Datenschutzerklärung

1.1 Vom Nutzer bereitgestellte Daten

• Registrierungsdaten: Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt mittels Hashing gespeichert).
• Profil- und Kartendaten: Berufsbezeichnung, Unternehmen, Telefonnummer, Adresse, Website, Social-Media-Profile, Profilfoto und alle weiteren Informationen, die der Nutzer in seine digitalen Karten einträgt.
• Zahlungsdaten: Zahlungsinformationen (Kreditkartennummer, Rechnungsdaten) werden direkt von Stripe verarbeitet und niemals auf unseren Servern gespeichert. Wir speichern lediglich die Stripe-Kunden-ID und den Abonnementstatus.
• Kommunikation: Inhalt von Supportanfragen und Kommunikation mit unserem Team.

1.2 Automatisch erfasste Daten

• Nutzungsdaten: besuchte Seiten, verwendete Funktionen, Datum und Uhrzeit des Zugriffs, Sitzungsdauer.
• Technische Daten: IP-Adresse, Browsertyp, Betriebssystem, Gerätetyp, Geräte-Identifikatoren.
• Kartendaten zur Interaktion: Anzahl Aufrufe der digitalen Karten, QR-Code-Scans, Klicks auf Links, vCard-Downloads. Diese Daten werden in aggregierter und anonymisierter Form für die Statistiken des Nutzers erhoben.

1.3 Cookies und Tracking-Technologien

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

• Bereitstellung des Dienstes: Erstellung und Verwaltung des Kontos, Erzeugen und Anzeigen digitaler Karten, Erstellung von Visitenkarten, Verwaltung von QR-Codes und Short Links.
• Zahlungen und Rechnungen: Verwaltung der Abonnements, Abwicklung von Zahlungen über Stripe, Ausstellung von Rechnungen.
• Service-Kommunikation: Versand kontorelevanter Benachrichtigungen, Service-Updates und Sicherheitswarnungen.
• Verbesserung des Dienstes: Auswertung der Nutzung in aggregierter Form zur Verbesserung von Funktionen und Performance.
• Sicherheit: Verhinderung von Betrug, Missbrauch und unbefugtem Zugriff sowie Sicherstellung der Integrität des Dienstes.
• Rechtliche Pflichten: Erfüllung gesetzlicher Pflichten, Beantwortung von Anfragen zuständiger Behörden.

Die Datenverarbeitung beruht auf:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO / Art. 31 DSG): zur Bereitstellung des Dienstes und zur Kontoverwaltung.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 DSG): für Sicherheit, Betrugsprävention und Verbesserung des Dienstes.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO / Art. 31 DSG): zur Erfüllung steuer-, buchhaltungs- und regulatorischer Pflichten.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 DSG): für optionale Marketing-Kommunikation, soweit anwendbar.

Wir verkaufen, vermieten oder tauschen die personenbezogenen Daten der Nutzer nicht. Wir geben Daten ausschliesslich weiter an:

• Stripe: für die Zahlungsabwicklung. Stripe handelt als unabhängiger Verantwortlicher für Zahlungsdaten. Siehe die Datenschutzerklärung von Stripe.
• Hosting-Anbieter: Daten werden auf der Infrastruktur von Vercel (für die Anwendung) und Neon (für die Datenbank) gehostet, beide mit Rechenzentren in Europa.
• E-Mail-Dienste: für den Versand transaktionaler E-Mails (Kontobenachrichtigungen, Passwort-Reset).
• Empfänger der Karten: Wenn ein Nutzer seine digitale Karte teilt, sind die in der Karte enthaltenen Daten für den Empfänger sichtbar. Der Nutzer entscheidet, welche Informationen er in die Karte aufnimmt.
• Zuständige Behörden: wenn dies gesetzlich vorgeschrieben oder durch Gerichtsbeschluss verlangt wird.

Daten werden vorwiegend auf Servern in der Europäischen Union gespeichert. Sollte eine Übermittlung von Daten ausserhalb des Europäischen Wirtschaftsraums oder der Schweiz nötig sein, stellen wir geeignete Garantien sicher, darunter:

• Standardvertragsklauseln (SCC), genehmigt von der Europäischen Kommission.
• Angemessenheitsbeschlüsse der Europäischen Kommission oder des EDÖB der Schweiz.
• Anerkannte Zertifizierungen und Rahmenwerke (z. B. EU-US Data Privacy Framework).

Wir treffen geeignete technische und organisatorische Massnahmen zum Schutz personenbezogener Daten, darunter:

• Verschlüsselung der Daten bei der Übertragung (TLS/HTTPS) und im Ruhezustand.
• Hashing der Passwörter mit sicheren Algorithmen (bcrypt/argon2).
• Datenzugriff beschränkt auf autorisiertes Personal nach dem Prinzip der minimalen Berechtigung.
• Kontinuierliches Infrastruktur-Monitoring und Schwachstellenmanagement.
• Regelmässige Backups und Disaster-Recovery-Verfahren.
• Zahlungsdaten passieren weder unsere Server noch werden sie dort gespeichert (vollständige Verarbeitung durch Stripe).

• Kontodaten: aufbewahrt für die Dauer des aktiven Kontos und bis zu 30 Tage nach Löschung.
• Rechnungsdaten: aufbewahrt für 10 Jahre, wie nach Schweizer Steuerrecht erforderlich.
• Aggregierte Nutzungsdaten: in anonymisierter Form ohne zeitliche Begrenzung aufbewahrt.
• Sicherheitsprotokolle: für maximal 12 Monate aufbewahrt.

Im Einklang mit dem Schweizer DSG und der DSGVO (sofern anwendbar) hat der Nutzer das Recht auf:

• Auskunft: Bestätigung der Verarbeitung seiner Daten und Erhalt einer Kopie.
• Berichtigung: Korrektur unrichtiger oder unvollständiger Daten.
• Löschung: Verlangen der Löschung seiner Daten ("Recht auf Vergessenwerden"), vorbehaltlich gesetzlicher Aufbewahrungspflichten.
• Datenübertragbarkeit: Erhalt der Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
• Widerspruch: Widerspruch gegen die Datenverarbeitung aus berechtigten Gründen.
• Einschränkung: Verlangen der Einschränkung der Verarbeitung in bestimmten Fällen.
• Widerruf der Einwilligung: jederzeitiger Widerruf der Einwilligung zur Verarbeitung, ohne die Rechtmässigkeit der bis zum Widerruf erfolgten Verarbeitung zu berühren.

Der Dienst richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Sollten wir feststellen, dass wir Daten eines Minderjährigen erhoben haben, werden wir diese umgehend löschen.

Der Dienst kann Links zu Websites oder Diensten Dritter enthalten. Wir sind nicht verantwortlich für die Datenschutzpraktiken solcher Dienste. Wir empfehlen, vor der Übermittlung personenbezogener Daten die jeweiligen Datenschutzerklärungen zu prüfen.

Wir behalten uns das Recht vor, diese Erklärung zu aktualisieren. Wesentliche Änderungen werden über den Dienst oder per E-Mail mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach der Mitteilung gilt als Annahme der aktualisierten Erklärung.

Der Nutzer hat das Recht, eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in der Schweiz oder bei der zuständigen Aufsichtsbehörde im Wohnsitzland einzureichen, falls er der Ansicht ist, dass die Verarbeitung seiner Daten gegen geltendes Recht verstösst.

Bei Fragen zu dieser Erklärung oder zur Verarbeitung personenbezogener Daten: