Allgemeine Geschäftsbedingungen (AGB)

Diese AGB regeln die Nutzung des sicheren Dateitransfer-Dienstes VaultDrop durch Unternehmen und Einzelpersonen. Abweichende Bedingungen gelten nur, wenn sie schriftlich vereinbart wurden.

VaultDrop ist ein Dienst von Moritz Lauper, Zürich, Schweiz. VaultDrop läuft auf der gleichen Infrastruktur wie Formsly und wird vom selben Anbieter betrieben.

Version AGB: agb-vd-v2026-05-01

VaultDrop stellt einen sicheren, verschlüsselten Dateitransfer-Dienst bereit. Die gesamte Infrastruktur wird auf dedizierten Servern in der Schweiz (Zürich) betrieben. Funktionsumfang und Speicherlimits richten sich nach dem gewählten Tarif.

Sicherer Dateitransfer: Nutzer können Dateien verschlüsselt an beliebige Empfänger senden oder Empfänger via Upload-Link zum Hochladen einladen. Transfers werden automatisch nach der konfigurierten Frist (7–30 Tage je nach Tarif) automatisch und unwiderruflich gelöscht — einschliesslich aller Dateien, Metadaten und Verschlüsselungsschlüssel.

Geografische Verfügbarkeit: VaultDrop ist aufgrund internationaler Sanktionen und gesetzlicher Anforderungen in bestimmten Ländern nicht verfügbar. Zugriffe aus Ländern, die unter gültige SECO-, UN- oder EU-Sanktionen fallen (u. a. Russland, Belarus, Nordkorea, Iran, Syrien, Myanmar, Kuba, Sudan, Jemen), werden technisch blockiert. Die Liste der gesperrten Länder kann sich in Übereinstimmung mit der aktuellen Sanktionslage ändern.

Der Vertrag kommt mit Registrierung und Bestätigung zustande. Zugangsdaten sind vertraulich zu behandeln. Der Kunde ist für alle Aktivitäten über sein Konto verantwortlich.

Kommunikation: Der Versand systemrelevanter Benachrichtigungen (z. B. Transfer abgerufen, Upload empfangen) sowie produktbezogener Onboarding-E-Mails ist Teil der Dienstleistung von VaultDrop. Nicht systemrelevante E-Mails können jederzeit über den Abmeldelink deaktiviert werden.

- Rechtmässige Nutzung des Dienstes

- Keine Übermittlung rechtswidriger Inhalte oder Dateien

- Einhaltung aller Datenschutzpflichten gegenüber Empfängern und Absender

- Pflege korrekter Kontakt- und Rechnungsdaten

VaultDrop setzt serverseitige Verschlüsselung (AES-256-GCM) für alle gespeicherten Dateien und Metadaten ein. Für erhöhte Vertraulichkeitsanforderungen steht eine Ende-zu-Ende-Verschlüsselung (E2EE) zur Verfügung.

Ende-zu-Ende-Verschlüsselung (E2EE) für Dateitransfers

Bei aktivierter E2EE werden Dateien bereits im Browser des Absenders mittels ECIES (P-256) und AES-256-GCM verschlüsselt. VaultDrop hat zu keinem Zeitpunkt Zugriff auf den Klartext der übertragenen Dateien.

Automatische Löschung

Alle hochgeladenen Dateien werden nach Ablauf der konfigurierten Frist (7–30 Tageje nach Tarif) automatisch und unwiderruflich gelöscht — einschliesslich aller Dateien, Metadaten, Verschlüsselungsschlüssel und Zugriffsprotokolle. Eine Wiederherstellung ist technisch nicht möglich.

Für Kundenkonten steht Zwei-Faktor-Authentifizierung (2FA) via Passkey (WebAuthn/FIDO2) oder Authenticator-App zur Verfügung.

