Letzte Aktualisierung: 22.03.2026
Datenschutzerklärung
Ihre Privatsphäre ist uns wichtig. In dieser Datenschutzerklärung erläutern wir, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir sie verarbeiten und welche Rechte Ihnen zustehen. Weitere rechtliche Informationen finden Sie in unserem Impressum, unseren AGB und unserer Cookie-Richtlinie.
Verantwortlicher
FIRMEN.directory
Krasen Markov (natürliche Person, nicht im Handelsregister eingetragen)
Feldweg 8
8574 Lengwil
Schweiz
E-Mail: [email protected]
Der Betreiber hat keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen. Datenschutzanfragen richten Sie bitte an die oben genannte E-Mail-Adresse.
EU-Vertreter (Art. 27 DSGVO)
Die Benennung eines EU-Vertreters gemäß Art. 27 DSGVO ist derzeit nicht erforderlich, da die Voraussetzungen des Art. 27 Abs. 2 DSGVO vorliegen (gelegentliche Datenverarbeitung, keine umfangreiche Verarbeitung besonderer Datenkategorien).
Zentrale Kontaktstelle (Art. 11 und 12 DSA)
Als zentrale Kontaktstelle gemäß Art. 11 und 12 der Verordnung (EU) 2022/2065 (Digital Services Act) erreichen Behörden der EU-Mitgliedstaaten, die Europäische Kommission sowie Nutzerinnen und Nutzer den Betreiber unmittelbar über [email protected] (siehe Impressum). Die Kommunikation ist in deutscher und englischer Sprache möglich.
Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung der Plattform firmen.directory sowie aller zugehörigen Subdomains, insbesondere:
- ch.firmen.directory
- de.firmen.directory
- at.firmen.directory
- api.firmen.directory
- blogs.firmen.directory
- presse.firmen.directory
- stellen.firmen.directory
Allgemeine Hinweise zur Datenverarbeitung
Der Schutz personenbezogener Daten hat höchste Priorität. Personenbezogene Daten werden ausschließlich im Rahmen der gesetzlichen Vorschriften verarbeitet, insbesondere:
- Schweizerisches Datenschutzgesetz (DSG, revidierte Fassung in Kraft seit 1. September 2023)
- Datenschutz-Grundverordnung der EU (DSGVO / GDPR)
- Bundesdatenschutzgesetz Deutschland (BDSG)
- Telekommunikation-Telemedien-Datenschutz-Gesetz Deutschland (TTDSG)
- Datenschutzgesetz Österreich (DSG Österreich)
- Telekommunikationsgesetz 2021 Österreich (TKG 2021)
Die Nutzung der Plattform ist grundsätzlich ohne Bereitstellung sensibler personenbezogener Daten möglich. Daten werden nur verarbeitet, soweit dies zur Bereitstellung der Plattform, zur Vertragserfüllung, aufgrund berechtigter Interessen oder aufgrund einer Einwilligung erforderlich ist.
Kategorien verarbeiteter personenbezogener Daten
Bei Registrierung und Nutzerkonto
- Vor- und Nachname
- E-Mail-Adresse
- Profilbild (hochgeladen oder über Social-Login-Anbieter übermittelt)
Bei Nutzung der Plattform
- IP-Adresse
- Zeitpunkt des Zugriffs
- technische Nutzungsdaten (Browser, Betriebssystem, Bildschirmauflösung)
- aufgerufene Seiten (Referrer-URL)
- Log-Daten zur Systemsicherheit
- ungefährer Standort (auf rund 100 Meter vergröbert) — nur nach Klick auf „In meiner Nähe“ und mit Browser-Einwilligung; flüchtige Verarbeitung, keine Speicherung (siehe Abschnitt „Standortbestimmung“)
Bei Firmeneinträgen (Erstellung und Beanspruchung)
- Firmenname, Adresse, Telefonnummer, E-Mail-Adresse
- Öffnungszeiten, Beschreibung, Kategorien
- hochgeladene Bilder und Logos
- vom Nutzer bereitgestellte weitere Inhalte
- IP-Adresse und User-Agent zum Zeitpunkt der Erstellung/Beanspruchung (zur Betrugsprävention)
- Datum und Uhrzeit der Erstellung/Beanspruchung
Bei Bewertungen
- Bewertungstext und -titel
- Sternebewertung
- hochgeladene Bilder
- zugehöriges Nutzerprofil (Anzeigename, Profilbild)
Bei kostenpflichtigen Diensten
- Abonnementstatus und Laufzeit
- Transaktionsinformationen (Rechnungsdaten, ohne vollständige Zahlungsdaten)
- Bei KI-Token-Käufen: gekauftes Paket, Anzahl der gutgeschriebenen Tokens, Datum
- Bei KI-Token-Käufen: Nachweis der Zustimmung zur sofortigen Vertragsausführung (Zeitpunkt, IP-Adresse, User-Agent) gemäß § 356 Abs. 5 BGB / Art. 16 lit. m Richtlinie 2011/83/EU
- Bei Käufen von Beobachtungs-Slots (Konzern-Beobachtung): gekauftes Paket, Anzahl der freigeschalteten Slots, Betrag und Währung, Datum
- Bei Käufen von Beobachtungs-Slots: Nachweis der Zustimmung zur sofortigen Vertragsausführung (Zeitpunkt, IP-Adresse, User-Agent) gemäß § 356 Abs. 5 BGB / Art. 16 lit. m Richtlinie 2011/83/EU
- Beim Geschäftspartner-Check (Firmen-Steckbrief): gekauftes Paket, Anzahl der gutgeschriebenen Berichts-Guthaben, Betrag und Währung, Datum sowie ein Protokoll der erstellten Berichte (abgefragte UID/Firmenname, Zeitpunkt). Der Bericht selbst enthält ausschliesslich öffentliche Handelsregister-Fakten (Quelle: Zefix und BFS UID-Register) und ist keine Bonitäts- oder Kreditauskunft.
- Beim Geschäftspartner-Check: Nachweis der Zustimmung zur sofortigen Vertragsausführung (Zeitpunkt, IP-Adresse, User-Agent) gemäß § 356 Abs. 5 BGB / Art. 16 lit. m Richtlinie 2011/83/EU
- Bei Werbekampagnen: Zielseite (Stadt, Kanton, Kategorie, Unterkategorie), gewählter Werbeplatz (1, 2, 3), gebuchte und gelieferte Impressionen, gemessene Klicks (CTR), Zahlungsbetrag und Währung, Status (aktiv/abgeschlossen/pausiert/rückerstattet)
- Bei Werbekampagnen: aggregierte Tagesstatistik (Impressionen und Klicks pro Tag und Kampagne) zur Darstellung im Werbe-Dashboard. Es werden keine Endnutzer-bezogenen Daten mit einzelnen Impressions verknüpft.
