Datenschutzerklärung
Version: 1.0 Stand: 12. März 2026 Betreiberin: bivy
1. Verantwortliche Stelle
Verantwortlich im Sinne des Schweizer Bundesgesetzes über den Datenschutz (DSG, SR 235.1) sowie der Europäischen Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) ist:
bivy Schweiz
UID: in Gründung E-Mail: datenschutz@bivy.ch
1.1 Datenschutzbeauftragte/r (falls bestellt)
E-Mail: datenschutz@bivy.ch
1.2 EU-Vertretung (Art. 27 DSGVO)
Sofern bivy Daten von Personen im Europäischen Wirtschaftsraum (EWR) verarbeitet und dort keine Niederlassung unterhält, wird gemäss Art. 27 DSGVO folgende Vertretung benannt:
Wird nach Abschluss der Gesellschaftsgründung benannt.
Hinweis: Die Ausnahme von der Pflicht zur Benennung einer EU-Vertretung (Art. 27 Abs. 2 DSGVO) setzt kumulativ voraus, dass (1) die Verarbeitung nur gelegentlich erfolgt, (2) keine umfangreiche Verarbeitung besonderer Datenkategorien stattfindet und (3) die Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Da bivy als SaaS-Plattform systematisch Nutzende aus dem EWR bedient, dürfte die Benennung einer EU-Vertretung erforderlich sein.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung der Website bivy.ch sowie der darauf angebotenen SaaS-Plattform bivy («Plattform»). bivy ist ein digitales Bauprojekt-Cockpit für private Bauherrinnen und Bauherren in der Schweiz und der EU.
Die Datenschutzerklärung informiert Sie darüber, welche Personendaten wir erheben, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange wir diese bearbeiten. Sie erfahren ausserdem, welche Rechte Ihnen zustehen und wie Sie diese ausüben können.
Wir verwenden in dieser Erklärung den Begriff «Bearbeitung» im Sinne des Schweizer DSG und «Verarbeitung» im Sinne der DSGVO synonym.
Diese Datenschutzerklärung erfüllt die Informationspflichten nach Art. 19 des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) sowie nach Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO).
3. Rechtsgrundlagen der Datenbearbeitung
Wir bearbeiten Personendaten auf folgenden Rechtsgrundlagen:
| Rechtsgrundlage | DSG (Schweiz) | DSGVO (EU) | Beschreibung |
|---|---|---|---|
| Vertrag | Art. 31 Abs. 2 lit. a DSG | Art. 6 Abs. 1 lit. b DSGVO | Erfüllung eines Vertrags oder vorvertraglicher Massnahmen |
| Einwilligung | Art. 6 Abs. 6 und 7 DSG | Art. 6 Abs. 1 lit. a DSGVO | Ausdrückliche Einwilligung der betroffenen Person |
| Berechtigtes Interesse | Art. 31 Abs. 1 DSG (Rechtfertigungsgrund) | Art. 6 Abs. 1 lit. f DSGVO | Überwiegendes berechtigtes Interesse des Verantwortlichen |
| Gesetzliche Pflicht | Art. 31 Abs. 2 lit. b DSG | Art. 6 Abs. 1 lit. c DSGVO | Erfüllung einer gesetzlichen Verpflichtung |
Soweit nach Schweizer Recht keine ausdrückliche Rechtsgrundlage erforderlich ist, bearbeiten wir Personendaten gestützt auf Art. 31 DSG unter einem angemessenen Rechtfertigungsgrund.
