Datenschutzerklärung
Stand: 6. Juli 2026
Rechtsgrundlagen
Diese Datenschutzerklärung richtet sich nach:
- Schweizer Datenschutzgesetz (DSG/revFADP) - gültig seit 01.09.2023
- EU-Datenschutz-Grundverordnung (DSGVO) - für EU-Kunden
- Schweizer Obligationenrecht (OR) - Vertragserfüllung
1. Verantwortliche Stelle (DSG Art. 19)
Betreiber und Verantwortlicher
mprofi AG
Rechtsform: Aktiengesellschaft (AG)
Räbmatt 14a
6317 Oberwil b. Zug
Kanton Zug
Schweiz
UID: CHE-114.443.261 MWST
Handelsregister: CH-170.3.032.503-4
Kontakt Datenschutz:
E-Mail: datenschutz@mprofi-ai.ch
Telefon: +41 41 710 70 88
Die mprofi AG ist verantwortlich für die Datenverarbeitung auf dieser Website und in der mprofi AI Hub Plattform. Wir nehmen den Schutz Ihrer Daten sehr ernst und behandeln Ihre personenbezogenen Daten vertraulich gemäss den gesetzlichen Datenschutzvorschriften.
2. Datenverarbeitung - Übersicht (DSG Art. 6)
Welche Daten verarbeiten wir?
- Kontaktdaten: Name, E-Mail-Adresse, Firma, Telefon (optional)
- Nutzungsdaten: Assessment-Antworten, Chat-Konversationen, Dokument-Uploads
- Technische Daten: IP-Adresse (anonymisiert), Browser, Gerät, Betriebssystem
- Zahlungsdaten: Stripe Customer ID (keine Kreditkartendaten bei uns gespeichert)
- Cookie-Daten: Session-Cookies (technisch notwendig), Präferenzen
Rechtsgrundlagen der Verarbeitung
- Vertragserfüllung (OR Art. 1, DSGVO Art. 6 Abs. 1 lit. b):
Bereitstellung der AI Hub Plattform, Nutzerkonto-Verwaltung, Support - Berechtigtes Interesse (DSG Art. 6 Abs. 2, DSGVO Art. 6 Abs. 1 lit. f):
Sicherheit, Betrugsbekämpfung, technische Administration, Verbesserung der Plattform - Einwilligung (DSG Art. 6 Abs. 7, DSGVO Art. 6 Abs. 1 lit. a):
Newsletter-Versand, optionale Analysen, Marketing (mit ausdrücklicher Zustimmung) - Gesetzliche Pflicht (OR Art. 958f, DSGVO Art. 6 Abs. 1 lit. c):
Buchführung (10 Jahre Aufbewahrungspflicht), Steuerdokumente
Interessenabwägung (DSGVO Art. 6 Abs. 1 lit. f)
Für Verarbeitungen auf Basis berechtigter Interessen haben wir folgende Abwägung durchgeführt:
| Verarbeitung | Unser Interesse | Ihre Rechte | Ergebnis |
|---|---|---|---|
| Sicherheits-Logs | Schutz vor Cyberangriffen, Missbrauchserkennung | Minimale Beeinträchtigung (anonymisierte IPs, 30 Tage) | Zulässig |
| Fehleranalyse | Qualitätssicherung, Stabilität der Plattform | Keine personenbezogenen Daten in Fehlerlogs | Zulässig |
| Nutzungsstatistik (Matomo) | Verbesserung der Plattform | Einwilligung erforderlich, Opt-out jederzeit möglich | Zulässig (mit Einwilligung) |
| API-Rate-Limiting | Schutz vor Überlastung | Temporäre Speicherung (max. 1 Stunde) | Zulässig |
Bei jeder Interessenabwägung prüfen wir: (1) Legitimität des Interesses, (2) Erforderlichkeit der Verarbeitung, (3) Verhältnismässigkeit und (4) Angemessene Schutzmassnahmen. Details sind in unserem internen Verzeichnis der Verarbeitungstätigkeiten dokumentiert.
3. Swiss Data Residency - 100% Schweizer Hosting
🇨🇭 Speicherort: Ausschliesslich Schweiz
Alle Ihre Daten werden ausschliesslich in der Schweiz gespeichert:
- Hosting: Infomaniak AG (Genf, Schweiz) - ISO 27001 zertifiziert
- Datenbank: PostgreSQL auf Schweizer Servern (Rechenzentrum Genf)
- Backups: Schweiz (kein Datentransfer ins Ausland)
- Redis Cache: Schweizer Rechenzentrum
- Datenschutzniveau: Schweizer Datenschutzgesetz (DSG), höchster Standard
Wichtig: Es erfolgt keine Datenübermittlung in Drittstaaten ausserhalb der Schweiz, ausser zu den unten genannten Drittanbietern mit entsprechenden Schutzmassnahmen.
4. Drittanbieter und Auftragsverarbeiter (DSG Art. 9)
Für bestimmte Funktionen setzen wir sorgfältig ausgewählte Drittanbieter ein. Alle Drittanbieter sind vertraglich verpflichtet, Ihre Daten sicher zu verarbeiten und die Datenschutzgesetze einzuhalten.
Drittanbieter mit Datentransfer ausserhalb der Schweiz
1. OpenAI (USA) - KI-Assistenten
- Zweck: Bereitstellung der GPT-4 basierten KI-Assistenten
- Daten: Ihre Eingaben, Chat-Konversationen (temporär)
- Rechtsgrundlage: Vertragserfüllung (DSGVO Art. 6 Abs. 1 lit. b)
- Datentransfer: USA (angemessenes Schutzniveau nach DSG Art. 16)
- Schutz: Standardvertragsklauseln (SCC), EU-U.S. Data Privacy Framework
- Löschung: 30 Tage nach Verarbeitung (gemäss OpenAI-Vertrag)
- Kein Training: Ihre Daten werden NICHT für das Training von Modellen verwendet
- Website: openai.com/privacy
2. Stripe (USA/EU) - Zahlungsabwicklung
- Zweck: Sichere Zahlungsabwicklung, Rechnungsstellung
- Daten: Name, E-Mail, Zahlungsmethode (Kreditkarte bei Stripe, nicht bei uns)
- Rechtsgrundlage: Vertragserfüllung (DSGVO Art. 6 Abs. 1 lit. b)
- Datentransfer: EU/USA
- Schutz: PCI-DSS Level 1 zertifiziert, Standardvertragsklauseln (SCC)
- Speicherdauer: Gemäss gesetzlicher Aufbewahrungspflicht (10 Jahre)
- Website: stripe.com/privacy
3. Matomo Analytics (Schweiz) - Self-hosted Nutzungsstatistiken
- Zweck: Anonymisierte Nutzungsstatistiken, Performance-Monitoring
- Daten: Anonymisierte Seitenaufrufe, Nutzungsmuster
- Rechtsgrundlage: Einwilligung (DSGVO Art. 6 Abs. 1 lit. a) via Cookie-Banner
- Hosting: Self-hosted auf Schweizer Servern (Infomaniak, Genf)
- IP-Adressen: Werden anonymisiert (letzte 2 Oktette entfernt)
- Cookies: Nur mit Einwilligung, einfach deaktivierbar
- Open Source: Vollständig transparent und auditierbar
- Website: matomo.org/privacy
Schweizer Dienstleister (kein Datentransfer ins Ausland)
4. Infomaniak AG (Schweiz) - Hosting
- Zweck: Server-Hosting, Datenbank-Hosting, Backups
- Standort: Genf, Schweiz (100% Swiss Hosting)
- Zertifizierung: ISO 27001, Swiss Hosting
- Datenschutz: Unterliegt Schweizer DSG (höchster Datenschutzstandard)
- Website: infomaniak.com/datenschutz
5. Ihre Rechte (DSG Art. 25-32)
Sie haben gemäss Schweizer Datenschutzgesetz (DSG) und DSGVO folgende Rechte:
- Auskunftsrecht (DSG Art. 25, DSGVO Art. 15):
Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.
Reaktionszeit: 30 Tage (DSG Art. 25 Abs. 5) - Berichtigungsrecht (ZGB Art. 32, DSGVO Art. 16):
Sie können die Berichtigung unrichtiger Daten verlangen. - Löschungsrecht (DSGVO Art. 17 analog, DSG Art. 32):
Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. - Einschränkung der Verarbeitung (DSGVO Art. 18, DSG Art. 30):
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen. - Datenübertragbarkeit (DSG Art. 28, DSGVO Art. 20):
Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten (JSON, CSV). - Widerspruchsrecht (DSG Art. 30, DSGVO Art. 21):
Sie können der Verarbeitung Ihrer Daten widersprechen, insbesondere bei Direktwerbung. - Widerruf der Einwilligung (DSG Art. 6 Abs. 7, DSGVO Art. 7 Abs. 3):
Sie können erteilte Einwilligungen jederzeit widerrufen (z.B. Newsletter-Abmeldung).
So üben Sie Ihre Rechte aus:
Kontaktieren Sie uns per E-Mail: datenschutz@mprofi-ai.ch
Wir werden Ihre Anfrage innerhalb von 30 Tagen bearbeiten (DSG Art. 25 Abs. 5).
5.7 Marketing Automation (Mautic)
We use Mautic, an open-source marketing automation platform, to manage leads from our AI Readiness Assessment and for personalized communication with prospects.
Processed Data
- Email Address: For assessment registration and communication
- Assessment Score: Your AI Readiness result (0-100 points)
- Company Size: Number of employees (category)
- Industry: Your company's industry sector
- Interaction Data: Email open rates, clicks on email links
Purpose of Processing
- Sending personalized AI transformation recommendations based on your assessment score
- Lead nurturing via automated email campaigns with relevant content
- Documentation and archiving of your assessment results
- Improvement of our products and services through user behavior analysis
Legal Basis
Processing is based on your consent pursuant to:
- Art. 6(1)(a) GDPR: Consent via double opt-in during assessment
- Art. 13 FADP: Transparency about data processing (Swiss Federal Act on Data Protection)
Retention Period
Your data will be stored in Mautic for:
- 3 years from your last interaction with our emails, or
- Until you withdraw your consent (possible at any time)
After this period, your data will be automatically deleted.
Your Rights
You have the right at any time to:
- Withdrawal: Withdraw your consent (unsubscribe link in every email)
- Deletion: Request deletion of your data in Mautic
- Access: Obtain information about your stored data
- Correction: Request correction of incorrect data
Contact for data protection inquiries: datenschutz@mprofi-ai.ch
Mautic Hosting: Our Mautic instance is hosted in a Swiss data center (Swiss Data Sovereignty). Your data does not leave Switzerland.
6. Speicherdauer (DSG Art. 6 Abs. 3)
| Datentyp | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Assessment-Daten | 12 Monate | Berechtigtes Interesse |
| Chat-Konversationen | 90 Tage | Vertragserfüllung |
| Zahlungsdaten (Stripe) | 10 Jahre | Buchführungspflicht (OR Art. 958f) |
| Server-Logs (anonymisiert) | 30 Tage | Berechtigtes Interesse (Sicherheit) |
| Nutzerkonto-Daten | Bis zur Löschung des Kontos + 30 Tage | Vertragserfüllung |
| Newsletter-Abonnement | Bis zur Abmeldung | Einwilligung |
Nach Ablauf der Speicherfrist werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Gelöschte Daten sind 7 Tage wiederherstellbar (aus Backups), danach endgültig gelöscht.
7. Cookies und Tracking
Welche Cookies verwenden wir?
- Technisch notwendige Cookies (keine Einwilligung erforderlich):
Session-Cookies für Login, Authentifizierung, Warenkorbfunktion
Speicherdauer: Session (bis Browser-Schließung) - Präferenz-Cookies (keine Einwilligung erforderlich):
Spracheinstellung, Theme (Hell/Dunkel), Cookie-Präferenzen
Speicherdauer: 365 Tage
Was verwenden wir NICHT?
- ❌ Keine Werbe-Cookies
- ❌ Keine Tracking-Cookies (z.B. Google Analytics, Facebook Pixel)
- ❌ Keine Third-Party-Cookies für Werbezwecke
- ❌ Kein Profiling oder Verhaltensanalyse
✅ Deshalb: Kein Cookie-Banner erforderlich (nur technisch notwendige Cookies gemäss DSG/DSGVO)
Matomo Analytics (selbst gehostet, Schweiz)
Wir nutzen Matomo für datenschutzfreundliche Nutzungsstatistiken (Seitenaufrufe, Performance). Matomo ist 100% Open Source, wird auf unseren Schweizer Servern gehostetund erfasst nur mit Ihrer Einwilligung anonymisierte Daten. IP-Adressen werden vor der Speicherung anonymisiert (letzte 2 Oktette entfernt). Sie können Analytics jederzeit im Cookie-Banner deaktivieren.
