Grundlage der Zusammenarbeit

Rechtliches

Wir setzen alles an eine nachhaltige Zusammenarbeit und möchten Missverständnisse aus der Welt zu schaffen. Rufen Sie uns bei Fragen oder Unklarheiten bitte einfach an.

Impressum

Onebyte AG
Bahnhofstrasse 117
CH-8620 Wetzikon ZH

Telefon 044 934 50 00
info@onebyte.ch

Handelsregister Kanton Zürich: CHE-109.601.873
Geschäftsführer: Marcus Kuhn

Mehrwertsteuer Schweiz: CHE-109.601.873 MWST

Bankverbindung: CH45 0900 0000 6075 8822 7
PostFinance Bern: POFICHBEXXX

Allgemeine Geschäftsbedingungen

1.1 Zweck – Die Allgemeinen Geschäftsbedingungen (folgend AGB genannt) dienen als Rechtsgrundlage für die Dauer des Vertragsverhältnisses zwischen Onebyte und dem Kunden (nur der Einfachheit halber wird auf die Nennung der weiblichen Form verzichtet), welcher ein von Onebyte angebotenes Produkt bzw. eine Dienstleistung bestellt. Die AGB unterstehen schweizerischem Recht mit Onebytes Gesellschaftssitz als ausschliesslicher Gerichtsstand.

1.2 Beginn – Das Vertragsverhältnis kommt mit der Auftragsannahme oder Inbetriebnahme seitens Onebyte aufgrund der durch den Kunden aufgegebenen Bestellung zustande. Die Bestellung kann je nach Produkt mündlich, per E-Mail, Online-Formular oder unterzeichnetes Dokument übermittelt werden oder durch Leistungsbezug erfolgen. Das erste Datum der genannten Ereignisse gilt als Abonnements- bzw. Vertragsbeginn. Onebyte behält sich das Recht vor, eine Bestellung ohne Angabe von Gründen abzulehnen.

1.3 Dauer – Die erste Vertragslaufzeit bestimmt der Kunde bei der Bestellung unter der gegebenen Auswahl selbst. Nach Ablauf dieser Vertragslaufzeit wird das Abonnement bzw. der Vertrag (folgend nur noch Vertrag genannt) automatisch um die gleiche Laufzeit verlängert, sofern nicht mindestens 90 Tage vor Ablauf bzw. für unterjährige Verträge 30 Tage vor Ablauf eine Kündigung seitens einer Vertragspartei vorliegt. Wechselt der Kunde ein Produkt zu einem anderen Anbieter, so werden alle Dienste in Verbindung mit diesem Produkt abgeschaltet. Mit dem Umzug zu einem anderen Anbieter erlöschen sämtliche Ansprüche auf die Dienste von Onebyte. Mit der Kündigung von Abonnementen verfallen alle damit verbundenen Support- und Update-Leistungen. Der Vertrag hingegen läuft erst nach Ablauf der Kündigungsfrist aus.

1.4 Bestandteile – Neben den AGB sind auch die Nutzungskonditionen sowie die Vereinbarung zur Auftragsdatenverarbeitung unter www.onebyte.ch/rechtliches/ fester Vertragsbestandteil. Optionen gelten als Erweiterung zu einem aktiven Vertrag, mit Beendigung eines solchen erlischt somit auch der Anspruch auf die betreffende Option. Optionen können eigene Laufzeiten haben oder mit dem bestehenden Vertrag gekoppelt sein. Bei der Beanspruchung von Leistungen Dritter wie Domainnamen Service, Google Analytics, Werbeschaltungen online und offline, Drucksachen und Beschriftungen, Hosting und E-Mail gelten ferner die Richtlinien der jeweiligen Dritten, in welche der Auftraggeber automatisch einwilligt. Verlangen Dritte eine Gebühr und ist diese nicht in den Onebyte-Angeboten enthalten, so ist diese Gebühr allein vom Kunden zu tragen.

1.5 Abweichungen – Von den AGB teils abweichende bzw. diese ergänzende Vereinbarungen haben nur aufgrund eines von beiden Parteien bestätigten Dokuments Gültigkeit und auf die Anwendbarkeit der restlichen Bestimmungen keinen Einfluss.

Zahlungsbedingungen

2.1 Preise – Es gelten grundsätzlich die vertraglich vereinbarten Preise. Wo keine expliziten Preise festgelegt wurden gelten primär die unter www.onebyte.ch veröffentlichten Preise oder sekundär der gültige Stundenansatz zwischen CHF 150.00 und CHF 180.00. Alle Preise sind in Schweizer Franken exklusiv Mehrwertsteuer angegeben. Allfällige Rabatte sind Skonti und nur gültig bei fristgerechter Zahlung. Die Abonnementspreise werden zum Voraus fällig und abgerechnet. Onebyte behält sich das Recht vor, Preise aufgrund von geänderten Gegebenheiten jederzeit anzupassen. Solche Änderungen haben für bestehende Verträge erst bei deren Verlängerung Gültigkeit, sei dies zum Vor- oder Nachteil des Kunden. Die Rückerstattung vorausbezahlter Kosten ist in einem solchen Fall oder auch bei einer vorzeitigen Vertragsbeendigung auf Wunsch des Kunden ausgeschlossen.

2.2 Spesen – Fahrspesen innerhalb der bezeichneten Freigrenze sind in den Preisen inbegriffen. Fahrspesen über die Freigrenze hinaus und Telefonspesen werden als effektiver Stundenaufwand ohne zusätzliche km-Entschädigung bzw. Gebühren-Entschädigung abgerechnet. Falls nicht ausdrücklich anders vereinbart sind auch alle persönlichen Auslagen von Onebyte-Mitarbeitern in den Preisen inbegriffen. Spesen für Bewilligungen, Zollgebühren, Porto und Verpackung werden gesondert abgerechnet.

2.3 Zahlungsfrist – Sofern nicht besondere Zahlungsfristen vereinbart werden gilt bei bestehenden Kunden mit stets fristgerecht beglichenen Rechnungen 30 Tage netto ab Rechnungsdatum. Bei allen anderen Kunden gilt Vorauszahlung. Bei Vertragsverlängerung ist die neue Vertragsperiode mit Leistungsbeginn zahlbar.

2.4 Verrechnung – Zahlt der Kunde nicht fristgerecht, so gerät er ohne Mahnung in Verzug. Die Verrechnung von Forderungen durch den Kunden ist ausgeschlossen. Hat der Kunde bis zum Fälligkeitsdatum weder die Rechnung bezahlt noch schriftlich und begründet Einwände dagegen erhoben, so kann Onebyte die Erbringung sämtlicher Leistungen ohne weitere Ankündigung unterbrechen und/oder den Vertrag frist- und entschädigungslos auflösen.

