Letzte Aktualisierung: 22.03.2026
Datenschutzerklärung
Ihre Privatsphäre ist uns wichtig. In dieser Datenschutzerklärung erläutern wir, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir sie verarbeiten und welche Rechte Ihnen zustehen. Weitere rechtliche Informationen finden Sie in unserem Impressum, unseren AGB und unserer Cookie-Richtlinie.
Verantwortlicher
FIRMEN.directory
Krasen Markov (natürliche Person, nicht im Handelsregister eingetragen)
Feldweg 8
8574 Lengwil
Schweiz
E-Mail: [email protected]
Der Betreiber hat keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen. Datenschutzanfragen richten Sie bitte an die oben genannte E-Mail-Adresse.
EU-Vertreter (Art. 27 DSGVO)
Die Benennung eines EU-Vertreters gemäß Art. 27 DSGVO ist derzeit nicht erforderlich, da die Voraussetzungen des Art. 27 Abs. 2 DSGVO vorliegen (gelegentliche Datenverarbeitung, keine umfangreiche Verarbeitung besonderer Datenkategorien).
Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung der Plattform firmen.directory sowie aller zugehörigen Subdomains, insbesondere:
- ch.firmen.directory
- de.firmen.directory
- at.firmen.directory
- api.firmen.directory
- blogs.firmen.directory
- presse.firmen.directory
- stellen.firmen.directory
Allgemeine Hinweise zur Datenverarbeitung
Der Schutz personenbezogener Daten hat höchste Priorität. Personenbezogene Daten werden ausschließlich im Rahmen der gesetzlichen Vorschriften verarbeitet, insbesondere:
- Schweizerisches Datenschutzgesetz (DSG, revidierte Fassung in Kraft seit 1. September 2023)
- Datenschutz-Grundverordnung der EU (DSGVO / GDPR)
- Bundesdatenschutzgesetz Deutschland (BDSG)
- Telekommunikation-Telemedien-Datenschutz-Gesetz Deutschland (TTDSG)
- Datenschutzgesetz Österreich (DSG Österreich)
- Telekommunikationsgesetz 2021 Österreich (TKG 2021)
Die Nutzung der Plattform ist grundsätzlich ohne Bereitstellung sensibler personenbezogener Daten möglich. Daten werden nur verarbeitet, soweit dies zur Bereitstellung der Plattform, zur Vertragserfüllung, aufgrund berechtigter Interessen oder aufgrund einer Einwilligung erforderlich ist.
Kategorien verarbeiteter personenbezogener Daten
Bei Registrierung und Nutzerkonto
- Vor- und Nachname
- E-Mail-Adresse
- Profilbild (hochgeladen oder über Social-Login-Anbieter übermittelt)
Bei Nutzung der Plattform
- IP-Adresse
- Zeitpunkt des Zugriffs
- technische Nutzungsdaten (Browser, Betriebssystem, Bildschirmauflösung)
- aufgerufene Seiten (Referrer-URL)
- Log-Daten zur Systemsicherheit
Bei Firmeneinträgen (Erstellung und Beanspruchung)
- Firmenname, Adresse, Telefonnummer, E-Mail-Adresse
- Öffnungszeiten, Beschreibung, Kategorien
- hochgeladene Bilder und Logos
- vom Nutzer bereitgestellte weitere Inhalte
- IP-Adresse und User-Agent zum Zeitpunkt der Erstellung/Beanspruchung (zur Betrugsprävention)
- Datum und Uhrzeit der Erstellung/Beanspruchung
Bei Bewertungen
- Bewertungstext und -titel
- Sternebewertung
- hochgeladene Bilder
- zugehöriges Nutzerprofil (Anzeigename, Profilbild)
Bei kostenpflichtigen Diensten
- Abonnementstatus und Laufzeit
- Transaktionsinformationen (Rechnungsdaten, ohne vollständige Zahlungsdaten)
Bei Cookie-Einwilligung
- Zeitstempel, IP-Adresse, User-Agent
- gewählte Cookie-Kategorien
- Version des Consent-Banners
- kryptografischer Hash zur Nachweissicherung
Zwecke der Verarbeitung
- Bereitstellung und Betrieb der Plattform
- Verwaltung von Nutzerkonten
- Veröffentlichung und Verwaltung von Firmeneinträgen
- Bewertungsfunktion und Inhaber-Antworten
- Missbrauchsprävention, Sicherheit und Betrugserkennung
- KI-gestützte Inhaltsprüfung (Bewertungen und Firmeneinträge)
- Volltextsuche über die Plattform
- Vertragserfüllung bei Premium-Diensten
- Kommunikation mit Nutzern (transaktionale E-Mails, Benachrichtigungen)
- Analyse und Verbesserung der Plattform (nur mit Einwilligung)
- Werbemessung und Conversion-Tracking (nur mit Einwilligung)
- Nachweis der Cookie-Einwilligung (rechtliche Verpflichtung)
Rechtsgrundlagen der Verarbeitung
Für EU-/EWR-Nutzer (DSGVO)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Analyse-Cookies (Google Analytics). Die Einwilligung kann jederzeit über die Cookie-Einstellungen im Footer widerrufen werden.
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Registrierung, Nutzerkonto, Firmeneinträge, Premium-Abonnements, Zahlungsabwicklung.
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Rechnungs- und Transaktionsdaten, Nachweis der Cookie-Einwilligung.
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Technisch notwendige Cookies, Sicherheitsmaßnahmen, Log-Daten, Missbrauchsprävention, Plattformstabilität, KI-gestützte Inhaltsprüfung zur Qualitätssicherung.
Für deutsche Nutzer (TTDSG)
Gemäß § 25 TTDSG ist der Zugriff auf Informationen im Endgerät des Nutzers (Cookies, Local Storage) nur mit Einwilligung zulässig, es sei denn, der Zugriff ist für die Bereitstellung des Dienstes unbedingt erforderlich. Analyse- und Marketing-Cookies werden daher erst nach Einwilligung gesetzt.
Für österreichische Nutzer (TKG 2021)
Gemäß § 165 TKG 2021 ist die Speicherung von Informationen auf dem Endgerät ebenfalls einwilligungspflichtig, sofern sie nicht technisch notwendig ist. Es gelten die gleichen Grundsätze wie unter TTDSG.
Für Schweizer Nutzer (DSG)
Die Verarbeitung erfolgt nach den Bestimmungen des revidierten Schweizer Datenschutzgesetzes (DSG, in Kraft seit 1. September 2023). Personenbezogene Daten werden zur Vertragserfüllung sowie aufgrund überwiegender berechtigter Interessen verarbeitet. Für Analyse- und Marketing-Zwecke wird eine Einwilligung eingeholt (Art. 31 Abs. 1 DSG).
Cookies und Tracking
Detaillierte Informationen zu den eingesetzten Cookies, ihren Zwecken, Speicherdauern und Anbietern finden Sie in unserer Cookie-Richtlinie.
Zusammenfassung: Tracking-Skripte (Google Analytics) werden nicht geladen, bis Sie über das Cookie-Consent-Banner aktiv einwilligen. Ihre Einwilligung können Sie jederzeit über „Cookie-Einstellungen" im Footer widerrufen.
Auftragsverarbeiter und Drittanbieter
Zur Bereitstellung der Plattform werden folgende Drittanbieter als Auftragsverarbeiter eingesetzt:
| Dienst | Anbieter | Zweck | Serverstandort | Garantien |
|---|---|---|---|---|
| Datenbank und Auth | Supabase Inc. | Datenspeicherung, Authentifizierung, Dateispeicher | EU (Frankfurt) | AVV, SCCs |
| Server-Infrastruktur | Google Cloud (Google LLC) | Application Hosting (Cloud Run) | USA (us-central1) | AVV, SCCs, EU-US DPF |
| CDN und Sicherheit | Cloudflare Inc. | DDoS-Schutz, WAF, DNS, Turnstile | Global (Edge-Netzwerk) | AVV, SCCs, EU-US DPF |
| Zahlungsabwicklung | Stripe Inc. | Abonnements und Zahlungen | EU / USA | AVV, SCCs, EU-US DPF, PCI-DSS |
| Transaktionale E-Mails | Resend Inc. | E-Mail-Versand (Bestätigungen, Benachrichtigungen) | USA | AVV, SCCs |
| Marketing-E-Mails | Brevo (Sendinblue) | Newsletter und Marketing-Kommunikation | EU (Deutschland/Frankreich) | AVV |
| Webanalyse | Google LLC | Nutzungsstatistiken (nur mit Einwilligung) | USA | SCCs, EU-US DPF |
| Kartendarstellung | Google LLC | Unternehmensstandorte auf Karte | USA | SCCs, EU-US DPF |
| KI-Inhaltsprüfung | Google LLC (Gemini API) | Automatisierte Vorprüfung von Bewertungen und Firmeneinträgen | USA | AVV, SCCs, EU-US DPF |
| Textgenerierung | OpenAI Inc. | Generierung redaktioneller Texte und Beschreibungen | USA | AVV, SCCs, EU-US DPF |
| Volltextsuche | Meilisearch (Meili SAS) | Suchfunktion für Firmeneinträge | EU (Frankfurt) | AVV |
| Geocoding | HERE Global B.V. | Adresssuche und Geokodierung von Unternehmensstandorten | EU | AVV, SCCs |
| SMS-Versand | GatewayAPI (OnlineCity ApS) | SMS-Verifizierung von Telefonnummern (OTP) | EU (Dänemark) | AVV |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA) gemäß Art. 28 DSGVO.
Einsatz von Künstlicher Intelligenz (KI)
Die Plattform setzt KI-Dienste für folgende Zwecke ein:
- Google Gemini API: Automatisierte Vorprüfung von Nutzerbewertungen und Firmeneinträgen auf Einhaltung der Nutzungsrichtlinien. Bei Unsicherheit wird der Inhalt zur manuellen Prüfung weitergeleitet. Es erfolgt keine vollständig automatisierte Entscheidung ohne menschliche Überprüfung. Gemäß den Google API-Nutzungsbedingungen (Paid Plan) werden die verarbeiteten Inhalte nicht für das Training von KI-Modellen verwendet.
- OpenAI API: Generierung redaktioneller Texte und Beschreibungen. Es werden keine personenbezogenen Nutzerdaten an OpenAI übermittelt. Gemäß den OpenAI API-Nutzungsbedingungen werden die verarbeiteten Daten nicht für das Training von KI-Modellen verwendet.
Datenquellen
Neben nutzergenerierten Inhalten bezieht die Plattform Firmendaten aus folgenden öffentlichen Quellen:
- Zefix (Zentraler Firmenindex): Öffentlich zugängliche Daten des Eidgenössischen Amts für das Handelsregister (EHRA). Es handelt sich um frei verfügbare Informationen zu in der Schweiz registrierten Unternehmen.
Datenübermittlung in Drittländer
Einige der eingesetzten Dienstleister verarbeiten Daten in Staaten außerhalb der Schweiz und des EWR, insbesondere in den USA. Die Übermittlung erfolgt auf Grundlage:
- Angemessenheitsbeschluss der Europäischen Kommission (EU-US Data Privacy Framework) für zertifizierte US-Unternehmen
- Standardvertragsklauseln (SCCs) der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO
- Anerkennung durch den Eidgenössischen Datenschutzbeauftragten (EDÖB) gemäß Art. 16 Abs. 1 DSG für Staaten mit angemessenem Datenschutzniveau
- Ergänzende technische und organisatorische Maßnahmen (Verschlüsselung, Pseudonymisierung)
Zahlungsabwicklung
Kostenpflichtige Premium-Dienste werden über Stripe abgewickelt. Der Betreiber erhält lediglich Transaktions-Metadaten (Betrag, Status, Kundennummer). Vollständige Zahlungsdaten (Kreditkartennummer etc.) werden ausschließlich von Stripe verarbeitet und sind dem Betreiber nicht zugänglich. Stripe ist PCI-DSS Level 1 zertifiziert. Weitere Informationen: Stripe Datenschutzerklärung.
E-Mail-Kommunikation
Transaktionale E-Mails (z. B. Bewertungsbenachrichtigungen, Kontobestätigungen) werden über Resend versendet. Marketing-E-Mails werden über Brevo versendet und erfordern eine separate Einwilligung (Double-Opt-in). Jede Marketing-E-Mail enthält einen Abmeldelink. Transaktionale E-Mails können über die E-Mail-Einstellungen im Dashboard deaktiviert werden.
Social Login (OAuth 2.0)
Bei Nutzung der Anmeldung über einen externen Anbieter (Social Login) werden folgende Daten vom jeweiligen Anbieter übermittelt:
- Name und E-Mail-Adresse
- Profilbild-URL
- Anbieter-spezifische Benutzer-ID
Folgende Social-Login-Anbieter werden unterstützt:
- Google (Google Ireland Ltd. / Google LLC) — OAuth 2.0 / Google Sign-In
- LinkedIn (LinkedIn Ireland Unlimited Company / LinkedIn Corporation) — OAuth 2.0
- X (ehemals Twitter) (X Corp.) — OAuth 2.0
Es werden nur die für die Registrierung notwendigen Daten verarbeitet. Der Betreiber erhält keinen Zugriff auf Ihr Passwort beim jeweiligen Anbieter.
Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist:
- Nutzerkonten: bis zur Löschung durch den Nutzer
- Firmeneinträge: Laufzeit der Veröffentlichung (max. 12 Monate, verlängerbar). IP-Adresse und User-Agent bei Erstellung/Beanspruchung werden zusammen mit dem Eintrag gespeichert und bei Kontolöschung gelöscht.
- Bewertungen: bis zur Löschung durch Nutzer oder Moderation
- Vertragsdaten / Rechnungen: 10 Jahre (gesetzliche Aufbewahrungspflicht nach OR, HGB, BAO)
- Consent-Protokolle: 2 Jahre ab Einwilligung
- Log-Daten: max. 90 Tage
- Analyse-/Marketing-Cookies: gemäß Cookie-Richtlinie (max. 2 Jahre)
Löschung von Nutzerkonten und Daten
Nutzer können ihr Konto jederzeit selbstständig über die Kontoeinstellungen löschen. Mit der Löschung werden sämtliche personenbezogenen Daten dauerhaft entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Anfragen zur Datenlöschung können zusätzlich gerichtet werden an:[email protected]
Rechte betroffener Personen
Sie haben folgende Rechte gemäß DSGVO und DSG:
- Auskunftsrecht (Art. 15 DSGVO / Art. 25 DSG): Auskunft über gespeicherte Daten
- Berichtigungsrecht (Art. 16 DSGVO / Art. 32 Abs. 1 DSG): Berichtigung unrichtiger Daten
- Löschungsrecht (Art. 17 DSGVO / Art. 32 Abs. 2 lit. c DSG): Löschung personenbezogener Daten
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung bestimmter Verarbeitungsvorgänge
- Datenübertragbarkeit (Art. 20 DSGVO / Art. 28 DSG): Bereitstellung Ihrer Daten in maschinenlesbarem Format
- Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO / Art. 31 Abs. 3 DSG): Jederzeit möglich, ohne Auswirkung auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung
Zur Ausübung Ihrer Rechte genügt eine Mitteilung an: [email protected]
Beschwerderecht bei Aufsichtsbehörden
Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzureichen:
- Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), www.edoeb.admin.ch
- Deutschland: Zuständige Landesdatenschutzbehörde Ihres Bundeslandes
- Österreich: Österreichische Datenschutzbehörde, www.dsb.gv.at
Datensicherheit — Technische und organisatorische Maßnahmen (TOMs)
Die Plattform setzt umfassende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO und Art. 8 DSG zum Schutz personenbezogener Daten ein:
Verschlüsselung
- In Transit: Sämtliche Datenübertragungen erfolgen ausschließlich über TLS 1.2+ (HTTPS). Unverschlüsselte Verbindungen werden automatisch umgeleitet.
