Datenschutzerklärung

Zuletzt aktualisiert: 26. Februar 2026

legal.privacy.description

1. Wer sind wir? (Identität des Verantwortlichen)

Hauptverantwortlicher

Numezis SA
Chemin de Mornex 5
Lausanne
Schweiz
CHE-123.456.789

Datenschutzbeauftragter (DPO)
Ein externer DPO ist benannt.
Kontakt: dpo@numezis.com

Zentraler Kontakt für Datenschutz
privacy@numezis.com
(oder contact@numezis.com mit Betreff „DSGVO / DSG Anfrage“)

2. Anwendungsbereich

Diese Erklärung gilt für folgende Kategorien betroffener Personen:

  • Endnutzer (Admins, Mitarbeitende, Buchhalter usw.), die über ein Organisationskonto auf den Dienst zugreifen;
  • Gesetzliche Vertreter und geschäftliche Ansprechpartner von Kundenorganisationen;
  • Interessenten und Personen, die mit unseren Vertriebs- oder Marketingteams interagiert haben;
  • Besucher der Website numezis.com und ihrer Subdomains; sowie
  • Personen, deren Daten im Rahmen von durch unsere Kunden importierten Geschäftsprozessen verarbeitet werden (Daten „importiert“ oder „hochgeladen“).

3. Wichtige Unterscheidung: Verantwortlicher vs Auftragsverarbeiter

Je nach Kontext kann Numezis als Verantwortlicher oder als Auftragsverarbeiter handeln:

  • Daten zur Bereitstellung des Dienstes (Konto, Abrechnung, Authentifizierungslogs, Konfiguration): Numezis handelt als Verantwortlicher auf Basis von Vertragserfüllung und berechtigtem Interesse (Nutzungsbedingungen / Kundenvertrag).
  • Vom Kunden importierte/erzeugte Geschäftsdaten in Modulen (Rechnungen, Buchungen, Mitarbeitende usw.): Numezis handelt als Auftragsverarbeiter nach dokumentierten Weisungen des Kunden (DPA / Auftragsverarbeitungsvertrag).
  • Direktmarketing-Daten (Newsletter, Webinare usw.): Numezis handelt als Verantwortlicher auf Basis von Einwilligung oder berechtigtem Interesse (Opt-in/Opt-out).

Wenn wir als Auftragsverarbeiter handeln, bleibt der Kunde Verantwortlicher und wir handeln strikt nach dessen schriftlichen Weisungen (wie im DPA beschrieben).

4. Kategorien verarbeiteter personenbezogener Daten

Abhängig von den genutzten Funktionen können wir u. a. folgende Datenkategorien verarbeiten:

  • Identifikations- & Kontodaten: Vorname, Nachname, geschäftliche E-Mail-Adresse, Rolle, eindeutige Kennung.
  • Authentifizierungs- & Sicherheitsdaten: Passwort-Hash, JWT/Refresh-Tokens, IP-Adresse, Browser-Fingerabdruck, MFA-Logs.
  • Abrechnungs- & Vertragsdaten: Firmenname, USt-IdNr., Rechnungsadresse, Zahlungsdaten (über Stripe).
  • Nutzungs- & Telemetriedaten: ausgeführte Aktionen (Klicks, Seitenaufrufe), Verweildauer, App-Fehler, Kontingente.
  • Importierte Geschäftsdaten: PDF/XML-Rechnungen, Buchungssätze, Mitarbeiterdaten, Kontoauszüge usw.
  • Support- & Kommunikationsdaten: Ticketinhalte, E-Mail/Chat-Verläufe, Anrufaufzeichnungen (falls autorisiert).
  • Marketing- & Eventdaten: Kommunikationspräferenzen, Öffnungshistorie, Webinar-Teilnahmen.

5. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken, gestützt auf die DSGVO und das Schweizer Datenschutzrecht (je nach Anwendbarkeit):

  • Erstellung, Verwaltung und Authentifizierung von Konten: Vertragserfüllung.
  • Erbringung des Dienstes (Berechnungen, Dokumentenerstellung, KI): Vertragserfüllung.
  • Abrechnung, Zahlungsabwicklung und Inkasso: Vertragserfüllung + gesetzliche Pflicht.
  • Erkennung und Verhinderung von Betrug/Missbrauch/Sicherheitsvorfällen: berechtigtes Interesse (Schutz der Plattform und anderer Kunden).
  • Protokollierung für Audit- sowie buchhalterische/steuerliche Nachvollziehbarkeit: gesetzliche Pflicht + berechtigtes Interesse (Swiss GAAP, ESTV, externe Audits).
  • Technischer Support und Incident-Resolution: Vertragserfüllung + berechtigtes Interesse (Servicequalität).
  • Produktverbesserung (aggregierte und anonymisierte Analysen): berechtigtes Interesse (nützliche Funktionen).
  • Transaktionale Kommunikation (Rechnungen, Sicherheitswarnungen): Vertragserfüllung.
  • Nicht essentielle Marketingkommunikation: Einwilligung oder berechtigtes Interesse (mit Opt-out, soweit anwendbar).
  • Einhaltung gesetzlicher Pflichten (Aufbewahrung, Behördenanfragen): gesetzliche Pflicht.

6. Aufbewahrungsfristen

Wir bewahren personenbezogene Daten in einem angemessenen Verhältnis zu Zweck und gesetzlichen Pflichten auf:

  • Daten aktiver Konten: Dauer der Vertragsbeziehung + 90 Tage nach Beendigung (Wiederherstellungsfrist).
  • Authentifizierungslogs & IP: rollierende 12 Monate.
  • Ausgestellte Rechnungen & Buchhaltungsdaten: 10 Jahre (Schweizer steuerliche Aufbewahrungsfrist).
  • Importierte Geschäftsdaten: gemäß Kundenweisungen (DPA) + 30 Tage nach Beendigung.
  • Supportdaten: 3 Jahre nach Schließung des letzten Tickets.
  • Marketingdaten (Prospects): 3 Jahre nach letztem wesentlichen Kontakt oder Widerruf der Einwilligung.

7. Empfänger und Auftragsverarbeiter

Wir verkaufen Ihre personenbezogenen Daten niemals.

Kategorien von Empfängern sind u. a.:

  • Technische Auftragsverarbeiter (Cloud-Hosting, Monitoring, transaktionale Nachrichten, Level-3-Support);
  • Stripe (Zahlung & Abrechnung);
  • Google Cloud Platform (Cloud-Hosting und Sicherheitsdienste);
  • MongoDB Atlas (Managed Database Hosting);
  • Microsoft Azure (Azure OpenAI) (KI-Modelle, je nach Konfiguration);
  • Amazon Web Services (AWS) (Inbound-Email-Ingestion und Speicherung von Roh-E-Mails);
  • Infomaniak (DNS-Management für numezis.com und zugehörige E-Mail-Services);
  • Anwaltskanzleien / Treuhänder (bei Streitigkeiten oder Audits); sowie
  • Zuständige Behörden (auf gerichtliche Anordnung oder gesetzliche Pflicht).

Alle Auftragsverarbeiter unterzeichnen Verträge gemäß DSGVO Art. 28 / Schweizer Recht. Die aktuelle Liste wichtiger Unterauftragsverarbeiter ist ebenfalls in unserem DPA beschrieben.

8. Übermittlungen außerhalb der Schweiz / des EWR

Der Großteil der Daten wird in der Schweiz gehostet (ISO-27001-zertifizierte Rechenzentren, FINMA/Swiss-Hosting-Praktiken).

Wenn Übermittlungen außerhalb der Schweiz/des EWR erforderlich sind, nutzen wir insbesondere:

  • Standardvertragsklauseln 2021 (SCC) + Transfer Impact Assessment (TIA);
  • Genehmigte branchenspezifische Verhaltenskodizes; sowie
  • Binding Corporate Rules (BCR), sofern verfügbar.

9. Technische und organisatorische Sicherheitsmaßnahmen

Wir verfolgen einen Defense-in-Depth-Ansatz, einschließlich:

  • Verschlüsselung im Ruhezustand und bei Übertragung (TLS);
  • Striktes Zugriffsmanagement (Least Privilege, MFA);
  • Logische Trennung der Umgebungen (prod / staging / dev);
  • Netzwerkschutz (WAF / DDoS-Mitigierung / Rate Limiting) über Cloud-Sicherheitsdienste (z. B. Google Cloud Armor);
  • Zentrale Geheimnisverwaltung (Google Secret Manager);
  • Logging und Monitoring für Sicherheit und Zuverlässigkeit;
  • Regelmäßiges Vulnerability-Management und Sicherheitsreviews; sowie
  • Verschlüsselte Backups mit definierter Aufbewahrung.

10. Ihre Rechte (DSGVO & Schweizer Recht)

Je nach anwendbarem Recht können Sie u. a. folgende Rechte ausüben:

  • Auskunftsrecht;
  • Recht auf Berichtigung;
  • Recht auf Löschung („Recht auf Vergessenwerden“);
  • Recht auf Einschränkung;
  • Widerspruchsrecht;
  • Recht auf Datenübertragbarkeit;
  • Recht auf Widerruf einer Einwilligung (soweit Einwilligung Rechtsgrundlage ist); sowie
  • Recht, postmortale Weisungen festzulegen (Schweizer Recht).

Kontakt: privacy@numezis.com
Antwortfrist: 1 Monat (bei Komplexität um 2 Monate verlängerbar).
Ein angemessener Identitätsnachweis kann verlangt werden.

11. Änderungen dieser Erklärung

Wir können diese Erklärung ändern. Wesentliche Änderungen werden per E-Mail oder über einen In-App-Banner mindestens 30 Tage vor Inkrafttreten angekündigt.

12. Anwendbares Recht und Gerichtsstand

Schweizer Recht + Verordnung (EU) 2016/679, soweit anwendbar.

Zuständige Gerichtsbarkeit: Gerichte des Bezirks Lausanne (Lausanne).