Auftragsbearbeitungsvertrag (AVV)
Version 1.0 · gültig ab 17.07.2026 · Anhang zu den AGB von Accounty
Dieser Vertrag regelt die Bearbeitung von Personendaten durch Accounty im Auftrag des Kunden nach Art. 9 des Schweizer Datenschutzgesetzes (DSG). Er wird mit der Nutzung von Accounty Bestandteil des Vertragsverhältnisses.
1. Parteien und Rollen
Auftragsbearbeiter: SEBONA Treuhand Böhner (nachfolgend «Accounty»), Schweiz.
Verantwortlicher: der Kunde (nachfolgend «Kunde»).
Der Kunde bestimmt Zweck und Mittel der Bearbeitung. Ist der Kunde selbst Auftragsbearbeiter seiner eigenen Mandanten (z.B. als Treuhandunternehmen), handelt Accounty als Unterauftragsbearbeiter; der Kunde sichert zu, zur Beauftragung berechtigt zu sein.
2. Gegenstand, Dauer und Zweck
Gegenstand: Bereitstellung der Software-as-a-Service-Lösung Accounty (Buchhaltung, Debitoren/Kreditoren, Lohn, Lager, CRM, Zeiterfassung, Kasse) einschliesslich Hosting, Backup und Support.
Zweck: ausschliesslich die Erbringung der vertraglich vereinbarten Leistungen für den Kunden.
Dauer: für die Dauer des Abonnements; die Regelungen zu Löschung und Vertraulichkeit gelten darüber hinaus.
3. Weisungsgebundenheit
Accounty bearbeitet die Personendaten nur gemäss der Dokumentation, den Einstellungen des Kunden in der Anwendung und allfälligen dokumentierten Weisungen — nicht für eigene Zwecke. Accounty bearbeitet Daten nur so, wie der Kunde selbst sie bearbeiten dürfte (Art. 9 Abs. 1 lit. a DSG).
Hält Accounty eine Weisung für rechtswidrig, wird der Kunde darauf hingewiesen; die Ausführung darf bis zur Klärung ausgesetzt werden.
4. Vertraulichkeit
Accounty verpflichtet alle mit der Bearbeitung betrauten Personen zur Vertraulichkeit; die Pflicht besteht über das Ende der Tätigkeit hinaus. Accounty hält gesetzliche und vertragliche Geheimhaltungspflichten des Kunden ein (Art. 9 Abs. 1 lit. b DSG).
5. Datensicherheit
Accounty trifft die angemessenen technischen und organisatorischen Massnahmen (TOM) nach Art. 8 DSG und Art. 1–3 DSV. Die Massnahmen sind in Anhang B beschrieben. Accounty darf die Massnahmen weiterentwickeln, sofern das Schutzniveau nicht unterschritten wird.
6. Unterauftragsbearbeiter
Der Kunde erteilt Accounty die generelle Genehmigung zum Beizug der in Anhang C aufgeführten Unterauftragsbearbeiter (Art. 9 Abs. 3 DSG).
Accounty informiert den Kunden über die Aufnahme oder den Wechsel eines Unterauftragsbearbeiters mindestens 30 Tage im Voraus per E-Mail an die hinterlegte Kontaktadresse. Der Kunde kann innert 30 Tagen aus wichtigem, datenschutzrechtlichem Grund widersprechen. Kann keine Lösung gefunden werden, darf der Kunde das Abonnement auf den Zeitpunkt der Änderung ausserordentlich kündigen.
Accounty verpflichtet Unterauftragsbearbeiter vertraglich auf ein Schutzniveau, das diesem Vertrag entspricht, und haftet für deren Leistung wie für eigenes Handeln.
7. Bekanntgabe ins Ausland
Eine Bekanntgabe ins Ausland erfolgt nur, wenn die Voraussetzungen von Art. 16 f. DSG erfüllt sind — d.h. bei einem Staat mit angemessenem Schutz gemäss Anhang 1 DSV, bei Zertifizierung nach dem Swiss–U.S. Data Privacy Framework oder gestützt auf Standardvertragsklauseln bzw. andere geeignete Garantien. Der Datenstandort je Unterauftragsbearbeiter ist in Anhang C ausgewiesen.
8. Unterstützung des Kunden
Accounty unterstützt den Kunden im Rahmen des Zumutbaren bei:
- Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Datenherausgabe/-übertragung nach Art. 25 ff. DSG),
- der Gewährleistung der Datensicherheit,
- einer allfälligen Datenschutz-Folgenabschätzung (Art. 22 DSG) und Konsultation des EDÖB.
Richtet sich eine Anfrage einer betroffenen Person direkt an Accounty, wird sie unverzüglich an den Kunden weitergeleitet; Accounty beantwortet sie nicht selbständig.
Der Kunde kann Daten jederzeit selbständig über die Exportfunktionen der Anwendung beziehen.
