1. Parteien, Rollen und Geltungsbereich

Dieser Auftragsverarbeitungsvertrag (AVV) gilt zwischen der ACTAN AG, Morgartenstrasse 9, 6003 Luzern, Schweiz (nachfolgend "ACTAN") und dem jeweiligen ACTAN-Kunden, der ACTAN SanctionsCheck nutzt oder bestellt.

Im Direktkundenmodell ist der Direktkunde Verantwortlicher im Sinne des Schweizer Datenschutzgesetzes (DSG). ACTAN bearbeitet die Prüfdaten in diesem Fall als Auftragsverarbeiter des Direktkunden.

Im Service-Provider-Modell ist der Mandant des Service Providers, soweit anwendbar, Verantwortlicher. Der Service Provider bearbeitet die Daten seines Mandanten im Auftrag dieses Mandanten. Soweit der Service Provider ACTAN SanctionsCheck hierfür einsetzt, handelt ACTAN als Unter-Auftragsverarbeiter des Service Providers.

Account-, Vertrags-, Abrechnungs- und bestimmte Systemverwaltungsdaten bearbeitet ACTAN in eigener datenschutzrechtlicher Verantwortung. Diese Bearbeitung ist nicht Gegenstand dieses AVV und wird in der Datenschutzerklärung beschrieben.

2. Begriffe

Die Begriffe Direktkunde, Service Provider, Mandant eines Service Providers, Prüfdaten, PDF-Prüfprotokoll, technische Verifizierungsreferenzen, Aktivitätsdaten und Versanddaten haben die in den Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung festgelegte Bedeutung.

Soweit dieser AVV von "Kunde" spricht, ist je nach Nutzungsmodell entweder der Direktkunde oder der Service Provider als ACTAN-Kunde gemeint.

Prüfdaten sind die vom Kunden eingegebenen, hochgeladenen oder über den lokal installierten Agent übermittelten Inhaltsdaten, die für die Sanktionsprüfung verwendet werden. Das PDF-Prüfprotokoll ist das vom System erzeugte Ergebnisdokument mit Klarnamen und Prüfinformationen. Technische Verifizierungsreferenzen sind technische Nachweisdaten wie Protokoll-ID, Hash-Wert, Zeitstempel und Statusinformationen, die eine spätere Integritätsprüfung ermöglichen.

3. Vertragsgegenstand und Zweck der Bearbeitung

Dieser AVV regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Bearbeitung von Personendaten im Rahmen von ACTAN SanctionsCheck.

ACTAN bearbeitet Prüfdaten ausschliesslich zur Durchführung automatisierter Sanktionsprüfungen gegen Sanktionslisten, insbesondere SECO und OFAC sowie zur technischen Bereitstellung der damit zusammenhängenden Nachweis- und Verifizierungsfunktionen.

Dieser AVV betrifft ausschliesslich die Bearbeitung im Auftrag im Rahmen von ACTAN SanctionsCheck. Die öffentlich zugängliche Website actan.io und allgemeine Website-Interaktionen unterliegen separaten Datenschutzregeln.

4. Besondere Bestimmungen für Service Provider

Nutzt ein Service Provider ACTAN SanctionsCheck für Mandanten, stellt der Service Provider sicher, dass zwischen ihm und dem jeweiligen Mandanten eine ausreichende rechtliche Grundlage für die Bearbeitung der Prüfdaten besteht.

Der Service Provider stellt sicher, dass der Mandant über den Einsatz von ACTAN als Unter-Auftragsverarbeiter, die wesentlichen Datenkategorien, die technischen und organisatorischen Massnahmen, die eingesetzten Unterauftragsbearbeiter und die Speicherlogik informiert wird.

Der Service Provider ist verantwortlich dafür, dass er gegenüber seinem Mandanten zur Beauftragung von ACTAN berechtigt ist und erforderliche Zustimmungen, Offenlegungen oder Informationspflichten erfüllt wurden.

