1. Vertragsgegenstand und Geltungsbereich

Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Auftragsverarbeitung personenbezogener Daten gemäss Schweizer Datenschutzgesetz (DSG). ACTAN verarbeitet die vom Kunden hochgeladenen bzw. eingegebenen Personendaten ausschliesslich zur Durchführung automatisierter Sanktionslistenprüfungen im Rahmen des Online-Dienstes "ACTAN SanctionsCheck".

Die Verarbeitung erfolgt im Rahmen des Online-Dienstes ACTAN SanctionsCheck gemäss den aktuell gültigen Allgemeinen Geschäftsbedingungen (AGB) und der Datenschutzerklärung von ACTAN.

Dieser Vertrag betrifft ausschliesslich die Auftragsverarbeitung im Rahmen des SanctionsCheck-Dienstes. Die Bereitstellung und Nutzung der Website www.actan.io unterliegt separaten Datenschutzregeln.

Die Speicherung und Verarbeitung von Account-, Vertrags- und Abrechnungsdaten (z. B. Benutzername, Abo-Typ, E-Mail, Rechnungsadresse) erfolgt durch ACTAN in eigener datenschutzrechtlicher Verantwortung und ist nicht Gegenstand dieses AVV.

2. Dauer der Verarbeitung

Die Verarbeitung beginnt mit dem erstmaligen Zugriff auf den Dienst durch den Kunden und endet mit dessen Einstellung der Nutzung oder Beendigung des Vertragsverhältnisses (z. B. Kündigung des Abos). Eine Speicherung der verarbeiteten Daten erfolgt nicht über die Dauer der Session hinaus.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschliesslich zum Zweck der Überprüfung von Kundendaten des Verantwortlichen gegen Sanktionslisten (z. B. SECO, OFAC), um regulatorische Anforderungen (u. a. FINMA 24h-Pflicht) zu erfüllen.

4. Art der verarbeiteten Daten

Es werden keine besonderen Kategorien von Daten (z. B. Gesundheitsdaten) verarbeitet.

• Namen von natürlichen Personen
• Firmennamen von juristischen Personen
• Angaben zu wirtschaftlich Berechtigten (BO), Zeichnungsberechtigten (SIG), Bevollmächtigten (AUTH)
• Optional: interne Referenznummern oder Zusatzkennzeichen

5. Kategorien betroffener Personen

• Kunden und Vertragspartner des Verantwortlichen
• Zeichnungsberechtigte, wirtschaftlich Berechtigte oder sonstige namentlich aufgeführte Personen im Zusammenhang mit Geschäftsbeziehungen

6. Pflichten des Auftragsverarbeiters (ACTAN)

ACTAN verpflichtet sich:

• die Daten ausschliesslich im Rahmen dieses AVV und gemäss Weisung des Kunden zu verarbeiten;
• Daten ausschliesslich im RAM (Arbeitsspeicher) und nicht persistent zu speichern;
• ausschliesslich ISO 27001-zertifizierte Rechenzentren in der Schweiz zu verwenden;
• geeignete technische und organisatorische Massnahmen (TOM) gemäss DSG zu implementieren, insbesondere zur Sicherung gegen Verlust, Zugriff oder Veränderung;
• alle Mitarbeitenden zur Vertraulichkeit zu verpflichten;
• Subdienstleister nur mit vorheriger Information an den Kunden einzusetzen (aktuell: Microsoft Azure, Schweiz);
• Datenschutzverletzungen unverzüglich dem Kunden zu melden;
• bei Beendigung der Nutzung sicherzustellen, dass keine personenbezogenen Daten bei ACTAN verbleiben (keine Speicherung).

7. Rechte und Pflichten des Verantwortlichen

Der Kunde ist für die Rechtmässigkeit der Datenverarbeitung, für die Zulässigkeit der Übermittlung an ACTAN sowie für die Betroffenenrechte (z. B. Auskunft, Löschung) verantwortlich. Der Kunde entscheidet über den Zweck der Verarbeitung und trägt die alleinige Verantwortung für die Inhalte der eingegebenen Daten.

