Standort | Transfergarantie |
|---|---|---|---|---|
| Google Ireland Limited (Google Workspace, Gmail) | Ausgehende Transaktions-E-Mails: Bestätigungscodes fürs Konto, Einmal-Anmeldecodes, Kontaktformular-Bestätigungen und ähnliche Konto- und Dienstmitteilungen, versendet von [email protected] (der gemeinsamen Transaktionsadresse der Plattform aus browser.lol und guard.ch) über das SMTP-Relay von Google Workspace. Zahlungsbelege und Rechnungen verschickt Stripe, nicht dieses Relay. | Empfängeradresse und Inhalt der Transaktionsnachricht. | Dublin, Irland (EWR). Maildaten können von Google LLC in den USA verarbeitet werden. | Google Workspace Data Processing Amendment. Für die Verarbeitung durch Google LLC in den USA: Zertifizierung unter dem EU-US Data Privacy Framework und der Schweiz-US-Erweiterung (siehe offizielle DPF-Liste), mit den EU-Standardvertragsklauseln und dem vom EDÖB anerkannten Schweizer Pendant als Rückfallebene. |
Analyse- und KI-Dienste
Guard.ch nutzt Analysedienste Dritter für eng umrissene Zwecke: Inferenz grosser Sprachmodelle für die KI-Analyse- und Zusammenfassungsfunktionen einer Untersuchung, Reputationsabfragen für Hostnamen als Signal für das automatisierte Urteil und Anomalie-Erkennung auf aggregierten Betriebslogs. Von diesen Anbietern erhält nur OpenRouter (zusammen mit dem Inferenzanbieter, an den eine Anfrage geleitet wird) von Nutzern eingereichte Untersuchungsinhalte. Google Web Risk sieht ausschliesslich die geprüften Hostnamen, und OpenAI erhält nur aggregierte Betriebstelemetrie und nie Aufzeichnungsinhalte.
| Anbieter | Rolle und Zweck | Datenkategorien | Standort | Transfergarantie |
|---|---|---|---|---|
| OpenRouter, Inc. | Inferenz grosser Sprachmodelle für die KI-Analyse- und Zusammenfassungsfunktionen einer Untersuchung, sofern diese Funktionen laufen. OpenRouter ist ein API-Gateway: Es reicht jede Anfrage an den Inferenzanbieter weiter, der das von uns konfigurierte Modell bedient; dieser Anbieter verarbeitet die Anfrage als nachgelagerter Subprozessor von OpenRouter. | Aus der Untersuchung abgeleitete Inhalte, die an die KI-Funktion gehen (etwa extrahierter Seitentext, Aufzeichnungssignale sowie die beteiligten Prompts und Antworten). Zugangsdaten werden nicht übermittelt. Dies ist der einzige Kanal, über den von Nutzern eingereichte Untersuchungsinhalte einen KI-Anbieter erreichen. | USA (OpenRouter). Der Standort des angesteuerten Inferenzanbieters hängt davon ab, welches Modell zum Zeitpunkt der Anfrage konfiguriert ist. | OpenRouter ist nicht unter dem EU-US Data Privacy Framework zertifiziert. Massgeblicher Transfermechanismus sind die EU-Standardvertragsklauseln (2021/914) und das vom EDÖB anerkannte Schweizer Pendant, im Einklang mit Abschnitt 9 der Datenschutzerklärung. Aufbewahrung und Trainingsverhalten beim angesteuerten Inferenzanbieter richten sich nach den Daten-Richtlinien, die OpenRouter pro Anbieter publiziert. |
| Google LLC (Web Risk) | Reputationsabfrage für Hostnamen: Die während einer Untersuchung aufgelösten Hostnamen werden gegen die Web-Risk-Bedrohungslisten von Google geprüft, als eines der Signale für das automatisierte Urteil. | Die geprüften Hostnamen einer Untersuchung. Keine URL-Pfade oder Query-Strings, keine Kontodaten und keine weiteren Aufzeichnungsinhalte. | Mountain View, Kalifornien, USA. | Zertifiziert unter dem EU-US Data Privacy Framework und der Schweiz-US-Erweiterung (siehe offizielle DPF-Liste); als Rückfallebene wirken die EU-Standardvertragsklauseln und das vom EDÖB anerkannte Schweizer Pendant. |
| OpenAI OpCo, LLC | Automatisierte Anomalie-Erkennung auf aggregierten serverseitigen Betriebslogs (Lastspitzen, Regressionen, Fehlermuster). | Ausschliesslich aggregierte Logzeilen und pseudonyme Kennungen. Aufzeichnungsinhalte und von Nutzern eingereichte Inhalte gehen nie an diesen Anbieter. | San Francisco, Kalifornien, USA. | Auftragsverarbeitungsvertrag mit OpenAI; zertifiziert unter dem EU-US Data Privacy Framework und der Schweiz-US-Erweiterung (siehe offizielle DPF-Liste), mit den EU-Standardvertragsklauseln und dem vom EDÖB anerkannten Schweizer Pendant als Rückfallebene. API-Traffic ist vertraglich vom Modelltraining ausgenommen. |
Referenzdatenquellen (keine Subprozessoren)
Die Anreicherung in einer Untersuchung (IP-Geolokation, ASN-Daten, Netzwerk-Metadaten, Bedrohungs- und Tracker-Klassifizierungen, Domain-Popularität) entsteht aus Referenzdatensätzen, die wir lizenzieren oder aus öffentlichen Quellen beziehen, nach Zeitplan herunterladen und in unserer eigenen Datenbank abfragen. Diese Anbieter liefern uns Daten; sie erhalten und verarbeiten keine Personendaten unserer Kunden und sind deshalb keine Subprozessoren. Derzeit sind das MaxMind (GeoLite2 City und ASN), PeeringDB (über CAIDA-Snapshots), abuse.ch (Feodo Tracker, ThreatFox, URLhaus) und die Tranco-Liste.
