Die vorliegenden allgemeinen Geschäftsbedingungen (AGB) gelten für alle Dienstleistungen, die von Kuvvu GmbH, Trustlytics von Kuvvu (im Folgenden „Trustlytics“) angeboten werden. Durch die Nutzung unserer Dienstleistungen akzeptieren Sie diese Bedingungen uneingeschränkt und unverändert.
1.
Geltungsbereich und Vertragsabschluss
1.1
Diese allgemeinen Geschäftsbedingungen (AGB) regeln die Nutzung der Dienstleistungen und Produkte, die Trustlytics seinen Kunden (im Folgenden „Kunde“) zur Verfügung stellt oder anbietet.
1.2
Die Zustimmung zu diesen allgemeinen Geschäftsbedingungen (AGB) erfolgt durch Nutzung der entsprechenden Dienstleistungen und Produkte.
2.
Leistungen und Rechte von Trustlytics
2.1
Allgemeines
Trustlytics bietet kostenpflichtige Dienstleistungen an. Der Kunde wählt die von Trustlytics zu erbringenden Dienstleistungen aus dem im Zeitpunkt der Inanspruchnahme vorhandenen Leistungsangebot aus. Für sämtliche Dienstleistungen gelten die jeweils auf den Webseiten von Trustlytics oder in der Trustlytics Abrechnungsverwaltung publizierten Konditionen. Trustlytics behält sich das Recht vor, das Leistungsangebot jederzeit zu ändern und einzelne Dienstleistungen einzuschränken oder einzustellen.
2.2
Analyse-Dienstleistung
2.2.1
Trustlytics stellt dem Kunden eine Cloud-basierte Analyse-Software (im Folgenden „Analyse-Dienstleistung“) zur Verfügung, die es dem Kunden ermöglicht, seine Webseite (im Folgenden „Kundenwebseite“) zu analysieren.
2.2.2
Die Berechnung der Analyse-Dienstleistung basiert auf der durchschnittlichen Nutzung der Ressourcen von Trustlytics. Die zur Verfügung gestellten Ressourcen dürfen nur für die ordnungsgemässe Analyse der Kundenwebseite verwendet werden. Eine Untervermietung der Analyse-Dienstleistung an Dritte ist ohne vorherige schriftliche Vereinbarung mit dem Kunden nicht gestattet. Die Analyse-Dienstleistung ist für die Nutzung durch Privatpersonen und kleine bis mittelgrosse Unternehmen konzipiert. Trustlytics behält sich das Recht vor, jederzeit Grenzwerte oder andere Nutzungsbeschränkungen festzulegen. Für grössere Unternehmen, die über den normalen Gebrauch von Privatpersonen und kleinen bis mittelgrossen Unternehmen hinausgehen, können auf Anfrage individuelle Angebote erstellt werden.
2.2.3
Trustlytics hat das Recht, für bestimmte Kunden oder Kundengruppen Grenzwerte für den Ressourcenverbrauch oder andere Nutzungsbeschränkungen festzulegen, wenn diese die Analyse-Dienstleistung ressourcenintensiv nutzen. Dies geschieht nach eigenem Ermessen und dient der Fair-Use-Policy. In diesem Fall kann die Erbringung der Analyse-Dienstleistung für den Kunden eingeschränkt werden.
2.2.4
Trustlytics behält sich das Recht vor, das Konto des Kunden oder die Analyse-Dienstleistung für die Kundenwebseite zu sperren, wenn das Verhalten des Kunden oder das Verhalten der Nutzer der Kundenwebseite das ordnungsgemäße Funktionieren der Analyse-Dienstleistung beeinträchtigt. Trustlytics wird den Kunden vorab oder umgehend nachträglich über die Sperrung informieren, sofern dies im Rahmen der betrieblichen Ressourcen und der konkreten Umstände möglich ist.
2.2.5
Trustlytics strebt an, die Analyse-Dienstleistung kontinuierlich und ohne Unterbrechungen anzubieten. Es kann jedoch vorkommen, dass vorübergehende Betriebsunterbrechungen erforderlich sind, z. B. für Wartungsarbeiten, Störungsbehebungen, den Ausbau der Analyse-Dienstleistung und Massnahmen zum Schutz der Infrastruktur von Trustlytics. Falls möglich, wird der Kunde frühzeitig über solche Unterbrechungen informiert.
2.3
Zusatzdienstleistungen von Drittanbietern
2.3.1
Trustlytics stellt dem Kunden zusätzliche Dienstleistungen von Drittanbietern zur Verfügung. Wenn der Kunde diese Zusatzdienstleistungen nutzt, akzeptiert er automatisch die entsprechenden Lizenzbestimmungen, Geschäftsbedingungen, Nutzungsbedingungen und/oder Konditionen, die vom Drittanbieter auf der Angebotsseite beschrieben werden.
2.3.2
Trustlytics behält sich das Recht vor, die Nutzung von Zusatzdienstleistungen von Drittanbietern jederzeit und ohne Vorankündigung einzuschränken oder einzelne Zusatzdienstleistungen von Drittanbietern aus dem Angebot zu entfernen. Der Kunde akzeptiert auch, dass es bezüglich der Zusatzdienstleistungen von Drittanbietern keine Supportleistungen von Trustlytics gibt und er allein für die Sicherung seiner Daten verantwortlich ist, wenn er die Zusatzdienstleistungen von Drittanbietern nutzt (siehe Abschnitt 4.1).
3.
Rechte und Pflichten des Kunden
3.1
Der Kunde hat das Recht, die Analyse-Dienstleistung ordnungsgemäss und gesetzmässig zu nutzen und verpflichtet sich, diese allgemeinen Geschäftsbedingungen (AGB) und eventuelle Anweisungen von Trustlytics zu befolgen.
