Datenschutzerklärung

Verantwortlich für die Datenbearbeitung im Sinne von Art. 5 lit. j revDSG bzw. Art. 4 Nr. 7 DSGVO ist:

Eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht für uns nicht. Für sämtliche Fragen rund um den Datenschutz steht Ihnen die oben genannte Kontaktadresse zur Verfügung.

Diese Datenschutzerklärung gilt für alle Angebote von Pfeffersack, insbesondere für die Website pfeffersack.ch, die zugehörige Web-Applikation (Buchhaltungssoftware) sowie für jede Kommunikation mit uns per E-Mail, Telefon oder Kontaktformular.

• Personendaten: Alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
• Bearbeitung / Verarbeitung: Jeder Umgang mit Personendaten (Erheben, Speichern, Verwenden, Bekanntgeben, Löschen usw.).
• Betroffene Person: Die Person, deren Personendaten bearbeitet werden.
• Auftragsbearbeiter: Dritte, die in unserem Auftrag und nach unserer Weisung Personendaten bearbeiten.

Wir verarbeiten ausschliesslich diejenigen Daten, die für den Betrieb unserer Dienste erforderlich sind:

• Stammdaten: Name, E-Mail-Adresse, Anschrift, Firmenname, MWST-Nummer, Telefonnummer.
• Vertrags- und Abrechnungsdaten: Abonnement, Zahlungsstatus, Rechnungsbelege, Zahlungsreferenzen (keine vollständigen Kartendaten – diese werden ausschliesslich beim Zahlungsdienstleister verarbeitet).
• Buchhaltungs- und Nutzungsdaten: Belege, Rechnungen, Buchungssätze, Bankauszüge (CAMT/ISO 20022), Kontakte zu Debitoren und Kreditoren – also diejenigen Daten, die Sie selbst in die Software eingeben oder importieren.
• Log- und technische Daten: IP-Adresse (gekürzt, sofern technisch möglich), Browsertyp, Zeitpunkt des Zugriffs, aufgerufene Seiten, Fehler- und Sicherheitsereignisse.
• Kommunikationsdaten: Inhalt Ihrer Nachrichten an uns (E-Mail, Support-Anfragen, Chat).
• Einwilligungs- und Präferenzdaten: Ihre Cookie-Einstellungen, Marketing-Einwilligungen, Sprachpräferenzen.

Wir verarbeiten Ihre Daten nur, wenn eine der folgenden Rechtsgrundlagen vorliegt (revDSG bzw. Art. 6 DSGVO):

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Buchhaltungssoftware, Abwicklung Ihres Abonnements, Kundensupport.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Einhaltung handels- und steuerrechtlicher Aufbewahrungspflichten (u. a. 10 Jahre gem. OR 958f).
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherstellung eines stabilen, sicheren Betriebs, Betrugsprävention, Weiterentwicklung unserer Dienste, anonymisierte Auswertungen.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, Art. 6 Abs. 6 revDSG): Marketing-Cookies, Newsletter, optionale Drittdienste. Die Einwilligung kann jederzeit widerrufen werden.

Datensouveränität ist uns wichtig. Wir trennen daher bewusst zwischen Datenhaltung und Auslieferung der Website:

• Alle Kundendaten (Datenbanken, Belege, Dokumente, Backups) werden ausschliesslich in einem Rechenzentrum in der Schweiz gespeichert und verarbeitet. Es findet kein Export von Kundendaten ins Ausland statt.
• Die öffentliche Website (Marketing-Seiten, Blog, Vorlagen) wird aus Performance-Gründen über ein Rechenzentrum in Frankfurt am Main, Deutschland (EU) ausgeliefert. Dort werden keine Kundendaten gespeichert – die Auslieferung beschränkt sich auf statische und cachebare Inhalte.
• Backups erfolgen verschlüsselt und verbleiben ebenfalls in der Schweiz.
• Sämtliche Verbindungen sind durchgehend TLS-verschlüsselt (HTTPS).

Deutschland und damit auch Frankfurt unterliegen als EU-Standort einem anerkannt angemessenen Datenschutzniveau im Sinne des revDSG. Eine Datenübermittlung in Länder ohne angemessenen Schutz (z. B. USA) findet im Rahmen unserer Kernleistung nicht statt. Sollte eine derartige Bearbeitung ausnahmsweise erforderlich werden – etwa für optionale Marketingdienste – erfolgt sie nur auf Basis der EU-Standardvertragsklauseln oder Ihrer ausdrücklichen Einwilligung.

Für den Betrieb unserer Dienste arbeiten wir mit sorgfältig ausgewählten Partnern zusammen. Mit allen Auftragsbearbeitern bestehen schriftliche Auftragsbearbeitungsverträge (AVV bzw. Data-Processing-Agreement). Die Daten werden ausschliesslich auf unsere Weisung und zu den nachfolgend genannten Zwecken bearbeitet:

• Infrastruktur und Hosting: Betrieb der Server, Datenbanken und Backups in der Schweiz und der EU.
• E-Mail-Versand: Transaktionsmails (Registrierung, Passwort-Reset, Rechnungen) und – bei Einwilligung – Newsletter.
• Zahlungsabwicklung: Abonnement- und Rechnungszahlungen über einen spezialisierten PCI-DSS-zertifizierten Zahlungsdienstleister. Kartendaten werden direkt beim Zahlungsdienstleister erhoben und sind uns nicht zugänglich.
• KI-gestützte Belegerkennung: Siehe Ziffer 12.
• Fehler- und Performance-Monitoring: Betriebsüberwachung zur Sicherstellung der Verfügbarkeit.
• Webanalyse und Marketing: Nur mit Ihrer Einwilligung (siehe Ziffer 10).
• Behörden und Gerichte: Soweit wir dazu gesetzlich verpflichtet sind.

• Buchhaltungs- und Belegdaten: 10 Jahre nach Ablauf des Geschäftsjahrs (Art. 958f OR).
• Vertrags- und Kundendaten: Dauer der Vertragsbeziehung zuzüglich gesetzlicher Aufbewahrungsfristen.
• Server-Logs: in der Regel 30 Tage, bei sicherheitsrelevanten Ereignissen bis zu 12 Monate.
• Support-Kommunikation: 24 Monate ab letztem Kontakt.
• Marketing-Einwilligungen: bis zum Widerruf.

Nach Ablauf der Aufbewahrungsfrist werden die Daten gelöscht oder anonymisiert.

Wir treffen angemessene technische und organisatorische Massnahmen, um Ihre Daten gegen unberechtigten Zugriff, Verlust, Missbrauch oder Veränderung zu schützen:

• Durchgehende TLS-Verschlüsselung (HTTPS) aller Verbindungen.
• Verschlüsselung sensibler Daten in der Datenbank und in Backups.
• Rollen- und Zugriffskonzept: Mitarbeitende und Auftragsbearbeiter erhalten nur Zugriff auf Daten, die sie für ihre Aufgabe benötigen (Need-to-know-Prinzip).
• Mandantentrennung: Daten verschiedener Kundinnen und Kunden werden strikt voneinander isoliert (Multi-Tenant-Architektur).
• Automatisierte, verschlüsselte, geografisch getrennte Backups.
• Regelmässige Sicherheits-Updates, Abhängigkeits-Scans und Penetrationstests.
• Zwei-Faktor-Authentifizierung für administrative Zugänge.
• Protokollierung sicherheitsrelevanter Ereignisse.
• Bot-Schutz auf Registrierungsseite (Cloudflare Turnstile): Auf unserer Registrierungsseite setzen wir Cloudflare Turnstile ein, um automatisierte Anmeldeversuche von Bots zu blockieren. Dabei werden technische Browser-Signale (z.B. JavaScript-Verhalten, HTTP-Header) sowie Ihre IP-Adresse an Cloudflare, Inc. übertragen. Es werden keine Cookies gesetzt und kein nutzerübergreifendes Tracking durchgeführt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 31 Abs. 1 lit. f revDSG (berechtigtes Interesse am Schutz vor Bot-Missbrauch). Cloudflare ist nach den Standardvertragsklauseln (SCC) zertifiziert. Cloudflare Datenschutzerklärung.

Wir unterscheiden zwischen technisch notwendigen und optionalen Cookies. Beim ersten Besuch unserer Website fragen wir Ihre Einwilligung über ein Consent-Banner ab. Die Einstellungen können Sie jederzeit über den Link „Cookie-Einstellungen“ in unserem Footer anpassen oder widerrufen.

• Notwendige Cookies: Zur Authentifizierung, für den Warenkorb, zur Lastverteilung und zur Sicherheit. Diese Cookies sind für den Betrieb erforderlich und werden ohne Einwilligung gesetzt.
• Präferenz-Cookies: Speicherung Ihrer Spracheinstellungen und Konsent-Entscheidungen.
• Statistik- und Marketing-Cookies: Nur nach Ihrer ausdrücklichen Einwilligung. Dazu können je nach Einwilligung Dienste wie Google Analytics, Google Ads, Microsoft Advertising, LinkedIn Ads, Meta Ads, TikTok Pixel, YouTube (eingebettete Videos) oder ein Consent-Management-Dienst zählen.

