Datenlöschdienst

Sicherheit

Der Schutz Ihrer Daten hat für uns höchste Priorität. Als Schweizer Unternehmen, das personenbezogene Daten im Auftrag seiner Kunden verarbeitet, setzen wir auf mehrschichtige technische und organisatorische Massnahmen, die dem Stand der Technik entsprechen.

1. Datenverschlüsselung

  • Übertragung (in transit): Sämtliche Verbindungen zwischen Ihrem Browser und unseren Servern werden ausschliesslich über TLS 1.3 verschlüsselt. Ältere Protokollversionen werden nicht unterstützt. HSTS ist aktiviert.
  • Speicherung (at rest): Alle Daten in unserer Datenbank sind mit AES-256 verschlüsselt. Backups werden ebenfalls verschlüsselt gespeichert.
  • Passwörter: Nutzerpasswörter werden ausschliesslich als bcrypt-Hashes gespeichert. Klartextpasswörter werden zu keinem Zeitpunkt persistiert.

2. Zugriffskontrolle

  • Row Level Security (RLS): Auf Datenbankebene stellt Row Level Security sicher, dass jeder authentifizierte Nutzer ausschliesslich auf seine eigenen Daten zugreifen kann. Diese Richtlinien werden serverseitig durchgesetzt und können nicht clientseitig umgangen werden.
  • Rollenbasierte Zugriffskontrolle (RBAC): Interne Zugriffe auf Systeme und Daten folgen dem Prinzip der minimalen Berechtigung (Least Privilege). Jeder Mitarbeitende erhält nur die Berechtigungen, die für seine Aufgabe zwingend erforderlich sind.
  • Multi-Faktor-Authentifizierung (MFA): Für alle administrativen Zugänge zu Infrastruktur, Datenbank und Drittanbieterdiensten ist MFA obligatorisch.

3. Datenspeicherung und Löschung

Wir verarbeiten personenbezogene Daten nach dem Grundsatz der Datenminimierung und löschen sie, sobald der Zweck erfüllt ist:

  • Identitätsnachweise (Ausweiskopien) werden automatisch innerhalb von 90 Tagen nach Upload bzw. nach Erreichen des Verifizierungszwecks gelöscht.
  • Kostenlose Analysen ohne Kontobindung werden nach 30 Tagen automatisch entfernt.
  • Scan-Ergebnisse werden bis zur Kontolöschung oder bis zu 12 Monate nach dem letzten Scan aufbewahrt, je nachdem was zuerst eintritt.
  • Server-Logdaten werden nach 14 Tagen gelöscht.

Vollständige Aufbewahrungsfristen finden Sie in unserer Datenschutzerklärung (Abschnitt 6).

4. Infrastruktur

  • Datenbank-Hosting: Supabase mit Standort Frankfurt (EU/EWR). Keine Speicherung personenbezogener Daten ausserhalb des EWR ohne geeignete Garantien.
  • Anwendungs-Hosting: Vercel mit Edge-Netzwerk. Für allfällige Verarbeitung in den USA gelten EU-Standardvertragsklauseln (SCC).
  • Regelmässige Updates: Abhängigkeiten und Laufzeitumgebungen werden laufend aktualisiert, um bekannte Sicherheitslücken zeitnah zu schliessen.

5. Auftragsverarbeiter (Subprocessors)

Wir arbeiten ausschliesslich mit sorgfältig geprüften Auftragsverarbeitern zusammen, mit denen jeweils ein Auftragsverarbeitungsvertrag (AVV/DPA) besteht. Die aktuelle Liste aller Auftragsverarbeiter ist jederzeit einsehbar:

Auftragsverarbeiter-Verzeichnis →

6. Responsible Disclosure

Wir nehmen Sicherheitshinweise ernst. Wenn Sie eine Sicherheitslücke in unseren Systemen entdecken, bitten wir Sie, diese verantwortungsvoll zu melden:

Bitte geben Sie uns angemessene Zeit zur Behebung, bevor Sie Details öffentlich machen. Wir verpflichten uns, gemeldete Schwachstellen zeitnah zu prüfen und zu beheben.

7. Compliance

Unsere Sicherheitsmassnahmen orientieren sich an den Anforderungen folgender Regelwerke:

  • nDSG / FADP Schweizer Bundesgesetz über den Datenschutz (in Kraft seit 1. September 2023), insbesondere Art. 8 (Datensicherheit)
  • DSGVO / GDPR Datenschutz-Grundverordnung der EU, insbesondere Art. 32 (Sicherheit der Verarbeitung)

Weitere Informationen zu unseren datenschutzrechtlichen Massnahmen finden Sie in unserer Datenschutzerklärung.

Stand: April 2026