Nutzungsbedingungen

Die Nutzungsbedingungen gelten für Ihre Nutzung von fortControl.

1. Definitionen
1.1. Unter Security Management wird ein Instrument (Organisation, Prozesse, Technologie) zur Gewährleistung der Sicherheit im gewählten Themenbereich (z.B. Cybersicherheit) verstanden.
1.2. fortControl (nachfolgend: FORTCONTROL) ist ein von der FortIT AG betriebener Software-as- a-Service (SaaS), mittels welche ihre Kunden ihr Security Management in ausgewählten Themenbereichen durchführen oder unterstützen können.
1.3. Ein Nutzer ist eine natürliche Person, die auf FORTCONTROL zugreift und nutzt. Nutzer können Angestellte, Vertreter, Berater, Auftragnehmer oder Agenten des Kunden sein, die vom Kunden berechtigt sind, FORTCONTROL zu nutzen und denen zu diesem Zweck vom Kunden oder im Namen des Kunden Zugangsdaten zur Verfügung gestellt wurden.

2. Beschrieb des Service
2.1. Security Management ist ein essenzieller Teil des übergeordneten Risikomanagements eines Unternehmens oder einer Organisation. Ein wirksames Security Management System managt aktiv die Sicherheitsrisiken durch einen systematischen Ansatz zur Risikoidentifikation, - beurteilung, -kommunikation und -behandlung. Typische Beispiele von solchen risiko- basierten Managementsystemen sind Informationssicherheitsmanagement oder Business Continuity Management.
2.2. Gegenstand dieses Nutzungsvertrags ist die Nutzung der von FortIT bereitgestellten Softwareapplikation FORTCONTROL, wobei der Kunde im Sinne eines ‚Software-as-a-Service’ online über das Internet auf die Softwareapplikation zugreifen sowie die applikationsbezogenen Daten desKunden auf Servern von FortIT oder eines Service Providers von FortIT speichern lassen kann. Dieses Angebot von FortIT wird nachfolgend in seiner Gesamtheit als FORTCONTROL bezeichnet.
2.3.Die wechselseitig geschuldeten Leistungen in Bezug auf Bereitstellung und Nutzung von FORTCONTROL ergeben sich aus:
• diesem Nutzungsvertrag (inkl. Zusatz zur Auftragsdatenbearbeitung von FortIT);
• den Allgemeinen Geschäftsbedingungen der FortIT;
•  der gegengezeichneten Offerte resp. dem vom Kunden unterzeichneten Einzelvertrag, welcherauf diesen Nutzungsvertrag verweist;
• dem jeweils geltenden Funktionsbeschrieb für FORTCONTROL, welcher entweder dem Einzelvertrag beigefügt oder in der aktuell gültigen Fassung in FORTCONTROL resp. den Websites der FortIT abrufbar ist;
• den zusätzlichen Nutzer-Richtlinien (Acceptable Use Policy), welche zur Information der Nutzer direkt in FORTCONTROL abrufbar sind;
• Den zusätzlichen Nutzer-Datenschutzbestimmungen, welche zur Information der Nutzer direkt in FORTCONTROL abrufbar sind;
• den Allgemeinen Datenschutzbestimmungen von FortIT.
2.4. Sämtliche der vorgenannten Dokumente sind als integrierter Bestandteil dieser Vereinbarung zu verstehen. Der Begriff „Nutzungsvertrag“ umfasst deshalb neben diesem Vertrag auch sämtliche der obenaufgeführten Dokumente.

3. Umfang von FORTCONTROL
3.1. FORTCONTROL bietet Nutzern die Möglichkeit ein individuelles Security Management effizient aufzubauen und zu betreiben. Dies umfasst insbesondere folgende Leistungen (nicht abschliessend):
• Erfassung der Ziele, des Scope, der Stakeholder, der Aufgaben und Richtlinien des SecurityManagement.
• Systematische Erfassung der Schutzobjekte.
• Identifikation und Bewertung von Gefährdungen.
• Durchführung von Assessment zur Beurteilung der Maturität und der Risiken im Scope.
• Definition und Mapping von entsprechenden Massnahmen.
• Definition von Awareness Massnahmen.
• Durchführen resp. Erfassen von Audits.
3.2. Für allfällige Schäden, die im Rahmen des Security Managements auftreten, ist allein der Kunde verantwortlich. Ein zivil- oder strafrechtliches Vorgehen gegen FortIT ist in diesem Fall ausgeschlossen.
3.3. Während der Vertragsdauer darf der Kunde FORTCONTROL gemäss Funktionsbeschrieb und im durch diesen Nutzugsvertrag gesteckten Rahmen nutzen.
3.4. FortIT wird ihre Leistungen in guter Treu und mit der notwendigen Sorgfalt und in Übereinstimmung mit den gemeinhin anerkannten und üblichen Branchenstandards erbringen. Eine hundertprozentige Verfügbarkeit des applikatorischen Teils von FORTCONTROL und der für den Betrieb verwendeten Infrastruktur ist technisch allerdings nicht zu realisieren. FortIT bemüht sich jedoch auf einer ‚best effort’ Basis mit den ihrzur Verfügung stehenden Mitteln und im Rahmen der Wirtschaftlichkeit, FORTCONTROL in hohem Masse verfügbar zu halten. FortIT behält sich jedoch vor, wartungsbedingte Unterbrechungen von FORTCONTROL vorzunehmen und damit die Verfügbarkeit in Teilen oder insgesamt vorübergehend einzuschränken oder zu unterbrechen. FortIT ist bemüht, planbare Wartungsarbeiten nach Möglichkeit ausserhalb der Bürozeiten (sprich Montag bis Freitag in einem Fenster zwischen 20.00 bis 7.00 Uhr MEZ) oder an Wochenenden vorzunehmen und auch entsprechend anzukündigen. Unaufschiebbare Wartungsarbeiten können von FortIT demgegenüber jederzeit vorgenommen werden – auch solche Arbeitenwerden dem Kunden nach Möglichkeit im Vorfeld angekündigt.
3.5. Während der Vertragsdauer wird FortIT FORTCONTROL mit Blick auf die technischen und organisatorischen Rahmenbedingungen laufend aktuell und nützlich erhalten, kann aber nicht die Störungsfreiheit von FORTCONTROL garantieren. FortIT überwacht laufend die Funktionstüchtigkeit von FORTCONTROL und beseitigt im Rahmen der technischen Möglichkeiten allfällige selbst entdeckten oder vom Kunden gemeldete Störungen desBetriebes oder der Applikation auf einer ‚best effort’ Basis. Es steht FortIT dabei frei,Fehlfunktionen, welche die Nutzung respektive die Funktionalitäten von FORTCONTROL für den Kunden nicht massgeblich einschränken, nicht unmittelbar, sondern in einem der Folgereleases von FORTCONTROL zu adressieren.
3.6. Es besteht kein Anspruch einzelner Kunden auf eine bestimmte Ausgestaltung von FORTCONTROL oder auf die Beibehaltung von darüber zugänglichen Funktionen. FortIT hat zurWahrung des Qualitätsstandards, aber auch im Hinblick auf technische oder wirtschaftliche Entwicklungen, das Recht, FORTCONTROL sowie die darunter angebotenen Funktionalitäten und Inhalte jederzeit anzupassen.

4. Support
4.1. Für Auskünfte zur Benutzung von FORTCONTROL und zur Meldung allfälliger Störungen und Fehlfunktionen (Support) betreibt FortIT ein Helpdesk, welches der Kunde über Telefon (Hotline) sowie über E-Mail erreichen kann. Das Supportdesk steht dem Kunden Montag bis Freitag (gesetzliche Feiertage am Sitz von FortIT ausgenommen) zwischen 9.00 und 17.00 Uhr MEZ zur Verfügung. Die Zugangsnummer der Hotline wird dem Kunden separat mitgeteilt oder ist auf den Webseiten von FortIT bezeichnet.
4.2. Die Supportleistungen von FortIT sind auf die Diagnose und Analyse von gemeldeten Störungenoder Fehlfunktionen und deren Behebung respektive die Aufrechterhaltung der Verfügbarkeit von FORTCONTROL gerichtet. Weitere Leistungen wie z.B. Implementationssupport, Consulting, Umsetzung kundenspezifischer Wünsche sind nicht im Support enthalten.

5. Nutzungsrecht, Zugang und Immaterialgüterrechte
5.1. FortIT (a) überlässt dem Kunden einen definierten Speicherplatz auf einem von FortIT oder einemSubakkordanten betriebenen Cloudspeicher; (b) räumt dem Kunden das nicht ausschliessliche, auf die Vertragsdauer beschränkte, nicht übertragbare und nicht unterlizenzierbare Recht zurbestimmungsgemässen Nutzung von FORTCONTROL ein. Das vorgenannte Nutzungsrecht des Kunden steht unter Vorbehalt der zeitgerechten Bezahlung der anfallenden Nutzungsgebühren.
5.2. Das Nutzungsrecht umfasst das Recht, Nutzer mit Zugangsdaten auszustatten und ihnen die in FORTCONTROL vorgesehenen Rollen und Rechte einzuräumen (z.B. Kunden- Administratorenrechte,Leserechte etc.).
5.3. Der Kunde ist nicht berechtigt, FORTCONTROL insgesamt oder nur bezüglich gewisser Teilaspekte Dritten ausserhalb des eigenen Unternehmens entgeltlich oder unentgeltlich zur Verfügung zu stellen oder zugänglich zu machen.
5.4. Der Zugang zu FORTCONTROL erfolgt verschlüsselt über das Internet. Nutzer können vom Kunden in FORTCONTROL autorisiert und mit Rollen versehen werden.
5.5. Der Kunde verpflichtet sich dafür zu sorgen, dass die von ihm berechtigten Nutzer ihre Zugangsdaten keinen unbefugten Personen offenlegen und diese sorgfältig und vor Zugriff durch Dritte adäquatgeschützt aufbewahren.
5.6. FortIT lehnt jegliche Haftung für Schäden ab, die dem Kunden durch Missbrauch oder Verlust der den jeweiligen Nutzern überlassenen respektive von diesen selbst gewählten Zugangsdaten (z.B. Benutzeridentifikation, Passwort) entstehen.
5.7. Die Softwareapplikation, welche FORTCONTROL zugrunde liegt, ist urheberrechtlich geschützt. Sämtliche Rechte an dieser Softwareapplikation stehen FortIT selbst und/oder Vertragspartnern von FortIT zu.

6. Pflichten des Kunden
6.1. Der Kunde unterstützt FortIT bei der Vorbereitung und Erbringung ihrer Leistungen soweit zumutbar, erforderlich und zweckdienlich und stellt FortIT alle vernünftigerweise erforderlichen Leistungen, Informationen, Sachmittel und Rechte auf eigene Kosten und Gefahr zur Verfügung.
6.2. Der Kunde ist dafür verantwortlich, dass die auf seiner Seite erforderlichen technischen Voraussetzungenfür den Zugang zu FORTCONTROL bestehen und aufrechterhalten werden. Die technischenAnforderungen betreffend die Anbindung an und die Nutzung von FORTCONTROL richten sich nach denausgegebenen Systemanforderungen.

7. Pflicht zur Unterlassung von unzulässiger/Vermeidung von potenziell schädlicher Nutzung (Acceptable Use)
7.1. Der Kunde ist dafür verantwortlich, dass die Nutzung von FORTCONTROL durch die von ihm autorisierten Nutzer (a) nicht gegen die Bestimmungen dieses Nutzungsvertrags, Rechte Dritter (z. B.Urheberrechte, andere Immaterialgüterrechte, Forderungsrechte aller Art, Eigentumsrechte und sonstige dingliche Rechte sowie Persönlichkeitsrechte), gesetzliche Bestimmungen und/oder gegen die gutenSitten verstösst; (b) in keiner Art und Weise die Funktionsfähigkeit von FORTCONTROL und/oder der dahinterstehenden Infrastruktur negativ und zum Schaden von FortIT, anderer Anwender oder weitererDritter beeinträchtigt.
7.2. Der Kunde ist für den Inhalt der Informationen (Daten in jeglicher Form) verantwortlich, welche er respektive seine Nutzer in FORTCONTROL erfassen, speichern, übermitteln, bearbeitenund/oder bereitstellen.
7.3. Der Kunde ist verpflichtet dafür Sorge zu tragen, dass seine Nutzer Daten und Informationen vor der Übermittlung und Speicherung in FORTCONTROL auf Viren oder sonstige schädliche Softwareroutinen überprüfen und hierzu dem Stand der Technik entsprechende Schutzprogrammeverwenden.

8. Nutzung der Control-Sets
8.1. Beim Anwählen von vordefinierten Control-Sets, die auf urheberrechtlich geschützten Normen basieren, müssen die Nutzer in FORTCONTROL angeben, ob sie (resp. der Kunde) über eine Lizenzfür die jeweilige Norm verfügen.
8.2. Der Kunde gewährleistet, dass er im Rahmen dieses Services ausschliesslich diejenigen in FORTCONTROL verfügbaren Control-Sets verwendet, die entweder urheberrechtsfrei sind oder fürdie der Kunde selber über eine entsprechende Lizenz verfügt.

9. Generelle Handhabung von Daten
9.1. FortIT ist in Bezug auf die vom Kunden respektive dessen Nutzern auf FORTCONTROL abgelegten Daten verpflichtet, geeignete Vorkehrungen gegen Verlust, Kompromittierung und unbefugte Zugriffedurch Dritte zu treffen.
9.2. FortIT ist berechtigt, alle im Rahmen der Vertragsbeziehung in FORTCONTROL abgelegten Daten nach Ablauf von 90 Tagen ab Beendigung des Vertrags ohne vorherige Mahnung unwiderruflich zu löschen.
9.3. An den vom Kunden respektive seinen Nutzern in FORTCONTROL abgelegten Daten bleibt der Kunde allein berechtigt. Der Kunde kann daher von FortIT jederzeit (im Rahmen der Karenzfrist gemäss vorstehender Ziffer auch nach Beendigung des Vertrags) die Herausgabe einzelner oder sämtlicher Daten an sich selbst verlangen, soweit nicht bereits selber über das Nutzer-Frontend möglich. Die Herausgabe der Daten erfolgt mangels abweichender Abrede durch einen Datenbankexport.

10. Datenschutz und Auftragsbearbeitung
10.1. Die geltenden und jeweils anwendbaren Datenschutz- und Sicherheitsbestimmungen sind von beiden Parteien einzuhalten. Der Zusatz zur Auftragsdatenbearbeitung von FortIT gilt für die vertragliche Bearbeitung von Personendaten durch FortIT für den Kunden.
10.2. Der Kunde ist verantwortlich für alle allenfalls erforderlichen Mitteilungen, Zustimmungen und/oder Genehmigungen im Zusammenhang mit der Bereitstellung von Personendaten durch den Kunden und der Bearbeitung von Personendaten durch FortIT im Rahmen der Bereitstellung von FORTCONTROL.
10.3. Zur Abwicklung des Vertragsverhältnisses erfasst und bearbeitet FortIT die hierfür notwendigenAngaben über den Kunden und die von ihm autorisierten Nutzer (Kundenkennung, Nutzerangaben und Nutzungsdaten) als Verantwortlicher im Sinne der anwendbaren Datenschutzgesetze. FortIT behandelt diese Daten vertraulich.
10.4. FortIT ist berechtigt, die durch die Nutzung von FORTCONTROL durch den Kunden resp. seine Nutzer gewonnenen Daten (Tracking-Daten, Verhaltensmuster etc.) sowie die vom Kunden in FORTCONTROL gespeicherten Daten auszuwerten und zur Verbesserung der Plattform zu nutzen. FortIT kann diese Daten auch in aggregierter Form zur Erstellung von anonymen Profilen und Benchmark-Daten verwenden, die keine Identifizierung des Kunden oder derNutzer zulassen. Die anonymen Profile und Benchmark-Daten können für Vergleiche verwendet werden, die dem Kunden und Dritten (einschliesslich anderer Kunden von FortIT) zu Benchmark-, Informations- und Risikomanagementzwecken zur Verfügung gestellt werden können.
10.5. Darüber hinaus kann FortIT (i) statistische und andere Informationen in Bezug auf die Leistung, den Betrieb und die Nutzung von FORTCONTROL zusammenstellen und (ii) Daten aus FORTCONTROL inzusammengefasster Form für das Sicherheits- und Betriebsmanagement, zur Erstellung statistischer Analysen und für Forschungs- und Entwicklungszwecke verwenden (die Klauseln (i) und (ii) werden zusammen als "Dienstanalysen" bezeichnet). FortIT kann Dienstanalysen öffentlich zugänglich machen; Dienstanalysen werden jedoch keine vom Kunden hochgeladene Daten, Personendaten oder vertrauliche Informationen in einer Form enthalten, die zur Identifizierung des Kunden, der Nutzer oder anderer Personen dienen könnte. FortIT hält alle geistigen Eigentumsrechte an den Dienstanalysen.

11. Vertragsabschluss
11.1. Demozugang: Der Vertrag zwischen FortIT und dem Kunden kommt mit der Registrierung eines Accounts und der dabei erfolgten Annahme dieses Nutzungsvertrags zustande. Der Vertrag hatkeine Mindestlaufzeit.
11.2. Kostenpflichtiger Zugang: Der Vertrag zwischen FortIT und dem Kunden kommt mit der schriftlichen Annahme einer entsprechenden Offerte oder durch die Unterzeichnung eines separaten Vertrageszustande. Die Mindestlaufzeit wird im Vertrag oder der Offerte festgehalten.
11.3. Der Vertrag kann ohne Angabe von Gründen auf Ende der Laufzeit gekündigt werden.

12. Sistierung des Zuganges
12.1. FortIT behält sich das Recht vor, den Zugang zu FORTCONTROL gesamthaft oder für einzelne Nutzer ohne Vorankündigung zu sistieren oder auf bestimmte Funktionen einzuschränken, wenn
• der Kunde oder einzelne der von ihm autorisierte Nutzer wiederholt gegen diesen Nutzungsvertrag verstossen;
• aufgrund von Umständen, die in der Risikosphäre des Kunden liegen, der unbeeinträchtigte Betrieb von FORTCONTROL gefährdet wird;
• der Kunde mit der Bezahlung der anfallenden Gebühren in Verzug ist.
12.2. FortIT ist im Fall einer solchen Sistierung nicht verpflichtet, auf die Erhebung von Gebühren für die Zeit der Sistierung zu verzichten und haftet zudem generell nicht für die Folgen einer Sistierung.

13. Schlussbestimmungen
13.1. FortIT kann den vorliegenden Nutzungsvertrag ändern. Es gilt jeweils die online abrufbare Version des Nutzungsvertrags.