Datenschutzerklärung

1. Verantwortliche Stelle

Eunoia Life - Spirig
Aaron Spirig (Inhaber)
Heimstrasse 17, 9436 Balgach, Schweiz
E-Mail: info@bueroheini.ch
Telefon: +41 78 693 18 87

2. Welche Daten wir erheben

Bei der Nutzung von BüroHeini werden folgende Daten erhoben und verarbeitet:

• Kontoinformationen: Name, E-Mail-Adresse, Firmenname
• Mitarbeiterdaten: Name, PIN (verschlüsselt gespeichert)
• Projektdaten: Projekte, Offerten, Stundenbuchungen, Materialkosten
• Hochgeladene Dateien: Offerten-PDFs, Rechnungen, Fotos
• Kontaktformular: Name und Telefonnummer (für Rückruf)
• Technische Daten: IP-Adresse, Browser-Typ (für die Funktionalität des Dienstes)

3. Zweck der Datenverarbeitung

Deine Daten werden ausschliesslich zur Erbringung des Dienstes verwendet: Projektverwaltung, Stundenerfassung, Nachkalkulation und Offerten-Management. Kontaktformular-Daten werden ausschliesslich für den vereinbarten Rückruf verwendet. Wir verkaufen keine Daten an Dritte und verwenden sie nicht für Werbezwecke.

4. Rechtsgrundlagen der Bearbeitung

Wir bearbeiten Personendaten auf folgender Grundlage: (a) zur Erfüllung eines Vertrages mit Ihnen oder auf Ihren Wunsch für vorvertragliche Massnahmen (Art. 31 Abs. 1 revDSG); (b) aufgrund eines überwiegenden berechtigten Interesses (Produktverbesserung, Sicherheit, Missbrauchsabwehr); (c) mit Ihrer Einwilligung, soweit erforderlich; (d) zur Erfüllung gesetzlicher Pflichten (z.B. Aufbewahrung nach Art. 46 ArG).

5. Datenspeicherung

Die Kern-Daten (Konten, Projekte, Stunden, hochgeladene Dateien) werden bei Supabase auf europäischen Servern (EU/EWR, Dublin) gespeichert. Für Hosting und Auslieferung der Anwendung nutzen wir Vercel (USA). Für die automatische Textextraktion aus hochgeladenen PDFs (Offerten, Rechnungen) und die AI-Assistenz übermitteln wir ausgewählte Inhalte an Anthropic (USA), ausschliesslich zur Verarbeitung, nicht zur Speicherung oder Weitergabe. Für internationale Übermittlungen sind Standardvertragsklauseln nach Art. 16 f. revDSG mit den Anbietern vereinbart. Eine vollständige Liste der Subprozessoren findest du in Teil B.3.

6. Logfiles & Kontaktformular

Beim Besuch unserer Website werden technische Logfiles (IP-Adresse, Zeitpunkt, aufgerufene Seite, User-Agent) zur Sicherstellung des Betriebs und zur Angriffsabwehr für 30 Tage gespeichert und danach gelöscht. Bei Kontaktformular-Anfragen speichern wir Ihre Angaben so lange, wie es die Bearbeitung erfordert, maximal 2 Jahre nach letztem Kontakt.

7. Datensicherheit

Alle Daten werden verschlüsselt übertragen (HTTPS/TLS). Der Zugang zu den Daten ist durch Row-Level-Security auf Datenbankebene gesichert: jede Organisation hat ausschliesslich Zugriff auf ihre eigenen Daten.

8. Cookies

BüroHeini verwendet ausschliesslich technisch notwendige Cookies für die Authentifizierung (Sitzungsverwaltung). Wir setzen keine Tracking- oder Werbe-Cookies ein.

9. Deine Rechte

Du hast jederzeit das Recht auf:

• Auskunft über deine gespeicherten Daten
• Berichtigung unrichtiger Daten
• Löschung deiner Daten (Recht auf Vergessenwerden)
• Export deiner Daten (Datenportabilität)

Kontaktiere uns unter info@bueroheini.ch für Anfragen.

10. Aufbewahrung

Dein Konto und die zugehörigen Daten werden so lange aufbewahrt, wie der Vertrag läuft. Bei Vertragsende hast du 30 Tage weiterhin Zugang zum Export deiner Daten. Nach Ablauf dieser Frist werden die Daten innert 60 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (z.B. Art. 46 ArG: 5 Jahre für Arbeitszeitdaten).

B.1 Rollen

Der Kunde ist Verantwortlicher, der Anbieter (Eunoia Life - Spirig) ist Auftragsbearbeiter im Sinne von Art. 5 lit. j und Art. 9 revDSG. Der Anbieter bearbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Kunden zum Zweck der Software-Bereitstellung.