Google-Dienste werden ausschliesslich im Modus „Consent Mode v2“ geladen – ohne Einwilligung erfolgt keine personenbezogene Auswertung. Für die Webanalyse setzen wir zusätzlich auf eine selbstgehostete bzw. EU-basierte Lösung mit anonymisierten Profilen.

Wenn Sie uns per E-Mail, Telefon, Kontakt- oder Support-Formular kontaktieren, verarbeiten wir die übermittelten Daten zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b oder f DSGVO. Wir empfehlen, sensible Daten nicht unverschlüsselt per E-Mail zu übermitteln.

Pfeffersack setzt KI-Technologien ein, um bestimmte Funktionen der Buchhaltungssoftware zu verbessern. Der Einsatz ist optional und ergänzt die Kernfunktionen.

12.1 Zwecke der Verarbeitung

• OCR-Belegerfassung: Automatische Texterkennung hochgeladener Rechnungen und Belege.
• Kategorisierung: Vorschläge für passende Buchungskategorien anhand von Transaktionsbeschreibungen.
• Buchungsvorschläge: Automatische Vorschläge für Buchungssätze basierend auf erkannten Belegen und Bankbewegungen.

12.2 Welche Daten verarbeitet werden

• Inhalte hochgeladener Dokumente (Belegbilder, PDF-Texte)
• Transaktionsbeschreibungen und Beträge
• Kontonamen und Buchungskontexte

Es werden keine personenbezogenen Daten wie Name, Adresse oder Kontaktdaten an KI-Dienste übermittelt, sofern diese nicht Bestandteil eines hochgeladenen Dokuments sind.

12.3 Datenstandort und Sicherheit

Die KI-Verarbeitung erfolgt in einem Rechenzentrum in der Schweiz über ausschliesslich verschlüsselte Verbindungen. Es findet keine Weitergabe der Daten an Anbieter ausserhalb der Schweiz im Rahmen des KI-Einsatzes statt. Es erfolgt keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO / Art. 21 revDSG: Jeder KI-Vorschlag kann von Ihnen überprüft, geändert oder abgelehnt werden.

12.4 Produktverbesserung

Für die Weiterentwicklung der KI-Funktionen verwenden wir ausschliesslich anonymisierte oder aggregierte Daten. Weitere Informationen finden Sie auf unserer Seite KI-Transparenz.

Sie haben jederzeit das Recht:

• Auskunft über die zu Ihrer Person gespeicherten Daten zu verlangen (Art. 25 revDSG / Art. 15 DSGVO).
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 32 revDSG / Art. 16 DSGVO).
• Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 32 revDSG / Art. 17 DSGVO).
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit: Herausgabe Ihrer Daten in einem strukturierten, maschinenlesbaren Format (Art. 28 revDSG / Art. 20 DSGVO).
• Widerspruch gegen bestimmte Bearbeitungen (Art. 30 revDSG / Art. 21 DSGVO) sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.
• Beschwerde bei der zuständigen Aufsichtsbehörde (Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, edoeb.admin.ch; EU: zuständige Datenschutzbehörde Ihres Wohnsitzlandes).

Zur Wahrnehmung Ihrer Rechte genügt eine formlose Nachricht an [email protected]. Zur Identitätsprüfung können wir geeignete Nachweise verlangen.

Sie können Ihre Buchhaltungsdaten (Debitoren, Kreditoren, Buchungen, Belege) jederzeit in gängigen Formaten (CSV, PDF, ZIP) aus der Applikation exportieren. Auf Wunsch löschen wir Ihr Benutzerkonto vollständig – Daten, die wir aufgrund handels- oder steuerrechtlicher Vorschriften weiter aufbewahren müssen, werden gesperrt und nach Ablauf der gesetzlichen Frist endgültig gelöscht.

Unsere Angebote richten sich an Unternehmerinnen, Unternehmer und volljährige Privatpersonen. Wir verarbeiten bewusst keine Daten von Personen unter 16 Jahren.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an neue rechtliche Anforderungen oder Änderungen unserer Leistungen anzupassen. Die jeweils aktuelle Version ist stets unter pfeffersack.ch/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir Sie aktiv (z. B. per E-Mail oder Hinweis in der Applikation).