Datenschutzerklärung
Bereitstellung der Website (Logfiles)
Beschreibung und Umfang der Datenbearbeitung
Wenn Sie auf unsere Website zugreifen, d.h., selbst wenn Sie sich nicht registrieren oder anderweitig Informationen übermitteln, werden automatisch Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers, Ihre IP-Adresse, Referrer-URL, Datum und Uhrzeit des Zugriffs und ähnliches.
Sie werden insbesondere zu folgenden Zwecken bearbeitet:
- Sicherstellung eines problemlosen Verbindungsaufbaus der Website,
- Sicherstellung einer reibungslosen Nutzung unserer Website,
- Sicherstellung und Auswertung der Systemsicherheit und -stabilität, insbesondere zur Missbrauchserkennung
- zur technisch fehlerfreien Darstellung und Optimierung unserer Website.
Die Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen Personendaten des Nutzers findet nicht statt. Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Allerdings behalten wir uns vor, die Server-Logfiles nachträglich zu überprüfen, sollten konkrete Anhaltspunkte auf eine rechtswidrige Nutzung hinweisen.
Empfänger der Daten
Wir setzen für Betrieb und Wartung unserer Webseite Dienstleister ein, die als unsere Auftragsbearbeiter tätig werden. Sämtliche Dienstleister sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln.
Auftragsbearbeiter und Datenstandorte
Wir setzen die folgenden Auftragsbearbeiter für den Betrieb unserer Anwendung ein:
- Supabase Inc. (USA) — Datenbank, Authentifizierung und Dateispeicherung. Datenstandort: Zürich, Schweiz (AWS eu-central-2). Auftragsbearbeitungsvertrag (DPA) abgeschlossen.
- Vercel Inc. (USA) — Anwendungshosting und serverseitiges Rendering. Datenstandort: Frankfurt, Deutschland (AWS eu-central-1). Auftragsbearbeitungsvertrag im Rahmen des Pro-Plans. Zertifizierung unter dem Swiss-US Data Privacy Framework.
- PostHog Inc. (USA) — Produktanalyse und Fehlerverfolgung. Datenstandort: Frankfurt, Deutschland (EU-Instanz). Auftragsbearbeitungsvertrag (DPA) abgeschlossen.
- Microsoft Corporation — E-Mail- und Kalender-Integration über die Microsoft Graph API. Datenstandort: Region des Microsoft-365-Mandanten des Kunden. Auftragsbearbeitungsvertrag gemäß den Microsoft Online Services Terms.
- Google LLC (USA) — E-Mail-Integration (Gmail API), Kalender-Synchronisation (Google Calendar API) und Kontaktimport (People API). Datenstandort: Region des Google-Workspace-Kontos des Kunden. Auftragsbearbeitungsvertrag gemäß den Google Cloud Data Processing Terms.
- Microsoft Azure / OpenAI (USA) — KI-gestützte E-Mail-Analyse. Datenstandort: Schweiz Nord (Azure-Region switzerlandnorth). Auftragsbearbeitungsvertrag gemäß den Microsoft Product Terms.
- Kickbox Inc. (USA) — E-Mail-Validierung bei Registrierung und Einladung. Auftragsbearbeitungsvertrag (DPA) abgeschlossen.
- Resend Inc. (USA) — Versand transaktionaler E-Mails (Authentifizierung, Einladungen). Auftragsbearbeitungsvertrag (DPA) abgeschlossen.
Sämtliche Auftragsbearbeiter sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln und ausschließlich im Rahmen unserer Weisungen zu bearbeiten.
Internationale Datenübermittlung
Einige unserer Auftragsbearbeiter haben ihren Sitz in den USA. Sämtliche personenbezogenen Daten werden im Ruhezustand in der Schweiz (Zürich) oder in der EU (Frankfurt) gespeichert.
Die Übermittlung personenbezogener Daten wird durch folgende Maßnahmen abgesichert:
- Abgeschlossene Auftragsbearbeitungsverträge (DPA)
- EU-Standardvertragsklauseln (SCCs)
- Zertifizierung unter dem Swiss-US Data Privacy Framework
Deutschland verfügt gemäß dem schweizerischen Datenschutzgesetz (DSG) über ein angemessenes Datenschutzniveau — für die Datenverarbeitung in Frankfurt sind keine zusätzlichen Schutzmaßnahmen erforderlich.
Kontaktaufnahme
Beschreibung und Umfang der Datenbearbeitung
Auf unserer Website ist ein Kontaktformular vorhanden, welches für die elektronische Kontaktaufnahme genutzt werden kann. Nehmen Sie diese Möglichkeit wahr, so werden die in der Eingabemaske eingegeben Personendaten an uns übermittelt und gespeichert. Die Verarbeitung Ihrer Personendaten dient uns allein zur Bearbeitung Ihrer Anfrage.
Zum Zeitpunkt der Absendung der Nachricht werden zudem folgende Daten übermittelt und gespeichert:
- Datum und Uhrzeit der Anfrage
- URL, von der die Anfrage erfolgte
- IP-Adresse
Alternativ ist eine Kontaktaufnahme über die bereitgestellten E-Mail-Adressen möglich. In diesem Fall werden die mit der E-Mail übermittelten Personendaten des Nutzers gespeichert. Hierzu zählen:
- Datum und Uhrzeit der Anfrage
- URL, von der die Anfrage erfolgte
- IP-Adresse
- sowie Informationen zu den an der E-Mail-Kommunikation beteiligten Servern.
Zudem können Sie über die bereitgestellte Telefonnummer Kontakt zu uns aufnehmen. Hierbei erheben wir Protokolldaten, die Ihre Telefonnummer und die Dauer des Gesprächs beinhalten. Wir zeichnen Gespräche grundsätzlich nicht auf.
Empfänger der Daten
Unsere Website wird von Dienstleistern gewartet, die als unsere Auftragsbearbeiter tätig werden. Sofern Sie uns eine Anfrage bzgl. eines Angebots schicken, können von uns eingesetzte Dienstleister zu diesen Zwecken Daten erhalten, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen (z.B. IT-Dienstleistungen, Call-Center). Sämtliche Dienstleister sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln.
Newsletter
Beschreibung und Umfang der Datenbearbeitung
Ihre Daten werden ausschliesslich dazu verwendet, Ihnen den abonnierten Newsletter per E-Mail zuzustellen und, soweit Sie hierin zusätzlich eingewilligt haben, auszuwerten, wie Sie den Newsletter und ggf. darin verlinkte Inhalte nutzen. Die Angabe Ihres Namens erfolgt, um Sie im Newsletter persönlich ansprechen zu können und ggf. zu identifizieren, falls Sie von Ihren Rechten als Betroffener Gebrauch machen wollen.
Um zu überprüfen, dass eine Anmeldung tatsächlich durch den Inhaber einer E-Mail-Adresse erfolgt, setzen wir bei einer Online-Anmeldung das „Double-Opt-in“-Verfahren (DOI-Verfahren) ein. Dies bedeutet, dass sie im Anschluss an Ihre Newsletter-Anmeldung eine E-Mail erhalten, in der Sie Ihre Newsletter-Anmeldung durch Klick auf einen Link bestätigen müssen.
Zum Zeitpunkt der DOI-Bestätigung werden zudem folgende Daten gespeichert:
- Ort, Datum und Uhrzeit der Anmeldung
- IP-Adresse
- E-Mail-Adresse
- Ggfs. Anrede, Vorname, Nachname
Zusätzlich werten wir Ihr Lese- und Nutzungsverhalten aus um unseren Newsletter stetig zu verbessern und Ihren Interessen und Bedürfnissen entsprechend anzupassen. Hierzu analysieren wir, ob und was Sie in unseren Newslettern lesen bzw. anklicken, um diese noch attraktiver zu gestalten.
Empfänger der Daten
Wir setzen für den Versand und die erfolgenden Auswertungen Dienstleister ein, die als unsere Auftragsbearbeiter tätig werden. Sämtliche Dienstleister sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln.
Registrierung
Beschreibung und Umfang der Datenbearbeitung
Auf unserer Website bieten wir Ihnen die Möglichkeit, sich unter Angabe Ihrer Personendaten zu registrieren. Die Daten werden dabei in eine Eingabemaske eingegeben und an uns übermittelt und gespeichert. Eine Weitergabe der Daten an Dritte findet nicht statt. Folgende Daten werden im Rahmen des Registrierungsprozesses erhoben:
- Vorname, Nachname
- E-Mailadresse
- Passwort
Zum Zeitpunkt der Registrierung werden zudem folgende Daten gespeichert:
- IP-Adresse
- Datum und Uhrzeit der Registrierung
Im Rahmen des Registrierungsprozesses wird Ihre Einwilligung zur Verarbeitung dieser Daten eingeholt.
Empfänger der Daten
Wir setzen für den Registrierungsprozess technische Dienstleister ein, die als unsere Auftragsbearbeiter tätig werden. Sämtliche Dienstleister sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln.
Dateispeicherung
Benutzer können Dateien (Dokumente, Bilder, Anhänge) in die Anwendung hochladen. Diese Dateien werden in Zürich, Schweiz (Supabase Storage, AWS eu-central-2) gespeichert.
Der Zugriff auf Dateien wird durch Row-Level-Security-Richtlinien gesteuert. Dateien werden im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.2+) verschlüsselt. Hochgeladene Dateien werden gelöscht, wenn das zugehörige Projekt oder Konto gelöscht wird.
E-Mail-Integration
Benutzer können ihr Microsoft-365- oder Google-Workspace-Postfach mit der Anwendung verbinden. Der Zugriff erfolgt über die Microsoft Graph API bzw. die Gmail API.
Erhobene Daten
- E-Mail-Inhalte und Anhänge
- Absender- und Empfängeradressen
- Betreffzeilen und Zeitstempel
- Kontaktdaten (Name, E-Mail-Adresse) bei aktiviertem Kontaktimport
Zweck
Die Daten werden verwendet, um E-Mails im Auftrag der Benutzer innerhalb der Anwendung anzuzeigen und zu versenden sowie Kontakte mit dem Adressbuch des Benutzers abzugleichen.
Technische Umsetzung
- Microsoft 365: Authentifizierung über OAuth2 mit Berechtigungen Mail.ReadWrite, Contacts.Read
- Google Workspace: Authentifizierung über OAuth2 mit Berechtigungen gmail.modify, contacts.readonly
- E-Mail-Daten verbleiben im Mandanten bzw. Konto des Benutzers
- Zwischengespeicherte Metadaten (Absender, Betreff, Datum) werden in unserer Datenbank gespeichert (siehe Abschnitt «Auftragsbearbeiter und Datenstandorte»)
KI-gestützte E-Mail-Analyse
Beschreibung
Wenn die Funktion vom Kontoinhaber aktiviert wird, werden eingehende E-Mails automatisch durch ein KI-Modell (Azure OpenAI, GPT-4o) analysiert. Die Verarbeitung erfolgt ausschließlich in der Azure-Region Schweiz Nord (switzerlandnorth).
Erhobene und verarbeitete Daten
- E-Mail-Textinhalt (ohne Anhänge)
- Absender- und Empfängeradressen
- Betreffzeile
- Projektkontext innerhalb der Anwendung
Ergebnisse der Analyse
- Zusammenfassung und Stimmungsanalyse
- Erkennung von Handlungsaufforderungen und Terminen
- Vorschläge zur Zuordnung zu Projekten und Kontakten
- Erkennung potenzieller neuer Leads
- Entwurf einer Antwortvorlage
Keine automatisierte Einzelentscheidung
Die Analyseergebnisse werden dem Benutzer als Vorschläge präsentiert. Sämtliche Zuordnungen und Aktionen erfordern eine manuelle Bestätigung durch den Benutzer. Es findet keine vollautomatisierte Entscheidung im Sinne von Art. 21 DSG statt.
Datenspeicherung
Die Analyseergebnisse werden verschlüsselt (AES-256-GCM) in unserer Datenbank gespeichert und standardmässig nach 90 Tagen automatisch gelöscht. Der Kontoinhaber kann die Aufbewahrungsfrist in den Kontoeinstellungen verlängern oder auf unbeschränkt setzen. Der ursprüngliche E-Mail-Inhalt wird nicht dauerhaft gespeichert.
Deaktivierung
Die KI-Analyse kann jederzeit in den Kontoeinstellungen deaktiviert werden.
Kalender-Synchronisation
Benutzer können ihren Microsoft-365- oder Google-Kalender mit der Anwendung verbinden, um Termine in der Ressourcenplanung anzuzeigen.
Erhobene Daten
- Kalenderereignisse (Titel, Zeitraum, Teilnehmer)
- Kalender-ID und Synchronisationsstatus
Technische Umsetzung
- Microsoft 365: Authentifizierung über OAuth2 (Calendars.Read)
- Google Workspace: Authentifizierung über OAuth2 (calendar.readonly, calendar.events)
- Kalenderdaten werden in unserer Datenbank zwischengespeichert (siehe Abschnitt «Auftragsbearbeiter und Datenstandorte»)
Bexio-Integration
Benutzer können ihr Bexio-Konto verbinden, um Kontaktdaten in die Anwendung zu importieren.
Erhobene Daten
- Kontaktdaten: Name, Adresse, E-Mail-Adresse, Telefonnummer
- Firmenbezeichnung und Kundennummer
Datenfluss
Die Daten fließen ausschließlich von Bexio nach Solarstream (Einweg-Import). Es werden keine Daten an Bexio zurückgeschrieben.
Technische Umsetzung
- Authentifizierung über OAuth2 mit Leseberechtigungen (contact_show, project_show)
- Importierte Kontakte werden in unserer Datenbank gespeichert (siehe Abschnitt «Auftragsbearbeiter und Datenstandorte»)
Reichweitenmessung
Beschreibung und Umfang der Datenbearbeitung
Mithilfe von Analysewerkzeugen werten wir das Nutzerverhalten aus. Eine genauere Beschreibung zu den Tools finden Sie im Kapitel „Analysewerkzeuge“ dieser Datenschutzerklärung.
Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses. Die Messung der Reichweite und die sich daraus ergebenden Informationen sind geeignet, um das Webangebot anzupassen.
Empfänger der Daten
Wir setzen für Betrieb und Wartung unserer Webseite technische Dienstleister ein, die als unsere Auftragsbearbeiter tätig werden. Sämtliche Dienstleister sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln.
Eingesetzte Analyse-Tools
Einsatz von PostHog
Wir verwenden auf unserer Website PostHog (PostHog Inc., USA), ein leistungsstarkes Open-Source-Analyse-Tool, um das Nutzerverhalten anonym und ohne Einsatz von Cookies zu analysieren. Die Daten werden auf einem europäischen Server in Frankfurt, Deutschland (EU-Instanz) gespeichert und verarbeitet. Diese Nutzung erfolgt ausschließlich mit anonymisierten und aggregierten Daten, um die Benutzererfahrung zu verbessern und die Performance unserer Inhalte zu analysieren. Zu den von PostHog erfassten Informationen gehören technische Daten wie Betriebssystem, Browser und Bildschirmauflösung sowie Nutzungsmuster wie besuchte Seiten, Verweildauer, Herkunftsseite Klickpfade und Session Recordings.
Datenschutz und Datensicherheit
Die Anwendungsdaten werden in Zürich, Schweiz (AWS eu-central-2) gespeichert. Die Analysedaten werden in Frankfurt, Deutschland (EU) gespeichert und verarbeitet. Sämtliche Daten werden im Ruhezustand mit AES-256 und bei der Übertragung mit TLS 1.2+ verschlüsselt. Der Zugriff auf Daten wird durch Row-Level-Security-Richtlinien auf Datenbankebene gesteuert.
Für nicht angemeldete Besucher der Website erhebt PostHog keine persönlichen Daten wie Namen oder E-Mail-Adressen. Für angemeldete Benutzer der Anwendung werden — sofern die Analyseeinwilligung erteilt wurde — pseudonymisierte Benutzerdaten (Benutzer-ID, E-Mail-Adresse, Name) an PostHog übermittelt, um die Produktnutzung zu analysieren und das Benutzererlebnis zu verbessern. Diese Daten werden ausschließlich auf der EU-Instanz (Frankfurt) verarbeitet.
Weitergabe an Dritte
Wir geben Ihre Personendaten nur an die in dieser Erklärung genannten Auftragsbearbeiter weiter. Eine Weitergabe an sonstige Dritte findet nicht statt. Für weitere Informationen zu den Datenschutzpraktiken von PostHog besuchen Sie bitte deren Datenschutzrichtlinie unter: https://posthog.com/privacy.
Aufbewahrungsfristen
Wir bewahren Ihre Daten für folgende Zeiträume auf:
- Server-Logfiles: 30 Tage
- Kontaktformulardaten: Dauer der Geschäftsbeziehung + 1 Jahr
- Newsletter-Daten: bis zur Abmeldung
- Benutzerkontodaten: Vertragsdauer + 30 Tage nach Löschung des Kontos
- Hochgeladene Dateien: Vertragsdauer, Löschung mit dem Konto
- E-Mail-Metadaten-Cache: Vertragsdauer
- KI-Analyseergebnisse: standardmässig 90 Tage nach Erstellung (vom Kontoinhaber anpassbar), automatische Löschung
- Kalender-Cache: Vertragsdauer
- Importierte Bexio-Kontakte: Vertragsdauer, Löschung mit dem Konto
- Analysedaten: gemäß Konfiguration in PostHog (EU-Instanz)
Rechte der betroffenen Person
Sie haben die folgenden Rechte in Bezug auf Personendaten, die Sie betreffen:
- das Recht, Auskunft darüber zu erhalten, welche Personendaten wir von Ihnen speichern und wie wir diese bearbeiten;
- das Recht auf Herausgabe einer Kopie Ihrer Personendaten in einem gängigen Format;
- das Recht auf Berichtigung Ihrer Personendaten;
- das Recht auf Löschung Ihrer Personendaten;
- das Recht, Bearbeitungen Ihrer Personendaten zu widersprechen.
Beachten Sie bitte, dass für diese Rechte Ausnahmen gelten. Soweit rechtlich zulässig, können wir Ihre Anfrage zur Ausübung dieser Rechte ablehnen.
Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Bearbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Für eine Auskunft über die von uns bearbeiteten Personendaten, senden Sie Ihr Auskunftsbegehren bitte an christian.bertschy@solarstream.ch.
Sie haben ausserdem das Recht, beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine Beschwerde einzureichen.