Der Service Provider bleibt gegenüber ACTAN Vertragspartner und verantwortlich für die Nutzung innerhalb seines Accounts, einschliesslich Mandantenverwaltung, Benutzerverwaltung, Rollenzuteilung und Zugriffsberechtigungen. Er stellt sicher, dass Mandanten und deren Benutzer nur im vorgesehenen Mandantenkontext auf ACTAN SanctionsCheck zugreifen.

ACTAN schuldet Leistungen grundsätzlich gegenüber dem ACTAN-Kunden. Ein Mandant eines Service Providers wird durch diesen AVV nicht automatisch direkter Vertragspartner von ACTAN, sofern keine separate Vereinbarung mit ACTAN besteht.

5. Dauer der Bearbeitung

Die Bearbeitung beginnt mit der Übermittlung oder Eingabe von Prüfdaten durch den Kunden und endet, sobald die jeweilige Prüfung abgeschlossen ist und die Prüfdaten aus dem Arbeitsspeicher entfernt wurden.

Prüfdaten und PDF-Prüfprotokolle mit Klarnamen werden bei ACTAN nicht dauerhaft gespeichert. Technische Verifizierungsreferenzen sowie Aktivitätsdaten, Versanddaten, Accountdaten und Abrechnungsdaten können im jeweils erforderlichen Umfang und gemäss den ausgewiesenen Aufbewahrungsfristen bearbeitet werden.

6. Art der bearbeiteten Daten

ACTAN bearbeitet im Rahmen der Sanktionsprüfung keine besonderen Kategorien von Personendaten wie Gesundheitsdaten. Je nach Nutzung können insbesondere folgende Daten bearbeitet werden:

• Name natürlicher oder juristischer Personen sowie deren Domizil
• Name und Domizil der mit einer juristischen Person oder Struktur verbundenen natürlichen Personen, insbesondere wirtschaftlich Berechtigte, Bevollmächtigte, Zeichnungsberechtigte, Kontrollinhaber, geschäftsführende Personen sowie bei Stiftungen und Trusts zusätzlich Stifter, Begünstigte, Protektoren und Trustees
• technische Übermittlungs- und Verarbeitungsangaben wie interne Referenznummern, Zeitstempel und Statusinformationen
• technische Verifizierungsreferenzen wie Protokoll-ID, Hash-Wert, Zeitstempel, Prüftyp, Statusinformationen sowie Benutzer-, Mandanten- oder Abo-Zuordnung
• Aktivitätsdaten im System, insbesondere Benutzeraktionen, Login- und Nutzungsereignisse, Zeitpunkt, Benutzerkennung und Mandantenkontext
• Versanddaten, soweit Benachrichtigungen ausgelöst werden, insbesondere Empfängeradresse oder Telefonnummer, Versandzeitpunkt, Versandstatus und Fehlermeldungen

Weitere Angaben wie Geburtsdatum, Adresse oder Nationalität werden vom System nur bearbeitet, soweit sie in der technischen Umsetzung ausdrücklich unterstützt und für die jeweilige Prüfung vorgesehen sind. Nicht unterstützte Felder werden nicht als fachliche Prüfdaten verwendet.

7. Kategorien betroffener Personen

• Kunden, Vertragspartner und Geschäftspartner des Direktkunden
• Kunden, Vertragspartner und Geschäftspartner von Mandanten eines Service Providers
• mit den vorgenannten Personen oder Organisationen verbundene natürliche Personen, insbesondere wirtschaftlich Berechtigte, Bevollmächtigte, Zeichnungsberechtigte, Kontrollinhaber, geschäftsführende Personen sowie bei Stiftungen und Trusts Stifter, Begünstigte, Protektoren und Trustees
• Benutzer von ACTAN SanctionsCheck beim Direktkunden, beim Service Provider oder beim Mandanten eines Service Providers
• Empfänger von Systembenachrichtigungen, soweit E-Mail-, SMS- oder vergleichbare Benachrichtigungen verwendet werden

8. Pflichten von ACTAN

ACTAN verpflichtet sich:

