Kostenlos testen Testen
§99 Rechtliches REF. ARKSTOCK-LEGAL-DPA

Auftragsverarbeitungsvertrag (AVV)

Zuletzt aktualisiert : 14. April 2026.

Zuletzt aktualisiert: 14. April 2026

Der vorliegende Auftragsverarbeitungsvertrag („AVV") wird zwischen dem Kunden (der „Verantwortliche") und ark.swiss sàrl („ark.swiss sàrl") abgeschlossen. Er bildet einen untrennbaren Anhang der Allgemeinen Geschäftsbedingungen („AGB") und gilt ab deren Annahme. Er ist gemäss Art. 28 der Datenschutz-Grundverordnung (DSGVO) und Art. 9 des revidierten Bundesgesetzes über den Datenschutz (nDSG) abgefasst.

1. Parteien

  • Verantwortlicher: der bei Abschluss des ark.stock-Abonnements identifizierte Kunde.
  • Auftragsverarbeiter: ark.swiss sàrl, CHE-139.880.181, Chemin de la Duchesne 13, 1806 St-Légier, canton de Vaud, Suisse.

2. Gegenstand und Anwendungsbereich

Der vorliegende AVV regelt die Bearbeitung personenbezogener Daten durch ark.swiss sàrl im Auftrag des Verantwortlichen im Rahmen des Betriebs der ark.stock-Suite (Produkte ark.stock Compta, ark.stock Fiduciaire und, demnächst, ark.stock Budget). Er gilt für alle personenbezogenen Daten in der Instanz des Verantwortlichen, mit Ausnahme der Daten, die ark.swiss sàrl zu eigenen Zwecken bearbeitet (Verwaltungskonto, Rechnungsstellung, Dienstsicherheit).

3. Einzelheiten der Bearbeitung

3.1 Art und Zweck

ark.swiss sàrl bearbeitet die Daten ausschliesslich zum Zweck des Hostings und Betriebs der Instanz, die dem Verantwortlichen zur Verfügung gestellt wird, gemäss den AGB und den dokumentierten Weisungen des Verantwortlichen.

3.2 Kategorien betroffener Personen

  • Mitarbeitende und Nutzer des Verantwortlichen
  • Kunden, Mandanten und Kontakte des Verantwortlichen (Drittdaten)
  • Lieferanten und Partner des Verantwortlichen
  • In die Instanz eingetragene Interessenten

3.3 Kategorien bearbeiteter Daten

  • Identitätsdaten (Vorname, Name, E-Mail, Telefon, Adresse)
  • Buchhaltungs- und Treuhanddaten (Buchungen, Belege, Salden, MWST)
  • Transaktionsdaten (Rechnungen, Zahlungen, Kontoauszüge)
  • Private oder geschäftliche Budgetdaten (ark.stock Budget)
  • Vom Verantwortlichen erfasste Notizen, Dateianhänge und Interaktionsverlauf
  • Technische Kennungen (Zugriffsprotokolle, Session-IDs)

In der ursprünglichen Version des Dienstes bearbeitet ark.swiss sàrl im Auftrag des Verantwortlichen keine besonders schützenswerten Daten im Sinne von Art. 5 lit. c DSG oder Art. 9 DSGVO. Sollte der Verantwortliche solche Daten einbringen, verpflichtet er sich, ark.swiss sàrl vorgängig zu informieren.

3.4 Dauer der Bearbeitung

Die Bearbeitung gilt für die gesamte Dauer des Dienstvertrags sowie für die in Ziffer 11 vorgesehene Nachbearbeitungsfrist von 90 Tagen und darüber hinaus für gesetzliche Aufbewahrungsfristen (insbesondere von ark.swiss sàrl ausgestellte Rechnungen, Art. 958f OR).

4. Pflichten des Verantwortlichen

  • Die Rechtmässigkeit der Bearbeitung sicherstellen und über eine angemessene Rechtsgrundlage im Sinne von Art. 31 DSG und Art. 6 DSGVO verfügen.
  • Die eigenen betroffenen Personen gemäss Art. 19 DSG und Art. 13 DSGVO informieren.
  • Die Rechte der betroffenen Personen in erster Linie wahren (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch).
  • ark.swiss sàrl bei Bedarf schriftliche Weisungen erteilen und deren Rechtmässigkeit sicherstellen.
  • Die Zugriffsrechte seiner Nutzer in der Instanz korrekt konfigurieren.

