1. Einleitung

2. Begriffe und Rollen

ACTAN bezeichnet die ACTAN AG, Morgartenstrasse 9, 6003 Luzern, Schweiz.

ACTAN-Kunde ist der Vertragspartner von ACTAN. Ein ACTAN-Kunde kann den Dienst als Direktkunde oder als Service Provider nutzen.

Direktkunde ist ein ACTAN-Kunde, der ACTAN SanctionsCheck für eigene Sanktionsprüfungen einsetzt.

Service Provider ist ein ACTAN-Kunde, der ACTAN SanctionsCheck im Rahmen seiner Compliance-Dienstleistungen für eigene Mandanten nutzt.

Mandant eines Service Providers ist der Kunde des Service Providers, für dessen Kunden- oder Geschäftspartnerbestand Sanktionsprüfungen durchgeführt werden. Dieser Mandant steht nicht zwingend in einem direkten Vertragsverhältnis mit ACTAN.

Betroffene Personen sind insbesondere geprüfte natürliche Personen sowie natürliche Personen, die mit geprüften juristischen Personen verbunden sind, zum Beispiel wirtschaftlich Berechtigte, Zeichnungsberechtigte, Kontrollinhaber, geschäftsführende Personen, Stifter, Begünstigte, Protektoren oder Trustees.

Bei Direktkunden ist der Direktkunde in der Regel Verantwortlicher und ACTAN Auftragsbearbeiter. Bei Nutzung durch einen Service Provider ist der Mandant des Service Providers in der Regel Verantwortlicher, der Service Provider Auftragsbearbeiter des Mandanten und ACTAN Unter-Auftragsbearbeiter des Service Providers.

3. Verantwortliche Stelle und Kontakt

Soweit ACTAN Personendaten im Auftrag eines ACTAN-Kunden bearbeitet, richten sich Betroffenenanfragen grundsätzlich an den jeweiligen Verantwortlichen, also an den Direktkunden oder an den Mandanten des Service Providers. ACTAN unterstützt den ACTAN-Kunden im Rahmen des AVV bei der Bearbeitung solcher Anfragen.

4. Zweck der Datenbearbeitung

• Durchführung von Sanktionslisten-Abgleichen gegen SECO und OFAC
• Unterstützung von gesetzlichen und regulatorischen Sorgfalts- und Nachweispflichten
• Bereitstellung von technischen Verifizierungsreferenzen zur späteren Integritätsprüfung
• Nutzerverwaltung, Zugriffsschutz, Systembetrieb, Support, Benachrichtigungen und Abrechnung
• Betrieb und Sicherheit der Marketing-Website

5. Kategorien betroffener Personen und Daten im Dienst

Die vollständige Liste der unterstützten Rollen-Token und deren Maximalzahlen je Vertragspartner ist im Mapping-Dokument der Kundenliste dokumentiert. Weitere Angaben wie Geburtsdatum, Privatadresse oder Nationalität werden vom System nicht eingelesen, sofern sie nicht ausdrücklich als unterstütztes Datenfeld vorgesehen sind.

6. Speicherung und Löschung

Prüfdaten werden ausschliesslich im Arbeitsspeicher (RAM) verarbeitet und nach Abschluss des Prüfvorgangs automatisiert gelöscht. Eine dauerhafte Speicherung dieser Inhaltsdaten findet bei ACTAN nicht statt. Dies gilt unabhängig davon, ob die Prüfdaten via Self-Service-Upload oder via lokal installiertem Agent übermittelt werden. Der lokal installierte Agent fügt der Übermittlung ein Authentifizierungs-Token hinzu, ändert aber weder Art noch Umfang der verarbeiteten Prüfdaten.

Das PDF-Prüfprotokoll mit Klarnamen, geprüften Namen, Trefferangaben oder Entscheidungsdokumentation wird bei ACTAN nicht gespeichert. Zur späteren Verifizierbarkeit können technische Verifizierungsreferenzen wie Protokoll-ID, Hash-Wert, Zeitstempel, Prüftyp, Quellenstand und Statusinformationen gespeichert werden.

Technische Systemlogs, Fehlercodes und sicherheitsrelevante Systemereignisse werden im erforderlichen Umfang für Betrieb, Sicherheit und Fehleranalyse verarbeitet und grundsätzlich nach spätestens 30 Tagen gelöscht oder anonymisiert, sofern keine längere Aufbewahrung aufgrund eines konkreten Sicherheits-, Support- oder Nachweiszwecks erforderlich ist.

Aktivitätsdaten, Versanddaten, technische Verifizierungsreferenzen, Treffer- und Review-bezogene Bearbeitungsdaten sowie Account- und Abrechnungsdaten werden nur im jeweils erforderlichen Umfang und gemäss dem jeweiligen Zweck gespeichert. Account- und Abrechnungsdaten werden in der Regel bis zu 10 Jahre nach Vertragsende aufbewahrt.

Trial-Accounts und Löschung bei Nicht-Konversion: Trial-Accounts werden für 30 Tage produktiv freigeschaltet. Wird in dieser Zeit kein Voll-Lizenzvertrag abgeschlossen, wird der Account gesperrt. Nach weiteren 30 Tagen werden mandantenseitig hochgeladene und im System gespeicherte Trial-Daten gelöscht, soweit keine gesetzlichen oder vertraglichen Aufbewahrungspflichten entgegenstehen. Vertragliche Unterlagen wie Sign-up-Bestätigung und akzeptierte Vertragsversionen bleiben im Rahmen gesetzlicher Aufbewahrungspflichten erhalten.

7. Nutzung durch Service Provider

Wenn ein Service Provider ACTAN SanctionsCheck für eigene Mandanten nutzt, kann ACTAN personenbezogene Daten verarbeiten, die aus dem Kunden- oder Geschäftspartnerbestand dieser Mandanten stammen. In dieser Konstellation ist der Mandant des Service Providers in der Regel Verantwortlicher, der Service Provider Auftragsbearbeiter des Mandanten und ACTAN Unter-Auftragsbearbeiter des Service Providers.

Der Service Provider ist dafür verantwortlich, dass seine Mandanten über den Einsatz von ACTAN SanctionsCheck, die relevanten Datenkategorien, die Auftragsbearbeitungskette, die eingesetzten Unterauftragsbearbeiter sowie die technischen und organisatorischen Massnahmen informiert werden. Der Service Provider stellt zudem sicher, dass er gegenüber seinen Mandanten zur Einbindung von ACTAN berechtigt ist.

Erhält ein Mandant eines Service Providers einen eigenen Benutzerzugang zum Dienst, erfolgt dieser Zugriff innerhalb des vom Service Provider verwalteten Mandantenkontexts. Benutzeraktionen können als Aktivitätsdaten protokolliert werden.

8. Auftragsbearbeiter und Sub-Dienstleister

Wir setzen folgende sorgfältig ausgewählte Dienstleister ein, soweit dies für Betrieb, Sicherheit, Benachrichtigung oder Website-Bereitstellung erforderlich ist:

• Microsoft Azure, Schweiz (Hosting-Infrastruktur für die primäre Verarbeitung des Dienstes; Region «Switzerland North»)
• Twilio Ireland Ltd., EU/EWR (Versand von Benachrichtigungs-SMS)
• MailListener2, Schweiz/EU (automatisierte Verarbeitung eingehender SECO-, OFAC- und -Meldungen via IMAP ohne dauerhafte Speicherung von Kundendaten)
• Webflow Inc., USA (Hosting der Marketing-Website; keine Verarbeitung von Prüfdaten aus dem Dienst)
• Cloudflare, Inc., USA (Bot-Schutz auf Web-Formularen mittels Cloudflare Turnstile; keine Verarbeitung von Prüfdaten aus dem Dienst)

Ein aktuelles Verzeichnis der Sub-Dienstleister kann unter compliance@actan.ch angefordert werden.

9. Datenübermittlung ins Ausland

Die primäre Verarbeitung von Prüfdaten im Dienst erfolgt in Schweizer Rechenzentren. Eine dauerhafte Speicherung von Prüfdaten oder PDF-Prüfprotokollen mit Klarnamen bei ACTAN findet nicht statt.

Für Twilio (EU/EWR) besteht ein Angemessenheitsbeschluss gemäss Art. 16 Abs. 1 lit. a DSG. Webflow und Cloudflare haben ihren Sitz in den USA und können im Zusammenhang mit der Marketing-Website technische Zugriffsdaten verarbeiten. Soweit erforderlich, stützen wir uns auf geeignete Garantien, insbesondere Standardvertragsklauseln sowie zusätzliche technische und organisatorische Massnahmen.

Prüfdaten aus ACTAN SanctionsCheck werden nicht über die Marketing-Website verarbeitet.

10. Account-, Benutzer- und Abrechnungsdaten

ACTAN verarbeitet Account-, Benutzer- und Abrechnungsdaten zur Nutzerverwaltung, Vertragsabwicklung, Bereitstellung des Dienstes, Zugriffskontrolle, Benachrichtigung, Support, Verrechnung und Einhaltung gesetzlicher Aufbewahrungspflichten.

Pro ACTAN-Kunde können mehrere Benutzer verwaltet werden, zum Beispiel Mandanten-Administratoren, Compliance-Verantwortliche und weitere autorisierte Benutzer. Verarbeitet werden insbesondere Vor- und Nachname, geschäftliche E-Mail-Adresse, optionale Mobilnummer für Benachrichtigungen, Rolle, Mandantenkontext, Login- und Aktivitätsdaten.

Zusätzlich werden pro ACTAN-Kunde Vertrags- und Abrechnungsdaten verarbeitet, insbesondere Firma, UID-Nummer, Geschäftsadresse, Rechnungsadresse, Abo-Typ, Abo-Laufzeit, gebuchte Add-ons und abrechnungsrelevante Nutzungsinformationen.

Diese Daten werden während des aktiven Vertragsverhältnisses und anschliessend im Rahmen gesetzlicher Aufbewahrungspflichten verarbeitet, in der Regel bis zu 10 Jahre nach Vertragsende.

11. Rechtsgrundlagen

Soweit ACTAN als Auftragsbearbeiter oder Unter-Auftragsbearbeiter handelt, erfolgt die Bearbeitung auf Grundlage der Weisungen des jeweiligen ACTAN-Kunden und des AVV. Soweit ACTAN eigene Zwecke verfolgt, erfolgt die Datenbearbeitung insbesondere zur Vertragserfüllung, zur Erfüllung gesetzlicher Pflichten, zur Wahrung überwiegender berechtigter Interessen, insbesondere Sicherheit, Betrieb und Missbrauchsverhinderung, oder auf Grundlage einer Einwilligung, sofern eine solche erforderlich ist.

12. Rechte der betroffenen Personen

Betroffene Personen haben nach Massgabe des Schweizer Datenschutzgesetzes insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung, Datenherausgabe und Widerruf einer Einwilligung.

Soweit ACTAN Daten im Auftrag eines ACTAN-Kunden bearbeitet, leitet ACTAN Betroffenenanfragen an den zuständigen ACTAN-Kunden weiter oder unterstützt diesen im Rahmen des AVV. Für Account-, Benutzer-, Abrechnungs- und Website-Daten können Anfragen direkt an compliance@actan.ch gerichtet werden.

13. Technische und organisatorische Massnahmen

• TLS-verschlüsselte Übertragung
• Verarbeitung der Prüfdaten in Schweizer Rechenzentren
• rollenbasierte Zugriffskontrollen und Least-Privilege-Prinzip
• Mandantentrennung und Benutzerverwaltung
• Protokollierung sicherheitsrelevanter Aktivitätsdaten
• regelmässige Sicherheitsüberprüfungen, Schwachstellen-Scans und technische Kontrollen

Authentifizierung und Sitzungsverwaltung

Bei der Anmeldung am Dienst wird ein technisch erforderliches Sitzungs-Cookie gesetzt. Wählt der Benutzer die Option «Angemeldet bleiben», kann zusätzlich ein langlebiger Authentifizierungs-Cookie gesetzt werden. Diese Cookies dienen der Bereitstellung der Login-Funktion und enthalten in der Regel keinen Klarnamen, sondern technische Authentifizierungsinformationen.