• Prüfdaten ausschliesslich im Rahmen dieses AVV, der AGB und der Weisungen des Kunden zu bearbeiten;
• Prüfdaten nur flüchtig im Arbeitsspeicher zu bearbeiten und nicht dauerhaft als fachliche Prüfdaten zu speichern;
• PDF-Prüfprotokolle mit Klarnamen nicht dauerhaft bei ACTAN zu speichern;
• technische Verifizierungsreferenzen nur zur späteren Verifizierbarkeit, Auditierbarkeit und Integritätsprüfung zu speichern;
• geeignete technische und organisatorische Massnahmen nach DSG umzusetzen;
• für die primäre Bearbeitung von Prüfdaten Rechenzentren in der Schweiz zu verwenden;
• Mitarbeitende und beigezogene Personen zur Vertraulichkeit zu verpflichten;
• Unterauftragsbearbeiter nur gemäss diesem AVV einzusetzen;
• Datenschutzverletzungen, die Prüfdaten oder sonstige vom AVV erfasste Daten betreffen, ohne unangemessene Verzögerung zu melden.

9. Pflichten des Kunden

Der Kunde ist für die Rechtmässigkeit der Bearbeitung, für die Zulässigkeit der Übermittlung an ACTAN und für die Erfüllung von Betroffenenrechten verantwortlich.

Der Kunde stellt sicher, dass nur Daten an ACTAN übermittelt werden, für deren Bearbeitung eine ausreichende rechtliche Grundlage besteht.

Im Service-Provider-Modell stellt der Service Provider sicher, dass seine Mandanten über die Bearbeitung durch ACTAN als Unter-Auftragsverarbeiter informiert sind und dass die erforderlichen Grundlagen in den Vereinbarungen zwischen Service Provider und Mandant bestehen.

Der Kunde ist verantwortlich für die fachliche Prüfung, die Interpretation der Ergebnisse, die Trefferbearbeitung und alle Entscheidungen gegenüber eigenen Kunden, Geschäftspartnern oder Mandanten.

10. Technische und organisatorische Massnahmen

ACTAN hat angemessene technische und organisatorische Massnahmen getroffen. Dazu gehören insbesondere:

• verschlüsselte Übertragung mittels TLS für Web-Upload und lokal installierten Agent
• Zugriffsschutz auf Serverinfrastruktur in Schweizer Rechenzentren
• rollenbasierte Zugriffskontrollen nach dem Least-Privilege-Prinzip
• Benutzer- und Mandantenzuordnung im Rahmen der vorgesehenen Zugriffslogik
• Session-Management und Schutz vor unberechtigtem Zugriff
• technisches Monitoring sicherheitsrelevanter Systemereignisse
• Trennung von Prüfdaten, technischen Verifizierungsreferenzen, Aktivitätsdaten, Versanddaten sowie Account- und Abrechnungsdaten nach Zweck und Erforderlichkeit

Die jeweils aktuellen technischen und organisatorischen Massnahmen können in geeigneter Form bereitgestellt oder in den rechtlichen Dokumenten von ACTAN beschrieben werden.

11. Speicherlogik, Verifizierbarkeit und Aufbewahrung

ACTAN speichert keine Prüfdaten und keine PDF-Prüfprotokolle mit Klarnamen dauerhaft. Prüfdaten werden für die Durchführung der Prüfung verarbeitet und danach aus dem Arbeitsspeicher entfernt.

Das PDF-Prüfprotokoll mit Klarnamen, Trefferangaben oder fachlicher Entscheidungsdokumentation wird bei ACTAN nicht dauerhaft gespeichert. Es wird dem Kunden im Rahmen der Systemfunktion bereitgestellt und ist vom Kunden oder, im Service-Provider-Modell, gemäss der vereinbarten Aufgabenteilung zu speichern und aufzubewahren.

Zur späteren Verifizierbarkeit können technische Verifizierungsreferenzen gespeichert werden. Dazu gehören insbesondere Protokoll-ID, Hash-Wert, Zeitstempel, Prüftyp, Quellenstand, Statusinformationen sowie Benutzer-, Mandanten- oder Abo-Zuordnung. Diese technischen Verifizierungsreferenzen dienen der Integritätsprüfung und dem Nachweis, dass ein bestimmtes PDF-Prüfprotokoll unverändert zu einer bestimmten Prüfung gehört.

Aktivitätsdaten und Versanddaten können im erforderlichen Umfang verarbeitet werden, soweit dies für Betrieb, Sicherheit, Nachvollziehbarkeit, Benachrichtigung oder Support erforderlich ist. Sie können Personenbezug aufweisen, insbesondere durch Benutzerkennung, Namen, E-Mail-Adressen, Telefonnummern oder Mandantenbezug.

Technische Systemlogs werden grundsätzlich nur so lange aufbewahrt, wie dies für Betrieb, Sicherheit und Fehleranalyse erforderlich ist. Technische Verifizierungsreferenzen können zur Auditierbarkeit für bis zu 10 Jahre gespeichert werden. Account- und Abrechnungsdaten können gemäss gesetzlichen Aufbewahrungspflichten bis zu 10 Jahre nach Vertragsende aufbewahrt werden. Einzelheiten ergeben sich aus der Datenschutzerklärung.

12. Unterauftragsbearbeiter und weitere Dienstleister

ACTAN kann Unterauftragsbearbeiter einsetzen, soweit dies für die Bereitstellung von ACTAN SanctionsCheck erforderlich ist. Der Kunde stimmt dem Einsatz der nachfolgend genannten Anbieter zu:

• Microsoft Azure, Schweiz, Hosting-Infrastruktur für die primäre Bearbeitung
• Twilio Ireland Ltd., EU/EWR, Versand von Benachrichtigungs-SMS, soweit diese Funktion genutzt wird
• MailListener2 (Node.js), Schweiz/EU, automatisierte Verarbeitung eingehender SECO-, OFAC- und sonstiger Sanktionslistenmeldungen via IMAP ohne persistente Speicherung von Prüfdaten

Webflow, Inc. und Cloudflare, Inc. können für die öffentlich zugängliche Website, Formulare oder Bot-Schutz eingesetzt werden. Diese Dienste sind nicht Teil der primären Bearbeitung von Prüfdaten in ACTAN SanctionsCheck, soweit dort keine Prüfdaten übermittelt werden.

ACTAN kann Unterauftragsbearbeiter ersetzen oder ergänzen, sofern ein angemessenes Datenschutzniveau gewahrt bleibt und die Art der Bearbeitung nicht wesentlich nachteilig verändert wird. Wesentliche Änderungen, insbesondere eine Verlagerung der primären Bearbeitung von Prüfdaten aus der Schweiz heraus, werden dem Kunden vorgängig angezeigt.

13. Nachweise und Audit

ACTAN stellt dem Kunden auf Anfrage geeignete Nachweise zur Einhaltung dieses AVV zur Verfügung, insbesondere Informationen zu technischen und organisatorischen Massnahmen, Unterauftragsbearbeitern, Standortnachweisen und Zertifizierungen.

Ein weitergehendes Kontrollrecht, insbesondere ein Vor-Ort-Audit, besteht nur bei konkretem Anlass, zum Beispiel nach einer nachgewiesenen Datenschutzverletzung oder bei begründetem schwerwiegendem Verdacht. Ein solches Audit ist angemessen vorab anzukündigen und darf den Betrieb von ACTAN nicht unverhältnismässig beeinträchtigen.

ACTAN ist berechtigt, Informationen, die Sicherheitsinteressen, Geschäftsgeheimnisse oder vertrauliche Informationen Dritter betreffen, angemessen zu schwärzen oder in geeigneter Form bereitzustellen.

14. Datenschutzverletzungen

ACTAN informiert den Kunden ohne unangemessene Verzögerung über Datenschutzverletzungen, soweit diese vom AVV erfasste Daten betreffen und ACTAN davon Kenntnis erhält.

