Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Datenbearbeitung auf dieser Plattform ist:

ISOCALCX

Alban Selimi

Adresse: Wiesentalstrasse 28, 8355 Aadorf, Schweiz

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der ISOCALCX Plattform (nachfolgend «Plattform»), einer Cloud-basierten SaaS-Lösung für die KI-gestützte Analyse und Kalkulation von Isolationsprojekten im HLKS-Bereich (Heizung, Lüftung, Kälte, Sanitär).

3. Rechtsgrundlage

Die Bearbeitung von Personendaten erfolgt auf Grundlage des schweizerischen Bundesgesetzes über den Datenschutz (DSG, revidiert per 1. September 2023). Soweit Daten von Personen aus dem EWR betroffen sind, beachten wir zudem die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO).

Die Rechtsgrundlagen für die Datenbearbeitung sind:

Vertragserfüllung: Bearbeitung zur Erfüllung des Nutzungsvertrags (Art. 31 Abs. 2 lit. a DSG)
Einwilligung: Für optionale Datenbearbeitungen wie Statistik-Cookies (Art. 31 Abs. 1 DSG)
Überwiegendes Interesse: Zur Verbesserung und Sicherung der Plattform (Art. 31 Abs. 2 lit. a DSG)

4. Erhobene Daten

4.1 Kontakt- und Zugangsdaten

Name, E-Mail-Adresse, Firmenname
Login-Informationen (verschlüsselte Passwörter)
Spracheinstellungen und Benutzerpräferenzen

4.2 Projektdaten

Hochgeladene PDF-Dokumente (Leistungsverzeichnisse)
Extrahierte LV-Positionen (Materialien, Mengen, Dimensionen)
Preisdaten und Kalkulationen
Generierte Offerten

4.3 Technische Daten

IP-Adresse, Browsertyp, Geräteinformationen
Zugriffszeitpunkt und aufgerufene Seiten
Fehlerberichte (Sentry, nur mit Einwilligung)

5. Zweck der Bearbeitung

Ihre Daten werden für folgende Zwecke bearbeitet:

Bereitstellung und Betrieb der KI-gestützten Kalkulationsplattform
KI-Analyse Ihrer Leistungsverzeichnisse zur Positionsextraktion
Preiskalkulation und Offertenerstellung
Benutzerkonto-Verwaltung und Authentifizierung
Technischer Support und Kommunikation
Verbesserung und Weiterentwicklung der Plattform
Abrechnung und Zahlungsabwicklung

6. KI-Verarbeitung

ISOCALCX setzt künstliche Intelligenz (KI) ein, um Leistungsverzeichnisse automatisch zu analysieren und Isolationspositionen zu extrahieren. Dabei gilt:

Verarbeitungsort: Die KI-Verarbeitung erfolgt über Server in der Schweiz und der EU. Dokumente werden verschlüsselt übertragen.
Datenminimierung (Pre-Filter als TOM): Vor jeder KI-Verarbeitung durchläuft das hochgeladene Dokument einen regelbasierten Pre-Filter (deterministisch, KEINE KI). Dieser identifiziert nur Seiten mit HLKS-/Dämmungs-Positionen anhand von Keywords und Regex-Patterns. Bauherrenangaben, Konkurrenzpositionen, allgemeine Vertragsbedingungen und nicht-relevante Inhalte werden vom Filter ausgeschlossen und nicht an das KI-Modell übermittelt. Diese technisch-organisatorische Massnahme (TOM) setzt das Datenminimierungs-Prinzip nach Art. 6 Abs. 3 revDSG / Art. 5 Abs. 1 lit. c DSGVO um.
Keine Trainingsnutzung: Ihre Projektdaten werden nicht zum Training der KI-Modelle verwendet.
Speicherdauer: KI-Zwischenergebnisse werden nach Abschluss der Analyse gelöscht. Nur die finalen Positionen werden gespeichert.
Recht auf menschliche Überprüfung (Art. 22 DSGVO): Sie haben das Recht, gemäss Art. 22 Abs. 3 DSGVO eine menschliche Überprüfung der KI-Ergebnisse zu verlangen. KI-Ergebnisse stellen lediglich eine Entscheidungsvorbereitung dar — die finale Verantwortung liegt beim Nutzer (Plausibilisierungspflicht gemäss AGB Ziff. 9.3).

