1. Parteien & Gegenstand

Durch (i) Abschluss der Online-Bestellung über Stripe (Checkout mit Checkbox) und/oder (ii) die Bestätigung im Erstlogin-Gate durch eine vom Kunden bestimmte Administrator-Person (Clickwrap) kommt zwischen VistaSys AG („Anbieter“) und der im Bestellvorgang bzw. Mandantenprofil bezeichneten juristischen Person („Kunde“) der Vertrag zustande. Eine eigenhändige Unterschrift ist nicht erforderlich.

2. Definitionen

„Dienst“ bezeichnet Attenda (SaaS) gemäss Dokumentation. „Dokumentation“ bezeichnet die jeweils aktuelle Funktions-/Nutzungsbeschreibung. „Nutzer“ sind vom Kunden autorisierte Personen (Seats). „Vertrag“ bezeichnet dieses MSA einschliesslich Bestellung, DPA, ToU und Policies.

„Kundendaten“ sind alle durch den Kunden oder seine Nutzer im Dienst verarbeiteten Daten. „Verfügbarkeit“ ist die in der SLA definierte Betriebszeit.

3. Leistungen & Servicebeschreibung

Der Anbieter stellt den Dienst gemäss Dokumentation bereit. Updates/Upgrades erfolgen nach Ermessen des Anbieters; wesentliche Änderungen werden nach Ziff. 13 kommuniziert. Zugriff erfolgt via Microsoft Entra ID (SSO). Der Kunde verwaltet Zuweisungen/Rollen (Seats).

4. Laufzeit & Verlängerung

4.1. Laufzeit

Die Laufzeit des Abonnements beginnt am Wirksamkeitsdatum und hat eine Laufzeit von einem Monat. Die Subscription verlängert sich automatisch um jeweils einen weiteren Monat, es sei denn, eine der Vertragsparteien kündigt den Vertrag vor Ablauf des laufenden Abrechnungszeitraums. Die Kündigung der Subscription erfolgt über das Portal.

4.2 Testperiode

Der Kunde hat das Recht, die Software für eine Testperiode von einem Monat ab dem Datum des Vertragsbeginns kostenlos zu nutzen. Während dieser Testperiode gelten alle anderen Bestimmungen dieses Vertrags. Der Kunde kann jederzeit auf ein kostenpflichtiges Abonnement umsteigen, um auch nach Ablauf der Testperiode die Software nutzen zu können.

5. Preise, Abrechnung & Steuern

5.1       Vorauszahlung per Kreditkarte (Stripe)

Sämtliche Abonnementsgebühren sind im Voraus fällig und werden über den Zahlungsdienstleister Stripe per Kreditkarte eingezogen. Der Kunde erteilt dem Anbieter eine wiederkehrende Abbuchungsautorisierung für die Initiallaufzeit und alle Verlängerungsperioden zu den jeweils gültigen Gebühren.

5.2       Bereitstellung & Lizenzgültigkeit

Die Bereitstellung/Verlängerung des Zugangs erfolgt erst nach erfolgreicher Zahlung. Kann der Betrag nicht abgebucht werden oder wird die Zahlung rückgängig gemacht, ist die Lizenz nicht gültig; der Anbieter darf den Zugang sofort sperren (siehe Ziff. 12) und wird den Kunden informieren.

5.3       Zahlungsdaten & Belege

Rechnungen/Belege stellt Stripe bzw. der Anbieter elektronisch zur Verfügung. Der Kunde hält eine gültige Kreditkarte und Abrechnungsdaten aktuell. Währung: CHF (sofern nicht anders vereinbart); Preise exkl. MwSt.

5.4       Preisänderungen

Anpassungen zum Verlängerungstermin mit mindestens 30 Tagen Vorlauf; der Kunde kann bis 10 Tage vor Inkrafttreten widersprechen und zum Periodenende kündigen.

5.5       Rückerstattungen

Sofern nicht zwingendes Recht anderes vorschreibt: Gebühren sind nicht rückerstattbar (ausser bei ausserordentlicher Kündigung durch den Kunden wegen unbehobener, wesentlicher Vertragsverletzung des Anbieters – pro rata).

6. Service Levels, Wartung & Support

Verfügbarkeit: Ziel 99.5 % pro Monat; Wartungsfenster ausgenommen. Geplante Wartungen werden mindestens 72 Stunden vorher angekündigt (Notfälle ausgenommen). Supportzeiten: Mo–Fr 08:00–17:00 CET über support@vistasys.ch.

7. Datenschutz, Sicherheit & Subprozessoren

Rollenmodell: Der Kunde ist Verantwortlicher; der Anbieter Auftragsbearbeiter gemäss DPA. Verarbeitung gemäss  Privacy Policy (Attenda-Teil).

Standort/Region: Primäre Verarbeitung in  «Azure Schweiz Nord». Retention: ”Logfiles/Telemetrie 30 Tage”, ”Backups 30 Tage”.

Subprozessoren: Aktuell Microsoft (Azure) für Infrastruktur/Plattform (Compute/Storage/Netz) in der Region Schweiz Nord. Änderungen gemäss veröffentlichter Subprozessorliste mit Vorab-Info und Widerspruchsrecht laut DPA.

Zahlungsabwicklung (Stripe). Kreditkartenzahlungen werden über Stripe abgewickelt. Stripe verarbeitet Zahlungs-/Abrechnungsdaten als Dienstleister des Anbieters; der Anbieter speichert keine vollständigen Kreditkartennummern. Die Verarbeitung durch Stripe unterliegt deren Bedingungen/Privacy .