Die Meldung enthält, soweit verfügbar, Angaben zur Art des Vorfalls, zu den betroffenen Datenkategorien, zu möglichen Folgen und zu bereits ergriffenen oder empfohlenen Massnahmen.

15. Verhältnis zu anderen Dokumenten

Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung von ACTAN. Im Widerspruchsfall gehen die Bestimmungen dieses AVV in Bezug auf die Bearbeitung im Auftrag vor.

Für Accountdaten, Abrechnungsdaten, allgemeine Website-Nutzung und andere Bearbeitungen, die ACTAN in eigener Verantwortung vornimmt, gilt die Datenschutzerklärung von ACTAN.

16. Änderungen und Schlussbestimmungen

ACTAN kann diesen AVV anpassen, soweit dies aufgrund gesetzlicher Anforderungen, technischer Änderungen, organisatorischer Entwicklungen oder einer Änderung des Dienstes erforderlich ist. Wesentliche Änderungen werden dem Kunden in geeigneter Form mitgeteilt.

Dieser AVV ist integraler Bestandteil der Nutzung von ACTAN SanctionsCheck und gilt mit der Annahme der AGB und des AVV als angenommen, insbesondere durch ausdrückliche Zustimmung im Rahmen der Online-Registrierung, durch Aktivierung des Dienstes oder durch Bestätigung per E-Mail.

Die jeweils gültige Version ist unter www.actan.io/de/legal/dpa abrufbar. Gerichtsstand ist Luzern. Es gilt ausschliesslich Schweizer Recht.

AVV – Änderungshistorie

1. Parties, Roles and Scope

This Data Processing Agreement (DPA) applies between ACTAN AG, Morgartenstrasse 9, 6003 Lucerne, Switzerland (hereinafter "ACTAN") and the respective ACTAN customer that uses or orders ACTAN SanctionsCheck.

In the direct customer model, the direct customer is the controller within the meaning of the Swiss Federal Act on Data Protection (FADP). In this case, ACTAN processes the screening data as processor of the direct customer.

In the service provider model, the mandate client of the service provider remains, where applicable, the controller. The service provider processes the data of its mandate client on behalf of that mandate client. Where the service provider uses ACTAN SanctionsCheck for this purpose, ACTAN acts as sub-processor of the service provider.

Account, contract, billing and certain system administration data are processed by ACTAN under its own responsibility under data protection law. This processing is not covered by this DPA and is described in the Privacy Policy.

2. Definitions

The terms direct customer, service provider, mandate client of a service provider, screening data, PDF screening report, technical verification references, activity data and dispatch data have the meaning set out in the Terms and Conditions and the Privacy Policy.

Where this DPA refers to the "Customer", this means either the direct customer or the service provider as ACTAN customer, depending on the usage model.

Screening data means the content data entered, uploaded or transmitted via the locally installed agent by the Customer and used for sanctions screening. The PDF screening report is the result document generated by the system containing clear names and screening information. Technical verification references are technical evidence data such as protocol ID, hash value, timestamp and status information that enable later integrity verification.

3. Subject Matter and Purpose of Processing

This DPA governs the rights and obligations of the parties in connection with the processing of personal data within ACTAN SanctionsCheck.

ACTAN processes screening data exclusively for the purpose of carrying out automated sanctions screening against sanctions lists, in particular SECO and OFAC, and for technically providing the related evidence and verification functions.

This DPA applies only to processing on behalf within ACTAN SanctionsCheck. The publicly accessible website actan.io and general website interactions are governed by separate privacy terms.

4. Special Provisions for Service Providers

Where a service provider uses ACTAN SanctionsCheck for mandate clients, the service provider ensures that there is a sufficient legal basis between the service provider and the relevant mandate client for processing the screening data.

The service provider ensures that the mandate client is informed about the use of ACTAN as sub-processor, the relevant data categories, the technical and organisational measures, the sub-processors used and the retention logic.

