Datenschutzerklärung

1. Einleitung

Der Schutz Ihrer Personendaten ist uns wichtig. In dieser Datenschutzerklärung informieren wir Sie transparent darüber, welche Personendaten wir erheben, zu welchen Zwecken wir sie bearbeiten, an wen wir sie weitergeben und welche Rechte Sie haben. Die Bearbeitung erfolgt nach Massgabe des schweizerischen Datenschutzgesetzes (DSG) sowie – soweit anwendbar – der europäischen Datenschutz-Grundverordnung (DSGVO).

2. Verantwortliche Stelle

Verantwortlich für die Bearbeitung Ihrer Personendaten im Sinne von Art. 5 lit. j DSG ist:

[Firmenname, Strasse Nr., PLZ Ort, Schweiz – E-Mail: …]

3. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung unserer Plattform, unserer Website sowie aller über diese Plattform abrufbaren öffentlichen Profilseiten (QR-Card-Landingpages). Sie gilt für sämtliche Personendaten, die im Rahmen der Nutzung unserer Dienste anfallen.

4. Bearbeitete Personendaten

Wir bearbeiten je nach Nutzung folgende Kategorien von Personendaten:

Kontodaten

E-Mail-Adresse, Vor- und Nachname, Rolle in der Organisation, Sprache, Passwort-Hash, ggf. MFA-Einstellungen sowie das gewählte Abonnement.

Inhalte der QR-Karten

Sämtliche Inhalte, die Sie selbst eingeben oder hochladen: Name, Funktion, Firma, Telefonnummern, E-Mail-Adressen, Websites, Social-Media-Profile, Adresse, Logo, Hintergrundbild, Dateien (PDFs), Notizen sowie ggf. eine Weiterleitungs-URL.

Scan- und Interaktionsdaten

Beim Aufruf einer QR-Card-Seite erfassen wir: Zeitpunkt des Scans, Gerätetyp und Betriebssystem (aus dem User-Agent), Land und Stadt (aus von Vercel bereitgestellten Geo-Headern auf Basis der IP-Adresse, jedoch ohne Speicherung der vollständigen IP), Referrer sowie eine pseudonyme Besucher-ID (lokal im Browser gespeichert, dient der Erkennung wiederkehrender Besucher). Zusätzlich erfassen wir bestimmte Interaktionen mit der Karte (z.B. Klicks auf Telefon, E-Mail, Website, Social-Links).

Lead-Erfassung

Wenn ein Karteninhaber das Lead-Formular aktiviert hat und ein Besucher dieses ausfüllt, bearbeiten wir die im Formular angegebenen Daten (in der Regel Name, E-Mail-Adresse, optional Firma) inklusive Einwilligung und Zeitpunkt der Einwilligung.

Zahlungs- und Rechnungsdaten

Für kostenpflichtige Abonnemente werden Zahlungs- und Abonnement-Daten über Stripe Payments Europe Ltd. (Irland) bearbeitet. Wir selbst speichern keine vollständigen Kartendaten, sondern lediglich eine Kunden- und Abonnement-Referenz.

Technische Logdaten

Bei jedem Zugriff auf unsere Server fallen kurzzeitig technische Daten an (IP-Adresse, Zeitstempel, abgerufene Ressource, Antwortstatus). Diese werden zur Gewährleistung der Sicherheit und Stabilität des Dienstes bearbeitet.

5. Bearbeitungszwecke

Wir bearbeiten Ihre Personendaten zu folgenden Zwecken:

• Bereitstellung und Betrieb der Plattform sowie Erstellung und Anzeige Ihrer QR-Karten und Landingpages
• Authentifizierung, Konto- und Rechteverwaltung (Admin, Writer, Reader)
• Erbringung der von Ihnen gewählten kostenpflichtigen Leistungen und Abwicklung der Zahlungen
• Bereitstellung von Statistiken (Scans, Interaktionen, Leads) an die jeweiligen Karteninhaber
• Kommunikation mit Ihnen (z.B. Bestätigungs-, Service- und Sicherheits-E-Mails)
• Gewährleistung der IT-Sicherheit, Missbrauchsprävention und Rate-Limiting
• Erfüllung gesetzlicher Pflichten (z.B. Buchhaltung, Steuern, Auskunftsersuchen)

6. Rechtsgrundlagen

Wir bearbeiten Personendaten gestützt auf das schweizerische DSG. Soweit die DSGVO anwendbar ist, stützen wir uns auf die Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO), die Erfüllung rechtlicher Pflichten (lit. c), Ihre Einwilligung (lit. a, insbesondere für Lead-Formulare) sowie unsere berechtigten Interessen (lit. f) an einem sicheren, funktionsfähigen und wirtschaftlich tragfähigen Dienst.

