Rechtliches
Datenverarbeitungsvereinbarung
Standardvertragsklauseln zur Einhaltung der DSGVO und des Schweizer DSG. Gilt automatisch für alle kostenpflichtigen Abonnements.
Zuletzt aktualisiert: 25. Mai 2026
„Verantwortlicher" bezeichnet die natürliche Person, die die Daten in ihrem Clavitor-Tresor erstellt und besitzt. Sie sind immer der Verantwortliche für Ihre eigenen Anmeldedaten und persönlichen Daten.
„Auftragsverarbeiter" bezeichnet Clavitor.ai, die Einheit, die im Auftrag des Verantwortlichen Hosting-Infrastruktur, Verschlüsselungsorchestrierung und Datenspeicherungsdienste bereitstellt.
„Betroffene Person" bezeichnet die natürliche Person, deren personenbezogene Daten verarbeitet werden – dies können Sie (der Verantwortliche) oder andere sein, deren Daten Sie in Ihrem Tresor speichern (Familienmitglieder, Mitarbeiter, Kunden).
„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und in Ihrem Tresor gespeichert sind, einschließlich, aber nicht beschränkt auf: Anmeldedaten, Passwörter, API-Schlüssel, Zahlungskartendaten, Identitätsdokumente und Kontaktinformationen.
„Verarbeitung“ bezeichnet jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Speicherung, Verschlüsselung, Übertragung, Sicherung und Löschung.
| Punkt | Detail |
|---|---|
| Gegenstand | Hosting eines verschlüsselten Anmeldedaten-Tresors und zugehörige Dienste |
| Dauer | Für die Laufzeit Ihres Abonnements, zuzüglich einer 30-tägigen Lesezugriffsfrist nach Kündigung. Tresordaten werden nach Ablauf der Frist gelöscht. Compliance-Backups werden 30 Tage nach der Löschung vernichtet. Sofortige Löschung auf Anfrage möglich. |
| Art und Zweck | Speicherung verschlüsselter Daten; Authentifizierungs-Orchestrierung; Backup und Notfallwiederherstellung; technischer Support (mit Zero-Knowledge-Beschränkungen) |
| Art der personenbezogenen Daten | Anmeldedaten von Benutzern, Authentifizierungstoken, Zahlungskartendaten, Identitätsdokumente, sichere Notizen, TOTP-Seeds, Metadaten |
| Kategorien von betroffenen Personen | Verantwortlicher (Kontoinhaber) und Dritte, deren Daten der Verantwortliche zu speichern wählt |
3.1 Nur gemäß dokumentierter Anweisungen verarbeiten. Clavitor verarbeitet personenbezogene Daten nur zur Bereitstellung des Tresordienstes, wie in unseren Nutzungsbedingungen beschrieben. Wir verwenden Daten nicht für eigene Zwecke, trainieren keine KI-Modelle, leiten keine Erkenntnisse ab und monetarisieren nicht über Abonnementgebühren hinaus.
3.2 Vertraulichkeit gewährleisten. Alle Clavitor-Mitarbeiter mit potenziellem Zugriff auf die Infrastruktur sind zur Vertraulichkeit verpflichtet. Der Zugriff erfolgt nach dem Prinzip der geringsten Rechtevergabe und wird protokolliert.
3.3 Sicherheitsmaßnahmen implementieren. Wir implementieren:
- Ende-zu-Ende-Verschlüsselung: Daten im Ruhezustand und während der Übertragung verschlüsselt
- Gestaffelte Verschlüsselung (L2/L3): Identitätsfelder verschlüsselt mit Schlüsseln, die von Ihrem Gerät abgeleitet werden (WebAuthn PRF) – für uns nicht entschlüsselbar
- Zero-Knowledge-Architektur: Wir können Tresorinhalte nicht entschlüsseln; nur Metadaten (Eintrags-IDs, Typen, Zeitstempel) sind lesbar
- Gerätebasierte Authentifizierung (WebAuthn): Keine Passwörter serverseitig gespeichert
- Geografische Verteilung: 21 Points of Presence (POPs) mit verschlüsselter Replikation
- Reaktion auf Vorfälle: 24/7-Überwachung, automatisierte Warnungen, dokumentierte Vorgehensweisen bei Verstößen
3.4 Transparenz bei Subauftragnehmern. Wir verwenden nur die Subauftragnehmer, die in unserer Liste der Subauftragnehmer aufgeführt sind. Wir benachrichtigen Abonnenten 30 Tage vor der Hinzufügung eines neuen Subauftragnehmers.
