Rechtliches
Auftragsverarbeitungsvertrag
Standardvertragsklauseln zur Einhaltung der DSGVO und des Schweizer DSG. Gilt automatisch für alle kostenpflichtigen Abonnements.
Zuletzt aktualisiert: 25. Mai 2026
"Verantwortlicher" bezeichnet die natürliche Person, die die Daten innerhalb ihres Clavitor-Tresors erstellt und besitzt. Sie sind stets der Verantwortliche für Ihre eigenen Zugangsdaten und personenbezogenen Daten.
"Auftragsverarbeiter" bezeichnet Clavitor.ai, die Einheit, die im Namen des Verantwortlichen Hosting-Infrastruktur, Verschlüsselungssteuerung und Datenspeicherungsdienste bereitstellt.
"Betroffene Person" bezeichnet die natürliche Person, deren personenbezogene Daten verarbeitet werden — dies kann Sie selbst sein (der Verantwortliche) oder andere Personen, deren Daten Sie in Ihrem Tresor speichern (Familienmitglieder, Mitarbeiter, Kunden).
"Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und in Ihrem Tresor gespeichert sind, einschließlich, aber nicht beschränkt auf: Zugangsdaten, Passwörter, API-Schlüssel, Zahlungskartendaten, Identitätsdokumente und Kontaktinformationen.
"Verarbeitung" bezeichnet jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Speicherung, Verschlüsselung, Übertragung, Sicherung und Löschung.
| Punkt | Details |
|---|---|
| Gegenstand | Hosting des verschlüsselten Tresors für Zugangsdaten und damit verbundene Dienste |
| Dauer | Für die Laufzeit Ihres Abonnements, plus eine 30-tägige Read-Only-Frist nach Kündigung. Tresordaten werden nach Ablauf der Frist gelöscht. Compliance-Backups werden 30 Tage nach der Löschung vernichtet. Eine sofortige Löschung ist auf Anfrage möglich. |
| Art und Zweck | Speicherung verschlüsselter Daten; Authentifizierungssteuerung; Backup und Disaster Recovery; technischer Support (mit Zero-Knowledge-Einschränkungen) |
| Art der personenbezogenen Daten | Benutzerzugangsdaten, Authentifizierungs-Token, Zahlungskartendaten, Identitätsdokumente, sichere Notizen, TOTP-Seeds, Metadaten |
| Kategorien betroffener Personen | Verantwortlicher (Kontoinhaber) und Dritte, deren Daten der Verantwortliche zu speichern wählt |
3.1 Verarbeitung nur nach dokumentierter Weisung. Clavitor verarbeitet personenbezogene Daten nur zur Bereitstellung des Tresordienstes, wie in unseren Nutzungsbedingungen beschrieben. Wir verwenden Daten nicht für eigene Zwecke, trainieren keine KI-Modelle, leiten keine Erkenntnisse ab und monetarisieren nicht über die Abonnementgebühren hinaus.
3.2 Gewährleistung der Vertraulichkeit. Alle Clavitor-Mitarbeiter, die potenziellen Zugriff auf die Infrastruktur haben, sind an Vertraulichkeitsvereinbarungen gebunden. Der Zugriff erfolgt nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) und wird protokolliert.
3.3 Implementierung von Sicherheitsmaßnahmen. Wir implementieren:
- Ende-zu-Ende-Verschlüsselung: Daten sind sowohl im Ruhezustand (at rest) als auch bei der Übertragung (in transit) verschlüsselt.
- Gestufte Verschlüsselung (L2/L3): Identitätsfelder werden mit Schlüsseln verschlüsselt, die von Ihrem Gerät abgeleitet werden (WebAuthn PRF) — für uns nicht entschlüsselbar.
- Zero-Knowledge-Architektur: Wir können den Inhalt des Tresors nicht entschlüsseln; nur Metadaten (Eintrag-IDs, Typen, Zeitstempel) sind lesbar.