3.2
Bei der Bestellung, Registrierung und Nutzung der Analyse-Dienstleistung muss der Kunde ehrliche und nachvollziehbare Informationen angeben. Trustlytics kann jederzeit und ohne Angabe von Gründen verlangen, dass der Kunde zusätzliche Unterlagen oder Informationen vorlegt, um die Richtigkeit der Angaben zu überprüfen. Trustlytics hat das Recht, die Bestellung oder Registrierung zu verschieben, die Erbringung von Analyse-Dienstleistungen auszusetzen oder den Vertrag mit sofortiger Wirkung zu kündigen, wenn der Kunde es versäumt, innerhalb der von Trustlytics festgelegten Frist geeignete Unterlagen oder Informationen vorzulegen.
3.3
Es liegt in der Verantwortung des Kunden, angemessene Passwörter zu wählen, sie sicher aufzubewahren und vor unbefugtem Zugriff zu schützen. Der Kunde ist allein verantwortlich für die Verwendung seiner Passwörter. Wenn der Kunde einen Missbrauch seines Kontos feststellt, muss er Trustlytics umgehend schriftlich informieren (ausschliesslich per E-Mail mit Empfangsbestätigung von Trustlytics).
3.4
Es ist dem Kunden nicht gestattet, die Analyse-Dienstleistung, die er gekauft hat, kostenlos oder kostenpflichtig an Dritte weiterzugeben. Wenn Trustlytics feststellt, dass die vom Kunden gekaufte Analyse-Dienstleistung nicht vom Kunden selbst, sondern von einem Dritten genutzt wird, hat Trustlytics das Recht, die Erbringung der betreffenden Analyse-Dienstleistung auszusetzen, bis dieser Mangel behoben ist. In einem solchen Fall bleibt der Kunde verpflichtet, die volle Vergütung für diese Analyse-Dienstleistung zu zahlen.
3.5
Es ist die Pflicht des Kunden, Trustlytics sofort über eventuelle Störungen und Unterbrechungen der von ihm genutzten Analyse-Dienstleistung zu informieren und Trustlytics nach Möglichkeit bei der Behebung der Störung zu unterstützen. Der Kunde ist verantwortlich für die Kosten, die durch die Eingrenzung und Behebung von Störungen durch Trustlytics entstehen, wenn der Kunde eine Untersuchung verlangt hat und die Ursache der Störung auf das Verhalten des Kunden oder der von ihm verwendeten Ausrüstung oder auf das Verhalten von Nutzern der Kundenwebseite zurückzuführen ist.
4.
Datensicherung
4.1
Es liegt in der alleinigen Verantwortung des Kunden, angemessene Sicherheitsmassnahmen zu ergreifen, um seine Informationen und Daten im Falle von Verlust oder unbefugter oder unbeabsichtigter Veränderung wiederherstellen zu können. Die spezifischen Massnahmen, die der Kunde ergreifen sollte, hängen von der Schutzbedürftigkeit sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos ab. Im Allgemeinen empfiehlt Trustlytics seinen Kunden, regelmässig Sicherungskopien der Daten anzulegen. Der Kunde kann die Analysedaten über von Trustlytics generierte Links in der Analyse-Software herunterladen, um insbesondere eine eigene Sicherung zu erstellen.
4.2
Trustlytics übernimmt die Verantwortung für die Sicherung aller Daten in ihrer Infrastruktur. Die Häufigkeit der Sicherungen wird von Trustlytics festgelegt. Die Kunden haben keinen Zugriff auf diese Sicherungen.
4.3
Trustlytics übernimmt keine Verantwortung für die Vollständigkeit und Richtigkeit der Sicherungskopien, die vom Kunden erstellt wurden (siehe Abschnitt 4.1).
5.
Rechnungsstellung und Zahlungsbedingungen
5.1
Mit dem Abschluss des Vertrags beginnt die Verpflichtung zur Zahlung für kostenpflichtige Analyse-Dienstleistung.
5.2
Der Zahlungsprozess wird von unserem Zahlungsdienstleister Paddle abgewickelt. Paddle kümmert sich um alle Kundenanfragen bezüglich Zahlungen und Rechnungen. Alle Gebühren enthalten bereits alle länderspezifischen Steuern, Abgaben und Zölle, die von den Steuerbehörden erhoben werden. Paddle zieht diese Steuern im Namen der Steuerbehörde ein und leitet sie an diese weiter. Weitere Informationen finden Sie in den Nutzungsbedingungen von Paddle.
5.3
Der Kunde wird vorab automatisch über seine Kreditkarte oder PayPal mit dem entsprechenden Betrag belastet.
5.4
Es liegt in der Verantwortung des Kunden sicherzustellen, dass seine Zahlungsmethode aktuell ist.
5.5
Sollte es aus einem Grund nicht möglich sein, die gewählte Zahlungsmethode des Kunden zu belasten, wird Paddle ihn darüber informieren. Wenn der Kunde innerhalb angemessener Zeit nicht bezahlt, wird die Analyse-Dienstleistung deaktiviert und es werden keine Analysedaten erfasst, bis die Zahlung erfolgt ist. Wenn die Analyse-Dienstleistung für einen Zeitraum von 30 Tagen deaktiviert war, wird sie ohne Mitteilung an den Kunden gelöscht.
5.6
Es wird keine Rückerstattung der bezahlten Abonnementgebühren erfolgen, es sei denn, dies ist gesetzlich vorgeschrieben.
5.7
Es ist nicht möglich, die gegenseitigen Forderungen der Vertragspartner miteinander zu verrechnen.
6.
Gewährleistung
6.1
Trustlytics strebt danach, die Analyse-Dienstleistung sorgfältig und professionell anzubieten. Es gibt jedoch keine Gewähr dafür, dass die Analysedaten der Kundenwebseite genau sind. Trustlytics kann auch nicht garantieren, dass die von ihr erbrachte Analyse-Dienstleistung und gegebenenfalls von Dritten erbrachten Dienstleistungen dem Kunden dabei helfen, seine beabsichtigten wirtschaftlichen oder anderen Ziele zu erreichen.