Rechte und Pflichten von Onebyte

3.1 Leistungen – Onebyte ist für die Leistungserbringung gemäss dem vom Kunden beanspruchten Angebot, dessen Produktbeschrieb gemäss Offerte bzw. unter www.onebyte.ch veröffentlicht ist, verantwortlich. Bei der Art und Weise der für diese Dienstleistungen notwendigen Umgebung ist Onebyte in allen Belangen frei, beispielsweise können in- und ausländische Unternehmen bzw. Dritte beigezogen werden. Auch Änderungen hierbei sind im Ermessen von Onebyte vorzunehmen.

3.2 Bildmaterial – Bei fehlendem Bildmaterial kann Onebyte passendes Bildmaterial von Dritten auf Wunsch und zu Lasten des Kunden einkaufen, wobei das Bildmaterial sofern nicht anders erwähnt nur für den bestimmten Zweck und auf das Unternehmen des Kunden beschränkt ist (1 Lizenz). Auf keinen Fall dürfen diese Bilder an Dritte weitergegeben werden. Gleiches gilt auch für Schriften und andere lizenzrechtlich geschützte Eigentumrechte.

3.3 Belegexemplare & Referenzen – Von Drucksachen darf Onebyte eine angemessene Anzahl Musterexemplare (in der Regel 5 Stück) behalten und als Leistungsnachweis verwenden und veröffentlichen. Auch ungedrucktes Material und allgemeine Eckdaten zum Projekt dürfen von Onebyte als Referenz publiziert werden. Ausserdem ist Onebyte berechtigt, auf allen Internetseiten der Kunden einen Link zum Internetauftritt von Onebyte sowie einen Gegenlink zu setzen. Auf ausdrücklichen schriftlichen Kundenwunsch hin kann die Nennung als Referenz und Verlinkung unterbleiben.

3.4 Urheberrecht – Die Urheberrechte und verwandte Schutzrechte an allen von Onebyte geschaffenen Werken gehören grundsätzlich Onebyte. Onebyte kann über diese Rechte gemäss Bundesgesetz-Bestimmungen verfügen.

3.5 Eigentumsrecht – Bis zur vollständigen Bezahlung bleiben alle Leistungen beweglicher Sachen im Eigentum von Onebyte.

3.6 Anpassungen – Onebyte behält sich das Recht vor, die AGB, weitere Vertragsbestandteile gemäss Ziffer 1.4 oder ein Angebot bzw. einzelne Bestandteile davon jederzeit ohne Mitteilung an sich ändernde Gegebenheiten anzupassen. Sofern nicht anders angekündigt, treten solche Änderungen jeweils mit sofortiger Wirkung in Kraft. Es wird diesbezüglich auf Ziffer 4.9 hingewiesen.

3.7 Leistungsunterbindung – Onebyte ist bei Nichteinhaltung einer Pflicht des Kunden gemäss Ziffer 4 – sei dies vorsätzlich, unwissentlich oder fremdverschuldet – zur umgehenden Sperrung oder Entfernung des betreffenden Accounts, Servers, Dienstes, Inhalts, Programms usw. berechtigt. Durch Behebung des Missstands kann sich der Kunde wenn nötig von der jeweils ergriffenen Sanktion befreien. Bei einer schwerwiegenden oder wiederholten Verletzung einer Pflicht behält sich Onebyte die frist- und entschädigungslose Vertragsbeendigung wie auch den Rechtsweg gegen den Kunden vor.

3.8 Mitteilungen – Onebyte ist berechtigt, sämtliche Mitteilungen per E-Mail an den Kunden zu richten, eingenommen aber nicht ausschliesslich Ankündigungen zu Produkterneuerungen oder technischen Unterhaltsarbeiten, Rechnungen, Zahlungserinnerungen, Einrichtungs- oder Kündigungsbestätigungen, verlorene Zugangsdaten usw. Liegt Onebyte hierbei eine Kontaktadresse vor, die seit der Bestellung des Kunden keine Gültigkeit mehr hat, ist Onebyte zu zusätzlichen Abfragen von Einträgen (durch Onebyte zur Verfügung gestellte Administrationsoberfläche, öffentliche WHOIS-Datenbank zu Domain-Namen o.ä.), mit welchen die Kontaktadresse als eindeutig autorisiert zugeordnet werden kann, berechtigt.

3.9 Vorzeitige Vertragsauflösung – Wünscht der Kunde trotz gültigem Vertrag die vorzeitige Vertragsauflösung und ist eine Zusammenarbeit aufgrund fehlender Unterstützung kundenseitig nicht mehr möglich, so kann Onebyte freiwillig gegen eine Entschädigung der vorzeitigen Vertragsauflösung zustimmen. Onebyte kann entweder den effektiven Aufwand in Rechnung stellen oder insbesondere bei Festpreisen ohne detaillierte Stundenabrechnung eine pauschale Entschädigung verlangen. Die pauschale Entschädigung vom ursprünglichen Auftragsvolumen beträgt bis Projektstart 50%, im ersten Monat ab Projektstart 75% und danach 100%. Als Projektstart gilt jede Auftragsausführung seitens Onebyte.

Rechte und Pflichten des Kunden

4.1 Zusammenarbeit – Der Kunde verpflichtet sich zur Mithilfe sowie zur Einhaltung von festgelegten Terminen, sodass Onebyte seinerseits die gewünschten Leistungen optimal erbringen kann. Liegt nicht ein anders lautender Projektablaufplan vor, ist für Aufträge bis CHF 10’000 eine maximale Projektdauer von 3 Monaten vorgesehen, ansonsten die Leistungen in Rechnung gestellt und pro Zusatzmonat 10 % Aufschlag für den Mehraufwand verrechnet werden können. Das gleiche gilt sinngemäss für Aufträge über CHF 10’000 für eine maximale Projektdauer von 6 Monaten.

4.2 Rechte Dritter – Der Kunde ist für die rechtliche Zulässigkeit des Domainnamens und der Inhalte seiner Internetseiten und Drucksachen sowie für die von ihm gelieferten Daten und Informationen (Gestaltungsarbeiten, Texte, elektronische Daten, Bilddaten, usw.) einschliesslich der Suchbegriffe allein verantwortlich, gleiches gilt für den Schutz der Rechte Dritter, insbesondere in urheberrechtlicher, wettbewerbsrechtlicher und strafrechtlicher Hinsicht.

4.3 Gut zum Druck – Der Kunde ist verpflichtet, sämtliche Kontrolldokumente auf Fehler jeglicher Art zu überprüfen und diese mit allfälligen Korrekturangaben umgehend zu retournieren. Mit dem Gut zum Druck gibt der Kunde Drucksachen oder andere Produktionsinformationen frei und ist dadurch mit der Vorlage bzw. Umsetzung einverstanden.

4.4 Mängelrüge – Die von Onebyte erbrachten Leistungen und Produkte sind durch den Kunden bei Empfang umgehend zu prüfen. Wünscht der Kunde möglichst einwandfreie Produktionen sind hochwertige und somit teurere Verfahren mit gewissen Garantien zu wählen. Bei farbigen Reproduktionen, Beschnitt, Falz und Ausrüstung in allen Herstellungsverfahren können geringfügige Abweichungen vom Original bzw. der Vorlage nicht beanstandet werden, insbesondere dann nicht, wenn Dritte wie Druckereien solche Abweichungen zum Beispiel technisch oder preislich bedingt ebenfalls von der Beanstandung ausschliessen. Gleiches gilt sinngemäss für die verwendeten Materialien und Produktionsprozesse. Allfällige Beanstandungen haben unverzüglich, spätestens innerhalb von 8 Tagen schriftlich zu erfolgen.

4.5 Verspätungen – Liefertermine sind grundsätzlich als unverbindlich anzusehen. Genannte Termine entsprechen dem jeweiligen Planungsstand. Bei Nichteinhaltung ist Onebyte eine angemessene Nachfrist zu setzen. Onebyte übernimmt keine Verantwortung für eventuell entstehende Verspätungen, insbesondere nicht, wenn diese durch Dritte wie Druckereien oder durch Änderungen auf Kundenwunsch verursacht wurden. Im Verhältnis zum Verbraucher haftet Onebyte gemäss schweizerischem Recht, jedoch nicht für immaterielle Schäden oder Einkommensverluste. Onebyte haftet nicht in Fällen von höherer Gewalt.

4.6 Suchmaschinenplatzierungen – Onebyte sichert dem Kunden nicht den Erfolg erbrachter Massnahmen zu. Die Position einer Internetseite in Suchmaschinen hängt von zahlreichen Faktoren ab, auf die Onebyte keinen Einfluss hat, so dass die Leistungen von Onebyte allein nicht zum Erfolg führen müssen.

4.7 Browserkompatibilität – Onebyte erbringt Web-Diensleistungen auf der Basis moderner und gängiger Technologien. Je nach verwendetem Webbrowser und Betriebssystem kann es jedoch zu einer unterschiedlichen Darstellung kommen. Für Technologie mit einem Marktanteil in der Schweiz von unter 5% sowie veraltete Betriebssysteme und Browserversionen wird keine Kompatibilitätsgewährleistung übernommen. Mobile Geräte wie Smartphones und Tablets haben in der Regel kleinere Bildschirme, wobei die Formate und Auflösungen sehr unterschiedlich sind. Die Darstellung von Websites wird deshalb ohne anderslautende Vereinbarung auf eine gängige Standardbreite ausgerichtet.

4.8 Server Setup – Ohne anders lautenden Auftrag setzt Onebyte Domainnamen und Server mit den Grundeinstellungen für einen neuen Webauftritt von Onebyte auf, wobei der Kunde keinen direkten Zugang zur Serveradministration und -konfiguration erhält. Eine Installation auf Webservern Dritter ist nicht im Grundpreis inbegriffen, da diese Server die nötigen Spezifikationen nicht zwangsläufig aufweisen. Der E-Mail-Service von Onebyte kann als Webzugang über einen Browser mit der vorhandenen Benutzeroberfläche oder über die Protokolle POP oder IMAP als Download bzw. Integration für Outlook, Smartphones oder andere Programme und Geräte genutzt werden. Ein Umzug eines bereits bestehendes Hostings, eines E-Mail-Kontos oder anderer im Zusammenhang mit Domainnamen und Hosting stehender Dienste müssen vom Kunden explizit gewünscht werden, ansonsten solche Dienste unterbrochen werden.

4.9 Sonderkündigung – Dem Kunden steht das Recht auf die fristlose Kündigung mit Anspruch auf die anteilmässige Rückerstattung vorausbezahlter Kosten für die restliche Vertragsdauer zu, sofern diesem aufgrund einer Änderung gemäss Ziffer 3.6 ein Nachteil entsteht, der ihn zum Zeitpunkt der Bestellung vom Vertragsabschluss abgehalten hätte, was der Kunde glaubhaft nachzuweisen hat.

4.10 Bezahlung – Der Kunde ist unter Einhaltung von Ziffer 2 zur Zahlung der Kosten während der gesamten Vertragsdauer verpflichtet. Bei Zahlungsverzug wird pro Mahnschreiben eine Mahngebühr von CHF 20.- sowie ein Verzugszins von 15 % des offenen Betrages ab dem Rechnungsdatum fällig. Die Mahnung wird im Abstand von 10 Tagen versendet, bevor weitere Schritte eingeleitet werden. Onebyte behält sich das Recht vor, die Sache zwecks Inkasso an einen Dritten zu übergeben. Bei wiederholtem Zahlungsverzug und erfolgloser Mahnung oder bei Zahlungsverzug von Neukunden ist Onebyte berechtigt, den Zugang zu sperren beziehungsweise Leistungen zu unterbrechen. Eine Wiederaufschaltung erfolgt dann nur nach vollständigem Zahlungseingang, zuzüglich einer Bearbeitungsgebühr von CHF 100.-.

4.11 Zusatzarbeiten – Arbeiten, die nicht in Onebytes Aufgabenbereich bzw. des jeweiligen Produkts geltenden Leistungskatalog fallen, können seitens Onebyte abgelehnt oder dem Kunden gemäss dafür angefallenem Aufwand in Rechnung gestellt werden. Beispiele für eine solche kostenpflichtige Leistung, in der Regel zum Stundensatz, sind u.a. Leistungserweiterungen, das Wiederherstellen einer durch den Kunden administrierten und unerwünscht veränderten Homepage, E-Mail-Support bezüglich Schnittstellen und externen Systemen oder Installationen und Anpassungen auf Webservern von Dritten. Für Domaintransaktionen beträgt die Bearbeitungsgebühr mindestens CHF 20.- pro Transaktion.

4.12 Erweiterte Nutzungsrechte und Rohdaten – Der Kunde verfügt grundsätzlich über die im Auftrag vereinbarten Nutzungsrechte. Insbesondere bei Fotoshootings ist eine Anzahl ausgewählter Fotos inklusive Bildbearbeitung bzw. Bildaufbereitung für einen bestimmten Verwendungszweck üblich. Erweiterte Nutzungsrechte können zu einem kleinen Aufpreis erworben werden, wobei zusätzliche Bildbearbeitungen bzw. Bildaufbereitungen gesondert abgerechnet werden. Das Ausliefern von Rohdaten ist nicht vorgesehen und wird gegebenenfalls zusätzlich abgerechnet.

4.13 Limiten – Bei Produkten mit Limiten (Traffic, Anzahl Seiten, Anzahl E-Mail-Adressen, etc.) wird dem Kunden bei einer Überschreitung der jeweiligen Limite das zusätzliche Volumen gemäss veröffentlichtem Preis in Rechnung gestellt.

4.14 Nutzung – Der Kunde ist unter Einhaltung von Ziffer 1.4 zur ordentlichen Nutzung der ihm angebotenen Leistungen verpflichtet. Das Recht des Kunden, die Leistungen zu nutzen, ist nicht übertragbar und besteht lediglich für den Kunden bzw. dessen Unternehmen und Angestellte. Bei einer Weitergabe von bestimmten Nutzungsrechten ist der Kunde zur Unterrichtung der jeweiligen Dritten verantwortlich und haftet grundsätzlich auch für diese.

