Datenschutzerklärung

1. Übersicht

Der Schutz personenbezogener Daten hat bei Krelora hohe Priorität. Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir erheben, zu welchem Zweck wir sie verarbeiten und welche Rechte Sie als betroffene Person haben.

Die Verarbeitung erfolgt im Einklang mit dem revidierten Schweizer Datenschutzgesetz (nDSG, in Kraft seit 01.09.2023) und – soweit anwendbar – mit der EU-Datenschutz-Grundverordnung (DSGVO).

2. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutzgesetze ist:

Krelora
Hoang Nguyen
Hohfurristrasse 24
8408 Winterthur
Schweiz
email@krelora.com

Für Datenschutzanfragen wenden Sie sich bitte an die obige Adresse.

3. Welche Daten wir erheben

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten:

• Account-Daten: Name, E-Mail-Adresse, Workspace-Zugehörigkeit, Rolle, Profilbild (optional), Spracheinstellung.
• Authentifizierungs-Daten: Hashes der Magic-Codes, Passkey-Public-Keys, Sanctum-API-Tokens, 2FA-Recovery-Codes (verschlüsselt).
• Inhaltsdaten: Stories, Sprints, Notizen, Workshop-Teilnehmer, Zeiteinträge, Anhänge — soweit Sie sie in Krelora einbringen.
• Nutzungsdaten: Login-Zeitstempel, IP-Adresse (anonymisiert), User-Agent, aufgerufene Seiten, Klick-Pfade für Auditing.
• Zahlungsdaten: Subscription-Status, Plan, gezahlte Beträge. Kartennummern und Bankdaten werden ausschliesslich von Stripe verarbeitet — wir speichern sie nicht.
• Support-Daten: E-Mails, Tickets, Screenshots, die Sie uns aktiv übermitteln.

Inhalts- und Kollaborationsdaten: Über die Plattform-Funktionen verarbeiten wir die von Ihnen und Ihren Workspace-Mitgliedern erstellten Inhalte: in der Datei-Ablage hochgeladene Dokumente und Dateien, Wiki-/Dokumentationsseiten samt Versionshistorie, in den Editor eingefügte Bilder und eingebettete Videos, Kommentare und @Erwähnungen, Chat-Nachrichten und Anruf-Metadaten des Messengers sowie die Inhalte von Ihnen angebundener externer E-Mail-Postfächer (Nachrichten, Anhänge, Absender-/Empfängerangaben). Diese Inhalte können personenbezogene Daten enthalten; datenschutzrechtlich verantwortlich für sie ist der jeweilige Workspace.

4. Zwecke der Datenverarbeitung

Wir verarbeiten Ihre Daten für folgende Zwecke:

• Bereitstellung der Plattform und der gebuchten Funktionen
• Authentifizierung und Schutz vor Missbrauch
• Vertragserfüllung inkl. Abrechnung und Mahnwesen
• Buchhaltung gemäss Schweizer OR (Aufbewahrung 10 Jahre)
• Produkt-Verbesserung auf Basis aggregierter, anonymer Nutzungsdaten (nur mit Ihrer Einwilligung)
• Erfüllung gesetzlicher Verpflichtungen (Steuer, Geldwäscherei, Strafverfolgung)
• Wahrung berechtigter Interessen (Sicherheit, Forensik, Anspruchsdurchsetzung)

Zusammenarbeit und KI-Unterstützung: Wir verarbeiten die genannten Inhalte, um die Kollaborations-Funktionen bereitzustellen (Datei-Ablage, Wiki, Kommentare, Messenger, E-Mail-Client). Zur Unterstützung bestimmter Funktionen — etwa der automatischen Klassifizierung/Triage eingehender E-Mails oder Text-Hilfen — nutzen wir KI-Dienste (siehe Auftragsverarbeiter). Dabei werden nur die für die jeweilige Anfrage erforderlichen Inhalte übermittelt; eine Verwendung Ihrer Inhalte zum Training der KI-Modelle ist vertraglich ausgeschlossen.

5. Rechtsgrundlagen

Rechtsgrundlage der Verarbeitung sind je nach Zweck:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO / Art. 31 nDSG) für die Bereitstellung der Plattform und Abrechnung
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) für Buchhaltung und steuerliche Aufbewahrung
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für Sicherheit, Forensik und Produkt-Verbesserung
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Cookies und Analytics, die nicht zwingend erforderlich sind

6. Cookies

Krelora setzt zwei Cookie-Kategorien ein:

• Notwendige Cookies (Session, CSRF, Sprache, Theme): erforderlich für den Betrieb. Werden ohne Einwilligung gesetzt (Art. 6 Abs. 1 lit. f DSGVO).
• Analytics-Cookies: aggregierte, anonyme Nutzungsdaten zur Produkt-Verbesserung. Werden ausschliesslich nach Ihrer Einwilligung gesetzt; den Status können Sie jederzeit im Footer unter „Cookie-Einstellungen" ändern.

Wir setzen keine Cookies von Drittanbietern zum cross-site Tracking ein.

7. Auftragsverarbeiter und Drittanbieter

Wir setzen ausgewählte Auftragsverarbeiter ein, die Zugriff auf personenbezogene Daten nur im Rahmen ihrer vertraglich definierten Aufgaben haben:

• Stripe Payments Europe Ltd. (Dublin, Irland) — Zahlungsabwicklung für Abonnements und Einmalzahlungen. Kartendaten werden direkt im Browser an Stripe übermittelt (Stripe Elements) und niemals von Krelora gespeichert oder verarbeitet. Stripe ist PCI-DSS Level 1-zertifiziert (höchste Stufe), Mitglied im EU-US Data Privacy Framework sowie im Swiss-US Data Privacy Framework; EU-Standardvertragsklauseln gelten ergänzend als Fallback. Eine Datenverarbeitungsvereinbarung ist Bestandteil der Stripe-AGB und mit Kontoeröffnung wirksam (Text: stripe.com/de-ch/legal/dpa, Sub-Prozessoren: stripe.com/legal/subprocessors).
• cyon GmbH (Basel, Schweiz) — Domain-Registrierung und DNS für krelora.com. Verarbeitung in der Schweiz, nDSG-konform.
• Laravel Cloud / AWS EU (eu-central-1, Frankfurt am Main, Deutschland) — Hosting der Web-Anwendung, Datenbank und File-Storage. Verarbeitung im EU/EWR, DSGVO-konform mit AWS-DPA.
• Resend / SMTP-Provider — Transaktions-E-Mails (Magic-Codes, Benachrichtigungen, Rechnungen).
• Sentry / Monitoring — anonymisierte Fehler-Telemetrie (kein PII-Inhalt).
• Google reCAPTCHA v3 (Google Ireland Ltd., Irland, mit Datenverarbeitung in den USA) — Bot-Schutz für das Kontaktformular. Beim Absenden erhält Google IP-Adresse, Browser-Daten und einen Risiko-Score, um Bots zu blockieren. Standardvertragsklauseln + EU-US Data Privacy Framework. Details: policies.google.com/privacy.

Alle Auftragsverarbeiter sind vertraglich zu Vertraulichkeit, Datensicherheit und nDSG/DSGVO-konformer Verarbeitung verpflichtet.

Für zusätzlich eingeführte Funktionen (KI-Unterstützung, Echtzeit-Kommunikation, eingebettete Medien) setzen wir folgende weitere Anbieter ein:

• Anthropic, PBC (San Francisco, USA) — KI-Modell „Claude" für KI-gestützte Funktionen (z. B. E-Mail-Triage, Textunterstützung). Übermittelt werden nur die für die jeweilige Anfrage nötigen Inhalte; eine Nutzung zu Trainingszwecken ist vertraglich ausgeschlossen. Übermittlung in die USA auf Basis der EU-Standardvertragsklauseln. anthropic.com/legal/privacy
• Google (Gemini API, Google Ireland Ltd. / Google LLC) — KI-Modell als Ausfall-Alternative, falls der primäre Anbieter nicht verfügbar ist; gleiche Datensparsamkeit. EU-Standardvertragsklauseln und EU-US Data Privacy Framework.
• Hetzner Online GmbH (Falkenstein, Deutschland) — Betrieb des TURN-/Relay-Servers für Echtzeit-Anrufe (WebRTC) im Messenger. Verarbeitung im EU/EWR. Über den Server werden — nur wenn keine direkte Verbindung zwischen den Teilnehmern möglich ist — verschlüsselte Medienströme weitergeleitet.
• Cloudflare R2 (bereitgestellt über Laravel Cloud) — Objekt-Speicher für hochgeladene Dateien, Bilder und Dokumente.
• YouTube (Google) und Vimeo — werden ausschliesslich geladen, wenn ein Nutzer ein Video in einen Inhalt einbettet. Beim Aufruf einer Seite mit eingebettetem Video werden IP-Adresse und Geräteinformationen an den jeweiligen Anbieter übertragen und es können Cookies gesetzt werden. YouTube wird im erweiterten Datenschutzmodus („no-cookie") eingebunden, der Daten erst beim Abspielen sendet.

8. Datenübermittlung ins Ausland

Eine Übermittlung in Länder ausserhalb der Schweiz / EU / EWR erfolgt nur, wenn mindestens einer der folgenden Schutzmechanismen greift:

• EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023) — gilt für US-Empfänger, die sich entsprechend zertifiziert haben (z. B. Stripe Inc., Google LLC).
• Swiss-US Data Privacy Framework (Anerkennung durch den EDÖB, in Kraft seit 15.09.2024) — Schweizer Pendant zum EU-DPF mit identischen Schutzgarantien.
• EU-Standardvertragsklauseln (SCC) in der Fassung 2021/914 — als Fallback und für Empfänger ausserhalb der DPF-Zertifizierung.

Bei Stripe greifen sowohl EU-US-DPF und Swiss-US-DPF (zertifiziert) als auch SCCs als doppelte Absicherung. Zusätzlich verschlüsselt Stripe alle Daten in Transit (TLS 1.2+) und at-rest und ist PCI-DSS Level 1 zertifiziert.

Mit der Einführung der KI-gestützten Funktionen kann eine Übermittlung in die USA erfolgen (Anthropic; Google als Ausfall-Alternative). Grundlage sind die EU-Standardvertragsklauseln, beim Google-Dienst ergänzt um das EU-US Data Privacy Framework. Übermittelt werden nur die für die jeweilige Funktion erforderlichen Inhalte.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

• Account- und Inhaltsdaten: bis 30 Tage nach Kündigung des Accounts; danach Löschung. Backups werden im normalen Rotationszyklus überschrieben (max. 30 Tage).
• Buchhaltungs-Belege (Rechnungen): 10 Jahre gemäss OR Art. 958f.
• Audit-Logs: max. 3 Jahre.
• Notification-Preferences: solange der Account besteht.

Inhalte der Kollaborations-Funktionen: Dateien, Dokumente und Wiki-Seiten werden gespeichert, solange der Workspace besteht bzw. bis sie gelöscht werden; die Versionshistorie bewahrt frühere Stände auf, bis die Seite endgültig (inklusive Papierkorb) gelöscht wird. Chat-Nachrichten und Anruf-Metadaten verbleiben bis zur Löschung durch die Nutzer oder den Workspace. Inhalte angebundener externer E-Mail-Postfächer werden zur Anzeige lokal gespiegelt und entfernt, sobald die Verbindung getrennt oder das Konto gelöscht wird.

10. Deine Rechte

Sie haben nach nDSG und DSGVO unter anderem das Recht auf:

• Auskunft über die zu Ihrer Person gespeicherten Daten
• Berichtigung unrichtiger Daten
• Löschung ("Recht auf Vergessenwerden"), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Einschränkung der Verarbeitung (Art. 18 DSGVO): auf Anfrage friert ein Krelora-Super-Admin schreibende Zugriffe auf Ihren Workspace ein — die Daten werden weiter aufbewahrt, aber nicht verändert. Lesezugriff + Datenexport bleiben verfügbar.
• Datenübertragbarkeit (Export in strukturiertem, maschinenlesbarem Format)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
• Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bzw. einer EU-Aufsichtsbehörde

Senden Sie Ihre Anfrage an email@krelora.com. Wir bearbeiten sie innerhalb von 30 Tagen.

11. Datensicherheit

Wir setzen technische und organisatorische Massnahmen gemäss Stand der Technik ein, um Ihre Daten vor unbefugtem Zugriff, Verlust und Manipulation zu schützen. Dazu gehören u. a.:

• TLS-Verschlüsselung sämtlicher Datenübertragungen
• Verschlüsselte Speicherung sensibler Felder (z. B. API-Tokens, 2FA-Recovery-Codes)
• Passwordless Authentication via Magic-Code und Passkey (WebAuthn)
• Workspace-isolierte Mandantenarchitektur
• Regelmässige Backups und Disaster-Recovery-Tests
• Spatie Activity-Log für sicherheits- und compliance-relevante Aktionen

12. Änderungen und Kontakt

Wir können diese Datenschutzerklärung anpassen, um Änderungen am Funktionsumfang, an Auftragsverarbeitern oder an gesetzlichen Anforderungen Rechnung zu tragen. Die jeweils aktuelle Fassung finden Sie auf dieser Seite.

Bei Fragen zum Datenschutz erreichen Sie uns unter email@krelora.com.

Stand: Mai 2026