nDSG-Verpflichtung
Letzte Aktualisierung: 2026-04-11
Zuletzt aktualisiert: 2026-04-11
1. Kontext — das revidierte DSG 2023
Das revidierte schweizerische Bundesgesetz über den Datenschutz (nDSG) ist am 1. September 2023 in Kraft getreten. Es ersetzt das DSG von 1992 und stärkt die Rechte der betroffenen Personen sowie die Pflichten der Verantwortlichen und Auftragsverarbeiter. arkplan wurde von Anfang an so konzipiert, dass es diesen Rechtsrahmen einhält, noch bevor der Markt für europäische Kunden unter der DSGVO geöffnet wurde.
2. Warum arkplan „nDSG-first" konzipiert ist
- 100% Hosting in der Schweiz der Anwendungsdaten bei Infomaniak Network SA in Genf.
- Isolation pro Instanz: jeder Kunde erhält einen dedizierten Docker-Container und eine isolierte PostgreSQL-Datenbank. Keine Kundendaten werden zwischen Instanzen geteilt.
- Verschlüsselung ruhender Credentials und OAuth-Tokens in AES-256-GCM.
- Keine Anwendungsübermittlung ausserhalb der Schweiz in Version 1: nur der Zahlungsfluss läuft über Stripe Payments Europe Ltd. in Irland, in einem angemessenen EU-Rahmen.
- Cookieloses Analytics (selbst gehostetes Umami), keine kommerziellen Drittanbieter-Tracker.
3. nDSG-Pflichten und unsere Antwort
| nDSG-Artikel | Pflicht | arkplan-Antwort |
|---|---|---|
| Art. 5 | Begriffe (Daten, Bearbeitung, Profiling) | Terminologie in allen Rechtstexten konsequent verwendet |
| Art. 6 | Grundsätze: Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Richtigkeit, begrenzte Aufbewahrung | Zwecke und Fristen in der Datenschutzerklärung dargelegt |
| Art. 8 | Datensicherheit | Dokumentierte technische und organisatorische Massnahmen (Anhang A des AVV) |
| Art. 9 | Bearbeitung durch einen Auftragsverarbeiter | Als Anhang der AGB akzeptierter AVV; öffentliche Liste der Unterauftragsverarbeiter |
| Art. 12 | Verzeichnis der Bearbeitungstätigkeiten | Internes Verzeichnis, nicht publiziert, auf Verlangen des EDÖB verfügbar |
| Art. 16-17 | Grenzüberschreitende Bekanntgabe | Keine Anwendungsübermittlung ausserhalb der Schweiz; Stripe (EU) einziger Empfänger für Zahlungen |
| Art. 19-21 | Informationspflicht, automatisierte Entscheidungen | In der Datenschutzerklärung behandelt; keine automatisierten Einzelentscheidungen mit Rechtswirkung |
| Art. 22 | Datenschutz-Folgenabschätzung (DSFA) | Für die CRM-Bearbeitung durchgeführt, auf begründeten Antrag verfügbar |
| Art. 24 | Meldung von Verletzungen der Datensicherheit | Dokumentiertes Verfahren, Meldung an den EDÖB innerhalb von 72 Stunden |
| Art. 25 | Auskunftsrecht | Antwort innerhalb von 30 Tagen an [email protected] |
| Art. 28 | Recht auf Datenherausgabe | JSON/CSV-Export verfügbar |
| Art. 30 | Persönlichkeitsverletzende Bearbeitungen, Widerspruchsrecht | Durch die Datenschutz-Kontaktstelle bearbeitet |
| Art. 32 | Recht auf Berichtigung und Löschung | Antwort innerhalb von 30 Tagen, unter Vorbehalt der Buchhaltungspflichten |
| Art. 49 | Beschwerde an den EDÖB | Kontaktdaten in der Datenschutzerklärung angegeben |
4. Querverweise
- Datenschutzerklärung — substanzielle Information
- Auftragsverarbeitungsvertrag (AVV) — Auftragsbearbeitung
- Allgemeine Geschäftsbedingungen — vertraglicher Rahmen
5. Datenschutz-Kontakt
[email protected] — +41 78 448 60 02
Bei Abweichungen zwischen den Sprachversionen ist die französische Fassung massgebend.