Data Sharing Agreement (B2B-Daten-Freigabe-Vertrag) nach nDSG + EU Data Act

DATA SHARING AGREEMENT (DATEN-FREIGABE-VERTRAG)

Inter-company B2b-datenfreigabe — Ndsg + EU Data Act 2023/2854 (Anwendbar 12.9.2025)

Zwischen den vorgenannten Parteien wird ein Data Sharing Agreement zur Freigabe und gemeinsamen Nutzung eines genau bezeichneten Daten-Sets unter den nachfolgend festgelegten Bedingungen geschlossen. Anwendbar sind das nDSG (soweit personenbezogene Daten betroffen), die EU Data Act (Verordnung 2023/2854, anwendbar seit 12.9.2025, extraterritorial auf CH-Unternehmen mit EU-Bezug), das UWG (Geschäftsgeheimnis-Schutz) sowie die allgemeinen Bestimmungen des Obligationenrechts.

(a) Daten-Set: Anonymisierte Mobility-Insights-Daten von 80'000 mobilen Endgeräten in der Schweiz, aggregiert pro Postleitzahl-Region und Tageszeit-Slot, zur Risiko-Bewertung im Auto-Versicherungs-Underwriting.

(b) Datenarten: • Aggregierte Bewegungs-Muster pro PLZ-Region (Stunden-Granularität)
• Tageszeit-Verteilung der Verkehrs-Dichte
• Saisonale Verkehrs-Patterns
• Verkehrs-Mittel-Mix (Auto vs. ÖV vs. Fuss/Velo aggregiert)
• KEINE individuellen Trajectories, KEINE Personen-IDs

(c) Daten-Volumen: Initial-Dataset 250 GB Parquet; monatliche Updates ~30 GB; Historie 5 Jahre.

(d) Daten-Quelle: SwissCom-eigene Mobilfunk-Netz-Daten (Cell-Tower-Aggregate); Einwilligung der Endkunden im SwissCom-Vertrag eingeholt; vorgängige k-Anonymisierung k≥10. Der Daten-Geber bestätigt, über die zur Daten-Freigabe erforderlichen Rechte zu verfügen, insbesondere bei personenbezogenen Daten über die nötigen Rechtsgrundlagen (Einwilligung, berechtigtes Interesse, Vertragserfüllung nach nDSG Art. 6 / DSGVO Art. 6).

(a) Zweck: Risiko-Modellierung und Tarif-Pricing für Auto-Versicherungs-Produkte der Helvetia; insbesondere PHYD-Tarife (Pay How You Drive) und regionale Risiko-Klassen-Bewertung. Der Daten-Empfänger verpflichtet sich, die Daten ausschliesslich für den vereinbarten Zweck zu verwenden. Eine Zweck-Erweiterung bedarf einer schriftlichen Ergänzungs-Vereinbarung. Beachte: Die Klausel "alle Zwecke" oder "uneingeschränkte Nutzung" wäre unter EU Data Act unwirksam (Art. 13).

(b) Lizenz-Modus: Nicht-exklusive Nutzungs-Lizenz: Der Daten-Geber gewährt dem Daten-Empfänger eine nicht-exklusive, nicht-übertragbare Nutzungs-Lizenz im Rahmen des oben definierten Zwecks. Der Daten-Geber bleibt frei, vergleichbare Lizenzen an Dritte zu erteilen.

(c) Dauer: Die Freigabe gilt für die Dauer von 3 Jahre fest, danach jährliche stillschweigende Verlängerung; Kündigung 6 Monate auf Jahresende. Nach Beendigung — gleich aus welchem Grund — erlischt die Lizenz; der Daten-Empfänger gibt sämtliche Daten zurück oder löscht sie nachweisbar.

(a) Verschlüsselung in transit: TLS 1.3 erzwungen für sämtliche Datenübermittlungen.

(b) Verschlüsselung at rest: AES-256 (oder gleichwertig) für gespeicherte Daten.