4.15 Einschränkung – Generell untersagt sind das Betreiben oder auch die direkte oder indirekte Förderung so genannter Adult- und Download-Sites bzw. -inhalte, IRC-Dienste (inkl. Bots, Bouncer usw.), Filesharing-Dienste (Peer-to-Peer usw.) oder potenziell rechtswidrige bzw. anstössige Inhalte. Ferner verzichtet der Kunde auf die Ausführung von Programmen oder Scripts bzw. das Betreiben von Sites, welche die Systemressourcen zum Nachteil anderer Kunden beeinträchtigen. Desweiteren ist der Kunde zur Einhaltung der Speicherplatzobergrenze verpflichtet.

4.16 Haftung – Der Kunde haftet selbst und alleinig für sämtliche mit den von ihm genutzten Account, Server und Drucksachen im Zusammenhang stehenden Inhalten, Verlinkungen und Handlungen. Das gleiche gilt für an Onebyte übergebene Manuskripte, Datenträger und Vorlagen, welche von Onebyte mit der üblichen Sorgfalt behandelt werden, jedoch vom Kunden selbst zu sichern beziehungsweise zu versichern sind. Mit Ausnahme von Vorsatz und grober Fahrlässigkeit seitens Onebyte, wobei der Anspruch einzig auf den unmittelbar erlittenen Schaden und den Gegenwert der beanspruchten Leistungen beschränkt ist, sowie allfällig gewährten Leistungsgarantien verzichtet der Kunde bei Verspätungen, Betriebsunterbrüchen, Ausfällen einzelner Dienste, Datenunsicherheiten oder -verluste usw. auf jegliche Art von Haftungsansprüchen gegenüber Onebyte, eingenommen aber nicht ausschliesslich Schadenersatzforderungen. Onebyte haftet nicht in Fällen von höherer Gewalt.

4.17 Kontaktadressen – Durch die Anmeldung verpflichtet sich der Kunde korrekte und vollständige Angaben zu machen. Diese beinhalten, sofern vorhanden, Firma, Kontaktperson, Postadresse, Telefonnummer sowie E-Mail-Adresse. Der Kunde ist bei wichtigen Änderungen zur Benachrichtigung von Onebyte innert 10 Tagen verpflichtet, um Schwierigkeiten bei der Kontaktaufnahme und Verzögerungen zu unterbinden. Stellen sich die Kontaktdaten als unvollständig, unrichtig oder nicht aktuell heraus und kann dadurch die Identität des Kunden nur mit unverhältnismässigem Aufwand ermittelt werden oder sind Mitteilungen an den Kunden nicht zustellbar, so ist Onebyte berechtigt, die Erbringung ihrer Leistungen einzustellen oder den Vertrag frist- und entschädigungslos ausserordentlich zu kündigen. Onebyte ist ferner berechtigt, allfällige Kosten, welche aufgrund veralteter, unvollständiger oder unrichtiger Kontaktdaten entstehen, dem Kunden in Rechnung zu stellen, wobei die Mindestgebühr CHF 20.- beträgt.

4.18 Datenschutz – Der Kunde ist dafür verantwortlich, die Vertraulichkeit der Internetseite und des dazugehörigen Passworts zu wahren. Weiter ist er verantwortlich für sämtliche Vorgänge die damit verursacht werden, dass der Kunde Besuchern Zugang zu seiner Internetseite verschafft hat oder das Passwort weitergegeben hat und haftet in diesem Fall für alle Konsequenzen der Nutzung oder des Missbrauchs seiner Internetseite oder Passworts. Der Kunde erklärt sich damit einverstanden, dass Daten über seine Person gespeichert und im Rahmen der Notwendigkeit an Dritte übermittelt werden können. Dies gilt insbesondere für die Übermittlung von Daten, die für die Anmeldung von Domainnamen notwendig sind, wobei diese Daten anschliessend veröffentlicht werden können.

August 2023

Nutzungskonditionen

1.1 Servicequalität – Die Nutzungskonditionen dienen hauptsächlich dem Schutz der Betriebsumgebung von Onebyte, damit deren Servicequalität im Interesse der Kundenmehrheit nicht beeinträchtigt wird. Kunden, die ihren Server bzw. Account oder Teile davon an Dritte weitergeben sind zur entsprechenden Unterrichtung derer verpflichtet und haften Onebyte gegenüber auch für diese.

Verbote

2.1 Rechtsverletzung – Sämtliche Daten, Inhalte und Aktivitäten wie auch die Förderung dieser oder Beteiligung an solchen, die gegen schweizerisches Recht verstossen, sind untersagt. Hierzu zählen unter anderem die Veröffentlichung bzw. Verbreitung urheber- oder vertriebsrechtlich geschützter Daten.

2.2 Rassismus – Die Veröffentlichung bzw. Verbreitung von rassistischen Inhalten oder Hintergründen ist nicht gestattet. Die Bestimmung über dessen Definition bei nicht eindeutigen Fällen steht hierbei Onebyte zu.

2.3 Missbrauch – Aktivitäten wie auch die Förderung dieser oder Beteiligung an solchen, die gemäss allgemein bekannter Internet-Verhaltensregeln (Netiquette / RFC1855) als unwillkommen gelten, sind nicht erlaubt. Hierzu zählen unter anderem die (vielfache) unaufgeforderte Verbreitung nicht erwünschter Nachrichten (Spam, UCE usw.) sowie Angriffe gegen andere mit dem Internet verbundenen Systeme (DDoS Attack, Spoofing usw.). Die Bestimmung über die Definition bezüglich der Netiquette bzw. dessen Bestandteile steht hierbei Onebyte zu. Ferner verzichtet der Kunde auf einen übermässigen Bandbreitenverbrauch, sprich, wenn die verfügbaren Netzwerkressourcen zum Nachteil anderer Kunden beeinträchtigt werden.

Verstoss

3.1 Definition – Jede Nichtbeachtung oder Sittenwidrigkeit gegen ein unter Ziffer 2 genanntes Verbot gilt als Verstoss, sei dies vorsätzlich, unwissentlich oder fremdverschuldet. Ein solcher kann durch Prüfung von Meldungen bzw. Beschwerden Dritter oder – je nach Fall – auffallende Anzeichen bei Onebytes Systemprüfungsmechanismen erkannt werden.

3.2 Konsequenz – Entscheidend hierbei ist, wie schwerwiegend dieser nach Ansicht von Onebyte ist und bei einer allfälligen Bestrafung soll die entsprechende Verhältnismässigkeit zur Geltung kommen. Es erfolgt auf jeden Fall und im Minimum eine Verwarnung des Kunden. Bei einem schwerwiegenden oder mehrfachen Verstoss behält sich Onebyte die fristlose Aufhebung eines Vertrags bzw. Abos oder die sofortige vorübergehende Sperrung des betroffenen Inhalts, Dienstes, Accounts bzw. Servers vor.