3.5 Unterstützung bei Rechten betroffener Personen. Auf Ihre Anfrage unterstützen wir Sie bei der Beantwortung von Anfragen betroffener Personen gemäß DSGVO/DSG (Zugriff, Berichtigung, Löschung, Übertragbarkeit, Einschränkung, Widerspruch). Hinweis: Aufgrund der Verschlüsselungsarchitektur können wir nicht auf verschlüsselte Tresorinhalte zugreifen oder diese ändern; die Unterstützung beschränkt sich auf Vorgänge auf Kontoebene.
3.6 Unterstützung bei Sicherheitsverpflichtungen. Wir stellen Sicherheitsdokumentationen, Zusammenfassungen von Penetrationstests (NDA für Details erforderlich) und Audit-Logs auf Anfrage zur Verfügung.
3.7 Daten löschen oder zurückgeben. Nach Beendigung des Abonnements werden Ihre Tresore für 30 Tage schreibgeschützt. Nach 30 Tagen werden die Tresordaten dauerhaft gelöscht. Compliance-Backups werden 30 Tage nach der Löschung vernichtet. Bei Konten, die wegen Nichtzahlung gesperrt wurden, werden die Daten 30 Tage nach der Sperrung gelöscht und Backups 60 Tage danach rotiert. Sofortige Löschung ist jederzeit auf Anfrage möglich. Daten können nicht in entschlüsselter Form zurückgegeben werden (wir haben keine Schlüssel). Vollständige Details in unseren Nutzungsbedingungen.
3.8 Prüfung und Inspektion. Nach schriftlicher Ankündigung von 30 Tagen können Sie unsere Einhaltung dieser DPA prüfen. Prüfungen werden in unserem Zürcher Hauptsitz oder virtuell durchgeführt. Wir stellen relevante Dokumentationen zur Verfügung; direkter Infrastrukturzugriff erfordert eine Sicherheitsfreigabe.
3.9 Benachrichtigung bei Verstößen. Wir benachrichtigen Sie innerhalb von 24 Stunden nach Entdeckung eines Verstoßes, der Ihre personenbezogenen Daten betrifft. Wir verzögern die Benachrichtigung niemals für Ermittlungen oder rechtliche Überprüfungen.
3.10 Verarbeitungstätigkeiten dokumentieren. Wir führen Aufzeichnungen über Verarbeitungstätigkeiten und stellen Zusammenfassungen auf Anfrage zur Verfügung.
Sie gewährleisten, dass:
- Sie eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten in Ihrem Tresor haben
- Sie geeignete Datenschutzhinweise für betroffene Personen bereitgestellt haben, deren Daten Sie speichern
- Sie keine Daten speichern, die gegen geltende Gesetze verstoßen
- Sie uns unverzüglich über Anfragen betroffener Personen oder behördliche Anfragen informieren
Ihre Tresordaten werden am Point of Presence (POP) verschlüsselt gespeichert, der Ihrem Zugriffsmuster geografisch am nächsten liegt. Primäre und Backup-POPs befinden sich in verschiedenen Regionen zur Ausfallsicherheit. Die vollständige Liste der 21 POPs mit Städten, Anbietern und Compliance-Zertifizierungen wird in unserer POP-Datenbank gepflegt.