- Gerätebasierte Authentifizierung (WebAuthn): Keine Passwörter werden serverseitig gespeichert.
- Geografische Verteilung: 21 Points of Presence (POPs) mit verschlüsselter Replikation.
- Incident Response: 24/7-Überwachung, automatisierte Warnmeldungen, dokumentierte Verfahren bei Datenschutzverletzungen.
3.4 Transparenz bei Unterauftragsverarbeitern. Wir nutzen nur die in unserer Liste der Unterauftragsverarbeiter aufgeführten Dienstleister. Wir benachrichtigen Abonnenten 30 Tage vor der Hinzunahme eines neuen Unterauftragsverarbeiters.
3.5 Unterstützung bei Betroffenenrechten. Auf Ihren Wunsch hin unterstützen wir Sie bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß DSGVO/DSG ausüben (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung, Widerspruch). Hinweis: Aufgrund der Verschlüsselungsarchitektur können wir keine verschlüsselten Tresorinhalte einsehen oder ändern; die Unterstützung beschränkt sich auf Vorgänge auf Kontoebene.
3.6 Unterstützung bei Sicherheitsverpflichtungen. Wir stellen auf Anfrage Sicherheitsdokumentationen, Zusammenfassungen von Penetrationstests (NDA erforderlich für Details) und Audit-Logs bereit.
3.7 Löschung oder Rückgabe von Daten. Nach Beendigung des Abonnements wird Ihr Tresor für 30 Tage schreibgeschützt. Nach 30 Tagen werden die Tresordaten dauerhaft gelöscht. Compliance-Backups werden 30 Tage nach der Löschung vernichtet. Bei Konten, die wegen Nichtzahlung gesperrt wurden, werden die Daten 30 Tage nach der Sperrung gelöscht und die Backups 60 Tage danach rotiert. Eine sofortige Löschung ist jederzeit auf Anfrage möglich. Daten können nicht in entschlüsselter Form zurückgegeben werden (wir besitzen keine Schlüssel). Vollständige Details finden Sie in unseren Nutzungsbedingungen.
3.8 Audit und Inspektion. Mit einer Vorankündigung von 30 Tagen können Sie die Einhaltung dieses DPA prüfen. Audits werden an unserem Hauptsitz in Zürich oder virtuell durchgeführt. Wir stellen relevante Dokumentationen bereit; ein direkter Zugriff auf die Infrastruktur erfordert eine Sicherheitsüberprüfung.
3.9 Benachrichtigung bei Verletzungen. Wir benachrichtigen Sie innerhalb von 24 Stunden nach Entdeckung einer Verletzung, die Ihre personenbezogenen Daten betrifft. Wir werden die Benachrichtigung niemals für Untersuchungen oder rechtliche Prüfungen verzögern.
3.10 Dokumentation der Verarbeitungstätigkeiten. Wir führen Verzeichnisse der Verarbeitungstätigkeiten und stellen Zusammenfassungen auf Anfrage zur Verfügung.
Sie garantieren, dass:
- Sie eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten in Ihrem Tresor haben.
- Sie den betroffenen Personen, deren Daten Sie speichern, angemessene Datenschutzerklärungen bereitgestellt haben.
- Sie keine Daten unter Verstoß gegen geltendes Recht speichern.
- Sie uns unverzüglich über Anfragen betroffener Personen oder behördliche Anfragen informieren.
Ihre Tresordaten werden verschlüsselt am Point of Presence (POP) gespeichert, der geografisch am nächsten an Ihrem Zugriffsmuster liegt. Primäre und sekundäre POPs befinden sich zur Ausfallsicherheit in verschiedenen Regionen. Die vollständige Liste der 21 POPs mit Städten, Anbietern und Compliance-Zertifizierungen wird in unserer POP-Datenbank geführt.
Zu den für die POPs genutzten Infrastrukturanbietern gehören: Amazon Web Services (17 POPs, primärer Anbieter für die meisten Regionen), ISHosting (Istanbul, Almaty, Bogotá) und HostAfrica (Lagos). Die Operationen am Hauptsitz in Zürich (Abrechnung, Verwaltung) nutzen Hostkey.
Alle POPs befinden sich entweder:
- In Rechtsordnungen mit Angemessenheitsbeschlüssen (EU, EWR, Schweiz, UK, Kanada usw.).
- Gebunden an Standardvertragsklauseln (SCCs), sofern kein Angemessenheitsbeschluss vorliegt.
Aufgrund unserer Verschlüsselungsarchitektur (Zero-Knowledge) sind Daten selbst in Ländern ohne Angemessenheitsbeschluss technisch geschützt. Wir können sie nicht entschlüsseln; lokale Behörden können dies ebenfalls nicht. Die DNS-Auflösung wird durch Cloudflare gehandhabt; Tresordaten durchlaufen niemals deren Netzwerk.
Keine Daten sind für uns im Ruhezustand entschlüsselbar. Die Tresordatei ist verschlüsselt, und der Verschlüsselungsschlüssel wird nicht auf dem Server gespeichert. Wenn sich ein Agent oder Benutzer verbindet, führt dieser den L1-Schlüssel mit sich — wir könnten ihn technisch gesehen während der Übertragung abfangen (tun wir jedoch nicht, und TLS verhindert dies für Dritte). Selbst mit L1 sind nur Metadaten sichtbar. Felder für Zugangsdaten und Identität bleiben versiegelt.
- L1 (Tresorverschlüsselung): Der Tresor ist im Ruhezustand mit AES-256-GCM verschlüsselt. Der 8-Byte L1-Schlüssel wird vom Agenten oder Benutzer bei jeder Anfrage mitgeführt — er wird nicht auf dem Server gespeichert. Mit L1 sind Eintragstitel, Typen und Zeitstempel sichtbar. Dies ist das operative Minimum, das zur Bearbeitung von Anfragen erforderlich ist.
- L2 (Zugangsdatenfelder): Passwörter, API-Schlüssel, TOTP-Seeds, OAuth-Token — pro Feld verschlüsselt mit einem 16-Byte-Schlüssel, der niemals auf dem Server existiert. L2 wird nur vom Browser des Benutzers und seinen registrierten Agenten gehalten. Wir können Zugangsdatenfelder nicht entschlüsseln, und kein serverseitiger Prozess hat jemals Zugriff auf L2.
- L3 (Identitätsfelder): Kreditkarten, CVV, Passnummern, Sozialversicherungsnummern, Wiederherstellungscodes — verschlüsselt mit einem 32-Byte-Schlüssel aus reiner Zufallsentropie, der bei der Tresorerstellung generiert wird. Der Benutzer kennt diesen Schlüssel nicht. Wir besitzen ihn nicht. L3 existiert niemals auf einem Server. Er wird geschützt, indem er mit dem 32-Byte-Output des PRF Ihres Hardware-Schlüssels umschlossen wird (Fingerabdruck, Gesicht oder Sicherheitsschlüssel via WebAuthn PRF). Ohne das physische Gerät kann L3 nicht entschlüsselt werden. Wir können Identitätsfelder mathematisch nicht entschlüsseln, und wir können nicht dazu gezwungen werden, einen Schlüssel herauszugeben, den wir nicht besitzen.
Für DPA-bezogene Anfragen:
Datenschutzbeauftragter (DPO) Clavitor LLC c/o Johan Jongsma
Dieses DPA tritt mit dem Datum des Beginns Ihres Abonnements in Kraft und bleibt bis zur Beendigung gültig. Änderungen werden 30 Tage im Voraus angekündigt. Die fortgesetzte Nutzung gilt als Annahme.
Zuletzt aktualisiert: 25. Mai 2026 · Version 1.1