7. Cookies

Die Plattform verwendet folgende Cookie-Kategorien:

Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden. Sie umfassen Authentifizierungs-Tokens, Spracheinstellungen und Cookie-Consent-Präferenzen.

Optionale Statistik-Cookies

Mit Ihrer Einwilligung setzen wir Statistik-Cookies ein, um die Performance und Nutzererfahrung der Plattform zu verbessern. Diese können jederzeit über den Cookie-Banner deaktiviert werden.

8. Drittanbieter

Für den Betrieb der Plattform arbeiten wir mit folgenden Auftragsverarbeitern zusammen. Mit allen Anbietern besteht ein Auftragsverarbeitungsvertrag (AVV/DPA gemäss Art. 28 DSGVO bzw. Art. 9 revDSG):

AWS Bedrock — KI-Analyse (EU Frankfurt)

Zur automatischen Analyse von Leistungsverzeichnissen nutzen wir generative Sprachmodelle der Anthropic Claude-Familie via AWS Bedrock in der Region EU Frankfurt (eu-central-1). Textinhalte aus Ihren Dokumenten werden verschlüsselt an AWS-Server in der EU (Frankfurt) übermittelt; es findet kein Transfer in die USA statt. DPA gemäss Art. 28 DSGVO unterzeichnet. Die Verarbeitung erfolgt DSGVO-konform gemäss der AWS-Datenschutzrichtlinie.

Anthropic (technischer Notfall-Fallback, USA — standardmässig deaktiviert)

Eine direkte API-Anbindung an Anthropic (Server in den USA) ist als technischer Notfall-Fallback für den Fall eines Total-Ausfalls sämtlicher EU-Bedrock-Regionen konfiguriert. Standardmässig ist dieser Fallback deaktiviert und kann nur durch ISOCALCX aktiv aktiviert werden. Eine Datenübermittlung in die USA findet im Regelbetrieb nicht statt. Sollte der Fallback ausnahmsweise aktiviert werden, erfolgt die Übermittlung verschlüsselt auf Basis der EU-Standardvertragsklauseln (SCC) gemäss Art. 46 DSGVO. Zusätzlich Swiss-U.S. Data Privacy Framework (DPF) gemäss Art. 19 Abs. 4 revDSG; Anthropic ist DPF-zertifiziert. DPA gemäss Art. 28 DSGVO unterzeichnet. Anthropic verwendet API-Daten ausdrücklich nicht für das Modelltraining. Weitere Informationen unter anthropic.com/legal/privacy.

Infomaniak (Server- und Datenbank-Hosting, Schweiz)

Die Plattform und die zugehörige Datenbank werden bei Infomaniak Network SA in der Schweiz gehostet. Sämtliche Konto- und Projektdaten werden ausschliesslich auf Servern in der Schweiz gespeichert. DPA gemäss Art. 28 DSGVO bzw. Art. 9 revDSG unterzeichnet. Weitere Informationen unter infomaniak.com/de/datenschutzerklaerung.

Stripe (Zahlungsabwicklung)

Stripe Payments Europe Ltd. (Irland, EU) wird zur Zahlungsabwicklung eingesetzt. Stripe verarbeitet Kreditkartendaten direkt — diese werden nicht auf unseren Servern gespeichert. Da Stripe USA-Mutterunternehmen ist (Stripe Inc.), erfolgt der Datentransfer in die USA über das EU-U.S. Data Privacy Framework (DPF) gemäss Art. 46 DSGVO sowie Standardvertragsklauseln (SCC). DPA gemäss Art. 28 DSGVO unterzeichnet. Weitere Informationen unter stripe.com/privacy.

Brevo (E-Mail-Versand)

Für den Versand von System-E-Mails (Registrierung, Passwortzurücksetzung, Benachrichtigungen) nutzen wir Brevo (ehemals SendInBlue). Dabei werden Ihre E-Mail-Adresse und Ihr Name übermittelt. DPA gemäss Art. 28 DSGVO unterzeichnet. Weitere Informationen unter brevo.com/legal/privacypolicy.

Auftragsverarbeitungsvertrag (AVV/DPA)

Bei B2B-Nutzung gilt der separat abgeschlossene Auftragsverarbeitungsvertrag (siehe /avv). Der AVV regelt die rechtlichen Pflichten zwischen Ihnen als Verantwortlichem und ISOCALCX als Auftragsverarbeiter im Detail.