9. Verletzung der Datensicherheit
Accounty meldet dem Kunden eine Verletzung der Datensicherheit unverzüglich nach Kenntnisnahme und stellt die zur Beurteilung und für eine allfällige Meldung an den EDÖB (Art. 24 DSG) erforderlichen Informationen zur Verfügung. Die Meldepflicht gegenüber Behörden und betroffenen Personen obliegt dem Kunden.
10. Löschung und Rückgabe
Nach Beendigung des Abonnements kann der Kunde seine Daten während 30 Tagen exportieren. Danach werden die Daten gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Backups werden im Rahmen des Backup-Zyklus überschrieben.
11. Nachweis und Überprüfung
Accounty weist die Einhaltung dieses Vertrags auf Anfrage nach, in erster Linie durch Auskunft und Dokumentation. Eine Vor-Ort-Prüfung ist nach angemessener Vorankündigung, während der Geschäftszeiten, höchstens einmal jährlich und ohne Beeinträchtigung des Betriebs möglich; die Geheimhaltungsinteressen anderer Kunden bleiben gewahrt.
12. Haftung
Es gelten die Haftungsbestimmungen der AGB. Gesetzliche Haftungsbestimmungen des DSG bleiben vorbehalten.
13. Schlussbestimmungen
Es gilt Schweizer Recht; Gerichtsstand ist der Sitz von Accounty, soweit gesetzlich zulässig. Bei Widerspruch geht dieser AVV den AGB in datenschutzrechtlichen Fragen vor. Änderungen werden dem Kunden mindestens 30 Tage im Voraus mitgeteilt.
Anhang A — Umfang der Bearbeitung
Kategorien betroffener Personen: Mitarbeitende des Kunden, dessen Kunden und Lieferanten sowie deren Kontaktpersonen, Benutzer der Anwendung; bei Treuhandkunden zusätzlich die entsprechenden Personen der Mandanten.
Kategorien von Personendaten:
- Stamm- und Kontaktdaten: Name, Adresse, E-Mail, Telefon.
- Buchhaltungsdaten: Buchungen, Belege, Rechnungen, Zahlungen, Bankdaten (IBAN).
- Personaldaten (Lohnmodul): AHV-Nummer, Geburtsdatum, Zivilstand, Kinder, Lohn- und Abzugsdaten, Bankverbindung, Ein-/Austritt, Quellensteuermerkmale.
- Nutzungsdaten: Login-Zeitpunkte, Audit-Log, technische Protokolle.
Besonders schützenswerte Personendaten (Art. 5 lit. c DSG) können anfallen, soweit der Kunde solche erfasst (z.B. Angaben zu Sozialversicherungsleistungen oder Lohnpfändungen).
Anhang B — Technische und organisatorische Massnahmen (TOM)
- Vertraulichkeit: Mandantentrennung auf Datenebene bei jedem Zugriff; rollenbasierte Berechtigungen; Zugriff auf Produktionssysteme nur für berechtigte Personen.
- Verschlüsselung: Transport durchgängig über HTTPS/TLS. Besonders sensible Felder (AHV-Nummer, IBAN, Bankangaben) werden zusätzlich feldweise mit AES-256-GCM in der Datenbank verschlüsselt. Backups werden verschlüsselt abgelegt. Sensible Felder werden aus den Systemprotokollen ausgefiltert.
- Integrität: revisionssicheres Audit-Log mit Hash-Kette; Buchungen werden storniert statt gelöscht.
- Verfügbarkeit: tägliche automatische Backups mit dokumentiertem Wiederherstellungsverfahren; Hosting in einem Rechenzentrum in Deutschland (EU).
- Zugangssicherheit: Passwort-Hashing, Rate-Limiting auf Login und Passwort-Reset, Sicherheits-Header.
- Nachvollziehbarkeit: Protokollierung sicherheitsrelevanter Ereignisse; automatische Benachrichtigung bei Systemfehlern.
Die Massnahmen werden laufend dem Stand der Technik angepasst.
Anhang C — Unterauftragsbearbeiter
| Unternehmen | Leistung | Standort |
|---|---|---|
| Hostinger International Ltd. | Hosting der Anwendung und Datenbank, Backups | Deutschland (EU) |
| Anthropic PBC | KI-Belegerkennung, KI-Assistent, KI-Abgleich (Claude API) | USA |
| Sinch / Mailgun | Versand von System- und Dokument-E-Mails | EU |
| Stripe | Zahlungsabwicklung des Abonnements | EU / USA |
Stand: 17.07.2026. Details zur KI-Verarbeitung: siehe Ziff. 5a der Datenschutzerklärung. Änderungen werden nach Ziff. 6 mitgeteilt.
Kontakt
Fragen zum Datenschutz: Kontaktangaben im Impressum.