Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich im Sinne von Art. 5 lit. j revDSG (und Art. 4 Nr. 7 DSGVO) ist:

ALPENIQ
Glasistrasse 9
8180 Bülach, Schweiz
E-Mail: admin@alpeniq.ch
Telefon: +41 78 354 30 93

Für alle Anliegen rund um den Datenschutz – Auskunft, Berichtigung, Löschung, Widerruf oder Beschwerde – erreichst du uns unter admin@alpeniq.ch. Eine separate Datenschutzberaterin oder einen separaten Datenschutzberater im Sinne von Art. 10 revDSG haben wir als 3-Personen-KMU nicht bestellt; gesetzliche Pflicht besteht hierzu nicht.

2. Grundsätze und Rechtsgrundlagen

Wir bearbeiten Personendaten ausschliesslich nach Treu und Glauben, verhältnismässig und für die in dieser Erklärung genannten Zwecke (Art. 6 revDSG).

Die Rechtsgrundlagen unserer Bearbeitungen sind im Einzelnen:
– deine Einwilligung (Art. 6 Abs. 6 und Art. 31 Abs. 1 revDSG; Art. 6 Abs. 1 lit. a DSGVO) – etwa für Analyse- und Marketing-Cookies;
– die Anbahnung oder Erfüllung eines Vertrags (Art. 31 Abs. 2 lit. a revDSG; Art. 6 Abs. 1 lit. b DSGVO) – etwa wenn du das Kontaktformular nutzt;
– unser überwiegendes berechtigtes Interesse (Art. 31 Abs. 2 lit. d revDSG; Art. 6 Abs. 1 lit. f DSGVO) – etwa für Sicherheits-Logs, Spam-Schutz und Rate-Limiting;
– eine gesetzliche Pflicht (Art. 31 Abs. 2 lit. c revDSG; Art. 6 Abs. 1 lit. c DSGVO).

3. Server-Logs und Sicherheitsdaten

Beim Aufruf unserer Website werden technische Daten automatisch durch unseren Hosting-Provider Vercel Inc. (siehe Ziff. 6) verarbeitet: IP-Adresse, Datum und Uhrzeit, Browser-Typ, Betriebssystem, Referrer-URL sowie die aufgerufene Seite. Diese Daten dienen ausschliesslich der Auslieferung der Website, der Abwehr von Angriffen und der Stabilität des Systems.

Im API-Endpunkt /api/contact verwenden wir die IP-Adresse zusätzlich für ein in-memory Rate-Limit (max. 5 Anfragen pro IP pro Stunde) und für einen CSRF-Schutz (Double-Submit-Cookie). Die IP-Adresse wird nicht in Datenbanken oder E-Mails gespeichert und nach Abschluss des Requests verworfen. Edge-Logs werden bei Vercel nach max. 30 Tagen automatisch gelöscht.

Rechtsgrundlage: berechtigtes Interesse an der IT-Sicherheit (Art. 31 Abs. 2 lit. d revDSG / Art. 6 Abs. 1 lit. f DSGVO).

4. Kontaktformular und E-Mail-Kontakt

Wenn du unser mehrstufiges Kontaktformular (/erstgespraech bzw. /initial-consultation) nutzt oder uns eine E-Mail schickst, verarbeiten wir folgende Daten: Name, Rolle im Unternehmen, E-Mail-Adresse, Telefonnummer (optional), Firmenname, Branche, Unternehmensgrösse, Information zur bestehenden Website, gewählte Dienstleistungen, Akquisekanäle, Umsatzbandbreite, Problem, Zeitrahmen, Quelle der Aufmerksamkeit sowie deine Freitext-Nachricht.

Zusätzlich übermitteln wir ein verstecktes Honeypot-Feld an unseren Server, um automatisierte Spam-Einreichungen abzuwehren. Echte Eingaben in dieses Feld werden ignoriert und nicht weiterverarbeitet.

Zweck: Bearbeitung deiner Anfrage und Vorbereitung eines kostenlosen Strategiegesprächs.
Rechtsgrundlage: vorvertragliche Massnahme auf dein Ersuchen (Art. 31 Abs. 2 lit. a revDSG / Art. 6 Abs. 1 lit. b DSGVO).
Empfänger: ALPENIQ-Postfach admin@alpeniq.ch, technisch zugestellt über Resend Inc. (siehe Ziff. 6).
Speicherdauer: bis zu 24 Monate nach dem letzten Kontakt mit dir, danach Löschung oder Anonymisierung. Wenn ein Vertrag zustande kommt, gelten die handels- und steuerrechtlichen Aufbewahrungsfristen (Art. 958f OR: 10 Jahre).

5. Cookies und ähnliche Technologien

Wir verwenden technisch notwendige Cookies, ohne die diese Website nicht funktioniert (etwa zur Speicherung deiner Cookie-Auswahl, deiner Sprache oder zum Schutz gegen Cross-Site-Request-Forgery). Diese werden ohne Einwilligung gesetzt, gestützt auf Art. 45c FMG und unser überwiegendes berechtigtes Interesse.

Alle anderen Cookies und vergleichbare Technologien (z. B. Local-Storage-Einträge, Pixel) werden ausschliesslich nach deiner ausdrücklichen Einwilligung über unser Cookie-Banner aktiviert. Du kannst deine Einwilligung jederzeit für die Zukunft widerrufen, indem du das Cookie-Banner über den Link «Cookie-Einstellungen öffnen» im Footer oder weiter unten auf dieser Seite erneut aufrufst. Der Widerruf ist genauso einfach wie die ursprüngliche Einwilligung (Art. 6 Abs. 6 revDSG).

Deine Auswahl wird in deinem Browser unter dem Schlüssel «cookie-consent» (Local Storage) gespeichert und ohne Verfallsdatum behalten, bis du sie änderst oder dein Local Storage leerst.

Übersicht der eingesetzten Cookies und vergleichbaren Speicherobjekte:

Notwendig (immer aktiv):
• csrf_token (Cookie, alpeniq.ch, 1 Stunde) – Schutz vor Cross-Site-Request-Forgery beim Kontaktformular.
• cookie-consent (Local Storage, alpeniq.ch, unbegrenzt) – Speichert deine Cookie-Einwilligung.
• NEXT_LOCALE (Cookie, alpeniq.ch, 1 Jahr) – Speichert deine Sprachauswahl (de/en).

Analyse (nur mit Einwilligung):
• _ga, _ga_<ID> (Cookie, .alpeniq.ch, 13 Monate, Google Analytics) – Wiedererkennung von Nutzersitzungen.
• _gid (Cookie, .alpeniq.ch, 24 Stunden, Google Analytics) – Unterscheidung von Nutzern.
• _clck, _clsk, CLID, MUID (Cookie, .clarity.ms / .alpeniq.ch, bis 12 Monate, Microsoft Clarity) – Session-ID und Wiedererkennung für Heatmaps und Session-Replays.
• alpeniq_generate_lead_fired, alpeniq_404_fired_* (Local Storage, alpeniq.ch, 30 Tage) – verhindert doppeltes Auslösen interner Events.

Marketing (nur mit Einwilligung):
• Aktuell setzt ALPENIQ keine Marketing-Cookies direkt. Falls über Google Tag Manager künftig Conversion-Tags geladen werden, erscheinen die zugehörigen Cookies (z. B. _gcl_au) erst nach deiner Marketing-Einwilligung.

6. Auftragsbearbeiter und Empfänger

Für den Betrieb der Website beauftragen wir spezialisierte Dienstleister als Auftragsbearbeiter im Sinne von Art. 9 revDSG. Mit allen Auftragsbearbeitern haben wir die gesetzlich vorgeschriebenen Verträge (DPA/AVV) abgeschlossen.

• Vercel Inc. (USA) – Hosting der Website, Edge-Network, Aggregat-Statistiken («Vercel Analytics», cookielos). Rechtsgrundlage USA-Transfer: Swiss-U.S. Data Privacy Framework (zertifiziert) sowie EU-Standardvertragsklauseln.
• Google Ireland Ltd. (Dublin, IE) und Google LLC (USA) – Google Tag Manager und Google Analytics 4. Tags und Cookies werden ausschliesslich nach deiner Analyse-Einwilligung geladen. Google Consent Mode v2 ist aktiv. IP-Anonymisierung ist GA4-Standard. Rechtsgrundlage USA-Transfer: Swiss-U.S. Data Privacy Framework (zertifiziert) sowie EU-Standardvertragsklauseln.
• Microsoft Ireland Operations Ltd. (Dublin, IE) und Microsoft Corporation (USA) – Microsoft Clarity (Heatmaps, Session-Replays). Wird ausschliesslich nach deiner Analyse-Einwilligung geladen. Eingaben in Formularfelder werden vor der Übertragung serverseitig maskiert. Rechtsgrundlage USA-Transfer: Swiss-U.S. Data Privacy Framework (zertifiziert) sowie EU-Standardvertragsklauseln.
• Resend Inc. (USA) – transaktionaler E-Mail-Versand der Anfragen aus dem Kontaktformular an admin@alpeniq.ch. Es werden ausschliesslich die im Kontaktformular eingegebenen Daten übermittelt; weder Tracking-Daten noch Browser-Daten. Rechtsgrundlage USA-Transfer: EU-Standardvertragsklauseln. Daten verbleiben dort höchstens so lange, wie für die Zustellung erforderlich (typischerweise 30 Tage, danach Auto-Purge der Logs).
• Cal.com, Inc. (USA / EU-Hosting auf cal.eu) – Buchung deines Strategiegesprächs (eingebettetes Kalender-Widget). Das Widget wird nur geladen, wenn du den Bereich /erstgespraech bzw. /initial-consultation aufrufst. Rechtsgrundlage USA-Transfer (falls anwendbar): EU-Standardvertragsklauseln; primärer Datenverarbeitungsort ist die EU.

Darüber hinaus geben wir Personendaten nur weiter, wenn wir gesetzlich dazu verpflichtet sind oder du eingewilligt hast. Ein Verkauf oder eine kommerzielle Weitergabe an Dritte findet nicht statt.

7. Übermittlung ins Ausland

Einige der unter Ziff. 6 genannten Auftragsbearbeiter haben ihren Sitz oder Server in Staaten ausserhalb der Schweiz und des EWR, insbesondere in den USA.

Die USA gelten seit der Anerkennung des Swiss-U.S. Data Privacy Framework durch den Bundesrat per 15. September 2024 für zertifizierte Empfänger als Staat mit angemessenem Datenschutz (Art. 16 Abs. 1 revDSG i. V. m. Anhang 1 DSV). Für Empfänger, die nicht unter dem DPF zertifiziert sind, stützen wir uns auf die EU-Standardvertragsklauseln in der schweizerischen Anpassung (Art. 16 Abs. 2 lit. d revDSG) sowie auf zusätzliche technische und organisatorische Massnahmen (Verschlüsselung im Transit, Pseudonymisierung, Zugriffsbeschränkungen).

Du hast das Recht, eine Kopie der Garantien anzufordern; schreibe dazu an admin@alpeniq.ch.

8. Speicherdauer

Wir speichern Personendaten nur so lange, wie es für den jeweiligen Zweck erforderlich ist (Art. 6 Abs. 4 revDSG, Grundsatz der Speicherbegrenzung).