Vereinbarung zur Auftragsdatenverarbeitung

Die Onebyte AG («onebyte») erbringt gegenüber dem Kunden Agentur-Dienstleistungen in Bezug auf eine oder mehrere Websites oder Applikationen des Kunden. Bei der Erbringung der Dienstleistungen speichert onebyte personenbezogene Daten im Auftrag und für die Zwecke des Kunden («Auftragsverarbeitung»).

Gegenstand und Anwendungsbereich der Auftragsdatenvereinbarung

1.1Diese Vereinbarung zur Auftragsdatenverarbeitung («AVV») regelt die Pflichten, Rollen und Zuständigkeiten von onebyte und dem Kunden («Vertragsparteien») in Bezug auf die Auftragsverarbeitung.
1.2 Diese AVV gilt für alle Dienstleistungsverträge, die nach dem 1. September 2023 abgeschlossen werden. Er ersetzt sämtliche vorbestehenden Vereinbarungen zur Auftragsbearbeitung zwischen onebyte und dem Kunden, sofern der Kunde dem nicht innert 30 Tagen seit Mitteilung schriftlich (E-Mail oder Briefpost) widerspricht.

Verhältnis zum Agentur-Dienstleistungsvertrag

2.1 Die Bestimmungen dieser AVV ergänzen die Bestimmungen des Agentur-Dienstleistungsvertrags. Sie schränken die Rechte und Pflichten der Vertragsparteien in Bezug auf die Erbringung bzw. die Inanspruchnahme der Agentur-Dienstleistungen nicht ein. Ihren Regelungsgegenstand betreffend gehen die Bestimmungen dieser AVV indes (sofern im Agentur-Dienstleistungsvertrag nicht ausdrücklich anders vereinbart) den Bestimmungen des Agentur-Dienstleistungsvertrags vor.

Anwendungsbereich der AVV

3.1 Diese AVV gilt in Bezug auf Auftragsverarbeitungen im Rahmen der von onebyte gemäss Dienstleistungsvertrag erbrachten Dienstleistungen.
3.2 Diese AVV gilt ausdrücklich nicht in Bezug auf Verarbeitungen personenbezogener Daten, bei denen onebyte die Zwecke und Mittel der Verarbeitung bestimmt und somit unter dem Schweizerischen Bundesgesetz über den Datenschutz (DSG) oder allenfalls anwendbaren anderen Datenschutzgesetzen (insbesondere der EU-DSGVO) verantwortlich ist. Solche Verarbeitungen personenbezogener Daten, die onebyte als Verantwortlicher vornimmt (z.B. Verarbeitungen personenbezogener Daten im Rahmen von Domain-Dienstleistungen oder zu Zwecken der Leistungsabrechnung oder der Kommunikation mit dem Kunden) nimmt onebyte in Übereinstimmung mit der Datenschutzerklärung von onebyte und den anwendbaren Datenschutzgesetzen vor.

Angaben zur Auftragsverarbeitung

4.1 Gegenstand und Zweck der Auftragsverarbeitung ist die Erbringung von Agentur-Dienstleistungen durch onebyte für den Kunden. Die Auftragsverarbeitung besteht in der Speicherung, Bereitstellung, Übermittlung und Löschung von personenbezogenen Daten gemäss den Bestimmungen des Dienstleistungsvertrags.
4.2 Von der Auftragsverarbeitung betroffen sind personenbezogene Daten, die der Kunde gemäss seiner Wahl auf der von onebyte oder Dritten für die Leistungserbringung eingesetzten Infrastruktur speichert sowie Daten von Personen, denen der Kunde Zugriff auf seine Website oder Applikation gewährt. Dabei handelt es sich insbesondere um personenbezogene Daten, die beim Aufrufen bzw. Ausführen und der Nutzung von Websites und Applikationen üblicherweise erhoben werden. Dazu gehören Protokolldaten, die bei der informatorischen Nutzung einer Website oder einer Applikation automatisiert erhoben werden (z.B. die IP-Adresse und das Betriebssystem des Geräts des Nutzers sowie das Datum und die Zugriffszeit des Browsers), vom Nutzer eingegebene Daten sowie vom Kunden erhobene Nutzungsdaten mit Personenbezug (nachstehend «personenbezogene Hosting-Daten»).

Rollen und Zuständigkeitsbereiche

5.1 Der Kunde bestätigt und onebyte anerkennt, dass der Kunde für die Verarbeitung der personenbezogenen Daten nach anwendbaren Datenschutzgesetzen verantwortlich ist und bleibt. Der Kunde nimmt somit die Rolle des Verantwortlichen ein. Vorbehalten bleiben Fälle, in denen der Kunde in Bezug auf die personenbezogenen Daten selbst Auftragsverarbeiter ist.
5.2 Onebyte anerkennt, dass der Kunde in der Rolle des Verantwortlichen verpflichtet ist, onebyte bei Inanspruchnahme von Dienstleistungen einige seiner Pflichten aus dem DSG oder, sofern anwendbar, der EU-DSGVO (oder anderen allenfalls anwendbaren Datenschutzgesetzen) vertraglich zu überbinden.
5.3 Onebyte nimmt in Bezug auf die Verarbeitung betroffener personenbezogener Daten die Rolle des Auftragsverarbeiters ein. Sofern Onebyte für diese Auftragsverarbeitung nicht ebenfalls der EU-DSGVO (oder den anderen allenfalls anwendbaren Datenschutzgesetzen) untersteht, so nimmt onebyte diese Rolle nur auf der Grundlage der vertraglichen Pflichten von onebyte gemäss dieser AVV ein und wird nicht alleine deswegen unter der EU-DSGVO (oder den anderen allenfalls anwendbaren Datenschutzgesetzen) verpflichtet.
5.4 Ist der Kunde seinerseits Auftragsverarbeiter (d.h. wenn der Kunde gemäss Dienstleistungsvertrag berechtigt ist, die Leistungen seinen Kunden zur Verfügung zu stellen), so bestätigt er, dass sein Kunde (d.h. der Verantwortliche) ihn gemäss separater Vereinbarung zur Unter- Auftragsverarbeitung und Erteilung allfälliger Weisungen an onebyte ermächtigt hat.