Zwei Abfragen verlassen unsere Infrastruktur, während eine Untersuchung läuft: whois/RDAP-Abfragen zur registrierbaren Domain der untersuchten URL, gerichtet an die öffentlichen Verzeichnisdienste der zuständigen Registry oder des Registrars, sowie die oben im Analyse-Abschnitt aufgeführte Google-Web-Risk-Abfrage. Die whois/RDAP-Abfragen geben nur den untersuchten Domainnamen an öffentliche Verzeichnis-Infrastruktur weiter und sind keine Auftragsverarbeitung unter einem Vertrag mit Guard.ch.
Internationale Datenübermittlungen
Guard.ch wird aus der Schweiz betrieben. Die Schweiz ist von der Europäischen Kommission und unter den britischen Angemessenheitsregeln als angemessen anerkannt; Personendaten können sich darum ohne zusätzliche Transfergarantien zwischen dem EWR, dem Vereinigten Königreich und unserem Schweizer Standort bewegen. Dauerhaft gespeicherte Kundendaten bleiben im EWR (Hetzner, Helsinki); nur die flüchtige Verarbeitung an den Edge-Knoten und die oben aufgeführten spezifischen Anbieterdienste bedeuten Verarbeitung ausserhalb des EWR und der Schweiz.
Bei US-Anbietern mit Zertifizierung unter dem EU-US Data Privacy Framework und der Schweiz-US-Erweiterung, wie in diesem Verzeichnis pro Anbieter anhand der offiziellen DPF-Liste ausgewiesen, ist diese Zertifizierung der primäre Transfermechanismus; die EU-Standardvertragsklauseln wirken als Rückfallebene. Für alle übrigen Übermittlungen ausserhalb des EWR, der Schweiz und des Vereinigten Königreichs bilden die EU-Standardvertragsklauseln (2021/914) und das vom EDÖB anerkannte Schweizer Pendant den Basismechanismus, ergänzt um den Angemessenheitsbeschluss der Europäischen Kommission für den kanadischen Privatsektor (PIPEDA) für den Edge-Standort Beauharnois. Soweit die UK-DSGVO auf eine Weiterübermittlung anwendbar ist, kommt wo nötig das UK International Data Transfer Addendum zu den EU-Standardvertragsklauseln zum Einsatz. Guard.ch selbst ist eine Schweizer Rechtseinheit, ist nicht unter dem Data Privacy Framework zertifiziert und kann es auch nicht sein; wir behaupten nichts anderes.
Für die Ziele ausserhalb des EWR führen wir Transfer Impact Assessments und stellen Kunden auf schriftliche Anfrage an [email protected] eine Kopie zur Verfügung (wo nötig geschwärzt). Die massgebliche Beschreibung unserer Transferpraxis ist Abschnitt 9 der Datenschutzerklärung.
Widerspruch durch Kunden
Kunden können dem Beizug eines neuen oder ersetzenden Subprozessors aus nachvollziehbaren Datenschutzgründen widersprechen (zum Beispiel bei einer dokumentierten Unvereinbarkeit mit dem eigenen regulatorischen Rahmen). Der Widerspruch muss schriftlich an [email protected] gehen, innert vierzehn (14) Tagen nach der Änderungsmitteilung und in jedem Fall bevor die angekündigte Änderung wirksam wird.
Nach Eingang suchen wir mit dem Kunden nach Treu und Glauben eine praktikable Alternative. Lässt sich vor dem Wirksamwerden der Änderung vernünftigerweise keine Alternative vereinbaren, kann der Kunde den betroffenen Teil des Dienstes ohne Vertragsstrafe kündigen und erhält für die ungenutzte Laufzeit eine anteilige Rückerstattung vorausbezahlter Gebühren, im Einklang mit den Nutzungsbedingungen und dem Auftragsverarbeitungsvertrag.
Kontakt
Fragen zu diesem Verzeichnis, Anfragen zu den zugrunde liegenden Auftragsverarbeitungsverträgen oder Transfer Impact Assessments, Abonnements der Änderungsmitteilungen und Widersprüche gehen alle an [email protected]. Per Post erreichst du Zesiger.net an der im Impressum publizierten Adresse.