Auftragsverarbeitungsvertrag (AVV)
Stand: Juni 2026 · Version 1.1
Dieser Auftragsverarbeitungsvertrag («AVV») ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen und gilt, soweit die Auftragsbearbeiterin im Auftrag des Kunden Personendaten bearbeitet — insbesondere im Rahmen von Monitor / pKYC (Sanktions-, PEP- und Adverse-Media-Screening). Massgeblich ist das revidierte Datenschutzgesetz (revDSG) und die Datenschutzverordnung (DSV). Diese Fassung kann oben als PDF gespeichert/gedruckt und für eine Unterzeichnung verwendet werden.
Verantwortlicher: der Kunde (bestimmt Zweck und Mittel der Bearbeitung).
Auftragsbearbeiterin: Virtue Compliance GmbH, Mürtschenstrasse 7, 8730 Uznach (SG),
CHE-379.218.204, es@virtue-compliance.ch.
1. Gegenstand und Dauer
1.1 Die Auftragsbearbeiterin bearbeitet Personendaten ausschliesslich zur Erbringung der vertraglich vereinbarten Leistungen (Screening des Kundenstamms des Verantwortlichen gegen Sanktions-, PEP- und Adverse-Media-Listen, laufende Überwachung, Benachrichtigung und Evidenz-Report).
1.2 Die Dauer entspricht der Laufzeit des zugrunde liegenden Vertrags (Anhang 2 AGB).
2. Art und Zweck der Bearbeitung
Erhebung, Speicherung, Abgleich (Screening/Matching), Organisation, Auswertung (Treffer-/Risikohinweise), Benachrichtigung und Löschung — ausschliesslich zum Zweck der Unterstützung des Verantwortlichen bei seinen GwG-Sorgfaltspflichten. Die Auftragsbearbeiterin trifft keine aufsichtsrechtlichen Entscheidungen.
3. Kategorien betroffener Personen
Kundinnen und Kunden des Verantwortlichen sowie deren wirtschaftlich berechtigte/kontrollierende Personen, soweit vom Verantwortlichen übermittelt.
4. Kategorien von Personendaten
Identifikationsdaten (Name, Geburtsdatum, Nationalität, Sitz/Adresse, ggf. UID) sowie im Rahmen des Screenings entstehende Treffer-/Risikodaten. Die Auftragsbearbeiterin nimmt zur Kenntnis, dass dabei besonders schützenswerte Personendaten (insb. Daten über strafrechtliche Verfolgungen/Sanktionen, ggf. politische Exponiertheit; Art. 5 lit. c revDSG) entstehen können, trifft hierfür erhöhte technische und organisatorische Massnahmen (Anhang A) und behandelt Treffer als vertraulich. Der Verantwortliche übermittelt von sich aus keine besonders schützenswerten Daten, die über das für das Screening Erforderliche hinausgehen.
5. Pflichten der Auftragsbearbeiterin
5.1 Weisungsgebundenheit. Bearbeitung nur auf dokumentierte Weisung des Verantwortlichen. Hält die Auftragsbearbeiterin eine Weisung für rechtswidrig, informiert sie den Verantwortlichen und kann die Ausführung einer offensichtlich rechtswidrigen Weisung bis zu deren Bestätigung oder Anpassung aussetzen. Befolgt sie eine bestätigte Weisung, trägt der Verantwortliche die Verantwortung und stellt die Auftragsbearbeiterin von daraus resultierenden Ansprüchen und Kosten frei (Ziff. 12a AGB).
5.2 Vertraulichkeit. Zur Bearbeitung befugte Personen sind zur Vertraulichkeit verpflichtet, auch über das Vertragsende hinaus.
5.3 Datensicherheit. Angemessene technische und organisatorische Massnahmen (Art. 8 revDSG, Art. 1–3 DSV; Anhang A).
5.4 Unterstützung. Angemessene Unterstützung bei Anträgen betroffener Personen und bei Datensicherheitsverletzungen; über das gesetzlich Geschuldete hinausgehender Aufwand wird nach Aufwand vergütet. Wendet sich eine betroffene Person direkt an die Auftragsbearbeiterin, leitet diese den Antrag an den Verantwortlichen weiter und beantwortet ihn nicht selbst, sofern nicht ausdrücklich angewiesen.
5.5 Meldung von Verletzungen. Meldung an den Verantwortlichen nach Kenntnis ohne unangemessene Verzögerung, mit den zur Beurteilung erforderlichen Informationen. Die Meldung an den EDÖB bzw. an betroffene Personen (Art. 24 revDSG) obliegt dem Verantwortlichen; die Auftragsbearbeiterin unterstützt ihn dabei.
5.6 Löschung/Rückgabe. Nach Vertragsende werden die Personendaten nach Wahl des Verantwortlichen innert 30 Tagen gelöscht oder zurückgegeben; auf Verlangen schriftliche Löschbestätigung. Backups werden im regulären Zyklus revolvierend gelöscht; gesetzliche Aufbewahrungspflichten bleiben vorbehalten.
6. Pflichten des Verantwortlichen
Der Verantwortliche stellt die Rechtmässigkeit der Bearbeitung sicher (Rechtsgrundlage, Information der betroffenen Personen) und übermittelt nur Daten, zu deren Bearbeitung er berechtigt ist (vgl. Ziff. 10.3 AGB inkl. Freistellung).
7. Unterauftragsbearbeitung (Subprozessoren)
7.1 Der Verantwortliche erteilt die generelle Genehmigung zum Einsatz der in Anhang B genannten Subprozessoren. Die Auftragsbearbeiterin informiert mindestens 30 Tage vor Wirksamwerden über die Aufnahme oder den Wechsel eines Subprozessors (Textform genügt; auch durch Aktualisierung einer online verfügbaren Liste). Der Verantwortliche kann innert dieser Frist aus einem objektiv nachgewiesenen, wesentlichen datenschutzrechtlichen Grund widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt der Subprozessor als genehmigt. Bei berechtigtem Widerspruch ohne einvernehmliche Lösung innert 30 Tagen kann die Auftragsbearbeiterin die betroffene Leistung oder den Vertrag auf den Zeitpunkt der Änderung kündigen, ohne dass dem Verantwortlichen daraus Ansprüche entstehen.
7.2 Die Auftragsbearbeiterin verpflichtet Subprozessoren auf gleichwertige Datenschutzpflichten.
8. Bekanntgabe ins Ausland
Eine Bekanntgabe ins Ausland erfolgt nur bei angemessenem Datenschutz. Bei Empfängern in Staaten ohne angemessenen Schutz stellt die Auftragsbearbeiterin geeignete Garantien sicher: (i) Zertifizierung des Empfängers unter dem Swiss-U.S. Data Privacy Framework (für US-Empfänger; die USA stehen seit 15.09.2024 für zertifizierte Unternehmen auf der Länderliste nach Anhang 1 DSV), (ii) die vom EDÖB anerkannten Standardvertragsklauseln, oder (iii) eine andere vom EDÖB anerkannte Garantie nach Art. 16 Abs. 2 revDSG. Der je Subprozessor anwendbare Mechanismus ergibt sich aus Anhang B.
9. Audit / Nachweise
Die Auftragsbearbeiterin weist die Einhaltung vorrangig durch Auskunft, Dokumentation oder vorhandene Zertifikate/Prüfberichte nach. Ein Vor-Ort-Audit ist höchstens einmal pro Kalenderjahr (ausser bei nachgewiesener wesentlicher Verletzung oder behördlicher Anordnung), mit mindestens 30 Tagen Vorankündigung, während der ordentlichen Geschäftszeiten, ohne Betriebsbeeinträchtigung und unter Wahrung der Geheimhaltung sowie der Rechte Dritter zulässig. Beigezogene Prüfer dürfen keine Wettbewerber sein und sind vorgängig zur Vertraulichkeit zu verpflichten; den Aufwand der Auftragsbearbeiterin vergütet der Verantwortliche nach Aufwand.