- At Rest: Daten in der Datenbank (Supabase / PostgreSQL) werden mit AES-256-Verschlüsselung gespeichert. Dateien im Cloud-Speicher (Supabase Storage) sind ebenfalls verschlüsselt.
Zugriffskontrolle
- Row-Level Security (RLS): Jede Datenbanktabelle ist mit RLS-Policies geschützt. Nutzer können ausschließlich auf ihre eigenen Daten zugreifen.
- Authentifizierung: OAuth 2.0 über verifizierte Drittanbieter (Google, LinkedIn, X). Keine Passwortspeicherung durch den Betreiber.
- API-Zugriffskontrolle: Serverseitige Authentifizierungsprüfungen für alle schreibenden API-Endpunkte. Administrative Funktionen sind zusätzlich durch Rollenprüfung geschützt.
Netzwerksicherheit
- DDoS-Schutz und WAF: Cloudflare Web Application Firewall mit verwalteten Regelwerken
- Bot-Erkennung: Cloudflare Turnstile zum Schutz öffentlicher Formulare
- Rate Limiting: Begrenzung der Anfragerate auf API-Endpunkte
Datensicherung (Backup)
- Automatische tägliche Datenbanksicherungen durch Supabase (Point-in-Time Recovery)
- Aufbewahrung der Sicherungen gemäß dem jeweiligen Supabase-Planmodell
Trennung der Umgebungen
- Strikte Trennung zwischen Entwicklungs- (dev) und Produktionsumgebung (prod) mit jeweils eigenen Datenbank-Instanzen und API-Schlüsseln
Datenminimierung
- Es werden nur die für den jeweiligen Zweck erforderlichen Daten erhoben und verarbeitet
- Keine Speicherung vollständiger Zahlungsdaten (Kreditkartennummern werden ausschließlich von Stripe verarbeitet)
- Log-Daten werden nach maximal 90 Tagen gelöscht
Datenpanne (Art. 33 und Art. 34 DSGVO)
Im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) gilt folgendes Verfahren:
- Erkennung: Der Betreiber überwacht die Plattform auf Sicherheitsvorfälle und prüft Hinweise auf unbefugten Zugriff.
- Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Bei einer Datenpanne, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, erfolgt eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie gegebenenfalls an die zuständige EU-Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden.
- Benachrichtigung betroffener Personen (Art. 34 DSGVO): Wenn die Datenpanne voraussichtlich ein hohes Risiko für die betroffenen Personen darstellt, werden diese unverzüglich per E-Mail benachrichtigt.
- Dokumentation: Alle Datenpannen werden dokumentiert, einschließlich Art des Vorfalls, betroffene Daten, ergriffene Maßnahmen und Zeitverlauf.
Verantwortlich für das Incident-Response-Verfahren ist der Betreiber persönlich (Krasen Markov). Sicherheitsvorfälle können gemeldet werden an: [email protected]
Pflicht zur Bereitstellung von Daten
Die Bereitstellung personenbezogener Daten ist für die Nutzung bestimmter Funktionen der Plattform erforderlich (z. B. Registrierung, Firmeneinträge). Ohne diese Daten können einzelne Dienste nicht genutzt werden. Es besteht keine gesetzliche Pflicht zur Bereitstellung.
Automatisierte Entscheidungsfindung und KI
Die Plattform setzt KI-Systeme (Google Gemini) zur automatisierten Vorprüfung von Bewertungen und Firmeneinträgen ein. Diese Systeme treffen keine abschließenden Entscheidungen über die Entfernung von Inhalten. Bei Unsicherheit des KI-Systems wird der Inhalt zur manuellen Prüfung an das Betreiberteam weitergeleitet. Es findet kein Profiling im Sinne von Art. 22 DSGVO statt, das rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Änderungen der Datenschutzerklärung
Der Betreiber behält sich vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Anforderungen oder technische Entwicklungen anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar.
Stand der Erklärung
Version 3.0 — Gültig ab 22. März 2026.
Gültig für alle Nutzer in der Schweiz, Deutschland, Österreich und der Europäischen Union.