Datenschutzerklärung
Stand: 7. Mai 2026 · Version 2.0
1. Verantwortliche Stelle
Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und des revidierten Schweizer Datenschutzgesetzes (revDSG) ist:
Innopulse Consulting GmbH
Gotthardstrasse 30
6300 Zug
Schweiz
UID: CHE-219.727.921
Geschäftsführer: Leutrim Miftaraj
E-Mail: hallo@flenio.ch
Datenschutzanfragen: datenschutz@flenio.ch
2. Vertreter in der EU
Da unser Sitz in der Schweiz liegt, wir aber Dienste an Personen in der EU anbieten, benennen wir gemäss Art. 27 DSGVO einen Vertreter in der Europäischen Union. Bis zur formalen Bestellung können sämtliche Anfragen direkt an datenschutz@flenio.ch gerichtet werden; ein EU-Vertreter wird im Rahmen des Wachstums über die DACH-EU-Kunden hinaus formal benannt.
3. Geltungsbereich
Diese Datenschutzerklärung gilt für die Domains flenio.ch, flenio.de, flenio.at, flenio.io sowie alle Unterdomains (insbesondere app.flenio.ch) und für die zugehörige Software-as-a-Service-Anwendung „Flenio".
4. Anwendbare Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten ausschliesslich auf Basis einer der folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Bereitstellung der App, Abrechnung).
- Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung (Buchhaltung, Steuern).
- Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (z. B. Sicherheits-Logs, Missbrauchsbekämpfung, Produkt-Verbesserung in eingewilligten Fällen).
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Analytics-Cookies, Newsletter).
- Art. 31 Abs. 1 revDSG – berechtigtes Interesse / Vertragserfüllung im Schweizer Geltungsbereich.
5. Welche Daten wir verarbeiten
5.1 Konto- und Profildaten
- Name, E-Mail-Adresse, optional Profilbild und Zeitzone.
- Passwort-Hash (bcrypt, niemals im Klartext).
- Workspace-Mitgliedschaften und Rollen.
5.2 Inhaltliche Daten
- Projekte, Aufgaben, Kommentare, Anhänge, Custom Fields, Zeiteinträge, Ziele.
- Du bestimmst den Inhalt; Flenio agiert hier als reiner Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
5.3 Abrechnungsdaten
- Rechnungsadresse, Mehrwertsteuer-Nummer, Stripe-Customer-ID, Zahlungsbeleg-Metadaten.
- Karten-/IBAN-Daten werden ausschliesslich von Stripe verarbeitet, niemals von uns gespeichert.
5.4 Technische Daten und Logs
- IP-Adresse (gekürzt nach 7 Tagen), User-Agent, Anfragezeit – zur Sicherheit, Missbrauchserkennung und Fehlerdiagnose.
- Audit-Log (Anmeldungen, kritische Workspace-Aktionen): 7 Tage (Free), 30 Tage (Team), unbegrenzt im Business-Plan.
6. Datenresidenz und Hosting
Wir treffen klare Entscheidungen zur Datenhaltung:
- Standard-Hosting für alle Pläne: Zürich, Schweiz (Supabase Region
eu-central-2, AWS Zürich). Aufgaben-Inhalte, Datei-Anhänge, Audit-Logs und Backups verbleiben physisch in der Schweiz. Kein Region-Wechsel, keine Aufpreise. - CDN / Edge-Caching: Statische Marketing-Assets (Bilder, JavaScript-Bundles) werden global ausgeliefert. Personenbezogene Daten werden nicht im Edge gecacht.
- Compute-Region: Server-seitige Logik (Server Actions, API-Routen) läuft in der nächstgelegenen EU-Region Frankfurt (Vercel
fra1). Inhalte verbleiben dort nicht persistent gespeichert; sie werden lediglich für die Dauer einer Anfrage in den Arbeitsspeicher der Lambda geladen und unmittelbar zurück nach Zürich geschrieben.