Der Kunde bleibt datenschutzrechtlich Verantwortlicher für die durch ihn übertragenen Daten und Dateien, insbesondere für Informationspflichten, Einwilligungen, Zugriffsberechtigungen und die Wahrung von Betroffenenrechten. VaultDrop stellt hierzu technische und organisatorische Massnahmen (TOMs) bereit, darunter verschlüsselte Datenverarbeitung, Swiss Hosting und automatische Löschfristen.

Die Übertragung besonders schützenswerter Personendaten im Sinne von Art. 5 lit. c DSG (insbesondere Gesundheitsdaten, biometrische und genetische Daten) über VaultDrop ist nicht gestattet.

Kostenpflichtige Tarife (Pro, Business) werden gemäss Preisseite monatlich oder jährlich abgerechnet. Zahlungen erfolgen über Stripe. Bei Zahlungsverzug kann der Zugriff eingeschränkt werden.

Kostenpflichtige Tarife laufen gemäss gebuchter Abrechnungsperiode und verlängern sich automatisch, sofern nicht fristgerecht über das Kundenportal gekündigt wird.

Der kostenlose Starter-Tarif umfasst 1 aktiven Transfer und 2 GB Gesamtspeicher. Kostenpflichtige Tarife beinhalten unbegrenzte Transfers sowie erweiterte Speicher- und Verschlüsselungsoptionen.

VaultDrop bemüht sich um hohe Verfügbarkeit, schuldet jedoch keine unterbrechungsfreie Nutzung. Wartungsfenster und sicherheitsbedingte Einschränkungen bleiben vorbehalten. Infrastruktur-Backups werden täglich erstellt, verschlüsselt aufbewahrt und nach 30 Tagen automatisch gelöscht.

Soweit VaultDrop personenbezogene Daten im Auftrag verarbeitet, gilt der Auftragsbearbeitungsvertrag (AVV/DPA). Der Kunde bleibt Verantwortlicher für die durch ihn übertragenen Daten und Dateien.

9.1 Grundsatz. VaultDrop haftet dem Kunden für Schäden, die sie ihm in Erfüllung dieses Vertrages durch Vorsatz oder grobe Fahrlässigkeit zufügt, im gesetzlichen Umfang. Für Personenschäden haftet VaultDrop nach den gesetzlichen Bestimmungen.

9.2 Leichte Fahrlässigkeit – Haftungsbegrenzung.Bei leichter Fahrlässigkeit haftet VaultDrop ausschliesslich für den unmittelbaren, vertragstypischen und im Zeitpunkt des Vertragsschlusses für VaultDrop vorhersehbaren Schaden. Die Gesamthaftung pro Schadenfall und pro Vertragsjahr ist begrenzt auf den Betrag, den der Kunde VaultDrop in den zwölf (12) Monaten vor dem schadensauslösenden Ereignis tatsächlich bezahlt hat, höchstens jedoch CHF 10'000.

9.3 Ausschluss indirekter und mittelbarer Schäden. Soweit gesetzlich zulässig (Art. 100 OR) ist die Haftung von VaultDrop für mittelbare Schäden, Folgeschäden, entgangenen Gewinn, ausgebliebene Einsparungen, Reputationsschäden, Datenverlustfolgekosten, Geschäftsunterbrechungsschäden, Ansprüche Dritter gegen den Kunden und reine Vermögensschäden ausgeschlossen. Dies gilt nicht bei Vorsatz oder grober Fahrlässigkeit von VaultDrop.

9.4 Hilfspersonen / Sub-Auftragsbearbeiter. Die Haftung von VaultDrop für Hilfspersonen und Sub-Auftragsbearbeiter (insbesondere Exoscale AG, Infomaniak Network SA, Stripe Payments Europe Ltd.) ist – soweit nach Art. 101 Abs. 2 und 3 OR zulässig – auf Vorsatz und grobe Fahrlässigkeit von VaultDrop bei deren Auswahl und Instruktion beschränkt.

