Datenschutzerklärung

Stand: August 2025 · Version 1.1 (CH revDSG & DSGVO-kompatibel)

1. Verantwortliche Stelle

KMUCONTENT (Projektname, keine Rechtsform)
Anes Ismaili / Antonio Fernandez Puron
Räbgruebstrasse 14, 9524 Zuzwil, Schweiz
E-Mail: info@kmucontent.ch · Tel.: 076 613 20 49 / 076 613 20 25

Kontaktstelle Datenschutz: info@kmucontent.ch (Betreff: „Datenschutz“)
Datenschutzbeauftragter (DPO): nicht benannt (nicht vorgeschrieben).
EU-/EWR-Vertretung (Art. 27 DSGVO): derzeit nicht erforderlich; wird benannt, falls künftig nötig.

2. Geltungsbereich

Diese Erklärung gilt für kmucontent.ch inkl. Unterseiten, unsere Formulare (Unternehmen & Profis) sowie die damit verbundene Kommunikation per E-Mail/Telefon und optional eingesetzte Dienste (siehe Ziff. 7).

3. Begriffe (Kurz)

• Personendaten: alle Angaben zu einer bestimmten/bestimbaren Person.
• Bearbeiten: jeder Umgang mit Personendaten (erheben, speichern, übermitteln, löschen etc.).
• Profiling / automatisierte Entscheidungen: finden bei uns nicht statt.
• Besonders schützenswerte Daten: z. B. Gesundheitsdaten – werden nicht verarbeitet.

4. Datenquellen & Kategorien

• Direkt von Ihnen: Formulare, E-Mails, Telefonate, Anhänge (PDF/NDA), Links (Portfolio).
• Automatisch: Server-Logs (IP, Datum/Zeit, URL, Status-Code, User-Agent, Referrer).
• Optional (nur bei Aktivierung): Nutzungsdaten aus Analytics/Marketing/Consent-Tools.

5. Zwecke der Bearbeitung

• Kommunikation & Anfragebearbeitung (Unternehmen/Profis), Vor-/Vertragsanbahnung
• Projekt-/Vermittlungsabwicklung (Matching, Auswahl geeigneter Profis)
• Betrieb & Sicherheit der Website (Logs, Missbrauchs-/Betrugsprävention)
• Rechtliche Pflichten & Aufbewahrung
• Newsletter/Direktmarketing (nur bei Einwilligung)
• Webanalyse/Optimierung/Marketing (nur bei Einwilligung)

6. Rechtsgrundlagen

Schweiz – revDSG Bearbeitung nach Treu & Glauben, Verhältnismässigkeit, Zweckbindung.

EU/EWR – DSGVO (soweit anwendbar) Art. 6 Abs. 1 b (Vertrag/Vorvertrag), Art. 6 Abs. 1 f (berechtigte Interessen: sicherer Betrieb, Kommunikation, Qualität), Art. 6 Abs. 1 c (rechtliche Pflichten), Art. 6 Abs. 1 a (Einwilligung: Newsletter/Analytics/Marketing).

7. Dienste, Cookies & Tracking (modular)

Grundsatz: Keine nicht-essenziellen Cookies ohne Einwilligung. Essenzielle Cookies (Sicherheit/Consent-Speicherung) können eingesetzt werden.

7.1 Consent-Management

Wir protokollieren Zustimmungen/Widerrufe (Zeitstempel, Auswahl, pseudonyme ID), um Nachweispflichten zu erfüllen. (Benennung des konkret verwendeten CMP, z. B. Complianz/Borlabs, sobald aktiviert.)

7.2 Webanalyse (optional)

• Plausible/Umami (cookielos): pseudonyme Reichweitenmessung ohne Cookies. (Details ergänzen, falls eingesetzt.)
• Google Analytics 4: nur mit Einwilligung; IP-Anonymisierung; mögliche Verarbeitung in der EU/USA; DSGVO-Rechtsgrundlage Art. 6 Abs. 1 a (Consent). Widerruf jederzeit.

7.3 Marketing-Tags (optional)

Meta Pixel / Google Ads: nur mit Einwilligung; Profilbildung für personalisierte Werbung möglich; Drittlandübermittlungen (USA) auf Basis Standardvertragsklauseln (SCC) und Zusatzmassnahmen.

7.4 Sicherheits-/Bot-Schutz (optional)

reCAPTCHA (Google): nur mit Einwilligung, da Tracking möglich.

7.5 Einbettungen (optional)

YouTube/Vimeo, Karten, externe Fonts, Chat-Widgets – nur nach Einwilligung oder via Two-Click-Lösung. Dabei können Nutzungsdaten an Drittanbieter fliessen.

Cookie-Beispiele (nur falls aktiv)

Nur tatsächlich genutzte Cookies und Dienste in der Tabelle belassen; nicht genutzte Einträge bitte entfernen.

8. Formulare & Kommunikation

Unternehmen („/company-apply.php“) und Profis („/freelancer-apply.php“): Wir verarbeiten die von Ihnen eingegebenen Daten (inkl. Anhänge wie PDF/NDA) zur Prüfung, Kontaktaufnahme, Angebotserstellung, Vermittlung und Vertragsabwicklung. Antworten/Bestätigungen erfolgen ggf. per E-Mail. Rechtsgrundlage: revDSG; ggf. DSGVO Art. 6 Abs. 1 b/f.

Newsletter (optional): Versand nur nach Einwilligung (empfohlen: Double-Opt-In). Widerruf jederzeit per E-Mail an info@kmucontent.ch.

9. Empfänger & Auftragsbearbeiter

• Hosting & E-Mail: cyon GmbH, Basel (Schweiz) – Auftragsbearbeitung (Serverbetrieb, E-Mail-Transport, Logs/Backups).
• Intern: Nur soweit für Prüfung/Matching/Projektabwicklung erforderlich (Anes Ismaili / Antonio Fernandez Puron).
• Optionale Tools: z. B. Google/Meta/[Newsletter-Tool]/[Analytics-Anbieter], jeweils mit Auftragsverarbeitung (Art. 28 DSGVO) und SCC, wo erforderlich.

10. Auslandübermittlungen

Grundsätzlich Schweiz/EU/EWR. Bei Einsatz von Anbietern in Staaten ohne angemessenes Datenschutzniveau (z. B. USA) nutzen wir Standardvertragsklauseln (SCC) und geeignete Schutzmassnahmen (z. B. Verschlüsselung, Datenminimierung).

11. Aufbewahrungsfristen

• Anfragen/Bewerbungen: i. d. R. bis zu 12 Monate; länger, wenn zur Abwicklung/Beweissicherung nötig.
• Vertrags-/Geschäftsunterlagen: gemäss gesetzlichen Pflichten (Schweiz i. d. R. 10 Jahre).
• Consent-Logs: bis zu 5 Jahre nach letztem Zugriff bzw. bis Widerruf + Nachweisfrist.

12. Datensicherheit (TOMs – Auszug)

TLS-Verschlüsselung; rollenbasierte Zugriffe; Need-to-know; starke Passwörter/MFA (wo verfügbar); aktuelle Serverumgebung (cyon); Protokollierung/Monitoring; regelmässige Backups; Datenminimierung; Schutz von Anhängen im Übertragungsweg.

13. Ihre Rechte

Sie haben – im Rahmen des geltenden Rechts – insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragung, Widerspruch (u. a. gegen Direktmarketing/Profiling) sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft. Kontakt: info@kmucontent.ch. Wir verifizieren Anfragen angemessen.

Beschwerdestellen: Schweiz: EDÖB. EU/EWR: zuständige Datenschutzaufsicht.

14. Minderjährige

Unser Angebot richtet sich nicht an Kinder unter 16 Jahren.

15. Social-Media-Auftritte (Joint Controllership)

Falls vorhanden: Bei Auftritten auf z. B. Instagram/LinkedIn sind wir gemeinsam mit der Plattform für Seiten-Insights verantwortlich. Beachten Sie dortige Datenschutzhinweise.

16. Video-/Telefonkonferenzen (optional)

Falls genutzt: Verarbeitung der Teilnahme-Daten (Name, E-Mail, IP, ggf. Audio/Video). Anbieter: z. B. Zoom/Teams/Google Meet; Rechtsgrundlage: Vertrag/Vorvertrag bzw. berechtigtes Interesse.

17. Zahlungen (optional)

Falls später Shop/Payments: Zahlungsdaten werden direkt beim Zahlungsanbieter (z. B. Stripe/PayPal) verarbeitet.

18. Änderungen dieser Erklärung

Wir aktualisieren diese Erklärung bei Änderungen von Angebot, Technik oder Rechtslage. Es gilt die jeweils veröffentlichte Version.

19. Rollen & Vertragsbeziehungen (Controller/Processor, AVV)

Grundsatz: KMUCONTENT (Anes Ismaili / Antonio Fernandez Puron) ist für Vermittlung, Kommunikation, Angebots- und Projektabwicklung in der Regel eigener Verantwortlicher (CH: Verantwortlicher; EU: Controller). Dabei verarbeiten wir Kontaktdaten und inhaltliche Angaben eigenständig zu eigenen Zwecken (z. B. Prüfung, Matching, Kommunikation, Abwicklung).

Auftragsbearbeitung/-verarbeitung (Processor): Sofern Kund:innen uns beauftragen, deren Personendaten nach Weisung zu verarbeiten (z. B. Zugriff auf Kundensysteme/CRM, Versand von Kampagnen, Pflege von Leads), handeln wir als Auftragsbearbeiter (EU: Processor). In diesem Fall schliessen wir mit der/dem Verantwortlichen einen Auftragsbearbeitungsvertrag (AVV; EU: Data Processing Agreement, DPA) gemäss revDSG/DSGVO ab.

Freelancer/Profis: Im Rahmen der Vermittlung übermitteln wir erforderliche Kontaktdaten und Projektdetails an geeignete Profis. Die/der Profi ist regelmässig eigene:r Verantwortliche:r für die eigene Geschäftstätigkeit. Übernimmt die/der Profi Tätigkeiten im Auftrag des Kunden (z. B. Verarbeitung von Kundendaten im CRM des Kunden), erfolgt dies als Unterauftragsbearbeitung unter dem AVV des Kunden. Wir regeln dies vertraglich (Zweck, Weisungen, TOMs, Geheimhaltung).

Transparenz: Ob wir (a) eigenständig Verantwortliche sind (Controller-to-Controller) oder (b) als Auftragsbearbeiter (Processor) tätig werden, hängt vom konkreten Projekt ab und wird im jeweiligen Vertrag/Leistungsnachweis/Statement of Work festgehalten. Eine Kopie unserer Standard-AVV stellen wir auf Anfrage bereit (info@kmucontent.ch).

19.1 Inhalte eines AVV (Kurzüberblick)

• Gegenstand, Dauer, Zweck der Bearbeitung; Kategorien von Daten/Betroffenen
• Weisungsrecht der/des Verantwortlichen; Dokumentation von Weisungen
• Vertraulichkeit, Schulung und Verpflichtung der Personen mit Datenzugang
• Technische und organisatorische Massnahmen (TOMs) inkl. Verschlüsselung, Zugriffsschutz, Protokollierung
• Sub-Auftragsbearbeiter (z. B. Hosting/E-Mail bei cyon) mit Genehmigungs-/Informationsprozess
• Unterstützung bei Betroffenenrechten (Auskunft, Löschung, Berichtigung, Portabilität)
• Umgang mit Datenschutzvorfällen (Meldewege, Fristen, Inhalte)
• Löschung/Rückgabe der Daten nach Auftragsende; Nachweispflichten/Audits
• Drittlandübermittlungen einschliesslich geeigneter Garantien (SCC), falls erforderlich

Sub-Prozessoren (Auszug): cyon GmbH, Basel (CH) – Hosting/E-Mail. Weitere Sub-Prozessoren werden projektspezifisch benannt und vertraglich eingebunden.

Anhang A – Verzeichnis der Verarbeitungstätigkeiten (Kurz)

Anhang B – Auftragsbearbeiter (derzeit)

• cyon GmbH, Basel (Hosting/E-Mail, Schweiz)
• Optional ergänzen: Newsletter-Tool, Analytics-Anbieter, CRM

Anhang C – AVV-Checkliste (für Projekte mit Auftragsbearbeitung)

• Rollenklärung (Verantwortliche:r ↔ Auftragsbearbeiter:in) & Zweck/Dauer dokumentiert
• Weisungen schriftlich; TOMs angehängt; Vertraulichkeit zugesichert
• Sub-Prozessoren (inkl. cyon) gelistet; Änderungen mit Vorab-Info/Genehmigung
• Betroffenenrechte-Support; Verfahren für Sicherheitsvorfälle
• Löschung/Rückgabe nach Ende; Nachweise/Auditrechte geregelt
• Falls Übermittlung ausserhalb CH/EU/EWR: SCC + Zusatzmassnahmen