5. Pflichten von ark.swiss sàrl (Art. 28 DSGVO, Art. 9 DSG)

  • Rechtmässigkeit der Weisungen: Daten nur auf dokumentierte Weisung des Verantwortlichen bearbeiten, sofern keine zwingende gesetzliche Verpflichtung entgegensteht (in diesem Fall informiert ark.swiss sàrl den Verantwortlichen, sofern das Gesetz dies nicht untersagt).
  • Vertraulichkeit: sicherstellen, dass die berechtigten Mitarbeitenden einer vertraglichen und gegebenenfalls gesetzlichen Geheimhaltungspflicht unterliegen.
  • Sicherheit: die in Ziffer 6 beschriebenen technischen und organisatorischen Massnahmen umsetzen.
  • Unterauftragsverarbeitung: nur die in Ziffer 7 zugelassenen Unterauftragsverarbeiter beiziehen; jede Änderung mit einer Frist anzeigen, die dem Verantwortlichen den Widerspruch erlaubt.
  • Unterstützung: den Verantwortlichen bei der Erfüllung seiner Pflichten unterstützen — Beantwortung von Anfragen betroffener Personen, Datenschutz-Folgenabschätzungen (DSFA), vorherige Konsultation der Behörde — in angemessenem und verhältnismässigem Umfang.
  • Meldung von Verletzungen: den Verantwortlichen ohne unangemessene Verzögerung und spätestens innert 72 Stunden nach Kenntnisnahme einer Verletzung benachrichtigen (Ziffer 8).
  • Löschung oder Rückgabe: bei Vertragsende gemäss Weisungen des Verantwortlichen die Daten zurückgeben oder löschen (Ziffer 11).
  • Dokumentation: dem Verantwortlichen sämtliche Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der Pflichten dieses AVV erforderlich sind.

6. Technische und organisatorische Massnahmen (TOM)

Die vollständige Massnahmenliste wird auf der Seite Sicherheit veröffentlicht und aktuell gehalten. Zusammenfassend:

  • Verschlüsselung während der Übertragung: TLS 1.3 standardmässig aktiviert (TLS 1.2 Minimum), HSTS mit Preload, automatisch erneuerte Let's-Encrypt-Zertifikate.
  • Verschlüsselung ruhender Daten: AES-256-GCM für Credentials, OAuth-Tokens, Secrets; Volumenverschlüsselung auf Hosting-Ebene bei Infomaniak.
  • Authentifizierung: Passwort-Hashing mit Argon2id (OWASP-empfohlene Parameter), obligatorische MFA auf Administratorkonten von ark.swiss sàrl.
  • Single-Tenant-Isolation: jede Instanz in einem dedizierten Docker-Container, isoliertes Bridge-Netzwerk, separate PostgreSQL-Datenbank.
  • Backups: GFS-Strategie (Grandfather-Father-Son) — täglich (7 T.), wöchentlich (4 Wochen), monatlich (12 Monate), verschlüsselt, vierteljährliche Wiederherstellungstests.
  • Zugangskontrolle: Prinzip der minimalen Rechte, vierteljährliche Rechteüberprüfung, Umgebungstrennung (Prod / Staging / Dev).
  • Protokollierung: Anwendungs- und Zugriffs-Audit-Logs 12 Monate aufbewahrt, monatliche Überprüfung privilegierter Zugriffe.
  • Incident Management: dokumentiertes Verfahren, benannter Verantwortlicher, Reaktions-Runbook, Ziel-Reaktionszeit < 4 Arbeitsstunden.
  • Schulung: jährliche Schulung des Personals zu Datenschutz und Sicherheit.
  • Management der Unterauftragsverarbeiter: halbjährliche Überprüfung, abgestimmte AVV-Klauseln (Flow-Down), Bewertung der Sicherheitsmassnahmen.
  • Sichere Löschung: definitive Löschung 90 Tage nach Vertragsende, ausgenommen gesetzliche Buchhaltungspflichten.