B.2 Art, Zweck und Dauer der Bearbeitung

Art der Daten: Stammdaten (Mitarbeiter, Kunden), Projekt- und Offertdaten, Stundenerfassungen, Materialkosten, hochgeladene Dokumente (Offerten-PDFs, Rechnungen, Fotos).

Zweck: Bereitstellung der Software Büroheini für Projekt- und Offertenverwaltung, Stundenerfassung und Nachkalkulation.

Dauer: für die Vertragsdauer. Löschung gemäss § 5 des Startpartner-Vertrages (30 Tage Export-Zugang, anschliessend Löschung innert 60 Tagen).

B.3 Subprozessoren

Der Anbieter setzt folgende Subprozessoren ein. Der Kunde erteilt mit Vertragsabschluss die allgemeine Zustimmung zu deren Einsatz.

Änderungen dieser Liste werden Bestandskunden mindestens 30 Tage vorher per E-Mail angekündigt. Bei berechtigtem Widerspruch steht dem Kunden ein ausserordentliches Kündigungsrecht zu.

B.4 Technische und organisatorische Massnahmen (TOMs)

• Zugriffskontrolle: Supabase Auth mit Row-Level-Security für Mandantentrennung
• Verschlüsselung im Transport: TLS 1.2+
• Verschlüsselung at rest: AES-256 (Supabase-Standard)
• Backups: tägliche automatische Backups mit 30 Tagen Retention
• Audit-Log: protokollierte sensitive Operationen
• Minimaldatensatz für Mitarbeiter: PIN-Login (kein Klartext-Passwort)
• Zugriff seitens Anbieter: ausschliesslich Aaron Spirig (Inhaber)

B.5 Datentransfer in Drittstaaten

Für Transfers in die USA stützen wir uns primär auf die EU-/Swiss- Standardvertragsklauseln (SCC, Art. 16 Abs. 2 lit. d revDSG). Sofern ein eingesetzter Anbieter unter dem Swiss-US Data Privacy Framework (DPF) zertifiziert ist, gilt zusätzlich der Angemessenheitsbeschluss des Schweizerischen Bundesrats (Art. 16 Abs. 1 revDSG). Die aktuelle DPA- und Zertifizierungslage je Anbieter führen wir intern im DPA-Register und stellen sie auf Anfrage bereit.

B.6 Meldung von Datenschutzverletzungen (Data Breach)

Der Anbieter informiert den Kunden (Verantwortlichen) unverzüglich, spätestens jedoch innert 72 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 24 revDSG. Die Meldung enthält, soweit bekannt: Art und Ausmass der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen, mögliche Folgen sowie ergriffene oder vorgeschlagene Gegenmassnahmen. Die Meldung erfolgt an die im Vertrag hinterlegte Ansprechperson per E-Mail; bei kritischen Fällen zusätzlich per Telefon/WhatsApp.

B.7 Betroffenenrechte & Unterstützungspflicht

Wenden sich betroffene Personen (z. B. Mitarbeiter des Kunden) mit Anfragen zu Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch direkt an den Anbieter, leitet dieser die Anfrage unverzüglich an den Kunden weiter. Auf Weisung des Kunden unterstützt der Anbieter bei der Bearbeitung solcher Anfragen mit den technisch zur Verfügung stehenden Mitteln (Export, Löschfunktionen, Auskunfts-Extrakte). Die Ausübung der Rechte erfolgt grundsätzlich gegenüber dem Kunden als Verantwortlichem; der Anbieter beantwortet selbst keine Betroffenenanfragen ohne Weisung.

B.8 Aufbewahrung und Löschung

Während der Vertragsdauer werden die Daten für die Bereitstellung der Software gespeichert. Nach Vertragsende hat der Kunde 30 Tageweiterhin Zugang zum Export (CSV und SMGV-Zeitkontrolle). Nach Ablauf dieser Frist werden die Kundendaten innert 60 Tagen aus den Produktiv-Systemen gelöscht. Daten, für die eine gesetzliche Aufbewahrungspflicht besteht (insbesondere Art. 46 ArG: 5 Jahre für Arbeitszeitdaten), werden bis zum Ablauf der jeweiligen Frist in eingeschränktem Zugriff aufbewahrt und anschliessend gelöscht. Backups rollieren im Rahmen der Supabase-Retention (30 Tage) und werden nicht einzeln bereinigt; eine Wiederherstellung erfolgt nur im Fehlerfall.

Fragen zum Datenschutz oder zur Auftragsbearbeitung: info@bueroheini.ch