Datenschutzerklärung

Stand: 6. Juli 2026

1. Verantwortlicher

Luka Simonovic, Einzelfirma, Mittlere Gstücktstrasse 21, 8180 Bülach, Schweiz. E-Mail: info@zeugnisbox.ch. Diese Datenschutzerklärung gilt für die Website zeugnisbox.ch und die damit bereitgestellte Anwendung zur Erstellung Schweizer Arbeitszeugnisse.

2. Hosting und Infrastruktur

Die Anwendung wird durch Vercel Inc. (USA) gehostet; als Serverstandort (Compute-Region) ist Frankfurt (EU) konfiguriert. Die Datenbank wird von Neon (EU-Region Frankfurt) betrieben, der E-Mail-Versand erfolgt über Resend (USA). Speicherung und Verarbeitung Ihrer Anwendungsdaten – Zeugnisinhalte, Mitarbeitendendaten, Bewertungen – erfolgen damit in der EU (Frankfurt).

Da es sich bei diesen Anbietern um US-Unternehmen handelt, ist eine Übermittlung von Personendaten in die USA möglich (etwa im Rahmen von Betrieb, Support oder Administration). Die Anbieter handeln dabei als unsere Auftragsbearbeiter gemäss Art. 9 revDSG. Die Übermittlung in die USA stützt sich auf das Swiss-U.S. Data Privacy Framework (Vercel und Stripe sind zertifiziert) beziehungsweise auf die EU-Standardvertragsklauseln mit Schweizer Anpassungen (siehe Ziffern 6 und 8). Wir verkaufen keine Personendaten und geben Ihre Daten ausserhalb der in dieser Erklärung genannten Auftragsbearbeiter nicht an Dritte weiter.

3. Welche Personendaten wir verarbeiten

  • Konto- und Login-Daten: Firmenname, Ihr Name, E-Mail-Adresse, verschlüsseltes Passwort (bcrypt-Hash).
  • Mitarbeitendendaten: Name, Vorname, gegebenenfalls Geburtsdatum, Rolle/Position, Beschäftigungsdauer und Bewertungsinhalte, die Sie zur Erstellung eines Arbeitszeugnisses eingeben.
  • Firmen- und Kontaktdaten: Firmenname, Adresse und weitere Angaben, die Sie im Rahmen der Zeugniserstellung erfassen.
  • Zahlungs- und Rechnungsdaten: werden über Stripe verarbeitet (siehe Ziffer 6).
  • Support-Anfragen: Inhalte Ihrer Nachrichten an uns.
  • Technische Protokolldaten: Server-Logs (Zeitstempel, IP-Adresse bei Login, Fehlerprotokolle) zur Betriebssicherung.

Hinweis: Bei den Mitarbeitendendaten, die Sie für Zeugnisse erfassen, handelt es sich um Personendaten Dritter. Sie als verantwortliche Stelle sind für die Rechtmässigkeit dieser Verarbeitung verantwortlich. Wir verarbeiten diese Daten als Ihr Auftragsbearbeiter gemäss Art. 9 revDSG.

4. Zwecke und Rechtsgrundlagen

  • Erbringung der Anwendung und Zeugniserstellung (Vertragserfüllung, Art. 31 Abs. 2 lit. a revDSG)
  • Abrechnung und Zahlungsabwicklung (Vertragserfüllung)
  • Betriebssicherung und Sicherheit (berechtigtes Interesse)
  • Beantwortung von Support-Anfragen

5. Speicherort und Aufbewahrungsfristen

Speicherort: EU (Frankfurt) – Hosting über Vercel mit Compute-Region Frankfurt, Datenbank bei Neon in der EU-Region Frankfurt. Eine Übermittlung in die USA durch die Anbieter als Auftragsbearbeiter ist möglich (siehe Ziffern 2 und 8).

  • Testkonten: gelöscht nach 90 Tagen Inaktivität.
  • Inaktive Kostenkonten: nach 12 Monaten Inaktivität anonymisiert oder gelöscht.
  • Server-Logs: 30 Tage.
  • Backups: verschlüsselt, über die Managed-Datenbank Neon (EU-Region Frankfurt) mit Point-in-Time-Recovery.
  • Mitarbeitenden- und Zeugnisdaten: bis zum Löschen durch den Kunden oder bis 6 Monate nach Vertragsende, danach Löschung.
  • Rechnungsbelege: nach steuerrechtlichen Aufbewahrungsfristen.

6. Zahlungsabwicklung über Stripe

Für die Zahlungsabwicklung nutzen wir Stripe (Stripe Payments Europe, Limited, Irland; und Stripe, LLC, USA). Stripe ist Empfänger Ihrer Zahlungs- und Rechnungsdaten.