- Bei bezahlten Firmen-Einträgen (Premium/Elite): aggregierte Tagesstatistik der Reichweite (Impressionen und Klicks der Eintrags-Karten je Seitentyp), der Profilaufrufe sowie der Kontaktaufnahmen (Klicks auf Telefon, Website, WhatsApp, E-Mail) zur Anzeige im Statistik-Dashboard des jeweiligen Eintrags. Die Erfassung erfolgt nur mit Marketing-Einwilligung; es werden keine Endnutzer-bezogenen Daten mit einzelnen Aufrufen oder Klicks verknüpft.
- Bei Kategorie- und Stadt-Übersichtsseiten: eine rein anonyme, aggregierte Zählung der Seitenaufrufe pro Tag, um Inserenten und an Premium/Elite Interessierten die Reichweite einer Seite anzuzeigen (z. B. „1 000+ Aufrufe in den letzten 30 Tagen“). Diese Zählung erfordert keine Einwilligung, da dabei keine Cookies oder sonstigen Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden (§ 25 TTDSG/TDDDG) und kein personenbezogenes Merkmal gespeichert wird (kein Nutzerkennzeichen, keine dauerhafte IP-Speicherung — die IP wird nur kurzfristig zur Ratenbegrenzung verarbeitet). Es wird ausschließlich ein Seiten-Zähler erhöht; gezählt werden Seitenaufrufe, nicht einzelne Besucher.
- Bei Werbekampagnen: Nachweis der Zustimmung zur sofortigen Vertragsausführung (Zeitpunkt, IP-Adresse, User-Agent) gemäß § 356 Abs. 5 BGB / Art. 16 lit. m Richtlinie 2011/83/EU
- Beim Aufruf von Seiten mit Werbeplätzen wird die IP-Adresse des Besuchers (cf-connecting-ip) kurzfristig für eine Ratenbegrenzung der Impression-Beacons (Schutz vor automatisiertem Missbrauch) verarbeitet; es erfolgt keine dauerhafte Speicherung der IP und keine Verknüpfung mit dem Nutzerprofil. Werden Vorgänge ins Server-Log geschrieben, wird die IP zuvor zu einem nicht umkehrbaren Hash gekürzt (SHA-256, 12 Zeichen).
- Die Häufigkeitsbegrenzung für Werbe-Impressionen wird client-seitig im Local Storage des Browsers gezählt (Schlüssel
ad_freq:<listingId>). Beim Laden von Werbeplätzen werden die Listing-IDs der auf diesem Gerät bereits saturierten Einträge an/api/ads/selectübermittelt, damit bei erreichter Obergrenze eine andere passende Kampagne in den Slot rotiert. Dies geschieht ausschließlich nach Einwilligung in die Kategorie „Marketing/Werbung“; es werden dabei keine Tracking- oder Profildaten übertragen, sondern nur die betroffenen Listing-IDs (vgl. Cookie- und Tracking-Richtlinie). - Buchhaltungsrelevante Daten (Rechnungen, Zahlungsbelege) werden gemäß § 14b UStG / Art. 70 MWSTG für 10 Jahre aufbewahrt
Bei Cookie-Einwilligung
- Zeitstempel, IP-Adresse, User-Agent
- gewählte Cookie-Kategorien
- Version des Consent-Banners
- kryptografischer Hash zur Nachweissicherung
Zwecke der Verarbeitung
- Bereitstellung und Betrieb der Plattform
- Verwaltung von Nutzerkonten
- Veröffentlichung und Verwaltung von Firmeneinträgen
- Bewertungsfunktion und Inhaber-Antworten
- Missbrauchsprävention, Sicherheit und Betrugserkennung
- KI-gestützte Inhaltsprüfung (Bewertungen und Firmeneinträge)
- Volltextsuche über die Plattform
- Vertragserfüllung bei kostenpflichtigen Abonnements (Premium und Elite)
- Kommunikation mit Nutzern (transaktionale E-Mails, Benachrichtigungen)
- Analyse und Verbesserung der Plattform (nur mit Einwilligung)
- Werbemessung und Conversion-Tracking (nur mit Einwilligung)
- Nachweis der Cookie-Einwilligung (rechtliche Verpflichtung)
Rechtsgrundlagen der Verarbeitung
Für EU-/EWR-Nutzer (DSGVO)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Analyse-Cookies (Google Analytics) sowie Werbe-Cookies für personalisierte Werbung (Google AdSense). Die Einwilligung kann jederzeit über die Cookie-Einstellungen im Footer widerrufen werden.
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Registrierung, Nutzerkonto, Firmeneinträge, kostenpflichtige Abonnements (Premium und Elite), Zahlungsabwicklung.
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung von Rechnungs- und Transaktionsdaten, Nachweis der Cookie-Einwilligung.
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Technisch notwendige Cookies, Sicherheitsmaßnahmen, Log-Daten, Missbrauchsprävention, Plattformstabilität, KI-gestützte Inhaltsprüfung zur Qualitätssicherung.
Für deutsche Nutzer (TTDSG)
Gemäß § 25 TTDSG ist der Zugriff auf Informationen im Endgerät des Nutzers (Cookies, Local Storage) nur mit Einwilligung zulässig, es sei denn, der Zugriff ist für die Bereitstellung des Dienstes unbedingt erforderlich. Analyse- und Marketing-Cookies werden daher erst nach Einwilligung gesetzt.
Für österreichische Nutzer (TKG 2021)
Gemäß § 165 TKG 2021 ist die Speicherung von Informationen auf dem Endgerät ebenfalls einwilligungspflichtig, sofern sie nicht technisch notwendig ist. Es gelten die gleichen Grundsätze wie unter TTDSG.
Für Schweizer Nutzer (DSG)
Die Verarbeitung erfolgt nach den Bestimmungen des revidierten Schweizer Datenschutzgesetzes (DSG, in Kraft seit 1. September 2023). Personenbezogene Daten werden zur Vertragserfüllung sowie aufgrund überwiegender berechtigter Interessen verarbeitet. Für Analyse- und Marketing-Zwecke wird eine Einwilligung eingeholt (Art. 31 Abs. 1 DSG).
Cookies und Tracking
Detaillierte Informationen zu den eingesetzten Cookies, ihren Zwecken, Speicherdauern und Anbietern finden Sie in unserer Cookie-Richtlinie.
Zusammenfassung: Tracking- und Werbe-Skripte (Google Analytics, Google AdSense) werden nichtgeladen, bis Sie über das Cookie-Consent-Banner aktiv einwilligen. Ihre Einwilligung können Sie jederzeit über „Cookie-Einstellungen" im Footer widerrufen.
Für personalisierte Werbung setzen wir Google AdSense (Google LLC) ein. Die entsprechenden Werbe-Cookies werden ausschließlich nach Ihrer Einwilligung gesetzt; die Auslieferung der Anzeigen ist derzeit in Vorbereitung. Die Personalisierung von Google-Werbung können Sie zusätzlich jederzeit unabhängig über die Google-Werbeeinstellungen deaktivieren. Weitere Informationen finden Sie in der Datenschutzerklärung von Google.
