Datenschutzerklärung
Stand: Juli 2026
1. Verantwortliche Stelle
Stavio AG · Sternmattstrasse 14H, 6005 Luzern · office@stavio.ch
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Website stavio.ch sowie für die Stavio-Plattform (SaaS).
3. Welche Daten wir bearbeiten
Websitebesucher: Technische Daten (IP-Adresse, Browsertyp) werden durch Cloudflare verarbeitet und nicht dauerhaft gespeichert.
Kontaktanfragen: E-Mail-Adresse und Nachrichteninhalt zur Bearbeitung Ihrer Anfrage.
Plattformnutzer: Identifikationsdaten, Authentifizierungsdaten, Organisationsdaten, Arbeitszeitdaten, Zulagendaten, Dokumente (Stundenrapporte), Audit-Daten, alle persistent gespeichert ausschliesslich in der Schweiz (Zürich).
Ausdrücklich nicht bearbeitet: Gesundheitsdaten, Lohn-/Gehaltsdaten, Krankmeldungen, Abwesenheitsgründe, Sozialversicherungsnummern.
4. KI-gestützte Rapportauslesung
Hochgeladene Rapportbilder werden zur strukturierten Datenextraktion an Google Vertex AI (Gemini) übermittelt. Die KI speichert keine Daten dauerhaft und verwendet keine Kundendaten für Modelltraining. Verarbeitungsregion: Niederlande (EWR). Google Cloud DPA vorhanden. Zertifizierungen: ISO 27001, SOC 2 Type II, EU-US Data Privacy Framework.
5. Datenstandorte
| Datenart | Standort | Anbieter |
|---|---|---|
| Persistente Kundendaten | Zürich, Schweiz | Supabase/AWS, Google Cloud Run |
| KI-Inferenz (transient) | Niederlande (EWR) | Google Vertex AI |
6. Unterauftragnehmer
| Anbieter | Standort | Zweck |
|---|---|---|
| Supabase/AWS | Zürich, CH | Datenbank, Auth, Storage |
| Google Cloud | Zürich + Niederlande | Hosting, KI-Inferenz |
| Cloudflare | Global (DPF) | CDN, DDoS-Schutz |
| Resend | Global (transient) | Transaktions-E-Mails |
| GitHub | USA | Nur Code, keine Kundendaten |
Mit allen Anbietern besteht ein Auftragsverarbeitungsvertrag (DPA).
7. Aufbewahrungsfristen
| Datenart | Frist |
|---|---|
| Benutzerdaten | Bis Kontolöschung |
| Stundenrapporte | Bis manuelle Löschung durch Nutzer |
| Audit-Logs | 90 Tage aktiv, danach Archiv |
| KI-Daten | Keine Speicherung |
8. Datensicherheit
- TLS 1.2+ in Transit
- AES-256 at Rest
- bcrypt-Passwörter
- Row-Level Security (Mandantentrennung)
- 6-stufiges Rollenmodell
- Vollständiger Audit-Trail
9. Ihre Rechte
Auskunft · Berichtigung · Löschung · Einschränkung · Datenübertragbarkeit · Beschwerderecht beim EDÖB.
Kontakt: office@stavio.ch
10. Änderungen
Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert. Die aktuelle Version ist stets unter stavio.ch/datenschutz abrufbar.