(c) Weitere TOM: • TLS 1.3 für API-Übermittlungen; SFTP mit SSH-Key für Bulk-Dateien
• AES-256 für gespeicherte Daten in Azure Switzerland North
• Multi-Faktor-Authentisierung für sämtliche Zugriffe
• Zugriffs-Logs 24 Monate aufbewahrt
• Quartärliche Penetration-Tests
• Datenpannen-Meldung an Daten-Geber binnen 12 Stunden

(d) Vertraulichkeit: Der Daten-Empfänger verpflichtet sich, die Daten vertraulich zu behandeln und gegen unbefugten Zugriff zu schützen. Geheimnis-Verletzung kann nach UWG Art. 6 + 23 mit Busse bis CHF 100'000 und Schadenersatz geahndet werden.

(a) Ordentliche Beendigung: Beide Parteien können den Vertrag mit einer Frist von 30 Tagen auf das Ende eines Kalendermonats kündigen, sofern keine längere Mindestlaufzeit vereinbart ist.

(b) Ausserordentliche Beendigung: Bei schwerer Pflichtverletzung (insbesondere Zweck-Verstoss, Sicherheits-Verletzung, Wiederholungs-Fall trotz Mahnung) kann jede Partei den Vertrag fristlos kündigen.

(c) Daten-Rückgabe und -löschung: Innerhalb 30 Tagen nach Beendigung gibt der Daten-Empfänger sämtliche Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON/CSV/Parquet) an den Daten-Geber zurück und löscht sie aus seinen Systemen vollständig (inkl. Backups innerhalb der nächsten Rotation, max 90 Tage). Eine schriftliche Lösch-Bestätigung wird dem Daten-Geber innerhalb 60 Tagen zugestellt.

(d) Überdauernde Pflichten: Vertraulichkeit, Re-Identifikations-Verbot (siehe Expert) und Konventionalstrafe-Klauseln bleiben über die Vertrags-Beendigung hinaus für mindestens 5 Jahre wirksam.

EU Data Act (Verordnung 2023/2854 — anwendbar seit 12.9.2025): Sofern der Daten-Geber als "Data Holder" von vernetzten Produkten oder Diensten qualifiziert, gewährt er dem Daten-Empfänger (als "Data Recipient") den Zugang zu den B2B-Daten gemäss Art. 4-5 EU Data Act (Daten-Portabilität-Pflicht), unter Beachtung der folgenden Anforderungen:
• Standardisierte Formate: maschinenlesbar, allgemein gebräuchlich (JSON, CSV, Parquet oder branchenüblich);
• Interoperabilität: Open Standards bevorzugt; semantische Metadaten als JSON-LD;
• Faire FRAND-Konditionen: Fair, Reasonable and Non-Discriminatory — Kosten-Erstattung nur in Höhe der notwendigen Bereitstellungs-Kosten;
• Bandbreite und Latenz: angemessen für den vereinbarten Zweck;
• Verbot wettbewerbsbeschränkender Klauseln: Klauseln, die dem Daten-Empfänger nachgelagerte Wettbewerber-Tätigkeit verbieten, sind unwirksam (Art. 13 Data Act).

Anonymisierungs-Standard (NIST/EDÖB): Sofern das Daten-Set personenbezogene Daten enthält, werden diese vor Übermittlung anonymisiert nach folgendem Standard:
• k-Anonymität (Sweeney 2002): k ≥ 10 — jede Kombination der identifizierenden Quasi-Identifier kommt bei mindestens k Datensätzen vor;
• l-Diversität (Machanavajjhala 2007): pro k-Anonymity-Klasse mindestens l (typisch 3) unterschiedliche Werte für sensible Felder, um Hintergrund-Wissen-Angriffe zu erschweren;
• Differential Privacy (Dwork 2006): für statistische Aggregate wird ein Privacy-Budget von ε ≤ 0.5 verwendet; Noise wird gemäss Laplace-Mechanismus eingefügt;
• Re-Identifikations-Risiko-Management: Vor Übermittlung wird das Re-Identifikations-Risiko quantitativ bewertet (z.B. ARX Anonymization Tool); Ergebnis dokumentiert; Risiko ≤ 5% für Konsumenten-Use-Cases, ≤ 1% für sensible Daten.

(a) Re-Identifikations-Verbot: Der Daten-Empfänger verpflichtet sich, keinerlei Versuche zur Re-Identifikation der in anonymisierten Daten enthaltenen Personen oder Entitäten zu unternehmen. Insbesondere untersagt sind: (i) Verknüpfung mit anderen Datenquellen zur Identifikation; (ii) Anwendung von Re-Identifikations-Algorithmen; (iii) Anfrage an Dritte zur Identifikation; (iv) Veröffentlichung von Daten-Auszügen, die eine Re-Identifikation ermöglichen.

