Unsere Nutzungs-Bedingungen
1. Worum es geht
1.1 Geltungsbereich
Diese Nutzungsbedingungen regeln die Nutzung der KAIZUNO® Plattform (nachfolgend „Plattform”) und gelten ab dem Zeitpunkt Ihrer Registrierung oder Nutzung.
1.2 Grundsatz
Diese Nutzungsbedingungen sind nach dem Grundsatz von Treu und Glauben auszulegen (ZGB Art. 2). Beide Seiten verpflichten sich zu einem fairen, ehrlichen und respektvollen Umgang miteinander.
1.3 Akzeptanz
Mit der Registrierung oder Nutzung der Plattform akzeptieren Sie diese Nutzungsbedingungen. Falls Sie nicht einverstanden sind, nutzen Sie die Plattform bitte nicht.
1.4 Geltende Fassung
Es gilt jeweils die aktuelle Fassung dieser Nutzungsbedingungen, wie sie auf der Plattform veröffentlicht ist.
2. Wer wir sind
Die KAIZUNO® Plattform wird betrieben durch die:
Anrok GmbH
Via Larisch 2, 7031 Laax, Schweiz
UID: CHE-290.490.033
E-Mail: data(at)kaizuno.com
Wenn in diesen Nutzungsbedingungen von „wir” oder „Anbieter” die Rede ist, ist die Anrok GmbH gemeint.
Ansprechpartner:
Sicherheit, Incident Management und Datenschutz: Robert Knop, data(at)kaizuno.com
3. Was wir Ihnen bieten
3.1 Die Plattform
Die KAIZUNO® Plattform ist eine KI-gestützte digitale Lösung unter kaizuno.com und den dazugehörigen Subdomains, die Organisationen bei Bewertungen, Analysen und ihrer Weiterentwicklung unterstützt.
Die Plattform richtet sich an Organisationen und deren Mitarbeitende. Ihr Funktionsumfang kann Bewertungen, Berichte, Inspirationen, Empfehlungen und weitere KI-gestützte Funktionen umfassen — einschliesslich der Verarbeitung externer Informationsquellen.
Grundlage ist eine eigenständige Methodik, die in die Plattform integriert ist. Der konkrete Funktionsumfang kann sich im Rahmen der Weiterentwicklung ändern und erweitern.
Die Plattform wird als webbasierte SaaS-Lösung bereitgestellt und auf Amazon Web Services (AWS) in der Schweiz (Datenspeicherung) und der EU (KI-Verarbeitung) betrieben.
Die Nutzergruppen umfassen Organisationsverantwortliche, Teamleitende und Teilnehmende. Die Plattform unterstützt keine kritischen oder wichtigen Geschäftsfunktionen im Sinne regulatorischer Auslagerungsvorschriften.
3.2 Unser Anspruch
Wir arbeiten kontinuierlich daran, die Plattform zu verbessern und weiterzuentwickeln.
3.3 Einsatz künstlicher Intelligenz
Die Plattform setzt künstliche Intelligenz als Kernbestandteil ein. Die KI-Verarbeitung erfolgt über Anthropic Claude, bereitgestellt durch Amazon Web Services Bedrock in der EU-Region.
Es werden keine Nutzerdaten an den KI-Modellanbieter übermittelt oder zum Training von KI-Modellen verwendet.
Mit der Nutzung der Plattform nehmen Sie zur Kenntnis, dass Inhalte KI-gestützt erstellt werden. Näheres dazu finden Sie in Abschnitt 9 und Anhang C.
3.4 Support
Wir bieten Ihnen Unterstützung per E-Mail unter data(at)kaizuno.com. Wir bemühen uns um eine zeitnahe Bearbeitung Ihrer Anliegen.
4. Preise und Steuern
Die angegebenen Preise verstehen sich ohne allfällige Steuern, Abgaben oder Zölle. Rechnungen sind innert der auf der Rechnung angegebenen Frist zahlbar.
Für die Einhaltung der in Ihrem Land geltenden steuerlichen Vorschriften sind Sie selbst verantwortlich. Bei Rechnungsstellung an Unternehmen innerhalb der EU erfolgt die Verrechnung nach dem Prinzip der Umkehr der Steuerschuldnerschaft.
5. Ihr Benutzerkonto
5.1 Registrierung
Wir stellen Ihnen ein persönliches Benutzerkonto zur Verfügung. Bei der Registrierung geben Sie wahrheitsgemässe, vollständige und aktuelle Angaben an.
5.2 Zugangsdaten
Die Sicherheit Ihrer Zugangsdaten liegt bei Ihnen. Sie sind verantwortlich für alle Aktivitäten unter Ihrem Konto. Bitte geben Sie Ihre Zugangsdaten nicht an Dritte weiter.
5.3 Benutzerrollen
Die Plattform bietet verschiedene Rollen mit unterschiedlichen Berechtigungen — etwa für die Verwaltung des Organisationskontos, die Betreuung von Teams oder die Teilnahme an Bewertungen.
Die verfügbaren Rollen und deren Berechtigungen können sich im Rahmen der Weiterentwicklung der Plattform ändern oder erweitert werden.
