Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Bearbeitung Ihrer Personendaten im Sinne des Schweizer Datenschutzgesetzes (nDSG, SR 235.1) ist:

Nextrova OÜ
trading as Ultimata
Ahtri tn 12, 15551 Tallinn, Estland
E-Mail: [email protected]

Für Nutzer mit Wohnsitz in der EU gilt ergänzend die Datenschutz-Grundverordnung (DSGVO). Soweit DSGVO-Anforderungen strenger sind, werden diese eingehalten.

2. Erhobene Personendaten

Wir bearbeiten ausschliesslich jene Daten, die für den Betrieb des Dienstes erforderlich sind:

Datenkategorie	Konkrete Daten	Zweck
Kontodaten	Name, E-Mail-Adresse, Passwort (bcrypt-gehasht), Kanton, Adresse (optional)	Kontoführung, Brieferstellung, Betreibungsbegehren
Falldaten	Firma/Gegenpartei, Sachverhalt, Forderungsbetrag, Kategorie, Datum des Vorfalls	KI-Generierung des Beschwerdebriefes
Zahlungsdaten	Stripe-Kunden-ID, Zahlungsreferenzen (keine Kartendaten – diese verarbeitet Stripe direkt)	Zahlungsabwicklung, Quittungen
Kommunikationsdaten	E-Mail-Alias ([email protected]), eingehende Antwortnachrichten-Metadaten (keine Inhalte gespeichert)	Schadensnachverfolgung (Eskalationspaket)
Nutzungsdaten	IP-Adresse (anonymisiert), Browser-Typ, Zugriffszeitpunkte, Fehlerprotokolle	Sicherheit, Fehlerdiagnose, Rate-Limiting
Referral-Daten	Referral-Code, Gutschriftbetrag, verbundene Nutzer-IDs	Empfehlungsprogramm

3. Rechtsgrundlagen der Datenbearbeitung

Vertragserfüllung (Art. 31 Abs. 2 lit. a nDSG / Art. 6 Abs. 1 lit. b DSGVO): Kontodaten, Falldaten und Zahlungsdaten sind zur Erbringung der vertraglich vereinbarten Leistungen zwingend erforderlich.
Berechtigte Interessen (Art. 31 Abs. 1 nDSG / Art. 6 Abs. 1 lit. f DSGVO): Betrieb und Sicherheit der Plattform, Missbrauchsprävention, Fehlerdiagnose und Weiterentwicklung des Dienstes.
Einwilligung (Art. 6 nDSG / Art. 6 Abs. 1 lit. a DSGVO): Für Marketing-E-Mails und Benachrichtigungen, soweit nicht für die Vertragsabwicklung erforderlich. Die Einwilligung kann jederzeit widerrufen werden.
Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Buchungsdaten und Zahlungsbelegen gemäss Schweizer Buchführungsrecht (OR Art. 958f, 10 Jahre).

4. KI-Verarbeitung – Anthropic Claude

Zur Generierung der Beschwerdebriefe übermitteln wir den Sachverhalt, die Kategorie und den Forderungsbetrag an die KI-API von Anthropic, PBC (USA). Anthropic ist vertraglich verpflichtet, diese Daten ausschliesslich zur Erbringung der API-Leistung zu verwenden und nicht zum Training seiner Modelle zu nutzen (Anthropic API Data Usage Policy).

Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäss Art. 16 nDSG bzw. Art. 46 DSGVO sowie des Swiss-US Data Privacy Framework.

Empfehlung: Geben Sie im Sachverhaltsfeld keine besonders sensiblen Personendaten (z.B. Gesundheitsdaten, AHV-Nummer) ein, die über die für die Beschwerde relevanten Fakten hinausgehen.

5. Drittanbieter und Auftragsverarbeiter

Anbieter	Sitz	Zweck	Rechtsgrundlage für Übermittlung
Stripe	Irland / USA	Zahlungsabwicklung	SCC, Angemessenheitsbeschluss EU-USA DPF
Anthropic	USA	KI-Briefgenerierung	SCC, Swiss-US DPF
Cloudflare	USA / EU	CDN, E-Mail-Routing, DDoS-Schutz	SCC, Angemessenheitsbeschluss EU-USA DPF
Hetzner / Coolify	Deutschland (EU)	Server-Infrastruktur	Angemessenes Schutzniveau (EWR)

Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung (AV-Verträge) gemäss Art. 9 nDSG / Art. 28 DSGVO. Kein Anbieter erhält Ihre Daten für eigene Zwecke oder zur Weitergabe an Dritte.

6. Speicherdauer

Kontodaten und Falldaten: Bis zur Löschung des Nutzerkontos, maximal jedoch 36 Monate ab letzter Aktivität, danach automatische Anonymisierung.
Zahlungsbelege und Buchungsdaten: 10 Jahre gemäss OR Art. 958f (buchführungsrechtliche Aufbewahrungspflicht).
Nutzungsprotokolle (Logs): 90 Tage, danach automatische Löschung.
E-Mail-Alias und Routing-Regeln: Bis zum Ende der Laufzeit des Eskalationspakets (90 Tage ab Kauf) bzw. bis zur Kontolöschung.
Backup-Daten: 30 Tage, danach überschrieben.

7. Cookies und Tracking

Ultimata.ch verwendet keine Werbe-Cookies und kein Cross-Site-Tracking. Es werden ausschliesslich technisch notwendige Session-Tokens (JWT, gespeichert im LocalStorage des Browsers) für die Authentifizierung eingesetzt. Es werden keine Analyse-Dienste wie Google Analytics verwendet.

8. Datensicherheit

Wir ergreifen angemessene technische und organisatorische Massnahmen:

TLS 1.3-Verschlüsselung aller Datenübertragungen (HTTPS/HSTS)
Passwörter werden ausschliesslich mit bcrypt gehasht und gesaltet gespeichert (nie im Klartext)
Datenbankzugriff nur über verschlüsselte Verbindungen innerhalb eines privaten Netzwerks
Regelmässige Backups und Monitoring auf Sicherheitsvorfälle
Prinzip der minimalen Rechtevergabe für alle Systemprozesse
E-Mail-Verification bei der Registrierung

Bei einem Datenschutzverletzungsvorfall, der ein hohes Risiko für betroffene Nutzer darstellt, werden diese unverzüglich, spätestens innerhalb von 72 Stunden, informiert.

9. Ihre Rechte

Als betroffene Person haben Sie nach nDSG (und sofern anwendbar nach DSGVO) die folgenden Rechte, die Sie jederzeit geltend machen können:

Auskunftsrecht (Art. 25 nDSG / Art. 15 DSGVO): Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
Berichtigungsrecht (Art. 32 nDSG / Art. 16 DSGVO): Unrichtige oder unvollständige Daten werden auf Antrag unverzüglich korrigiert. Viele Daten können Sie selbst in Ihrem Nutzerprofil anpassen.
Löschungsrecht (Art. 32 nDSG / Art. 17 DSGVO): Sie können die Löschung Ihres Kontos und der damit verbundenen Daten beantragen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung der Bearbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten in bestimmten Situationen verlangen.
Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format anfordern.
Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage berechtigter Interessen widersprechen.
Widerruf der Einwilligung: Erteilte Einwilligungen können jederzeit ohne Angabe von Gründen widerrufen werden, ohne dass die Rechtmässigkeit der bis dahin erfolgten Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an [email protected]. Wir beantworten Anfragen innerhalb von 30 Tagen. Wir können eine Identitätsverifikation verlangen, um Missbrauch zu verhindern.

10. Beschwerderecht

Wenn Sie der Ansicht sind, dass die Bearbeitung Ihrer Personendaten gegen das nDSG oder die DSGVO verstösst, haben Sie das Recht, beim zuständigen Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder – für EU-Nutzer – bei der zuständigen Aufsichtsbehörde Ihres Wohnsitzmitgliedstaats Beschwerde einzureichen.

EDÖB: www.edoeb.admin.ch

11. Besondere Kategorien von Personendaten

Ultimata.ch erhebt keine besonders schützenswerten Personendaten im Sinne von Art. 5 lit. c nDSG (z.B. Gesundheitsdaten, Biometrie, politische Ansichten). Sofern ein Nutzer im Sachverhalt freiwillig solche Informationen erwähnt (z.B. gesundheitliche Gründe für eine Versicherungsbeschwerde), werden diese ausschliesslich zur Generierung des Briefes verwendet und nicht zu anderen Zwecken bearbeitet.

12. Minderjährige

Ultimata.ch richtet sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Falls uns bekannt wird, dass eine minderjährige Person ein Konto erstellt hat, werden die entsprechenden Daten unverzüglich gelöscht.

13. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, um rechtlichen Anforderungen oder Änderungen am Dienst Rechnung zu tragen. Das Datum der letzten Aktualisierung ist stets oben angegeben. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

14. Kontakt Datenschutz

Nextrova OÜ (Ultimata) – Datenschutzanfragen
E-Mail: [email protected]
Betreff: «Datenschutzanfrage»