Pflichten von onebyte

6.1 Onebyte verpflichtet sich, die personenbezogenen Daten nur zur Erbringung der Agentur-Dienstleistungen gemäss Leistungsbeschrieb und vertraglichen Pflichten sowie gemäss dieser AVV zu verarbeiten.
6.2 Onebyte ist dazu berechtigt, personenbezogene Daten des Kunden so zu verarbeiten, wie es die Erfüllung der Leistungspflichten aus dem Dienstleistungsvertrag sowie dieser AVV beinhaltet. Auf entsprechende Anfrage ist onebyte bereit, weitergehende, die Auftragsverarbeitung betreffende Weisungen des Kunden umzusetzen. Mündliche Weisungen bestätigt der Kunde unverzüglich (mindestens in Textform wie beispielsweise per E-Mail). Onebyte informiert den Kunden unverzüglich, wenn sie der Meinung ist, eine Weisung verstosse gegen Datenschutzvorschriften. Onebyte ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird. Onebyte kann die Durchführung der entsprechenden Weisung zudem verweigern, wenn diese für onebyte im Rahmen der vertraglich vereinbarten Dienstleistungen nicht umsetzbar oder objektiv nicht zumutbar sind oder zu Mehrkosten oder geändertem Leistungsumfang führen oder wenn onebyte mit der Durchführung ihre gesetzlichen oder regulatorischen Pflichten nicht erfüllen könnte.
6.3 Onebyte sorgt für die Einhaltung der Bestimmungen dieser AVV durch die mit der Auftragsverarbeitung betrauten Mitarbeiter und anderen für onebyte tätigen Personen, die Zugriff auf die personenbezogenen Daten erhalten. Onebyte verpflichtet sich zudem, Personen mit Zugang zu den personenbezogenen Daten zur Wahrung der Vertraulichkeit (auch über die Dauer ihrer Tätigkeit für onebyte hinaus) zu verpflichten.
6.4 Onebyte verpflichtet sich, im Interesse der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit der personenbezogenen Hosting-Daten angemessene technische und organisatorische Massnahmen zu treffen. Onebyte implementiert insbesondere Zugangskontrollen, Zugriffskontrollen sowie Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen. Bei der Auswahl der Massnahmen berücksichtigt onebyte den Stand der Technik, die Implementierungskosten sowie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen. Die jeweils geltenden Massnahmen sind in den „TOM: Technische und organisatorische Massnahmen“ aufgeführt.
6.5 Onebyte verpflichtet sich, den Kunden ohne Verzug schriftlich zu informieren, wenn Onebyte Kenntnis von einer Datensicherheits-Verletzung erlangt, die personenbezogene Daten betrifft. Dabei hat Onebyte dem Kunden die Art und das Ausmass der Verletzung sowie mögliche Abhilfemassnahmen mitzuteilen. Die Vertragsparteien treffen gemeinsam die erforderlichen Massnahmen, um den Schutz der personenbezogenen Daten sicherzustellen und mögliche nachteilige Folgen für die betroffenen Personen zu mildern. Überdies verpflichtet sich onebyte, dem Kunden auf schriftliche Anfrage ausreichende Informationen zur Verfügung zu stellen, damit dieser seinen Pflichten gemäss den anwendbaren Datenschutzgesetzen betreffend die Meldung, Untersuchung und Dokumentation von Datensicherheits-Verletzungen erfüllen kann.
6.6 Onebyte verpflichtet sich, den Kunden auf schriftliche Anfrage und gegen separate angemessene Vergütung sowie im Rahmen der betrieblichen Ressourcen und Möglichkeiten von onebyte bei der Erfüllung von Betroffenenrechten (insbesondere Auskunfts-, Berichtigungs- und Löschungsrechten) durch den Kunden (personenbezogene Daten betreffend) gemäss den jeweils anwendbaren Datenschutzgesetzen (einschliesslich Kapitel III der EU-DSGVO, sofern anwendbar, und den entsprechenden Bestimmungen des DSG) zu unterstützen.

6.7 Richtet sich eine betroffene Person mit Forderungen betreffend die Erfüllung von Betroffenenrechten direkt an onebyte, wird onebyte die betroffene Person an den Kunden verweisen. Onebyte ist verpflichtet, den Kunden ohne Verzug schriftlich zu benachrichtigen, wenn onebyte eine Anfrage (z.B. ein Auskunfts- oder Löschungsbegehren) von einer betroffenen Person in Bezug auf personenbezogene Daten erhält. Voraussetzung ist, dass eine Zuordnung an den Kunden gestützt auf die Angaben der betroffenen Person möglich ist.
6.8 Onebyte ist auf schriftliche Anfrage und gegen separate angemessene Vergütung sowie unter Berücksichtigung der betrieblichen Ressourcen und Möglichkeiten von onebyte bereit, den Kunden bei Datenschutz-Folgenabschätzungen und bei Konsultationen der Aufsichtsbehörden zu unterstützen.
6.9 Onebyte wird die personenbezogenen Daten nach Ende der Laufdauer des Dienstleistungsvertrags gemäss den Bestimmungen des Dienstleistungsvertrags herausgeben oder löschen.

Beizug von Unter-Auftragsverarbeitern

7.1 Beansprucht der Kunde Dienstleistungen von onebyte, die personenbezogene Daten betreffen und durch Dritte erbracht werden, bleibt onebyte gegenüber dem Kunden Auftragsverarbeiter und erfüllt die diesbezüglichen Pflichten aus der AVV. Der Anbieter der Drittdienstleistung, die in der Dienstleistung von onebyte integriert wird, ist Unter-Auftragsverarbeiter von onebyte. Davon zu unterscheiden sind Fälle, in denen onebyte dem Kunden einen direkten Vertragsschluss mit dem Drittdienstleister vermittelt und der Drittdienstleister direkt Auftragsverarbeiter des Kunden wird. In solchen Fällen hat der Kunde selbst dafür besorgt zu sein, unter anwendbaren Datenschutzgesetzen allenfalls notwendige Vereinbarungen mit dem Drittdienstleister zu treffen.
7.2 Onebyte ist berechtigt, Unter-Auftragsverarbeiter im Rahmen der Erbringung der Dienstleistungen von onebyte beizuziehen.
7.3 Onebyte wird die Bearbeitung personenbezogener Daten nur an solche Unter-Auftragsverarbeiter delegieren, die sich nach den Vorgaben zur Auftragsbearbeitung gemäss DSG und, soweit anwendbar, gemäss Art. 28(3) DSGVO verpflichtet haben.

Bekanntgabe ins Ausland

8.1 Onebyte ist verpflichtet, keine Personendaten ins Ausland bekanntzugeben oder zu übermitteln, ausser:

i. an den Kunden selbst, seine verbundenen Unternehmen oder an Dritte in Erfüllung einer Anweisung des Auftraggebers oder wie vom Hauptvertrag vorgesehen (dies gilt nicht für Übermittlungen an Unter-Auftragsverarbeiter von onebyte oder sonst von dieser beigezogenen Dritte);

ii. soweit im Dienstleistungsvertrag nichts Strengeres vereinbart ist, an einen Empfänger in einem Land mit angemessenem Datenschutzniveau;

iii. soweit im Dienstleistungsvertrag nichts Strengeres vereinbart ist, an einen Empfänger, der nicht in einem Land mit angemessenem Datenschutzniveau ist, soweit die nach DSG und, soweit anwendbar, EU-DSGVO für eine rechtmässige Bekanntgabe bzw. Übermittlung der Personendaten erforderlichen Voraussetzungen geschaffen worden sind; oder

iv. dies ist mit dem Kunden im Dienstleistungsvertrag oder anderweitig vereinbart.

