Datenschutzerklärung
Gemäss DSGVO (EU 2016/679) · Stand: März 2026
1. Verantwortlicher
2. Welche Daten wir erheben
2.1 Nutzerkonto (bei Registrierung)
- E-Mail-Adresse
- Name (optional)
- Passwort (verschlüsselt gespeichert mit bcrypt)
2.2 Analysedaten (bei Nutzung der Tools)
- Unternehmensdaten (Umsatz, Kosten, Kennzahlen)
- Analyseergebnisse und Berichte
- Hochgeladene Dokumente (Expert Analyse — nur temporär verarbeitet)
2.3 Zahlungsdaten
Zahlungsinformationen werden ausschliesslich von Stripe verarbeitet. Wir erhalten nur eine Bestätigung der erfolgreichen Zahlung (Session-ID), nie Kreditkartendaten.
2.4 Technische Daten
- Server-Logs (IP-Adresse, Zeitstempel, aufgerufene Seiten)
- Session-Cookies (für Login-Verwaltung)
3. Zweck der Datenverarbeitung
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Erbringung der bestellten Analysedienstleistungen, Kontoführung, Zahlungsabwicklung
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Betrugsprävention, Sicherheit der Plattform, Server-Logs
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Geschäftsdaten gemäss gesetzlicher Aufbewahrungsfristen
4. Weitergabe an Dritte
Wir geben Ihre Daten nur weiter, soweit dies zur Vertragserfüllung notwendig ist:
Anthropic (Claude KI)
Die eingegebenen Unternehmensdaten werden zur KI-Analyse an Anthropic übermittelt. Verarbeitungsort: USA. Grundlage: EU-Standardvertragsklauseln (SCC). Anthropic verwendet die Daten nicht für Training.
Stripe, Inc.
Zahlungsabwicklung. Verarbeitungsort: USA/EU. Grundlage: EU-US Data Privacy Framework + SCCs. Datenschutzrichtlinie: stripe.com/de/privacy
Hosting-Infrastruktur
Server in der EU. Datenverarbeitung im Rahmen eines Auftragsverarbeitungsvertrags (AVV).
Eine Weitergabe zu Werbezwecken oder an andere Dritte findet nicht statt.
5. Datenspeicherung und Löschung
Nutzerkontodaten: Bis zur Löschung des Kontos oder 3 Jahre nach letzter Aktivität
Analyseergebnisse: Bis zur Kontolöschung oder auf Anfrage
Zahlungsdaten (Buchungsbelege): 10 Jahre gemäss gesetzlicher Aufbewahrungspflicht
Server-Logs: 30 Tage, danach automatische Löschung
Passwort-Reset-Token: 1 Stunde Gültigkeit, danach automatische Invalidierung
6. Cookies und Session-Management
Wir verwenden ausschliesslich technisch notwendige Cookies:
| Cookie | Zweck | Laufzeit |
|---|---|---|
| next-auth.session-token | Login-Session | 30 Tage |
| next-auth.csrf-token | CSRF-Schutz | Session |
Es werden keine Tracking-, Werbe- oder Analyse-Cookies verwendet. Ein Cookie-Banner ist daher nicht erforderlich.
7. Ihre Rechte (DSGVO Art. 15–22)
Auskunftsrecht (Art. 15): Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.
Berichtigungsrecht (Art. 16): Unrichtige Daten können Sie jederzeit korrigieren lassen.
Löschungsrecht (Art. 17): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung der Verarbeitung (Art. 18): Sie können die Einschränkung der Datenverarbeitung verlangen.
Datenübertragbarkeit (Art. 20): Ihre Daten können Sie in einem gängigen Format anfordern.
Widerspruchsrecht (Art. 21): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
Zur Ausübung Ihrer Rechte wenden Sie sich an: she@fin.healthcare
8. Datensicherheit
Wir setzen technische und organisatorische Massnahmen ein, um Ihre Daten zu schützen:
- SSL/TLS-Verschlüsselung für alle Datenübertragungen (HTTPS)
- Passwörter werden mit bcrypt (Salt-Rounds 12) gehasht, niemals im Klartext gespeichert
- Zahlungsdaten werden ausschliesslich über PCI-DSS-zertifizierte Infrastruktur (Stripe) verarbeitet
- Regelmässige Sicherheitsupdates der Serverinfrastruktur
- Zugriffsberechtigungen nach Minimalprinzip
9. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der rechtlichen Lage oder der angebotenen Dienste anzupassen. Die jeweils aktuelle Version ist auf dieser Seite einsehbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.