6.2
Störungsmeldungen der Analyse-Dienstleistung durch den Kunden haben eine schriftliche Mängelrüge (ausschliesslich per E-Mail mit Empfangsbestätigung von Trustlytics) mit einer klaren und nachvollziehbaren Beschreibung der geltend gemachten Mängel zu enthalten. Der Kunde muss Trustlytics ausserdem eine angemessene Frist von mindestens 30 Tagen geben, um die gemeldeten Mängel zu beheben. Wenn Trustlytics die Frist nicht einhält, hat der Kunde das Recht, den Vertrag sofort zu kündigen. In diesem Fall erstattet Trustlytics dem Kunden eine anteilige Vergütung für den Zeitraum, in dem der Kunde die Analyse-Dienstleistung aufgrund der Kündigung nicht mehr in Anspruch nimmt. Jegliche weiteren Entschädigungen sind ausgeschlossen, vorbehaltlich der Bestimmungen in Abschnitt 7 dieser allgemeinen Geschäftsbedingungen (AGB).
7.
Haftung von Trustlytics
7.1
Trustlytics haftet gegenüber dem Kunden für durch vorsätzliche Absicht oder grobe Fahrlässigkeit seitens Trustlytics verursachte direkte und nachgewiesene Schäden.
7.2
Die Haftung von Trustlytics für mittlere oder normale Fahrlässigkeit ist auf den Betrag von CHF 70 pro Kalenderjahr beschränkt.
7.3
Die Haftung für leichte Fahrlässigkeit sowie für indirekte Schäden oder Folgeschäden wird ausdrücklich ausgeschlossen. Zu den Folgeschäden gehören unter anderem verpasster Gewinn, Produktionsausfall, Rufschädigung und Schäden durch Datenverlust.
7.4
Ausgeschlossen ist zudem jegliche Haftung für Schäden, die durch den Missbrauch oder unbefugten Zugriff Dritter auf die Analyse-Dienstleistung von Trustlytics oder die Kundenwebseite entstehen. Dies kann beispielsweise aber nicht abschliessend durch Computerviren, DDoS-Attacken oder Hackerangriffe geschehen. Der Haftungsausschluss gilt auch für Schäden, die dem Kunden aufgrund von Massnahmen zum Schutz der Trustlytics-Infrastruktur entstehen, wie die Sperrung des Zugangs zur Analyse-Dienstleistung und/oder die Deaktivierung der Analyse-Dienstleistung.
7.5
Die oben genannten Ausschlüsse und Begrenzungen der Haftung von Trustlytics sind nicht anwendbar, wenn es um Verletzungen von Leben, Körper und Gesundheit geht sowie in Fällen, in denen zwingende gesetzliche Bestimmungen gelten, einschliesslich der Regelungen des Produkthaftungsgesetzes.
8.
Haftung des Kunden
Der Kunde haftet gegenüber Trustlytics unbeschränkt für durch rechtswidrige Absicht oder grobe Fahrlässigkeit verursachte Schäden. Die Haftung des Kunden für leichte Fahrlässigkeit wird ausdrücklich ausgeschlossen.
9.
Vertraulichkeit und Datenschutz
9.1
Trustlytics und der Kunde sind verpflichtet, alle nicht öffentlich bekannten Informationen und Daten, die ihnen während der Vorbereitung und Durchführung des Vertrags zur Verfügung gestellt werden, vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des Vertrags bestehen, solange ein berechtigtes Interesse daran besteht.
9.2
Trustlytics und der Kunde sorgen für den Datenschutz und die Datensicherheit in ihrem jeweiligen Einflussbereich. Trustlytics hat ausserdem das Recht, Kunden über aktuelle Entwicklungen und neue Dienstleistungen von sich selbst und von Partnern zu informieren. Falls der Kunde keine solchen Informationen erhalten möchte, kann er dies jederzeit über den Link in der erhaltenen E-Mail angeben. Trustlytics speichert personenbezogene Daten nur so lange und in dem Umfang, wie es für die Erbringung der Analyse-Dienstleistung erforderlich ist oder gesetzlich vorgeschrieben ist.
9.3
Im Zusammenhang der Erbringung der Analyse-Dienstleistung bearbeitet Trustlytics die Daten des Kunden ausschliesslich zur Erfüllung des Vertrags. Soweit Trustlytics im Sinne des anwendbaren Datenschutzrechts als Auftragsdatenbearbeiter Personendaten für den Kunden bearbeitet, tut sie dies ausschliesslich auf die in der Vereinbarung zur Auftragsdatenverarbeitung (im Folgenden „ADV-Vereinbarung“) gemäss Anhang dieser allgemeinen Geschäftsbedingungen (AGB) festgelegten Weise und ausschliesslich für die Zwecke des Kunden. In diesem Fall ist der Kunde allein für die Bestimmung des Zwecks und der Mittel der Verarbeitung bzw. Nutzung der Personendaten durch Trustlytics im Rahmen des Vertrags verantwortlich und dafür, dass eine solche Verarbeitung nicht gegen geltende Datenschutzgesetze verstösst.
10.
Geistiges Eigentum
10.1
Für die Dauer des Vertrages haben die Kunden das unübertragbare, nicht ausschliessliche Recht zum Gebrauch und zur Nutzung der Analyse-Dienstleistung.
10.2
Alle Rechte an bestehendem oder bei der Vertragserfüllung entstehendem geistigem Eigentum bezüglich der Analyse-Dienstleistung von Trustlytics verbleiben bei Trustlytics oder bei den von Trustlytics eingesetzten Dritten.
11.
Vertragsdauer und Kündigung
11.1
Dauer allgemein
Diese allgemeinen Geschäftsbedingungen (AGB) sind für die gesamte Zeit der Nutzung der Analyse-Dienstleistung durch den Kunden gültig.
11.2
Analyse-Dienstleistungsvertrag
11.2.1
Mit dem Abschluss der Bestellung tritt der Vertrag für die Analyse-Dienstleistung (vgl. Abschnitt 2.2) zwischen Trustlytics und dem Kunden in Kraft und gilt für die vom Kunden gewählte Dauer (entweder 1 oder 12 Monate). Jede Partei hat das Recht, den Vertrag jederzeit zum Ende der vereinbarten Laufzeit zu kündigen. Die Kündigung muss ausschliesslich online über die Trustlytics Abrechnungsverwaltung erfolgen. Trustlytics ist auch berechtigt, den Vertrag per E-Mail an die vom Kunden angegebene E-Mail-Adresse zu kündigen. Wenn keine fristgerechte Kündigung erfolgt, verlängert sich der Vertrag automatisch um die vereinbarte Laufzeit.
