Verantwortliche Stelle
Emir Kovacevic
emirtech.ch (Einzelfirma)
Eisfeldstrasse 5
2504 Biel/Bienne
Schweiz
info@schraub.ch
Welche Daten wir erheben
Aktiv übermittelt
- Konto: Name, E-Mail, Passwort (gehashed), Garagename, Adresse, optional Logo + IBAN.
- Endkunden: Namen, Kontaktdaten, Fahrzeugdaten — Sie sind für die Rechtmässigkeit verantwortlich.
- Service & Rechnung: Arbeitsbeschreibungen, Positionen, Beträge, Status.
- Kommunikation: E-Mails an uns.
Automatisch erfasst
- Server-Logs: IP, Datum, Pfad, User-Agent — gelöscht nach 14 Tagen.
- Session-Cookie: hält Sie eingeloggt, weg beim Logout.
- Stripe-Cookies: nur bei Bezahlvorgang, durch Stripe gesetzt.
- Keine Marketing-Cookies. Kein Google Analytics. Kein Pixel.
Wofür wir die Daten verwenden
Vertragserfüllung
Art. 31 Abs. 2 lit. a revDSG · Art. 6 Abs. 1 lit. b DSGVOBereitstellung der App, Versand von Rechnungen, Zahlungsabwicklung.
Berechtigte Interessen
Art. 31 Abs. 2 lit. e revDSG · Art. 6 Abs. 1 lit. f DSGVOSicherheit, Missbrauchsabwehr, Verbesserung der Plattform.
Gesetzliche Pflichten
Art. 958f ORAufbewahrung von Buchhaltungsunterlagen während 10 Jahren.
Einwilligung
Optional / widerrufbarNewsletter — jederzeit über Abmelde-Link kündbar.
Auftragsbearbeiter
Folgende Drittanbieter erhalten in unserem Auftrag Zugriff auf Daten — alle vertraglich auf Vertraulichkeit und Datenschutz verpflichtet (Auftragsbearbeitung gemäss Art. 9 revDSG / Art. 28 DSGVO). Wir geben Daten nicht für Marketingzwecke an Dritte weiter.
Hostinger International Ltd.
Hosting der Plattform
Frankfurt, Deutschland
Stripe Payments Europe Ltd.
Zahlungsabwicklung
Dublin, Irland
swisstopo (geo.admin.ch)
Adress-Autocomplete
Wabern, Schweiz
Hostinger SMTP / Mail
E-Mail-Versand
EU
OpenAI, L.L.C.
KI-gestützte Texterkennung (Fahrzeugausweis- und Beleg-Scan)
USA
Übermittlung in die USA
OpenAI verarbeitet Daten in den USA. OpenAI ist nicht unter dem Swiss-U.S. Data Privacy Framework (DPF) zertifiziert: Für Nutzerinnen und Nutzer aus der Schweiz und dem EWR ist OpenAI Ireland Ltd die verantwortliche Vertragspartei, und die Übermittlung in die USA stützt sich auf die EU-Standardvertragsklauseln (SCC) mit ergänzenden Schutzmassnahmen. Ein gleichwertiger Datenschutz kann trotz dieser Massnahmen nicht in jedem Fall garantiert werden.
Wichtig zur KI-Texterkennung: Wenn Sie einen Fahrzeugausweis oder Beleg mit der KI-gestützten Erkennung scannen, wird das hochgeladene Bild zur Auswertung an OpenAI übermittelt. Solche Bilder können Personendaten Ihrer eigenen Kundschaft enthalten — scannen Sie nur Dokumente, zu deren Bearbeitung Sie berechtigt sind. Die rein geräteinterne Erkennung (Barcode / Tesseract, siehe unten) sendet hingegen keine Daten.
Aufbewahrung
Konto + Kundendaten
Bis Konto-Löschung
Rechnungen, Buchhaltung
10 Jahre
Art. 958f OR
Server-Logs
14 Tage
Backups
7 Tage lokal · 30 Tage S3
verschlüsselt
Ihre Rechte
Auskunft
Art. 25 revDSG / Art. 15 DSGVO
Welche Daten wir über Sie speichern.
Berichtigung
Art. 32 revDSG / Art. 16 DSGVO
Korrektur unrichtiger oder unvollständiger Daten.
Löschung
Art. 32 revDSG / Art. 17 DSGVO
Soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
Datenübertragbarkeit
Art. 28 revDSG / Art. 20 DSGVO
Export Ihrer Daten in einem maschinenlesbaren Format.
Widerspruch
Art. 30 revDSG / Art. 21 DSGVO
Gegen die Bearbeitung in bestimmten Fällen.
Beschwerde
EDÖB
Beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
Anfragen richten Sie bitte an info@schraub.ch. Wir antworten innerhalb von 30 Tagen.
Sicherheit
TLS 1.2+
Alle Verbindungen zur App und Website sind Ende-zu-Ende verschlüsselt.
bcrypt-Hashing
Passwörter werden niemals im Klartext gespeichert.
Tägliche Backups
Verschlüsselte Sicherung der Datenbank ausserhalb der Produktion.
Restriktiver Zugriff
Nur Emir Kovacevic hat administrativen Zugriff auf die Plattform.
Zero-Tracking-Garantie
Andere Tools versprechen Datenschutz. Wir machen ihn technisch unmöglich zu brechen.
Schraub setzt einen strikten Content Security Policy (CSP) ein. Das ist eine Anweisung, die wir bei jedem Seitenaufruf an Ihren Browser schicken: lade keine Skripte, keine Schriftarten, keine Bilder und stelle keine Verbindung zu Drittservern her. Selbst wenn wir es wollten, könnte Ihr Browser zum Beispiel Google Analytics, Facebook Pixel oder Microsoft Clarity nicht laden — er würde es verweigern.
So überprüfen Sie es selbst
Öffnen Sie ein Terminal und führen Sie diesen Befehl aus. Sie sehen die Sicherheitsrichtlinie, die Ihr Browser bei jedem Aufruf von schraub.ch erhält:
curl -I https://schraub.ch | grep -i content-security-policyWas blockiert wird
- Google Analytics, Google Tag Manager
- Meta/Facebook Pixel
- Microsoft Clarity
- Hotjar, Mouseflow, Mixpanel, Amplitude, Heap
- Segment, FullStory, Pendo, Matomo Cloud
- Jeder andere CDN-gehostete Tracker
Was wir benötigen (vollständige Liste)
Diese Liste gilt für die App (app.schraub.ch). Diese Marketing-Seite (schraub.ch) ist noch strikter und erlaubt ausschliesslich die eigene Domain.
- Eigene Domain (schraub.ch / app.schraub.ch) — für die App selbst.
- cdn.jsdelivr.net — lädt die geräteinterne Erkennungs-Bibliothek (Barcode / Tesseract) des Fahrzeugausweis-Scanners. Diese läuft komplett in Ihrem Browser und sendet keine Daten. Die optionale KI-Texterkennung übermittelt das Bild dagegen serverseitig an OpenAI — siehe Abschnitt «Auftragsbearbeiter».
- Stripe — nur in der App, ausschliesslich für Zahlungsabwicklung.
Ein Versprechen ohne Durchsetzung ist Marketing. Diese Garantie ist Code.
Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung anpassen, um sie an gesetzliche Änderungen oder neue Funktionen der Plattform anzupassen. Die jeweils aktuelle Fassung gilt ab Veröffentlichung.
Verwandte rechtliche Dokumente