  • Rolle von Stripe: Stripe handelt einerseits als unser Auftragsbearbeiter (Prozessor) für die Zahlungsabwicklung, andererseits als eigene verantwortliche Stelle (Controller) für Betrugserkennung, Geldwäscheprävention (AML/KYC) und die Verbesserung der Stripe-Dienste.
  • Datenkategorien: Name, E-Mail-Adresse, Rechnungs- und Zahlungsdaten, Transaktionsdaten, Geräte- und IP-Informationen.
  • Kartendaten: Wir speichern, verarbeiten oder übermitteln keine rohen Kartennummern. Kartendaten werden direkt über die von Stripe bereitgestellten Felder (Stripe Checkout) erfasst und tokenisiert und erreichen nie unsere Server.
  • Übermittlung ins Ausland: Stripe verarbeitet Daten international, insbesondere in den USA und in Irland sowie bei Stripe-Unterauftragsbearbeitern weltweit (aktuelle Liste: stripe.com/legal/service-providers).
  • Datenschutzgarantien: Die Übermittlung in die USA stützt sich auf das Swiss-U.S. Data Privacy Framework (Stripe ist zertifiziert). Soweit nicht durch das DPF abgedeckt, gelten die EU-Standardvertragsklauseln (Stripe Data Transfers Addendum).

Gemäss Art. 19 Abs. 4 revDSG weisen wir darauf hin, dass Ihre Personendaten im Rahmen der Zahlungsabwicklung ins Ausland – insbesondere in die USA und nach Irland – übermittelt werden und ein angemessenes Datenschutzniveau durch die oben genannten Garantien (Swiss-U.S. Data Privacy Framework, Standardvertragsklauseln) sichergestellt ist. Weitere Informationen finden Sie in der Stripe-Datenschutzerklärung (stripe.com/privacy) und der Stripe-DPA (stripe.com/legal/dpa).

7. Cookies und Tracking

Wir verwenden ausschliesslich technisch notwendige Cookies bzw. Session-Speicher, die für den Betrieb der Anwendung erforderlich sind (Login-Session, Sicherheitstokens). Wir verwenden keine Analyse-Cookies, keine Werbe-Cookies und keine Marketing-Tracker. Eine Cookie-Einwilligung ist daher nicht erforderlich.

Wir setzen keine Analyse-Tools (wie Google Analytics), keine Social-Media-Pixel (Meta, LinkedIn, TikTok) und keine Fehler-Monitoring-Dienste ein, die Daten an Dritte übermitteln.

8. Auftragsbearbeiter und Datenübermittlung

Für den Betrieb der Anwendung setzen wir folgende Auftragsbearbeiter ein, die Personendaten nach unseren Weisungen verarbeiten:

  • Vercel Inc. (USA): Hosting und Auslieferung der Anwendung; Compute-Region Frankfurt (EU). Zertifiziert unter dem Swiss-U.S. Data Privacy Framework.
  • Neon (USA): Managed-Datenbank; Daten gespeichert in der EU-Region Frankfurt. Übermittlung gestützt auf EU-Standardvertragsklauseln mit Schweizer Anpassungen.
  • Resend (USA): Versand von Transaktions-E-Mails (z.B. Kontobestätigung, Passwort-Zurücksetzung, Einladungen). Übermittlung gestützt auf EU-Standardvertragsklauseln mit Schweizer Anpassungen.
  • Stripe (Irland/USA): Zahlungsabwicklung (siehe Ziffer 6). Zertifiziert unter dem Swiss-U.S. Data Privacy Framework.

Gemäss Art. 19 Abs. 4 revDSG weisen wir darauf hin, dass Personendaten dadurch ins Ausland – insbesondere in die EU und in die USA – übermittelt werden können; ein angemessenes Datenschutzniveau wird durch die genannten Garantien sichergestellt. Es werden keine Daten an Analyse-, Marketing- oder Werbedienste weitergegeben, und wir verkaufen keine Personendaten.

9. Ihre Rechte als betroffene Person

Gemäss revidiertem Schweizer Datenschutzgesetz (revDSG) stehen Ihnen folgende Rechte zu:

  • Auskunft (Art. 25 revDSG) über die verarbeiteten Daten, Zwecke, Empfänger und Aufbewahrungsdauer.
  • Berichtigung unrichtiger Daten (Art. 32 revDSG).
  • Löschung (Art. 32 revDSG), soweit keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 32 revDSG).
  • Widerspruch gegen die Verarbeitung (Art. 30 revDSG).
  • Datenportabilität (Art. 28 revDSG) in einem gängigen, maschinenlesbaren Format.

Zur Ausübung Ihrer Rechte wenden Sie sich an info@zeugnisbox.ch. Wir antworten in der Regel innerhalb von 30 Tagen.

10. Sicherheit

Wir treffen angemessene technische und organisatorische Massnahmen (TOM) zum Schutz Ihrer Daten: TLS-Verschlüsselung, verschlüsselte Passwörter (bcrypt), Zugriffsbeschränkung, Hosting mit Serverstandort Frankfurt (EU). Details siehe auf der Seite Sicherheit.

11. Kontakt bei Datenschutzfragen

Luka Simonovic, info@zeugnisbox.ch, Mittlere Gstücktstrasse 21, 8180 Bülach, Schweiz.