10. Haftung
Sämtliche Ansprüche aus oder im Zusammenhang mit diesem AVV unterliegen vollumfänglich der Haftungsbeschränkung und den Ausschlüssen gemäss Ziff. 11–12a der AGB. Dieser AVV begründet keine über die AGB hinausgehende Haftung. Für Ansprüche, die auf einer Verletzung der Pflichten des Verantwortlichen beruhen, gilt die Freistellung nach Ziff. 10.3 und 12a der AGB. Zwingende gesetzliche Bestimmungen bleiben vorbehalten.
11. Rangordnung
Bei Widersprüchen gehen in datenschutzrechtlichen Fragen die Bestimmungen dieses AVV den AGB vor; für Haftung, Freistellung und Kostenfolgen gelten die AGB (Ziff. 11–12a).
12. Anwendbares Recht / Gerichtsstand
Schweizer Recht; Gerichtsstand gemäss Ziff. 17 AGB (Uznach / Kreisgericht See-Gaster).
Anhang A — Technische und organisatorische Massnahmen (TOM)
- Verschlüsselung: Transport (TLS) und Speicherung (at rest) verschlüsselt.
- Zugriffskontrolle: rollenbasierte Zugriffe (Need-to-know), Authentifizierung, Row-Level-Security in der Datenbank.
- Datenstandort: Hosting und Speicherung der Kundendaten in einem Rechenzentrum in der EU (Region Irland); die EU/der EWR verfügt über einen anerkannten angemessenen Datenschutz.
- Protokollierung: Audit-Logs relevanter Zugriffe/Bearbeitungen.
- Mandantentrennung: logische Trennung der Daten pro Kunde.
- Backup & Wiederherstellung: regelmässige Backups; definierte Wiederherstellung; revolvierende Backup-Löschung.
- Löschkonzept: Löschung/Rückgabe bei Vertragsende.
- Erhöhtes Schutzniveau für besonders schützenswerte Daten: strikte Zugriffsbeschränkung auf Treffer-/Adverse-Media-Daten, gesonderte Protokollierung, Verschlüsselung at rest.
Anhang B — Subprozessoren
Die aktuelle Liste der Subprozessoren wird auf Anfrage bereitgestellt und kann sich gemäss Ziff. 7 ändern. Stand dieser Fassung:
| Subprozessor | Zweck | Standort | Garantie bei Auslandbekanntgabe |
|---|---|---|---|
| Supabase | Hosting, Datenbank, serverseitige Verarbeitung | EU (Irland) | EU – angemessener Schutz |
| Vercel | Frontend-Hosting / Auslieferung der Web-App | EU (Frankfurt) | EU – angemessener Schutz |
| Screening-Datenanbieter (Dilisense) | Abgleich gegen Sanktions-/PEP-/Adverse-Media-Listen | EU / international | geeignete Garantien (DPF/SCC), soweit ausserhalb EU/CH |
| Resend | Versand von Benachrichtigungen/E-Mails | USA | Swiss-U.S. DPF bzw. Standardvertragsklauseln |
| Stripe | Zahlungs- und Abonnementsabwicklung | USA / EU | Swiss-U.S. DPF bzw. Standardvertragsklauseln |
| Anthropic | KI-gestützte Dokumenterstellung (nur DocGen) | USA | Swiss-U.S. DPF bzw. Standardvertragsklauseln; keine Monitor-/pKYC-Daten |
Unterzeichnung
Dieser AVV gilt mit Annahme der AGB als abgeschlossen. Wünscht der Verantwortliche eine gegengezeichnete Fassung, kann dieses Dokument ausgedruckt bzw. als PDF gespeichert und beidseitig unterzeichnet werden: