Instanz erstellen

Auftragsverarbeitungsvertrag (AVV)

Letzte Aktualisierung: 2026-04-11

Zuletzt aktualisiert: 2026-04-11

Der vorliegende Auftragsverarbeitungsvertrag („AVV") wird zwischen dem Kunden (der „Verantwortliche") und ark.swiss Sàrl („ark.swiss Sàrl") abgeschlossen. Er bildet einen untrennbaren Anhang der Allgemeinen Geschäftsbedingungen (AGB) und gilt ab deren Annahme. Er ist gemäss Art. 9 des Bundesgesetzes über den Datenschutz (DSG) und Art. 28 der Datenschutz-Grundverordnung (DSGVO) abgefasst.

1. Parteien

  • Verantwortlicher: der bei Vertragsabschluss identifizierte Kunde.
  • Auftragsverarbeiter: ark.swiss Sàrl, CHE-139.880.181, Chemin de la Duchesne 13, 1806 St-Légier, canton de Vaud, Suisse.

2. Gegenstand und Dauer

Der AVV gilt für die gesamte Dauer des Dienstvertrags sowie für die in den AGB vorgesehene 30-tägige Nachbearbeitungsfrist und darüber hinaus für gesetzliche Aufbewahrungsfristen (insbesondere Rechnungen, Art. 958f OR).

3. Art, Zweck und Umfang der Bearbeitung

ark.swiss Sàrl bearbeitet die vom Verantwortlichen anvertrauten personenbezogenen Daten ausschliesslich zum Hosting und Betrieb der dem Verantwortlichen zur Verfügung gestellten arkplan-Instanz, gemäss den AGB und den dokumentierten Weisungen des Verantwortlichen.

4. Kategorien betroffener Personen

  • Kontakte und Endkunden des Verantwortlichen
  • Mitarbeitende des Verantwortlichen
  • Interessenten und Dritte in Beziehung zum Verantwortlichen

5. Kategorien bearbeiteter Daten

  • Identitätsdaten (Vorname, Name, E-Mail, Telefon, Adresse)
  • Transaktionsdaten (vom Verantwortlichen ausgestellte Rechnungen, Zahlungen, Beträge)
  • Vom Verantwortlichen erfasste Notizen und Interaktionsverlauf
  • Kalenderereignisse und Buchungen
  • Vom Verantwortlichen hochgeladene Dateianhänge (Bilder, PDF)

6. Pflichten des Verantwortlichen

  • Die Rechtmässigkeit der Bearbeitung sicherstellen (angemessene Rechtsgrundlage).
  • Die eigenen betroffenen Personen gemäss Art. 19 DSG und Art. 13 DSGVO informieren.
  • Die Rechte der betroffenen Personen in erster Linie wahren.
  • ark.swiss Sàrl bei Bedarf schriftliche Weisungen erteilen.

7. Pflichten von ark.swiss Sàrl

  • Rechtmässigkeit der Weisungen: Daten nur auf dokumentierte Weisung des Verantwortlichen bearbeiten, sofern keine gesetzliche Verpflichtung entgegensteht.
  • Vertraulichkeit: sicherstellen, dass die berechtigten Mitarbeitenden einer vertraglichen oder gesetzlichen Geheimhaltungspflicht unterliegen.
  • Sicherheit: die in Anhang A beschriebenen technischen und organisatorischen Massnahmen umsetzen.
  • Unterstützung: den Verantwortlichen angemessen bei Anfragen betroffener Personen und bei Datenschutz-Folgenabschätzungen (DSFA) unterstützen.
  • Meldung von Verletzungen: dem Verantwortlichen jede Sicherheitsverletzung innert 24 Stunden nach Kenntnisnahme melden.
  • Rückgabe oder Löschung: bei Vertragsende die Daten (JSON/CSV-Export) nach Weisung des Verantwortlichen innert 30 Tagen zurückgeben oder löschen.
  • Dokumentation: die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung stellen.

8. Zugelassene Unterauftragsverarbeiter

Der Verantwortliche ermächtigt ark.swiss Sàrl, folgende Unterauftragsverarbeiter beizuziehen:

  • Infomaniak Network SA, Rue Eugène-Marziano 25, 1227 Genf, Schweiz — Anwendungs- und Datenbankhosting, transaktionales SMTP.
  • Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland — Zahlungsabwicklung. Stripe ist in einem Land mit angemessenem Schutzniveau (EU) niedergelassen.

Jeder neue Unterauftragsverarbeiter wird dem Verantwortlichen mit einer Vorankündigung von 30 Tagen mitgeteilt. Der Verantwortliche hat ein begründetes Widerspruchsrecht; bei einem vernünftigen und nicht beigelegten Widerspruch kann der Verantwortliche den Vertrag kostenlos kündigen.