Wer innerhalb Ihrer Organisation den Zugang verwaltet, entscheidet auch, wer Zugriff erhält — einschliesslich externer Personen wie Berater, Coaches oder Partner. Die Verantwortung für die Zugriffsvergabe liegt bei Ihrer Organisation.
5.4 Welche Daten gehören in die Plattform
Die Eingabe vertraulicher Geschäftsinformationen, Geschäftsgeheimnisse oder besonders schützenswerter Personendaten ist nicht vorgesehen.
Sollten Sie solche Daten dennoch eingeben, geschieht dies auf Ihr eigenes Risiko. Wir übernehmen hierfür keine besondere Sicherheitsgewährleistung und keine Haftung.
5.5 Sperrung oder Löschung
Sollte es zu Verstössen gegen diese Nutzungsbedingungen oder geltendes Recht kommen, behalten wir uns vor, Benutzerkonten zu sperren oder zu löschen.
6. Ihre Ergebnisse und Inhalte
6.1 Ihre Berichte gehören Ihnen
Die von der Plattform erzeugten Berichte und Auswertungen gehören Ihnen. Sie dürfen sie frei verwenden — insbesondere:
- Innerhalb Ihrer Organisation teilen und für Entscheidungsprozesse heranziehen
- An Partner, Zentralen, übergeordnete Organisationseinheiten oder Netzwerke weitergeben
- Mit externen Beratern, Coaches, Auditoren oder anderen Fachpersonen teilen
- Für Präsentationen, Berichte oder strategische Unterlagen nutzen
Die Ergebnisse sind für Sie da — nutzen Sie sie so, wie es für Ihre Organisation sinnvoll ist. Dieses Recht bleibt auch nach Beendigung Ihres Nutzungsverhältnisses bestehen.
6.2 Ihre eingegebenen Daten gehören Ihnen
Alles, was Sie in die Plattform eingeben, bleibt Ihr Eigentum. Wir erheben keinen Anspruch darauf.
6.3 Was wir mit Ihren Daten tun dürfen
Um Ihnen die Leistungen der Plattform bieten zu können, verarbeiten, speichern und analysieren wir Ihre Inhalte — insbesondere für die Erstellung von Auswertungsberichten.
Zusätzlich nutzen wir aggregierte Daten, die keinen Rückschluss auf einzelne Nutzer oder Organisationen ermöglichen, um unsere eigenen Produkte und Leistungen zu verbessern — etwa für die Weiterentwicklung der Bewertungslogik oder die Qualität der KI-Ergebnisse.
Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte.
6.4 Löschung
Diese Verarbeitungserlaubnis endet, wenn Sie Ihr Konto oder Ihre Daten löschen. Danach werden Ihre Inhalte gemäss unserer Datenschutzerklärung gelöscht, vorbehaltlich der in Abschnitt 13.1 beschriebenen Karenzfrist.
6.5 Ihre Verantwortung
Sie gewährleisten, dass die von Ihnen eingegebenen Inhalte rechtmässig sind und keine Rechte Dritter verletzen.
7. Geistiges Eigentum
Wir stellen Ihnen mit KAIZUNO® eine umfassende Plattform zur Verfügung. Im Folgenden beschreiben wir, was dazugehört — und warum wir es schützen.
7.1 Die Marke KAIZUNO®
KAIZUNO® ist eine eingetragene europäische Marke (Wort- und Bildmarke). Sie dürfen den Namen und das Logo selbstverständlich im Zusammenhang mit der Plattform verwenden — etwa um darauf zu verweisen oder die Plattform zu beschreiben.
Was wir nicht erlauben können, ist die Nutzung der Marke oder des Logos in eigenen Produkten, Materialien oder Profilen ohne unsere Genehmigung, ebenso wie die Registrierung von Kennzeichen, die mit KAIZUNO® verwechselbar sind.
7.2 Die Methodik
Die KAIZUNO® Plattform basiert auf einer eigenständig entwickelten Methodik. Diese ist urheberrechtlich geschützt.
Innerhalb der Plattform steht Ihnen die Methodik uneingeschränkt zur Verfügung — Sie profitieren von ihr bei jeder Bewertung.
Was wir schützen, ist die Methodik selbst: Sie darf nicht ausserhalb der Plattform verwendet, reproduziert oder als Grundlage für eigene Methoden, Schulungen oder Beratungsangebote herangezogen werden.
7.3 Die Software und Technik
Hinter der Plattform stehen Software, KI-Modelle, Bewertungslogiken, Analyseverfahren und eine gestaltete Benutzeroberfläche. All das ist urheberrechtlich geschützt.
Sie nutzen diese Technik mit jedem Klick — aber die technischen Bausteine selbst dürfen nicht untersucht, dekompiliert, extrahiert oder für den Aufbau konkurrierender Systeme verwendet werden.
7.4 Veröffentlichte Werke
Die Methodik ist auch in einem Buch und einem Hörbuch zugänglich. Diese Werke stehen zum persönlichen Gebrauch frei — sie dürfen jedoch nicht kommerziell weiterverwendet oder als Grundlage für eigene Angebote genutzt werden.
