FidUpFidUp

Version 1.0 — 17. Mai 2026

Auftragsverarbeitungsvertrag (DPA)

Unser DPA ist offen und vor jedem Vertrag downloadbar. Es entspricht dem neuen Schweizer DSG 2026 und ist mit der DSGVO kompatibel für unsere EU-Kunden.

Hinweis: Das herunterladbare PDF wird derzeit von unserem Schweizer Anwalt validiert. Diese Online-Version fasst die wichtigsten Punkte zusammen.

1. Gegenstand

Dieses DPA regelt die Bearbeitung personenbezogener Daten durch BeGenerous Digital Sàrl (Auftragsverarbeiter) im Auftrag des Treuhandbüros (Verantwortlicher) im Rahmen der Nutzung von FidUp.

2. Art der Bearbeitung

Folgende Bearbeitungsvorgänge sind vorgesehen:

  • Speicherung von Kunden-, Auftrags-, Rechnungs- und Buchhaltungsdaten
  • Speicherung sensibler GwG-Daten (Risikoprofile, ADE, MROS)
  • KI-Bearbeitung (E-Mail-Klassifizierung, Drafts, Dokumentenklassifizierung) via Anthropic Claude
  • Transaktionale E-Mail-Versand (Resend)
  • Zahlungsabwicklung (Stripe)

3. Subunternehmer

Vollständige Liste auf der Souveränitätsseite. Wichtigste:

  • Infomaniak Network SA (Genf, CH) : sensible Dokumente
  • Supabase (AWS Zürich, CH) : strukturierte Datenbank
  • Vercel Inc. (Frankfurt, DE) : Compute
  • Anthropic Ireland Ltd. (Dublin, IE) : KI Claude (zero data retention)
  • Resend Inc. (Frankfurt, DE) : Transaktions-E-Mails
  • Stripe Payments Europe (Dublin, IE) : Zahlungen

4. Sicherheitsmassnahmen

  • AES-256-GCM-Verschlüsselung der OAuth-Tokens und Secrets
  • Row-Level-Security Multi-Tenant auf 100% der Tabellen
  • Unveränderliche Audit-Logs, 10-Jahres-Aufbewahrung
  • TLS 1.3 für alle Verbindungen
  • 2FA verpflichtend für Administratoren und GwG-Verantwortliche
  • Anti-Tipping-off auf MROS-Daten
  • Jährlicher Pentest ab 2027

5. Datenpannen

Benachrichtigung des Verantwortlichen innerhalb von 48 Stunden nach Kenntnisnahme der Verletzung. Erforderliche Informationen: Natur, betroffene Personen, mögliche Folgen, ergriffene Massnahmen.

6. Audits

Der Verantwortliche kann auf eigene Kosten alle 12 Monate einen Audit-Bericht anfordern, mit einer Vorankündigung von 30 Tagen. Ein Pentest-Bericht und SOC 2 (ab 2027) wird auf Anfrage zur Verfügung gestellt.

7. Rückgabe und Löschung der Daten

Bei Vertragsende: 30-tägiger Zugang zum vollständigen Export der Daten (CSV, JSON, eCH-0217). Nach diesem Zeitraum Löschung aller Daten innerhalb von 90 Tagen, ausser bei gesetzlicher Aufbewahrungspflicht (Art. 7 GwG, Art. 958f OR).

8. Internationale Datentransfers

Sensible Daten verbleiben in der Schweiz (Infomaniak Genf). Strukturierte Daten in der Schweiz (Supabase Zürich). Andere Subunternehmer befinden sich in der EU mit DSG-Angemessenheit oder Standardvertragsklauseln + Schweizer Anhang.

Vollständiges DPA als PDF herunterladen

Druckbare und unterzeichenbare PDF-Version. Vor dem Launch werden wir das von einem Anwalt validierte PDF bereitstellen.

PDF herunterladen (Entwurf)

Validierte Version erwartet: Q3 2026

Bereit, FidUp zu testen ?

DPA wird vor der Vertragsunterzeichnung unterzeichnet. Kostenloser 14-Tage-Test ohne Verpflichtung.

14 Tage testen
Anruf buchen
DPA — Data Processing Agreement — FidUp - FidUp