11.2.2
Widerrufsbelehrung: Der Kunde hat die Möglichkeit, seine Bestellung für die Analyse-Dienstleistung innerhalb von 14 Tagen ohne Angabe von Gründen schriftlich (z. B. ein mit der Post versandter Brief oder E-Mail) zu widerrufen. Die Frist beginnt, sobald der Vertrag in Kraft tritt. Um die Frist einzuhalten, reicht es aus, den Widerruf rechtzeitig abzusenden. Der Widerruf ist an Paddle.com Market Limited, 15 Briery Close, Great Oakley, Corby, Northamptonshire, NN18 8JG, United Kingdom, help@paddle.com zu richten. Der Kunde muss dabei die bei Paddle gemeldete E-Mail-Adresse verwenden. Das Widerrufsrecht gilt nur für Bestellungen über die Trustlytics-Webseite, die über Paddle abgerechnet werden, und nur für Analyse-Dienstleistungen ohne Kundenspezifikation.
11.2.3
Falls der Kunde gegen die vertraglichen Bestimmungen verstösst, die Analyse-Dienstleistung oder Dienstleistungen von Dritten zu ungesetzlichen Zwecken missbraucht oder wenn Trustlytics ein Reputationsschaden droht, hat Trustlytics das Recht, nach eigenem Ermessen die Analyse-Dienstleistung sofort zu deaktivieren und/oder den Vertrag ohne Vorankündigung zu kündigen. Der Kunde ist verpflichtet, Trustlytics die bis zur ordentlichen Beendigung des Vertrags fälligen Gebühren sowie alle zusätzlichen Kosten durch die fristlose Vertragskündigung zu erstatten.
11.3
Falls gegen den Kunden ein Verfahren wegen Konkurs oder Zahlungsunfähigkeit eingeleitet worden ist oder anderweitig offensichtlich wird, dass er seinen Zahlungsverpflichtungen nicht mehr nachkommen kann, behält sich Trustlytics das Recht vor, den Vertrag mit dem Kunden fristlos zu kündigen. Ebenso kann der Vertrag vor Ablauf der Vertragsdauer gekündigt werden, wenn der Kunde die Kosten für die nächste Vertragsdauer nicht im Voraus bezahlt oder angemessene Sicherheiten stellt.
11.4
Nach Vertragsablauf ist Trustlytics berechtigt, die Daten des Kunden zu löschen. Der Kunde ist dafür verantwortlich, seine Daten rechtzeitig selbst zu sichern. Die ADV-Vereinbarung bleibt in Kraft, bis alle in der von der Auftragsverarbeitung betroffenen personenbezogenen Daten von Trustlytics gelöscht wurden.
12.
Änderungen der Vertragskonditionen
12.1
Trustlytics legt grossen Wert darauf, ihre Infrastruktur stets auf dem aktuellen Stand der Technik zu halten und damit den Sicherheitsanforderungen sowie technischen Standards ihrer Branche gerecht zu werden. Der Kunde stimmt darin überein, dass neue Entwicklungen in Technologie oder Sicherheit sowie Änderungen im Leistungsangebot von Vertragspartnern oder Open-Source-Software Auswirkungen auf das Angebot und die Preise haben können.
12.2
Trustlytics behält sich daher ausdrücklich das Recht vor, die Vertragsbedingungen einschliesslich dieser allgemeinen Geschäftsbedingungen (AGB) jederzeit zu ändern. Änderungen der allgemeinen Geschäftsbedingungen (AGB) werden auf der Webseite von Trustlytics veröffentlicht und treten mit ihrer Publizierung in Kraft. Wenn es während des laufenden Vertrages Preiserhöhungen oder Leistungsbeschränkungen gibt, wird dies dem Kunden schriftlich per E-Mail mitgeteilt. Falls der Kunde mit den Änderungen nicht einverstanden ist, kann er den Vertrag zum Ende seiner Laufzeit kündigen. Ohne eine fristgerechte Kündigung wird der Vertrag automatisch um die vereinbarte Dauer verlängert und die Änderung gilt als vom Kunden akzeptiert.
13.
Weitere Bestimmungen
13.1
Jegliche Form von Missbrauch, sei es verbaler, physischer oder schriftlicher Art gegenüber einem Mitarbeiter oder einer Führungskraft von Trustlytics wird nicht toleriert. Sollte jemand bei Trustlytics mit der Drohung von Missbrauch oder Vergeltung seitens eines Kunden konfrontiert werden, kann dies zur sofortigen Kündigung des Kontos und der Analyse-Dienstleistung des Kunden führen.
13.2
Um den Kunden über vertragsrelevante Mitteilungen wie Preisänderungen zu informieren, wird eine E-Mail an die vom Kunden angegebene E-Mail-Adresse in der Profilverwaltung und bei Paddle gesendet. Der Kunde ist dafür verantwortlich sicherzustellen, dass diese E-Mail-Adresse aktuell und korrekt ist während des Vertrages. Trustlytics und Paddle werden keine anderen als die in diesen Systemen hinterlegten E-Mail-Adressen berücksichtigen oder selbstständig nach Aktualisierungen suchen. Allerdings haben Trustlytics und Paddle das Recht, offensichtliche Fehler oder Rechte Dritter verletzende Einträge zu korrigieren oder löschen.
13.3
Um Rechte und Pflichten aus dem Analyse-Dienstleistungsvertrag an Dritte weiterzugeben, ist die schriftliche Zustimmung der anderen Partei erforderlich. Es sei denn, Trustlytics überträgt den Vertrag auf eine rechtliche Nachfolgerin oder verbundene Gesellschaft.
13.4
Auf diese allgemeinen Geschäftsbedingungen (AGB) und allfällige aus oder durch das Vertragsverhältnis zwischen Trustlytics und dem Kunden entstehende Streitigkeiten ist ausschliesslich Schweizer Recht anwendbar, unter Ausschluss der kollisionsrechtlichen Bestimmungen sowie der Bestimmungen des UN-Kaufrechts (CISG).
13.5
Ausschliesslichen Gerichtsstand bilden die ordentlichen Gerichte am Sitz von Trustlytics. Alternativ ist Trustlytics berechtigt, den Kunden an dessen Domizil zu belangen.
Rapperswil-Jona, September 2023
Kuvvu GmbH, Trustlytics von Kuvvu (im Folgenden „Trustlytics“) erbringt gegenüber dem Kunden (im Folgenden „Kunde“) Analyse-Dienstleistungen in Bezug auf eine oder mehrere Webseiten des Kunden (im Folgenden „Kundenwebseite“). Bei der Erbringung der Analyse-Dienstleistungen speichert Trustlytics personenbezogene Daten im Auftrag und für die Zwecke des Kunden (im Folgenden „Auftragsverarbeitung und ADV-Vereinbarung“).
1.
Gegenstand und Anwendungsbereich der ADV-Vereinbarung
Diese Vereinbarung zur Auftragsdatenverarbeitung regelt die Pflichten, Rollen und Zuständigkeiten von Trustlytics und dem Kunden (im Folgenden „Vertragsparteien“) in Bezug auf die Auftragsverarbeitung.
2.
Verhältnis zum Analyse-Dienstleistungsvertrag
Die ADV-Vereinbarung ergänzt den Analyse-Dienstleistungsvertrag, ohne die Rechte und Pflichten der Vertragsparteien in Bezug auf die Erbringung oder Inanspruchnahme von Dienstleistungen einzuschränken. Wenn es im Analyse-Dienstleistungsvertrag keine ausdrücklich abweichenden Regelungen gibt, haben die Bestimmungen dieser ADV-Vereinbarung Vorrang vor denen des Analyse-Dienstleistungsvertrages.
3.
Anwendungsbereich der ADV-Vereinbarung
3.1
Die ADV-Vereinbarung betrifft die Auftragsverarbeitungen im Zusammenhang mit den Analyse-Dienstleistungen, die Trustlytics gemäss dem Analyse-Dienstleistungsvertrag erbringt.
3.2
Die ADV-Vereinbarung von Trustlytics bezieht sich nicht auf die Verarbeitung personenbezogener Daten, bei der Trustlytics selbst entscheidet, welche Zwecke und Mittel verwendet werden. In solchen Fällen ist Trustlytics gemäss dem Schweizer Bundesgesetz über den Datenschutz oder anderen geltenden Datenschutzgesetzen (insbesondere der EU-DSGVO) verantwortlich für die Datensicherheit. Solche Verarbeitungen personenbezogener Daten, die Trustlytics als Verantwortlicher vornimmt (z. B. Verarbeitungen personenbezogener Daten zu Zwecken der Leistungsabrechnung oder der Kommunikation mit dem Kunden) nimmt Trustlytics in Übereinstimmung mit seiner eigenen Datenschutzerklärung sowie allen anwendbaren Gesetzen zum Schutz persönlicher Informationen vor.
4.
Angaben zur Auftragsverarbeitung
4.1
Gegenstand und Zweck der Auftragsverarbeitung sind die Erbringung von Analyse-Dienstleistungen durch Trustlytics für den Kunden. Die Auftragsverarbeitung besteht in der Speicherung, Bereitstellung, Übermittlung und Löschung von personenbezogenen Analyse-Daten gemäss den Bestimmungen des Analyse-Dienstleistungsvertrags.
4.2
Durch die Auftragsverarbeitung werden Daten von Personen erfasst, denen der Kunde Zugang zu seiner Kundenwebseite gewährt. Dabei handelt es sich um personenbezogene Informationen, die bei der Nutzung einer Webseite üblicherweise gesammelt werden, wie Protokolldaten (IP-Adresse und Betriebssystem des Geräts des Nutzers sowie das Datum und die Zugriffszeit des Browsers, Art des Browsers usw.), vom Benutzer eingegebene Daten und analysierte nutzerbezogene Informationen (im Folgenden „personenbezogene Analyse-Daten“).
5.
Rollen und Zuständigkeitsbereiche
5.1
Der Kunde bestätigt und Trustlytics anerkennt, dass der Kunde für die Verarbeitung der personenbezogenen Analyse-Daten nach geltenden Datenschutzgesetzen verantwortlich ist und bleibt. Der Kunde hat somit die Rolle des Verantwortlichen inne, es sei denn, er agiert selbst als Auftragsverarbeiter in Bezug auf die personenbezogenen Analyse-Daten (siehe Abschnitt 5.4).
5.2
Trustlytics anerkennt, dass der Kunde in der Rolle des Verantwortlichen verpflichtet ist, Trustlytics bei Inanspruchnahme von Analyse-Dienstleistungen einige seiner Pflichten aus dem Schweizer Bundesgesetz über den Datenschutz oder anderen geltenden Datenschutzgesetzen (insbesondere der EU-DSGVO) vertraglich zu überbinden.
5.3
Trustlytics nimmt in Bezug auf die Verarbeitung betroffener personenbezogener Daten die Rolle des Auftragsverarbeiters ein. Sofern Trustlytics für diese Auftragsverarbeitung nicht ebenfalls der EU-DSGVO (oder den anderen allenfalls anwendbaren Datenschutzgesetzen) untersteht, so nimmt Trustlytics diese Rolle nur auf der Grundlage der vertraglichen Pflichten von Trustlytics gemäss dieser ADV-Vereinbarung ein und wird nicht allein deswegen unter der EU-DSGVO (oder den anderen allenfalls anwendbaren Datenschutzgesetzen) verpflichtet.
5.4
Ist der Kunde seinerseits Auftragsverarbeiter (d. h. wenn der Kunde gemäss Analyse-Dienstleistungsvertrag berechtigt ist, den Analyse-Dienstleistungen seinen Kunden zur Verfügung zu stellen), so bestätigt er, dass sein Kunde (d. h. der Verantwortliche) ihn gemäss separater Vereinbarung zur Unter-Auftragsverarbeitung und Erteilung allfälliger Weisungen an Trustlytics ermächtigt hat.
