Gültig ab 01.02.2026
zwischen
(1) Arcarius GmbH, Hueberstrasse 8A, 8304 Wallisellen, Schweiz („Arcarius“)
und
(2) Kunde gemäss Vereinbarung / AGB („Kunde“)
gemeinsam die „Parteien“.
0.1 Diese AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Bearbeitung von Personendaten durch Arcarius im Auftrag des Kunden im Rahmen der Nutzung der Arcarius-Plattform („Services“). Sie ist Bestandteil der Vereinbarung (AGB) („Hauptvertrag“).
0.2 Diese AVV gilt nur, soweit Arcarius im Rahmen der Services Personendaten im Auftrag des Kunden bearbeitet („Kunden-Personendaten“). Für Bearbeitungen, bei denen Arcarius selbst Verantwortlicher ist, gilt diese AVV nicht.
0.3 Vorrang: Bei Widersprüchen geht diese AVV im Umfang ihrer datenschutzrechtlichen Regelung dem Hauptvertrag vor. Im Übrigen bleibt der Hauptvertrag anwendbar (insb. Haftungs-/Gewährleistung, Laufzeit, Gerichtsstand).
0.4 Diese AVV gilt im Verhältnis zu (i) dem Schweizer Datenschutzgesetz („DSG“) und der Datenschutzverordnung („DSV“) sowie (ii) sofern und soweit anwendbar der EU-Datenschutz-Grundverordnung („EU-DSGVO“).
1.1 Personendaten / personenbezogene Daten: Bedeutung gemäss DSG bzw. EU-DSGVO.
1.2 Verantwortlicher / Controller: Der Kunde, soweit er Zweck und Mittel der Bearbeitung der Kunden-Personendaten bestimmt.
1.3 Auftragsbearbeiter / Processor: Arcarius, soweit Arcarius Kunden-Personendaten im Auftrag des Kunden bearbeitet.
1.4 Unter-Auftragsbearbeiter / Sub-Processor: Dritte, die Arcarius zur Bearbeitung von Kunden-Personendaten beizieht.
1.5 Kunden-Personendaten: Personendaten, die (i) der Kunde oder Nutzer eingibt/hochlädt, (ii) Arcarius auf Weisung des Kunden aus Drittanbieter-Services (z.B. Buchhaltungs-Systemen) abruft, oder (iii) als Output/Export aus solchen Daten resultieren, jeweils soweit Personendaten enthalten sind.
1.6 Weisungen: Dokumentierte Instruktionen des Kunden an Arcarius zur Bearbeitung von Kunden-Personendaten.
1.7 Datenschutzverletzung: Verletzung der Datensicherheit, die zur unbeabsichtigten oder widerrechtlichen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf Kunden-Personendaten führt oder führen kann.
2.1 Gegenstand/Art/Zweck der Bearbeitung ergeben sich aus dem Hauptvertrag und Anhang 1 (Bearbeitungsprofil).
2.2 Diese AVV gilt für die Dauer des Hauptvertrags bzw. solange Arcarius Kunden-Personendaten im Auftrag bearbeitet, inkl. allfälliger Nachlauf-/Löschfristen gemäss Ziff. 10.
2.3 Diese AVV tritt in Kraft mit dem früheren der folgenden Zeitpunkte: (i) Akzept der AVV (bzw. des Hauptvertrags, soweit die AVV integraler Bestandteil ist) durch den hierzu berechtigten Administrator des Kunden oder (ii) dem Zeitpunkt, in dem Arcarius erstmals Kunden-Personendaten im Auftrag des Kunden bearbeitet (z.B. im Rahmen des Onboardings durch Verbindung eines Drittanbieter-Services oder Upload von Kundendaten).
Bearbeitungen, bei denen Arcarius als eigener Verantwortlicher handelt, sind nicht Teil dieser AVV.
3.1 Arcarius bearbeitet Kunden-Personendaten ausschliesslich nach dokumentierten Weisungen des Kunden, insbesondere:
3.2 Zusätzliche Weisungen des Kunden bedürfen der Textform (E-Mail/Ticket genügt). Arcarius ist nur verpflichtet, solche Weisungen umzusetzen, soweit sie (i) rechtmässig, (ii) technisch umsetzbar und (iii) zumutbar sind. Führt eine Weisung zu Mehrkosten oder Leistungsänderungen, kann Arcarius die Umsetzung von einer vorgängigen Einigung über Aufwand/Vergütung abhängig machen.
3.3 Ist Arcarius der Auffassung, dass eine Weisung gegen anwendbares Datenschutzrecht verstösst, informiert Arcarius den Kunden und ist berechtigt, die Umsetzung auszusetzen, bis die Weisung bestätigt oder angepasst wurde.
