Datenschutzerklärung

Verantwortlicher für die Datenverarbeitung:

Ein Vertreter im Sinne von Art. 27 DSGVO wird bei Bedarf für Kunden im EWR benannt und gesondert bekanntgegeben. Anfragen von betroffenen Personen aus dem EWR können in der Zwischenzeit direkt an die oben genannte Adresse gerichtet werden.

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der Website, der Plattform, der API sowie der Kommunikation mit Vereefy.

Für betroffene Personen in der Schweiz gilt insbesondere das Schweizer Datenschutzgesetz (DSG). Für betroffene Personen im Europäischen Wirtschaftsraum (EWR) gilt ergänzend bzw. vorrangig die Datenschutz-Grundverordnung (DSGVO), soweit anwendbar.

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

• Bereitstellung, Betrieb und Weiterentwicklung der Plattform und API
• Erstellung und Verwaltung von Kundenkonten sowie Benutzer- und Rollenverwaltung
• Protokollierung und Analyse von API-Nutzungen und KI-Interaktionen
• Erstellung von Audit-Trails, Compliance-Reports und technischen Nachweisen
• Sicherheits- und Systemmonitoring, Fehleranalyse und Incident-Handling
• Support, Kommunikation und Vertragsverwaltung
• Abrechnung und Finanzbuchhaltung
• Erfüllung gesetzlicher Pflichten sowie Durchsetzung von Ansprüchen

• Stammdaten (z.B. Name, Funktion, geschäftliche Kontaktdaten)
• Account-Daten (z.B. Login-Kennungen, Rollen, Berechtigungen, Organisation)
• Nutzungs- und Protokolldaten (z.B. Zeitpunkte von Logins und API-Calls, IP-Adressen)
• durch den Kunden übermittelte Inhalte (z.B. KI-Interaktionsdaten, soweit für Logging erforderlich)
• Report- und Audit-Metadaten (z.B. Hash-Werte, Klassifikations- und Bewertungsdaten)
• Support- und Kommunikationsdaten
• Abrechnungs- und Vertragsdaten

• Erfüllung eines Vertrages oder Durchführung vorvertraglicher Massnahmen
• Erfüllung rechtlicher Verpflichtungen (z.B. buchhalterische Aufbewahrungspflichten)
• Wahrung berechtigter Interessen (z.B. Sicherheit und Stabilität der Plattform, Abwehr von Missbrauch)
• Einwilligung, soweit im Einzelfall eingeholt

Wir verkaufen keine personenbezogenen Daten. Daten können übermittelt werden an:

• Hosting-, Infrastruktur- und Datenbank-Dienstleister
• Anbieter von E-Mail-, Kommunikations- und Supportsystemen
• Anbieter von Monitoring-, Logging- und Security-Tools
• Beratungsdienstleister (z.B. Rechts-, Steuer- oder Compliance-Berater), soweit erforderlich
• Behörden und Gerichte, soweit gesetzlich verpflichtet

Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich in der Schweiz oder im Europäischen Wirtschaftsraum (Datenbankbetrieb: Supabase EU West — Irland; Objekt-Storage: Hetzner — Nürnberg, Deutschland).

Für einzelne Subprozessoren mit Sitz in den USA (insbesondere Vercel Inc., Resend Inc., Sentry Inc.) stellen wir ein angemessenes Schutzniveau durch EU-Standardvertragsklauseln (SCCs) gemäss Durchführungsbeschluss (EU) 2021/914 sicher. Die Schweiz verfügt über ein von der EU-Kommission anerkanntes angemessenes Datenschutzniveau.

• Account- und Nutzerdaten: für die Dauer des Vertragsverhältnisses
• Protokoll- und Security-Daten: in der Regel bis zu 12 Monate
• Reports und Audit-Trails: gemäss AVV, in der Regel bis zu 12 Monate nach Vertragsende
• Vertrags- und Abrechnungsdaten: gemäss handels- und steuerrechtlichen Aufbewahrungspflichten

Wir treffen angemessene technische und organisatorische Massnahmen, insbesondere:

• Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen
• Verschlüsselung ruhender Daten (at rest)
• Mandantenisolierung und tenantbezogene Zugriffsbeschränkungen (Row Level Security)
• Rollenbasierte Zugriffskonzepte und Least-Privilege-Prinzip
• Rate Limiting und Schutz vor Brute-Force-Angriffen
• SHA-256 Hash-Chain für manipulationsgeschützte Audit-Trails
• Protokollierung sicherheitsrelevanter Ereignisse
• Definierte Backup- und Wiederherstellungsprozesse

Betroffene Personen haben insbesondere folgende Rechte:

• Recht auf Auskunft über die sie betreffenden personenbezogenen Daten
• Recht auf Berichtigung unrichtiger oder unvollständiger Daten
• Recht auf Löschung («Recht auf Vergessenwerden»), soweit keine gesetzlichen Pflichten entgegenstehen
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit, soweit anwendbar
• Recht auf Widerspruch gegen bestimmte Verarbeitungen
• Recht auf Widerruf einer erteilten Einwilligung jederzeit mit Wirkung für die Zukunft

Zur Ausübung dieser Rechte: privacy@vereefy.ai

Soweit wir personenbezogene Daten im Auftrag des Kunden verarbeiten, erfolgt dies gemäss dem AVV und den dokumentierten Weisungen des Kunden. Der Kunde ist Verantwortlicher und trägt die Verantwortung für die Rechtmässigkeit der Datenverarbeitung.

Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Datenverarbeitung, unsere Dienste oder die rechtlichen Rahmenbedingungen ändern. Die jeweils aktuelle Version wird auf unserer Website veröffentlicht.