6.
Pflichten von Trustlytics
6.1
Trustlytics verpflichtet sich, die personenbezogenen Analyse-Daten nur zur Erbringung der Analyse-Dienstleistungen gemäss Leistungsbeschrieb und vertraglichen Pflichten sowie gemäss dieser ADV-Vereinbarung zu verarbeiten.
6.2
Trustlytics hat das Recht, personenbezogene Analyse-Daten des Kunden so zu verarbeiten, wie es die Erfüllung der Leistungspflichten aus dem Analyse-Dienstleistungsvertrag sowie dieser ADV-Vereinbarung beinhaltet. Auf Anfrage kann Trustlytics zusätzliche Weisungen bezüglich der Auftragsverarbeitung vom Kunden erhalten und umsetzen. Der Kunde muss mündliche Anweisungen sofort schriftlich bestätigen (ausschliesslich per E-Mail). Wenn Trustlytics überzeugt ist, dass eine solche Weisung gegen Datenschutzvorschriften verstösst, wird Trustlytics den Kunden unverzüglich informieren und die Durchführung aussetzen oder ablehnen, bis sie durch den Kunden bestätigt oder geändert wird. Trustlytics kann die Durchführung der entsprechenden Weisung zudem verweigern, wenn diese für Trustlytics im Rahmen der vertraglich vereinbarten Analyse-Dienstleistungen nicht umsetzbar oder objektiv nicht zumutbar sind oder zu Mehrkosten oder geändertem Leistungsumfang führen oder wenn Trustlytics mit der Durchführung ihre gesetzlichen oder regulatorischen Pflichten nicht erfüllen könnte.
6.3
Trustlytics stellt sicher, dass die Mitarbeiter und andere Personen, die Zugang zu den personenbezogenen Analyse-Daten haben, gemäss der ADV-Vereinbarung handeln. Ausserdem verpflichtet sich Trustlytics dazu, alle betreffenden Personen zur Wahrung der Vertraulichkeit zu verpflichten – auch über ihre Tätigkeit für Trustlytics hinaus.
6.4
Trustlytics verpflichtet sich, im Interesse der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit der personenbezogenen Analyse-Daten angemessene technische und organisatorische Massnahmen zu treffen. Trustlytics implementiert insbesondere Zugangskontrollen, Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen. Trustlytics berücksichtigt dabei den aktuellen Stand der Technik, die Implementierungskosten sowie Art, Umfang und Zwecke der Verarbeitung von Daten, sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen. Die jeweils geltenden Massnahmen sind im Anhang 1a dieser ADV-Vereinbarung aufgeführt.
6.5
Trustlytics verpflichtet sich, den Kunden umgehend schriftlich zu informieren, falls eine Verletzung der Datensicherheit auftritt und personenbezogene Analyse-Daten betroffen sind. Dabei muss Trustlytics dem Kunden Art und Umfang der Verletzung sowie mögliche Lösungen mitteilen. Die Vertragsparteien arbeiten zusammen, um den Schutz der personenbezogenen Analyse-Daten sicherzustellen und mögliche negative Auswirkungen für die betroffenen Personen zu mildern. Auf schriftliche Anfrage stellt Trustlytics dem Kunden ausreichende Informationen zur Verfügung, damit der Kunde seinen Pflichten gemäss geltenden Datenschutzgesetzen nachkommen kann bezüglich Meldung, Untersuchung und Dokumentation von Datensicherheits-Verletzungen.
6.6
Trustlytics verpflichtet sich dazu, auf schriftliche Anfrage des Kunden und gegen eine angemessene Vergütung sowie unter Berücksichtigung der betrieblichen Ressourcen und Möglichkeiten bei der Erfüllung von Betroffenenrechten (einschliesslich Auskunfts-, Berichtigungs- und Mischungsrechte) durch den Kunden in Bezug auf personenbezogene Analyse-Daten gemäss den geltenden Datenschutzgesetzen zu helfen. Dies beinhaltet auch Kapitel III der EU-DSGVO, sowie entsprechende Bestimmungen des Schweizer Bundesgesetz über den Datenschutz.
6.7
Wenn eine Person, die betroffen ist, Forderungen bezüglich ihrer Rechte stellt und sich direkt an Trustlytics wendet, wird Trustlytics die betroffene Person an den Kunden weiterleiten. Wenn Trustlytics Anfragen von einer betroffenen Person in Bezug auf personenbezogene Analyse-Daten erhält (wie Auskunfts- oder Löschungsanträge), muss Trustlytics den Kunden unverzüglich schriftlich benachrichtigen. Dies gilt jedoch nur dann, wenn der Kunde identifiziert werden kann, basierend auf den erhaltenen Informationen von der betroffenen Person.
6.8
Trustlytics bietet auf schriftliche Anfrage und gegen Bezahlung Unterstützung für Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden an. Die entsprechende Vergütung wird separat vereinbart, wobei die betrieblichen Ressourcen und Möglichkeiten von Trustlytics berücksichtigt werden müssen.
6.9
Nach Ablauf des Analyse-Dienstleistungsvertrags wird Trustlytics die personenbezogenen Analyse-Daten gemäss den Bestimmungen des Analyse-Dienstleistungsvertrags löschen.
7.
Beizug von Unterauftragsverarbeitern
7.1
Wenn ein Kunde von Trustlytics Dienstleistungen in Anspruch nimmt, die personenbezogene Analyse-Daten betreffen und durch Dritte erbracht werden, bleibt Trustlytics der Auftragsverarbeiter des Kunden und erfüllt die diesbezüglichen Pflichten aus der ADV-Vereinbarung. Der Anbieter der Drittdienstleistung, die in der Analyse-Dienstleistung von Trustlytics integriert ist, ist dann Unterauftragsverarbeitern von Trustlytics. Davon zu unterscheiden sind Fälle, in denen Trustlytics dem Kunden einen direkten Vertrag mit dem Drittanbieter vermittelt und dieser direkt zum Auftragsverarbeiter des Kunden wird. In diesen Fällen muss sich der Kunde selbst darum kümmern, unter anwendbaren Datenschutzgesetzen allenfalls notwendige Vereinbarungen mit dem Drittdienstleister zu treffen.
7.2
Trustlytics führt eine Liste der Unterauftragsverarbeitern (Anhang 1b) und kann im Rahmen ihrer Analyse-Dienstleistungen weitere Unterauftragsverarbeitern einbeziehen. Möchte Trustlytics weitere Unterauftragsverarbeitern beiziehen oder zukünftig beigezogene Unterauftragsverarbeitern auswechseln, so teilt Trustlytics dies dem Kunden mindestens 60 Tage im Voraus in schriftlich (ausschliesslich per E-Mail) mit. Der Kunde kann einer Erweiterung oder Anpassung der Liste innert 30 Tagen schriftlich (ausschliesslich per E-Mail) widersprechen. Der Kunde kann dies nur aus datenschutzrechtlichen und berechtigten Gründen tun. Können sich die Vertragsparteien nicht innert 30 Tagen einigen, kann der Kunde die Auftragsbearbeitung und die davon betroffene Leistung des Analyse-Dienstleistungsvertrags ausserordentlich kündigen, wenn der Kunden aufzeigen kann, dass der Widerspruch datenschutzrechtlich notwendig ist. Strengere Regelungen über den Beizug von Unterauftragsverarbeitern zugunsten des Kunden im Analyse-Dienstleistungsvertrags bleiben vorbehalten.
7.3
Trustlytics wird die Bearbeitung von personenbezogene Analyse-Daten nur an Unterauftragsverarbeitern weitergeben, die sich den Vorgaben zur Auftragsbearbeitung gemäss Artikel 28(3) DSGVO verpflichtet haben.
8.
Bekanntgabe von personenbezogene Analyse-Daten ausserhalb der Schweiz und der EU
8.1
Trustlytics ist verpflichtet, keine personenbezogenen Analyse-Daten ausserhalb der Schweiz und der EU weiterzugeben oder zu übermitteln, ausser
an den Kunden selbst, seine verbundenen Unternehmen oder an Dritte in Erfüllung einer Anweisung des Kunden oder wie vom Analyse-Dienstleistungsvertrag vorgesehen (dies gilt nicht für Übermittlungen an Unterauftragsverarbeitern von Trustlytics oder sonst von dieser beigezogenen Dritte).
soweit im Analyse-Dienstleistungsvertrag nichts Strengeres vereinbart wurde, darf die Übermittlungen an Empfänger in Ländern mit angemessenem Datenschutzniveau erfolgen.
soweit im Analyse-Dienstleistungsvertrag nichts Strengeres vereinbart ist, an einen Empfänger, der nicht in einem Land mit angemessenem Datenschutzniveau ist, soweit die nach Schweizer Bundesgesetz über den Datenschutz und EU-DSGVO für eine rechtmässige Bekanntgabe bzw. Übermittlung der Personendaten erforderlichen Voraussetzungen geschaffen worden sind.
dies ist mit dem Kunden im Analyse-Dienstleistungsvertrag oder anderweitig vereinbart wurde.
9.
Pflichten des Kunden
9.1
Der Kunde ist für die Rechtmässigkeit der Verarbeitung der personenbezogenen Analyse-Daten, einschliesslich der Zulässigkeit der Auftrags- bzw. Unterauftragsverarbeitung, verantwortlich.
9.2
Es liegt in der Verantwortung des Kunden, angemessene technische und organisatorische Massnahmen zum Schutz personenbezogener Analyse-Daten auf seinen eigenen Systemen und Anwendungen zu ergreifen.
9.3
Der Kunde verpflichtet sich, Trustlytics unverzüglich zu informieren, wenn der Kunde in der Leistungserbringung von Trustlytics Verletzungen von anwendbaren Datenschutzgesetzen feststellt.
10.
Informations- und Prüfungsrechte
10.1
Trustlytics ist verpflichtet, dem Kunden auf schriftliche Anfrage alle Informationen zur Verfügung zu stellen, die dieser zum Nachweis der Einhaltung dieser ADV-Vereinbarung gegenüber betroffenen Personen oder Datenschutz- oder sonstigen Aufsichtsbehörden benötigt.
10.2
Trustlytics ermöglicht dem Kunden oder einem vom Kunden beauftragten und zur Vertraulichkeit verpflichteten Prüfer, die Einhaltung dieser ADV-Vereinbarung durch Trustlytics zu prüfen. Werden nach Vorlage entsprechender Nachweise Verletzungen der ADV-Vereinbarung durch Trustlytics festgestellt, hat Trustlytics unverzüglich und kostenlos geeignete Korrekturmassnahmen umzusetzen.
10.3
Die vorstehenden Informations- und Prüfungsrechte des Kunden bestehen nur insoweit, als der Analyse-Dienstleistungsvertrag dem Kunden keine anderen Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen der anwendbaren Datenschutzgesetze entsprechen. Weiter stehen diese Informations- und Prüfungsrechte unter dem Vorbehalt des Verhältnismässigkeitsgebots und der Wahrung der schutzwürdigen Interessen (insbesondere Sicherheits- oder Geheimhaltungsinteressen) von Trustlytics. Vorbehältlich einer anderslautenden Vereinbarung zwischen den Vertragsparteien trägt der Kunde sämtliche Kosten der Information und Prüfung, einschliesslich nachgewiesener interner Kosten von Trustlytics.
11.
Generelle Bestimmungen
Die datenschutzrechtlichen Begriffe, die in diesem Kontext genutzt werden, haben dieselbe Bedeutung, wie sie ihnen durch die EU-DSGVO oder dem Schweizer Bundesgesetz über den Datenschutz zugeschrieben wird.
Rapperswil-Jona, September 2023
Im Folgenden werden die Massnahmen beschrieben, die Trustlytics ergreift, um ein angemessenes Sicherheitsniveau zu gewährleisten. Dabei wird der Art und dem Umfang der Bearbeitung sowie den Risiken für die Rechte und Freiheiten betroffener Personen Rechnung getragen. Es handelt sich dabei sowohl um technische als auch organisatorische Schritte zur Gewährleistung eines hohen Datenschutzniveaus:
1.
