Datenschutzerklärung
Zuletzt aktualisiert: 12.04.2026
1. Verantwortlicher
Kidesk, R. Murati
Rejhan Murati
Freihofstrasse 6
8575 Bürglen
Schweiz
E-Mail: info@kidesk.ch
2. Geltungsbereich
Diese Datenschutzerklärung beschreibt, wie wir Personendaten bei der Nutzung der Kidesk-Plattform (app.kidesk.ch) und unserer Website (kidesk.ch) bearbeiten. Sie gilt für alle Personen, die unsere Dienste nutzen oder unsere Website besuchen.
3. Welche Personendaten wir bearbeiten
Je nach Nutzung bearbeiten wir insbesondere:
- Kontodaten: Name, E-Mail-Adresse, Passwort (gehasht), Rolle, Login- und Authentifizierungsdaten
- Firmendaten: Firmenname, Adressdaten, UID-/MWST-Angaben, Branchenangabe
- Geschäfts- und Dokumentdaten: Kunden-, Offerten-, Rechnungs-, Auftrags-, Vertrags- und Dateidaten
- Finanzdaten: Zahlungsinformationen, Bankverbindungen, Buchhaltungsdaten (verarbeitet via Stripe)
- Kommunikationsdaten: Support-Anfragen, Korrespondenz, Chat-Verläufe
- Nutzungs- und Protokolldaten: IP-Adresse, Zugriffszeit, Browser-/Geräteinformationen, Sicherheits- und Audit-Logs
- Integrationsdaten: Daten aus aktivierten Integrationen (z. B. KI-Assistent, E-Mail, Banking, Speicherung)
4. Zwecke der Bearbeitung
Wir bearbeiten Personendaten zur:
- Bereitstellung, Betrieb und Weiterentwicklung der Plattform
- Vertragsabwicklung, Abonnementverwaltung, Rechnungsstellung und Kundenbetreuung
- Zahlungsabwicklung über Stripe
- Bereitstellung von KI-gestützten Funktionen (Textgenerierung, Dokumentenanalyse, Assistenzfunktionen)
- Gewährleistung von Sicherheit, Verfügbarkeit und Missbrauchsprävention
- Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrungspflichten gemäss OR Art. 958f)
- Kommunikation mit Nutzern und Interessenten
- Fehleranalyse und Leistungsüberwachung
5. Rechtsgrundlagen
Die Bearbeitung erfolgt insbesondere:
- zur Vertragserfüllung und Durchführung vorvertraglicher Massnahmen
- zur Wahrung berechtigter Interessen (z. B. IT-Sicherheit, Stabilität, Produktverbesserung)
- gestützt auf Einwilligung, sofern eine solche eingeholt wird
- zur Erfüllung gesetzlicher Verpflichtungen
6. Empfänger und Auftragsbearbeiter
Wir setzen Dienstleister ein, die Personendaten in unserem Auftrag bearbeiten. Je nach aktivierter Funktion und Konfiguration können dies sein:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Vercel Inc. | Hosting, Deployment | USA |
| Neon Inc. | Datenbank (PostgreSQL) | USA |
| Amazon Web Services | Dateispeicher (S3) | EU (Frankfurt) |
| Cloudflare Inc. | CDN, Dateispeicher (R2) | USA / global |
| Resend Inc. | E-Mail-Versand | USA |
| Functional Software (Sentry) | Monitoring, Fehleranalyse | USA |
| Upstash Inc. | Caching, Rate Limiting | EU (Frankfurt) |
| Google Cloud (Vertex AI) | KI-Dienste, Dokumentenanalyse | USA / EU |
| OpenAI Inc. | KI-Dienste (optional) | USA |
| AWS Bedrock | KI-Dienste (optional) | EU (Frankfurt) |
| Langfuse GmbH | KI-Tracing (optional) | EU (Deutschland) |
| Tavily Inc. | Web-Recherche für KI (optional) | USA |
| Stripe Inc. | Zahlungsabwicklung | USA |
| Twilio Inc. | Kommunikation (optional) | USA |
| Google LLC (Maps) | Karten-/Geodienste (optional) | USA |
Wir schliessen mit Auftragsbearbeitern die nach Art. 9 revDSG erforderlichen Verträge.
7. Bekanntgabe ins Ausland
Personendaten werden an Empfänger in den USA und der EU übermittelt, da die oben genannten Dienstleister dort tätig sind.
Rechtsgrundlage für die Übermittlung in die USA: Dienstleister, die unter dem Swiss-US Data Privacy Framework (DPF) zertifiziert sind (z. B. Google, Stripe, AWS, Vercel), bieten ein angemessenes Datenschutzniveau gemäss Art. 16 Abs. 1 revDSG. Für Dienstleister ohne DPF-Zertifizierung setzen wir Standardvertragsklauseln (SCC) ein, die vom EDÖB anerkannt sind.
Übermittlung in die EU: Die EU verfügt über ein angemessenes Datenschutzniveau gemäss der Länderliste des Bundesrats.
8. Aufbewahrungsdauer
Wir bewahren Personendaten nur so lange auf, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
- Rechnungs- und Buchhaltungsdaten: 10 Jahre (Art. 958f OR)
- Vertragsdaten und Geschäftskorrespondenz: 10 Jahre (Art. 958f OR)
- Kontodaten: Dauer der Vertragsbeziehung, danach Löschung innert 90 Tagen
- Nutzungs- und Protokolldaten: maximal 12 Monate
- KI-Verarbeitungsprotokolle: maximal 90 Tage
- Support-Anfragen: 3 Jahre nach Abschluss
Nach Ablauf der Fristen werden die Daten gelöscht oder anonymisiert.
9. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen gemäss Art. 8 revDSG, insbesondere:
- Rollenbasierte Zugriffssteuerung (RBAC) mit Mandantentrennung
- Transportverschlüsselung (TLS)
- Verschlüsselung sensibler Felder (z. B. API-Schlüssel, Bankdaten)
- Passwort-Hashing (bcrypt)
- Protokollierung und Monitoring sicherheitsrelevanter Vorgänge
- Backup- und Wiederherstellungsverfahren
- CSRF-Schutz und Security Headers
10. Rechte betroffener Personen
Betroffene Personen haben im Rahmen des revDSG insbesondere das Recht auf:
- Auskunft (Art. 25 revDSG) — Sie können unentgeltlich Auskunft über Ihre bearbeiteten Personendaten verlangen.
- Berichtigung — Sie können die Korrektur unrichtiger Daten verlangen.
- Löschung — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
- Datenherausgabe / Datenportabilität (Art. 28 revDSG) — Sie können Ihre Daten in einem gängigen elektronischen Format herausverlangen.
- Widerspruch — Sie können bestimmten Bearbeitungen widersprechen.
Anfragen richten Sie bitte an: info@kidesk.ch
Wir beantworten Anfragen in der Regel innert 30 Tagen.
Wenn Sie der Ansicht sind, dass eine Bearbeitung gegen das Datenschutzrecht verstösst, können Sie sich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden: Feldeggweg 1, 3003 Bern, www.edoeb.admin.ch
11. Cookies und ähnliche Technologien
Wir verwenden folgende Cookies:
- Technisch notwendige Cookies: Session-Cookies, Authentifizierungs-Cookies, CSRF-Tokens. Diese sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden.
- Analyse-Cookies (optional): Nur mit Ihrer Einwilligung. Dienen der Verbesserung unserer Dienste.
12. Automatisierte Einzelentscheidungen
Die Plattform bietet KI-gestützte Vorschläge und Assistenzfunktionen (z. B. Textentwürfe, Rechnungsvorschläge, Dokumentenanalyse). Diese stellen keine automatisierten Einzelentscheidungen mit Rechtswirkung im Sinne von Art. 21 revDSG dar, da alle KI-Vorschläge vom Nutzer geprüft und freigegeben werden müssen und keine automatische Rechtsfolge ohne menschliche Entscheidung eintritt.
13. KI-Funktionen und externe Modelle
Je nach gebuchter Funktion und Mandanten-Konfiguration können KI-Funktionen lokal oder über externe Anbieter betrieben werden.
- Externe KI-Anbieter werden nur verwendet, wenn die entsprechende Funktion aktiviert ist.
- Je nach Konfiguration können Inhalte aus Eingaben, Dokumenten oder Kontextdaten zur Verarbeitung an den gewählten KI-Anbieter übertragen werden.
- Kein Training: Ihre Daten werden von den KI-Anbietern nicht zum Training von Modellen verwendet (API-Nutzung ohne Trainingsfreigabe).
- KI-Ausgaben sind assistierende Vorschläge und können unvollständig oder fehlerhaft sein; fachliche und rechtliche Endkontrollen bleiben beim Nutzer.
14. Änderungen
Wir können diese Datenschutzerklärung jederzeit anpassen. Wesentliche Änderungen werden in geeigneter Weise kommuniziert. Es gilt die jeweils auf unserer Website veröffentlichte Fassung.