7. Zugelassene Unterauftragsverarbeiter

Der Verantwortliche ermächtigt ark.swiss sàrl, folgende Unterauftragsverarbeiter für die angegebenen Zwecke beizuziehen:

NameLandRolleGrundlage der Übermittlung
Infomaniak Network SAGenf, SchweizAnwendungs- und Datenbankhosting, transaktionales SMTPSchweiz — Land mit Angemessenheitsbeschluss (EU) und angemessenes Drittland (Schweiz)
Stripe Payments Europe Ltd.Dublin, IrlandKartenzahlungsabwicklungEU — Binnenmarkt
Cloudflare, Inc.San Francisco, USACDN, DNS, WAF, Anti-DDoS-SchutzEU-Standardvertragsklauseln (SCC) + EU-US Data Privacy Framework
OpenAI Ireland Ltd.Dublin, IrlandKI-Modelle zur Buchhaltungskategorisierung und Assistenz (optional, vom Verantwortlichen aktiviert)EU — mit vertraglichem Training-Opt-out
Anthropic Ireland Ltd.Dublin, IrlandKI-Modelle für Assistenz und Textgenerierung (optional)EU — mit vertraglichem Training-Opt-out
Google Cloud EMEA Ltd.Dublin, IrlandErgänzende KI-Modelle (optional)EU — mit vertraglichem Training-Opt-out
Umami (selbst gehostet durch ark.swiss sàrl)SchweizCookieloses Audience-Measurement auf arkstock.chSchweiz (unter direkter Verantwortung von ark.swiss sàrl)

Jeder neue Unterauftragsverarbeiter wird dem Verantwortlichen mit einer Vorankündigung von 30 Tagen mitgeteilt (öffentliche Liste in diesem AVV sowie auf der Seite Datenschutzerklärung). Der Verantwortliche hat ein begründetes Widerspruchsrecht; bei einem vernünftigen und nicht beigelegten Widerspruch kann der Verantwortliche den Vertrag kostenlos kündigen.

8. Meldung von Verletzungen

Bei einer Verletzung der Datensicherheit in Bezug auf die im Auftrag des Verantwortlichen bearbeiteten Daten benachrichtigt ark.swiss sàrl den Verantwortlichen ohne unangemessene Verzögerung, spätestens jedoch innert 72 Stunden nach Kenntnisnahme. Die Meldung enthält, soweit verfügbar:

  • die Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen;
  • die Kategorien und die ungefähre Zahl der betroffenen Datensätze;
  • die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Massnahmen zur Behebung;
  • die Kontaktdaten einer Kontaktstelle für weitere Informationen.

ark.swiss sàrl wirkt mit dem Verantwortlichen bei der Meldung an die zuständige Aufsichtsbehörde (EDÖB, CNIL usw.) und gegebenenfalls an die betroffenen Personen mit (Art. 24 DSG, Art. 33–34 DSGVO).

9. Internationale Übermittlungen

Die Anwendungsdaten des Verantwortlichen werden ausschliesslich in der Schweiz gehostet. Übermittlungen in die Europäische Union (Stripe, OpenAI, Anthropic, Google Cloud EMEA) sind durch den Binnenmarkt abgedeckt und für die Schweiz durch die gegenseitige Anerkennung der Angemessenheit. Die Übermittlung an Cloudflare (USA) wird durch die von der Europäischen Kommission 2021 erlassenen Standardvertragsklauseln (SCC), ergänzt um zusätzliche Massnahmen (Verschlüsselung, Minimierung), sowie subsidiär durch das EU-US Data Privacy Framework abgesichert.