9. Speicherdauer

Personendaten werden nur so lange gespeichert, wie es für die Erfüllung des Vertragszwecks oder die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich ist:

Kontodaten: Für die Dauer des Vertragsverhältnisses plus gesetzliche Aufbewahrungsfristen (bis zu 10 Jahre)
Projektdaten: Für die Dauer des Vertragsverhältnisses; nach Kontolöschung innerhalb von 30 Tagen
Hochgeladene PDF-Dokumente: Hochgeladene PDF-Rohdateien werden automatisch 24 Stunden nach Abschluss der KI-Analyse vom Filesystem gelöscht (Datenminimierung gemäss Art. 5 Abs. 1 lit. c DSGVO / Art. 6 Abs. 4 revDSG). Die strukturierten Analyseergebnisse (Positionen) bleiben in der Datenbank bis zur manuellen Löschung durch den Kunden, spätestens 30 Tage nach Vertragsende.
Bedrock-KI-Inferenz: 0 Sekunden (kein Logging aktiviert, keine Speicherung bei AWS)
Anthropic Direct API (nur bei Fallback, opt-in): Standardmässig 0 Sekunden via Zero Data Retention; sonst max. 30 Tage Missbrauchskontrolle
Backups: 90 Tage nach Account-Löschung, dann unwiderruflich gelöscht
Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht)
Logdaten: Maximal 12 Monate

10. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer Personendaten:

Auskunftsrecht: Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.
Berichtigungsrecht: Sie können die Berichtigung unrichtiger Daten verlangen.
Löschungsrecht: Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung Ihres Kontos können Sie jederzeit in den Einstellungen unter «Konto löschen» veranlassen. Sie haben die Wahl zwischen einer sofortigen Löschung, einer 30-tägigen Karenzfrist oder einer Anonymisierung Ihrer Daten. Bei Anonymisierung wird Ihre E-Mail-Adresse irreversibel mittels SHA-256-Hash ersetzt (Format: hash@anonymized.local); ein Rückschluss auf Ihre Person ist danach technisch ausgeschlossen.
Datenportabilität: Sie können die Herausgabe Ihrer Daten in einem gängigen, maschinenlesbaren Format verlangen. Sie können Ihre Daten jederzeit über Ihr Benutzerkonto unter Einstellungen > Datenschutz als JSON-Datei exportieren.
Widerspruchsrecht: Sie können der Bearbeitung Ihrer Daten widersprechen.
Widerruf der Einwilligung: Sie können erteilte Einwilligungen jederzeit widerrufen.
Recht auf menschliche Überprüfung: Recht auf menschliche Überprüfung automatisierter Entscheidungen (Art. 22 Abs. 3 DSGVO).

Wir bearbeiten Ihre Anfrage innert 30 Tagen ab Eingang. In Ausnahmefällen kann sich die Frist auf bis zu 60 Tage verlängern; in diesem Fall informieren wir Sie schriftlich.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: Kontakt aufnehmen

11. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Daten, insbesondere:

Verschlüsselung der Datenübertragung (TLS/SSL)
Verschlüsselte Speicherung sensibler Daten (Passwörter via Argon2)
Zugriffskontrolle und Authentifizierung (JWT)
Regelmässige Sicherheitsupdates und Monitoring
Zugangsbeschränkung nach dem Prinzip der minimalen Rechte
Datenminimierung durch regelbasierten Pre-Filter (siehe Abschnitt 6) — KI-Verarbeitung ausschliesslich relevanter Seiten

12. Aufsichtsbehörde

Die zuständige Datenschutz-Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB):

EDÖB / PFPDT / IFPDT

Feldeggweg 1

3003 Bern

Schweiz

www.edoeb.admin.ch

Sie haben das Recht, bei der Aufsichtsbehörde eine Beschwerde einzureichen, wenn Sie der Meinung sind, dass die Bearbeitung Ihrer Daten gegen Datenschutzvorschriften verstösst.

13. Meldung von Datenschutzverletzungen

Im Falle einer Datenschutzverletzung, die voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten betroffener Personen führt, informieren wir die betroffenen Nutzer unverzüglich per E-Mail sowie den EDÖB gemäss Art. 24 DSG.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen der Plattform anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.