Datenschutzerklärung

1. Überblick und Doppelrolle

Die SOTHURA SAFE GmbH (in Gründung), Wassergasse 5, 4573 Lohn-Ammannsegg, Schweiz (nachfolgend «wir», «uns», «Anbieterin»), nimmt den Schutz personenbezogener Daten ernst. Diese Erklärung beschreibt, welche Personendaten wir bearbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage, wie lange und mit wem wir sie teilen.

Im Verhältnis zu unseren Kundinnen und Kunden (Versicherungsvermittler, Broker, Makler-Pools, Versicherer) handeln wir in einer Doppelrolle:

• Verantwortliche (Art. 5 lit. j revDSG / Art. 4 Nr. 7 DSGVO): für die Bearbeitung der Daten unserer registrierten Nutzerinnen und Nutzer (Benutzerkonto, Login, Abrechnung, Support, Website-Nutzung).
• Auftragsbearbeiterin (Art. 5 lit. k revDSG / Art. 4 Nr. 8 DSGVO): für die Bearbeitung der Daten, die unsere Kunden als Verantwortliche in die Plattform einbringen, insbesondere Mandanten- und Policendaten. Diese Bearbeitung erfolgt ausschliesslich nach Weisung des Kunden auf Basis eines Auftragsbearbeitungsvertrags (AVV/DPA).

2. Verantwortliche Stelle und Kontakt

SOTHURA SAFE GmbH (in Gründung)
Wassergasse 5
4573 Lohn-Ammannsegg, Schweiz

Für EU-/EWR-Betroffene nehmen wir Anfragen über die vorstehende Adresse entgegen. Ein Vertreter nach Art. 27 DSGVO wird bei Überschreiten der Anwendungsvoraussetzungen benannt und an dieser Stelle veröffentlicht.

3. Anwendungsbereich

Diese Erklärung gilt für die Bearbeitung von Personendaten im Zusammenhang mit (i) dem Besuch unserer Website, (ii) der Nutzung der Plattform SOTHURA SAFE (Admin- und Kundenportale, Mobile Access, APIs), (iii) der Anbahnung und Erfüllung von B2B-Verträgen, (iv) der Kommunikation über unsere E-Mail- und Terminkanäle.

Für Daten, die unsere Kunden in ihrer Eigenschaft als Verantwortliche in die Plattform einbringen, sind primär die jeweiligen Datenschutzerklärungen des Kunden gegenüber dessen Endkundinnen und Endkunden massgeblich. Wir bearbeiten solche Daten nur gemäss AVV.

4. Kategorien bearbeiteter Personendaten

4.1 Nutzer- und Kontaktdaten

• Name, Vorname, berufliche E-Mail-Adresse, Telefonnummer
• Funktion, Arbeitgeber, Organisationseinheit, Rolle, Standort
• Authentifizierungsdaten: Passwort-Hashes (Argon2/bcrypt), 2FA-Secrets, Session-Token
• Einwilligungen, Präferenzen, Kommunikationshistorie

4.2 Mandanten- und Beratungsdaten (im Auftrag unserer Kunden)

• Stammdaten der Endkunden (Name, Anschrift, Geburtsdatum, Kontakt)
• AHV-Nummer, IBAN, Steuerdaten, berufliche und familiäre Situation
• Versicherungspolicen, Vorsorgeausweise, Schadenhistorie, Offerten
• Beratungsprotokolle, Risikoprofile, Bedarfsanalysen, Beratungsdokumentationen (Art. 45 VAG)
• Hochgeladene Dokumente und deren extrahierte Inhalte

Zu den bearbeiteten Daten können besonders schützenswerte Personendaten im Sinne von Art. 5 lit. c revDSG bzw. besondere Kategorien nach Art. 9 DSGVO gehören (u. a. Gesundheitsdaten bei Krankentaggeld- und Lebensversicherungen). Wir bearbeiten solche Daten nur auf Grundlage eines gültigen AVV und mit den in Ziff. 9 beschriebenen Sicherheitsmassnahmen.

