Datenschutzerklärung

Diese Erklärung beschreibt, wie KiDesk R. Murati personenbezogene Daten verarbeitet, insbesondere beim Einsatz der Plattform KiDock (kidock.ch). Wir halten uns an das revidierte Schweizer Datenschutzgesetz (revDSG) sowie — soweit anwendbar — an die EU-Datenschutz-Grundverordnung (DSGVO).

1. Verantwortliche Stelle

KiDesk R. Murati (Einzelunternehmen)
Freihofstrasse 6, 8575 Bürglen TG, Schweiz
Inhaber: Rejhan Murati
E-Mail: datenschutz@kidesk.ch

2. Datenkategorien und Zwecke

2.1 Kontodaten

Bei der Registrierung erfassen wir: Name, E-Mail-Adresse, Firmenname, verschlüsselten Passwort-Hash. Zweck: Authentifizierung und Mandantenverwaltung.

2.2 Nutzungsdaten

Bei der Nutzung erfassen wir Session-IDs, IP-Adresse (gekürzt), User-Agent, Zeitpunkt und Art der ausgeführten Aktionen. Zweck: Sicherheit, Missbrauchs- erkennung, statistische Auswertung.

2.3 Synchronisierte Geschäftsdaten

Wenn du dein Bexio-Konto verbindest, spiegelt KiDock deine Geschäftsdaten (Kontakte, Rechnungen, Offerten, Buchungen) in unsere Datenbank. Zweck: schnelle KI-Abfragen und Auswertungen. Die Daten bleiben in deinem Eigentum.

2.4 Chat-Verläufe

Deine Konversationen mit dem KI-Assistenten werden gespeichert, damit du sie später wieder aufrufen kannst. Sie werden nicht zum Training von KI-Modellen verwendet. Du kannst sie jederzeit löschen.

2.5 Sprachaufnahmen

Wenn du Spracheingabe nutzt, wird deine Aufnahme an unseren EU-Sprachendpunkt (Google Speech-to-Text, Region eu-speech.googleapis.com) übermittelt und unmittelbar in Text umgewandelt. Die Audiodatei wird nicht gespeichert und nicht zum Training verwendet — nur das Transkript erscheint im Chat.

3. Rechtsgrundlagen

• Erfüllung des Vertrags mit dir (Art. 31 Abs. 2 lit. a revDSG / Art. 6 Abs. 1 lit. b DSGVO)
• Deine Einwilligung (Art. 31 Abs. 1 revDSG / Art. 6 Abs. 1 lit. a DSGVO), soweit erforderlich
• Berechtigtes Interesse — z.B. Sicherheit, Missbrauchsverhinderung (Art. 31 Abs. 2 lit. f revDSG / Art. 6 Abs. 1 lit. f DSGVO)
• Gesetzliche Pflichten (Handelsrecht, Steuerrecht)

4. Dienstleister (Auftragsverarbeiter)

Wir arbeiten mit sorgfältig ausgewählten Dienstleistern zusammen. Alle wichtigen Anbieter haben mit uns einen Auftragsverarbeitungsvertrag (AVV/DPA) abgeschlossen.

• Vercel Inc. (USA) — Hosting (EU-Region, Standard-Vertragsklauseln).
• Neon, Inc. (USA) — Managed Postgres in der EU.
• Google Cloud / Vertex AI — KI-Inferenz in der Region europe-west6 (Zürich, Schweiz). Keine Nutzung deiner Daten zum Training.
• Google Cloud / Speech-to-Text — Spracherkennung über den EU-Endpunkt eu-speech.googleapis.com. Keine Speicherung der Audiodaten, kein Training.
• Inngest Inc. (USA) — Hintergrund-Jobs (Sync-Engine).
• Stripe Payments Europe, Ltd. (Irland) — Zahlungsabwicklung.
• bexio AG (Schweiz) — deine verbundene Business-Software (nur mit deiner Zustimmung über OAuth).
• Resend, Inc. (USA) — transaktionale E-Mails.
• Sentry — Fehlerprotokollierung (Daten anonymisiert; PII-Filter auf Server- und Client-Seite).
• Upstash, Inc. (USA, EU-Region) — verteiltes Rate-Limiting über Redis (nur kurzlebige Request-Zähler, gehashte IP-Adressen, keine Profildaten).
• Meta Platforms Ireland Limited (Irland) — Meta-Pixel und Conversions-API auf unseren Marketing-Seiten (kidock.ch, kidock.ch/start). Wir messen damit die Wirkung unserer Werbeanzeigen auf Facebook und Instagram. Verarbeitete Daten: gehashte E-Mail-Adresse (nur nach Signup), IP-Adresse, User-Agent, Klick-IDs (fbclid). Standardvertragsklauseln + Datenschutz-Add-on. Mehr Infos in Abschnitt 8.

5. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die oben genannten Zwecke notwendig ist oder gesetzliche Aufbewahrungspflichten bestehen (typischerweise 10 Jahre für buchhalterisch relevante Daten). Nach Kündigung wird dein Konto binnen 30 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

6. Deine Rechte

Du hast folgende Rechte bezüglich deiner Daten:

• Auskunft über gespeicherte Daten
• Berichtigung falscher Daten
• Löschung («Recht auf Vergessenwerden»)
• Einschränkung der Verarbeitung
• Datenübertragbarkeit
• Widerspruch gegen bestimmte Verarbeitungen
• Beschwerde beim EDÖB oder deiner zuständigen Datenschutzbehörde

Anfragen bitte an datenschutz@kidesk.ch.

7. Sicherheit

Wir nutzen branchenübliche technische und organisatorische Massnahmen, um deine Daten zu schützen: TLS 1.3 für den Transport, verschlüsselte Datenbank, Zugriffskontrolle nach dem Least-Privilege-Prinzip, regelmässige Sicherheits- Audits und Backup-Strategien.

8. Cookies und Marketing-Pixel

8.1 Technisch notwendige Cookies

Wir setzen Session- und CSRF-Schutz-Cookies, die für den Betrieb der App unerlässlich sind. Diese sind von Consent-Pflichten ausgenommen (Art. 31 Abs. 2 lit. a revDSG / Art. 6 Abs. 1 lit. b DSGVO).

8.2 Meta-Pixel und Conversions-API (nur Marketing-Seiten)

Auf unseren öffentlichen Marketing-Seiten (z.B. kidock.ch, kidock.ch/start) setzen wir das Meta-Pixel sowie die serverseitige Meta-Conversions-API ein, um die Wirkung unserer Werbeanzeigen auf Facebook und Instagram zu messen (z.B. PageView, Lead, CompleteRegistration). Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland.

Verarbeitete Daten: gehashte E-Mail-Adresse (SHA-256, erst nach Signup), IP-Adresse, User-Agent, Klick-IDs (fbclid, fbp, fbc) sowie das ausgelöste Event mit eindeutiger Event-ID. In der App selbst (eingeloggter Bereich /chat, /settings) ist kein Meta-Pixel aktiv.

Rechtsgrundlage: berechtigtes Interesse an effektiver Werbung (Art. 31 Abs. 2 lit. f revDSG / Art. 6 Abs. 1 lit. f DSGVO). Du kannst dem Tracking widersprechen, indem du in deinen Browser-Einstellungen das Setzen von Drittanbieter-Cookies deaktivierst, einen Tracking-Blocker einsetzt (z.B. uBlock Origin) oder direkt bei Meta unter accountscenter.meta.com deine Werbeeinstellungen anpasst. Die Datenübermittlung an Meta erfolgt auf Basis der EU-Standardvertragsklauseln und des Meta-Datenschutz-Addendums.

8.3 Cookieless-Tracking

Innerhalb der eingeloggten App nutzen wir Vercel-Analytics und Speed-Insights. Diese sammeln aggregierte Performance-Metriken ohne Cookies und ohne identifizierende Daten.

9. Änderungen

Wir können diese Datenschutzerklärung bei Bedarf anpassen. Die jeweils aktuelle Version findet sich auf dieser Seite. Wesentliche Änderungen kündigen wir per E-Mail an.