Datenschutzerklärung

    Letzte Aktualisierung: Januar 2025

    Unser Versprechen an Sie

    Bei Otterino nehmen wir Datenschutz nicht nur als rechtliche Verpflichtung, sondern als Grundprinzip unseres Handelns ernst. Wir verstehen, dass Ihre Daten vertraulich sind und verdienen höchsten Schutz. Diese Datenschutzerklärung erklärt Ihnen in klaren Worten, wie wir mit Ihren Daten umgehen, welche Rechte Sie haben und wie wir Ihre Privatsphäre schützen.

    Alle unsere Datenverarbeitungsaktivitäten erfolgen vollständig konform mit dem Schweizer Bundesgesetz über den Datenschutz (FADP) und der EU-Datenschutz-Grundverordnung (DSGVO). Wir verarbeiten ausschliesslich in der Schweiz gehostete Daten und nutzen nur Schweizer oder EU-konforme Cloud-Infrastrukturen.

    Wichtiger Hinweis: Diese Datenschutzerklärung ist keine Rechtsberatung, sondern eine transparente Darstellung unserer Datenverarbeitung. Sie ersetzt nicht die Konsultation eines Datenschutz-Experten für Ihre spezifische Situation.

    Unsere rechtlichen Grundpflichten

    Das Schweizer Datenschutzgesetz (DSG) schreibt bestimmte formelle Pflichten vor, die nicht verhandelbar sind. Diese sind für alle Unternehmen verbindlich, die personenbezogene Daten verarbeiten.

    Pflicht 1: Datenschutzerklärung

    Wir führen eine öffentliche Datenschutzerklärung, die transparent erklärt, welche Daten wir wie und warum bearbeiten. Diese enthält unsere Kontaktdaten, den Zweck der Datenbearbeitung, Empfänger von Daten und Erklärungen zu Datenübermittlungen ins Ausland.

    Pflicht 2: Verzeichnis der Bearbeitungstätigkeiten

    Wir führen ein internes Dokument, das alle unsere datenverarbeitenden Tätigkeiten auflistet. Dieses enthält Zweck der Verarbeitung, Kategorien der bearbeiteten Daten, Kategorien der Empfänger, Aufbewahrungsfristen und Länder, in die Daten übermittelt werden. Dies ist das zentrale Dokument, das die Datenschutzbehörde (EDÖB) bei einer Prüfung sehen möchte.

    Pflicht 3: Meldung von Datenpannen

    Bei einer Datenschutzverletzung, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, melden wir dies "so rasch wie möglich" dem EDÖB. Wir haben entsprechende Verfahren implementiert, um solche Vorfälle schnell zu erkennen und zu melden.

    Ihre Rechte unter dem FADP

    Das Schweizer Datenschutzgesetz gewährt Ihnen umfassende Rechte bezüglich Ihrer personenbezogenen Daten. Diese Rechte sind nicht nur auf dem Papier, sondern werden von uns aktiv unterstützt und respektiert.

    Auskunftsrecht

    Sie haben jederzeit das Recht zu erfahren, welche personenbezogenen Daten wir über Sie verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage. Wir stellen Ihnen diese Informationen kostenfrei und in verständlicher Form zur Verfügung.

    Berichtigungsrecht

    Falls Ihre bei uns gespeicherten Daten unrichtig oder unvollständig sind, haben Sie das Recht auf deren Berichtigung oder Vervollständigung. Wir korrigieren unverzüglich alle Fehler, die Sie uns mitteilen.

    Löschungsrecht

    Sie können jederzeit die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Wir löschen Ihre Daten vollständig und unwiderruflich aus allen unseren Systemen.

    Datenübertragbarkeit

    Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln, soweit dies technisch möglich ist.

    Widerspruchsrecht

    Sie können der Verarbeitung Ihrer personenbezogenen Daten für bestimmte Zwecke widersprechen. Wir prüfen jeden Widerspruch sorgfältig und setzen die Verarbeitung nur fort, wenn zwingende berechtigte Gründe vorliegen.

    Welche Daten erfassen wir und warum?

    Wir erfassen nur die Daten, die für die Erbringung unserer Dienstleistungen absolut notwendig sind. Unser Grundsatz lautet: So wenig wie möglich, so viel wie nötig. Wir verzichten bewusst auf Tracking, Cookies oder andere invasive Datensammlung.