9. Internationale Übermittlungen

In Version 1 des Dienstes erfolgt keine Datenübermittlung ausserhalb EWR/Schweiz. Da Stripe Payments Europe Ltd. in Irland (EU) niedergelassen ist, ist die Übermittlung durch den EU-Binnenmarkt abgedeckt. Sollte eine Übermittlung ausserhalb EWR erforderlich werden, verpflichtet sich ark.swiss Sàrl, die von der Europäischen Kommission erlassenen Standardvertragsklauseln (SCC) oder einen Angemessenheitsbeschluss zu nutzen und den Verantwortlichen vorgängig zu informieren.

10. Rechte der betroffenen Personen

ark.swiss Sàrl unterstützt den Verantwortlichen unentgeltlich bei der Beantwortung, soweit möglich und mit geeigneten technischen und organisatorischen Massnahmen, von Anträgen auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit.

11. Sicherheitsverletzungen

Bei einer Datenschutzverletzung meldet ark.swiss Sàrl dem Verantwortlichen ohne unangemessene Verzögerung, spätestens jedoch innert 24 Stunden nach Kenntnisnahme. Die Meldung enthält mindestens: Art der Verletzung, Kategorien und ungefähre Anzahl betroffener Personen, ergriffene oder vorgeschlagene Massnahmen, Kontaktstelle. ark.swiss Sàrl wirkt bei der Meldung an Behörden und Betroffene mit.

12. Audit

Der Verantwortliche kann einmal jährlich ein kostenloses Dokumentenaudit zur Überprüfung der Einhaltung dieses AVV durch ark.swiss Sàrl verlangen. Ein Vor-Ort-Audit kann auf Kosten des Verantwortlichen mit 30 Tagen Vorankündigung erfolgen, begrenzt auf eines pro Jahr und unter einer gegenseitigen Vertraulichkeitsvereinbarung. ark.swiss Sàrl bemüht sich, angemessene Sicherheitsfragebögen fristgerecht zu beantworten.

13. Rückgabe oder Löschung

Bei Vertragsende, auf schriftliche Weisung des Verantwortlichen, gibt ark.swiss Sàrl die Daten (JSON/CSV-Export) zurück oder löscht sie innert 30 Tagen. Daten, die ark.swiss Sàrl gesetzlich aufbewahren muss, insbesondere Buchhaltungsrechnungen während 10 Jahren (Art. 958f OR), sind von dieser Pflicht ausgenommen.

14. Haftung

Jede Partei haftet für ihre eigenen Verletzungen dieses AVV. Die Haftung von ark.swiss Sàrl gegenüber dem Verantwortlichen ist auf den Gesamtbetrag der vom Verantwortlichen in den 12 Monaten vor dem schadensauslösenden Ereignis effektiv bezahlten Abonnemente begrenzt, vorbehältlich Art. 100 OR (Vorsatz, grobe Fahrlässigkeit, Verletzung von Leib, Leben oder Gesundheit).

15. Anwendbares Recht und Gerichtsstand

Dieser AVV untersteht dem schweizerischen Recht. Ausschliesslicher Gerichtsstand ist Lausanne, Kanton Waadt, unter Vorbehalt des zwingenden Konsumentengerichtsstands.

Anhang A — Technische und organisatorische Massnahmen (TOMs)

  • Verschlüsselung während Übertragung: TLS 1.2 Minimum, HSTS aktiviert.
  • Verschlüsselung ruhender Daten: AES-256-GCM für Credentials und OAuth-Tokens; Volumenverschlüsselung auf Hosting-Ebene.
  • Isolation: jede Instanz in einem dedizierten Docker-Container, isoliertes Bridge-Netzwerk, separate PostgreSQL-Datenbank.
  • Backups: täglich, verschlüsselt, 30 Tage aufbewahrt, vierteljährliche Wiederherstellungstests.
  • Zugangskontrolle: Prinzip der minimalen Rechte, obligatorische Mehrfaktor-Authentifizierung (MFA) auf allen Administratorkonten.
  • Protokollierung: Zugriffsprotokolle 12 Monate aufbewahrt, monatliche Überprüfung privilegierter Zugriffe.
  • Incident Management: dokumentiertes Verfahren, benannter Verantwortlicher, Ziel-Reaktionszeit < 4 Arbeitsstunden.
  • Schulung: jährliche Schulung des Personals zu Datenschutz und Sicherheit.
  • Management der Unterauftragsverarbeiter: halbjährliche Überprüfung, Bewertung der Sicherheitsmassnahmen.
  • Sichere Löschung: definitive Löschung 30 Tage nach Vertragsende, ausgenommen gesetzliche Buchhaltungspflichten.

Anhang B — Liste der Unterauftragsverarbeiter

NameLandDienstleistungBetroffene Daten
Infomaniak Network SASchweizHosting + SMTPAlle Daten der Instanz
Stripe Payments Europe Ltd.Irland (EU)ZahlungenRechnungskennungen, Beträge, Karten-Tokens

Annahme

Die Annahme der AGB durch den Verantwortlichen gilt als Annahme dieses AVV. Eine angenommene Fassung wird mit Zeitstempel archiviert. Eine von beiden Parteien unterzeichnete PDF-Fassung kann auf schriftliche Anfrage an [email protected] bereitgestellt werden.

Bei Abweichungen zwischen den Sprachversionen ist die französische Fassung massgebend.