Pflichten des Kunden

9.1 Der Kunde ist für die Rechtmässigkeit der Verarbeitung der personenbezogenen Daten, einschliesslich der Zulässigkeit der Auftrags- bzw. Unter-Auftragsverarbeitung, verantwortlich.
9.2 Der Kunde trifft in seinem Verantwortungsbereich (z.B. auf seinen eigenen Systemen und Applikationen) selbstständig angemessene technische und organisatorische Massnahmen zum Schutz der personenbezogenen Daten.
9.3 Der Kunde verpflichtet sich, onebyte unverzüglich zu informieren, wenn der Kunde in der Leistungserbringung von onebyte Verletzungen von anwendbaren Datenschutzgesetzen feststellt.

Informations- und Prüfungsrechte

10.1 Onebyte ist verpflichtet, dem Kunden auf schriftliche Anfrage alle Informationen zur Verfügung zu stellen, die dieser vernünftigerweise zum Nachweis der Einhaltung dieser AVV gegenüber betroffenen Personen oder Datenschutz- oder sonstigen Aufsichtsbehörden benötigt.
10.2 Onebyte ermöglicht dem Kunden oder einem vom Kunden beauftragten und zur Vertraulichkeit verpflichteten Prüfer, die Einhaltung dieser AVV durch onebyte zu prüfen. Werden nach Vorlage entsprechender Nachweise Verletzungen der AVV durch onebyte festgestellt, hat onebyte und kostenlos geeignete Korrekturmassnahmen zu implementieren.
10.3 Die vorstehenden Informations- und Prüfungsrechte des Kunden bestehen nur insoweit, als der Dienstleistungsvertrag dem Kunden keine anderen Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen der anwendbaren Datenschutzgesetze entsprechen. Weiter stehen diese Informations- und Prüfungsrechte unter dem Vorbehalt des Verhältnismässigkeitsgebots und der Wahrung der schutzwürdigen Interessen (insbesondere Sicherheits- oder Geheimhaltungsinteressen) von onebyte. Vorbehältlich einer anderslautenden Vereinbarung zwischen den Vertragsparteien trägt der Kunde sämtliche Kosten der Information und Prüfung, einschliesslich nachgewiesener interner Kosten von onebyte.

Generelle Bestimmungen

11.1 Datenschutzrechtliche Begriffe wie «personenbezogene Daten», «verarbeiten», «Verantwortlicher», «Auftragsverarbeiter», «Datenschutz-Folgenabschätzung» etc. haben die ihnen in der EU-DSGVO oder, je nach Kontext, im Schweizer DSG zugeschriebene Bedeutung. «Datensicherheits-Verletzung“ meint «Verletzung des Schutzes personenbezogener Daten“ (englisch: «Personal Data Breach»).

August 2023

TOM: Technische und organisatorische Massnahmen

Nachfolgend werden die technischen und organisatorischen Massnahmen («TOM») beschrieben, die onebyte zur Gewährleistung eines angemessenen Sicherheitsniveaus ergreift – unter Berücksichtigung der Art, des Umfangs, des Kontextes und des Zwecks der Bearbeitung sowie der Risiken für die Rechte und Freiheiten der betroffenen Personen:

Massnahmen zur Pseudonymisierung und Verschlüsselung von personenbezogenen Daten

  • Zusätzliche Informationen, die eine Zuordnung personenbezogener Daten einer bestimmten betroffenen Person ermöglichen, werden in getrennten und sicheren Systemen aufbewahrt, auf die nur eine begrenzte Anzahl von Personen Zugriff hat.
  • Bei der Verschlüsselung personenbezogener Daten werden die Algorithmen und die Länge der Schlüssel dem Sensibilitätsgrad der Daten angepasst.
  • Die Kodierungsschlüssel werden sicher aufbewahrt und nur an eine begrenzte Anzahl von Personen weitergegeben.

Massnahmen zur Gewährleistung der fortwährenden Vertraulichkeit, Integrität, Verfügbarkeit und Stabilität der Verarbeitungssysteme und -Dienste

  • Aspekte des Datenschutzes sind integraler Bestandteil des Risikomanagements des Unternehmens.
  • Das Personal ist geschult und an die Vertraulichkeit und das Datengeheimnis gebunden.
  • Das Personal wird über die möglichen Konsequenzen bei Verstössen gegen die Sicherheitsvorschriften und -verfahren informiert.
  • Dem Personal werden Arbeitsanweisungen zur Zugangskontrolle, zur Kommunikationssicherheit und zur Betriebssicherheit zur Verfügung gestellt.
  • Für den Systembetrieb kritische Komponenten können im Falle eines Ausfalls innerhalb der erforderlichen Zeit ersetzt werden, z.B. durch Backup-Komponenten, redundante Systeme oder Datenspiegelung.
  • Wo es erforderlich ist, werden für Betriebssysteme und Daten unterschiedliche Speicherorte genutzt.

Massnahmen zur Gewährleistung der rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls

  • Eine Backup-Strategie wird auf der Grundlage der Art der Daten und der Häufigkeit ihrer Änderungen festgelegt.
  • Die Backup-Systeme unterliegen denselben Sicherheitsmassnahmen wie die Produktivsysteme.
  • Die mit der Wiederherstellung von Daten betrauten Personen sind speziell für diese Aufgabe geschult.

Massnahmen zur Benutzeridentifizierung und -autorisierung

  • Der Zugang zu Informationssystemen ist durch branchenübliche Identifizierungs- und Authentifizierungsverfahren geschützt.
  • Benutzerkonten und -berechtigungen werden von den verantwortlichen Personen (Administratoren) verwaltet.
  • Das restriktive, bedarfsorientierte Berechtigungskonzept wird von einer Mindestanzahl von Administratoren verwaltet.
  • Der Zugriff auf personenbezogene Daten ist auf Mitarbeitende beschränkt, die im Rahmen ihrer jeweiligen Funktion oder Rolle einen berechtigten Bedarf für den Zugriff auf diese personenbezogenen Daten haben.
  • Es werden Richtlinien zu folgenden Themen entwickelt und umgesetzt: «Sichere Passwörter», «Löschung/Vernichtung», «Clean Desk», «Mobile Geräte».
  • Für den Zugang zu den Systemen wird, soweit möglich, eine Mehrfaktor-Authentifizierung verwendet.

Massnahmen zum Schutz der Daten während der Datenübertragung

  • Der Fernzugriff erfolgt ausschliesslich über verschlüsselte Verbindungen.
  • Die elektronische Übertragung von Daten und die Übermittlung personenbezogener Daten erfolgt mit branchenüblichen Verschlüsselungsmethoden. Für E-Mails wird mindestens «Line encryption» (TLS) angeboten und verwendet, sofern dies unterstützt wird.

Massnahmen zum Schutz der Datenspeicherung

  • Der Zugriff auf bestimmte Daten ist auf diejenigen Personen beschränkt, die diese Daten verarbeiten müssen.
  • Gegebenenfalls werden unterschiedliche Kundendaten in verschiedenen Datenbanken gespeichert.
  • Datenspeichergeräte, Workstations, Notebooks, Smartphones und Tablets werden mit branchenüblichen Verschlüsselungsmethoden verschlüsselt.
  • Externe Speichermedien, die sensible personenbezogene Daten enthalten, werden verschlüsselt und unter Verschluss gehalten.
  • Die im Datenzentrum gespeicherten Daten sind vor physischem Zugriff geschützt und werden nach Möglichkeit verschlüsselt.
  • Die Rechte zur Eingabe, Änderung und Löschung von Daten werden auf der Grundlage eines Berechtigungskonzepts vergeben.