    Kontaktformulare

    Wenn Sie uns über unser Kontaktformular schreiben, erfassen wir Ihren Namen, Ihre E-Mail-Adresse, Ihre Firma und Ihre Nachricht. Diese Daten verwenden wir ausschliesslich, um Ihre Anfrage zu beantworten und Ihnen unsere Dienstleistungen anzubieten. Die Rechtsgrundlage hierfür ist die Vertragserfüllung und unser berechtigtes Interesse an der Geschäftsbeziehung.

    Technische Daten

    Unser Server erfasst automatisch technische Informationen wie Ihre IP-Adresse, Browsertyp und Zugriffszeiten. Diese Daten dienen ausschliesslich der Sicherheit und dem ordnungsgemässen Betrieb unserer Website. Sie werden nicht mit anderen Daten verknüpft und nach maximal 30 Tagen gelöscht.

    Keine Cookies, kein Tracking

    Wir verwenden keine Cookies, keine Tracking-Tools, keine Analytics-Software und keine Social Media Plugins. Ihre Privatsphäre steht für uns an erster Stelle, nicht die Optimierung unserer Website.

    Schweizer Hosting - Ihre Daten bleiben in der Schweiz

    Alle Ihre Daten werden ausschliesslich in der Schweiz gehostet und verarbeitet. Wir nutzen die Azure Switzerland North Region in Zürich, wodurch garantiert ist, dass keine Ihrer Daten die Schweiz verlassen. Dies ist nicht nur eine technische Entscheidung, sondern unser klares Bekenntnis zur Schweizer Datensouveränität.

    Azure Switzerland North

    Unsere gesamte Infrastruktur läuft auf Microsoft Azure Switzerland North. Alle Server, Datenbanken und Backup-Systeme befinden sich physisch in der Schweiz. Microsoft hat eigens für die Schweiz ein separates Rechenzentrum errichtet, das den höchsten Schweizer Datenschutzstandards entspricht.

    Keine Drittland-Übertragungen

    Wir übertragen keine Daten in Drittländer ausserhalb des EU/EWR-Raums. Selbst innerhalb der EU erfolgen Datenübertragungen nur, wenn dies technisch unvermeidbar ist und entsprechende Garantien vorliegen. In der Praxis bedeutet dies: Ihre Daten verlassen die Schweiz nicht.

    Backup und Disaster Recovery

    Auch unsere Backup-Systeme und Notfallwiederherstellungsverfahren sind vollständig in der Schweiz implementiert. Selbst im Falle eines technischen Ausfalls bleiben Ihre Daten in der Schweiz.

    Wie wir Ihre Daten schützen

    Datenschutz ist für uns nicht nur eine rechtliche Verpflichtung, sondern ein technisches und organisatorisches Ziel. Wir haben umfassende Massnahmen implementiert, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.

    Verschlüsselung

    Alle Datenübertragungen erfolgen über verschlüsselte Verbindungen (TLS 1.3). Daten im Ruhezustand werden mit AES-256 verschlüsselt. Wir verwenden ausschliesslich Verschlüsselungsstandards, die von der Schweizerischen Eidgenossenschaft als sicher eingestuft werden.

    Zugriffskontrolle

    Nur autorisierte Mitarbeiter haben Zugang zu personenbezogenen Daten, und dies nur im Rahmen ihrer beruflichen Aufgaben. Alle Zugriffe werden protokolliert und regelmässig überprüft. Wir führen ein striktes Need-to-Know-Prinzip ein.

    Regelmässige Sicherheitsupdates

    Unsere Systeme werden kontinuierlich mit den neuesten Sicherheitspatches aktualisiert. Wir überwachen unsere Infrastruktur 24/7 auf verdächtige Aktivitäten und reagieren unverzüglich auf Sicherheitsvorfälle.

    Schulung unserer Mitarbeiter

    Alle unsere Mitarbeiter werden regelmässig in Datenschutz und IT-Sicherheit geschult. Datenschutz ist Teil unserer Unternehmenskultur, nicht nur eine Compliance-Anforderung.

    Umgang mit US-Tools und Swiss-US Data Privacy Framework

    Seit September 2024 vereinfacht das Swiss-US Data Privacy Framework (DPF) den Datenaustausch mit den USA. Dies ändert die Spielregeln für den Datentransfer, aber nicht unsere grundsätzliche Verantwortung als Unternehmen.

    DPF-zertifizierte Anbieter

    Für die meisten Datenübermittlungen an DPF-zertifizierte Anbieter reicht die Zertifizierung als Garantie. Wir benötigen nicht zwingend separate Standardvertragsklauseln (SCCs). Wir dokumentieren unsere Prüfung, ob ein Anbieter zertifiziert ist oder welche Verträge wir abgeschlossen haben.

    Das Restrisiko bleibt

    Auch mit dem DPF können US-Behörden unter bestimmten Umständen Zugriff auf Daten anfordern, selbst wenn diese auf europäischen Servern liegen (CLOUD Act). Deshalb setzen wir für hochsensitive Daten auf Anbieter mit Sitz und Servern in der Schweiz oder der EU.

    Unsere Lösung

    Wir verzichten bewusst auf US-amerikanische Services und nutzen ausschliesslich Schweizer oder EU-konforme Technologien. Dies ist eine bewusste Entscheidung für maximale Datensouveränität und FADP-Kompatibilität.

    Unsere Schweizer Technologie-Strategie

    Alle von uns verwendeten Technologien sind entweder Schweizer oder EU-konform und FADP-kompatibel. Dies ist eine bewusste Entscheidung für maximale Datensouveränität.

    • n8n Workflow-Automatisierung: Self-hosted auf Azure Switzerland. Keine externen Drittanbieter, keine Datenübertragungen an ausländische Server. Alle Workflows laufen ausschliesslich in der Schweiz.
    • Supabase Datenbanken: EU-konforme Datenbanken mit Schweizer Hosting-Optionen. Auch hier erfolgt keine Datenübertragung in Drittländer.
    • OpenAI API: Ausschliesslich EU-Endpunkt, keine US-Datenverarbeitung. Selbst bei der Nutzung von KI-Services achten wir auf Schweizer Datenschutzstandards.

    Wie lange speichern wir Ihre Daten?

    Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erfüllung des jeweiligen Zwecks erforderlich ist. Nach Ablauf der Speicherfristen werden Ihre Daten automatisch und unwiderruflich gelöscht.

    Kontaktdaten

    Werden nach Abschluss der Geschäftsbeziehung oder nach 3 Jahren Inaktivität gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

    Technische Logs

    Werden nach maximal 30 Tagen automatisch gelöscht. Diese enthalten keine personenbezogenen Daten, sondern nur technische Informationen für Sicherheitszwecke.

    Projektbezogene Daten

    Werden nach Projektabschluss und Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht. Sie erhalten vor der Löschung eine Benachrichtigung und können Ihre Daten exportieren.

    Wann Sie zwingend professionelle Hilfe brauchen

    Datenschutz selbst zu managen hat Grenzen. In den folgenden Fällen sollten Sie nicht zögern, einen Experten (Anwalt oder spezialisierter Berater) zu konsultieren.

    Besonders schützenswerte Daten

    Wenn Sie Gesundheitsdaten, biometrische Daten oder andere besonders schützenswerte Daten bearbeiten, sind die Anforderungen deutlich strenger und erfordern spezialisierte Expertise.

    Regulierte Branchen

    Wenn Sie in einer regulierten Branche tätig sind (z.B. FINMA, Ärzte, Anwälte), gelten zusätzliche spezifische Datenschutzanforderungen, die über das allgemeine DSG hinausgehen.

    Profiling mit hohem Risiko

    Wenn Sie ein "Profiling mit hohem Risiko" durchführen (d.h. KI-Systeme automatisiert wichtige Entscheidungen über Menschen treffen lassen, z.B. bei Kreditvergabe oder im Recruiting), sind die rechtlichen Anforderungen besonders komplex.

    Bei Unsicherheit

    Wenn Sie unsicher sind, ist Beratung günstiger als eine Untersuchung durch den EDÖB. Wir empfehlen bei Zweifeln immer, sich professionelle Hilfe zu holen.

    Ihre Ansprechpartner für Datenschutz

    Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder bei Beschwerden stehen wir Ihnen gerne zur Verfügung. Wir nehmen jeden Hinweis ernst und reagieren schnell und transparent.

    • Datenschutzbeauftragter: Otterino Team
    • Email: info@otterino.com
    • Adresse: Otterino, Schweiz

    Sie können uns jederzeit kontaktieren, um Ihre Datenschutzrechte auszuüben. Wir antworten auf alle Anfragen innerhalb von 30 Tagen und stellen Ihnen die gewünschten Informationen kostenfrei zur Verfügung.

    Beschwerderecht: Falls Sie mit unserer Datenverarbeitung nicht einverstanden sind, haben Sie das Recht, sich bei der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu beschweren. Wir arbeiten konstruktiv mit den Behörden zusammen und respektieren alle behördlichen Entscheidungen.

    Änderungen dieser Datenschutzerklärung

    Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um sie an geänderte Rechtslage oder unsere Geschäftspraktiken anzupassen. Wesentliche Änderungen werden wir Ihnen mindestens 30 Tage vor Inkrafttreten mitteilen.