8. Registrierung und Nutzerkonto
Welche Daten erfassen wir bei der Registrierung?
- Pflichtangaben: E-Mail-Adresse, Passwort (verschlüsselt mit bcrypt)
- Optional: Vorname, Nachname, Firmenname, Telefonnummer
- Automatisch: Registrierungszeitpunkt, IP-Adresse (anonymisiert)
Wie sichern wir Ihr Passwort?
Ihr Passwort wird mit dem Bcrypt-Algorithmus (12 Runden) verschlüsselt und niemals im Klartext gespeichert. Selbst wir können Ihr Passwort nicht einsehen. Bei Verlust können Sie es über die "Passwort vergessen"-Funktion zurücksetzen.
Nutzung der KI-Assistenten
Bei der Nutzung der KI-Assistenten verarbeiten wir:
- Ihre Eingaben: Fragen, Texte, Anweisungen an die KI
- KI-Antworten: Generierte Texte, Vorschläge, Empfehlungen
- Konversationsverlauf: Chat-Historie (90 Tage)
- Hochgeladene Dokumente: PDFs, Word-Dateien, Bilder (30 Tage)
- Nutzungsstatistiken: Anzahl Nachrichten, Speicherverbrauch
Wichtig: Ihre Konversationen werden NICHT für das Training von KI-Modellen verwendet. OpenAI löscht alle Daten nach 30 Tagen (gemäss Vertrag).
9. Newsletter (Double Opt-in)
Wenn Sie unseren Newsletter abonnieren möchten, benötigen wir Ihre E-Mail-Adresse und Ihre Einwilligung zum Empfang des Newsletters.
Double Opt-in Verfahren (UWG Art. 3 Abs. 1 lit. u)
- Sie tragen Ihre E-Mail-Adresse in das Newsletter-Formular ein
- Sie erhalten eine Bestätigungs-E-Mail mit einem Aktivierungslink
- Sie klicken auf den Aktivierungslink (Bestätigung der Einwilligung)
- Erst dann wird Ihr Newsletter-Abonnement aktiviert
Warum Double Opt-in? Gemäss Schweizer UWG (Unlauterer Wettbewerb) Art. 3 Abs. 1 lit. u müssen wir sicherstellen, dass Sie den Newsletter tatsächlich abonnieren möchten.
Abmeldung vom Newsletter
Sie können sich jederzeit vom Newsletter abmelden:
- Klicken Sie auf den Abmelde-Link in jedem Newsletter (One-Click-Abmeldung)
- Oder kontaktieren Sie uns: newsletter@mprofi-ai.ch
Nach der Abmeldung wird Ihre E-Mail-Adresse aus der Newsletter-Liste entfernt und nicht mehr für Marketing-Zwecke verwendet.
10. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmassnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen.
Technische Sicherheitsmassnahmen
- Verschlüsselung in transit: TLS 1.3 (HTTPS) für alle Datenübertragungen
- Verschlüsselung at rest: AES-256 Verschlüsselung für Datenbank und Backups
- Zugriffskontrolle: Role-Based Access Control (RBAC), Zwei-Faktor-Authentifizierung
- Firewall: Web Application Firewall (WAF), DDoS-Schutz
- Intrusion Detection: Überwachung auf ungewöhnliche Zugriffsmuster
- Regelmässige Backups: Tägliche Backups, 30 Tage Aufbewahrung
- Security Audits: Vierteljährliche Sicherheitsüberprüfungen
- Penetration Testing: Jährliche externe Sicherheitstests
Organisatorische Sicherheitsmassnahmen
- Schulungen: Regelmässige Datenschutz-Schulungen für Mitarbeiter
- Vertraulichkeitsverpflichtung: Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet
- Incident Response Plan: Notfallplan bei Datenschutzverletzungen
- Zugriffsrechte: Minimalprinzip (nur notwendige Zugriffe gewährt)
- Monitoring: 24/7 Überwachung der Systeme
Verzeichnis der Verarbeitungstätigkeiten (DSG Art. 12 / DSGVO Art. 30)
Gemäss DSG Art. 12 und DSGVO Art. 30 führen wir ein umfassendes Verzeichnis aller Verarbeitungstätigkeiten. Dieses Verzeichnis enthält:
- Name und Kontaktdaten des Verantwortlichen
- Zweck der Verarbeitung
- Kategorien betroffener Personen und personenbezogener Daten
- Kategorien von Empfängern (inkl. Drittländer)
- Übermittlungen in Drittländer und deren Rechtsgrundlage
- Vorgesehene Löschfristen
- Beschreibung technischer und organisatorischer Massnahmen
Das vollständige Verzeichnis kann bei Bedarf bei der Aufsichtsbehörde (EDÖB) eingesehen werden oder auf Anfrage an datenschutz@mprofi-ai.ch angefordert werden.
Datenschutz-Folgenabschätzung (DSFA / DPIA)
Für Verarbeitungstätigkeiten mit hohem Risiko für die Rechte und Freiheiten betroffener Personen führen wir Datenschutz-Folgenabschätzungen (DSGVO Art. 35) durch:
- KI-Assistenten: DSFA durchgeführt für die Verarbeitung von Nutzereingaben durch externe KI-Provider (OpenAI). Risiko: moderat. Massnahmen: Keine Speicherung für Training, 30-Tage-Löschung, Verschlüsselung.
- Assessment-Daten: DSFA durchgeführt für die Verarbeitung von Unternehmensdaten im AI-Readiness-Assessment. Risiko: gering. Massnahmen: Anonymisierung, 12-Monate-Löschung.
- Zahlungsverarbeitung: Keine eigene DSFA erforderlich, da Stripe als PCI-DSS Level 1 zertifizierter Zahlungsdienstleister die Verarbeitung übernimmt.
Die vollständigen DSFA-Dokumente sind intern dokumentiert und können bei berechtigtem Interesse (z.B. durch die Aufsichtsbehörde) eingesehen werden.
11. Server-Log-Dateien
Unser Hosting-Provider (Infomaniak AG) erhebt automatisch Informationen in Server-Log-Dateien, die Ihr Browser automatisch übermittelt:
- Browsertyp und Browserversion
- Verwendetes Betriebssystem
- Referrer URL (von welcher Seite Sie kamen)
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse (anonymisiert - letzte 2 Oktette entfernt)
Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Die Erfassung erfolgt auf Grundlage unseres berechtigten Interesses an der Sicherheit und Stabilität der Plattform (DSGVO Art. 6 Abs. 1 lit. f, DSG Art. 6 Abs. 2).
Speicherdauer: 30 Tage, danach automatische Löschung.
12. Beschwerderecht (DSG Art. 49-51)
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzvorschriften verstösst.
Schweizer Datenschutzaufsichtsbehörde
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1
3003 Bern
Schweiz
Telefon: +41 58 462 43 95
E-Mail: info@edoeb.admin.ch
Website: www.edoeb.admin.ch
EU-Datenschutzaufsichtsbehörde (für EU-Kunden)
EU-Bürger können sich zusätzlich an die Datenschutzaufsichtsbehörde ihres Wohnsitzlandes wenden. Eine Liste aller EU-Datenschutzbehörden finden Sie hier: edpb.europa.eu
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen.
Bei wesentlichen Änderungen:
- Benachrichtigung per E-Mail 30 Tage vor Inkrafttreten
- Widerspruchsrecht innerhalb von 14 Tagen
- Keine Änderung bei laufenden Verträgen ohne Ihre Zustimmung
Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Wir empfehlen, diese Seite regelmässig zu besuchen, um über Änderungen informiert zu bleiben.
Fragen zum Datenschutz?
Wenn Sie Fragen zum Datenschutz haben, kontaktieren Sie uns bitte:
Datenschutz-Kontakt:
E-Mail: datenschutz@mprofi-ai.ch
Telefon: +41 41 710 70 88
Reaktionszeit: 30 Tage (DSG Art. 25 Abs. 5)
Letzte Aktualisierung: 6. Juli 2026