Datenschutzerklärung

YEOS – Datenschutzerklärung

Verantwortlicher

Verantwortlicher im Sinne des Bundesgesetzes über den Datenschutz (DSG) ist:

Geltungsbereich

Diese Datenschutzerklärung beschreibt, wie personenbezogene Daten im Zusammenhang mit der Nutzung unserer Dienste erhoben, verarbeitet und verwaltet werden. Sie erläutert die Zwecke, für die personenbezogene Daten verarbeitet werden, die Rechtsgrundlage für diese Verarbeitung und wie wir den Schutz und die Vertraulichkeit Ihrer Daten gewährleisten. Die Erklärung gilt für alle Interaktionen, bei denen personenbezogene Daten involviert sind, und gewährleistet Transparenz und die Einhaltung der geltenden Datenschutzgesetze. Beispiele:

• Nutzung der YEOS SaaS-Plattform
• Zugriff auf die Website
• Kundenkonten
• Rechnungsstellung und Abonnementverwaltung
• Systemüberwachung und Qualitätssicherung

Die in das SaaS-Produkt hochgeladenen Kundendaten unterliegen weiterhin der Verantwortung des jeweiligen Kunden als Datenverantwortlicher.

Rollen im Rahmen des Datenschutzrechts

In Bezug auf Kundendaten gilt Folgendes:

• Der Kunde fungiert als Datenverantwortlicher.
• Der Anbieter fungiert als Auftragsverarbeiter im Sinne des Schweizerischen Bundesgesetzes über den Datenschutz (DSG).

Der Anbieter verarbeitet Kundendaten ausschliesslich:

• zum Zweck der Bereitstellung des Cloud-Dienstes
• in Übereinstimmung mit dem Vertrag
• gemäss den dokumentierten Anweisungen des Kunden

Rechtsgrundlage der Verarbeitung

Personenbezogene Daten werden auf folgenden Rechtsgrundlagen verarbeitet:

• Erfüllung eines Vertrags
• Einhaltung gesetzlicher Verpflichtungen
• Berechtigte Interessen des Anbieters, insbesondere:
  • Systemsicherheit
  • Betrugsbekämpfung
  • Dienststabilität
  • Qualitätssicherung

Hosting und Datenstandort

Das primäre Hosting und die Speicherung von Kundendaten erfolgen in Rechenzentren, die sich physisch in der Schweiz befinden.

Der Anbieter:

• kombiniert keine Kundendaten verschiedener Kunden
• reichert Kundendaten nicht mit externen Quellen an
• greift nicht auf öffentliche Internetquellen im Zusammenhang mit Kundendaten zu, sofern dies nicht ausdrücklich vereinbart wurde

Kategorien der verarbeiteten personenbezogenen Daten

Konto- und Registrierungsdaten

• Name
• E-Mail-Adresse
• Firmenname
• Anmeldedaten

Kundendaten (hochgeladene Dokumente)

• Vom Kunden hochgeladene Dokumente
• Inhalt dieser Dokumente

Der Anbieter kontrolliert oder überprüft die sachliche Richtigkeit der hochgeladenen Dokumente nicht.

Technische Daten und Protokolldaten

• IP-Adresse
• Zugriffszeitstempel
• Systemprotokolle
• Geräte- und Browserinformationen

Diese Daten werden aus Gründen der Betriebssicherheit und Systemstabilität verarbeitet. Protokolldaten werden für einen begrenzten Zeitraum gespeichert, der für die Sicherheitsüberwachung und Systemintegrität erforderlich ist, in der Regel jedoch nicht länger als 90 Tage, sofern dies nicht für die Untersuchung von Vorfällen erforderlich ist.

Abrechnungsdaten

Die Zahlungsabwicklung erfolgt über Stripe.

Stripe kann folgende Daten verarbeiten:

• Name
• Rechnungsadresse
• E-Mail-Adresse
• Zahlungsinformationen

Stripe fungiert als unabhängiger Datenverantwortlicher und verarbeitet Daten gemäss seiner eigenen Datenschutzrichtlinie, die unter https://stripe.com/privacy verfügbar ist.

Zweck der Verarbeitung

Personenbezogene Daten werden verarbeitet für:

• Bereitstellung der SaaS-Plattform
• Dokumentenabruf und strukturierte Informationsextraktion
• Benutzerauthentifizierung
• Systemsicherheit und Betrugsprävention
• Abrechnung und Abonnementverwaltung
• Systemüberwachung und Qualitätssicherung
• Einhaltung gesetzlicher Vorschriften

Unterauftragsverarbeiter und Drittanbieter

Der Anbieter beauftragt sorgfältig ausgewählte Drittanbieter mit der Unterstützung des Cloud-Dienstes.

Hosting-Anbieter

Infrastrukturanbieter mit Sitz in der Schweiz. Das Hosting wird von Infomaniak Network SA, Schweiz, bereitgestellt.