8. Technische und organisatorische Massnahmen (TOM)

ACTAN hat angemessene Schutzmassnahmen getroffen, darunter:

• Ende-zu-Ende-Verschlüsselung der Verbindung (TLS 1.3)
• Zugriffsschutz auf Serverinfrastruktur in Schweizer Rechenzentren (Microsoft Azure, ISO 27001-zertifiziert)
• rollenbasierte Zugriffskontrollen (Least-Privilege-Prinzip)
• Session-Löschung nach Inaktivität
• Protokollierung und kontinuierliches Monitoring sicherheitsrelevanter Systemereignisse

Aufbewahrung und Auditierbarkeit

Technische Logdaten (z. B. Statuscodes, Session-IDs, Fehlercodes) werden für maximal 30 Tage aufbewahrt und danach automatisiert gelöscht.

Unabhängig davon archiviert ACTAN sämtliche Prüfprotokolle inklusive Hash-IDs, Zeitstempeln, Benutzerzuordnung und Abotyp für eine Dauer von 10 Jahren, um den regulatorischen Anforderungen an Revisionssicherheit, Nachvollziehbarkeit und Auditierbarkeit zu genügen (insb. gemäss Art. 958f OR, GwG und FINMA-RS 2016/7). Diese Daten werden verschlüsselt in Schweizer Rechenzentren gespeichert und ausschliesslich für Prüf-, Aufsichts- oder Nachweiszwecke verwendet. Die eigentlichen Prüfprotokolle mit personenbezogenen Angaben werden nicht gespeichert.

9. Subauftragsverhältnisse

Derzeit eingesetzte Subverarbeiter:

• Microsoft Azure, Schweiz (ISO 27001-zertifiziert, Hosting-Infrastruktur)
• Twilio Inc., EU (ISO/IEC 27001-zertifiziert, Versand von Benachrichtigungs-SMS)
• MailListener2 (Node.js), Schweiz/EU (nur zur automatisierten Verarbeitung von eingehenden SECO/OFAC-Meldungen via IMAP ohne persistente Speicherung)
• Webflow, Inc., USA (Hosting der Website; keine Verarbeitung von Kundendaten, lediglich Kommunikationsoberfläche)

ACTAN behält sich vor, diese Subverarbeiter jederzeit zu aktualisieren oder zu ersetzen, sofern die jeweiligen Anbieter nachweislich vergleichbare datenschutzrechtliche Standards (insbesondere ISO 27001 oder gleichwertig) erfüllen und sich die Art der Datenverarbeitung nicht wesentlich ändert. Eine gesonderte Zustimmung des Kunden ist in diesen Fällen nicht erforderlich, mit Ausnahme wesentlicher Änderungen – insbesondere bei einer Verlagerung des Hosting-Standortes von Microsoft Azure aus der Schweiz heraus, welche ACTAN dem Kunden vorgängig schriftlich anzuzeigen hat.

Der Auftragsverarbeiter bleibt für die Einhaltung der Pflichten auch im Fall von Unterauftragsvergabe verantwortlich.

10. Nachweispflicht und Audit

ACTAN verpflichtet sich, dem Kunden auf Anfrage geeignete Nachweise zur Einhaltung der in diesem Vertrag festgelegten Datenschutzpflichten zur Verfügung zu stellen (z. B. technische und organisatorische Massnahmen, Subverarbeiter, Standortnachweise, ISO-Zertifizierungen).

Ein weitergehendes Kontrollrecht (z. B. Vor-Ort-Audit) besteht nur bei konkretem Anlass (z. B. nachgewiesene Datenschutzverletzung oder schwerwiegender Verdacht) und ist frühzeitig schriftlich anzukündigen. Der Kunde trägt dabei die entstehenden Mehrkosten.

ACTAN ist berechtigt, Informationen, die Betriebs- oder Geschäftsgeheimnisse betreffen, angemessen zu schwärzen oder zurückzuhalten.

11. Verhältnis zu anderen Dokumenten

Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und die Datenschutzerklärung von ACTAN. Im Widerspruchsfall gelten die Bestimmungen dieses AVV vorrangig in Bezug auf die Auftragsverarbeitung.