4.3 Nutzungs- und technische Daten

• IP-Adresse, User-Agent, Geräte- und Browserinformationen
• Zugriffs- und Aktivitätslogs (Zeitstempel, Aktionen, Endpunkte)
• Performance- und Fehlertelemetrie zur Stabilisierung der Plattform

4.4 Abrechnungs- und Vertragsdaten

• Firma, Adresse, UID, Mehrwertsteuer-Nummer, Zahlungsdaten
• Rechnungen, Mahn- und Kommunikationshistorie

4.5 KI-Verarbeitungsdaten

• Pseudonymisierte Ausschnitte von Dokumenten zur Analyse
• Prompt-Verläufe, Modell-Antworten, Fehler-Feedback zur Qualitätssicherung
• Keine Verwendung identifizierbarer Kundendaten zum Training von KI-Modellen

5. Zwecke und Rechtsgrundlagen

6. KI-Verarbeitung und automatisierte Einzelentscheidungen

Die Plattform setzt künstliche Intelligenz ein, um Dokumente auszulesen, Policenvergleiche zu berechnen, Deckungen zu bewerten, Beratungen zu unterstützen und Compliance-Checks zu ermöglichen.

Keine autonomen Entscheidungen mit rechtlicher Wirkung. Sämtliche KI-Ausgaben sind Entscheidungsunterstützung für die Beraterinnen und Berater unserer Kunden. Ausschliesslich der Berater trifft die fachliche Entscheidung gegenüber dem Endkunden und trägt die aufsichtsrechtliche Verantwortung (Art. 3 VVG, Art. 45 VAG). Eine automatisierte Einzelentscheidung im Sinne von Art. 21 revDSG bzw. Art. 22 DSGVO findet nicht statt.

Pseudonymisierung. Vor Übermittlung an KI-Modelle werden personenbezogene Felder automatisiert erkannt und pseudonymisiert (u. a. Namen, Adressen, AHV-Nummer, IBAN, Geburtsdatum, E-Mail). Die eingesetzten Sprachmodelle laufen ausschliesslich in europäischen Rechenzentren (Region Belgien). Die konkreten KI-Sub-Processors sind auf der Sub-Prozessoren-Seite aufgeführt. Eine Verwendung der übermittelten Daten zum Training der Modelle ist vertraglich ausgeschlossen.

7. Empfängerkategorien und Sub-Processors

Wir geben Personendaten an folgende Empfängerkategorien weiter, jeweils nur im erforderlichen Umfang und auf Grundlage vertraglicher Garantien:

• Cloud- und Infrastruktur-Provider für Hosting, Datenbank, Storage und Schlüsselverwaltung — Rechenzentren in der Schweiz (Zürich) und in der EU (Belgien)
• KI-Dienste für pseudonymisierte Inhalte — EU-Region, ohne Training auf Kundendaten
• E-Mail- und Transaktions-Anbieter für Anmelde-, Benachrichtigungs- und Support-Kommunikation
• Zahlungs- und Buchhaltungsdienstleister für Kartenzahlung, Rechnungs- und Mahnwesen
• Monitoring-, Logging- und Support-Tools zur Sicherstellung des Betriebs
• Integrationspartner, nur bei aktivierter Integration durch den Kunden (z. B. Microsoft 365 oder vergleichbare Office- und Kollaborationsdienste)
• Berufsgeheimnisträger (Anwältinnen, Steuerberater, Auditoren, Versicherer) und Behörden, soweit gesetzlich verlangt
• Rechtsnachfolger bei Umstrukturierung, Fusion, Spaltung oder Unternehmenstransaktion

Eine aktuelle und versionierte Sub-Processor-Liste wird auf der Sicherheitsseite geführt und vor Wechseln mit einer Ankündigungsfrist aktualisiert.

Eine Weitergabe zu Werbezwecken an nicht vertragsgebundene Dritte findet nicht statt.

8. Datentransfer ins Ausland

Primäre Datenhaltung und Kundendatenbank liegen in der Schweiz. Einzelne Unterdienste (insbesondere KI-Verarbeitung, E-Mail, Support, Monitoring) werden in EU/EWR-Staaten oder — in begründeten Ausnahmefällen — in Drittstaaten wie den USA erbracht.