7. Empfänger und Auftragsbearbeiter

Wir geben Personendaten nur an Dritte weiter, soweit dies zur Erbringung des Dienstes erforderlich ist. Folgende Auftragsbearbeiter setzen wir ein:

• Supabase Inc. (Hosting der Datenbank, Authentifizierung und Datei-Storage) – Server in der EU; Standardvertragsklauseln
• Vercel Inc. (Hosting der Anwendung und Edge-Funktionen) – Datenverarbeitung primär in der EU/USA; Standardvertragsklauseln
• Stripe Payments Europe Ltd. (Zahlungsabwicklung) – Datenverarbeitung primär in Irland/USA
• [Anbieter für transaktionale E-Mails einfügen, falls verwendet]

Personendaten werden an Behörden oder Gerichte nur weitergegeben, wenn wir dazu rechtlich verpflichtet sind oder dies zur Wahrung unserer Rechte erforderlich ist.

8. Datenübermittlung ins Ausland

Einige unserer Auftragsbearbeiter haben Sitz oder Server in Ländern ausserhalb der Schweiz und des EWR (insbesondere USA). Wir stellen ein angemessenes Datenschutzniveau durch von der Schweiz bzw. EU anerkannte Mechanismen sicher (Standardvertragsklauseln, Angemessenheitsbeschlüsse, Zertifizierungen).

9. Cookies, Local Storage und ähnliche Technologien

Wir verwenden technisch notwendige Cookies und Browser-Speicher (localStorage / sessionStorage), insbesondere für die Anmeldung, die Spracheinstellung sowie eine pseudonyme Besucher-ID zur Wiedererkennung wiederkehrender Scans. Diese Daten verlassen Ihr Gerät nur zweckgebunden. Wir setzen keine Tracking-Cookies von Drittanbietern und keine Werbe-Tracker ein.

10. Aufbewahrungsdauer

Wir bewahren Personendaten nur so lange auf, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies verlangen (z.B. 10 Jahre für Geschäfts- und Buchhaltungsunterlagen gemäss OR). Kontodaten und Karteninhalte werden bis zur Kündigung des Kontos bzw. Löschung der jeweiligen QR-Karte aufbewahrt. Scan- und Interaktionsdaten werden für statistische Zwecke aufbewahrt; eine Löschung kann auf Anfrage erfolgen.

11. Ihre Rechte

Sie haben gemäss DSG (und ggf. DSGVO) insbesondere folgende Rechte:

• Auskunft über die zu Ihrer Person bearbeiteten Daten (Art. 25 DSG)
• Berichtigung unrichtiger Daten (Art. 32 DSG)
• Löschung oder Vernichtung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Einschränkung der Bearbeitung in bestimmten Fällen
• Datenherausgabe oder -übertragung in einem gängigen elektronischen Format (Art. 28 DSG)
• Widerspruch gegen die Bearbeitung sowie Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft

Zur Wahrnehmung dieser Rechte kontaktieren Sie uns unter der oben genannten Adresse. Wir können einen Identitätsnachweis verlangen, um Missbrauch zu verhindern.

12. Beschwerderecht

Sind Sie der Ansicht, dass die Bearbeitung Ihrer Personendaten gegen das Datenschutzrecht verstösst, können Sie sich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Feldeggweg 1, 3003 Bern (www.edoeb.admin.ch), beschweren. Bei Anwendbarkeit der DSGVO steht Ihnen das Beschwerderecht bei der zuständigen Aufsichtsbehörde Ihres Wohnsitzstaates zu.

13. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen, um Ihre Personendaten vor unbefugtem Zugriff, Verlust, Missbrauch oder Veränderung zu schützen. Dazu gehören insbesondere Transportverschlüsselung (HTTPS/TLS), Zugriffskontrollen, Rate-Limiting sowie regelmässige Sicherheitsprüfungen.

14. Minderjährige

Unsere Dienste richten sich nicht an Personen unter 16 Jahren. Wir bearbeiten wissentlich keine Personendaten von Minderjährigen ohne Zustimmung der erziehungsberechtigten Person.

15. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung jederzeit anpassen, um neue rechtliche oder technische Entwicklungen zu berücksichtigen. Es gilt jeweils die zum Zeitpunkt der Nutzung publizierte Fassung.