(b) Konventionalstrafe: Bei Verstoss gegen das Re-Identifikations-Verbot schuldet der Daten-Empfänger dem Daten-Geber 500'000.00 CHF (OR Art. 160). Die Konventionalstrafe ist kumulativ zu Schadenersatz; das Gericht kann übermässig hohe Strafe herabsetzen (OR Art. 163 Abs. 3).

(c) Daten-Rückgabe-Pflicht: Bei festgestelltem Verstoss ist der Daten-Empfänger verpflichtet, sämtliche Daten unverzüglich zurückzugeben und aus seinen Systemen zu löschen. Eine Wieder-Lizenzierung an den Daten-Empfänger ist für 24 Monate ausgeschlossen.

(d) Meldepflichten an Behörden: Bei nachgewiesener Re-Identifikation personenbezogener Daten erfolgt eine Datenpannen-Meldung an den EDÖB binnen 72 Stunden (nDSG Art. 24); bei betroffenen EU-Personen zusätzlich an die zuständige EU-Aufsichts-Behörde.

Audit-Recht des Daten-Gebers: Der Daten-Geber ist berechtigt, jährlich oder anlassbezogen ein Audit beim Daten-Empfänger durchzuführen, um die Einhaltung des Re-Identifikations-Verbots zu überprüfen. Pre-Audit-Notice 30 Tage; Kosten je Partei; Audit-Bericht vertraulich. Bei festgestellten Verstössen erfolgt die Anwendung der Konventionalstrafe + Schadenersatz.

Daten-Qualitäts-Standards: Vollständigkeit ≥ 99%; Aktualität max 7 Tage zum Übermittlungs-Zeitpunkt; Genauigkeit ≥ 99.5% (verifiziert durch Cross-Validation gegen unabhängige Verkehrs-Zähl-Daten); Konsistenz: einheitliches Schema mit JSON Schema validiert

Update-Mechanik: Inkrementelle Tages-Updates über REST API; Vollständig-Snapshot monatlich über SFTP; Korrektur-Mechanismus binnen 3 Werktagen bei Datenqualitäts-Beanstandung

API-Standard: REST-API mit OpenAPI 3.x Specification; HTTP/2; OAuth 2.0 Authentisierung. Versionierung über Semantic Versioning (vMAJOR.MINOR.PATCH); Backward-Compatibility innerhalb Major-Version garantiert für mind. 12 Monate. Deprecation-Notice 6 Monate vor Breaking Changes.

Format-Standards: API: JSON mit OpenAPI 3.1 Spec; Bulk: Apache Parquet (Snappy-komprimiert) + JSON Schema; Datumsformat ISO 8601 UTC; Geo-Koordinaten WGS 84

(a) Anwendbares Recht: Schweizerisches Recht (OR, nDSG, UWG), unter Beachtung des EU Data Act (extraterritoriale Wirkung bei EU-Bezug).

(b) Gerichtsstand: Gericht Zürich. Bei Datenschutz-Beschwerden betroffener Personen besteht Wahl-Gerichtsstand am eigenen Wohnsitz (nDSG Art. 32 Abs. 2).

(c) Schriftform: Änderungen und Ergänzungen bedürfen der Schriftform (OR Art. 11 ff.); qualifizierte elektronische Signatur (ZertES) gleichgestellt.

(d) Vorrang zwingenden Rechts: Bestimmungen des nDSG, UWG, EU Data Act sowie EU AI Act (soweit anwendbar) gehen vertraglichen Vereinbarungen vor.

(e) Salvatorische Klausel: Unwirksamkeit einzelner Bestimmungen lässt die übrigen unberührt; unwirksame Bestimmungen werden durch wirksame Regelungen ersetzt, die dem wirtschaftlich Gewollten möglichst nahekommen.

(f) Ausfertigung: Zwei gleichlautende Ausfertigungen; jede Partei erhält ein unterzeichnetes Exemplar.

Ort und Datum: Zürich, 20. Juni 2026

ZU URKUND DESSEN haben die Parteien diese Vereinbarung am angegebenen Datum unterzeichnet.