Auftragsverarbeitungsvertrag (AVV)

zwischen

ACTAN AG, Morgartenstrasse 9, 6003 Luzern, Schweiz (nachfolgend" Auftragsverarbeiter" oder "ACTAN")

und

Dem jeweiligen Nutzer des Dienstes „ACTAN SanctionsCheck“, der diesen Vertrag im Rahmen der Nutzung explizit akzeptiert (nachfolgend" Verantwortlicher" oder "Kunde")

1. Vertragsgegenstand und Geltungsbereich

Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Auftragsverarbeitung personenbezogener Daten gemäss Schweizer Datenschutzgesetz (DSG). ACTAN verarbeitet die vom Kunden hochgeladenen bzw. eingegebenen Personendaten ausschliesslich zur Durchführung automatisierter Sanktionslistenprüfungen im Rahmen des Online-Dienstes "ACTAN SanctionsCheck".

Die Verarbeitung erfolgt im Rahmen des Online-Dienstes ACTAN SanctionsCheck gemäss den aktuell gültigen Allgemeinen Geschäftsbedingungen(AGB) und der Datenschutzerklärung von ACTAN.

Dieser Vertrag betrifft ausschliesslich dieAuftragsverarbeitung im Rahmen des SanctionsCheck-Dienstes. Die Bereitstellungund Nutzung der Website www.actan.io unterliegt separaten Datenschutzregeln.

Die Speicherung und Verarbeitung von Account-, Vertrags- und Abrechnungsdaten (z. B. Benutzername, Abo-Typ, E-Mail, Rechnungsadresse) erfolgt durch ACTAN in eigener datenschutzrechtlicher Verantwortung und ist nicht Gegenstand dieses AVV.

2. Dauer der Verarbeitung

Die Verarbeitung beginnt mit dem erstmaligen Zugriff auf den Dienst durch den Kunden und endet mit dessen Einstellung der Nutzung oder Beendigung des Vertragsverhältnisses (z. B. Kündigung des Abos). Eine Speicherung der verarbeiteten Daten erfolgt nicht über die Dauer der Session hinaus.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschliesslich zum Zweck der Überprüfung von Kundendaten des Verantwortlichen gegen Sanktionslisten (z. B. SECO, OFAC), um regulatorische Anforderungen (u. a. FINMA 24h-Pflicht) zu erfüllen.

4. Art der verarbeiteten Daten

• Namen von natürlichen Personen
• Firmennamen von juristischen Personen
• Angaben zu wirtschaftlich Berechtigten (BO),Zeichnungsberechtigten (SIG), Bevollmächtigten (AUTH)
• Optional: interne Referenznummern oder Zusatzkennzeichen

Es werden keine besonderen Kategorien von Daten (z. B. Gesundheitsdaten)verarbeitet.

5. Kategorien betroffener Personen

• Kunden und Vertragspartner des Verantwortlichen
• Zeichnungsberechtigte, wirtschaftlich Berechtigte oder sonstige namentlich aufgeführte Personen im Zusammenhang mit Geschäftsbeziehungen.

6. Pflichtendes Auftragsverarbeiters (ACTAN)

ACTAN verpflichtet sich:

• die Daten ausschliesslich im Rahmen dieses AVV und gemäss Weisung des Kunden zu verarbeiten;
• Daten ausschliesslich im RAM (Arbeitsspeicher)und nicht persistent zu speichern;
• ausschliesslich ISO 27001-zertifizierteRechenzentren in der Schweiz zu verwenden;
• geeignete technische und organisatorische Massnahmen (TOM) gemäss DSG zu implementieren, insbesondere zur Sicherung gegen Verlust, Zugriff oder Veränderung;
• alle Mitarbeitenden zur Vertraulichkeit zu verpflichten;
• Subdienstleister nur mit vorheriger Information an den Kunden einzusetzen (aktuell: Microsoft Azure, Schweiz);
• Datenschutzverletzungen unverzüglich dem Kunden zu melden;
• bei Beendigung der Nutzung sicherzustellen, dass keine personenbezogenen Daten bei ACTAN verbleiben (keine Speicherung).

7. Rechte und Pflichten des Verantwortlichen

Der Kunde ist für die Rechtmässigkeit der Datenverarbeitung, für die Zulässigkeit der Übermittlung an ACTAN sowie für die Betroffenenrechte(z. B. Auskunft, Löschung) verantwortlich. Der Kunde entscheidet über den Zweck der Verarbeitung und trägt die alleinige Verantwortung für die Inhalte der eingegebenen Daten.

8. Technische und organisatorische Massnahmen (TOM)

ACTAN hat angemessene Schutzmassnahmen getroffen, darunter:

• Ende-zu-Ende-Verschlüsselung der Verbindung (TLS 1.3)
• Zugriffsschutz auf Serverinfrastruktur in Schweizer Rechenzentren (Microsoft Azure, ISO 27001-zertifiziert)
• rollenbasierte Zugriffskontrollen(Least-Privilege-Prinzip)
• Session-Löschung nach Inaktivität
• Protokollierung und kontinuierliches Monitoring sicherheitsrelevanter Systemereignisse

Aufbewahrung und Auditierbarkeit:

Technische Logdaten (z. B. Statuscodes, Session-IDs, Fehlercodes) werden für maximal 30 Tage aufbewahrt und danach automatisiert gelöscht.