Zu den für POPs verwendeten Infrastrukturanbietern gehören: Amazon Web Services (17 POPs, Hauptanbieter für die meisten Regionen), ISHosting (Istanbul, Almaty, Bogotá) und HostAfrica (Lagos). Zürcher HQ-Betriebe (Abrechnung, Verwaltung) nutzen Hostkey.
Alle POPs sind entweder:
- In Gerichtsbarkeiten mit Angemessenheitsbeschlüssen (EU, EWR, Schweiz, UK, Kanada usw.)
- Durch Standardvertragsklauseln (SCCs) gebunden, wo kein Angemessenheitsbeschluss vorliegt
Aufgrund unserer Verschlüsselungsarchitektur (Zero-Knowledge) sind selbst Daten, die in nicht angemessenen Gerichtsbarkeiten gespeichert sind, technisch geschützt. Wir können sie nicht entschlüsseln; lokale Behörden auch nicht. Die DNS-Auflösung wird von Cloudflare übernommen; keine Tresordaten durchlaufen jemals deren Netzwerk.
Keine Daten sind für uns im Ruhezustand entschlüsselbar. Die Tresordatei ist verschlüsselt und der Verschlüsselungsschlüssel wird nicht auf dem Server gespeichert. Wenn ein Agent oder Benutzer eine Verbindung herstellt, trägt er den L1-Schlüssel bei jeder Anfrage mit sich – wir könnten ihn technisch während der Übertragung abfangen (obwohl wir dies nicht tun und TLS Dritte daran hindert). Selbst mit L1 sind nur Metadaten sichtbar. Anmeldedaten- und Identitätsfelder bleiben versiegelt.
- L1 (Tresor-Verschlüsselung): Der Tresor ist im Ruhezustand mit AES-256-GCM verschlüsselt. Der 8-Byte L1-Schlüssel wird vom Agenten oder Benutzer bei jeder Anfrage mitgeführt – er wird nicht auf dem Server gespeichert. Mit L1 sind Eintragsnamen, Typen und Zeitstempel sichtbar. Dies ist das operationelle Minimum, das zur Bearbeitung von Anfragen erforderlich ist.
- L2 (Anmeldedatenfelder): Passwörter, API-Schlüssel, TOTP-Seeds, OAuth-Token – pro Feld verschlüsselt mit einem 16-Byte-Schlüssel, der niemals auf dem Server existiert. L2 wird nur vom Browser des Benutzers und seinen registrierten Agenten gehalten. Wir können Anmeldedatenfelder nicht entschlüsseln, und kein serverseitiger Prozess hat jemals Zugriff auf L2.
- L3 (Identitätsfelder): Kreditkarten, CVV, Passnummern, SSNs, Wiederherstellungscodes – verschlüsselt mit einem 32-Byte-Schlüssel reiner Zufallsentropie, der bei der Tresorerstellung generiert wird. Der Benutzer kennt diesen Schlüssel nicht. Wir haben ihn nicht. L3 existiert niemals auf einem Server. Er wird geschützt, indem er mit der 32-Byte-Ausgabe des PRF Ihres Hardware-Schlüssels (Fingerabdruck, Gesicht oder Sicherheitsschlüssel über WebAuthn PRF) umhüllt wird. Ohne das physische Gerät kann L3 nicht entpackt werden. Wir können Identitätsfelder mathematisch nicht entschlüsseln und können nicht gezwungen werden, einen Schlüssel zu produzieren, den wir nicht haben.
Für Anfragen im Zusammenhang mit der DPA:
Datenschutzbeauftragter (DSB) Clavitor LLC c/o Johan Jongsma
Diese DPA tritt mit dem Startdatum Ihres Abonnements in Kraft und bleibt bis zur Kündigung gültig. Änderungen werden 30 Tage im Voraus mitgeteilt. Fortgesetzte Nutzung gilt als Annahme.
Zuletzt aktualisiert: 25. Mai 2026 · Version 1.1