Bei Übermittlungen in Staaten ohne angemessenes Schutzniveau stellen wir den Schutz sicher durch:

• EU-Standardvertragsklauseln (SCC) in der jeweils aktuellen Fassung, ergänzt um die vom EDÖB anerkannten schweizerischen Präzisierungen;
• zusätzliche technische Massnahmen (Verschlüsselung, Pseudonymisierung, eigenverwaltete HSM-Schlüssel);
• organisatorische Massnahmen (Zugriffskontrollen, Audit-Logs);
• Transfer-Impact-Assessments, wo indiziert.

Bei Aufforderung staatlicher Stellen aus Drittstaaten zur Herausgabe von Daten prüfen wir jede Anordnung auf rechtliche Zulässigkeit und informieren — soweit rechtlich zulässig — den betroffenen Kunden.

9. Technische und organisatorische Massnahmen (TOMs)

Die Anbieterin setzt — unter technischer Federführung des Head of Security & Infrastructure — ein mehrstufiges Sicherheitsdispositiv um. Grundlage sind das revDSG, die DSGVO, die einschlägigen FINMA-Rundschreiben zum operationellen Risiko sowie anerkannte Standards. Die zugrundeliegende Cloud-Infrastruktur wird in nach ISO/IEC 27001 und SOC 2 Type II zertifizierten Rechenzentren betrieben; die Anbieterin orientiert sich daran sowie am NIST Cybersecurity Framework.

9.1 Kryptografie

• AES-256-Verschlüsselung ruhender Daten («at rest»)
• TLS 1.2+-Verschlüsselung übertragener Daten («in transit»), HSTS, Perfect Forward Secrecy
• Customer-Managed Encryption Keys (CMEK) in einem FIPS 140-2 Level 3 Hardware Security Module; kryptografische Löschmöglichkeit durch Schlüssel-Revoke
• Client-Side Field Level Encryption (CSFLE) für besonders schützenswerte Felder (AHV-Nummer, IBAN, Geburtsdatum, Policen-Nummer, Schadensnummern)
• Schlüsselrotation alle 90 Tage; Trennung von Daten- und Schlüsselverwaltung

9.2 Netzwerk- und Infrastruktursicherheit

• Private Networking (Netzwerk-Isolation, private Endpunkte) — keine öffentlichen DB-Endpunkte
• Statische Cloud-NAT-IP für ausgehende Verbindungen, IP-Allowlisting an kritischen Schnittstellen
• Separate Service-Accounts mit Least-Privilege für App, Analytics und Backup
• Web-Application-Firewall und Rate-Limiting auf Ingress

9.3 Authentifizierung und Autorisierung

• Strikte Trennung Admin-Auth und Portal-Auth (keine gemeinsame Session-Oberfläche)
• Multi-Faktor-Authentifizierung (MFA) für alle Anbieter-Mitarbeitenden
• Rollenbasierte Zugriffskontrolle (RBAC) nach Least-Privilege-Prinzip
• Session-Rotation, serverseitig gesetzte HTTP-only-Cookies (Token nicht im Browser-Storage)
• Signed URLs mit maximal 15 Minuten Gültigkeit für Datei-Uploads

9.4 Mandantentrennung (Multi-Tenant-Isolation)

• Strikte logische Trennung der Kundendaten auf Datenbankebene («Tenant-Scoping»)
• Fail-closed-Prinzip: fehlt der Tenant-Kontext, werden keine Daten zurückgegeben
• Cross-Tenant-Zugriffe werden systematisch durch Integration- und E2E-Tests verhindert

9.5 Verbindlicher Security-Gate-Katalog (SG-001 bis SG-009)

Jede Produktänderung wird vor Inbetriebnahme gegen den folgenden Gate-Katalog verifiziert; der Nachweis wird revisionssicher dokumentiert:

9.6 Audit, Logging und Monitoring

• Revisionssichere, unveränderliche Audit-Logs mit bis zu 10 Jahren Aufbewahrung
• Zugriffs-, Admin- und KI-Prompt-Logs mit Zeitstempel und Akteursidentität
• 24/7-Monitoring und anomalie-basierte Alarmierung

9.7 Backup, Wiederherstellung, Resilienz

• Continuous Backups mit Point-in-Time Recovery in Schweizer Rechenzentren
• Versionierte Storage-Buckets («ransomwarefest»)
• Dokumentierte Wiederanlauf- und Disaster-Recovery-Prozeduren

9.8 Sicheres Entwicklungs- und Deploy-Vorgehen

• Code-Review- und Vier-Augen-Pflicht für produktionsrelevante Änderungen
• Abhängigkeits-Monitoring, automatisierte Schwachstellen-Scans, Patch-Management
• Secret-Management über Cloud-Keyvault — keine Secrets im Quellcode
• Getrennte Umgebungen Dev/Staging/Prod mit IP-gefiltertem Prod-Ingress

9.9 Organisatorische Massnahmen

• Auftragsverarbeitungsverträge (AVV/DPA) mit allen Sub-Processors
• Datenschutz-Folgenabschätzung (DSFA) für risikoreiche Bearbeitungen
• Bearbeitungsverzeichnis nach Art. 12 revDSG / Art. 30 DSGVO
• Pflicht zur Geheimhaltung und jährliche Schulung aller Mitarbeitenden
• Background-Checks für Personen mit produktivem Datenzugriff
• Schriftliches Incident-Response-Verfahren — Meldung so rasch als möglich (Art. 24 nDSG); bei EU-Bezug zusätzlich innert 72 Stunden (DSGVO Art. 33)

Weitere Details und Changelog siehe Sicherheits-Seite unter /de-ch/sicherheit.

10. Aufbewahrung und Löschung

Nach Ablauf der Aufbewahrungsfrist werden Daten gelöscht oder zuverlässig anonymisiert. Liegen einer Löschung gesetzliche oder vertragliche Pflichten entgegen, wird die weitere Bearbeitung gesperrt.

11. Rechte der betroffenen Personen

Sie haben insbesondere folgende Rechte:

• Auskunft (Art. 25 revDSG / Art. 15 DSGVO) — Wir informieren Sie innert 30 Tagen über die von uns über Sie bearbeiteten Daten.
• Berichtigung unrichtiger Daten (Art. 32 Abs. 1 revDSG / Art. 16 DSGVO).
• Löschung nicht mehr erforderlicher oder widerrechtlich bearbeiteter Daten (Art. 32 Abs. 2 lit. c revDSG / Art. 17 DSGVO).
• Einschränkung der Bearbeitung bei Streit über die Richtigkeit oder Rechtmässigkeit (Art. 18 DSGVO).
• Datenportabilität — Herausgabe in einem gängigen, maschinenlesbaren Format (Art. 28 revDSG / Art. 20 DSGVO).
• Widerspruch gegen Bearbeitungen, die auf überwiegendem Interesse beruhen, und jederzeitiger Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.
• Beschwerde bei der zuständigen Aufsichtsbehörde (Ziff. 13).

Zur Ausübung Ihrer Rechte erreichen Sie uns unter datenschutz@sothura.ch. Zur Verhinderung von Identitätsmissbrauch behalten wir uns vor, vor der Auskunft einen geeigneten Identitätsnachweis zu verlangen.

Betrifft Ihre Anfrage Mandantendaten, die ein Kunde als Verantwortlicher in die Plattform eingebracht hat, leiten wir Ihre Anfrage an den zuständigen Kunden weiter oder bitten Sie, sich direkt an diesen zu wenden.

12. Cookies, Tracking und Website-Analyse

12.1 Technisch notwendige Cookies und lokaler Speicher

Wir setzen technisch notwendige Sitzungs-Cookies für Authentifizierung, Sicherheit (CSRF-Schutz) und Last-Balancing ein. Diese Cookies erfordern keine Einwilligung (Art. 45c FMG/analog, Art. 25 Abs. 2 TTDSG für DE). Zusätzlich speichern wir im localStorage Ihres Browsers Ihre Cookie-Einwilligung sowie eine zufällig erzeugte Besucher-Kennung ohne Account-Bezug, um Ihre Wahl bei späteren Besuchen zu erinnern.

12.2 Nutzungsstatistik mit PostHog (einwilligungspflichtig)

Mit Ihrer Einwilligung setzen wir PostHog ein, ein Produktanalyse-Tool, das von der PostHog Inc. betrieben wird. Wir nutzen die EU-Cloud-Instanz (Hosting in Frankfurt, Deutschland) und erfassen ausschliesslich anonymisierte Pageviews und Interaktionen, um die Nutzung der Plattform zu verstehen und das Produkt zu verbessern. Wir verwenden PostHog nicht für Werbung, Cross-Site-Tracking oder Profilbildung im Sinne von Art. 5 lit. f revDSG. Session-Recordings sind deaktiviert.

12.3 Ihre Wahlmöglichkeiten

Beim ersten Besuch sehen Sie ein Cookie-Banner mit drei Optionen: «Alle akzeptieren», «Nur notwendige» und «Einstellungen» (für eine individuelle Auswahl). Ohne Ihre Zustimmung wird PostHog nicht geladen — die Plattform funktioniert ohne Einschränkungen weiter.

Sie können Ihre Einwilligung jederzeit widerrufen. Löschen Sie dazu den Eintrag sothura-cookie-consent in den Browser-Einstellungen Ihres lokalen Speichers (DevTools → Application → Local Storage) oder kontaktieren Sie uns unter datenschutz@sothura.ch — wir helfen Ihnen gerne. Eine zentrale Widerruf-Schaltfläche im Footer befindet sich in Vorbereitung.

Über jede Einwilligung führen wir einen anonymisierten Audit-Eintrag (Besucher-ID, Wahl, Zeitpunkt, gehashte IP) zur Erfüllung unserer Nachweispflicht nach Art. 12 revDSG bzw. Art. 7 Abs. 1 DSGVO.

12.4 Verzicht auf weitere Tracker

Auf Marketing-Tracker und Werbe-Cookies verzichten wir bewusst. Eine Ausnahme bildet Cloudflare Turnstile, das wir als technisch notwendigen Bot-Schutz in unseren öffentlichen Formularen einsetzen (Details siehe Ziff. 12.5). Sollten wir weitere einwilligungspflichtige Dienste einführen, erweitern wir das Consent-Banner entsprechend und bitten Sie erneut um Einwilligung.

12.5 Cloudflare Turnstile (Bot-Schutz, technisch notwendig)

Auf öffentlichen Formularen (z. B. der Warteliste-Anmeldung auf dieser Seite) setzen wir Cloudflare Turnstile ein, einen Captcha-freien Bot-Schutz der Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA).

13. Aufsichtsbehörden

Zuständige Aufsichtsbehörden für Betroffene sind insbesondere:

• Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern — www.edoeb.admin.ch
• EU/EWR: die Datenschutzbehörde Ihres Wohnsitzstaates oder des Ortes der behaupteten Verletzung.

14. Sicherheitsvorfälle und Meldepflichten

Wir betreiben ein schriftliches Incident-Response-Verfahren. Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen, melden wir dem EDÖB ohne Verzug nach Art. 24 revDSG bzw. innert 72 Stunden nach Art. 33 DSGVO und — soweit erforderlich — den Betroffenen. Unseren Kunden in ihrer Eigenschaft als Verantwortliche melden wir vorfallrelevante Ereignisse innerhalb von 72 Stunden.

15. Minderjährige

Die Plattform richtet sich ausschliesslich an gewerbliche Nutzerinnen und Nutzer; sie ist nicht an Minderjährige adressiert. Wir bearbeiten wissentlich keine Daten von Personen unter 16 Jahren zu eigenen Zwecken.

16. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Technologie oder Verarbeitungen ändern. Die jeweils aktuelle Fassung ist auf dieser Seite mit Versionsstand abrufbar. Wesentliche Änderungen kommunizieren wir zusätzlich per E-Mail oder über die Plattform.