14. Änderungen

Diese Datenschutzerklärung wird bei Bedarf angepasst. Die jeweils aktuelle Version ist unter www.actan.io/de/legal/privacy-policy abrufbar.

15. Datenbearbeitung auf der Marketing-Website actan.io

Die folgenden Absätze beschreiben die Datenbearbeitung beim Besuch der öffentlich zugänglichen Marketing-Website unter www.actan.io. Diese ist getrennt vom Dienst ACTAN SanctionsCheck zu betrachten.

Hosting und technische Zugriffsdaten

Die Website wird von Webflow Inc., USA, gehostet. Beim Aufruf der Website verarbeitet Webflow technische Zugriffsdaten wie IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zeitpunkt des Zugriffs und abgerufene Seiten für die Auslieferung der Website-Inhalte und für Sicherheitszwecke. Webflow kann hierfür technisch notwendige Infrastruktur-Cookies setzen.

Auf der Marketing-Website werden keine Prüfdaten aus ACTAN SanctionsCheck und keine PDF-Prüfprotokolle verarbeitet.

Keine Analytics, keine Marketing-Tracker

Die Marketing-Website setzt weder Google Analytics noch andere Tracking-Werkzeuge ein. Es werden keine Cookies oder vergleichbaren Technologien zu Analyse-, Werbe- oder Profilbildungszwecken verwendet.

Funktionale Speicherung im Endgerät: Sprachpräferenz

Damit die Website eine manuelle Sprachwahl respektiert, kann ein technisch notwendiger Eintrag im localStorage des Endgeräts mit dem Namen actan_lang_chosen gesetzt werden. Dieser Eintrag dient ausschliesslich der Sprachsteuerung, enthält keinen Personenbezug und kann über die Browser-Einstellungen gelöscht werden.

Spam-Schutz auf Formularen

Auf Formularen der Marketing-Website setzen wir Cloudflare Turnstile zum Schutz vor automatisierten Missbrauchsversuchen ein. Cloudflare verarbeitet hierfür technische Signale, zum Beispiel Browsersignale und IP-Adresse, zur Unterscheidung von Mensch und Bot. Persistente Tracking-Cookies zu Werbe- oder Analysezwecken werden nicht gesetzt.

Kontaktformular

Bei Nutzung des Kontaktformulars werden die im Formular bereitgestellten Angaben, zum Beispiel Name, E-Mail-Adresse und Nachricht, zur Bearbeitung Ihrer Anfrage verarbeitet. Die Übermittlung erfolgt über die Webflow-Form-Infrastruktur an compliance@actan.ch. Eine Weiterverwendung zu Marketingzwecken erfolgt nicht.

Weitere Informationen

Allgemeine Angaben zum Webseitenbetreiber sind im Impressum unter www.actan.io/de/legal/legal-notice abrufbar.

Fragen?

Datenschutzerklärung – Änderungshistorie

1. Introduction

2. Terms and Roles

ACTAN means ACTAN AG, Morgartenstrasse 9, 6003 Lucerne, Switzerland.

ACTAN Customer means the contractual partner of ACTAN. An ACTAN Customer may use the Service as a Direct Customer or as a Service Provider.

Direct Customer means an ACTAN Customer using ACTAN SanctionsCheck for its own sanctions screening.

Service Provider means an ACTAN Customer using ACTAN SanctionsCheck as part of its compliance services for its own mandate clients.

Mandate Client of a Service Provider means a customer of the Service Provider for whose customer or counterparty base sanctions screening is performed. This mandate client does not necessarily have a direct contractual relationship with ACTAN.

Data Subjects are, in particular, screened natural persons and natural persons connected with screened legal persons, such as beneficial owners, authorised signatories, controlling persons, senior managing officials, founders or settlors, beneficiaries, protectors or trustees.

For Direct Customers, the Direct Customer is generally the controller and ACTAN is the processor. Where the Service is used by a Service Provider, the Mandate Client of the Service Provider is generally the controller, the Service Provider is the processor of that Mandate Client, and ACTAN is the sub-processor of the Service Provider.

3. Controller and Contact

Where ACTAN processes personal data on behalf of an ACTAN Customer, data subject requests should generally be addressed to the relevant controller, i.e. the Direct Customer or the Mandate Client of the Service Provider. ACTAN supports the ACTAN Customer in handling such requests in accordance with the DPA.

4. Purpose of Data Processing

• carrying out sanctions list screenings against SECO and OFAC
• supporting statutory and regulatory due diligence and evidence obligations
• providing technical verification references for later integrity checks
• user administration, access control, system operation, support, notifications and billing
• operation and security of the marketing website

5. Categories of Data Subjects and Data in the Service

The complete list of supported role tokens and their maximum number per contracting party is documented in the mapping document for the customer list. Further information such as date of birth, private address or nationality is not read by the system unless expressly provided as a supported data field.

6. Storage and Deletion

Screening data is processed exclusively in working memory (RAM) and automatically deleted after completion of the screening process. This content data is not stored permanently by ACTAN. This applies regardless of whether the screening data is transmitted via self-service upload or via a locally installed agent. The locally installed agent adds an authentication token to the transmission but does not alter the type or scope of the screening data processed.

The PDF screening report containing clear names, screened names, match information or decision documentation is not stored by ACTAN. For later verifiability, technical verification references such as protocol ID, hash value, timestamp, screening type, source status and status information may be stored.

Technical system logs, error codes and security-relevant system events are processed to the extent required for operation, security and error analysis and are generally deleted or anonymised after no more than 30 days, unless longer retention is required for a specific security, support or evidentiary purpose.

Activity data, dispatch data, technical verification references, match and review-related processing data as well as account and billing data are stored only to the extent required and in accordance with the respective purpose. Account and billing data is generally retained for up to 10 years after the end of the contract.

Trial accounts and deletion in case of non-conversion: Trial accounts are activated for productive use for 30 days. If no full-license agreement is concluded within this period, the account is blocked. After a further 30 days, data uploaded by the customer and stored in the system during the trial is deleted, unless statutory or contractual retention obligations prevent deletion. Contractual documents such as sign-up confirmation and accepted contract versions remain retained within the scope of statutory retention obligations.

7. Use by Service Providers

Where a Service Provider uses ACTAN SanctionsCheck for its own mandate clients, ACTAN may process personal data originating from the customer or counterparty base of those mandate clients. In this constellation, the Mandate Client of the Service Provider is generally the controller, the Service Provider is the processor of that mandate client, and ACTAN is the sub-processor of the Service Provider.

The Service Provider is responsible for informing its mandate clients about the use of ACTAN SanctionsCheck, the relevant data categories, the processing chain, the sub-processors used and the technical and organisational measures. The Service Provider also ensures that it is authorised vis-à-vis its mandate clients to involve ACTAN.

If a Mandate Client of a Service Provider receives its own user access to the Service, such access takes place within the mandate context managed by the Service Provider. User actions may be logged as activity data.

8. Processors and Sub-Service Providers

We use the following carefully selected service providers to the extent required for operation, security, notification or website provision:

• Microsoft Azure, Switzerland (hosting infrastructure for primary processing of the Service; “Switzerland North” region)
• Twilio Ireland Ltd., EU/EEA (dispatch of notification SMS messages)
• MailListener2, Switzerland/EU (automated processing of incoming SECO and OFAC notifications via IMAP without permanent storage of customer data)
• Webflow Inc., USA (hosting of the marketing website; no processing of screening data from the Service)
• Cloudflare, Inc., USA (bot protection on web forms via Cloudflare Turnstile; no processing of screening data from the Service)

An up-to-date list of sub-service providers can be requested at compliance@actan.ch.

9. Cross-Border Data Transfers

The primary processing of screening data in the Service takes place in Swiss data centres. ACTAN does not permanently store screening data or PDF screening reports containing clear names.

For Twilio (EU/EEA), an adequacy decision exists under Art. 16 para. 1 lit. a FADP. Webflow and Cloudflare are based in the USA and may process technical access data in connection with the marketing website. Where required, we rely on appropriate safeguards, in particular standard contractual clauses and additional technical and organisational measures.

Screening data from ACTAN SanctionsCheck is not processed via the marketing website.

10. Account, User and Billing Data

ACTAN processes account, user and billing data for user administration, contract performance, provision of the Service, access control, notifications, support, billing and compliance with statutory retention obligations.

Several users may be managed per ACTAN Customer, for example mandate administrators, compliance officers and other authorised users. In particular, first and last name, business email address, optional mobile number for notifications, role, mandate context, login and activity data may be processed.

In addition, contract and billing data is processed per ACTAN Customer, in particular company, UID number, business address, billing address, subscription type, subscription term, booked add-ons and billing-relevant usage information.

This data is processed during the active contractual relationship and thereafter within the scope of statutory retention obligations, generally for up to 10 years after the end of the contract.

11. Legal Bases

Where ACTAN acts as processor or sub-processor, processing is carried out on the basis of the instructions of the relevant ACTAN Customer and the DPA. Where ACTAN pursues its own purposes, processing is carried out in particular for contract performance, compliance with statutory obligations, the protection of overriding legitimate interests, in particular security, operation and abuse prevention, or on the basis of consent where such consent is required.

12. Rights of Data Subjects

Data subjects have rights under the Swiss Federal Act on Data Protection, in particular rights of access, rectification, erasure, restriction of processing, data release and withdrawal of consent.

Where ACTAN processes data on behalf of an ACTAN Customer, ACTAN forwards data subject requests to the responsible ACTAN Customer or supports the Customer in accordance with the DPA. Requests concerning account, user, billing and website data can be sent directly to compliance@actan.ch.

13. Technical and Organisational Measures

• TLS-encrypted transmission
• processing of screening data in Swiss data centres
• role-based access controls and least-privilege principle
• tenant separation and user administration
• logging of security-relevant activity data
• regular security reviews, vulnerability scans and technical controls

Authentication and session management

When logging into the Service, a technically required session cookie is set. If the user selects the “Keep me signed in” option, an additional long-lived authentication cookie may be set. These cookies are used to provide the login function and generally contain no clear name, but only technical authentication information.

14. Changes

This Privacy Policy is updated whenever necessary. The current version is available at www.actan.io/en/legal/privacy-policy.

15. Data Processing on the Marketing Website actan.io

The following paragraphs describe data processing when visiting the publicly accessible marketing website at www.actan.io. This is separate from the ACTAN SanctionsCheck Service.

Hosting and technical access data

The website is hosted by Webflow Inc., USA. When the website is accessed, Webflow processes technical access data such as IP address, browser type, operating system, referrer URL, time of access and pages visited for the delivery of website content and for security purposes. Webflow may set technically necessary infrastructure cookies for this purpose.

No screening data from ACTAN SanctionsCheck and no PDF screening reports are processed on the marketing website.

No analytics, no marketing trackers

The marketing website does not use Google Analytics or other tracking tools. No cookies or comparable technologies are used for analytics, advertising or profiling purposes.

Functional storage on the end device: language preference

To respect a manual language selection, a technically necessary entry named actan_lang_chosen may be set in the device’s localStorage. This entry is used exclusively for language control, contains no personal reference and can be deleted via the browser settings.

Spam protection on forms

On forms of the marketing website, we use Cloudflare Turnstile to protect against automated abuse. Cloudflare processes technical signals, such as browser signals and IP address, to distinguish humans from bots. Persistent tracking cookies for advertising or analytics purposes are not set.

Contact form

When using the contact form, the information provided in the form, such as name, email address and message, is processed to handle your enquiry. The submission is transmitted via the Webflow form infrastructure to compliance@actan.ch. The data is not reused for marketing purposes.

Further information

General information about the website operator can be found in the legal notice at www.actan.io/en/legal/legal-notice.

Questions?

Privacy Policy – Change History