Allgemeine Informationen zum Datenschutz

Im Folgenden definieren wir zentrale Begriffe, um die Verarbeitungstätigkeiten im Kontext von Vertragsprüfungen transparent zu machen.

Wir erheben Daten, die für die Erbringung unserer Prüfleistungen erforderlich sind. Im Folgenden erläutern wir, welche Informationen wir typischerweise verarbeiten.

In dieser Einleitung erläutern wir, welche Arten von Nutzerdaten Plattformbetreiber üblicherweise bereitstellen und wie diese Informationen systematisch bei der Prüfung von Datenverarbeitungsverträgen bewertet werden sollten. Anhand konkreter Fallbeispiele — etwa ein lokaler Schweizer Marktplatz, ein SaaS-Anbieter mit Subprozessoren und ein Portal mit Drittanbieter-Analytics — skizzieren wir typische Prüfpfade: Klassifizierung personenbezogener Daten versus pseudonymisierter Daten, Zweckbindung, Datenminimierung, Löschfristen, Rollen von Verantwortlichen und Auftragsverarbeitern sowie technische und organisatorische Schutzmaßnahmen. In praxisorientierten Szenarien vergleichen wir Formulierungen zu grenzüberschreitenden Übermittlungen, Listen von Subprozessoren, Audit- und Meldepflichten sowie robuste, aber realistische Haftungsregelungen. Die beschriebenen Cases dienen als Arbeitsvorlagen und Entscheidungshilfen für die Vertragsprüfung; sie ersetzen keine individuelle Rechtsberatung. Bei konkreten Fragen zu einem Vertrag oder zur Umsetzung der empfohlenen Maßnahmen können Sie SwissGdocs kontaktieren: Freiburgstrasse 16, 3010 Bern, Schweiz; +41768145227; Business ID CHE-927.333.870. Stand: 27-03-2026.

• Kontakt- und Identifikationsdaten: Name, E‑Mail-Adresse, Funktion und Firmenname.
• Vertragsdokumente: hochgeladene AVVs, SOWs, Subprozessorlisten und ergänzende Anhänge.
• Kommunikationsdaten: Nachrichten aus Support- oder Prüfkommunikation sowie Verhandlungsnotizen.
• Rechnungsdaten: Firmenadresse, Umsatzsteuer- oder Geschäftsinformationen zwecks Abrechnung.
• Feedback und Fallbeschreibungen: konkrete Szenarien, in denen Risiken oder Unklarheiten beschrieben werden.
• Zustimmungserklärungen oder Nachweise für rechtliche Prüfzwecke, sofern vom Kunden bereitgestellt.

Zusätzlich erheben wir automatisch technische und Nutzungsdaten beim Besuch unserer Website und bei der Nutzung der Services.

• Zugriffs- und Logdaten: IP-Adresse, Datum und Uhrzeit der Anfrage, verwendeter Browser und Betriebssystem.
• Nutzungsmetriken: Seitenaufrufe, Verweildauer und Interaktionen mit Prüfberichten.
• Geräte- und Verbindungsdaten: Gerätetyp, Bildschirmauflösung, Spracheinstellungen.
• Fehler- und Performance-Daten, die zur Fehlerbehebung und Optimierung herangezogen werden.
• Cookie-IDs und Tracking-Informationen für die Verwaltung von Sitzungen und Präferenzen.
• Metaangaben zu hochgeladenen Dateien wie Dateityp und -größe (nicht notwendigerweise deren Inhalt).

In einigen Fällen erhalten wir Daten von Dritten oder geben Daten an vertrauenswürdige Dienstleister weiter, um die Prüfung durchzuführen.

• Cloud- und Hosting-Anbieter, die Infrastruktur und Speicherung bereitstellen.
• Zahlungsdienstleister zur Abwicklung von Rechnungen.
• Analyse- und Monitoring-Anbieter zur Verbesserung der Plattformstabilität.

Die Verarbeitung erfolgt ausschließlich zur Erfüllung konkreter, nachvollziehbarer Zwecke. Beispiele aus der Praxis illustrieren typische Verarbeitungsfälle.

• Durchführung von Vertragsprüfungen und Erstellung von Prüfberichten für Kunden.
• Kommunikation mit Kunden zu Rückfragen, Verhandlungsunterlagen oder Nachweisen.
• Abrechnung und Verwaltung von Kundenverträgen.
• Betriebs‑, Sicherheits‑ und Qualitätsverbesserungen anhand von aggregierten Nutzungsdaten.
• Erfüllung rechtlicher Pflichten, z. B. zur Aufbewahrung geschäftsrelevanter Unterlagen.
• Bereitstellung von Fallbeispielen und anonymisierten Statistiken zur Verbesserung der Dienstleistung.
• Unterstützung bei Sicherheitsvorfällen und forensischen Untersuchungen.
• Testen von Prozessen in kontrollierten Szenarien vor Umsetzung in Kundenprojekten.

Die Rechtfertigung der Verarbeitung richtet sich nach dem anwendbaren Datenschutzrecht; typischerweise stützen sich Verarbeitungen auf vertragliche Notwendigkeit, berechtigte Interessen oder gesetzliche Verpflichtungen.

• Erfüllung eines Vertrags: Verarbeitung, die zur Erbringung unserer Prüfleistungen erforderlich ist.
• Berechtigte Interessen: Verarbeitung zur Absicherung und Optimierung des Dienstbetriebs, Risikoanalysen und Betrugsprävention.
• Rechtliche Verpflichtungen: gesetzliche Aufbewahrungs- oder Meldepflichten.
• Einwilligung: wenn Nutzer ausdrücklich zustimmen, z. B. für Marketing‑Kommunikation oder optionale Analysen.

Wir setzen Cookies und ähnliche Technologien ein, um die Nutzung zu erleichtern und anonyme Auswertungen durchzuführen. Die Einwilligung erfolgt dort, wo gesetzlich erforderlich.

Einsatz von Session‑Cookies für Sitzungsverwaltung, persistenten Cookies für Einstellungen sowie Analyse‑Cookies zur Leistungsüberwachung.

Unterscheidung in technisch notwendige Cookies, Präferenz‑Cookies und statistische Cookies; nur statistische Cookies benötigen in der Regel Einwilligung.

Cookie-Einstellungen können im Browser oder über unser Cookie-Tool angepasst werden. Technisch notwendige Cookies sind für die Funktion der Plattform erforderlich.

Cookie-Richtlinie von SwissGdocs

Daten werden nur mit Dritten geteilt, wenn dies für die Vertragsdurchführung, gesetzliche Pflichten oder legitime Geschäftszwecke erforderlich ist. Jeder Austausch erfolgt nach dem Prinzip der Datenminimierung.

• Subprozessoren: Hosting und technische Dienstleister zur Speicherung und Verarbeitung von Vertragsdokumenten.
• Zahlungsdienstleister für Abrechnungszwecke.
• Externe Rechtsberater oder Auditoren, wenn dies für Rechtsprüfungen oder Compliance erforderlich ist.
• Behörden oder Gerichte, soweit gesetzlich erforderlich oder aufgrund verbindlicher Anfragen.
• Kunden: Weitergabe redigierter Prüfberichte an den beauftragenden Kunden im Rahmen der Dienstleistung.
• Forschungspartner in anonymisierter Form zur Auswertung von Fallmustern, falls vorher keine personenbeziehbaren Daten enthalten sind.

Datenübermittlungen in Länder ausserhalb der Schweiz oder der EU/EWR erfolgen nur, wenn geeignete Schutzmaßnahmen bestehen, beispielsweise aufgrund bestehender Angemessenheitsentscheidungen, Standardvertragsklauseln oder technischer Schutzmaßnahmen wie starker Verschlüsselung.

Typische Sicherungsmaßnahmen umfassen Abschluss von Standardvertragsklauseln mit Empfängern, Verschlüsselung der Daten vor Übertragung sowie vertragliche Vorgaben an Subprozessoren zur Einhaltung vergleichbarer Datenschutzstandards.

Die Datenaufbewahrung orientiert sich an dem Zweck der Verarbeitung und gesetzlichen Vorgaben. Nach Ablauf der Aufbewahrungsfrist werden Daten gelöscht oder anonymisiert, soweit keine berechtigten Gründe für eine längere Aufbewahrung bestehen.

Kundenkontodaten werden für die Dauer der Geschäftsbeziehung und darüber hinaus für die gewählte gesetzliche Aufbewahrungsdauer (z. B. steuerliche Pflichten) gespeichert. Auf Anfrage prüfen wir die zeitnahe Löschung personenbezogener Kontodaten.

Kommunikationsverläufe und Prüfnotizen werden so lange aufbewahrt, wie sie für laufende Prüfungen, Nachfragen oder rechtliche Zwecke benötigt werden; danach werden sie gelöscht oder, falls relevant, archiviert.

Server- und Sicherheitslogs werden für eine begrenzte Zeit zur Fehleranalyse und Sicherheitsüberwachung aufbewahrt und nach Ablauf der definierten Fristen entfernt oder anonymisiert.

Löschanfragen werden geprüft und, soweit rechtlich möglich, umgesetzt. Backup‑Kopien können in einem definierten Zeitfenster weiterhin vorhanden sein, bis sie routinemässig überschrieben werden.

SwissGdocs setzt technische und organisatorische Maßnahmen ein, die in der Praxis getestet und an typische Bedrohungsszenarien angepasst sind. Dazu gehören Zugriffskontrollen, Verschlüsselungsverfahren, Protokollierung sicherheitsrelevanter Ereignisse und regelmäßige Überprüfungen im Kontext konkreter Prüfprojekte.

• Rollenkonzept und Zugriffskontrolle: Zugriff auf Daten nur nach dem Need-to-Know-Prinzip.
• Verschlüsselung von Daten im Transit (TLS) und bei Speicherung, sowie sichere Schlüsselverwaltung.
• Regelmässige Sicherheitsüberprüfungen, Code‑Reviews und Penetrationstests basierend auf realen Szenarien.

Betroffene Personen haben Rechte in Bezug auf ihre Personendaten. Wir beschreiben hier die wichtigsten Befugnisse und wie Forderungen gestellt werden können.

• Auskunftsrecht: Sie können Auskunft über verarbeitete Daten und Verarbeitungszwecke verlangen.
• Berichtigungs- und Löschungsrechte: Sie können unrichtige Daten berichtigen lassen oder Löschung beantragen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung und Widerspruch: Sie können unter bestimmten Voraussetzungen der Verarbeitung widersprechen oder deren Einschränkung verlangen.
• Datenübertragbarkeit: Soweit technisch möglich, stellen wir personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung.
• Recht auf Einschränkung der Verarbeitung: Sie können unter bestimmten Bedingungen verlangen, dass die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt wird, z. B. wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist.
• Recht auf Datenübertragbarkeit: Sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht, können Sie eine strukturierte, gängige und maschinenlesbare Kopie Ihrer Daten verlangen, um diese an einen anderen Dienst zu übertragen.
• Widerspruchsrecht: Gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf berechtigten Interessen beruht, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen; dies gilt auch für Direktwerbung.
• Recht auf Widerruf der Einwilligung: Erteilen Sie eine Einwilligung zur Datenverarbeitung, können Sie diese jederzeit widerrufen; der Widerruf betrifft künftige Verarbeitungen, nicht bereits erfolgte rechtmäßige Aktionen.

SwissGdocs überprüft Datenverarbeitungsverträge mit Fokus auf praktische Umsetzbarkeit für Onlineplattformen. Anhand konkreter Fallbeispiele — etwa Vertrag mit einem Cloud-Hosting-Anbieter, einem Analytics-Anbieter oder einem Support-Dienstleister — erläutern wir typische Risiken, notwendige Klauseln und pragmatische Formulierungen. Ziel ist, dass Plattformbetreiber in der Schweiz und grenzüberschreitend datenrechtliche Pflichten besser einschätzen und in Verträgen handfeste Vereinbarungen verankern können.

Die Datenschutzgrundsätze gelten, wenn personenbezogene Daten verarbeitet werden und sich Betroffene in der EU/EEA befinden oder wenn anwendbares Recht dies vorsieht. In der Praxis prüfen wir anhand von Szenarien, ob ein Onlineplattformvertrag die Verarbeitung von EU-Bürgern berührt (z. B. Nutzerregistrierung, automatische Standorterkennung). Für Plattformen mit grenzüberschreitenden Nutzergruppen analysieren wir gleichzeitig relevante schweizerische Regelungen und formulieren passende Vertragsklauseln.