The service provider is responsible for being authorised by its mandate client to engage ACTAN and for fulfilling any required consents, disclosures or information duties.

The service provider remains ACTAN’s contracting party and is responsible for the use within its account, including mandate management, user management, role assignment and access rights. It ensures that mandate clients and their users access ACTAN SanctionsCheck only within the intended mandate context.

ACTAN generally owes its services to the ACTAN customer. A mandate client of a service provider does not automatically become a direct contracting party of ACTAN under this DPA unless a separate agreement with ACTAN exists.

5. Duration of Processing

Processing begins when screening data is transmitted or entered by the Customer and ends once the relevant screening has been completed and the screening data has been removed from working memory.

Screening data and PDF screening reports containing clear names are not stored permanently by ACTAN. Technical verification references as well as activity data, dispatch data, account data and billing data may be processed to the extent required and in accordance with the specified retention periods.

6. Types of Data Processed

ACTAN does not process special categories of personal data, such as health data, as part of sanctions screening. Depending on the use case, the following data in particular may be processed:

• name of natural or legal persons and their domicile
• name and domicile of natural persons connected with a legal person or structure, in particular beneficial owners, authorised representatives, signatories, controlling persons, senior managing officials and, in the case of foundations and trusts, additionally founders or settlors, beneficiaries, protectors and trustees
• technical transmission and processing information such as internal reference numbers, timestamps and status information
• technical verification references such as protocol ID, hash value, timestamp, screening type, status information and user, mandate or subscription assignment
• activity data in the system, in particular user actions, login and usage events, time, user identifier and mandate context
• dispatch data where notifications are triggered, in particular recipient address or telephone number, dispatch time, delivery status and error messages

Further information such as date of birth, address or nationality is processed only where it is expressly supported in the technical implementation and intended for the relevant screening. Unsupported fields are not used as substantive screening data.

7. Categories of Data Subjects

• customers, counterparties and business partners of the direct customer
• customers, counterparties and business partners of mandate clients of a service provider
• natural persons connected with the above persons or organisations, in particular beneficial owners, authorised representatives, signatories, controlling persons, senior managing officials and, in the case of foundations and trusts, founders or settlors, beneficiaries, protectors and trustees
• users of ACTAN SanctionsCheck at the direct customer, the service provider or the mandate client of a service provider
• recipients of system notifications where email, SMS or comparable notifications are used

8. Obligations of ACTAN

ACTAN undertakes to:

• process screening data exclusively within the scope of this DPA, the T&Cs and the Customer’s instructions;
• process screening data only transiently in working memory and not store it permanently as substantive screening data;
• not permanently store PDF screening reports containing clear names at ACTAN;
• store technical verification references only for later verifiability, auditability and integrity verification;
• implement appropriate technical and organisational measures under the FADP;
• use data centres in Switzerland for the primary processing of screening data;
• bind employees and engaged persons to confidentiality;
• use sub-processors only in accordance with this DPA;
• notify data breaches affecting screening data or other data covered by this DPA without undue delay.

9. Obligations of the Customer

The Customer is responsible for the lawfulness of the processing, for the permissibility of transmitting data to ACTAN and for fulfilling data subject rights.

The Customer ensures that only data for which a sufficient legal basis exists is transmitted to ACTAN.

In the service provider model, the service provider ensures that its mandate clients are informed about the processing by ACTAN as sub-processor and that the required legal basis exists in the agreements between the service provider and the mandate client.

The Customer is responsible for the substantive review, interpretation of results, hit review and all decisions towards its own customers, business partners or mandate clients.

10. Technical and Organisational Measures

ACTAN has implemented appropriate technical and organisational measures. These include in particular:

• encrypted transmission using TLS for web upload and locally installed agent
• access protection for server infrastructure in Swiss data centres
• role-based access controls according to the least-privilege principle
• user and mandate assignment within the intended access logic
• session management and protection against unauthorised access
• technical monitoring of security-relevant system events
• separation of screening data, technical verification references, activity data, dispatch data as well as account and billing data according to purpose and necessity

The current technical and organisational measures may be made available in suitable form or described in ACTAN’s legal documents.