12. Änderungen

ACTAN behält sich vor, diesen Vertrag anzupassen, soweit dies aufgrund gesetzlicher Anforderungen, technischer Änderungen oder organisatorischer Entwicklungen erforderlich ist. Wesentliche Änderungen (z. B. neue Unterauftragsverhältnisse, Standortverlagerung) werden dem Kunden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Sofern der Kunde nicht widerspricht, gilt die Änderung als genehmigt. Im Fall eines begründeten Widerspruchs endet das Vertragsverhältnis automatisch zum Inkrafttreten der Änderung.

13. Schlussbestimmungen

Die Verarbeitung von Account-, Abrechnungs- und Login-Daten (z. B. E-Mail, Abo-Typ, Rechnungsadresse) erfolgt durch ACTAN als eigener Verantwortlicher i. S. des DSG und ist nicht Gegenstand dieses AVV.

Dieser AVV ist integraler Bestandteil der Nutzung von ACTAN SanctionsCheck und gilt mit der Annahme der AGB und des AVV (z. B. durch ausdrückliche Zustimmung im Rahmen der Online-Registrierung oder Bestätigung per E-Mail) als angenommen.

Der Kunde bestätigt die Kenntnisnahme und Zustimmung zu diesem Vertrag im Rahmen der Online-Registrierung oder bei erstmaliger Nutzung des Dienstes. Die jeweils gültige Version wird dem Kunden vor Nutzung zur Verfügung gestellt und ist unter www.actan.io/avv abrufbar.

Gerichtsstand ist Luzern. Es gilt ausschliesslich Schweizer Recht.

AVV – Änderungshistorie

1. Subject Matter of the Agreement and Scope

This agreement governs the rights and obligations of the parties in connection with the processing of personal data on behalf of the Customer in accordance with the Swiss Federal Act on Data Protection (FADP). ACTAN processes the personal data uploaded or entered by the Customer exclusively for the purpose of carrying out automated sanctions list screenings within the online service "ACTAN SanctionsCheck".

The processing takes place within the online service ACTAN SanctionsCheck in accordance with the currently valid General Terms and Conditions (T&Cs) and Privacy Policy of ACTAN.

This agreement relates exclusively to processing on behalf within the SanctionsCheck service. The provision and use of the website www.actan.io is subject to separate privacy rules.

The storage and processing of account, contract, and billing data (e.g. username, subscription type, email address, billing address) is carried out by ACTAN under its own responsibility under data protection law and is not the subject of this DPA.

2. Duration of Processing

Processing begins with the Customer’s first access to the service and ends when the Customer stops using the service or the contractual relationship ends (e.g. cancellation of the subscription). The processed data is not stored beyond the duration of the session.

3. Nature and Purpose of Processing

Processing is carried out exclusively for the purpose of screening the Controller’s customer data against sanctions lists (e.g. SECO, OFAC) in order to fulfil regulatory requirements (including the FINMA 24-hour requirement).

4. Types of Data Processed

No special categories of data (e.g. health data) are processed.

• Names of natural persons
• Company names of legal entities
• Information on beneficial owners (BO), authorised signatories (SIG), and authorised representatives (AUTH)
• Optional internal reference numbers or additional identifiers

5. Categories of Data Subjects

• Customers and contractual counterparties of the Controller
• Authorised signatories, beneficial owners, or other named persons in connection with business relationships

6. Obligations of the Processor (ACTAN)

ACTAN undertakes to:

• process the data exclusively within the scope of this DPA and in accordance with the Customer’s instructions;
• process data exclusively in RAM (working memory) and not store it persistently;
• use only ISO 27001-certified data centres in Switzerland;
• implement appropriate technical and organisational measures (TOMs) in accordance with the FADP, in particular to safeguard against loss, access, or alteration;
• oblige all employees to maintain confidentiality;
• use sub-processors only after prior information to the Customer (currently: Microsoft Azure, Switzerland);
• report data breaches to the Customer without undue delay;
• upon termination of use, ensure that no personal data remains with ACTAN (no storage).

7. Rights and Obligations of the Controller

The Customer is responsible for the lawfulness of the data processing, for the permissibility of transmitting the data to ACTAN, and for data subject rights (e.g. access, deletion). The Customer decides on the purpose of the processing and bears sole responsibility for the content of the data entered.

8. Technical and Organisational Measures (TOMs)

ACTAN has implemented appropriate protective measures, including:

• end-to-end encrypted connection (TLS 1.3)
• access protection for server infrastructure in Swiss data centres (Microsoft Azure, ISO 27001-certified)
• role-based access controls (least-privilege principle)
• session deletion after inactivity
• logging and continuous monitoring of security-relevant system events

Retention and auditability

Technical log data (e.g. status codes, session IDs, error codes) is retained for a maximum of 30 days and then deleted automatically.

Independently of this, ACTAN archives all screening protocol records including hash IDs, timestamps, user assignment, and subscription type for a period of 10 years in order to meet regulatory requirements regarding audit security, traceability, and auditability (in particular pursuant to Art. 958f CO, AMLA, and FINMA Circ. 2016/7). This data is stored in encrypted form in Swiss data centres and used exclusively for audit, supervisory, or evidentiary purposes. The actual screening protocols containing personal data are not stored.

9. Sub-processing Arrangements

Sub-processors currently used:

• Microsoft Azure, Switzerland (ISO 27001-certified, hosting infrastructure)
• Twilio Inc., EU (ISO/IEC 27001-certified, dispatch of notification SMS messages)
• MailListener2 (Node.js), Switzerland/EU (used only for the automated processing of incoming SECO/OFAC notifications via IMAP without persistent storage)
• Webflow, Inc., USA (website hosting; no processing of customer data, only communication interface)

ACTAN reserves the right to update or replace these sub-processors at any time, provided that the respective providers demonstrably meet comparable data protection standards (in particular ISO 27001 or equivalent) and the nature of the processing does not materially change. Separate consent of the Customer is not required in such cases, except in the event of material changes – in particular if the Microsoft Azure hosting location is moved out of Switzerland – which ACTAN must notify to the Customer in writing in advance.

The Processor remains responsible for compliance with its obligations even in the event of subcontracting.

10. Demonstration of Compliance and Audit

Upon request, ACTAN undertakes to provide the Customer with appropriate evidence of compliance with the data protection obligations set out in this agreement (e.g. technical and organisational measures, sub-processors, proof of location, ISO certifications).

Any further inspection right (e.g. on-site audit) exists only for a concrete reason (e.g. proven data breach or serious suspicion) and must be announced in writing sufficiently in advance. The Customer shall bear any additional costs incurred.

ACTAN is entitled to appropriately redact or withhold information relating to trade or business secrets.

11. Relationship to Other Documents

This DPA supplements the General Terms and Conditions (T&Cs) and the Privacy Policy of ACTAN. In the event of any conflict, the provisions of this DPA take precedence with regard to processing on behalf.

12. Amendments

ACTAN reserves the right to amend this agreement where this is necessary due to legal requirements, technical changes, or organisational developments. Material changes (e.g. new subcontracting arrangements, relocation of location) will be communicated to the Customer by email at least 30 days before they take effect. Unless the Customer objects, the amendment shall be deemed approved. In the event of a justified objection, the contractual relationship ends automatically when the amendment takes effect.

13. Final Provisions

The processing of account, billing, and login data (e.g. email address, subscription type, billing address) is carried out by ACTAN as an independent controller within the meaning of the FADP and is not the subject of this DPA.

This DPA forms an integral part of the use of ACTAN SanctionsCheck and is deemed accepted upon acceptance of the T&Cs and the DPA (e.g. by explicit consent during online registration or by confirmation via email).

The Customer confirms that it has taken note of and accepted this agreement during online registration or upon first use of the service. The version currently in force is made available to the Customer before use and is available at www.actan.io/avv.

The place of jurisdiction is Lucerne. Swiss law shall apply exclusively.

DPA – Change History