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Jede Verarbeitung muss eine Rechtsgrundlage haben und für Betroffene nachvollziehbar sein — wir zeigen Textbausteine für Informationspflichten im Vertrag.
• Zweckbindung: Daten dürfen nur für festgelegte Zwecke verarbeitet werden; wir stellen Beispiele zur Formulierung von Zwecken in Auftragsverarbeitungsverträgen bereit.
• Datenminimierung: Nur notwendige Daten sollen erhoben werden; wir empfehlen Audit-Szenarien zur Reduktion überflüssiger Datensätze und konkrete Vertragspassagen.
• Speicherbegrenzung und Löschung: Dauer und Löschfristen sind festzulegen; wir skizzieren Lösungswege für gemeinsame Verantwortlichkeit und technische Maßnahmen.

Wenn Sie der Auffassung sind, dass Ihre Datenschutzrechte verletzt wurden, können Sie eine Beschwerde einreichen. Praxisfall: Bei Unklarheiten in einem Datenverarbeitungsvertrag helfen wir zunächst bei der Klärung mit dem Dienstleister. Sollte dies nicht zur Klärung führen, informieren wir über mögliche Schritte gegenüber der zuständigen Aufsichtsbehörde. In der Schweiz ist die Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ein möglicher Ansprechpartner; für Betroffene in der EU kann auch die jeweilige nationale Aufsichtsbehörde zuständig sein.

Anfragen zur Ausübung Ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) richten Sie bitte per E‑Mail an [email protected] oder schriftlich an SwissGdocs, Freiburgstrasse 16, 3010 Bern, Schweiz. Geben Sie im Antrag möglichst genau an, welche Daten und welches Anliegen betroffen sind. Für komplexe Fälle nutzen wir standardisierte Formulare und dokumentieren den Bearbeitungsweg in einem praktischen Fallprotokoll.

[email protected]

Wir bemühen uns, Anfragen in der Regel innerhalb von 30 Tagen zu bearbeiten. In komplexen Fällen, etwa wenn Dritte beteiligt sind oder umfangreiche Datenbestände analysiert werden müssen, kann eine Fristverlängerung erforderlich sein; in solchen Fällen informieren wir Sie über den Verlängerungsgrund und den voraussichtlichen Bearbeitungszeitraum.

Für Direktmarketing (Newsletter, Produktupdates) verwenden wir in der Regel ein Opt‑In‑Verfahren. In Praxisbeispielen zeigen wir, wie Einwilligungen dokumentiert werden sollten, welche Nachweisprozesse sinnvoll sind und wie man Einwilligungen datenschutzkonform im Nutzerkonto abbildet.

Abmeldungen sind jederzeit möglich. Jede Marketing‑E‑Mail enthält einen deutlichen Abmeldelink. Alternativ können Sie Ihre Präferenzen über Ihr Nutzerkonto anpassen oder eine Mitteilung an [email protected] senden; wir dokumentieren dann den Statuswechsel und bestätigen die Abmeldung per E‑Mail.

Unsere Dienstleistungen richten sich primär an Unternehmen und erwachsene Nutzer. Dienste sind nicht für Minderjährige konzipiert; wenn personenbezogene Daten von Kindern ohne erforderliche Einwilligung erhoben wurden, prüfen wir das Vertragsverhältnis mit dem Dienstleister anhand konkreter Fälle und empfehlen geeignete Korrekturmaßnahmen.

Unsere Plattform kann Links zu Drittanbietern enthalten. Diese Drittanbieter haben eigene Datenschutzpraktiken, die von SwissGdocs nicht kontrolliert werden. In praktischen Szenarien erläutern wir, welche Vertragsklauseln mit Drittanbietern (z. B. Zahlungsdienstleistern, Analytik‑Tools) notwendig sind, um Verantwortlichkeiten klar zu regeln.

Änderungen dieser Datenschutzerklärung werden mit Datum versehen veröffentlicht. Letzte Aktualisierung: 07-05-2026. Bei wesentlichen Änderungen weisen wir per Hinweis im Kundenbereich auf die Aktualisierung hin und bieten erläuternde Fallstudien zu den Auswirkungen für bestehende Verträge an.