11. Retention Logic, Verifiability and Retention Periods

ACTAN does not permanently store screening data or PDF screening reports containing clear names. Screening data is processed to carry out the screening and is then removed from working memory.

The PDF screening report containing clear names, hit information or substantive decision documentation is not permanently stored by ACTAN. It is made available to the Customer as part of the system function and must be stored and retained by the Customer or, in the service provider model, in accordance with the agreed allocation of responsibilities.

For later verifiability, technical verification references may be stored. These include in particular protocol ID, hash value, timestamp, screening type, source status, status information and user, mandate or subscription assignment. These technical verification references serve integrity verification and evidence that a particular PDF screening report belongs unchanged to a particular screening.

Activity data and dispatch data may be processed to the extent required for operation, security, traceability, notification or support. They may contain personal data, in particular through user identifiers, names, email addresses, telephone numbers or mandate references.

Technical system logs are generally retained only as long as necessary for operation, security and troubleshooting. Technical verification references may be stored for auditability for up to 10 years. Account and billing data may be retained for up to 10 years after the end of the contract in accordance with statutory retention obligations. Details are set out in the Privacy Policy.

12. Sub-processors and Other Service Providers

ACTAN may use sub-processors to the extent required for providing ACTAN SanctionsCheck. The Customer agrees to the use of the following providers:

• Microsoft Azure, Switzerland, hosting infrastructure for primary processing
• Twilio Ireland Ltd., EU/EEA, dispatch of notification SMS messages where this function is used
• MailListener2 (Node.js), Switzerland/EU, automated processing of incoming SECO, OFAC and other sanctions list notifications via IMAP without persistent storage of screening data

Webflow, Inc. and Cloudflare, Inc. may be used for the publicly accessible website, forms or bot protection. These services are not part of the primary processing of screening data in ACTAN SanctionsCheck, provided that no screening data is transmitted there.

ACTAN may replace or add sub-processors, provided that an appropriate level of data protection is maintained and the nature of the processing is not materially changed to the Customer’s detriment. Material changes, in particular a relocation of the primary processing of screening data outside Switzerland, will be notified to the Customer in advance.

13. Evidence and Audit

Upon request, ACTAN provides the Customer with suitable evidence of compliance with this DPA, in particular information on technical and organisational measures, sub-processors, location evidence and certifications.

Any further inspection right, in particular an on-site audit, exists only for a specific reason, for example after a proven data breach or in the event of a justified serious suspicion. Such audit must be announced appropriately in advance and must not disproportionately impair ACTAN’s operations.

ACTAN may appropriately redact or provide in a suitable form information that concerns security interests, trade secrets or confidential information of third parties.

14. Data Breaches

ACTAN informs the Customer without undue delay of data breaches to the extent they affect data covered by this DPA and ACTAN becomes aware of them.

The notification includes, where available, information on the nature of the incident, the affected data categories, possible consequences and measures already taken or recommended.

15. Relationship to Other Documents

This DPA supplements ACTAN’s Terms and Conditions and Privacy Policy. In the event of a conflict, the provisions of this DPA take precedence with regard to processing on behalf.

For account data, billing data, general website use and other processing carried out by ACTAN under its own responsibility, ACTAN’s Privacy Policy applies.

16. Amendments and Final Provisions

ACTAN may amend this DPA where this is necessary due to legal requirements, technical changes, organisational developments or a change to the service. Material changes will be communicated to the Customer in suitable form.

This DPA forms an integral part of the use of ACTAN SanctionsCheck and is deemed accepted upon acceptance of the T&Cs and the DPA, in particular by explicit consent during online registration, by activation of the service or by confirmation via email.

The version currently in force is available at www.actan.io/en/legal/dpa. The place of jurisdiction is Lucerne. Swiss law applies exclusively.

DPA – Change History