Konkret:
• Server-Logs / Edge-Logs: max. 30 Tage (Vercel Auto-Purge).
• Kontaktformular-Anfragen im ALPENIQ-Postfach: bis zu 24 Monate nach dem letzten Kontakt; bei Vertragsschluss bis 10 Jahre nach Vertragsende (Art. 958f OR).
• Resend-Versand-Logs: max. 30 Tage.
• Google Analytics 4: 14 Monate (Standard-Aufbewahrungsdauer im Property eingestellt).
• Microsoft Clarity: 13 Monate ab letzter Aktivität (Microsoft-Standard).
• Cookie-Einwilligung (Local Storage): bis du sie änderst oder dein Browser sie löscht.
• Buchhaltungs- und Steuerunterlagen: 10 Jahre (Art. 958f OR).

9. Deine Rechte

Du hast nach revDSG und DSGVO insbesondere folgende Rechte:
– Auskunft, ob und welche Personendaten wir über dich bearbeiten (Art. 25 revDSG / Art. 15 DSGVO);
– Berichtigung unzutreffender Daten (Art. 32 Abs. 1 revDSG / Art. 16 DSGVO);
– Löschung oder Vernichtung («Recht auf Vergessenwerden», Art. 32 Abs. 2 lit. c revDSG / Art. 17 DSGVO);
– Einschränkung der Bearbeitung (Art. 32 Abs. 2 lit. a–b revDSG / Art. 18 DSGVO);
– Datenherausgabe oder -übertragung in einem gängigen elektronischen Format (Art. 28 revDSG / Art. 20 DSGVO);
– Widerspruch gegen Bearbeitungen, die wir auf ein berechtigtes Interesse stützen (Art. 30 Abs. 2 lit. b revDSG / Art. 21 DSGVO);
– jederzeitiger Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 31 Abs. 1 revDSG / Art. 7 Abs. 3 DSGVO).

Wir bearbeiten keine Personendaten zur automatisierten Einzelentscheidung mit Rechtsfolge oder erheblicher Beeinträchtigung im Sinne von Art. 21 revDSG bzw. Art. 22 DSGVO.

Für die Ausübung deiner Rechte genügt eine formlose E-Mail an admin@alpeniq.ch. Wir antworten innert 30 Tagen kostenlos (Art. 25 Abs. 7 revDSG).

10. Beschwerderecht

Wenn du der Ansicht bist, dass wir deine Personendaten nicht rechtmässig bearbeiten, kannst du jederzeit Beschwerde bei der zuständigen Aufsichtsbehörde einreichen:

Für die Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern
Website: https://www.edoeb.admin.ch

Für den EWR/EU: die Datenschutzaufsichtsbehörde deines Wohnsitz- oder Arbeitsstaates (Art. 77 DSGVO).

11. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit deiner Daten zu gewährleisten (Art. 8 revDSG, Art. 32 DSGVO). Dazu gehören insbesondere:
– vollständige Verschlüsselung der Übertragung (HTTPS / TLS 1.2+, HSTS mit Preload);
– strikte Content-Security-Policy, X-Frame-Options, Cross-Origin-Opener-Policy und weitere Sicherheits-Header;
– CSRF-Schutz und Rate-Limiting auf allen Schreib-Endpunkten;
– Eingabevalidierung mit Zod-Schema und HTML-Escaping vor jedem Mail-Versand;
– Honeypot-Feld zur Spam-Abwehr;
– Zugriff auf das Postfach admin@alpeniq.ch und auf alle Drittsysteme nur über persönliche Accounts mit Zwei-Faktor-Authentifizierung.

Eine Datenschutz-Folgenabschätzung nach Art. 22 revDSG ist für unsere Standard-Bearbeitungen nicht erforderlich; ein Verzeichnis der Bearbeitungstätigkeiten führen wir freiwillig.

12. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Bearbeitungen, eingesetzte Tools oder die gesetzlichen Vorgaben ändern. Die jeweils aktuelle Fassung ist unter alpeniq.ch/datenschutz abrufbar. Das Datum der letzten Aktualisierung findest du oben auf dieser Seite.