Zuletzt aktualisiert: 2026-05-18
1. Kontext — das revidierte DSG 2023
Das revidierte schweizerische Bundesgesetz über den Datenschutz (nDSG) ist am 1. September 2023 in Kraft getreten. Es ersetzt das DSG von 1992 und stärkt die Rechte der betroffenen Personen sowie die Pflichten der Verantwortlichen und Auftragsverarbeiter. ark.plan wurde von Anfang an so konzipiert, dass es diesen Rechtsrahmen einhält, noch bevor der Markt für europäische Kunden unter der DSGVO geöffnet wurde.
2. Warum ark.plan „nDSG-first" konzipiert ist
- 100% Hosting in der Schweiz der Anwendungsdaten bei Infomaniak Network SA in Genf.
- Isolation pro Instanz: jeder Kunde erhält einen dedizierten Docker-Container und eine isolierte PostgreSQL-Datenbank. Keine Kundendaten werden zwischen Instanzen geteilt.
- Verschlüsselung ruhender Credentials und OAuth-Tokens in AES-256-GCM.
- Anwendungsdaten ausschliesslich in der Schweiz gespeichert: nur der Zahlungsfluss läuft über Stripe Payments Europe Ltd. in Irland (EU). Optionale KI-Funktionen, jederzeit deaktivierbar, beinhalten die Übermittlung der betroffenen Texte an US-Subunternehmer (Anthropic, OpenAI, Google), abgedeckt durch Standardvertragsklauseln.
- Cookieloses Analytics (selbst gehostetes Umami), keine kommerziellen Drittanbieter-Tracker.
3. nDSG-Pflichten und unsere Antwort
| nDSG-Artikel | Pflicht | ark.plan-Antwort |
|---|---|---|
| Art. 5 | Begriffe (Daten, Bearbeitung, Profiling) | Terminologie in allen Rechtstexten konsequent verwendet |
| Art. 6 | Grundsätze: Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Richtigkeit, begrenzte Aufbewahrung | Zwecke und Fristen in der Datenschutzerklärung dargelegt |
| Art. 8 | Datensicherheit | Dokumentierte technische und organisatorische Massnahmen (Anhang A des AVV) |
| Art. 9 | Bearbeitung durch einen Auftragsverarbeiter | Als Anhang der AGB akzeptierter AVV; öffentliche Liste der Unterauftragsverarbeiter |
| Art. 12 | Verzeichnis der Bearbeitungstätigkeiten | Internes Verzeichnis, nicht publiziert, auf Verlangen des EDÖB verfügbar |
| Art. 16-17 | Grenzüberschreitende Bekanntgabe | Anwendungsdaten in der Schweiz; Stripe (EU) für Zahlungen; US-KI-Subunternehmer (Anthropic, OpenAI, Google) nur bei aktivierten KI-Funktionen, abgedeckt durch SCC |
| Art. 19-21 | Informationspflicht, automatisierte Entscheidungen | In der Datenschutzerklärung behandelt; keine automatisierten Einzelentscheidungen mit Rechtswirkung |
| Art. 22 | Datenschutz-Folgenabschätzung (DSFA) | Für die CRM-Bearbeitung durchgeführt, auf begründeten Antrag verfügbar |
| Art. 24 | Meldung von Verletzungen der Datensicherheit | Dokumentiertes Verfahren, Meldung an den EDÖB innerhalb von 72 Stunden |
| Art. 25 | Auskunftsrecht | Antwort innerhalb von 30 Tagen an unser Kontaktformular |
| Art. 28 | Recht auf Datenherausgabe | CSV-Export verfügbar (weitere Formate geplant) |
| Art. 30 | Persönlichkeitsverletzende Bearbeitungen, Widerspruchsrecht | Durch die Datenschutz-Kontaktstelle bearbeitet |
| Art. 32 | Recht auf Berichtigung und Löschung | Antwort innerhalb von 30 Tagen, unter Vorbehalt der Buchhaltungspflichten |
| Art. 49 | Beschwerde an den EDÖB | Kontaktdaten in der Datenschutzerklärung angegeben |
4. Querverweise
- Datenschutzerklärung — substanzielle Information
- Auftragsverarbeitungsvertrag (AVV) — Auftragsbearbeitung
- Allgemeine Geschäftsbedingungen — vertraglicher Rahmen
5. Datenschutz-Kontakt
unser Kontaktformular — +41 78 448 60 02
Bei Abweichungen zwischen den Sprachversionen ist die französische Fassung massgebend.