Wie wir die Nutzung der Plattform auswerten — und wie Sie Google Analytics zusätzlich für Ihren Browser abschalten können (auch bei erteilter Einwilligung) — erläutern wir auf der Seite Wie wir Daten analysieren.
Auftragsverarbeiter und Drittanbieter
Zur Bereitstellung der Plattform werden folgende Drittanbieter als Auftragsverarbeiter eingesetzt:
| Dienst | Anbieter | Zweck | Serverstandort | Garantien |
|---|---|---|---|---|
| Datenbank und Auth | Supabase Inc. | Datenspeicherung, Authentifizierung, Dateispeicher | EU (Frankfurt) | AVV, SCCs |
| Server-Infrastruktur | Google Cloud (Google LLC) | Application Hosting (Cloud Run) | EU (Belgien, europe-west1) | AVV, SCCs |
| CDN und Sicherheit | Cloudflare Inc. | DDoS-Schutz, WAF, DNS, Turnstile | Global (Edge-Netzwerk) | AVV, SCCs, EU-US DPF |
| Zahlungsabwicklung | Stripe, LLC | Abonnements und Zahlungen | EU / USA | AVV, SCCs, EU-US DPF, PCI-DSS |
| Transaktionale E-Mails | Resend Inc. | E-Mail-Versand (Bestätigungen, Benachrichtigungen) | USA | AVV, SCCs |
| Marketing-E-Mails | Brevo (Sendinblue) | Newsletter und Marketing-Kommunikation | EU (Deutschland/Frankreich) | AVV |
| Push-Benachrichtigungen | Browser-/Geräte-Push-Dienste (z. B. Google, Mozilla, Apple) | Zustellung von Push-Benachrichtigungen an Ihr Gerät | USA / EU (je nach Anbieter) | Einwilligung |
| Webanalyse | Google LLC | Nutzungsstatistiken (nur mit Einwilligung) | USA | SCCs, EU-US DPF |
| Werbeserver / personalisierte Werbung | Google LLC (Google AdSense) | Ausspielung und Messung von Werbeanzeigen in den Werbeplätzen (nur mit Einwilligung; Auslieferung derzeit in Vorbereitung) | USA | SCCs, EU-US DPF |
| Kartendarstellung | Google LLC | Unternehmensstandorte auf Karte | USA | SCCs, EU-US DPF |
| KI-Inhaltsprüfung | Google LLC (Gemini API) | Automatisierte Vorprüfung von Bewertungen und Firmeneinträgen | USA | AVV, SCCs, EU-US DPF |
| Textgenerierung | OpenAI, L.L.C. (über OpenAI Ireland Ltd.) | Generierung redaktioneller Texte und Beschreibungen | USA | AVV, SCCs (kein DPF) |
| KI-Logo-Generierung | Google LLC (Gemini Image) | Erstellung von Logo-Entwürfen aus Firmenname und Gestaltungsangaben (nur auf ausdrückliche Anforderung) | USA | AVV, SCCs, EU-US DPF |
| Hintergrund-Entfernung (Logo) | Kaleido AI GmbH (remove.bg) | Freistellen des Logos (transparenter Hintergrund) — nur auf ausdrückliche Anforderung | EU (Österreich) | AVV |
| Volltextsuche | Meilisearch (Meili SAS) | Suchfunktion für Firmeneinträge | EU (Frankfurt) | AVV |
| Geocoding | HERE Global B.V. | Adresssuche und Geokodierung von Unternehmensstandorten | EU | AVV, SCCs |
| SMS-Versand | GatewayAPI (OnlineCity ApS) | SMS-Verifizierung von Telefonnummern (OTP) | EU (Dänemark) | AVV |
| Fehler- und Performance-Monitoring | Sentry (Functional Software, Inc.) | Erfassung technischer Fehlerberichte zur Stabilität der Plattform; es werden keine Endnutzer-PII (IP-Adresse, Header, Cookies) übermittelt | EU (Deutschland) | AVV, SCCs |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA) gemäß Art. 28 DSGVO.
Auf einzelnen Seiten (z. B. Städteseiten mit Wetteranzeige) werden Wetter-Icons direkt von OpenWeather (OpenWeather Ltd., Vereinigtes Königreich) geladen. Dabei wird die IP-Adresse des Besuchers technisch bedingt an OpenWeather übermittelt; weitere personenbezogene Daten werden nicht gesendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung aktueller Wetterinformationen). Für das Vereinigte Königreich liegt ein Angemessenheitsbeschluss der EU-Kommission vor.
Einsatz von Künstlicher Intelligenz (KI)
Die Plattform setzt KI-Dienste für folgende Zwecke ein:
Welche Daten dabei an die jeweiligen Anbieter übermittelt werden, ist nach Dienst unterschiedlich:
- OpenAI API (Generierung redaktioneller Texte: Pressemitteilungen, Blogartikel, Beschreibungen): Übermittelt werden die für die Texterstellung erforderlichen Eintragsdaten — Firmenname, Branche, Stadt, Firmenbeschreibung sowie die vom Nutzer eingegebenen Inhalte. Kontaktdaten (Kontaktperson, E-Mail, Telefon) werden NICHT an OpenAI übermittelt — der Medienkontakt wird ausschließlich serverseitig aus unserer Datenbank ergänzt. Bei Einzelunternehmen kann der Firmenname selbst ein personenbezogenes Datum sein. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO; Übermittlung in die USA auf Basis von Standardvertragsklauseln (SCCs; OpenAI ist nicht DPF-zertifiziert). Gemäß den OpenAI API-Nutzungsbedingungen werden die Daten nicht für das Training von KI-Modellen verwendet.
- Google Gemini API (automatisierte Vorprüfung von Bewertungen und Firmeneinträgen, KI-gestützte Inhaltserstellung mit KI-Tokens einschließlich des KI-Logo-Generators, Aufbereitung öffentlicher Handelsregister-Beschreibungen): Übermittelt werden je nach Funktion der Bewertungstext samt Anzeigename des Verfassers (für KI-Antwortvorschläge; der Anzeigename ist bereits öffentlich), Eintragsdaten (Moderation), öffentlich zugängliche Zefix-Registerdaten (Kategorisierung) sowie für den KI-Logo-Generator Firmenname, Branche/Kategorie und die Gestaltungsangaben des Nutzers (Stil, Farbe, Logo-Typ, Freitext-Wünsche). Nicht übernommene Logo-Entwürfe werden 30 Tage im Nutzerkonto vorgehalten und danach automatisch gelöscht. Bei Unsicherheit erfolgt eine manuelle Prüfung. Zu automatisierten Entscheidungen und Ihren diesbezüglichen Rechten siehe den gesonderten Abschnitt „Automatisierte Entscheidungen". Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO; AVV, SCCs und EU-US DPF. Gemäß den Google API-Nutzungsbedingungen (Paid Plan) werden die Inhalte nicht für das Training von KI-Modellen verwendet.
Öffentlich sichtbare, KI-erzeugte Inhalte werden gekennzeichnet. Eine vollständige Übersicht der eingesetzten KI-Systeme, ihrer Zwecke und der Kennzeichnung finden Sie in unseren KI-Transparenzhinweisen (Art. 50 KI-Verordnung (EU) 2024/1689).
Automatisierte Entscheidungen (Art. 22 DSGVO / Art. 21 revDSG)
Zur Qualitätssicherung setzen wir teilautomatisierte Verfahren ein: Firmeneinträge und Bewertungen werden vor Veröffentlichung KI-gestützt vorgeprüft (Google Gemini). Eindeutige Spam-Merkmale in Bewertungen (z. B. eingebettete Links oder Telefonnummern) können automatisiert zur Nichtveröffentlichung führen; im Übrigen entscheidet die Vorprüfung über eine sofortige Freigabe oder leitet den Beitrag zur manuellen Prüfung an das Betreiberteam weiter. Über die Entfernung bereits veröffentlichter Inhalte sowie über Kontosperrungen entscheidet stets das Betreiberteam (Mensch).
Soweit eine Entscheidung ausnahmsweise ausschließlich auf einer automatisierten Verarbeitung beruht, haben Sie das Recht auf Eingreifen einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung (Art. 22 Abs. 3 DSGVO, Art. 21 revDSG). Wenden Sie sich hierfür an [email protected] oder nutzen Sie das Beschwerdeverfahren nach Art. 20 DSA (Rechtsverletzung melden, Frist sechs Monate). Die erneute Prüfung erfolgt durch das Betreiberteam.
Verantwortlichkeit für nutzergenerierte Inhalte
FIRMEN.directory ist ein Hosting-Dienst, auf dem Nutzer Inhalte einstellen, die personenbezogene Daten Dritter enthalten können (insbesondere Bewertungen, Firmeneinträge mit Namen von Einzelunternehmern, Inhaberantworten, Bewerbungen auf Stellenanzeigen, von Unternehmen veröffentlichte Mitarbeiterprofile im Bereich „Team & Qualifikationen" sowie Portfolio-Projektbilder). Nach der Rechtsprechung des Europäischen Gerichtshofs (Urteil vom 2. Dezember 2025, Rs. C-492/23 „Russmedia") kann sich der Betreiber für die mit der Veröffentlichung verbundene Verarbeitung nicht allein auf das Hosting-Privileg berufen. Der Betreiber ist daher für die Verarbeitung, die in der Speicherung und Veröffentlichung dieser Inhalte liegt, datenschutzrechtlich mitverantwortlich.
Zur Wahrung der Rechte betroffener Personen ergreift der Betreiber insbesondere folgende Maßnahmen:
- Verifizierung der Einsteller: Bewertungen können ausschließlich von registrierten Nutzern mit bestätigter E-Mail-Adresse abgegeben werden. Eine Abgabe ohne vorherige E-Mail-Verifizierung ist technisch nicht möglich.
- Pflichten der Einsteller: Nutzer sichern bei der Einstellung zu, dass sie über die erforderlichen Rechte verfügen und keine Rechte Dritter verletzen (vgl. AGB und Nutzungsrichtlinie).
- Mitarbeiterdaten (Team & Qualifikationen): Bevor ein Unternehmen Mitarbeiterprofile veröffentlichen kann, muss es einmalig bestätigen, dass es zur Veröffentlichung der personenbezogenen Daten berechtigt ist und die betroffenen Personen informiert wurden. Es werden nur die zur Vorstellung erforderlichen Daten verarbeitet (Name, Funktion, Berufserfahrung, optional ein Foto) — keine Kontaktdaten der Mitarbeitenden. Aus hochgeladenen Bildern (Team- und Portfoliofotos) werden Metadaten wie GPS-Koordinaten serverseitig entfernt.
- Moderation: KI-gestützte Vorprüfung und manuelle Nachprüfung gemäß Inhaltsmoderation.
- Meldewege: Betroffene und Dritte können rechtswidrige Inhalte jederzeit über Rechtsverletzung melden beanstanden (Art. 16 DSA).
- Schutz vor automatisiertem Auslesen: Ratenbegrenzung, Bot-Erkennung (Cloudflare) und technische Maßnahmen erschweren das massenhafte Auslesen (Scraping) personenbezogener Daten.
- Betroffenenrechte: Auskunft, Berichtigung und Löschung können jederzeit unter [email protected] geltend gemacht werden; verfasste Bewertungen werden bei Kontolöschung anonymisiert.
Angebotsanfragen („Angebot anfordern")
Über die Funktion „Angebot anfordern" auf einem Firmenprofil können angemeldete Nutzer eine Anfrage an das jeweilige Unternehmen senden. Das Senden setzt ein kostenloses Nutzerkonto voraus (Schutz der Unternehmen vor Spam); die Anfrage wird dabei mit Ihrem Konto verknüpft. Dabei werden Name (optional), E-Mail-Adresse und der Anfragetext erhoben und an das im Profil genannte Unternehmen weitergeleitet, damit dieses antworten kann. Eine Kopie zur Bestätigung senden wir an Ihre E-Mail-Adresse. Bei einer Terminanfrage (nur bei Premium-/Elite-Profilen) werden zusätzlich die gewünschte Leistung und bis zu drei Wunschtermine erhoben; bestätigt das Unternehmen einen Termin, senden wir Ihnen eine Bestätigung mit Kalenderdatei (.ics) und ggf. eine Erinnerung. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie unser berechtigtes Interesse an der Vermittlung der Anfrage und an der Missbrauchsabwehr (Art. 6 Abs. 1 lit. f DSGVO). Zur Abwehr von Missbrauch (Spam) speichern wir zusätzlich Ihre IP-Adresse und den verwendeten Browser (User-Agent). Hinsichtlich der weiteren Verwendung dieser Daten ist das angefragte Unternehmen eigenständig Verantwortlicher(vgl. EuGH C-492/23 „Russmedia"); es darf die Daten ausschließlich zur Beantwortung Ihrer Anfrage und nicht für unaufgeforderte Werbung verwenden (§ 7 UWG). Ihre gesendeten Anfragen können Sie in Ihrem Konto unter „Gesendete Anfragen" einsehen; sie sind auch Teil Ihres Datenexports (Art. 20 DSGVO). Löschen Sie Ihr Konto, anonymisieren wir Ihre in der Anfrage enthaltenen Kontaktdaten; die Anfrage selbst verbleibt als Geschäftsunterlage beim angefragten Unternehmen, das insoweit eigenständig verantwortlich ist. Auskunft, Berichtigung und Löschung können Sie unter [email protected]geltend machen.
Pflichten-Cockpit (Schweizer Fristen)
Für Schweizer Premium-/Elite-Einträge zeigen wir im Dashboard eine informative Übersicht wiederkehrender geschäftlicher Pflichten, abgeleitet aus der im Handelsregister hinterlegten Rechtsform und dem MWST-Status (bzw. Ihrer freiwilligen Selbstangabe). Wir speichern dazu, welche Punkte Sie als erledigt markiert haben, ob Sie E-Mail-Erinnerungen aktiviert haben und ggf. Ihre MWST-Selbstangabe — ausschliesslich zur Anzeige und zum Versand der von Ihnen aktivierten Erinnerungen. Es handelt sich um eine unverbindliche Information, keine Rechts- oder Steuerberatung. Diese Daten werden mit dem Eintrag bzw. Konto gelöscht.
Von Agenturen eingegebene Kundendaten (Auftragsverarbeitung)
Nutzer mit der Rolle „Agentur" können Kontaktdaten ihrer eigenen Kunden (Firmenname, Ansprechpartner, E-Mail, Telefon, Website, Ort) eingeben, um daraus Pressemitteilungen erstellen zu lassen. In diesem Fall ist die Agentur Verantwortliche im Sinne der DSGVO und FIRMEN.directory handelt als Auftragsverarbeiter. Grundlage ist der Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO, den die Agentur vor der Eingabe von Kundendaten einmalig akzeptiert; zusätzlich bestätigt die Agentur bei jeder Kundenanlage, dass eine Rechtsgrundlage für die Verarbeitung vorliegt. Diese Kundendaten werden ausschließlich zur Vertragserfüllung verwendet und — soweit für die Texterstellung erforderlich — an unsere Unterauftragsverarbeiter weitergegeben; Kontaktdaten der Kunden werden dabei nicht an OpenAI übermittelt. Bei Löschung des Agentur-Kontos werden die Kundenstammdaten gelöscht; bereits veröffentlichte Pressemitteilungen bleiben bestehen, werden jedoch von der Kundenzuordnung entkoppelt.
Bewertungseinladungen an eigene Kunden
Unternehmen können ihre eigenen Kunden einladen, eine Bewertung abzugeben. Die E-Mail-Adressen der Kunden werden dabei ausschließlich im Browser des Unternehmens verarbeitet und nicht an uns übermittelt oder von uns gespeichert. Das Unternehmen versendet die Einladungen selbst über sein eigenes E-Mail-Programm; wir erzeugen lediglich anonyme Tracking-Links. Gespeichert werden nur ein nicht zuordenbarer Token, eine optionale interne Notiz des Unternehmens sowie der Status (eingeladen, Link geöffnet, Bewertung abgegeben). Da wir die Kontaktdaten der Kunden weder erhalten noch versenden, liegt insoweit keine Auftragsverarbeitung vor. Das einladende Unternehmen ist für die Rechtsgrundlage der Ansprache (§ 7 UWG, bestehende Geschäftsbeziehung) verantwortlich und bestätigt dies vor der Nutzung. Für die Erfolgsmessung (Link geöffnet bzw. Bewertung abgegeben) setzen wir keine Cookies und greifen nicht auf Informationen in Ihrem Endgerät zu (§ 25 TTDSG ist insoweit nicht einschlägig); der Tracking-Link enthält lediglich eine zufällige Kennung, die wir auf Grundlage unseres berechtigten Interesses an einer First-Party-Erfolgsmessung verarbeiten (Art. 6 Abs. 1 lit. f DSGVO). Diesem Tracking können Sie jederzeit unter [email protected] widersprechen (Art. 21 DSGVO). Eingeladene Bewertungen durchlaufen dieselbe Prüfung wie alle anderen Bewertungen.
Rechnungsdaten (QR-Rechnungs-Generator, Auftragsverarbeitung)
Schweizer Unternehmen mit Premium- oder Elite-Abo können mit dem QR-Rechnungs-Generator Schweizer QR-Rechnungen für ihre eigenen Kunden erstellen. Dabei speichern wir die eigenen Rechnungsdaten des Unternehmens (IBAN, Absendername und -anschrift, optionale MwSt-Nr.) sowie die je Rechnung erfassten Empfängerdaten (Name und Anschrift des Kunden — optional als wiederverwendbarer Kundenkontakt gespeichert) und die Rechnungspositionen. Hinsichtlich der Empfängerdaten ist das Unternehmen Verantwortlicher und FIRMEN.directory Auftragsverarbeiter nach Art. 9 revDSG (Schweiz) bzw. Art. 28 DSGVO; Grundlage ist der Auftragsverarbeitungsvertrag (AVV), den das Unternehmen vor der ersten Rechnungserstellung einmalig akzeptiert. Diese Daten werden nicht an OpenAI übermittelt. Bei Löschung des Kontos werden Rechnungsdaten und erstellte Rechnungen vollständig gelöscht; die gesetzliche Aufbewahrung obliegt dem rechnungsstellenden Unternehmen selbst.
Mit dem Offerten-/Angebots-Generator können Premium- und Elite-Unternehmen in der Schweiz, Deutschland und Österreich branded Angebote (Offerten) als PDF erstellen. Dabei werden dieselbenEmpfängerdaten (Name und Anschrift) sowie die Positionen verarbeitet wie bei der Rechnungserstellung; es gilt derselbe Auftragsverarbeitungsvertrag (AVV). Offerten sind keine Buchhaltungsunterlagen und werden bei Löschung des Kontos vollständig entfernt.
Mit dem E-Rechnungs-Viewer können Sie eine XRechnung (XML) hochladen, um sie lesbar darzustellen. Die Datei wird ausschließlich im Arbeitsspeicher verarbeitet und nicht gespeichert; sie wird nicht an Dritte (z. B. OpenAI) übermittelt. Der Readiness-Check läuft vollständig in Ihrem Browser.
Datenquellen
Neben nutzergenerierten Inhalten bezieht die Plattform Firmendaten aus folgenden öffentlichen Quellen:
- Zefix (Zentraler Firmenindex): Öffentlich zugängliche Registerdaten des Eidgenössischen Amts für das Handelsregister (EHRA) zu in der Schweiz registrierten Unternehmen (Firmenname, Rechtsform, Sitz, UID, Handelsregister-Nr., Handelsregisteramt, Zweck, Kapital, Revisionsstelle, Zweigniederlassungen/Hauptsitz, frühere Firmennamen).
- SHAB-Publikationshistorie (via Zefix): Datum und Art der amtlichen Handelsregister-Publikationen im Schweizerischen Handelsamtsblatt. Wir verlinken dabei auf das amtliche PDF auf shab.ch; der personenbezogene Meldungstext (z. B. Namen von Organen) wird nicht auf unserer Plattform wiedergegeben. Aus den täglichen Publikationsdaten (Datum, Kanton, Publikationsart, Rechtsform) erstellen wir zudem anonyme Monatsstatistiken (Handelsregister-Monitor), die ausschliesslich Summen je Monat, Kanton und Publikationsart zeigen — keine Listen einzelner Unternehmen. Die zugrunde liegenden Publikations-Zähldaten speichern wir höchstens 25 Monate.