Massnahmen zur Gewährleistung der fortwährenden Vertraulichkeit, Integrität, Verfügbarkeit und Stabilität der Systeme und Dienste
Aspekte des Datenschutzes sind wichtige Bestandteile des Risikomanagements von Trustlytics.
Die Mitarbeiter sind qualifiziert und unterliegen der Verpflichtung zur Geheimhaltung von Daten.
Die Mitarbeiter erhalten eine Aufklärung über die möglichen Konsequenzen, wenn sie gegen Sicherheitsvorschriften und -verfahren verstossen.
Die Mitarbeiter erhalten klare Anweisungen bezüglich Zugangskontrolle, Kommunikationssicherheit und Betriebssicherheit.
Im Falle eines Ausfalls kritischer Systemkomponenten können diese innerhalb der kürzester Zeit ersetzt werden, z. B. durch Sicherung-Komponenten, redundante Systeme oder Datenspiegelung.
2.
Massnahmen zur Aonymisierung und Verschlüsselung von personenbezogenen Daten
Wo möglich, werden bei der Verschlüsselung personenbezogener Daten die Algorithmen und die Länge der Schlüssel dem Sensibilitätsgrad der Daten angepasst.
Die Sicherheit der Verschlüsselungsschlüsseln wird gewährleistet, indem sie nur an eine begrenzte Anzahl von Personen weitergegeben und sicher aufbewahrt werden.
3.
Massnahmen zur Gewährleistung der schnellen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls
Eine Sicherung-Strategie ist auf der Grundlage der Art der Daten und der Häufigkeit ihrer Änderungen festgelegt.
Die Sicherung-Systeme unterliegen denselben Sicherheitsmassnahmen wie die Produktivsysteme.
Die Mitarbeiter, die für die Wiederherstellung von Daten verantwortlich sind, haben spezielle Schulungen durchlaufen und sind daher qualifiziert für diese Aufgabe.
4.
Massnahmen zur Benutzeridentifizierung und Benutzerautorisierung
Der Zugang zu Systemen ist durch branchenübliche Identifikationsmethoden und Authentifizierungsverfahren geschützt.
Benutzerkonten und Benutzerberechtigungen werden von den verantwortlichen Mitarbeitern verwaltet.
Das restriktive, bedarfsorientierte Berechtigungskonzept wird von einer Mindestanzahl von verantwortlichen Mitarbeitern verwaltet.
Der Zugriff auf personenbezogene Daten ist auf Mitarbeiter beschränkt, die im Rahmen ihrer jeweiligen Funktion oder Rolle einen berechtigten Bedarf für den Zugriff auf diese personenbezogenen Daten haben.
Für den Zugang zu den Systemen wird, soweit möglich, eine Mehrfaktor-Authentifizierung verwendet.
5.
Massnahmen zum Schutz der Daten während der Datenübertragung
Der Fernzugriff erfolgt ausschliesslich über verschlüsselte Verbindungen.
Die elektronische Übertragung von Daten und die Übermittlung personenbezogener Daten erfolgt mit branchenüblichen Verschlüsselungsmethoden.
6.
Massnahmen zum Schutz der Datenspeicherung
Der Zugriff auf personenbezogene Daten ist auf diejenigen Personen beschränkt, die diese Daten verarbeiten müssen.
Die im Datenzentrum gespeicherten Daten sind vor physischem Zugriff geschützt (siehe Abschnitt 7) und werden nach Möglichkeit verschlüsselt.
Die Rechte zur Eingabe, Änderung und Löschung von Daten ist auf diejenigen Personen beschränkt, die diese Daten verarbeiten müssen.
7.
Massnahmen zur Gewährleistung der physischen Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden und zur Gewährleistung der Ereignisprotokollierung
Für Systeme, die bei externen Dienstleistern untergebracht und gewartet werden, gelten Vereinbarungen zu entsprechenden Massnahmen, die von diesen Dienstleistern umzusetzen und zu gewährleisten sind. Diese sind unter anderem aber nicht abschliessend:
elektronisches Zutrittskontrollsystem mit Protokollierung
Hochsicherheitszaun um den gesamten Datacenter-Park
dokumentierte Schlüsselvergabe an Mitarbeiter
Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
24/7 personelle Besetzung der Rechenzentren
Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen
Der Zutritt für betriebsfremde Personen (z. B. Lieferanten) zu den Räumen ist wie folgt beschränkt: nur in Begleitung eines Mitarbeiters
8.
Massnahmen für die interne IT sowie die Systeme mit personenbezogener Daten
Alle Systeme und Software werden regelmässig aktualisiert.
Sicherheitsupdates werden zeitnah installiert.
Sicherheitshinweise und Sicherheitslücken werden überwacht, bewertet und behoben.
Der Fernzugriff durch Dritte ist nicht gestattet.
9.
Massnahmen zur Löschung von personenbezogenen Daten
Die gespeicherten personenbezogenen Daten werden in regelmässigen Abständen überprüft und gelöscht, wenn sie nicht mehr benötigt werden und keine gesetzlichen oder vertraglichen Bestimmungen oder technischen Einschränkungen die Löschung dieser personenbezogenen Daten untersagen.
10.
Massnahmen zur Übertragbarkeit von Daten
Anfragen zur Übertragbarkeit von Daten werden unverzüglich an die entsprechenden Stellen weitergeleitet und zeitnah bearbeitet, sodass die gesetzlichen Fristen immer eingehalten werden können.
11.
Unterauftragsverarbeiter
Alle Unterauftragsverarbeiter, die Trustlytics beauftragt hat, haben ähnliche angemessene technische und organisatorische Massnahmen (TOM) implementiert wie Trustlytics selbst.
Rapperswil-Jona, September 2023
Paddle.com Market Limited, Vereinigtes Königreich / Zahlungsabwicklung
Hetzner Online GmbH, Deutschland / Rechenzentrumsdienstleistungen
Rapperswil-Jona, September 2023