1. Kontext — das revidierte DSG 2023
Das revidierte schweizerische Bundesgesetz über den Datenschutz (nDSG) ist am 1. September 2023 in Kraft getreten. Es ersetzt das DSG von 1992 und stärkt die Rechte der betroffenen Personen sowie die Pflichten der Verantwortlichen und Auftragsverarbeiter. ark.stock wurde so konzipiert, dass es diesen Rechtsrahmen einhält, parallel zur Einhaltung der DSGVO für europäische Kunden.
2. Warum ark.stock „nDSG-first" konzipiert ist
- 100% Hosting in der Schweiz der Anwendungsdaten bei Infomaniak Network SA in Genf.
- Isolation pro Instanz: jeder Kunde erhält einen dedizierten Container und eine isolierte Datenbank. Keine Kundendaten werden zwischen Instanzen geteilt.
- Verschlüsselung ruhender Credentials, Tokens und sensibler Dokumente in AES-256-GCM.
- Keine Anwendungsübermittlung ausserhalb der Schweiz für Buchhaltungs- und Treuhanddaten; nur die Zahlungsströme (Stripe, EU) und CDN/DNS (Cloudflare, US, unter SCC und Angemessenheit) bedingen eine Übermittlung.
- Cookieloses Analytics (selbst gehostetes Umami), keine kommerziellen Drittanbieter-Tracker.
- Optionale und kontrollierte KI: KI-Anbieter werden nur bei Aktivierung durch den Kunden eingesetzt, unter Verträgen, die das Training ihrer Modelle auf Kundendaten untersagen.
3. nDSG-Pflichten und unsere Antwort
| nDSG-Artikel | Pflicht | ark.stock-Antwort |
|---|---|---|
| Art. 5 | Begriffe (Daten, Bearbeitung, Profiling) | Terminologie in allen Rechtstexten konsequent verwendet |
| Art. 6 | Grundsätze: Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Richtigkeit, begrenzte Aufbewahrung | Zwecke und Fristen in der Datenschutzerklärung dargelegt |
| Art. 8 | Datensicherheit | Dokumentierte technische und organisatorische Massnahmen; periodische Überprüfung |
| Art. 9 | Bearbeitung durch einen Auftragsverarbeiter | Rahmenklauseln in den AGB; öffentliche Liste der Unterauftragsverarbeiter |
| Art. 12 | Verzeichnis der Bearbeitungstätigkeiten | Internes Verzeichnis, nicht publiziert, auf Verlangen des EDÖB verfügbar |
| Art. 16-17 | Grenzüberschreitende Bekanntgabe | Anwendungsdaten in der Schweiz; Stripe (EU) und Cloudflare (US, SCC + Angemessenheit) für die jeweiligen Zwecke |
| Art. 19-21 | Informationspflicht, automatisierte Entscheidungen | In der Datenschutzerklärung behandelt; keine automatisierten Einzelentscheidungen mit Rechtswirkung |
| Art. 22 | Datenschutz-Folgenabschätzung (DSFA) | Für KI- und Buchhaltungsbearbeitungen durchgeführt, auf begründeten Antrag verfügbar |
| Art. 24 | Meldung von Verletzungen der Datensicherheit | Dokumentiertes Verfahren, Meldung an den EDÖB innerhalb von 72 Stunden |
| Art. 25 | Auskunftsrecht | Antwort innerhalb von 30 Tagen an privacy@ark.swiss |
| Art. 28 | Recht auf Datenherausgabe | JSON/CSV-Export und nativer Crésus-Export (Compta) verfügbar |
| Art. 30 | Persönlichkeitsverletzende Bearbeitungen, Widerspruchsrecht | Durch die Datenschutz-Kontaktstelle bearbeitet |
| Art. 32 | Recht auf Berichtigung und Löschung | Antwort innerhalb von 30 Tagen, unter Vorbehalt der 10-jährigen Buchhaltungspflichten |
| Art. 49 | Beschwerde an den EDÖB | Kontaktdaten in der Datenschutzerklärung angegeben |
4. Technische und organisatorische Massnahmen (Überblick)
- Übertragung: TLS 1.2 Minimum, HSTS, strenge CSP-Header.
- Ruhend: AES-256-GCM für Secrets und Tokens; verschlüsselte Datenträger auf Infrastrukturebene.
- Zugriff: obligatorische MFA für Administratoren; vollständige Protokollierung; vierteljährliche Rechteüberprüfung.
- Resilienz: tägliche verschlüsselte Backups, monatlich getestet.
- Organisation: interne Schulung, Vertraulichkeitsverpflichtungen für alle Personen mit Zugriff auf Produktionssysteme.
5. Querverweise
- Datenschutzerklärung — substanzielle Information
- Cookie-Richtlinie — Tracker und lokaler Speicher
- Allgemeine Geschäftsbedingungen — vertraglicher Rahmen
- Auftragsverarbeitungsvertrag (AVV) — Auftragsverarbeitung (Art. 28 DSGVO / Art. 9 nDSG)
6. Datenschutz-Kontakt
Bei Abweichungen zwischen den Sprachversionen ist die französische Fassung massgebend.