10. Audit-Recht

Der Verantwortliche hat ein Recht zur Prüfung von ark.swiss sàrl zur Überprüfung der Einhaltung des vorliegenden AVV. Modalitäten:

  • Dokumentenaudit: einmal jährlich, kostenlos — ark.swiss sàrl beantwortet angemessene Sicherheitsfragebögen (CAIQ, SIG) innert 30 Tagen.
  • Vor-Ort-Audit: mit schriftlicher Vorankündigung von 30 Tagen möglich, begrenzt auf eines pro Jahr, auf Kosten des Verantwortlichen, vorbehältlich einer vorgängigen gegenseitigen Vertraulichkeitsvereinbarung (NDA) und unter Bedingungen, welche die Sicherheit oder Vertraulichkeit anderer Kunden nicht beeinträchtigen.
  • Drittaudit: möglich nach Einigung über die Wahl des (unabhängigen und qualifizierten) Prüfunternehmens und auf Kosten des Verantwortlichen.

ark.swiss sàrl kann eine Vor-Ort-Prüfung durch einen aktuellen unabhängigen Prüfbericht (z. B. ISAE 3000, SOC 2, ISO 27001) ersetzen, sofern dieser verfügbar und vom Verantwortlichen als ausreichend erachtet wird.

11. Löschung oder Rückgabe

Bei Vertragsende, auf schriftliche Weisung des Verantwortlichen:

  • Export: ark.swiss sàrl stellt während 90 Tagen einen Export in offenen Formaten zur Verfügung (JSON, CSV; nativer Crésus-Export für ark.stock Compta).
  • Löschung: nach dieser Frist oder auf früheren Antrag des Verantwortlichen löscht ark.swiss sàrl die Daten der Instanz sowie die Backups nach deren normalem Aufbewahrungszyklus endgültig.
  • Gesetzliche Ausnahme: die von ark.swiss sàrl an den Verantwortlichen ausgestellten Rechnungen werden gemäss Art. 958f OR 10 Jahre aufbewahrt; diese Pflicht geht dem Löschrecht vor.

Auf Anfrage stellt ark.swiss sàrl eine unterzeichnete Löschungsbestätigung aus.

12. Dauer und Kündigung

Dieser AVV tritt mit Annahme der AGB in Kraft und bleibt so lange gültig, wie ark.swiss sàrl personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet. Er endet automatisch mit Erfüllung der nachvertraglichen Pflichten gemäss Ziffer 11. Die Klauseln zur Vertraulichkeit, Haftung und zum anwendbaren Recht überdauern das Vertragsende.

13. Haftung

Jede Partei haftet für ihre eigenen Verletzungen dieses AVV. Die Haftung von ark.swiss sàrl gegenüber dem Verantwortlichen ist gemäss Ziffer 12 der AGB auf den Gesamtbetrag der vom Verantwortlichen in den 12 Monaten vor dem schadensauslösenden Ereignis effektiv bezahlten Abonnemente begrenzt, vorbehältlich Art. 100 OR (Vorsatz, grobe Fahrlässigkeit, Verletzung von Leib, Leben oder Gesundheit) und zwingender datenschutzrechtlicher Pflichten.

14. Anwendbares Recht und Gerichtsstand

Dieser AVV untersteht ausschliesslich dem schweizerischen Recht. Jeder Rechtsstreit wird der ausschliesslichen Zuständigkeit der Gerichte von Lausanne, Kanton Waadt, unterstellt, unter Vorbehalt des zwingenden Konsumentengerichtsstands gemäss Art. 35 ZPO.

15. Unterzeichnung und Annahme

Die Annahme der AGB durch den Verantwortlichen bei Vertragsabschluss gilt als Annahme dieses AVV (elektronische Annahme, mit Zeitstempel versehen und archiviert). Auf schriftliche Anfrage an privacy@ark.swiss kann eine von beiden Parteien unterzeichnete PDF-Fassung bereitgestellt werden, wenn die interne Governance des Kunden dies erfordert.

16. Datenschutz-Kontakt

ark.swiss sàrl ist nicht gesetzlich verpflichtet, eine/n Datenschutzbeauftragte/n im Sinne von Art. 37 DSGVO zu ernennen. Anfragen zum vorliegenden AVV, Meldungen und Audits werden an der dedizierten Kontaktstelle zentralisiert:

ark.swiss sàrl
Chemin de la Duchesne 13, 1806 St-Légier, canton de Vaud, Suisse
E-Mail: privacy@ark.swiss

Bei Abweichungen zwischen den Sprachversionen ist die französische Fassung massgebend.