Datenschutzerklärung

Verantwortlich für die Bearbeitung Ihrer Personendaten ist:

[Legal name / sole proprietorship or company]

[Street and number]

[ZIP, City], Switzerland

E-Mail: [contact e-mail]

Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte über die obenstehenden Angaben.

Je nachdem, wie Sie ZüriKey nutzen, bearbeiten wir folgende Kategorien von Personendaten:

• Identitäts- und Kontaktdaten: Name, Geburtsdatum, Staatsangehörigkeit, E-Mail-Adresse, Telefonnummer.
• Aufenthalts- und Statusdaten: Kategorie der Aufenthaltsbewilligung.
• Finanz- und Haushaltsdaten: Beschäftigung und Einkommen, Haushaltsangaben, Wohnungspräferenzen.
• Hochgeladene Dokumente: Identitätskarte/Pass, Aufenthaltsbewilligung, Lohnabrechnungen, Arbeitsvertrag, Betreibungsregisterauszug, Referenz des bisherigen Vermieters und Nachweis der Haftpflichtversicherung.
• Konto- und Zahlungsdaten: Anmeldedaten sowie Bestell- und Berechtigungsnachweise für den einmaligen Kauf.

Einige der Daten, die Sie bereitstellen können, gelten als besonders schützenswerte Personendaten im Sinne von Art. 5 lit. c revDSG. Dies betrifft insbesondere den Betreibungsregisterauszug und Ihre Aufenthaltsbewilligung.

Solche besonders schützenswerten Daten bearbeiten und übermitteln wir nur auf Grundlage Ihrer ausdrücklichen Einwilligung, die wir separat einholen und niemals über ein vorangekreuztes Kästchen.

Wie Ihre Daten gespeichert werden, hängt davon ab, ob Sie ZüriKey mit oder ohne Konto nutzen.

• Anonyme Nutzer (ohne Konto): Ihr Dossier-Entwurf wird lokal in Ihrem Browser gespeichert (localStorage). Hochgeladene Dokumentdateien verbleiben auf Ihrem Gerät und werden nicht an unsere Server gesendet.
• Registrierte Nutzer (mit Konto): Ihre Dossierdaten und Ihre hochgeladenen Dokumentdateien werden serverseitig in Supabase (einer PostgreSQL-Datenbank sowie privatem Dateispeicher) gespeichert, gehostet in der EU (Frankfurt, Deutschland). Der Zugriff ist durch Row-Level-Security geschützt, sodass jeder Nutzer nur auf seine eigenen Daten zugreifen kann. Dokumente werden in einem privaten Bucket aufbewahrt, der nur über kurzlebige signierte Links erreichbar ist.

Bitte beachten Sie: Die Daten und Dokumente registrierter Nutzer werden serverseitig gespeichert. Wir behaupten nicht, dass alles auf Ihrem Gerät verbleibt, sobald Sie ein Konto erstellen.

Wir bearbeiten Ihre Daten nur für die Zwecke, für die ZüriKey besteht: um Ihnen zu helfen, ein Mietbewerbungsdossier zu erstellen, einen Tragbarkeitswert zu berechnen, ein deutsches Bewerbungsschreiben zu erstellen, ein druckfertiges PDF zu erzeugen und nach dem einmaligen Kauf den Export freizuschalten.

Wir erheben und bearbeiten nur die für diese Zwecke notwendigen Daten (Datenminimierung). Ihr fertiges Dossier wird nur an die Vermieter oder Liegenschaftsverwaltungen weitergegeben, die Sie selbst auswählen.

Das generierte Bewerbungsschreiben wird stets auf Deutsch erstellt, während die Benutzeroberfläche auf Englisch, Deutsch und Italienisch verfügbar ist.

Wir bearbeiten Ihre Daten, um die von Ihnen angeforderte Dienstleistung zu erbringen, unsere vertraglichen Pflichten zu erfüllen, gesetzlichen Pflichten nachzukommen und auf Grundlage Ihrer Einwilligung.

Für besonders schützenswerte Personendaten (wie den Betreibungsregisterauszug und die Aufenthaltsbewilligung) sowie für die Weitergabe Ihres Dossiers an Dritte stützen wir uns auf Ihre ausdrückliche Einwilligung gemäss Art. 6 Abs. 7 revDSG. Diese Einwilligung wird separat eingeholt, ist niemals vorangekreuzt und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Wir setzen die folgenden sorgfältig ausgewählten Auftragsbearbeiter ein, die jeweils nur die zur Erfüllung ihrer Funktion erforderlichen Daten erhalten:

• Supabase – Datenbank, privater Dateispeicher und Authentifizierung, gehostet in der EU (Frankfurt, Deutschland). Erhält die Dossierdaten, hochgeladenen Dokumente und Anmeldedaten registrierter Nutzer.
• Stripe – Zahlungsabwicklung. Kartendaten werden direkt bei Stripe eingegeben und gelangen nie auf unsere Server; wir speichern nur Bestell- und Berechtigungsnachweise.
• Vercel – Hosting und Content Delivery (CDN) für die Web-App.
• Anthropic – KI-Erstellung des deutschen Bewerbungsschreibens. Dieser Auftragsbearbeiter wird nur eingesetzt, wenn Sie die optionale Funktion «Mit KI personalisieren» wählen, und erhält nur die Dossier-Fakten (wie Namen, Beruf, Einkommen, Präferenzen und das Zielobjekt) — niemals Ihre hochgeladenen Dokumentdateien.

Die Personalisierung des Bewerbungsschreibens mit KI ist vollständig optional und erfolgt nur, wenn Sie auf «Mit KI personalisieren» klicken.

Wenn Sie diese Funktion nutzen, werden die Fakten aus Ihrem Dossier (Namen, Beruf, Einkommen, Präferenzen und das Zielobjekt) an die API von Anthropic gesendet, um das deutsche Schreiben zu erstellen. Ihre hochgeladenen Dokumentdateien werden nie an Anthropic gesendet. Wenn Sie diese Funktion nicht nutzen, werden keine Daten an Anthropic weitergegeben.

Ihre primäre Speicherung erfolgt in der EU (Supabase, Frankfurt). Einige unserer Auftragsbearbeiter — namentlich Stripe, Vercel und Anthropic — können eine Übermittlung von Daten ausserhalb der Schweiz und der EU beinhalten, beispielsweise in die USA.

Soweit Daten in ein Land übermittelt werden, das kein gleichwertiges Datenschutzniveau bietet, stützen wir uns auf geeignete Garantien wie Standardvertragsklauseln, um Ihre Daten zu schützen.

Wir treffen geeignete technische und organisatorische Massnahmen zum Schutz Ihrer Daten. Dazu gehören Row-Level-Security in der Datenbank (sodass jeder Nutzer nur auf seine eigenen Daten zugreifen kann), ein privater Dateispeicher (Bucket), der nur über kurzlebige signierte Links erreichbar ist, verschlüsselte Authentifizierung sowie die ausschliessliche Bearbeitung von Kartendaten bei Stripe, sodass diese nie auf unsere Server gelangen.

Keine Übertragungs- oder Speichermethode ist vollständig sicher, doch wir bemühen uns, Ihre Daten mit dem Risiko angemessenen Massnahmen zu schützen.

Wir bewahren Ihre Daten nur so lange auf, wie es für die oben beschriebenen Zwecke erforderlich ist; danach werden sie gelöscht oder anonymisiert.

Buchhaltungsunterlagen wie Zahlungsrechnungen werden so lange aufbewahrt, wie das Schweizer Recht es verlangt (in der Regel 10 Jahre).

Mit der Aktion «Meine Daten löschen» können Sie die lokal in Ihrem Browser gespeicherten Dossierdaten entfernen. Für registrierte Nutzer entfernt die Löschung des Kontos die serverseitig gespeicherten Daten.

Nach dem revDSG haben Sie folgende Rechte in Bezug auf Ihre Personendaten:

• Auskunftsrecht (Art. 25 revDSG) — wir beantworten Auskunftsersuchen innerhalb von 30 Tagen.
• Recht auf Berichtigung unrichtiger Daten.
• Recht auf Löschung oder Vernichtung Ihrer Daten.
• Recht auf Einschränkung der Bearbeitung.
• Recht auf Widerspruch gegen die Bearbeitung.
• Recht auf Datenübertragbarkeit (Art. 28 revDSG).
• Recht, Ihre Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.

Um eines dieser Rechte auszuüben, kontaktieren Sie uns bitte über die Angaben in Abschnitt 1.

Sofern eine Datensicherheitsverletzung voraussichtlich ein hohes Risiko für Ihre Persönlichkeit oder Grundrechte mit sich bringt, melden wir diese dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss Art. 24 revDSG.

Sie haben zudem das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern, edoeb.admin.ch.

Wir verwenden localStorage, um Ihren Dossier-Entwurf in Ihrem Browser zu speichern, sowie Authentifizierungs-Cookies, um Sie angemeldet zu halten.

Wir verwenden keine Werbe-Tracker von Drittanbietern.

Hinweis: Dies ist eine Vorlage in klarer Sprache und keine Rechtsberatung. Der Betreiber sollte sie von einer qualifizierten Fachperson prüfen lassen und alle Platzhalter ausfüllen, bevor sie live geht.