Datenschutzerklaerung

yeos - Datenschutzerklaerung

Verantwortlicher

Verantwortlicher im Sinne des Bundesgesetzes über den Datenschutz (DSG) ist:

Geltungsbereich

Diese Datenschutzerklaerung beschreibt, wie personenbezogene Daten im Zusammenhang mit der Nutzung unserer Dienste erhoben, verarbeitet und verwaltet werden. Sie erlaeutert die Zwecke, für die personenbezogene Daten verarbeitet werden, die Rechtsgrundlage für diese Verarbeitung und wie wir den Schutz und die Vertraulichkeit Ihrer Daten gewaehrleisten. Die Erklaerung gilt für alle Interaktionen, bei denen personenbezogene Daten involviert sind, und gewaehrleistet Transparenz und die Einhaltung der geltenden Datenschutzgesetze. Beispiele:

• Nutzung der yeos SaaS-Plattform
• Zugriff auf die Website
• Kundenkonten
• Rechnungsstellung und Abonnementverwaltung
• Systemüberwachung und Qualitaetssicherung

Die in das SaaS-Produkt hochgeladenen Kundendaten unterliegen weiterhin der Verantwortung des jeweiligen Kunden als Datenverantwortlicher.

Rollen im Rahmen des Datenschutzrechts

In Bezug auf Kundendaten gilt Folgendes:

• Der Kunde fungiert als Datenverantwortlicher.
• Der Anbieter fungiert als Auftragsverarbeiter im Sinne des Schweizerischen Bundesgesetzes über den Datenschutz (DSG).

Der Anbieter verarbeitet Kundendaten ausschliesslich:

• zum Zweck der Bereitstellung des Cloud-Dienstes
• in Übereinstimmung mit dem Vertrag
• gemaess den dokumentierten Anweisungen des Kunden

Rechtsgrundlage der Verarbeitung

Personenbezogene Daten werden auf folgenden Rechtsgrundlagen verarbeitet:

• Erfüllung eines Vertrags
• Einhaltung gesetzlicher Verpflichtungen
• Berechtigte Interessen des Anbieters, insbesondere:
  • Systemsicherheit
  • Betrugsbekaempfung
  • Dienststabilitaet
  • Qualitaetssicherung

Hosting und Datenstandort

Das primaere Hosting und die Speicherung von Kundendaten erfolgen in Rechenzentren, die sich physisch in der Schweiz befinden.

Der Anbieter:

• kombiniert keine Kundendaten verschiedener Kunden
• reichert Kundendaten nicht mit externen Qüllen an
• greift nicht auf oeffentliche Internetqüllen im Zusammenhang mit Kundendaten zu, sofern dies nicht ausdrücklich vereinbart wurde

Kategorien der verarbeiteten personenbezogenen Daten

Konto- und Registrierungsdaten

• Name
• E-Mail-Adresse
• Firmenname
• Anmeldedaten

Kundendaten (hochgeladene Dokumente)

• Vom Kunden hochgeladene Dokumente
• Inhalt dieser Dokumente

Der Anbieter kontrolliert oder überprüft die sachliche Richtigkeit der hochgeladenen Dokumente nicht.

Technische Daten und Protokolldaten

• IP-Adresse
• Zugriffszeitstempel
• Systemprotokolle
• Geraete- und Browserinformationen

Diese Daten werden aus Gründen der Betriebssicherheit und Systemstabilitaet verarbeitet. Protokolldaten werden für einen begrenzten Zeitraum gespeichert, der für die Sicherheitsüberwachung und Systemintegritaet erforderlich ist, in der Regel jedoch nicht laenger als 90 Tage, sofern dies nicht für die Untersuchung von Vorfaellen erforderlich ist.

Abrechnungsdaten

Die Zahlungsabwicklung erfolgt über Stripe.

Stripe kann folgende Daten verarbeiten:

• Name
• Rechnungsadresse
• E-Mail-Adresse
• Zahlungsinformationen

Stripe fungiert als unabhaengiger Datenverantwortlicher und verarbeitet Daten gemaess seiner eigenen Datenschutzrichtlinie, die unter https://stripe.com/privacy verfügbar ist.

Zweck der Verarbeitung

Personenbezogene Daten werden verarbeitet für:

• Bereitstellung der SaaS-Plattform
• Dokumentenabruf und strukturierte Informationsextraktion
• Benutzerauthentifizierung
• Systemsicherheit und Betrugspraevention
• Abrechnung und Abonnementverwaltung
• Systemüberwachung und Qualitaetssicherung
• Einhaltung gesetzlicher Vorschriften

Unterauftragsverarbeiter und Drittanbieter

Der Anbieter beauftragt sorgfaeltig ausgewaehlte Drittanbieter mit der Unterstützung des Cloud-Dienstes.

Hosting-Anbieter

Infrastrukturanbieter mit Sitz in der Schweiz. Das Hosting wird von Infomaniak Network SA, Schweiz, bereitgestellt.