Sicherheit (TOMs): Verschlüsselung in Transit (TLS) und at Rest, RBAC/Least Privilege, , Monitoring/Alerting, Vulnerability-Management, Incident-Response inkl. Meldungen.

8. Akzeptable Nutzung (AUP)

Untersagt sind insbesondere: Rechtsverstösse; Schadsoftware; Umgehung von Sicherheitskontrollen; unautorisierte Automatisierung/Scraping; DDoS/Überlastung; Reverse Engineering ausser zwingendes Recht; Weitergabe von Zugangsdaten; Nutzung ausserhalb bestellter Lizenzen/Seats. Der Anbieter kann Verstösse untersuchen und den Zugang gemäss Ziff. 12 sperren.

9. Kundendaten, Export & Löschung

Kundendaten verbleiben im Eigentum/unter Kontrolle des Kunden. Der Kunde ist verantwortlich für Rechtmässigkeit, Inhalte und Benutzerverwaltung.

Export: Während der Laufzeit und bis 10 Tage nach Vertragsende stellt der Anbieter gängige Exportformate bereit.

Löschung: Nach Ablauf der Exportfrist werden Kundendaten aus Produktivsystemen gelöscht; Backups verfallen spätestens nach 30 Tagen. Eine Löschbestätigung wird auf Anfrage bereitgestellt.

10. Geistiges Eigentum & Nutzungsrechte

Alle Rechte an Attenda verbleiben beim Anbieter bzw. seinen Lizenzgebern. Der Kunde erhält für die Vertragslaufzeit ein nicht exklusives, nicht übertragbares Nutzungsrecht gemäss Vertrag. Der Kunde darf keine Unterlizenzen vergeben. Feedback darf der Anbieter lizenzfrei für Produktverbesserungen nutzen (ohne Kundengeheimnisse offenzulegen).

11. Vertraulichkeit

Beide Parteien behandeln nicht öffentliche Informationen vertraulich, nutzen sie nur zur Vertragserfüllung und schützen sie angemessen. Gesetzliche Offenlegungspflichten bleiben vorbehalten.

12. Suspension & Notfallmassnahmen

Der Anbieter darf den Zugang vorübergehend sperren, soweit erforderlich, wenn (a) ein Sicherheitsrisiko besteht, (b) ein Rechtsverstoss vorliegt, (c) ein erheblicher Verstoss gegen Vertrag/ToU vorliegt oder (d) Zahlung nicht erfolgreich belastet werden kann oder ein Chargeback erfolgt.

13. Änderungen am Dienst & an Vertragsunterlagen

Der Anbieter darf den Dienst weiterentwickeln sowie Funktionen hinzufügen/ändern oder einstellen, sofern die Kernfunktionalität nicht wesentlich verschlechtert wird oder eine zumutbare Alternative bereitsteht. Wesentliche nachteilige Änderungen werden angemessen vorab kommuniziert.

Änderungen an MSA/ToU/DPA erfolgen mit Vorlauf von 30 Tagen; dem Kunden steht ein Sonderkündigungsrecht zum Wirksamwerden zu, sofern die Änderung ihn wesentlich nachteilig betrifft.

14. Gewährleistung, Entschädigungen & Haftung

Der Dienst wird nach dem Stand der Technik erbracht; der Anbieter behebt wesentliche Fehler in angemessener Frist oder stellt Workarounds bereit.

Haftungsbegrenzung: Die Gesamthaftung des Anbieters ist beschränkt auf die vom Kunden in den letzten 3 Monaten vor dem Schadensereignis bezahlten Gebühren. Ausgeschlossen sind indirekte Schäden, Folgeschäden, entgangener Gewinn und Datenverlust, ausser bei Vorsatz/grober Fahrlässigkeit oder zwingendem Recht.

15. Exportkontrolle & Compliance

Die Parteien beachten Exportkontroll-, Sanktions- und Antikorruptionsrecht. Keine Nutzung in verbotenen Sektoren/Regionen.

16. Audits & Nachweise (Datenschutz/Sicherheit)

Der Anbieter stellt angemessene Nachweise (z. B. Sicherheitskontroll-Nachweise, Pen-Test-Zusammenfassungen) oder Audit-Rechte gemäss DPA bereit, unter Wahrung der Sicherheit und Vertraulichkeit.

17. Kündigung & Folgen der Beendigung

Ordentliche Kündigung gemäss Ziff. 4. Ausserordentliche Kündigung aus wichtigem Grund möglich. Nach Vertragsende enden alle Zugriffe; Datenrückgabe/Löschung gemäss Ziff. 9 und DPA. Noch offene Gebühren sind fällig.

18. Rangfolge der Unterlagen

Rangfolge bei Widersprüchen: MSA > DPA > ToU > Bestellung/Offerte > Dokumentation/Policies.

19. Anwendbares Recht & Gerichtsstand

Es gilt schweizerisches Recht unter Ausschluss von IPRG und CISG. Ausschliesslicher Gerichtsstand ist Aarau (AG), Schweiz, sofern zwingendes Recht nichts anderes vorsieht.

20. Mitteilungen

Formungebundene Mitteilungen (Bsp. Email) an die im Vertrag/Bestellung benannten Kontakte.

21. Schlussbestimmungen

Salvatorische Klausel; Schriftformerfordernis für Änderungen/Verzichte; keine Nebenabreden. Abtretung nur mit Zustimmung der anderen Partei (ausser Konzernumstrukturierung). Unterauftragsverhältnisse gemäss Ziff. 7.