9.5 Datenverlust durch automatische Löschung. VaultDrop weist den Kunden ausdrücklich darauf hin, dass aufgrund der konfigurierten Löschfristen (7–30 Tage je nach Tarif) alle Transferdateien automatisch und unwiderruflich gelöscht werden. VaultDrop haftet nicht für Datenverluste, die auf den Ablauf der regulären Löschfrist zurückzuführen sind. Bei aktivierter E2EE ist VaultDrop technisch nicht in der Lage, auf den Inhalt der übertragenen Dateien zuzugreifen; VaultDrop haftet nicht für Datenverluste infolge verlorener Verschlüsselungsschlüssel.

9.6 Verfügbarkeit / SLA-Disclaimer. VaultDrop bemüht sich um eine Verfügbarkeit des Dienstes von mindestens 99,5 % im Monatsmittel, gibt diese jedoch nicht als zugesicherte Eigenschaft. Geplante Wartungsfenster sowie Unterbrüche aufgrund höherer Gewalt, Cyberangriffen und unvorhersehbarer technischer Störungen werden bei der Berechnung nicht berücksichtigt.

9.7 Ausschlussfrist. Schadenersatzansprüche gegen VaultDrop sind innerhalb von zwölf (12) Monaten nach Kenntnis des Schadens und des Schädigers, spätestens aber innerhalb von drei (3) Jahren nach dem schadensauslösenden Ereignis schriftlich geltend zu machen, ansonsten verwirken sie. Die gesetzliche Verjährung bleibt vorbehalten, soweit sie zwingend ist.

10.1 Datenschutz-Verantwortlicher. Der Kunde ist und bleibt Verantwortlicher im Sinne von Art. 5 lit. j revDSG für sämtliche von ihm über VaultDrop übertragenen Personendaten. Er ist verpflichtet, alle datenschutzrechtlichen Pflichten gegenüber den betroffenen Personen einzuhalten, insbesondere die Informations- (Art. 19 revDSG), Auskunfts- (Art. 25 revDSG) und Meldepflichten (Art. 24 revDSG).

10.2 Authentifizierungsmittel. Der Kunde ist verpflichtet, (a) für sein Benutzerkonto die angebotene Zwei-Faktor-Authentifizierung (WebAuthn/FIDO2 oder Authenticator-App) zu aktivieren; (b) Recovery-Codes auszudrucken und an einem sicheren Ort aufzubewahren; (c) Zugangsdaten unverzüglich zu ändern, wenn der Verdacht eines unbefugten Zugriffs besteht.

10.3 Inhalte und Rechtmässigkeit. Der Kunde stellt sicher, dass die über VaultDrop übertragenen Dateien und Daten rechtmässig sind und keine Rechte Dritter (insbesondere Urheber-, Persönlichkeits-, Marken- und Datenschutzrechte) verletzen. Er holt erforderlichenfalls die Einwilligungen der betroffenen Personen ein.

10.4 Schadenmeldung und Mitwirkung. Der Kunde meldet Sicherheitsvorfälle und Mängel unverzüglich nach Kenntnisnahme an security@vaultdrop.ch und unterstützt VaultDrop bei der Schadenanalyse und -behebung in zumutbarem Umfang.

11.1 Inhalte des Kunden. Der Kunde stellt VaultDrop von allen Ansprüchen Dritter frei, die aus den vom Kunden über VaultDrop übertragenen oder bereitgestellten Daten und Dateien resultieren, insbesondere aus Verletzungen von Urheber-, Persönlichkeits-, Datenschutz-, Wettbewerbs- oder Markenrechten. Die Freistellung umfasst angemessene Anwalts- und Gerichtskosten sowie behördliche Bussen, soweit diese auf einem Fehlverhalten des Kunden beruhen.

11.2 Verfahrensrechte. VaultDrop informiert den Kunden unverzüglich über entsprechende Ansprüche, überlässt ihm in zumutbarem Umfang die Verteidigung und schliesst keinen Vergleich ohne vorherige Zustimmung des Kunden ab, sofern dieser die Freistellung anerkennt.