7. Auftragsverarbeiter (Sub-Processors)
Folgende Auftragsverarbeiter setzen wir mit AVV nach Art. 28 DSGVO ein:
| Anbieter | Zweck | Standort | Schutzmassnahmen |
|---|---|---|---|
| Supabase Inc. / Supabase EU | Datenbank, Authentifizierung, Datei-Speicher (PostgreSQL, Auth, Storage). Standard-Region: Zürich (Schweiz, eu-central-2) für alle Pläne. | Schweiz (Zürich, eu-central-2) | AVV nach Art. 28 DSGVO, EU-Standardvertragsklauseln (SCCs), SOC 2 Type 2. |
| Vercel Inc. | Hosting der Frontend-Anwendung und API-Routen. Edge-Auslieferung statischer Assets via globales CDN; rechenintensive Funktionen werden in EU-Region (Frankfurt, fra1) ausgeführt. | USA / EU-Region (fra1) für Compute, kein Daten-Persist | AVV (Data Processing Addendum) nach Art. 28 DSGVO, EU-SCCs, EU-Compute-Region erzwungen via vercel.json Konfiguration. |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Kreditkarten, SEPA, Twint), Rechnungen, Abonnements, Steuerberechnung. | Irland (Stripe Payments Europe), USA (Stripe Inc. als Konzernmutter) | AVV nach Art. 28 DSGVO, EU-SCCs, PCI-DSS Level 1. |
| Resend | Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen, Passwort-Resets, Rechnungsnachweise). | EU / USA | AVV nach Art. 28 DSGVO, EU-SCCs. |
| Anthropic PBC | Verarbeitung von KI-Prompts für Funktionen wie Aufgaben-Vorschläge, Smart-Routing, Briefing-Generierung. Deine Eingaben werden nicht zum Modelltraining verwendet. | USA, EU-Endpoint | AVV (Zero Data Retention beantragbar), EU-SCCs, kein Training auf Kundendaten. |
| PostHog (EU Cluster) | Produkt-Analytics zur Verbesserung der Anwendung. Wird nur nach expliziter Cookie-Einwilligung geladen. | EU (Frankfurt) | AVV, ausschliesslich EU-Datenhaltung im EU-Cluster. |
Eine Aktualisierung dieser Liste wird hier bekanntgegeben. Vertragskunden auf dem Business-Plan erhalten zusätzlich eine schriftliche Vorabinformation 30 Tage vor dem Wechsel oder der Hinzunahme eines Auftragsverarbeiters.
8. Internationale Datenübermittlung
Soweit personenbezogene Daten in Drittländer (insbesondere die USA) übermittelt werden, stützen wir die Übermittlung auf:
- EU-Standardvertragsklauseln (Module 2 und 3, Beschluss (EU) 2021/914),
- EU–US Data Privacy Framework (sofern der jeweilige Anbieter zertifiziert ist),
- zusätzliche technische Massnahmen (Transport-Verschlüsselung TLS 1.3, Daten-Verschlüsselung at rest, pseudonymisierte Logs).
9. Speicherdauer
- Konto- und Inhaltsdaten: für die Dauer der aktiven Nutzung des Workspaces.
- Nach Kündigung: 30 Tage „Soft-Delete" (Wiederherstellung möglich) gefolgt von vollständiger Löschung innert weiterer 30 Tage. Backups werden spätestens nach 90 Tagen rotiert.
- Buchhaltungsbelege (Rechnungen, MwSt.-Nachweise): 10 Jahre nach Schweizer Obligationenrecht (Art. 958f OR).
- Sicherheits-Logs: 7 Tage (Free) bis unbegrenzt (Business).
- IP-Adressen in Webserver-Logs: gekürzt nach 7 Tagen.
10. Cookies und Tracking
Wir setzen ausschliesslich folgende Cookie-Kategorien ein:
- Notwendige Cookies: Authentifizierungs-Session (
flenio_session), Workspace-Auswahl (flenio_active_workspace), Cookie-Consent-Status. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. - Analyse-Cookies (PostHog EU): Werden nur nach expliziter Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Du kannst die Einwilligung jederzeit über das Cookie-Banner widerrufen.
Wir setzen keine Marketing-Cookies oder Tracker von Drittanbietern (kein Google Ads, kein Facebook Pixel, kein LinkedIn Insight).
10a. Session-Dauer und „Eingeloggt bleiben"
Damit du dich nicht ständig neu anmelden musst, bleibt deine Anmeldung standardmäßig bis zu 30 Tage bestehen, sofern du dich nicht aktiv abmeldest. Konkret:
- Inaktivitäts-Timeout: 30 Tage. Wenn du Flenio 30 Tage nicht öffnest, wirst du automatisch abgemeldet.
- Time-Box: 30 Tage. Auch bei aktiver Nutzung wirst du spätestens nach 30 Tagen ausgeloggt und musst dich neu authentifizieren — Schutz gegen verlorene/gestohlene Geräte.