Unabhängig davon archiviert ACTAN sämtliche Prüfprotokolleinklusive Hash-IDs, Zeitstempeln, Benutzerzuordnung und Abotyp für eine Dauer von 10 Jahren, um den regulatorischen Anforderungen an Revisionssicherheit, Nachvollziehbarkeit und Auditierbarkeit zu genügen (insb. gemäss Art. 958f OR, GwG und FINMA-RS 2016/7). Diese Daten werden verschlüsselt in Schweizer Rechenzentren gespeichert und ausschliesslich für Prüf-, Aufsichts- oder Nachweiszwecke verwendet. Die eigentlichen Prüfprotokolle mit personenbezogenen Angaben werden nicht gespeichert.

9. Subauftragsverhältnisse

Derzeit eingesetzte Subverarbeiter:

• Microsoft Azure, Schweiz (ISO27001-zertifiziert, Hosting-Infrastruktur)
• Twilio Inc., EU (ISO/IEC27001-zertifiziert, Versand von Benachrichtigungs-SMS)
• MailListener2 (Node.js), Schweiz/EU (nur zur automatisierten Verarbeitung von eingehenden SECO/OFAC-Meldungen via IMAP ohne persistente Speicherung)
• Webflow, Inc., USA (Hosting der Website; keine Verarbeitung von Kundendaten, lediglich Kommunikationsoberfläche)

ACTAN behält sich vor, diese Subverarbeiter jederzeit zu aktualisieren oder zu ersetzen, sofern die jeweiligen Anbieter nachweislich vergleichbare datenschutzrechtliche Standards (insbesondere ISO 27001 odergleichwertig) erfüllen und sich die Art der Datenverarbeitung nicht wesentlich ändert. Eine gesonderte Zustimmung des Kunden ist in diesen Fällen nicht erforderlich, mit Ausnahme wesentlicher Änderungen – insbesondere bei einer Verlagerung des Hosting-Standortes von Microsoft Azure aus der Schweiz heraus, welche ACTAN dem Kunden vorgängig schriftlich anzuzeigen hat.  Der Auftragsverarbeiter bleibt für die Einhaltung der Pflichten auch im Fall von Unterauftragsvergabe verantwortlich.

10. Nachweispflicht und Audit

ACTAN verpflichtet sich, dem Kunden auf Anfrage geeignete Nachweise zur Einhaltung der in diesem Vertrag festgelegten Datenschutzpflichten zur Verfügung zu stellen (z. B. technische und organisatorische Massnahmen, Subverarbeiter, Standortnachweise, ISO-Zertifizierungen).

Ein weitergehendes Kontrollrecht (z. B. Vor-Ort-Audit) besteht nur bei konkretem Anlass (z. B. nachgewiesene Datenschutzverletzung oder schwerwiegender Verdacht) und ist frühzeitig schriftlich anzukündigen. Der Kunde trägt dabei die entstehenden Mehrkosten.

ACTAN ist berechtigt, Informationen, die Betriebs- oder Geschäftsgeheimnisse betreffen, angemessen zu schwärzen oder zurückzuhalten.

11. Verhältnis zu anderen Dokumenten

Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen(AGB) und die Datenschutzerklärung von ACTAN. Im Widerspruchsfall gelten die Bestimmungen dieses AVV vorrangig in Bezug auf die Auftragsverarbeitung.

12. Änderungen

ACTAN behält sich vor, diesen Vertrag anzupassen, soweit dies aufgrund gesetzlicher Anforderungen, technischer Änderungen oderorganisatorischer Entwicklungen erforderlich ist. Wesentliche Änderungen (z. B. neue Unterauftragsverhältnisse, Standortverlagerung) werden dem Kunden mindestens 30Tage vor Inkrafttreten per E-Mail mitgeteilt. Sofern der Kunde nicht widerspricht, gilt die Änderung als genehmigt. Im Fall eines begründeten Widerspruchs endet das Vertragsverhältnis automatisch zum Inkrafttreten der Änderung.

13. Schlussbestimmungen

Die Verarbeitung von Account-, Abrechnungs- und Login-Daten(z. B. E-Mail, Abo-Typ, Rechnungsadresse) erfolgt durch ACTAN als eigener Verantwortlicher i. S. des DSG und ist nicht Gegenstand dieses AVV.

Dieser AVV ist integraler Bestandteil der Nutzung von ACTAN SanctionsCheck und gilt mit der Annahme der AGB und des AVV (z. B. durch ausdrückliche Zustimmung im Rahmen der Online-Registrierung oder Bestätigung per E-Mail) als angenommen.

Der Kunde bestätigt die Kenntnisnahme und Zustimmung zu diesem Vertrag im Rahmen der Online-Registrierung oder bei erstmaliger Nutzung des Dienstes. Die jeweils gültige Version wird dem Kunden vor Nutzung zur Verfügung gestellt und ist unter www.actan.io/avvabrufbar.

Gerichtsstand ist Luzern. Es gilt ausschliesslich Schweizer Recht.

AVV – Änderungshistorie