Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Zusammenhang mit der Nutzung der Plattform ProFidus ist:

ProFidus Consulting Öztürk
Inhaber: Mirkan Öztürk
Neuensteigstrasse 9
9424 Rheineck, Schweiz
E-Mail: info@profidus-consulting.ch

2. Geltungsbereich

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Zusammenhang mit:

• der Nutzung der Plattform ProFidus,
• der Registrierung und Verwaltung von Nutzerkonten,
• der Nutzung von Rechnungs-, Verwaltungs- und Zahlungsfunktionen,
• Support- und Kommunikationsanfragen,
• technischen Sicherheits- und Betriebsprozessen.

Die Plattform richtet sich ausschliesslich an Unternehmen, Selbstständige und Organisationen.

3. Rechtsgrundlagen der Verarbeitung

Soweit die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) anwendbar ist, erfolgt die Verarbeitung personenbezogener Daten insbesondere auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung),
• Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtungen),
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).

Unsere berechtigten Interessen umfassen insbesondere:

• Gewährleistung der IT-Sicherheit,
• Missbrauchs- und Betrugsprävention,
• Sicherstellung der Stabilität und Verfügbarkeit des Dienstes,
• Fehleranalyse und Systemoptimierung,
• Durchsetzung rechtlicher Ansprüche.

Im Übrigen erfolgt die Bearbeitung personenbezogener Daten nach Massgabe des Schweizer Datenschutzgesetzes (DSG) in der seit 1. September 2023 gültigen Fassung.

4. Kategorien verarbeiteter Daten

Wir verarbeiten insbesondere folgende Kategorien personenbezogener Daten:

Kontodaten

• Name
• Firmenname
• Geschäftsadresse
• E-Mail-Adresse
• Telefonnummer
• UID-/MwSt.-Nummer
• Zahlungsinformationen wie IBAN

Authentifizierungs- und Sicherheitsdaten

• Passwort-Hash (bcrypt)
• Session-Informationen
• Login-Zeitpunkte
• IP-Adressen
• Browser- und Geräteinformationen
• Sicherheits- und Audit-Logs

Nutzungsdaten

• Rechnungen, Angebote, Kundendaten
• Zeiteinträge, Aufgaben, Mahnungen
• hochgeladene Dateien und Belege
• Logos und sonstige Inhalte

Zahlungsdaten

Zahlungsdaten werden grundsätzlich direkt durch externe Zahlungsdienstleister verarbeitet. Wir speichern selbst keine vollständigen Kreditkartendaten.

Je nach Zahlungsanbieter erhalten wir ausschliesslich eingeschränkte Zahlungsinformationen, beispielsweise:

• Karten-Typ,
• letzte vier Ziffern,
• Zahlungsstatus,
• Transaktionsreferenzen.

Kommunikationsdaten

• Support-Anfragen
• E-Mail-Korrespondenz
• technische Rückmeldungen

5. Zwecke der Verarbeitung

Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken:

• Bereitstellung und Betrieb der Plattform,
• Vertragsabwicklung,
• Erstellung und Verwaltung von Rechnungen,
• Zahlungsabwicklung,
• Authentifizierung und Zugriffskontrolle,
• technischer Support,
• Missbrauchs- und Betrugsprävention,
• Datensicherung,
• Erfüllung gesetzlicher Aufbewahrungs- und Compliance-Pflichten,
• Fehleranalyse und Systemüberwachung.

6. Hosting und Infrastruktur

Die Plattform wird bei europäischen Hosting- und Infrastrukturpartnern betrieben. Derzeit nutzen wir insbesondere:

Hetzner Online GmbH
Standort: Falkenstein, Deutschland (EU)
ISO 27001 zertifiziert

Verschlüsselte Backups werden auf einer separaten Hetzner Storage Box (gleicher Standort) GPG-AES-256-verschlüsselt abgelegt.

