Direkt zum Inhalt springen

Datenschutz

FireDox hilft Schweizer Liegenschafts-Bewirtschaftern, ihre Brandschutz-Compliance gemäss BSV 2026 revisionssicher zu dokumentieren. Wir verarbeiten dabei personenbezogene Daten — diese Erklärung beschreibt, welche Daten wir zu welchem Zweck bearbeiten, wie lange wir sie aufbewahren, an wen wir sie bekanntgeben und welche Rechte betroffene Personen haben. Sie ist auf das Schweizer Datenschutzgesetz (DSG) ausgerichtet und berücksichtigt die EU-Datenschutz-Grundverordnung (DSGVO), soweit diese auf einzelne Bearbeitungen anwendbar ist.

Verantwortliche Stelle

Verantwortlich für die Datenbearbeitung im Sinne von Art. 5 lit. j DSG und, soweit anwendbar, Art. 4 Nr. 7 DSGVO:

FireDox
c/o Benjamin Rösner
Industriestrasse 1e
8600 Dübendorf
Schweiz
Co-Founder: Benjamin Rösner, Edin Zolj, Thomas Etter
E-Mail: support@firedox.ch

Datenschutzanfragen richten Sie bitte an dieselbe Adresse. Im MVP- Stadium gibt es keine separat benannte Datenschutzberaterin und keinen separat benannten Datenschutzbeauftragten — Ansprechpartner ist das Founder-Team.

Zwecke und Rechtfertigung der Datenbearbeitung

Nach Schweizer DSG bearbeiten wir Personendaten nur transparent, zweckgebunden und verhältnismässig. Wo die DSGVO anwendbar ist, stützen wir uns auf die nachfolgend genannten Rechtsgrundlagen:

  • Auth- / Login-Daten (E-Mail-Adresse, Passwort-Hash, Session-Token): Vertragserfüllung gemäss Art. 6 Abs. 1 lit. b DSGVO; nach DSG zur Bereitstellung des Nutzerkontos und zur Vertragserfüllung erforderlich.
  • App-Nutzungsdaten (Liegenschaften, Assets, Prüfungen, Mängel, Foto-Uploads): Vertragserfüllung. Diese Daten sind der Kern des FireDox-Dienstes.
  • Lead-Daten aus dem Kontaktformular (Name, E-Mail, Firma, Telefon, Portfolio-Grösse, Nachricht): Einwilligung gemäss Art. 6 Abs. 1 lit. a DSGVO (durch Absenden des Formulars) beziehungsweise Geschäftsanbahnung nach DSG.
  • Error- und Crash-Reports (Sentry): berechtigtes Interesse Plattform-Stabilität gemäss Art. 6 Abs. 1 lit. f DSGVO und nach DSG zur Sicherheit und Stabilität des Dienstes. Sentry erfasst keine Profile, sondern ausschliesslich Fehlerkontexte. Einen Opt-out oder die Löschung Sentry-zugeordneter User-IDs können Sie jederzeit per E-Mail an support@firedox.ch verlangen.
  • Performance-Metriken (Vercel Analytics): nur nach ausdrücklicher Einwilligung über den Cookie-Banner — Art. 6 Abs. 1 lit. a DSGVO. Cookie-frei, anonymisierte Aggregat- Metriken.
  • Server- und Access-Logs (Vercel): berechtigtes Interesse Sicherheit und Missbrauchserkennung gemäss Art. 6 Abs. 1 lit. f DSGVO beziehungsweise nach DSG.

Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die oben genannten Zwecke erforderlich ist beziehungsweise gesetzlich vorgeschrieben:

  • Auth-Daten: bis zur Kontolöschung; verzögerte Backup-Bereinigung binnen 30 Tagen.
  • App-Nutzungsdaten: bis zur Kontolöschung. Audit-relevante Logs (Prüfprotokolle, Mängel-Historie) bis zu 10 Jahre nach Vertragsende gemäss vertraglichen Nachweiszwecken und gesetzlichen Aufbewahrungspflichten, insbesondere nach Obligationenrecht.
  • Lead-Daten: bis zu 24 Monate nach letztem Kontakt oder bis zum Widerruf der Einwilligung.
  • Sentry- und Vercel-Analytics-Daten: bis zu 90 Tage (Standard- Retention der Anbieter).
  • Server- und Access-Logs: bis zu 14 Tage.

Empfänger und Auftragsbearbeiter

Wir setzen sorgfältig ausgewählte Auftragsbearbeiter ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) gemäss Art. 28 DSGVO und Art. 9 DSG. Bekanntgaben ins Ausland erfolgen nur, wenn ein angemessenes Datenschutzniveau besteht oder geeignete Garantien vereinbart sind, insbesondere Standardvertragsklauseln (SCC) oder das Swiss-U.S. / EU-U.S. Data Privacy Framework für entsprechend zertifizierte US-Anbieter.

  • Supabase Inc.

    Zweck:
    Datenbank (PostgreSQL), Auth, File-Storage
    Standort:
    EU (Frankfurt)
    Rechtsgrundlage:
    AVV, EU-Region — kein Drittland-Transfer für Nutzdaten
    Datenschutz:
    supabase.com/privacy

  • Vercel Inc.

    Zweck:
    Hosting, Serverless-/Compute-Funktionen, Build-Pipeline
    Standort:
    EU-Region
    Rechtsgrundlage:
    AVV, EU-Region für Compute; Standardvertragsklauseln (SCC)
    Datenschutz:
    vercel.com/legal/privacy-policy

  • Vercel Analytics

    Zweck:
    Anonyme Performance-Metriken (cookie-frei, nur nach Consent)
    Standort:
    EU-Region
    Rechtsgrundlage:
    Einwilligung Art. 6 Abs. 1 lit. a DSGVO; AVV mit Vercel Inc., Standardvertragsklauseln (SCC) bei Drittlandbezug
    Datenschutz:
    vercel.com/docs/analytics/privacy-policy

  • Resend Inc.

    Zweck:
    Transaktionaler E-Mail-Versand (Lead-Notifikationen, Einladungen)
    Standort:
    USA
    Rechtsgrundlage:
    Swiss-U.S. / EU-U.S. Data Privacy Framework, soweit zertifiziert; sonst Standardvertragsklauseln (SCC)
    Datenschutz:
    resend.com/legal/privacy-policy

  • Sentry (Functional Software, Inc.)

    Zweck:
    Error- und Crash-Reporting (Plattform-Stabilität)
    Standort:
    USA
    Rechtsgrundlage:
    Berechtigtes Interesse; Swiss-U.S. / EU-U.S. Data Privacy Framework, soweit zertifiziert; sonst SCC
    Datenschutz:
    sentry.io/privacy/

Cookies und ähnliche Technologien

Wir setzen ausschliesslich technisch notwendige sowie — nach Ihrer Einwilligung — analytische Technologien ein:

  • Essentielle Cookies (Auth-Session): Supabase-Session-Cookies (sb-*) sind technisch erforderlich für Login und Sitzungspersistenz — dafür ist keine separate Einwilligung erforderlich.
  • localStorage firedox-cookie-consent: speichert Ihre Cookie-Präferenz (akzeptiert / abgelehnt). Technisch erforderlich, um Ihre Auswahl umzusetzen.
  • Analytische Tracker (opt-in): Vercel Analytics — laut Anbieter cookie-frei, basiert auf URL- und Referrer-Daten. Wird ausschliesslich nach ausdrücklicher Einwilligung über den Cookie-Banner geladen.
  • Sentry: setzt keine Cookies, sammelt nur bei tatsächlich auftretenden Crash-Events. Kein Consent-Gating, da berechtigtes Interesse.

Sie können Ihre Cookie-Präferenz jederzeit über den Link „Cookie- Einstellungen“ im Footer ändern.

Betroffenenrechte

Ihnen stehen die folgenden Rechte zu (DSG Art. 25 ff. / DSGVO Art. 15 ff.):

  • Auskunft über die zu Ihrer Person gespeicherten Daten
  • Berichtigung unrichtiger Daten
  • Löschung Ihrer Daten (sofern keine Aufbewahrungspflicht greift)
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit in einem maschinenlesbaren Format
  • Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses
  • Widerruf einer einmal erteilten Einwilligung — jederzeit, ohne Begründung, mit Wirkung für die Zukunft

Ihre Anfrage richten Sie bitte an support@firedox.ch. Wir antworten innerhalb von 30 Tagen.

Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren:

  • Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDOeB), Feldeggweg 1, 3003 Bern, www.edoeb.admin.ch
  • EU: Zuständige Datenschutzbehörde an Ihrem Wohnsitz oder Arbeitsplatz (z.B. für Deutschland: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Bonn).

Datensicherheit

Die Übertragung erfolgt ausschliesslich über TLS-verschlüsselte Verbindungen (HTTPS). Datenbank-seitig sind Row-Level-Security- Policies (RLS) aktiv, sodass jede Organisation nur ihre eigenen Daten sieht. Daten in Supabase sind at-rest verschlüsselt (AES-256). Alle Zugriffsversuche werden geloggt; sicherheitsrelevante Vorfälle werden gemäss Art. 24 DSG / Art. 33 DSGVO unverzüglich gemeldet.

Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die zugrunde liegende Datenverarbeitung oder die rechtlichen Vorgaben ändern. Materielle Änderungen (z.B. neue Auftragsverarbeiter, neue Tracker) kommunizieren wir aktiven Nutzerinnen und Nutzern per E-Mail.

Stand: 2026-06-02