7.5 Ihre Nutzungslizenz
Alle Inhalte der Plattform — Texte, Grafiken, Logos, Bilder und Daten — sind geschützt, sofern sie nicht von Ihnen selbst erstellt wurden.
Ausgenommen sind die gemäss Abschnitt 6 Ihnen gehörenden Berichte und Auswertungen.
Mit Ihrer Registrierung erhalten Sie eine Nutzungslizenz für den bestimmungsgemässen Gebrauch der Plattform. Diese Lizenz gilt für die Dauer Ihres Nutzungsverhältnisses, ist nicht übertragbar und an Ihr Benutzerkonto gebunden.
8. Faire Nutzung
Wir möchten, dass Sie die Plattform mit vollem Nutzen einsetzen. Damit das für alle funktioniert, bitten wir um einen respektvollen und verantwortungsvollen Umgang.
Was wir nicht erlauben können:
- Erkenntnisse aus der Plattform zu nutzen, um vergleichbare Produkte, Methoden oder Dienstleistungen zu entwickeln
- Technische Schutzmassnahmen zu umgehen, die Software zu dekompilieren oder automatisierte Zugriffe durchzuführen
- Sicherheitstests (Penetration-Testing) ohne unsere vorherige schriftliche Zustimmung durchzuführen
- Beleidigende, diskriminierende oder rechtswidrige Inhalte hochzuladen
- Schädliche Inhalte hochzuladen oder die Sicherheit der Plattform zu gefährden — dazu gehören auch Phishing, Social Engineering, das Einschleusen von Schadsoftware oder der Versuch, sich unbefugt Zugang zu verschaffen
- Die Plattform für rechtswidrige Zwecke einzusetzen
Sollte es zu Verstössen kommen, behalten wir uns vor, den Zugang einzuschränken oder zu beenden.
Bei schwerwiegenden oder böswilligen Verstössen — insbesondere bei Straftaten, Datenmissbrauch oder vorsätzlicher Schädigung — behalten wir uns darüber hinaus vor, rechtliche Schritte einzuleiten und die betroffenen Daten als Beweismittel zu sichern.
9. KI inspiriert — entscheidet nicht
Die Plattform bietet eine ergänzende Perspektive zur Selbstreflexion und Weiterentwicklung.
Die Ergebnisse — einschliesslich aller KI-gestützten Auswertungen, Berichte und Empfehlungen — sind Impulse und Denkanstösse. Sie können Ungenauigkeiten, Fehler oder Verzerrungen enthalten.
Sie ersetzen keine professionelle Fachberatung, keine behördlichen Prüfungen, Zertifizierungen oder Audits und keine eigene Sorgfaltspflicht.
Die Interpretation der Ergebnisse, die Ableitung von Massnahmen und deren Umsetzung liegen ausschliesslich bei Ihnen und Ihrer Organisation — die Umsetzung erfolgt stets ausserhalb der Plattform.
Wir haften nicht für Entscheidungen oder Handlungen, die auf Grundlage der Plattform-Ergebnisse getroffen werden — auch nicht, wenn Dritte wie Berater, Coaches oder andere Fachpersonen die Ergebnisse als Grundlage für eigene Empfehlungen verwenden.
10. Grenzen unserer Leistung und Haftung
10.1 Was wir nicht garantieren können
So sehr wir uns bemühen: Wir können keine Garantien übernehmen — weder für die ununterbrochene Verfügbarkeit der Plattform, die vollständige Richtigkeit KI-gestützter Inhalte noch für die Eignung der Ergebnisse für einen bestimmten Zweck (siehe auch Abschnitt 9).
Die Plattform ist ein Werkzeug zur Selbstreflexion und Weiterentwicklung — kein Ersatz für professionelle Fachberatung oder behördliche Prüfungen.
Entscheidungen und Massnahmen, die Sie auf Grundlage der Plattform-Ergebnisse treffen, liegen in Ihrer Verantwortung.
10.2 Haftungsbeschränkung
Unsere Haftung ist auf die von Ihnen in den letzten 12 Monaten gezahlten Nutzungsgebühren begrenzt, in jedem Fall jedoch höchstens CHF 10’000.
Diese Beschränkung gilt nicht bei Vorsatz oder grober Fahrlässigkeit (OR Art. 100). Individuelle Vereinbarungen bleiben vorbehalten.
10.3 Freistellung
Sollten durch eine Verletzung dieser Nutzungsbedingungen durch Sie Ansprüche Dritter gegen uns entstehen, stellen Sie uns davon frei — einschliesslich angemessener Anwalts- und Verfahrenskosten.
10.4 Externe Inhalte
Wir verlinken gelegentlich auf Webseiten oder Dienste Dritter. Für deren Inhalte übernehmen wir keine Verantwortung.
11. Verfügbarkeit und Wartung
11.1 Unser Ziel
Wir möchten, dass die Plattform jederzeit verfügbar ist. Einen Anspruch auf unterbrechungsfreien Service können wir jedoch nicht gewähren.
11.2 Wartung und Weiterentwicklung
Wir entwickeln die Plattform laufend weiter und führen regelmässig Wartungsarbeiten durch.
Sollten wir die Plattform dauerhaft einstellen, informieren wir zahlende Kunden mindestens 90 Tage im Voraus und erstatten anteilsmässig den nicht genutzten Zeitraum.
12. Höhere Gewalt
Manche Ereignisse liegen ausserhalb unserer Kontrolle — etwa Naturkatastrophen, Pandemien, Stromausfälle, Ausfälle von Infrastruktur-Anbietern, behördliche Anordnungen oder Cyberangriffe.
Für Leistungsstörungen, die darauf zurückzuführen sind, können wir nicht haften.
13. Beendigung
13.1 Durch Sie
Sie können Ihr Konto jederzeit beenden. Vor der Löschung können Sie einen Export Ihrer Daten in maschinenlesbarem Format (JSON oder CSV) anfordern.
Wir stellen den Export innert angemessener Frist bereit.
Nach der Kontolöschung bewahren wir Ihre Daten für eine angemessene Karenzfrist auf — zum Schutz vor versehentlicher Löschung und um Ihnen eine spätere Reaktivierung zu ermöglichen.
Danach werden Ihre Daten gemäss unserer Datenschutzerklärung endgültig gelöscht.
13.2 Durch uns
Bei heilbaren Verstössen gegen diese Nutzungsbedingungen setzen wir Ihnen zunächst eine angemessene Frist zur Behebung.
Bei schwerwiegenden oder wiederholten Verstössen, ausbleibenden Zahlungen oder missbräuchlicher Nutzung können wir den Zugang auch ohne vorherige Frist beenden.
13.3 Ihre Berichte nach Beendigung
Berichte und Auswertungen, die während Ihres Nutzungsverhältnisses erstellt wurden, dürfen Sie weiterhin verwenden (siehe Abschnitt 6.1).
13.4 Was danach gilt
Auch nach Beendigung gelten weiterhin: der Schutz des geistigen Eigentums (Abschnitt 7), die faire Nutzung (Abschnitt 8), die Haftungsbestimmungen (Abschnitt 10) und das anwendbare Recht (Abschnitt 16).
14. Übertragung und Unternehmensänderungen
Sollte die Anrok GmbH verkauft, übernommen oder mit einem anderen Unternehmen zusammengeführt werden, können die Rechte und Pflichten aus diesen Nutzungsbedingungen an den Nachfolger übergehen.
Wir informieren Sie in einem solchen Fall rechtzeitig. Ihre Rechte aus diesen Nutzungsbedingungen bleiben dabei unverändert bestehen.
Sind Sie mit der Übertragung nicht einverstanden, können Sie Ihr Konto beenden.
15. Datenschutz
Der Schutz Ihrer Daten ist uns wichtig. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt gemäss unserer Datenschutzerklärung, die auf kaizuno.com verfügbar ist.
Für Organisationen, die über die Plattform personenbezogene Daten verarbeiten lassen, gilt zusätzlich der Auftragsverarbeitungsvertrag (AVV) im Anhang A.
Ergänzend gelten die Anhänge B (Informationssicherheit), C (KI-Transparenz) und D (Service Level). Alle Anhänge werden mit Akzeptanz dieser Nutzungsbedingungen wirksam.
16. Anwendbares Recht und Gerichtsstand
16.1 Anwendbares Recht
Es gilt ausschliesslich Schweizer Recht. Die Anwendung des UN-Kaufrechts (CISG) ist ausgeschlossen.
16.2 Gerichtsstand
Ausschliesslicher Gerichtsstand ist Chur, Schweiz.
16.3 Einvernehmliche Lösung
Bevor es zu einem Gerichtsverfahren kommt, bemühen sich beide Seiten um eine einvernehmliche Lösung.
17. Änderungen dieser Nutzungsbedingungen
Wir behalten uns vor, diese Nutzungsbedingungen zu ändern.
Wesentliche Änderungen kündigen wir mindestens 30 Tage vor Inkrafttreten an — auf der Plattform oder per E-Mail.
Durch die weitere Nutzung nach Inkrafttreten stimmen Sie den neuen Bedingungen zu.
Bei wesentlichen Verschlechterungen Ihrer Rechte steht Ihnen ein Sonderkündigungsrecht zu. Falls Sie nicht einverstanden sind, können Sie Ihr Konto beenden.
18. Schlussbestimmungen
Sollte eine Bestimmung dieser Nutzungsbedingungen unwirksam sein, bleibt die Gültigkeit der übrigen Bestimmungen davon unberührt.
Die unwirksame Bestimmung wird durch eine Regelung ersetzt, die dem ursprünglich beabsichtigten Zweck möglichst nahekommt.
19. Kontakt
Bei Fragen zu diesen Nutzungsbedingungen erreichen Sie uns unter:
Anrok GmbH
Via Larisch 2
7031 Laax, Schweiz
E-Mail: data(at)kaizuno.com
Anhang A: Auftragsverarbeitungsvertrag (AVV)
Dieser Anhang ist Bestandteil der Nutzungsbedingungen und wird mit deren Akzeptanz wirksam.
A1. Worum es geht
A1.1 Gegenstand
Dieser Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO und Art. 9 nDSG regelt die Verarbeitung personenbezogener Daten durch die Anrok GmbH (Auftragsverarbeiterin) im Auftrag der Organisation (Verantwortliche) im Rahmen der Nutzung der KAIZUNO® Plattform.