- UID-Register / ESTV (MWST-Status): Öffentlich zugänglicher Status im UID-Register (aktiv/gelöscht) sowie die Mehrwertsteuer-Registrierung, abgerufen über den öffentlichen UID-Register-Webservice des Bundesamts für Statistik (BFS) bzw. der Eidgenössischen Steuerverwaltung (ESTV). Wir zeigen ausschließlich faktische, positiv bestätigte Registerangaben (z. B. „MWST-registriert“) mit Quellenangabe und Stand-Datum; ein nicht vorhandener MWST-Eintrag wird nie als Negativmerkmal dargestellt.
- VIES / MIAS (EU-Kommission, USt-IdNr.-Prüfung): Für Einträge in Deutschland und Österreich kann der Eintragsinhaber seine Umsatzsteuer-Identifikationsnummer (USt-IdNr.) über das offizielle EU-System VIES (MwSt-Informationsaustauschsystem) prüfen lassen. Wir speichern die eingegebene USt-IdNr. sowie das Prüfergebnis und zeigen ausschließlich ein positiv bestätigtes Abzeichen („USt-IdNr. bestätigt“) mit Stand-Datum; ein negatives Ergebnis wird nicht öffentlich dargestellt. VIES ist eine öffentliche Datenquelle der Europäischen Kommission, kein Auftragsverarbeiter.
- BFS-Statistikdaten (STATPOP, STATENT, UDEMO, Arbeitsmarktdaten SECO): Für Statistik-, Kantons- und Stadtseiten verwenden wir öffentliche Kennzahlen des Bundesamts für Statistik (BFS) von opendata.swiss bzw. STAT-TAB (freie Nutzung mit Quellenangabe): Einwohnerzahlen (STATPOP), Arbeitsstätten und Beschäftigte (STATENT), Unternehmensgründungen (UDEMO) sowie die Arbeitslosenquote als Jahresdurchschnitt je Kanton (Daten des SECO, publiziert als BFS-Tabelle). Es handelt sich um aggregierte Werte ohne Personenbezug, jeweils mit Quellen- und Jahresangabe dargestellt; BFS und SECO sind öffentliche Datenquellen, keine Auftragsverarbeiter.
Die öffentliche Zugänglichkeit dieser Registerdaten bedeutet nicht, dass sie für jeden Zweck frei verwendbar wären. Wir verarbeiten Zefix-, UID-Register- und ESTV-Daten ausschließlich zweckgebunden für den Betrieb eines Unternehmensverzeichnisses (Auffindbarkeit von Unternehmen) auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 31 Abs. 1 lit. d revDSG) und nach den Grundsätzen der Verhältnismäßigkeit und Transparenz. Bei Einzelunternehmen kann der Firmenname ein personenbezogenes Datum sein; die bloße öffentliche Verfügbarkeit begründet keine unbegrenzte Weiterverwendung (vgl. BVGer A-2941/2024).
Die Zuordnung von Registereinträgen zu Branchen bzw. Kategorien erfolgt teilweise automatisiertanhand der veröffentlichten Angaben (z. B. des Gesellschaftszwecks) und kann im Einzelfall von der tatsächlichen Geschäftstätigkeit abweichen; Unternehmen können eine Korrektur jederzeit melden. Einzelne, aus öffentlichen Registern stammende Firmenprofile entfernen wir nicht allein auf Wunsch des Unternehmens; ungenaue Angaben korrigieren wir, und Inhalte entfernen wir bei berechtigtem rechtlichem Grund. Einzelheiten und Ihre Möglichkeiten finden Sie unter Löschanfragen und Datenkorrekturen.
Widerspruchs- und Löschungsrecht: Betroffene Personen — insbesondere Inhaber von Einzelunternehmen — können der Darstellung ihres aus dem Handelsregister übernommenen Eintrags jederzeit widersprechen und dessen Entfernung von der Plattform verlangen. Eine formlose Mitteilung an [email protected] oder über Rechtsverletzung melden genügt. Nutzergenerierte Bewertungen zu solchen Einträgen werden hiervon getrennt nach unseren Bewertungsrichtlinien behandelt.
Firmenbeobachtung („Beobachtung“): Angemeldete Nutzer können einzelne Unternehmen aus dem Handelsregister beobachten. Wir prüfen täglich die neu im SHAB veröffentlichten Publikationen und benachrichtigen die beobachtende Person per E-Mail und im Nutzerkonto, wenn zu einem beobachteten Unternehmen eine neue Publikation erscheint (z. B. Adress-, Kapital- oder Statusänderung). Dazu speichern wir die Zuordnung zwischen Nutzerkonto und beobachteter Firmen-UID sowie ein Protokoll der erkannten Änderungen (Datum und Art der Publikation samt Link zur amtlichen SHAB-Veröffentlichung, ohne den Meldungstext). Rechtsgrundlage sind die Erfüllung des vom Nutzer angeforderten Dienstes und unser berechtigtes Interesse (Art. 6 Abs. 1 lit. b und lit. f DSGVO, Art. 31 revDSG). Es gelten dieselbe Zweckbindung und dasselbe Widerspruchsrecht wie oben; für entfernte oder gesperrte Einträge werden keine Benachrichtigungen erzeugt. Die Beobachtungsdaten werden mit dem Konto gelöscht. Die Anzahl gleichzeitig beobachtbarer Unternehmen richtet sich nach dem gewählten Tarif und optional einmalig erworbenen Beobachtungs-Slots; deren Kaufdaten verarbeiten wir wie oben unter den Vertrags- und Zahlungsdaten beschrieben.
Datenübermittlung in Drittländer
Das Hosting der Anwendung (Google Cloud, Belgien) und die Datenbank (Supabase, Frankfurt) befinden sich innerhalb der EU. Einige weitere Dienstleister verarbeiten Daten in Staaten außerhalb der Schweiz und des EWR, insbesondere in den USA. Die Übermittlung erfolgt auf Grundlage:
- Angemessenheitsbeschluss der Europäischen Kommission (EU-US Data Privacy Framework) für zertifizierte US-Unternehmen
- Standardvertragsklauseln (SCCs) der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO
- Anerkennung durch den Eidgenössischen Datenschutzbeauftragten (EDÖB) gemäß Art. 16 Abs. 1 DSG für Staaten mit angemessenem Datenschutzniveau
- Ergänzende technische und organisatorische Maßnahmen (Verschlüsselung, Pseudonymisierung)
Zahlungsabwicklung
Kostenpflichtige Abonnements (Premium und Elite) werden über Stripe abgewickelt. Der Betreiber erhält lediglich Transaktions-Metadaten (Betrag, Status, Kundennummer). Vollständige Zahlungsdaten (Kreditkartennummer etc.) werden ausschließlich von Stripe verarbeitet und sind dem Betreiber nicht zugänglich. Stripe ist PCI-DSS Level 1 zertifiziert. Weitere Informationen: Stripe Datenschutzerklärung.
E-Mail-Kommunikation
Transaktionale E-Mails (z. B. Bewertungsbenachrichtigungen, Kontobestätigungen) werden über Resend versendet. Marketing-E-Mails werden über Brevo versendet und erfordern eine separate Einwilligung (Double-Opt-in). Jede Marketing-E-Mail enthält einen Abmeldelink. Transaktionale E-Mails können über die E-Mail-Einstellungen im Dashboard deaktiviert werden.