- Aktive Sitzungen einsehen und beenden: Unter „Einstellungen → Sicherheit → Aktive Sitzungen" siehst du jederzeit alle Geräte/Browser, auf denen du eingeloggt bist. Du kannst einzelne Sitzungen oder alle anderen Sitzungen mit einem Klick beenden.
- Bei aktiviertem SSO: Die maximale Session-Dauer kann durch deinen Identity-Provider (Azure AD, Okta, Google Workspace) restriktiver gesetzt sein. Es gilt jeweils der niedrigere Wert.
- Bei aktivierter 2FA: Nach jedem Login wird ein zweiter Faktor abgefragt (Authenticator-App). Die 30-Tage-Session bleibt davon unberührt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 32 DSGVO (Sicherheit der Verarbeitung). Du kannst die Session-Dauer auf deiner Seite jederzeit verkürzen, indem du dich aktiv abmeldest.
11. KI-Funktionen und Datenverwendung
Bei Nutzung der KI-Funktionen (Aufgaben-Vorschläge, Smart-Routing, Briefing-Generierung) werden die nötigen Aufgabentexte über AVV-konforme Drittanbieter (Anthropic) verarbeitet:
- Eingaben werden nicht zum Trainieren von Modellen verwendet.
- Es werden keine Klarnamen, E-Mails oder andere personenidentifizierenden Felder mitgeschickt – ausschliesslich der Aufgabentext.
- Die Verarbeitung erfolgt synchron während des API-Aufrufs; es findet keine dauerhafte Speicherung beim Anbieter statt (Zero-Data-Retention-Regel beantragt).
- Du kannst KI-Funktionen pro Workspace deaktivieren.
12. Sicherheit
- Ausschliessliche Auslieferung über HTTPS/TLS 1.3.
- Datenbank-Verschlüsselung at rest (AES-256).
- Zeilenbasierte Zugriffskontrolle (Row-Level Security) auf jeder Tabelle.
- Strict-Transport-Security, X-Frame-Options DENY, Content-Security-Policy.
- Regelmässige Backups, Point-in-Time-Recovery, getrennte Test- und Produktivumgebungen.
- 2-Faktor-Authentifizierung möglich (TOTP).
13. Deine Rechte
Sowohl die DSGVO als auch das revDSG gewähren dir umfassende Rechte:
- Auskunft (Art. 15 DSGVO, Art. 25 revDSG) – kostenlose Übersicht der gespeicherten Daten.
- Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten direkt im Profil.
- Löschung (Art. 17 DSGVO) – Recht auf Vergessenwerden über Konto-Löschung in den Einstellungen oder per E-Mail.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO) – Export deiner Inhalte als JSON/CSV.
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigten Interesses.
- Widerruf einer Einwilligung mit Wirkung für die Zukunft.
- Beschwerde bei einer Aufsichtsbehörde:
- Schweiz: EDÖB – Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
- Deutschland: zuständige Landes-Datenschutzbehörde nach Wohnort
- Österreich: Datenschutzbehörde
Anfragen zu Betroffenenrechten richtest du bitte an datenschutz@flenio.ch. Antwort innert 30 Tagen, üblicherweise innert 7 Tagen.
14. Automatisierte Entscheidungen
Es findet keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO statt. Auch KI-Vorschläge sind reine Empfehlungen und werden niemals automatisch umgesetzt.
15. Kontaktformular und E-Mail
Wenn du uns per E-Mail oder Formular kontaktierst, verarbeiten wir die übermittelten Daten zur Bearbeitung deiner Anfrage (Art. 6 Abs. 1 lit. b/f DSGVO). Anfragen werden nach Erledigung gelöscht, spätestens nach 24 Monaten.
16. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung bei wesentlichen Änderungen an. Aktive Nutzer werden mindestens 14 Tage vor Inkrafttreten per E-Mail informiert. Die jeweils aktuelle Version ist immer unter /datenschutz abrufbar.
17. Auftragsverarbeitung gegenüber unseren Kunden
Soweit du Flenio im Rahmen deiner geschäftlichen Tätigkeit nutzt, sind wir hinsichtlich deiner Inhaltsdaten dein Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Den entsprechenden Auftragsverarbeitungsvertrag (AVV) findest du als integralen Bestandteil unserer Nutzungsbedingungen.