A1.2 Wer ist wer
- Verantwortliche: Die Organisation, die die Plattform nutzt und deren Organisationsverantwortliche das Konto verwalten.
- Auftragsverarbeiterin: Anrok GmbH, Via Larisch 2, 7031 Laax, Schweiz.
A1.3 Dauer
Dieser AVV gilt für die gesamte Dauer der Nutzung der Plattform und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Vertragsende.
A2. Was wir verarbeiten und warum
A2.1 Art der Verarbeitung
Wir verarbeiten personenbezogene Daten ausschliesslich zur Bereitstellung der KAIZUNO® Plattform. Dies umfasst die Speicherung und Verwaltung von Benutzerkonten, die Durchführung und Auswertung von KI-gestützten Bewertungen, die Erstellung von Auswertungsberichten und Analysen sowie den technischen Betrieb und die Sicherung der Plattform.
A2.2 Betroffene Personen
Mitarbeitende und Angehörige der Organisation sowie von der Organisation eingeladene Dritte (etwa Berater, Coaches oder Partner).
A2.3 Kategorien personenbezogener Daten
Kontaktdaten (Name, E-Mail-Adresse), Kontodaten (Rolle, Berechtigungen), Bewertungsdaten (Selbsteinschätzungen, Antworten), Nutzungsdaten (Aktivitäten, Zeitstempel) und Abrechnungsdaten (über Stripe).
A3. Unsere Pflichten als Auftragsverarbeiterin
A3.1 Weisungsgebundenheit
Wir verarbeiten personenbezogene Daten ausschliesslich auf Weisung der Verantwortlichen. Die Nutzungsbedingungen und dieser AVV stellen die dokumentierten Weisungen dar. Weitergehende Weisungen bedürfen der Schriftform.
A3.2 Vertraulichkeit
Alle Personen, die bei uns mit der Verarbeitung personenbezogener Daten betraut sind, haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht.
A3.3 Technische und organisatorische Massnahmen
Wir setzen angemessene technische und organisatorische Massnahmen um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Dazu gehören die Verschlüsselung personenbezogener Daten bei der Übertragung und Speicherung nach branchenüblichen Standards, Zugriffskontrolle und Authentifizierung, regelmässige Sicherheitsüberprüfungen im Rahmen unserer Kapazitäten sowie Firewallschutz.
A3.4 Unterauftragsverarbeiter
Wir setzen folgende Unterauftragsverarbeiter ein:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Amazon Web Services (AWS) | Hosting, Datenspeicherung | Schweiz |
| Amazon Web Services (AWS) | KI-Verarbeitung, E-Mail-Dienste | EU |
| Stripe | Zahlungsabwicklung | EU / USA (EU-US DPF, SCCs) |
| Wordfence | Website-Sicherheit | USA (SCCs) |
Alle Unterauftragsverarbeiter sind vertraglich zur Einhaltung gleichwertiger Sicherheitsstandards verpflichtet.
Die Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu. Über Änderungen (Hinzufügen oder Ersetzen) informieren wir mindestens 30 Tage im Voraus. Die Verantwortliche kann innert 14 Tagen nach Benachrichtigung Einspruch erheben.
A3.5 Unterstützung
Wir unterstützen die Verantwortliche bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit), bei der Einhaltung von Meldepflichten bei Datenpannen sowie bei der Durchführung von Datenschutz-Folgenabschätzungen, soweit relevant.
A3.6 Meldung von Datenpannen
Wird uns eine Verletzung des Schutzes personenbezogener Daten bekannt, informieren wir die Verantwortliche innerhalb von 72 Stunden nach Kenntnisnahme.
Vor der Meldung sind wir berechtigt, eine angemessene Untersuchung und erste Risikoeinschätzung durchzuführen.
Die Meldung enthält die zum Zeitpunkt verfügbaren Informationen zur Art der Verletzung, zu den betroffenen Datenkategorien, zu den wahrscheinlichen Folgen und zu den ergriffenen oder vorgeschlagenen Massnahmen.
A4. Pflichten der Verantwortlichen
A4.1 Rechtmässigkeit
Die Verantwortliche ist für die Rechtmässigkeit der Datenverarbeitung verantwortlich und stellt sicher, dass eine gültige Grundlage für die Verarbeitung besteht.
A4.2 Weisungen
Weisungen werden ausschliesslich im Rahmen der gesetzlichen Bestimmungen erteilt.
Verstösst eine Weisung nach unserer Auffassung gegen geltendes Datenschutzrecht, weisen wir die Verantwortliche zeitnah darauf hin.
A4.3 Zugriffsvergabe und Inhalte
Gemäss den Nutzungsbedingungen (Abschnitt 5) ist die Verantwortliche allein verantwortlich für die Erteilung von Zugriffsrechten, die Einladung externer Dritter, die Art und den Umfang der eingegebenen Daten sowie die Sicherstellung, dass keine vertraulichen Geschäftsinformationen oder sensible Daten Dritter eingegeben werden.
A5. Löschung und Rückgabe
A5.1 Löschung personenbezogener Daten
Wenn die Verantwortliche die Löschung anfordert oder das Konto beendet, bewahren wir personenbezogene Daten für eine angemessene Karenzfrist auf, um eine versehentliche Löschung oder spätere Reaktivierung zu ermöglichen.
Nach Ablauf dieser Frist löschen wir sämtliche personenbezogenen Daten gemäss unserer Datenschutzerklärung, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen — insbesondere die Sicherung von Beweismitteln bei Verdacht auf Missbrauch oder rechtswidriges Verhalten.
A5.2 Datenexport
Vor der Löschung hat die Verantwortliche das Recht, einen Export der Daten in maschinenlesbarem Format (JSON oder CSV) anzufordern.
Wir stellen den Export innert angemessener Frist bereit.
A5.3 Bestätigung
Auf Verlangen bestätigen wir die vollständige Löschung der Daten schriftlich.
A6. Audits und Kontrollen
A6.1 Nachweispflicht
Wir stellen der Verantwortlichen auf Anfrage die erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten aus diesem AVV nachzuweisen.
Wir können diese Pflicht auch durch Vorlage einer aktuellen Selbstauskunft, eines Sicherheitszertifikats oder einer gleichwertigen Dokumentation erfüllen.
A6.2 Audits
Kann die Nachweispflicht nach A6.1 nicht anderweitig erfüllt werden, kann die Verantwortliche Audits durch einen unabhängigen, zur Verschwiegenheit verpflichteten Prüfer durchführen lassen.
Audits sind auf ein Audit pro 12 Monate beschränkt, mit einer Vorankündigung von mindestens 90 Tagen, und während der üblichen Geschäftszeiten durchzuführen.
Die Kosten trägt die Verantwortliche. Der Umfang ist auf die für die Verantwortliche relevanten Verarbeitungstätigkeiten beschränkt.
Gesetzliche Prüfrechte von Aufsichtsbehörden bleiben von diesen Einschränkungen unberührt.
A7. Internationaler Datentransfer
Soweit personenbezogene Daten in Drittländer übertragen werden, stellen wir sicher, dass geeignete Garantien bestehen — insbesondere EU-Standardvertragsklauseln (DSGVO Art. 46 Abs. 2 lit. c), das EU-US Data Privacy Framework oder Angemessenheitsbeschlüsse.
Alle Unterauftragsverarbeiter in Drittländern sind durch entsprechende Klauseln oder Rahmenwerke abgesichert (siehe A3.4).
A8. Anwendbares Recht
Dieser AVV unterliegt dem gleichen Recht wie die Nutzungsbedingungen (Schweizer Recht, Gerichtsstand Chur).
Ergänzend gelten die Bestimmungen der DSGVO und des nDSG.
Anhang B: Informationssicherheit
Dieser Anhang ist Bestandteil der Nutzungsbedingungen und wird mit deren Akzeptanz wirksam.
B1. Sicherheitsstandards
B1.1 Infrastruktur
Die Plattform wird auf Amazon Web Services (AWS) betrieben. AWS ist nach ISO 27001, SOC 1/2/3 und PCI DSS Level 1 zertifiziert.
Die Datenspeicherung erfolgt in der Schweiz, die KI-Verarbeitung in der EU (Frankfurt).
B1.2 Verschlüsselung
| Bereich | Methode |
|---|---|
| Datenübertragung | TLS 1.2+ |
| Datenspeicherung | AES-256 (at rest) |
| Passwörter | Gehasht (bcrypt oder vergleichbar) |
| Backups | Verschlüsselt |
| API-Kommunikation (KI) | TLS/SSL |
B1.3 Zugriffskontrolle
Passwortgeschützte Benutzerkonten mit Mindestanforderungen, rollenbasiertes Zugriffsmodell, administrativer Zugang beschränkt auf autorisierte Personen, Entwicklerzugang über gesicherte Verbindungen mit eigenen Zugangsdaten, Prinzip der minimalen Berechtigung (Least Privilege).
B1.4 Netzwerksicherheit
Wordfence Firewall zum Schutz vor Angriffen, Brute-Force-Erkennung und -Blockierung, Malware-Scanning, DDoS-Schutz.
B1.5 Patch- und Schwachstellenmanagement
Regelmässige Updates der Plattform-Software und eingesetzten Plugins.
Sicherheitsupdates werden zeitnah eingespielt. Wordfence-Scans zur Erkennung von Schwachstellen.
B2. Incident-Management
B2.1 Meldung von Sicherheitsvorfällen
Sicherheitsvorfälle werden innerhalb von 72 Stunden nach Kenntnisnahme an die betroffenen Kunden gemeldet.
B2.2 Inhalt der Meldung
Die Meldung enthält, soweit zum Zeitpunkt verfügbar: Art des Vorfalls, betroffene Systeme und Datenkategorien, wahrscheinliche Auswirkungen sowie ergriffene oder geplante Massnahmen.
B2.3 Mitwirkung
Wir wirken bei der Analyse, Ursachenermittlung und Behebung von Sicherheitsvorfällen mit und dokumentieren diese.
B2.4 Kontakt
Sicherheitsvorfälle können jederzeit gemeldet werden an: data(at)kaizuno.com
B3. Datentrennung und Schutz
B3.1 Mandantentrennung
Daten verschiedener Organisationen sind logisch getrennt. Nutzer sehen ausschliesslich Daten ihrer eigenen Organisation und, je nach Rolle, ihres Teams.
B3.2 Produktions- und Testumgebung
Produktions- und Testumgebung sind getrennt.
B3.3 Schutz vor Schadcode
Automatisierte Sicherheitsscans, Firewall-Schutz und Überwachung der Systemintegrität.
Anhang C: KI-Transparenz
Dieser Anhang ist Bestandteil der Nutzungsbedingungen und wird mit deren Akzeptanz wirksam.
C1. Eingesetztes KI-System
C1.1 Anbieter und Modell
Die Plattform nutzt Anthropic Claude, bereitgestellt über Amazon Web Services Bedrock (EU-Region Frankfurt).
C1.2 Zweck der KI
Die KI unterstützt verschiedene Funktionen der Plattform — unter anderem die Erstellung von Bewertungsfragen, die Analyse von Antworten, die Erzeugung von Berichten und Empfehlungen sowie die Verarbeitung externer Informationsquellen.
C1.3 Grenzen der Ergebnisse
KI-gestützte Ergebnisse können Ungenauigkeiten, Fehler oder Verzerrungen enthalten. Sie dienen als Impulse zur Selbstreflexion und ersetzen keine professionelle Fachberatung, keine behördlichen Prüfungen und keine eigene Sorgfaltspflicht (siehe Abschnitt 9 der Nutzungsbedingungen).
C2. Datenverarbeitung durch KI
C2.1 Welche Daten an die KI übermittelt werden
Bewertungsantworten, Organisationskontext (Branche, Grösse, Art der Organisation) und allgemeine Informationen, die Sie in die Plattform eingeben. Je nach Funktion kann die Plattform auch Informationen aus externen Quellen abrufen und verarbeiten.
C2.2 Anonymisierung
Personenbezogene Daten (Name, E-Mail) werden nicht an das KI-Modell übermittelt. Die KI verarbeitet Bewertungsinhalte und Organisationskontext, nicht personenbezogene Identifikationsmerkmale.
C2.3 Kein Training mit Kundendaten
AWS Bedrock speichert keine Prompts oder Antworten. Eingabedaten werden nicht zum Training von KI-Modellen verwendet.
Es werden keine Nutzerdaten an den KI-Modellanbieter (Anthropic) übermittelt.
C2.4 Verarbeitungsort
KI-Verarbeitung: EU (Frankfurt, AWS Bedrock). Datenspeicherung: Schweiz (AWS).
C3. Automatisierte Entscheidungen
KI-Outputs werden nicht als automatisierte Entscheidungen im Sinne von DSGVO Art. 22 verwendet.
Alle KI-generierten Inhalte — Berichte, Analysen, Empfehlungen — sind Analyseergebnisse, die zur menschlichen Bewertung und Interpretation vorgesehen sind.
Die Plattform trifft keine automatisierten Entscheidungen mit rechtlicher oder vergleichbarer Wirkung.
C4. Einordnung nach EU AI Act (Verordnung (EU) 2024/1689)
C4.1 Einordnung als KI-System
Die KAIZUNO® Plattform ist ein KI-System im Sinne der KI-Verordnung. Sie ist für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt, operiert nach definierten Zielen (Bewertung, Analyse, Berichterstellung), leitet aus Eingabedaten ab, wie Ausgaben erstellt werden, und erzeugt Inhalte, Empfehlungen und Analysen.
Das System besitzt keine Selbstlernfähigkeit. Verbesserungen an Methodik, Bewertungslogik und Verarbeitungsprozessen erfolgen ausschliesslich durch menschliche Entwicklungsentscheidungen.
Kundendaten werden nicht zum Training von KI-Modellen verwendet.
C4.2 Keine verbotenen Praktiken (Art. 5 KI-VO)
Die Plattform setzt keine Techniken ein, die darauf abzielen, die Entscheidungsfähigkeit von Personen zu manipulieren oder Schwächen und Schutzbedürftigkeiten auszunutzen.
Es erfolgt kein Social Scoring, keine Gesichtserkennung, keine Emotionserkennung am Arbeitsplatz und keine biometrische Kategorisierung.
Die Plattform gibt Feedback, Inspirationen und Analysen zur Unterstützung der Organisationsentwicklung. Nutzer behalten jederzeit volle Entscheidungsfreiheit.
C4.3 Keine Hochrisiko-Einstufung (Art. 6 KI-VO)
Die Plattform ist kein Sicherheitsbauteil eines harmonisierten EU-Produkts und fällt nicht unter die in Anhang I der KI-VO aufgeführten Harmonisierungsvorschriften.
Sie ist keinem der in Anhang III genannten Hochrisiko-Anwendungsbereiche zuzuordnen — insbesondere nicht den Bereichen Biometrie, kritische Infrastruktur, Bildung, Beschäftigung/Personalmanagement oder grundlegende Dienste und Leistungen.
Zur Abgrenzung: Die Plattform analysiert Themen wie Führungsqualität, Teamdynamik und Organisationsentwicklung auf aggregierter Ebene. Sie trifft keine Entscheidungen über Einstellung, Auswahl, Beförderung, Kündigung oder Leistungsbeurteilung einzelner Personen.
Es erfolgt kein Profiling im Sinne von Art. 4 Nr. 4 DSGVO.
Die Plattform ist dazu bestimmt, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern, Muster und Abweichungen zu erkennen sowie vorbereitende Aufgaben für Bewertungen durchzuführen — ohne die menschliche Bewertung zu ersetzen.
C4.4 System mit begrenztem Risiko — Transparenzpflichten (Art. 50 KI-VO)
Die Plattform ist als System mit begrenztem Risiko eingestuft. Sie ist für die direkte Interaktion mit natürlichen Personen bestimmt und erzeugt KI-generierte Textinhalte (Berichte, Analysen, Empfehlungen).
Die daraus entstehenden Transparenzpflichten werden erfüllt: KI-gestützte Inhalte werden als solche gekennzeichnet (siehe Abschnitt 9 der Nutzungsbedingungen).
Die Plattform erzeugt keine Deepfakes und keine manipulierten Bild-, Ton- oder Videoinhalte. Sie führt keine Emotionserkennung und keine biometrische Kategorisierung durch.
Die Plattform kann Textentwürfe erzeugen, die von der Organisation als Grundlage für externe Kommunikation genutzt werden können. Die Verantwortung für Überarbeitung, Freigabe und Veröffentlichung liegt ausschliesslich bei der nutzenden Organisation.
C4.5 Rolle der Anrok GmbH
Die Anrok GmbH hat die Plattform entwickelt und bringt sie unter der Marke KAIZUNO® in Verkehr. Sie trägt die damit verbundenen Pflichten als Anbieterin, insbesondere die Einhaltung der Transparenzanforderungen gemäss Art. 50 KI-VO.
C4.6 KI-Modelle mit allgemeinem Verwendungszweck (Art. 51 ff. KI-VO)
Die Plattform nutzt KI-Modelle mit allgemeinem Verwendungszweck (GPAI), bereitgestellt über Amazon Web Services Bedrock.
Die Pflichten gemäss Art. 53 ff. KI-VO für GPAI-Modelle treffen die jeweiligen Modellanbieter.
Aktuell wird Anthropic Claude eingesetzt. Die Auswahl der eingesetzten Modelle obliegt der Anrok GmbH; ein Wechsel des Modellanbieters ist möglich, sofern die beschriebenen Datenschutz- und Sicherheitsanforderungen eingehalten werden.
Die jeweils eingesetzten Modelle werden in der technischen Dokumentation auf kaizuno.com ausgewiesen.
Anhang D: Service Level
Dieser Anhang ist Bestandteil der Nutzungsbedingungen und wird mit deren Akzeptanz wirksam.
D1. Verfügbarkeit
D1.1 Ziel-Verfügbarkeit
Wir streben eine Verfügbarkeit der Plattform von 97% pro Kalendermonat an, bezogen auf die Erreichbarkeit der Webanwendung.
Ausgenommen sind geplante Wartungsfenster, Störungen bei eingesetzten Drittanbieterdiensten (z.B. Cloud-Infrastruktur, CDN) und Ereignisse höherer Gewalt gemäss Abschnitt 12 der Nutzungsbedingungen.
D1.2 Wartungsfenster
Geplante Wartungsarbeiten werden in der Regel mindestens 48 Stunden im Voraus angekündigt.
Sicherheitskritische Updates können ohne Vorankündigung eingespielt werden.
D2. Support
D2.1 Erreichbarkeit
Support per E-Mail unter data(at)kaizuno.com.
Supportzeiten: Werktage (Montag–Freitag), 09:00–17:00 Uhr MEZ, ausgenommen Schweizer Feiertage.
D2.2 Reaktionszeit
Wir bemühen uns um eine Erstreaktion innerhalb von 2 Arbeitstagen.
D3. Backup und Wiederherstellung
D3.1 Datensicherung
Tägliche Sicherung der Datenbank und relevanten Dateien.
Backups werden verschlüsselt gespeichert und nach maximal 90 Tagen durch Rotation überschrieben.
D3.2 Wiederherstellungsziele
Im Falle eines Systemausfalls streben wir folgende Ziele an:
| Parameter | Ziel |
|---|---|
| RTO (Recovery Time Objective) | 48 Stunden |
| RPO (Recovery Point Objective) | 24 Stunden |
Diese Werte sind Zielwerte und keine garantierten Zusagen. Die tatsächliche Wiederherstellungszeit hängt von der Art des Vorfalls ab.
D4. Notfallkonzept
Ein grundlegendes Notfall- und Wiederanlaufverfahren ist implementiert.
Dies umfasst automatisierte Backups, Wiederherstellungsverfahren aus Backups sowie die Nutzung der skalierbaren AWS-Infrastruktur für Redundanz.
Der technische Betrieb und die Wiederherstellung der Plattform sind nicht an einzelne Personen gebunden.
