Auftragsverarbeitungsvertrag (AVV)
Stand: März 2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend «AVV») ergänzt die Allgemeinen Geschäftsbedingungen und regelt die datenschutzrechtlichen Pflichten zwischen der Cohaga AG, St. Gallen, Schweiz (nachfolgend «Auftragsverarbeiterin») und dem Kunden (nachfolgend «Verantwortlicher») im Zusammenhang mit der Nutzung der Plattform RANQ.
Rechtsgrundlage bilden das Schweizerische Datenschutzgesetz (DSG, SR 235.1) sowie, soweit anwendbar, die Verordnung (EU) 2016/679 (DSGVO).
1. Gegenstand und Dauer der Verarbeitung
Die Auftragsverarbeiterin verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform RANQ zur Analyse und Optimierung der KI-Sichtbarkeit.
Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen dem Verantwortlichen und der Auftragsverarbeiterin.
2. Art und Zweck der Datenverarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Durchführung von KI-Sichtbarkeitsanalysen über AI-Plattformen
- Speicherung und Auswertung von Analyseergebnissen
- Generierung von Content-Optimierungsvorschlägen
- Bereitstellung von Monitoring- und Reporting-Funktionen
- Verwaltung von Benutzerkonten und Zugangsdaten
3. Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten können verarbeitet werden:
- Website-URLs und zugehörige Unternehmensinformationen
- Firmennamen, Adressen und Kontaktdaten
- E-Mail-Adressen und Namen der Nutzer
- Analyseergebnisse und KI-Sichtbarkeitsdaten
- Nutzungs- und Protokolldaten der Plattform
4. Kategorien betroffener Personen
- Mitarbeitende und Vertretungsberechtigte des Kunden
- Auf den analysierten Websites genannte Personen (z.B. Geschäftsleitung, Team)
- Kontaktpersonen von Wettbewerbern (soweit öffentlich zugänglich)
5. Pflichten der Auftragsverarbeiterin
Die Auftragsverarbeiterin verpflichtet sich:
- Personenbezogene Daten ausschliesslich gemäss den Weisungen des Verantwortlichen zu verarbeiten
- Alle mit der Datenverarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten
- Geeignete technische und organisatorische Massnahmen zum Schutz der Daten zu ergreifen
- Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
- Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden, zu melden
- Nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben
6. Unterauftragsverarbeiter
Der Verantwortliche erteilt der Auftragsverarbeiterin eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die Auftragsverarbeiterin informiert den Verantwortlichen über jede beabsichtigte Änderung. Der Verantwortliche kann innerhalb von 30 Tagen Einspruch erheben.
Folgende Unterauftragsverarbeiter werden aktuell eingesetzt:
| Anbieter | Zweck | Standort |
|---|---|---|
| OpenAI, Inc. | KI-Sichtbarkeitsabfragen (ChatGPT API) | USA |
| Anthropic, Inc. | KI-Sichtbarkeitsabfragen (Claude API) | USA |
| Google LLC | KI-Sichtbarkeitsabfragen (Gemini API) | USA |
| Perplexity AI, Inc. | KI-Sichtbarkeitsabfragen (Perplexity API) | USA |
| Hetzner Online GmbH | Server-Hosting und Datenspeicherung | Deutschland |
| Cloudflare, Inc. | DNS, CDN und DDoS-Schutz | USA / global |
Für Datenübermittlungen in die USA stützt sich die Auftragsverarbeiterin auf Standardvertragsklauseln (SCC) gemäss EU-Kommissionsbeschluss sowie auf die Anerkennung eines angemessenen Datenschutzniveaus gemäss der Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
7. Technische und organisatorische Massnahmen (TOM)
Die Auftragsverarbeiterin ergreift insbesondere folgende Massnahmen zum Schutz personenbezogener Daten:
- Zutrittskontrolle: Serverstandorte bei Hetzner mit physischer Zugangskontrolle und 24/7-Überwachung
- Zugangskontrolle: Authentifizierung mit starken Passwörtern, Zwei-Faktor-Authentifizierung für Administratoren
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem, Protokollierung aller Zugriffe
- Weitergabekontrolle: Verschlüsselung aller Daten bei der Übertragung (TLS 1.3)
- Eingabekontrolle: Protokollierung aller Datenänderungen mit Zeitstempel und Benutzerkennung
- Verfügbarkeitskontrolle: Regelmässige Backups, redundante Infrastruktur
- Trennungsgebot: Logische Trennung der Kundendaten durch mandantenfähige Architektur
8. Prüfrechte
Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieses AVV zu überprüfen. Die Auftragsverarbeiterin unterstützt den Verantwortlichen bei Audits und stellt die erforderlichen Informationen zur Verfügung. Die Kosten des Audits trägt der Verantwortliche, sofern keine Verstösse festgestellt werden.
9. Löschung nach Vertragsende
Nach Beendigung des Nutzungsvertrags löscht die Auftragsverarbeiterin sämtliche personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch wird die Löschung schriftlich bestätigt. Der Verantwortliche kann vor der Löschung einen Datenexport anfordern.
10. Haftung
Die Haftung der Auftragsverarbeiterin richtet sich nach den Bestimmungen der AGB und den anwendbaren gesetzlichen Vorschriften des DSG und, soweit anwendbar, der DSGVO.
11. Schlussbestimmungen
Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Es gilt schweizerisches Recht. Gerichtsstand ist St. Gallen, Schweiz.
12. Leistungsänderungen und Angaben ohne Gewähr
Die auf ranq.ch und app.ranq.ch beschriebenen Leistungen und Features stellen den aktuellen Planungsstand dar. Als Early-Bird-Produkt unterliegt RANQ einer kontinuierlichen Weiterentwicklung. Der geplante Produktlaunch ist am 30.06.2026. Dieser Termin kann sich aufgrund von Entwicklungsfortschritten oder externen Faktoren ändern.
Vorbehalte:
- Die angebotenen Leistungen können sich basierend auf Kundenfeedback, technischen Entwicklungen und Marktbedingungen ändern, erweitern oder optimieren.
- Einzelne Features können hinzugefügt, modifiziert oder ersetzt werden, sofern der Gesamtumfang der vereinbarten Leistungsstufe (Control/Climb/Command) gewahrt bleibt.
- Die Anzahl und Art der enthaltenen AI-Engines, Suchanfragen und generierten Inhalte kann sich im Rahmen der Produktweiterentwicklung verändern.
Garantie:
- Der Kernumfang der gewählten Leistungsstufe wird stets eingehalten.
- Preise sind für die vereinbarte Vertragslaufzeit fixiert und ändern sich nicht.
- Wesentliche Leistungsänderungen werden mindestens 30 Tage im Voraus kommuniziert.
- Bei erheblicher Leistungsreduktion besteht ein ausserordentliches Kündigungsrecht.
Alle Angaben auf der Website und in Marketingmaterialien erfolgen ohne Gewähr. Es gelten ausschliesslich die in diesen AGB und dem jeweiligen Vertrag vereinbarten Leistungen.
Bei Fragen zum Auftragsverarbeitungsvertrag wenden Sie sich an datenschutz@ranq.ch.