Die Datenverarbeitung erfolgt grundsätzlich innerhalb der Schweiz oder des Europäischen Wirtschaftsraums (EWR), soweit nichts anderes angegeben wird.

Datenübertragungen erfolgen verschlüsselt nach aktuellem Stand der Technik (TLS 1.2+).

7. Zahlungsdienstleister

Für Zahlungsabwicklungen nutzen wir externe Zahlungsanbieter, insbesondere:

Stripe Payments Europe Ltd.
Sitz: Dublin, Irland
Konzern-Transfer an Stripe Inc. (USA) auf Basis der EU-Standardvertragsklauseln (SCCs).

Bei Nutzung von Online-Zahlungsfunktionen werden Zahlungsdaten direkt an den jeweiligen Zahlungsanbieter übermittelt. Die Verarbeitung erfolgt eigenverantwortlich durch den jeweiligen Zahlungsdienstleister nach dessen Datenschutzbestimmungen.

Soweit personenbezogene Daten in Staaten ausserhalb der Schweiz oder des EWR übertragen werden, erfolgen geeignete Datenschutzgarantien, insbesondere Standardvertragsklauseln (SCCs), soweit erforderlich.

8. Drittanbieter und Auftragsverarbeiter

Zur Bereitstellung unseres Dienstes setzen wir externe Dienstleister ("Auftragsverarbeiter") ein. Mit allen besteht - soweit erforderlich - ein Auftragsverarbeitungsvertrag (AVV):

• Hetzner Online GmbH (Falkenstein, DE) - Hosting + Backup-Storage
• Stripe Payments Europe Ltd. (Dublin, IE) + Stripe Inc. (USA) - Zahlungsabwicklung, Datentransfer USA via EU-Standardvertragsklauseln (SCCs)
• Sentry GmbH (Berlin, DE) - Error-Tracking + technische Logs zur Fehlerdiagnose. IP-Adressen werden nach 30 Tagen automatisch gelöscht.
• PostHog Inc. - Produkt- und Nutzungsanalyse zur Funnel- und Aktivierungs-Auswertung. Datenverarbeitung erfolgt in der EU-Region (Frankfurt, DE). Wir verwenden PostHog im Cookieless Mode ohne persistente Tracking-Cookies. Es werden keine personenbezogenen Daten an PostHog übertragen, ausser der internen Tenant-ID + E-Mail nach Login, um Funnel- Auswertungen pro Konto zu ermöglichen. Session-Aufzeichnungen werden nicht zur individuellen Ueberwachung verwendet sondern ausschliesslich aggregiert zur Produktverbesserung.
• Vom Nutzer hinterlegter SMTP-Provider - wenn der Nutzer eigene SMTP-Zugangsdaten konfiguriert (z.B. Gmail, Hostpoint, Infomaniak), versendet ProFidus E-Mails an dessen Endkunden über diesen Provider.

Wir setzen aktuell keine Marketing- oder KI-Drittanbieter ein.

9. SMTP- und E-Mail-Integrationen

Wenn Nutzer eigene SMTP-Zugangsdaten hinterlegen, werden diese verschlüsselt gespeichert und ausschliesslich zur technischen Zustellung von E-Mails verwendet.

Die Verantwortung für den datenschutzkonformen Betrieb externer E-Mail-Provider liegt beim jeweiligen Nutzer.

10. Webhooks und externe Integrationen

Nutzer können externe Webhook-Endpunkte oder Integrationen konfigurieren. Dabei können bestimmte Ereignis- und Nutzungsdaten an die hinterlegten Systeme übertragen werden.

Der Nutzer ist selbst verantwortlich für:

• die Rechtmässigkeit der Integration,
• die Sicherheit der Zielsysteme,
• die datenschutzkonforme Verarbeitung empfangener Daten.

11. Cookies und technische Technologien

Wir verwenden ausschliesslich technisch notwendige Cookies und vergleichbare Technologien, die für den Betrieb und die Sicherheit der Plattform erforderlich sind.

Diese dienen insbesondere:

• der Sitzungsverwaltung,
• der Authentifizierung,
• Sicherheitsfunktionen,
• der Stabilität der Plattform.

Es erfolgt kein Einsatz von:

• Werbe-Tracking,
• Drittanbieter-Marketing-Cookies,
• personalisierter Werbung.

Unsere Produkt-Analyse via PostHog (siehe § 8) laeuft im Cookieless Mode - es werden keine persistenten Cookies für Analyse-Zwecke gesetzt.

12. Speicherdauer

Personenbezogene Daten werden grundsätzlich nur solange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Konto- und Nutzungsdaten

Diese Daten bleiben grundsätzlich gespeichert, solange ein aktives Konto besteht.

Nach Konto-Löschung

Nach Schliessung eines Kontos bleiben Daten für 30 Tage verfügbar (für Export/Wiederherstellung) und werden danach gelöscht. Verschlüsselte Backup-Kopien können technisch bedingt bis zu 30 weitere Tage bestehen bleiben.

Gesetzliche Aufbewahrungspflichten

Geschäfts- und Rechnungsunterlagen können aufgrund gesetzlicher Aufbewahrungspflichten nach Schweizer Obligationenrecht (OR Art. 958f) bis zu 10 Jahre archiviert bleiben.

13. Sicherheitsmassnahmen

Wir treffen angemessene technische und organisatorische Sicherheitsmassnahmen zum Schutz personenbezogener Daten. Dazu gehören insbesondere:

• bcrypt-Hashing für Passwörter (12 Runden)
• AES-256-GCM-Verschlüsselung für sensible Felder (z.B. Stripe-Connect-Tokens)
• TLS 1.2+ für alle Datenübertragungen
• Strikte Tenant-Isolation auf Datenbank-Ebene (Multi-Tenancy)
• Rate-Limiting auf Login, Registrierung und Webhook-Endpoints
• Audit-Log für sicherheitsrelevante Aktionen mit IP + Zeitstempel
• Tägliche GPG-AES-256-verschlüsselte Backups auf separater Hetzner Storage Box
• Sentry-basiertes Error-Monitoring zur schnellen Reaktion auf Vorfälle
• Rollenbasiertes Berechtigungskonzept innerhalb der Plattform

14. Rechte betroffener Personen

Betroffene Personen haben im Rahmen des anwendbaren Datenschutzrechts insbesondere folgende Rechte:

• Auskunft über gespeicherte personenbezogene Daten,
• Berichtigung unrichtiger Daten,
• Löschung personenbezogener Daten,
• Einschränkung der Verarbeitung,
• Widerspruch gegen bestimmte Verarbeitungen,
• Datenübertragbarkeit,
• Widerruf erteilter Einwilligungen.

Anfragen können an folgende Adresse gerichtet werden:

info@profidus-consulting.ch

Zudem besteht ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde. In der Schweiz ist dies insbesondere der:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

15. Datenschutzverletzungen

Bei Datenschutz- oder Sicherheitsverletzungen erfolgen erforderliche Meldungen an zuständige Behörden und betroffene Personen im Rahmen der gesetzlichen Vorgaben.

16. Automatisierte Entscheidungen

Es erfolgt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.

17. Verantwortung der Nutzer

Nutzer bleiben selbst verantwortlich für:

• die Rechtmässigkeit der von ihnen verarbeiteten personenbezogenen Daten,
• die Einhaltung gesetzlicher Informationspflichten,
• die datenschutzkonforme Nutzung der Plattform,
• die Rechtmässigkeit hochgeladener Inhalte und Dokumente.

18. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, wenn:

• sich gesetzliche Vorgaben ändern,
• neue Funktionen eingeführt werden,
• neue technische oder organisatorische Prozesse eingesetzt werden.

Über wesentliche Änderungen informieren wir in geeigneter Weise.