VaultDrop haftet nicht für die Nichterfüllung oder verzögerte Erfüllung ihrer vertraglichen Pflichten, wenn diese auf Ereignisse höherer Gewalt zurückzuführen ist. Als höhere Gewalt gelten unvorhersehbare, ausserhalb des Einflussbereichs von VaultDrop liegende und mit zumutbaren Massnahmen nicht abwendbare Ereignisse, insbesondere: Naturkatastrophen, Pandemien, Krieg, Terroranschläge, behördliche Anordnungen, grossflächige Internet- oder Stromausfälle, DDoS-Angriffe ungewöhnlichen Ausmasses, Ausfälle wesentlicher Sub-Auftragsbearbeiter (insb. Exoscale, Infomaniak, Stripe), sofern VaultDrop hierfür nicht selbst einzustehen hat. Dauert das Ereignis länger als 30 Tage, kann jede Partei den Vertrag ausserordentlich kündigen.

13.1 Auftragsbearbeitung. Soweit VaultDrop im Rahmen der Dienstleistungserbringung Personendaten bearbeitet, die der Kunde über den Dienst überträgt oder verarbeitet, erfolgt dies ausschliesslich als Auftragsbearbeiterin im Sinne von Art. 9 revDSG im Auftrag und nach Weisung des Kunden.

13.2 Sub-Auftragsbearbeiter (allgemeine Genehmigung). Der Kunde erteilt VaultDrop hiermit die allgemeine Genehmigung im Sinne von Art. 9 Abs. 3 revDSG zum Beizug folgender Sub-Auftragsbearbeiter: (a) Exoscale AG, Lausanne (Hosting/Storage, CH); (b) Infomaniak Network SA, Genf (E-Mail/SMTP, CH); (c) Stripe Payments Europe Ltd., Dublin (Zahlungsabwicklung, IRL/EU). VaultDrop informiert den Kunden mindestens 30 Tage im Voraus per E-Mail über beabsichtigte Änderungen. Der Kunde kann der Änderung innert 30 Tagen aus wichtigen datenschutzrechtlichen Gründen widersprechen; im Konfliktfall steht beiden Parteien ein ausserordentliches Kündigungsrecht zu.

13.3 TOMs. VaultDrop trifft die in Ziff. 5 beschriebenen technischen und organisatorischen Massnahmen zur Datensicherheit nach Art. 8 revDSG. Diese werden regelmässig überprüft und an den Stand der Technik angepasst.

13.4 Verletzung der Datensicherheit. Erkennt VaultDrop eine Verletzung der Datensicherheit, informiert sie den Kunden unverzüglich, in der Regel innert 48 Stunden, und unterstützt ihn bei seinen eigenen Meldepflichten nach Art. 24 revDSG.

Sollte eine Bestimmung dieser AGB ganz oder teilweise unwirksam oder undurchsetzbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Eine unwirksame Klausel wird durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Klausel im gesetzlich zulässigen Rahmen am nächsten kommt.

VaultDrop behält sich das Recht vor, Abonnements jederzeit mit einer Frist von 30 Tagen ordentlich zu kündigen. Innerhalb dieser Frist können Kunden ihre Dateien herunterladen. Nach Ablauf der Frist werden das Konto und alle zugehörigen Daten unwiderruflich gelöscht. Bei ordentlicher Kündigung durch VaultDrop wird dem Kunden der anteilige Betrag für die verbleibende, bereits bezahlte Vertragslaufzeit zurückerstattet.

Kostenpflichtige Tarife laufen gemäss gebuchter Abrechnungsperiode und verlängern sich automatisch, sofern nicht fristgerecht über das Kundenportal gekündigt wird.

VaultDrop behält sich das Recht vor, diese AGB jederzeit zu ändern. Die aktuelle Fassung ist unter vaultdrop.ch/agb abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer vorab per E-Mail informiert.

Es gilt schweizerisches Recht unter Ausschluss kollisionsrechtlicher Normen. Zwingende Verbraucherschutzrechte bleiben unberührt. Gerichtsstand ist Zürich, Schweiz, sofern gesetzlich zulässig.