Zahlungsabwicklung

Stripe, Inc. (und verbundene Unternehmen).

Der Anbieter bleibt für die Auswahl und Überwachung seiner Unterauftragsverarbeiter verantwortlich.

Internationale Datenübermittlungen

Bestimmte Dienstleister, darunter der Zahlungsabwickler „Stripe“, können personenbezogene Daten ausserhalb der Schweiz, unter anderem in den Vereinigten Staaten, verarbeiten.

Diese Länder bieten möglicherweise kein Datenschutzniveau, das dem Schweizer Recht entspricht. Wenn personenbezogene Daten in Länder ohne angemessenes Schutzniveau übertragen werden, werden geeignete Schutzmassnahmen (wie Standardvertragsklauseln oder gleichwertige vertragliche Schutzmassnahmen) getroffen.

Technische und organisatorische Massnahmen

Der Anbieter ergreift geeignete technische und organisatorische Massnahmen, um personenbezogene Daten zu schützen vor:

• unbefugtem Zugriff
• Veränderung
• Verlust
• Offenlegung

Die Sicherheitsmassnahmen entsprechen dem Schweizer Datenschutzrecht und anerkannten Branchenstandards. Einzelheiten können auf begründete Anfrage hin mitgeteilt werden.

Aufbewahrung von Daten

Kundendaten:

• bleiben während der Vertragslaufzeit zugänglich
• können innerhalb von 30 Tagen nach Vertragsende exportiert werden

Nach Ablauf der Exportfrist werden Kundendaten unwiderruflich aus den Produktionssystemen und Backups gelöscht, sofern nicht zwingende schweizerische Rechtsvorschriften eine längere Aufbewahrung vorschreiben.

Technische Protokolldaten werden nur so lange aufbewahrt, wie dies für betriebliche und sicherheitstechnische Zwecke erforderlich ist.

Automatisierte Entscheidungsfindung

Das SaaS-Produkt stellt kein automatisiertes Entscheidungssystem im Sinne des geltenden Datenschutzrechts dar.

Die vom System generierten Ergebnisse dienen lediglich zu Informationszwecken. Der Kunde bleibt allein verantwortlich für die Überprüfung und Verifizierung aller Ergebnisse, bevor er sich darauf verlässt.

Rechte der betroffenen Personen

Nach Schweizer Recht haben betroffene Personen das Recht auf:

• Auskunft
• Berichtigung
• Löschung
• Einschränkung der Verarbeitung
• Datenübertragbarkeit (sofern zutreffend)

Anfragen bezüglich hochgeladener Kundendaten müssen an den jeweiligen Kunden als Datenverantwortlichen gerichtet werden. Anfragen bezüglich Kontodaten können an den Anbieter gerichtet werden.

Betroffene Personen haben ausserdem das Recht, eine Beschwerde bei der zuständigen Schweizer Datenschutzbehörde (EDÖB) einzureichen.

Website-Daten

Technische Datenprotokollierung der Website

Wenn Personen auf die Website zugreifen, werden bestimmte technische Informationen – darunter ihre IP-Adresse und der Zeitpunkt des Zugriffs – aufgezeichnet. Diese Protokollierung dient der Sicherheit der Website und der Aufrechterhaltung der Systemintegrität. Die Erfassung dieser Daten trägt zum Schutz vor unbefugtem Zugriff bei und unterstützt den zuverlässigen Betrieb der Website-Dienste.

Unternehmensumstrukturierung und -übertragung

Der Anbieter kann den gesamten oder einen Teil des Geschäftsbetriebs von YEOS, einschliesslich der damit verbundenen Vermögenswerte, des geistigen Eigentums, der Kundenverträge und der Datenverarbeitungsaktivitäten, an ein neu gegründetes oder bestehendes verbundenes Unternehmen übertragen, einschliesslich, aber nicht beschränkt auf eine zukünftige YEOS AG.

Im Falle einer solchen Übertragung:

• übernimmt das übernehmende Unternehmen die Rolle des Verantwortlichen und/oder Auftragsverarbeiters, soweit zutreffend,
• gelten alle vertraglichen und datenschutzrechtlichen Verpflichtungen unvermindert weiter,
• bleiben die Zwecke der Verarbeitung im Wesentlichen unverändert,
• werden die Kunden in geeigneter Weise über die Übertragung informiert.

Eine solche Übertragung stellt eine legitime Unternehmensumstrukturierung dar und erfordert keine erneute Einwilligung der betroffenen Personen, sofern das Schutzniveau und die Zwecke der Verarbeitung unverändert bleiben.

Änderungen dieser Datenschutzerklärung

Der Anbieter kann diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Die aktuelle Version ist jederzeit auf der Website verfügbar.

Wädenswil, 17.02.2025