4. Kategorien bearbeiteter Personendaten
Wir bearbeiten die folgenden Kategorien von Personendaten:
4.1 Kontodaten
- E-Mail-Adresse
- Vor- und Nachname
- Passwort (ausschliesslich als kryptographischer Hash gespeichert; wir haben keinen Zugang zu Ihrem Klartext-Passwort)
4.2 Projektdaten
- Projektbeschreibungen und -details
- Aufgaben, Entscheidungen und Notizen
- Hochgeladene Dokumente und Fotos
- Bautagebuch-Einträge
4.3 E-Mail-Daten
- Weitergeleitete Bau-bezogene E-Mails (Absender, Betreff, Inhalt, Anhänge)
- Daraus extrahierte Aufgaben und Termine
4.4 KI-Interaktionsdaten
- Eingaben (Prompts), die Sie an unsere KI-gestützten Funktionen senden
- Vom KI-System generierte Antworten
4.5 Zahlungsdaten
- Rechnungsadresse und Name
- Zahlungstransaktionen (abgewickelt über Stripe; vollständige Kreditkartennummern werden von bivy weder eingesehen noch gespeichert)
4.6 Technische Daten
- Browser-Typ und -Version (User Agent)
- Betriebssystem
- Zugriffszeitpunkte
- Referrer-URL
- Spracheinstellungen
4.7 Cookie- und Sitzungsdaten
- Authentifizierungssitzung (Supabase)
- Cookie-Einwilligungspräferenzen
- Sprachpräferenzen (Locale)
Hinweis: IP-Adressen werden von bivy nicht dauerhaft protokolliert. Temporäre Verarbeitungen auf Infrastrukturebene (z.B. CDN, Load Balancer) erfolgen ohne dauerhafte Speicherung.
4a. Personendaten Dritter (Unternehmer, Handwerker, Architekten)
4a.1 Indirekte Erhebung von Personendaten
Nutzer der Plattform können im Rahmen der Projektabwicklung personenbezogene Daten Dritter auf die Plattform hochladen oder per E-Mail weiterleiten. Zu diesen Dritten gehören insbesondere Unternehmer, Handwerker, Architekten, Bauleiter, Lieferanten und sonstige am Bauprojekt beteiligte Personen.
4a.2 Kategorien betroffener Daten
Folgende Datenkategorien können von Dritten verarbeitet werden:
- Name und E-Mail-Adresse
- Firma bzw. Unternehmensbezeichnung
- Telefonnummer (soweit in Kommunikation oder Dokumenten enthalten)
- Inhalte weitergeleiteter E-Mails und Korrespondenz
- Projektbezogene Dokumente und Anhänge
- Aus der Kommunikation durch KI extrahierte Aufgaben, Termine und Zusammenfassungen
4a.3 Rechtsgrundlage
bivy verarbeitet diese Daten als Auftragsverarbeiterin im Auftrag des Nutzers (Verantwortlicher) gemäss Art. 28 DSGVO bzw. Art. 9 DSG.
Die Rechtsgrundlage für die Verarbeitung durch den Verantwortlichen (Nutzer) ist:
- DSGVO: Art. 6 Abs. 1 lit. f (berechtigtes Interesse) — das berechtigte Interesse des Verantwortlichen an der effizienten Verwaltung seines Bauprojekts
- DSG: Art. 31 Abs. 1 (Rechtfertigungsgrund) — überwiegendes berechtigtes Interesse an der Projektabwicklung
4a.4 Informationspflicht des Nutzers
Die Informationspflicht gegenüber den betroffenen Dritten obliegt dem Nutzer als Verantwortlichem (Art. 14 DSGVO / Art. 19 Abs. 2 DSG). Der Nutzer ist verpflichtet, seine Kontaktpersonen (Unternehmer, Handwerker usw.) darüber zu informieren, dass deren Daten über bivy verarbeitet werden, einschliesslich der KI-gestützten Verarbeitung (siehe Abschnitt 6).
bivy stellt dem Nutzer zu diesem Zweck eine Musterklausel für Werkverträge zur Verfügung, abrufbar im Auftragsverarbeitungsvertrag (AVV) unter bivy.ch/avv.
4a.5 Zweckbegrenzung
Die Daten Dritter werden ausschliesslich für die Verwaltung des Bauprojekts und die KI-gestützte Aufgabenextraktion verarbeitet. Es findet keine Weitergabe an andere Nutzer oder Dritte statt (mit Ausnahme der in Abschnitt 8 genannten Auftragsverarbeiter).
4a.6 Aufbewahrung und Löschung
Die Daten Dritter sind an den Lebenszyklus des Projekts gebunden. Sie werden gelöscht:
- wenn der Nutzer das betreffende Projekt löscht;
- wenn der Nutzer sein Benutzerkonto löscht;
- auf Verlangen der betroffenen dritten Person (sofern keine gesetzliche Aufbewahrungspflicht entgegensteht).
4a.7 Rechte betroffener Dritter
Auch Drittpersonen, deren Daten über bivy verarbeitet werden, können ihre Rechte (Auskunft, Berichtigung, Löschung, Widerspruch) direkt gegenüber bivy geltend machen. Anfragen richten Sie an:
E-Mail: datenschutz@bivy.ch
bivy wird in solchen Fällen den betroffenen Nutzer (Verantwortlichen) informieren und mit ihm zusammenarbeiten, um die Anfrage zu bearbeiten.
5. Zwecke der Bearbeitung
Die nachfolgende Tabelle gibt Ihnen einen Überblick über die Zwecke, für die wir Personendaten bearbeiten, die jeweils bearbeiteten Datenkategorien, die Rechtsgrundlage und die Aufbewahrungsdauer:
| Zweck | Datenkategorien | Rechtsgrundlage (DSGVO) | Rechtsgrundlage (DSG) | Aufbewahrungsdauer |
|---|---|---|---|---|
| Registrierung und Kontoverwaltung | Kontodaten | Art. 6 Abs. 1 lit. b (Vertrag) | Vertragserfüllung | Bis zur Kontolöschung, zzgl. gesetzlicher Aufbewahrungsfristen |
| Erbringung der SaaS-Dienstleistung | Kontodaten, Projektdaten | Art. 6 Abs. 1 lit. b (Vertrag) | Vertragserfüllung | Bis zur Kontolöschung, zzgl. gesetzlicher Aufbewahrungsfristen |
| KI-gestützte Funktionen (Abschnitt 6) | KI-Interaktionsdaten, Projektdaten | Art. 6 Abs. 1 lit. b (Vertrag) | Vertragserfüllung | Echtzeitverarbeitung; keine dauerhafte Speicherung von Prompts bei AWS Bedrock |
| E-Mail-Extraktion | E-Mail-Daten | Art. 6 Abs. 1 lit. b (Vertrag) | Vertragserfüllung | Solange das zugehörige Projekt besteht |
| Zahlungsabwicklung | Zahlungsdaten | Art. 6 Abs. 1 lit. b (Vertrag) | Vertragserfüllung | 10 Jahre (schweizerische Aufbewahrungspflicht gemäss Art. 958f OR) |
| Technischer Betrieb und Sicherheit | Technische Daten | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) | Berechtigtes Interesse (Betriebssicherheit) | 14 Tage (Serverprotokolle) |
| Kundenkommunikation | Kontodaten | Art. 6 Abs. 1 lit. b (Vertrag) / lit. f (berechtigtes Interesse) | Vertragserfüllung / berechtigtes Interesse | Dauer der Kundenbeziehung |
| Cookie-Verwaltung | Cookie- und Sitzungsdaten | Art. 6 Abs. 1 lit. a (Einwilligung) für nicht-essentielle Cookies; lit. f (berechtigtes Interesse) für essentielle Cookies | Einwilligung / berechtigtes Interesse | Sitzungsdauer bzw. max. 1 Jahr |
| Gesetzliche Pflichten | Je nach Pflicht | Art. 6 Abs. 1 lit. c (gesetzliche Pflicht) | Gesetzliche Verpflichtung | Gemäss anwendbarer Aufbewahrungsfristen |
5.1 Erforderlichkeit der Bereitstellung personenbezogener Daten
Erforderlichkeit der Bereitstellung personenbezogener Daten: Die Bereitstellung Ihrer Kontodaten (E-Mail-Adresse, Name) ist eine vertragliche Voraussetzung für die Nutzung der Plattform. Ohne diese Daten können wir unsere Dienste nicht erbringen. Die Bereitstellung weiterer Daten (z. B. Projektdaten, Dokumente) ist freiwillig, kann jedoch die Nutzung bestimmter Funktionen einschränken.
6. KI-gestützte Funktionen — Transparenzhinweis
bivy setzt künstliche Intelligenz (KI) ein, um Ihnen bei der Verwaltung Ihrer Bauprojekte zu helfen. Dieser Abschnitt erläutert transparent, wie KI in unserer Plattform verwendet wird (Art. 21 DSG; Art. 13 Abs. 2 lit. f DSGVO; Art. 50 EU AI Act).
6.1 Eingesetzte KI-Funktionen
| Funktion | Beschreibung | Verarbeitete Daten |
|---|---|---|
| Inspiration & Entscheidung | Sie beschreiben ein Bauthema, und die KI liefert Inspirationen, Optionen und Entscheidungshilfen. | Ihre Eingabe (Textbeschreibung des Bauthemas) |
| E-Mail-Extraktion | Sie leiten baurelevante E-Mails weiter, und die KI extrahiert Aufgaben, Termine und Handlungspunkte. | Weitergeleitete E-Mail-Inhalte |
| Bautagebuch | Sie erfassen tägliche Bauaktivitäten, und die KI hilft beim Strukturieren und Zusammenfassen. | Ihre Bautagebuch-Einträge |
6.2 KI-Anbieter und Datenverarbeitung
- Anbieter: Amazon Web Services (AWS) Bedrock mit dem Sprachmodell Anthropic Claude
- Verarbeitungsort: Ausschliesslich innerhalb der Europäischen Union (EU Geographic Cross-Region Inference: eu-north-1 Stockholm / eu-west-1 Irland)
- Datenspeicherung: Ihre Eingaben werden in Echtzeit verarbeitet und nicht dauerhaft bei AWS Bedrock gespeichert. AWS Bedrock speichert weder Ihre Prompts noch die generierten Antworten.
- Kein Modelltraining: Ihre Daten werden nicht für das Training oder die Verbesserung von KI-Modellen verwendet.
6.3 Keine automatisierten Einzelentscheidungen
Die KI-Funktionen von bivy dienen ausschliesslich als Hilfsmittel und Entscheidungsunterstützung. bivy trifft keine automatisierten Einzelentscheidungen. Daher entfällt sowohl die Informationspflicht nach Art. 21 DSG als auch das Verbot gemäss Art. 22 DSGVO.
Die KI-generierten Inhalte sind Vorschläge. Sie behalten jederzeit die volle Kontrolle und Entscheidungshoheit über die Verwendung der generierten Ergebnisse.
Unabhängig davon, ob eine automatisierte Einzelentscheidung im rechtlichen Sinne vorliegt, haben Sie jederzeit das Recht, eine menschliche Überprüfung von KI-generierten Inhalten zu verlangen. Kontaktieren Sie uns unter datenschutz@bivy.ch.
6.4 Transparenzhinweise zu KI-generierten Inhalten
KI-generierte Inhalte werden auf der Plattform als solche gekennzeichnet. Die Ergebnisse können Ungenauigkeiten enthalten und stellen keine fachliche Beratung (insbesondere keine Rechts-, Bau- oder Finanzberatung) dar.
7. Cookies und Tracking-Technologien
7.1 Verwendete Cookies
bivy verwendet ausschliesslich technisch notwendige Cookies sowie Cookies, die auf Ihrer Einwilligung beruhen:
| Cookie | Zweck | Typ | Dauer | Rechtsgrundlage |
|---|---|---|---|---|
| Supabase Auth Session | Authentifizierung und Sitzungsverwaltung | Essentiell (First-Party) | Bis zu 1 Jahr (wird bei Abmeldung gelöscht) | Berechtigtes Interesse / Vertrag |
| Cookie-Einwilligung | Speicherung Ihrer Cookie-Präferenzen | Essentiell (First-Party) | 1 Jahr | Berechtigtes Interesse |
| Locale-Präferenz | Speicherung Ihrer Spracheinstellung | Essentiell (First-Party) | 1 Jahr | Berechtigtes Interesse |
| Stripe (Betrugserkennung) | Zahlungssicherheit und Betrugserkennung durch Stripe | Technisch notwendig (Zahlungssicherheit) | Gemäss Stripe-Richtlinie | Berechtigtes Interesse (Betrugsprävention) |
7.2 Keine Tracking- oder Analyse-Cookies
bivy verwendet derzeit keine Tracking- oder Analyse-Cookies. Wir setzen insbesondere kein Google Analytics oder vergleichbare Dienste ein, die Daten in Drittstaaten übermitteln. Sollte zukünftig ein Analysedienst eingesetzt werden, verwenden wir ausschliesslich DSGVO-konforme Lösungen (z.B. Plausible Analytics), die ohne Cookies auskommen und keine Personendaten ausserhalb der EU verarbeiten.
7.3 Cookie-Einwilligung
Vor dem Setzen nicht-essentieller Cookies holen wir Ihre ausdrückliche Einwilligung ein. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookie-Einstellungen auf unserer Website anpassen oder die Cookies in Ihrem Browser löschen.
8. Datenempfänger und Auftragsverarbeiter
Wir geben Personendaten nur an Dritte weiter, wenn dies zur Erbringung unserer Dienstleistung erforderlich ist, Sie eingewilligt haben oder wir gesetzlich dazu verpflichtet sind. Alle unsere Auftragsverarbeiter unterliegen Auftragsverarbeitungsverträgen (AVV) gemäss Art. 28 DSGVO bzw. Art. 9 DSG.
| Auftragsverarbeiter | Zweck | Standort der Datenverarbeitung | Garantien |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Hosting (Lambda, CloudFront, S3), KI-Verarbeitung (Bedrock) | EU — Frankfurt (eu-central-1), Stockholm (eu-north-1), Irland (eu-west-1) | AVV; AWS DSGVO-Datenverarbeitungszusatz; keine Datenübermittlung ausserhalb der EU |
| Supabase Inc. | Datenbank (PostgreSQL), Authentifizierung, Dateispeicherung | EU — Frankfurt (eu-central-1) | AVV; Supabase DPA; Daten verbleiben in der EU-Region |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung, Betrugserkennung | EU (Irland) | AVV; PCI DSS Level 1 Zertifizierung; Stripe EU-Datenverarbeitungsvertrag |
| Amazon Web Services (SES) | E-Mail-Empfang und -Verarbeitung | EU — Frankfurt (eu-central-1) | AVV; Teil des AWS-Datenverarbeitungszusatzes |
Hinweis zur Doppelrolle von Stripe: Für die Zahlungsabwicklung handelt Stripe als Auftragsverarbeiterin in unserem Auftrag. Für eigene Zwecke der Betrugsprävention (insbesondere über die Cookies __stripe_mid und __stripe_sid) handelt Stripe als eigenständige Verantwortliche. Näheres regelt die Datenschutzerklärung von Stripe: https://stripe.com/privacy.
8.1 Auftragsverarbeitungsvertrag (AVV)
Für Nutzer, die als Verantwortliche personenbezogene Daten Dritter (z.B. Unternehmer, Handwerker) über bivy verarbeiten, gilt der Auftragsverarbeitungsvertrag (AVV), abrufbar unter bivy.ch/avv. Der AVV regelt die Rechte und Pflichten der Parteien im Detail, einschliesslich der Pflichten von bivy als Auftragsverarbeiterin und der Verantwortung des Nutzers als Verantwortlicher.
8.2 Weitere mögliche Empfänger
Darüber hinaus kann eine Weitergabe in folgenden Fällen erfolgen:
- An Behörden oder Gerichte, sofern wir gesetzlich dazu verpflichtet sind
- An Rechts- und Steuerberater im Rahmen der Rechtsdurchsetzung oder Compliance
- An ein übernehmendes Unternehmen im Falle einer Fusion, Übernahme oder Vermögensübertragung (mit vorheriger Information an Sie)
9. Internationale Datenübermittlung
9.1 Grundsatz: Alle Daten verbleiben in der EU
Sämtliche Personendaten werden ausschliesslich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeitet und gespeichert. Unsere gesamte technische Infrastruktur befindet sich in EU-Rechenzentren (Frankfurt, Stockholm, Irland).
9.2 Schweiz als sicherer Drittstaat
Die Europäische Kommission hat die Schweiz als Land mit angemessenem Datenschutzniveau anerkannt (Angemessenheitsbeschluss gemäss Art. 45 DSGVO). Datenübermittlungen zwischen der EU und der Schweiz sind daher ohne zusätzliche Garantien zulässig.
9.3 Keine Übermittlung in unsichere Drittstaaten
Wir übermitteln keine Personendaten in Länder ausserhalb der EU/des EWR, die über keinen Angemessenheitsbeschluss verfügen. Sollte sich dies in Zukunft ändern, werden wir Sie darüber informieren und die gesetzlich vorgesehenen Garantien sicherstellen (z.B. Standardvertragsklauseln gemäss Art. 46 Abs. 2 lit. c DSGVO, verbindliche interne Datenschutzvorschriften oder Ihre ausdrückliche Einwilligung).
10. Aufbewahrung und Löschung
Wir bewahren Personendaten nur so lange auf, wie dies für den jeweiligen Bearbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben.
| Datenkategorie | Aufbewahrungsdauer | Grundlage |
|---|---|---|
| Kontodaten | Bis zur Kontolöschung durch Sie, danach maximal 30 Tage bis zur vollständigen Löschung | Vertragszweck |
| Projektdaten | Bis zur Kontolöschung oder manuellen Löschung durch Sie | Vertragszweck |
| E-Mail-Daten | Solange das zugehörige Projekt besteht; spätestens bei Kontolöschung | Vertragszweck |
| KI-Interaktionsdaten | Keine dauerhafte Speicherung bei AWS Bedrock; Ergebnisse in Projektdaten gespeichert | Vertragszweck |
| Zahlungsdaten | 10 Jahre nach dem betreffenden Geschäftsjahr | Art. 958f OR (handelsrechtliche Aufbewahrungspflicht) |
| Technische Daten (Serverprotokolle) | Maximal 14 Tage | Berechtigtes Interesse (Betriebssicherheit) |
| Cookie-Einwilligungsdaten | 1 Jahr (Erneuerungszyklus: nach Ablauf werden Sie erneut zur Einwilligung aufgefordert; der localStorage-Eintrag bleibt bestehen, bis er manuell gelöscht wird oder der Zyklus abläuft) | Nachweispflicht |
Nach Ablauf der jeweiligen Aufbewahrungsdauer werden Personendaten gelöscht oder wirksam anonymisiert. Gesetzliche Aufbewahrungsfristen (insbesondere handels- und steuerrechtliche Pflichten) gehen vor.
11. Ihre Rechte als betroffene Person
Sie haben nach dem Schweizer DSG und der EU-DSGVO folgende Rechte. Wir beantworten Ihre Anfragen grundsätzlich innerhalb von 30 Tagen (Art. 25 Abs. 7 DSG) bzw. einem Monat (Art. 12 Abs. 3 DSGVO). Bei besonders komplexen Anfragen kann diese Frist verlängert werden; wir informieren Sie in diesem Fall vorab.
11.1 Auskunftsrecht (Art. 25 DSG / Art. 15 DSGVO)
Sie haben das Recht, von uns Auskunft darüber zu verlangen, ob und welche Personendaten wir über Sie bearbeiten. Wir stellen Ihnen eine Kopie der bearbeiteten Personendaten zur Verfügung.
11.2 Recht auf Berichtigung (Art. 32 Abs. 1 DSG / Art. 16 DSGVO)
Sie haben das Recht, die Berichtigung unrichtiger Personendaten zu verlangen, die Sie betreffen, sowie die Vervollständigung unvollständiger Daten.
11.3 Recht auf Löschung (Art. 32 Abs. 2 lit. c DSG / Art. 17 DSGVO)
Sie haben das Recht, die Löschung Ihrer Personendaten zu verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht und kein überwiegendes Interesse an der Weiterbearbeitung besteht.
11.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben nach der DSGVO das Recht, die Einschränkung der Verarbeitung Ihrer Personendaten zu verlangen, beispielsweise wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmässig ist.
11.5 Recht auf Datenübertragbarkeit (Art. 28 DSG / Art. 20 DSGVO)
Sie haben das Recht, Ihre Personendaten, die Sie uns bereitgestellt haben, in einem gängigen, maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.
11.6 Widerspruchsrecht (Art. 21 DSGVO)
Soweit wir Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, der Verarbeitung jederzeit zu widersprechen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe vor.
11.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO / Art. 6 Abs. 7 DSG)
Sofern eine Bearbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmässigkeit der bis zum Widerruf erfolgten Bearbeitung bleibt unberührt.
11.8 Recht auf Herausgabe oder Vernichtung (Art. 32 Abs. 2 DSG)
Nach Schweizer Recht können Sie die Herausgabe oder Vernichtung Ihrer Personendaten verlangen.
11.9 Wie Sie Ihre Rechte ausüben
Bitte richten Sie Ihre Anfragen an:
E-Mail: datenschutz@bivy.ch Post: bivy, Schweiz
Wir müssen Ihre Identität überprüfen, bevor wir Ihrem Ersuchen nachkommen können. Bitte halten Sie dafür eine Kopie eines gültigen Ausweisdokuments bereit.
Die Ausübung Ihrer Rechte ist grundsätzlich kostenlos. Bei offensichtlich unbegründeten oder übermässigen Anfragen können wir jedoch eine angemessene Gebühr erheben oder die Bearbeitung ablehnen (Art. 25 Abs. 6 und 7 DSG; Art. 12 Abs. 5 DSGVO).
12. Automatisierte Einzelentscheidungen und Profiling
12.1 Automatisierte Einzelentscheidungen (Art. 21 DSG / Art. 22 DSGVO)
bivy trifft keine automatisierten Einzelentscheidungen, die gegenüber Ihnen rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Daher entfällt sowohl die Informationspflicht nach Art. 21 DSG als auch das Verbot gemäss Art. 22 DSGVO. Unsere KI-Funktionen dienen ausschliesslich als Entscheidungsunterstützung (siehe Abschnitt 6).
Sollten wir zukünftig automatisierte Einzelentscheidungen einführen, werden wir Sie vorab informieren und Ihnen das Recht einräumen, Ihren Standpunkt darzulegen und die Entscheidung von einer natürlichen Person überprüfen zu lassen.
12.2 Profiling
bivy erstellt kein Profiling im Sinne von Art. 5 lit. f DSG oder Art. 4 Nr. 4 DSGVO, das zu einer automatisierten Bewertung persönlicher Aspekte natürlicher Personen führt. Wir analysieren Ihr Nutzungsverhalten nicht, um Vorhersagen über persönliche Präferenzen, Verhalten, Zuverlässigkeit oder andere persönliche Aspekte zu erstellen.
13. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen, um Ihre Personendaten vor unbefugtem Zugriff, Verlust, Missbrauch oder Zerstörung zu schützen (Art. 8 DSG; Art. 32 DSGVO). Dazu gehören insbesondere:
13.1 Technische Massnahmen
- Verschlüsselung in Transit: Sämtliche Datenübertragungen erfolgen ausschliesslich über TLS 1.2 oder höher (HTTPS).
- Verschlüsselung at Rest: Alle gespeicherten Daten werden serverseitig verschlüsselt (AWS KMS / Supabase-Verschlüsselung).
- Zugangskontrolle: Zugriff auf Produktionssysteme ist streng auf autorisiertes Personal beschränkt und erfolgt über Multi-Faktor-Authentifizierung.
- Row-Level Security (RLS): Die Datenbankzugriffskontrolle stellt sicher, dass Nutzer ausschliesslich auf ihre eigenen Daten zugreifen können (Multi-Tenant-Trennung).
- Passwörter: Passwörter werden ausschliesslich als kryptographischer Hash gespeichert (bcrypt). Wir haben keinen Zugang zu Klartext-Passwörtern.
- Regelmässige Sicherheitsprüfungen: Abhängigkeiten werden automatisch auf bekannte Schwachstellen geprüft.
13.2 Organisatorische Massnahmen
- Prinzip der minimalen Berechtigung (Least Privilege) für alle Systemzugriffe
- Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default)
- Regelmässige Sensibilisierung der Mitarbeitenden für Datenschutz und Informationssicherheit
- Dokumentierte Prozesse für den Umgang mit Datenschutzverletzungen
14. Meldung von Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach) gelten unterschiedliche Meldeschwellen nach Schweizer und EU-Recht:
14.1 Meldung an Aufsichtsbehörden
- Schweiz (Art. 24 Abs. 1 DSG): Wir melden Verletzungen der Datensicherheit dem EDÖB so rasch wie möglich, sofern die Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt.
- EU (Art. 33 DSGVO): Wir melden Verletzungen der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme, sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (niedrigere Schwelle als nach Schweizer Recht).
14.2 Benachrichtigung betroffener Personen
- Schweiz (Art. 24 Abs. 3 DSG): Wir benachrichtigen Sie, wenn es zu Ihrem Schutz erforderlich ist oder der EDÖB dies verlangt. Ein hohes Risiko für Ihre Persönlichkeit oder Grundrechte muss vorliegen.
- EU (Art. 34 DSGVO): Wir benachrichtigen Sie unverzüglich, wenn die Verletzung voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten zur Folge hat.
15. Daten von Kindern und Minderjährigen
bivy richtet sich an erwachsene private Bauherrinnen und Bauherren. Die Plattform ist nicht für Personen unter 16 Jahren bestimmt. Wir erheben wissentlich keine Personendaten von Kindern unter 16 Jahren.
Sollten wir feststellen, dass wir Personendaten einer Person unter 16 Jahren erhoben haben, werden wir diese unverzüglich löschen. Sollten Sie Kenntnis davon haben, dass ein Kind unter 16 Jahren uns Personendaten übermittelt hat, kontaktieren Sie uns bitte unter datenschutz@bivy.ch.
16. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen, um sie an geänderte rechtliche Anforderungen oder Änderungen unserer Dienstleistungen anzupassen. Die jeweils aktuelle Fassung ist auf unserer Website unter [bivy.ch/datenschutz] abrufbar.
Bei wesentlichen Änderungen, die Ihre Rechte oder die Bearbeitung Ihrer Daten erheblich betreffen, werden wir Sie vor Inkrafttreten der Änderung auf geeignete Weise informieren (z.B. per E-Mail oder durch einen Hinweis auf der Plattform).
Es gilt jeweils die zum Zeitpunkt des Zugriffs auf die Website bzw. der Nutzung der Plattform veröffentlichte Fassung.
17. Aufsichtsbehörden
17.1 Schweiz
Sie haben das Recht, sich bei Beschwerden an die schweizerische Datenschutzaufsichtsbehörde zu wenden:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Feldeggweg 1 CH-3003 Bern Schweiz
Telefon: +41 (0)58 462 43 95 Website: www.edoeb.admin.ch
17.2 Europäische Union
Betroffene Personen in der EU haben zudem das Recht, sich an die Datenschutzaufsichtsbehörde ihres Wohnsitz- oder Aufenthaltsstaates zu wenden (Art. 77 DSGVO). Eine Übersicht der zuständigen Behörden finden Sie auf der Website des Europäischen Datenschutzausschusses (EDPB): https://edpb.europa.eu/about-edpb/about-edpb/members_en.
18. Kontakt für Datenschutzanfragen
Für alle Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder bei Anliegen zur Bearbeitung Ihrer Personendaten erreichen Sie uns unter:
Datenschutzstelle bivy Schweiz
E-Mail: datenschutz@bivy.ch Allgemeine Anfragen: hello@bivy.ch Website: bivy.ch
Diese Datenschutzerklärung wurde nach bestem Wissen und Gewissen erstellt und berücksichtigt die Anforderungen des Schweizer Bundesgesetzes über den Datenschutz (DSG, SR 235.1) sowie der Europäischen Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679). Sie ersetzt keine individuelle Rechtsberatung. Wir empfehlen, die Datenschutzerklärung vor Veröffentlichung durch eine auf Datenschutzrecht spezialisierte Anwaltskanzlei prüfen zu lassen.