Massnahmen zur Gewährleistung der physischen Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden

  • Die Systeme und Dienste sind vor zufälliger oder unrechtmässiger Zerstörung, zufälligem Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugang geschützt.
  • Berechtigte Personen verfügen über Zugang.
  • Der Zugang wird wo möglich mit Alarmanlage und Video überwacht.
  • Besucher und externe Personen werden stets von Mitarbeitenden begleitet.
  • Für Systeme, die bei externen Dienstleistern untergebracht, gehostet und gewartet werden, gelten Vereinbarungen zu entsprechenden Massnahmen, die von diesen Dienstleistern umzusetzen und zu gewährleisten sind.

Massnahmen zur Gewährleistung der Ereignisprotokollierung

  • Zugriffsberechtigungen und Datenabrufe werden protokolliert.
  • Die Zuteilung von Schlüsseln und Schlüsselkarten wird protokolliert.
  • Sicherheitsvorfälle und Datenschutzverletzungen werden protokolliert. Es werden Aufzeichnungen geführt, welche die Art der Datenverletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen, die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze, den Zeitraum, die Folgen der Datenverletzung, das Verfahren zur Wiederherstellung der Daten, die Massnahmen zur Begrenzung nachteiliger Auswirkungen, den/die Namen der Person(en), die die Datenverletzung gemeldet hat/haben, sowie den/die Namen der Person(en), der/denen die Datenverletzung gemeldet wurde, enthalten.
  • Protokolle ermöglichen die Rückverfolgung der Aktionen einzelner Benutzer.

Massnahmen für die interne IT sowie für die IT-Sicherheitssteuerung und -verwaltung

  • Alle Systeme und Software werden regelmässig aktualisiert.
  • Sicherheitsupdates werden zeitnah installiert.
  • Sicherheitshinweise und aufgedeckte Sicherheitslücken werden zeitnah überwacht, bewertet und behoben.
  • Ein formalisiertes Verfahren für den Umgang mit Sicherheitsvorfällen ist vorhanden.
  • Der Fernzugriff durch Dritte (bspw. Lieferanten) wird überwacht.

Massnahmen zur Datensparsamkeit

  • Personenbezogene Daten werden nur in dem Umfang erhoben, der zur Erfüllung der beabsichtigten Zwecke erforderlich ist.
  • Es werden datenschutzfreundliche Voreinstellungen verwendet.
  • Die gespeicherten personenbezogenen Daten werden in regelmässigen Abständen überprüft und gelöscht, wenn sie nicht mehr benötigt werden und keine gesetzlichen oder vertraglichen Bestimmungen oder technischen Einschränkungen die Löschung dieser personenbezogenen Daten untersagen.

Massnahmen zur Gewährleistung der Datenqualität

  • Wo es angemessen ist, wird die Dateneingabe einer Plausibilitätsprüfung unterzogen.
  • Wo es angemessen ist, wird den Benutzern die Möglichkeit gegeben, die eingegebenen Daten zu überprüfen.

Massnahmen zur Gewährleistung einer begrenzten Datenspeicherung

  • Es werden Aufbewahrungsfristen festgelegt, sofern dies sinnvoll und möglich ist.
  • Nicht mehr verwendete Dokumente und Daten in den Produktivsystemen werden archiviert und aufbewahrt, sofern eine Aufbewahrung erforderlich ist.

Massnahmen zur Gewährleistung der Übertragbarkeit und Löschung von Daten

  • Anfragen zur Übertragbarkeit von Daten werden unverzüglich an die entsprechenden Stellen weitergeleitet und zeitnah bearbeitet, sodass die gesetzlichen Fristen immer eingehalten werden können.
  • Es werden geeignete Massnahmen ergriffen, um sicherzustellen, dass personenbezogene Daten bei Beendigung des Hauptvertrags aus den Systemen des Anbieters entfernt werden.

Partner und Unterauftragsverarbeiter

Für den Fall, dass onebyte Unterauftragsverarbeiter einsetzt, stellt das Unternehmen sicher, dass die Unterauftragsverarbeiter zur Implementierung und Aufrechterhaltung angemessener TOMS verpflichtet sind (unter Berücksichtigung der Art, des Umfangs, des Kontextes und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten der betroffenen Personen und unter Erfüllung der Anforderungen der anwendbaren Datenschutzgesetze), wobei diese TOMS mindestens die folgenden Anforderungen erfüllen müssen:

  • Verhindern, dass Unbefugte Zugang zu Datenverarbeitungssystemen erhalten, auf denen personenbezogene Daten verarbeitet werden;
  • Verhindern, dass Unbefugte auf Datenverarbeitungssysteme zugreifen und diese kopieren, verändern, zerstören oder löschen können;
  • Sicherstellen, dass personenbezogene Daten bei der elektronischen Übermittlung oder während des Transports oder der Speicherung auf einem Datenträger nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, die Empfänger personenbezogener Daten durch Datenübertragungseinrichtungen zu überprüfen und festzustellen;
  • Sicherstellen, dass überprüft und festgestellt werden kann, ob bzw. von wem personenbezogene Daten in ein DV-System eingegeben, geändert oder aus diesem entfernt wurden;
  • Sicherstellen, dass personenbezogene Daten gemäss den Anweisungen von onebyte verarbeitet werden;
  • Sicherstellen, dass geeignete Massnahmen für die Entfernung personenbezogener Daten aus den Systemen des Unterauftragsverarbeiters bei der Beendigung des betreffenden bestehenden Vertrags getroffen werden;
  • Sicherstellen, dass personenbezogene Daten vor versehentlicher Zerstörung, Veränderung, Verlust oder unbefugtem Zugriff geschützt sind;
  • Gewährleisten, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können;
  • Gewährleisten, dass die Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Verarbeitungssicherheit personenbezogener Daten vom Unterauftragsverarbeiter regelmässig geprüft, bewertet und evaluiert wird; und
  • Sicherstellen angemessener organisatorischer Massnahmen zum Schutz personenbezogener Daten.

November 2023

online. einfach. besser.

Unsere Online-Experten

Stefan Bommeli

Stefan
Bommeli

Berater & COO
044 934 50 05
stefan@onebyte.ch
Termin vereinbaren

Erik
Beyer

Berater & Teamleiter Onlinemarketing
044 934 50 13
erik@onebyte.ch
Termin vereinbaren

Rufen Sie einfach an

Wir laden Sie ein zu einem unverbindlichen Gespräch. Fragen Sie unsere Experten nach Rat. Bei uns finden Sie einfach passende Online-Lösungen für mehr Erfolg. Und womöglich einen langjährigen, zuverlässigen Partner. Wir würden uns freuen!

Oder schreiben Sie uns

CTA

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.