Onboarding- und Hinweis-E-Mails: Zu den transaktionalen E-Mails zählen auch Hinweise zur Einrichtung und Vervollständigung Ihres Profils (z. B. wenn Sie sich registriert, aber noch keinen Eintrag erstellt haben). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO; Sie können diese E-Mails über die E-Mail-Einstellungen im Dashboard oder den Abmeldelink in jeder E-Mail deaktivieren.
Push-Benachrichtigungen
Wenn Sie Push-Benachrichtigungen aktivieren, fragt Ihr Browser bzw. Ihr Android-Gerät Ihre ausdrückliche Einwilligung ab. Wir speichern dann eine technische Push-Adresse (Endpoint) Ihres Geräts und stellen Ihnen Benachrichtigungen zu Ereignissen rund um Ihr Konto und Ihre Einträge zu (z. B. neue Bewertungen, Bewerbungen, Mitarbeiteranfragen). Die Zustellung erfolgt über den Push-Dienst Ihres Browser- bzw. Geräteherstellers (z. B. Google, Mozilla, Apple), an den die Benachrichtigung übermittelt wird.
Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können sie jederzeit über die Profileinstellungen oder die Einstellungen Ihres Browsers bzw. Geräts widerrufen. Die Push-Adresse wird beim Widerruf und bei der Löschung Ihres Kontos gelöscht.
Standortbestimmung („In meiner Nähe“)
Auf der Startseite und der Suchseite können Sie über die Schaltfläche „In meiner Nähe“ Ihren ungefähren Standort verwenden, um Firmen in Ihrer Umgebung zu finden. Die Standortabfrage erfolgt ausschliesslich nach einem Klick auf diese Schaltfläche über die Standortfunktion Ihres Browsers; Ihr Browser holt dabei Ihre ausdrückliche Einwilligung ein. Vor der Übermittlung werden die Koordinaten im Browser auf rund 100 Meter vergröbert (drei Nachkommastellen). Sie werden ausschliesslich flüchtig verarbeitet, um die nächstgelegene Stadt zu ermitteln bzw. Entfernungen zu Firmen zu berechnen, und weder gespeichert noch mit Ihrem Konto verknüpft. Es werden keine Cookies gesetzt und keine Daten an Kartendienste oder sonstige Dritte übermittelt; die Berechnung findet in unserer eigenen Datenbank statt.
Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO bzw. Einwilligung nach dem Schweizer DSG). Sie können die Standortfreigabe jederzeit in den Einstellungen Ihres Browsers widerrufen; die Funktion lässt sich ohne Standortfreigabe weiterhin über die normale Orts-Suche nutzen.
Social Login (OAuth 2.0)
Bei Nutzung der Anmeldung über einen externen Anbieter (Social Login) werden folgende Daten vom jeweiligen Anbieter übermittelt:
- Name und E-Mail-Adresse
- Profilbild-URL
- Anbieter-spezifische Benutzer-ID
Folgende Social-Login-Anbieter werden unterstützt:
- Google (Google Ireland Ltd. / Google LLC) — OAuth 2.0 / Google Sign-In
- LinkedIn (LinkedIn Ireland Unlimited Company / LinkedIn Corporation) — OAuth 2.0
- X (ehemals Twitter) (X Corp.) — OAuth 2.0
Es werden nur die für die Registrierung notwendigen Daten verarbeitet. Der Betreiber erhält keinen Zugriff auf Ihr Passwort beim jeweiligen Anbieter.
Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist:
- Nutzerkonten: bis zur Löschung durch den Nutzer. Konten ohne Anmeldung werden nach 35 Monaten Inaktivität per E-Mail vorgewarnt und nach 36 Monaten automatisch gelöscht (Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO).
- Firmeneinträge: Laufzeit der Veröffentlichung (max. 12 Monate, verlängerbar). IP-Adresse und User-Agent bei Erstellung/Beanspruchung werden zusammen mit dem Eintrag gespeichert und bei Kontolöschung gelöscht.
- Bewertungen: bis zur Löschung durch Nutzer oder Moderation
- Bewerbungen (Stellenmarkt): Unterlagen zu abgeschlossenen oder erfolglosen Bewerbungen werden nach rund 6 Monaten gelöscht (Frist für mögliche Verfahren nach dem AGG; § 15 Abs. 4 AGG, § 61b Abs. 1 ArbGG). Bei Löschung Ihres Kontos werden Ihre Bewerbungen sofort entfernt.
- Vertragsdaten / Rechnungen: 10 Jahre (gesetzliche Aufbewahrungspflicht nach OR, HGB, BAO)
- Kündigungserklärungen (Kündigungsbutton § 312k BGB): Laufzeit des Vertrags zzgl. 3 Jahre (§ 195 BGB) als Nachweis der abgegebenen Kündigung; Name, E-Mail, IP-Adresse, User-Agent und Zeitpunkt werden als Eingangsnachweis gespeichert.
- Widerrufserklärungen (Widerrufsbutton § 356a BGB): Laufzeit des Vertrags zzgl. 3 Jahre (§ 195 BGB) als Nachweis des erklärten Widerrufs (Inhalt sowie Datum und Uhrzeit des Eingangs); Name, E-Mail, ggf. Vertrags-/Kundennummer und Bestelldatum, IP-Adresse, User-Agent und Zeitpunkt werden als Eingangsnachweis gespeichert.
- Consent-Protokolle: 2 Jahre ab Einwilligung
- Verifizierungs-Tokens (E-Mail/Telefon): 30 Tage nach Ablauf des Tokens (Forensik-Puffer für Missbrauchsuntersuchungen), anschließend automatische Löschung
- Meldungen zu Einträgen oder Bewertungen (DSA Art. 16/17): 12 Monate nach Abschluss der Bearbeitung; IP-Adressen werden bereits nach 30 Tagen anonymisiert. Unbearbeitete Meldungen bleiben bis zur Entscheidung gespeichert.
- Privates Feedback (QR-Funnel): 12 Monate
- Log- und Sicherheits-Audit-Daten (Protokolle sicherheitskritischer Konto- und Admin-Aktionen, inkl. IP-Adresse und User-Agent): max. 90 Tage, anschließend automatische Löschung. Die Verknüpfung dieser Protokolle mit einem Konto wird bereits mit dessen Löschung aufgehoben.
- Analyse-/Marketing-Cookies: gemäß Cookie-Richtlinie (max. 2 Jahre)
Löschung von Nutzerkonten und Daten
Nutzer können ihr Konto jederzeit selbstständig über die Kontoeinstellungen löschen. Mit der Löschung werden sämtliche personenbezogenen Daten dauerhaft entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Anfragen zur Datenlöschung können zusätzlich gerichtet werden an: [email protected]
Rechte betroffener Personen
Sie haben folgende Rechte gemäß DSGVO und DSG:
- Auskunftsrecht (Art. 15 DSGVO / Art. 25 DSG): Auskunft über gespeicherte Daten
- Berichtigungsrecht (Art. 16 DSGVO / Art. 32 Abs. 1 DSG): Berichtigung unrichtiger Daten
- Löschungsrecht (Art. 17 DSGVO / Art. 32 Abs. 2 lit. c DSG): Löschung personenbezogener Daten
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung bestimmter Verarbeitungsvorgänge
- Datenübertragbarkeit (Art. 20 DSGVO / Art. 28 DSG): Bereitstellung Ihrer Daten in maschinenlesbarem Format. Self-Service: Sie können Ihre vollständigen personenbezogenen Daten jederzeit als JSON-Datei in Ihrem Konto-Profil unter „Datenrechte" herunterladen (max. 3 Exporte pro Tag).
- Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO / Art. 31 Abs. 3 DSG): Jederzeit möglich, ohne Auswirkung auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung
Zur Ausübung Ihrer Rechte genügt eine Mitteilung an: [email protected]
Beschwerderecht bei Aufsichtsbehörden
Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzureichen:
- Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), www.edoeb.admin.ch
- Deutschland: Zuständige Landesdatenschutzbehörde Ihres Bundeslandes
- Österreich: Österreichische Datenschutzbehörde, www.dsb.gv.at
Datensicherheit — Technische und organisatorische Maßnahmen (TOMs)
Die Plattform setzt umfassende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO und Art. 8 DSG zum Schutz personenbezogener Daten ein:
Verschlüsselung
- In Transit: Sämtliche Datenübertragungen erfolgen ausschließlich über TLS 1.2+ (HTTPS). Unverschlüsselte Verbindungen werden automatisch umgeleitet.
- At Rest: Daten in der Datenbank (Supabase / PostgreSQL) werden mit AES-256-Verschlüsselung gespeichert. Dateien im Cloud-Speicher (Supabase Storage) sind ebenfalls verschlüsselt.
Zugriffskontrolle
- Row-Level Security (RLS): Jede Datenbanktabelle ist mit RLS-Policies geschützt. Nutzer können ausschließlich auf ihre eigenen Daten zugreifen.
- Authentifizierung: OAuth 2.0 über verifizierte Drittanbieter (Google, LinkedIn, X). Keine Passwortspeicherung durch den Betreiber.
- API-Zugriffskontrolle: Serverseitige Authentifizierungsprüfungen für alle schreibenden API-Endpunkte. Administrative Funktionen sind zusätzlich durch Rollenprüfung geschützt.
Netzwerksicherheit
- DDoS-Schutz und WAF: Cloudflare Web Application Firewall mit verwalteten Regelwerken
- Bot-Erkennung: Cloudflare Turnstile zum Schutz öffentlicher Formulare
- Rate Limiting: Begrenzung der Anfragerate auf API-Endpunkte
Datensicherung (Backup)
- Automatische tägliche Datenbanksicherungen durch Supabase (Point-in-Time Recovery)
- Aufbewahrung der Sicherungen gemäß dem jeweiligen Supabase-Planmodell
Trennung der Umgebungen
- Strikte Trennung zwischen Entwicklungs- (dev) und Produktionsumgebung (prod) mit jeweils eigenen Datenbank-Instanzen und API-Schlüsseln
Datenminimierung
- Es werden nur die für den jeweiligen Zweck erforderlichen Daten erhoben und verarbeitet
- Keine Speicherung vollständiger Zahlungsdaten (Kreditkartennummern werden ausschließlich von Stripe verarbeitet)
- Log-Daten werden nach maximal 90 Tagen gelöscht
Datenpanne (Art. 33 und Art. 34 DSGVO)
Im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) gilt folgendes Verfahren:
- Erkennung: Der Betreiber überwacht die Plattform auf Sicherheitsvorfälle und prüft Hinweise auf unbefugten Zugriff.
- Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Bei einer Datenpanne, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, erfolgt eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie gegebenenfalls an die zuständige EU-Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden.
- Benachrichtigung betroffener Personen (Art. 34 DSGVO): Wenn die Datenpanne voraussichtlich ein hohes Risiko für die betroffenen Personen darstellt, werden diese unverzüglich per E-Mail benachrichtigt.
- Dokumentation: Alle Datenpannen werden dokumentiert, einschließlich Art des Vorfalls, betroffene Daten, ergriffene Maßnahmen und Zeitverlauf.
Verantwortlich für das Incident-Response-Verfahren ist der Betreiber persönlich (Krasen Markov). Sicherheitsvorfälle können gemeldet werden an: [email protected]
Pflicht zur Bereitstellung von Daten
Die Bereitstellung personenbezogener Daten ist für die Nutzung bestimmter Funktionen der Plattform erforderlich (z. B. Registrierung, Firmeneinträge). Ohne diese Daten können einzelne Dienste nicht genutzt werden. Es besteht keine gesetzliche Pflicht zur Bereitstellung.
Automatisierte Entscheidungsfindung und KI
Die Plattform setzt KI-Systeme (Google Gemini) zur automatisierten Vorprüfung von Bewertungen und Firmeneinträgen ein. Diese Systeme treffen keine abschließenden Entscheidungen über die Entfernung von Inhalten. Bei Unsicherheit des KI-Systems wird der Inhalt zur manuellen Prüfung an das Betreiberteam weitergeleitet. Es findet kein Profiling im Sinne von Art. 22 DSGVO statt, das rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Änderungen der Datenschutzerklärung
Der Betreiber behält sich vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Anforderungen oder technische Entwicklungen anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar.
Stand der Erklärung
Version 3.5 — Gültig ab 13. Juni 2026 (Ergänzung: KI-Logo-Generator — an Google Gemini übermittelte Datenkategorien (Firmenname, Branche/Kategorie, Gestaltungsangaben) und 30-tägige Speicherung nicht übernommener Logo-Entwürfe; optionale Hintergrund-Entfernung über Kaleido AI GmbH / remove.bg (Österreich, EU) — dabei wird die ausgewählte Logo-Bilddatei übermittelt; neue Auftragsverarbeiter in der Tabelle oben).
Version 3.4 — Gültig ab 28. Mai 2026 (Ergänzungen: EU-Vertreter Art. 13 DSA „in Vorbereitung"; Verantwortlichkeit für nutzergenerierte Inhalte nach EuGH „Russmedia" C-492/23 inkl. E-Mail-Verifizierung und Schutzmaßnahmen; Verweis auf die KI-Transparenzhinweise gemäß Art. 50 KI-Verordnung; Aktualisierung der Auftragsverarbeiter-Tabelle — OpenAI ohne DPF (nur SCCs), Stripe-Entität Stripe, LLC; präzise Darstellung der an OpenAI/Gemini übermittelten Datenkategorien — keine Kontaktdaten an OpenAI; Auftragsverarbeitung für Agentur-Kundendaten gemäß Art. 28 DSGVO).
Gültig für alle Nutzer in der Schweiz, Deutschland, Österreich und der Europäischen Union.