3.4 Bei Weisungen, die Zugriffsrechte innerhalb des Kunden-Kontos oder die Herausgabe/Export von Kunden-Personendaten an den Kunden betreffen, darf Arcarius grundsätzlich auf die Berechtigung/Rechtmässigkeit der Weisung vertrauen, ausser die Rechtswidrigkeit ist offensichtlich. Arcarius kann in Zweifelsfällen eine angemessene Bestätigung/Klarstellung verlangen.
3.5 Der Kunde bleibt für (i) die Rechtmässigkeit der Bearbeitung, (ii) die Information betroffener Personen, (iii) die Einholung allfälliger Einwilligungen, sowie (iv) die Zulässigkeit der Übermittlung an Arcarius und von Arcarius beauftragte Unter-Auftragsbearbeiter verantwortlich.
3.6 Soweit Arcarius aufgrund zwingenden Rechts verpflichtet ist, Kunden-Personendaten offenzulegen oder abweichend von Weisungen zu bearbeiten, informiert Arcarius den Kunden hierüber unverzüglich, soweit rechtlich zulässig. Arcarius wird nur das rechtlich erforderliche Minimum offenlegen und – soweit möglich – Schutzmassnahmen (z.B. Vertraulichkeits-/Rechtsmittel) prüfen.
4.1 Arcarius stellt sicher, dass alle zur Bearbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
4.2 Arcarius gewährleistet ein rollenbasiertes Berechtigungskonzept und beschränkt Zugriffe auf Kunden-Personendaten auf das notwendige Minimum („Need-to-Know“), insbesondere für Support-Zwecke.
5.1 Arcarius trifft angemessene technische und organisatorische Massnahmen zum Schutz der Kunden-Personendaten gemäss Anhang 2 (TOM).
5.2 Arcarius darf TOM anpassen, sofern das Schutzniveau nicht unterschritten wird.
5.3 Arcarius verarbeitet Kunden-Personendaten nicht zur Entwicklung, zum Training oder zur Verbesserung von allgemeinen Modellen (einschliesslich LLMs), es sei denn, der Kunde weist Arcarius hierzu ausdrücklich und separat an oder die Daten wurden zuvor wirksam anonymisiert. Arcarius wird keine „Opt-in“-Mechanismen zur Datenweitergabe für Trainingszwecke bei Unter-Auftragsbearbeitern aktivieren.
6.1 Betroffenenrechte: Arcarius unterstützt den Kunden im angemessenen Umfang bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung etc.), soweit der Kunde ohne Arcarius-Mitwirkung nicht in der Lage ist, das Begehren zu erfüllen. Arcarius kann für Unterstützung, die über Self-Service-Funktionen/Standard-Exports hinausgeht, eine separate Vergütung nach Aufwand verlangen.
6.2 Weitere Unterstützung: Unterstützung bei Datenschutz-Folgenabschätzungen, Konsultationen von Behörden, Vertrags-/Transfer-Dokumentation etc. erfolgt – soweit geschuldet – nach Aufwand gegen Vergütung, sofern zwingendes Recht nicht entgegensteht.
6.3 Kontaktstellen:
(a) Arcarius ist für Anfragen und Weisungen im Zusammenhang mit dieser AVV und für Meldungen von Datenschutzverletzungen unter datenschutz@arcarius.ai erreichbar.
(b) Der Kunde nennt Arcarius den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen sowie in den Fällen, in denen dies gemäss Art. 37 EU-DSGVO vorgeschrieben ist, den Datenschutzbeauftragten.
(c) Hat eine Partei einen Datenschutzberater/Datenschutzbeauftragten (DPO) ernannt, können dessen Kontaktdaten in Anhang 1 aufgeführt werden.
7.1 Erhält Arcarius eine Anfrage einer betroffenen Person zu Kunden-Personendaten, wird Arcarius die betroffene Person – soweit zulässig – an den Kunden verweisen oder die Anfrage an den Kunden weiterleiten.
7.2 Arcarius beantwortet solche Anfragen nicht inhaltlich, ausser (i) der Kunde weist Arcarius schriftlich dazu an oder (ii) zwingendes Recht verpflichtet Arcarius hierzu.
8.1 Arcarius informiert den Kunden ohne unangemessene Verzögerung nach Kenntnisnahme über Datenschutzverletzungen betreffend Kunden-Personendaten.
8.2 Die Information umfasst – soweit verfügbar – die Art der Datenschutzverletzung, betroffene Datenkategorien, voraussichtliche Folgen sowie ergriffene/empfohlene Abhilfemassnahmen.
8.3 Arcarius unterstützt den Kunden angemessen bei der Erfüllung gesetzlicher Melde- und Informationspflichten, soweit dies Kunden-Personendaten betrifft.
9.1 Der Kunde erteilt Arcarius hiermit die allgemeine Genehmigung, Unter-Auftragsbearbeiter beizuziehen. Die zum Zeitpunkt des Abschlusses dieser AVV eingesetzten Unter-Auftragsbearbeiter sind in Anhang 3 aufgeführt.
9.2 Arcarius informiert den Kunden in Textform mindestens 14 Kalendertage vor der Hinzuziehung oder Ersetzung eines Unter-Auftragsbearbeiters, soweit Kunden-Personendaten betroffen sind. Arcarius wird den betreffenden Unter-Auftragsbearbeiter nicht einsetzen, bevor die Einspruchsfrist nach Ziff. 9.3 abgelaufen ist oder der Kunde zuvor zugestimmt hat.
9.3 Der Kunde kann aus wichtigen datenschutzrechtlichen Gründen innerhalb von 14 Tagen ab Mitteilung Einspruch erheben. Erfolgt kein Einspruch, gilt der Unter-Auftragsbearbeiter als genehmigt.
9.4 Können die Parteien keine wirtschaftlich angemessene Lösung finden, ist Arcarius berechtigt, nach eigener Wahl (i) die betroffene Funktion/Integration zu deaktivieren bzw. eine alternative Lösung anzubieten oder (ii) den hiervon betroffenen Teil der Services mit 30 Tagen Frist zu beenden.
9.5 Flow-down: Arcarius verpflichtet Unter-Auftragsbearbeiter vertraglich zu Datenschutz- und Sicherheitsverpflichtungen, die mindestens gleichwertig zu den Pflichten aus dieser AVV sind.
10.1 Der Kunde kann während der Vertragslaufzeit Kunden-Personendaten über bereitgestellte Funktionen exportieren, soweit verfügbar.
10.2 Nach Beendigung des Hauptvertrags bzw. Schliessung des Kontos löscht oder anonymisiert Arcarius Kunden-Personendaten aus produktiven Systemen im Rahmen des regulären Löschprozesses, grundsätzlich innert 30 Tagen (monatlicher Löschlauf) nach Vertragsende, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen (z.B. Abrechnung, Missbrauchsprävention, Durchsetzung/Verteidigung von Rechtsansprüchen) eine längere Aufbewahrung erfordern.
10.3 Daten in Sicherungskopien (Backups) werden nicht sofort gelöscht, sondern im Rahmen der Backup-Retention überschrieben; die maximale Retentionsdauer beträgt 90 Tage.
10.4 Rückgabe: Auf Verlangen des Kunden stellt Arcarius Kunden-Personendaten vor der Löschung in einem gängigen, maschinenlesbaren Format zur Verfügung, soweit technisch möglich und soweit die Daten nicht bereits über Self-Service-Exporte abrufbar sind. Nach Ablauf der in Ziff. 10.2 genannten Fristen erfolgt die Löschung/Anonymisierung gemäss Ziff. 10.2 und 10.3.
11.1 Arcarius stellt dem Kunden auf Anfrage angemessene Informationen zur Verfügung, um die Einhaltung dieser AVV nachzuweisen, insbesondere durch:
11.2 Audits durch den Kunden sind auf Verhältnismässigkeit zu beschränken und müssen (i) mindestens 30 Tage vorher angekündigt werden, (ii) höchstens 1× pro Jahr stattfinden, (iii) in der Regel als Remote-Audit (Dokumentenprüfung/Interview) durchgeführt werden und (iv) Geschäftsgeheimnisse und Sicherheit von Arcarius berücksichtigen.
11.3 Der Kunde trägt die Kosten des Audits, einschliesslich angemessener interner Aufwände von Arcarius. Gesetzlich zwingende Prüf-/Mitwirkungsrechte bleiben vorbehalten.
12.1 Arcarius bearbeitet Kunden-Personendaten primär in den in Anhang 1 und Anhang 3 genannten Ländern. Je nach eingesetzten Unter-Auftragsbearbeitern kann es zu Bearbeitungen ausserhalb der Schweiz bzw. des EWR kommen.
12.2 Arcarius stellt sicher, dass grenzüberschreitende Bekanntgaben – soweit erforderlich – durch geeignete Garantien abgesichert sind und dass Unter-Auftragsbearbeiter ein dem Risiko angemessenes Schutzniveau einhalten.
13.1 Die Haftung richtet sich nach dem Hauptvertrag. Diese AVV begründet keine verschärften oder zusätzlichen Schadenersatzpflichten, soweit zwingendes Recht nichts anderes vorschreibt.
14.1 Änderungen dieser AVV können in Textform erfolgen.
14.2 Sollte eine Bestimmung unwirksam sein, bleibt der Rest wirksam; die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame, die dem wirtschaftlichen Zweck am nächsten kommt.
14.3 Anwendbares Recht und Gerichtsstand richten sich nach dem Hauptvertrag.
Arcarius stellt eine webbasierte SaaS-Plattform zur Datenanalyse, sowie zur Erstellung von Reportings und Abschlüssen auf Basis vom Kunden angebundener Buchhaltungsdaten bereit, inkl. KI-gestützter Funktionen.
Erheben/Importieren (z.B. via API-Integration), Speichern, Strukturieren, Klassifizieren, Berechnen, Analysieren, Erstellen von Reports/Outputs, Exportieren, Protokollieren (Sicherheits-/Betriebslogs), Support-Bearbeitung.
Bereitstellung der Services, Betrieb/IT-Sicherheit, Fehleranalyse, Support, Abuse-/Missbrauchsprävention, Durchführung der vom Kunden angestossenen Prozesse (Reporting, Jahresabschluss-Workflows, Dokumentation, Analysen, Buchungen).
Primär Schweiz (Cloud-Region Zürich) für Kern-Workloads; weitere Orte gemäss Anhang 3 (Unter-Auftragsbearbeiter).
Arcarius Datenschutzkontakt: datenschutz@arcarius.ai
Arcarius Incident-Kontakt: identisch mit Datenschutzkontakt
Für Mitteilungen im Zusammenhang mit dieser AVV (insb. Benachrichtigungen über Datenschutzverletzungen sowie datenschutzbezogene Rückfragen) gilt als Kontaktadresse des Kunden die im Arcarius-Konto hinterlegte Administrations-/Billing-E-Mail-Adresse (standardmässig die E-Mail des Billing Admin, sofern keine andere Kontaktadresse im Konto hinterlegt ist).
Der Kunde stellt sicher, dass diese E-Mail-Adresse aktuell und erreichbar ist. Mitteilungen an diese Adresse gelten als wirksam zugestellt.
Arcarius implementiert – risikobasiert und dem Stand der Technik entsprechend – insbesondere:
| Unter-Auftragsbearbeiter | Zweck | Ort(e) der Bearbeitung / Transfermechanismus / DPF | Datenarten |
|---|---|---|---|
| Google Cloud EMEA Limited (Irland); Google LLC (USA) | Hosting/Compute/Storage/Data-Warehouse/LLM-Funktionen/Authentication | Schweiz (Zürich), EU / CH/EU-Verarbeitung / kein Drittlandtransfer | Dokumente, Buchhaltungsdaten, Logs, Prompt-/Kontextdaten, Outputs, Metadaten, Google Login-Daten |
| Supabase Inc. (USA) | Datenbank/Authentication/Storage | Schweiz (Zürich) / CH-Verarbeitung / kein Drittlandtransfer | Konto-/Accountdaten, Applikationsdaten, Dateien |
| Vercel Inc. (USA) | Hosting/CDN | Deutschland (Frankfurt), Global / EU SCCs (2021/914) / Swiss-U.S. DPF | Technische Nutzungsdaten (Requests/IP), ggf. Deployment-Artefakte |
| PostHog Inc. (USA) | Produkt-Analytics/Telemetry | Deutschland (Frankfurt) / EU-Verarbeitung / kein Drittlandtransfer | Pseudonymisierte Nutzungsdaten/Events, IDs |
| Crisp IM SARL (Frankreich) | Support/Dokumentation/Status | EU (Niederlande / Deutschland / Frankreich) / EU-Verarbeitung / kein Drittlandtransfer | Support-Inhalte, Accountdaten, Session/Meta |
| Stripe Payments Europe, Limited (SPEL, Irland) | Payments/Billing | Global / EU SCCs (2021/914), UK IDTA / Swiss-U.S. DPF | Abrechnungs-/Transaktionsdaten, Zahlungsmetadaten |
| Plus Five Five Inc. (d/b/a Resend, USA) | Transaktionale E-Mails | EU (Irland), Global / EU SCCs (2021/914) mit Swiss Addendum (FDPIC) / EU-U.S. DPF | E-Mail-Adresse, E-Mail-Inhalte, Zustell-/Logdaten |
| Anthropic, PBC (USA) | LLM-Funktionen | EU / EU-Verarbeitung / kein Drittlandtransfer | Prompt-/Kontextdaten, Outputs, Metadaten |
| Cloudflare Inc. (USA) | Bot-Protection/CAPTCHA | Global / EU SCCs (2021/914) mit Swiss Addendum / Swiss-U.S. DPF | IP-Adresse, User-Agent, TLS-Fingerprint, Sitekey + Origin (Domain), Turnstile-Token, Challenge-/Validierungsmetadaten (z.B. Ergebnis/Zeitpunkt) |