Zahlungsabwicklung

Stripe, Inc. (und verbundene Unternehmen).

Der Anbieter bleibt für die Auswahl und Überwachung seiner Unterauftragsverarbeiter verantwortlich.

Internationale Datenübermittlungen

Bestimmte Dienstleister, darunter der Zahlungsabwickler Stripe, koennen personenbezogene Daten ausserhalb der Schweiz, unter anderem in den Vereinigten Staaten, verarbeiten.

Diese Laender bieten moeglicherweise kein Datenschutzniveau, das dem Schweizer Recht entspricht. Wenn personenbezogene Daten in Laender ohne angemessenes Schutzniveau übertragen werden, werden geeignete Schutzmassnahmen wie Standardvertragsklauseln oder gleichwertige vertragliche Schutzmassnahmen getroffen.

Technische und organisatorische Massnahmen

Der Anbieter ergreift geeignete technische und organisatorische Massnahmen, um personenbezogene Daten zu schützen vor:

• unbefugtem Zugriff
• Veraenderung
• Verlust
• Offenlegung

Die Sicherheitsmassnahmen entsprechen dem Schweizer Datenschutzrecht und anerkannten Branchenstandards. Einzelheiten koennen auf begründete Anfrage hin mitgeteilt werden.

Aufbewahrung von Daten

Kundendaten:

• bleiben waehrend der Vertragslaufzeit zugaenglich
• koennen innerhalb von 30 Tagen nach Vertragsende exportiert werden

Nach Ablauf der Exportfrist werden Kundendaten unwiderruflich aus den Produktionssystemen und Backups geloescht, sofern nicht zwingende schweizerische Rechtsvorschriften eine laengere Aufbewahrung vorschreiben.

Technische Protokolldaten werden nur so lange aufbewahrt, wie dies für betriebliche und sicherheitstechnische Zwecke erforderlich ist.

Automatisierte Entscheidungsfindung

Das SaaS-Produkt stellt kein automatisiertes Entscheidungssystem im Sinne des geltenden Datenschutzrechts dar.

Die vom System generierten Ergebnisse dienen lediglich zu Informationszwecken. Der Kunde bleibt allein verantwortlich für die Überprüfung und Verifizierung aller Ergebnisse, bevor er sich darauf verlaesst.

Rechte der betroffenen Personen

Nach Schweizer Recht haben betroffene Personen das Recht auf:

• Auskunft
• Berichtigung
• Loeschung
• Einschraenkung der Verarbeitung
• Datenübertragbarkeit (sofern zutreffend)

Anfragen bezüglich hochgeladener Kundendaten müssen an den jeweiligen Kunden als Datenverantwortlichen gerichtet werden. Anfragen bezüglich Kontodaten koennen an den Anbieter gerichtet werden.

Betroffene Personen haben ausserdem das Recht, eine Beschwerde bei der zustaendigen Schweizer Datenschutzbehoerde (EDOEB) einzureichen.

Website-Daten

Technische Datenprotokollierung der Website

Wenn Personen auf die Website zugreifen, werden bestimmte technische Informationen, darunter ihre IP-Adresse und der Zeitpunkt des Zugriffs, aufgezeichnet. Diese Protokollierung dient der Sicherheit der Website und der Aufrechterhaltung der Systemintegritaet. Die Erfassung dieser Daten traegt zum Schutz vor unbefugtem Zugriff bei und unterstützt den zuverlaessigen Betrieb der Website-Dienste.

Unternehmensumstrukturierung und -übertragung

Der Anbieter kann den gesamten oder einen Teil des Geschaeftsbetriebs von yeos, einschliesslich der damit verbundenen Vermoegenswerte, des geistigen Eigentums, der Kundenvertraege und der Datenverarbeitungsaktivitaeten, an ein neu gegründetes oder bestehendes verbundenes Unternehmen übertragen, einschliesslich, aber nicht beschraenkt auf eine zukünftige yeos AG.

Im Falle einer solchen Übertragung:

• übernimmt das übernehmende Unternehmen die Rolle des Verantwortlichen und/oder Auftragsverarbeiters, soweit zutreffend,
• gelten alle vertraglichen und datenschutzrechtlichen Verpflichtungen unvermindert weiter,
• bleiben die Zwecke der Verarbeitung im Wesentlichen unveraendert,
• werden die Kunden in geeigneter Weise über die Übertragung informiert.

Eine solche Übertragung stellt eine legitime Unternehmensumstrukturierung dar und erfordert keine erneute Einwilligung der betroffenen Personen, sofern das Schutzniveau und die Zwecke der Verarbeitung unveraendert bleiben.

Aenderungen dieser Datenschutzerklaerung

Der Anbieter kann diese Datenschutzerklaerung von Zeit zu Zeit aktualisieren. Die aktülle Version ist jederzeit auf der Website verfügbar.

Waedenswil, 17.02.2025