Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Bearbeitung Ihrer Personendaten im Sinne des revDSG und der DSGVO ist: DuneDive LLC 30 N Gould St, Ste R, Sheridan, WY 82801, USA E-Mail: [email protected]

EU-Vertretung gemäss DSGVO Art. 27 und CH-Vertretung

Da die Verantwortliche ihren Sitz ausserhalb der EU bzw. der Schweiz hat, bezeichnet sie gemäss Art. 27 DSGVO sowie in Anwendung der entsprechenden Grundsätze des revDSG die folgende Stelle als Vertretung in der EU und in der Schweiz für datenschutzrechtliche Belange: Fairlane Ventures GmbH Baarerstrasse 107, 6300 Zug, Schweiz UID: CHE-240.244.650 E-Mail: [email protected]

Betroffene Personen in der EU und in der Schweiz können sich zur Ausübung ihrer Rechte und für sämtliche datenschutzrechtlichen Anliegen wahlweise direkt an DuneDive LLC oder an die Fairlane Ventures GmbH als Vertretung wenden. Soweit Fairlane Ventures GmbH KI-Infrastruktur für die Verantwortliche oder für Kundinnen und Kunden betreibt, handelt sie zudem als Auftragsbearbeiterin (Processor) auf Grundlage entsprechender Auftragsbearbeitungs-Verträge.

2. Begriffe und allgemeine Grundsätze

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Wir bearbeiten Personendaten nach den Grundsätzen der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Zweckbindung, der Datenrichtigkeit sowie der Datensicherheit. Wir bearbeiten nur so viele Daten, wie für den jeweiligen Zweck erforderlich ist, und bewahren sie nur so lange auf, wie es notwendig oder gesetzlich vorgeschrieben ist.

3. Bearbeitungszwecke und Rechtsgrundlagen im Überblick

Wir bearbeiten Personendaten insbesondere zu folgenden Zwecken: Bereitstellung und Sicherheit der Website, Beantwortung von Anfragen über das Kontaktformular, Verwaltung von Terminbuchungen, Bearbeitung von Anfragen über die KI-Checkliste, Abwicklung von Online-Zahlungen für gebuchte Pakete, Erfüllung vertraglicher und gesetzlicher Pflichten sowie cookiefreie statistische Reichweitenmessung. Rechtsgrundlage ist nach revDSG das überwiegende berechtigte Interesse, die Einwilligung oder die Vertragserfüllung; nach DSGVO Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertrag/vorvertragliche Massnahmen) oder lit. f (berechtigtes Interesse).

4. Server-Logfiles, Hosting und CDN

Beim Aufruf der Website werden technisch notwendige Zugriffsdaten automatisch erhoben und in Server-Logfiles gespeichert. Hosting-Partnerin ist die Hetzner Online GmbH mit Rechenzentrum in Deutschland (EU). Zur Auslieferung, zur Beschleunigung sowie zum Schutz vor Angriffen (DDoS-Abwehr, Web Application Firewall) nutzen wir zudem die Dienste von Cloudflare, Inc. (USA) mit Edge-Standorten in der EU.

Datenkategorien

• IP-Adresse (teilweise gekürzt/verarbeitet)
• Datum und Uhrzeit des Zugriffs (Zeitstempel)
• aufgerufene URL / Ressource und HTTP-Statuscode
• Browser-Typ, Betriebssystem und User-Agent
• Referrer-URL (sofern übermittelt)

Zweck: technische Bereitstellung, Stabilität und Sicherheit der Website, Erkennung und Abwehr von Angriffen sowie Fehleranalyse. Rechtsgrundlage: berechtigtes Interesse am sicheren, stabilen Betrieb (revDSG; DSGVO Art. 6 Abs. 1 lit. f). Aufbewahrung: kurzfristig zu Sicherheitszwecken; Sicherheits- und Angriffsdaten werden nur so lange aufbewahrt, wie dies zur Gefahrenabwehr erforderlich ist.

5. Kontaktformular

Wenn Sie das Kontaktformular (/contact) nutzen, bearbeiten wir die von Ihnen eingegebenen Daten, um Ihre Anfrage zu beantworten.

• Datenkategorien: Name, Unternehmen (optional), E-Mail-Adresse, Thema/Anliegen
• Zweck: Bearbeitung und Beantwortung Ihrer Anfrage, Kommunikation
• Rechtsgrundlage: vorvertragliche/vertragliche Massnahmen bzw. berechtigtes Interesse (revDSG; DSGVO Art. 6 Abs. 1 lit. b und f)

Die Übermittlung erfolgt per E-Mail über den Versanddienst Brevo (Sendinblue SA, Frankreich/EU) an [email protected]. Die Inhalte des Kontaktformulars werden nicht in einer Datenbank gespeichert. Zum Schutz vor automatisiertem Missbrauch setzen wir ein unsichtbares Honeypot-Feld sowie eine Begrenzung der Übermittlungshäufigkeit (Rate Limiting) ein. Wir bewahren die per E-Mail erhaltene Korrespondenz so lange auf, wie es zur Bearbeitung des Anliegens und zur Erfüllung allfälliger gesetzlicher Aufbewahrungspflichten erforderlich ist.

6. Terminbuchung

Über das Buchungssystem (/termin) können Sie einen Termin reservieren. Die zur Buchung erforderlichen Daten werden in einer PostgreSQL-Datenbank auf unserem Server bei Hetzner (Deutschland/EU) gespeichert (Tabellen bookings und blocked_times).

• Datenkategorien: Name, E-Mail-Adresse, gewählter Termin/Zeitfenster
• Zweck: Verwaltung, Bestätigung und Stornierung von Terminen sowie Vorbereitung einer möglichen Geschäftsbeziehung
• Rechtsgrundlage: vorvertragliche/vertragliche Massnahmen sowie berechtigtes Interesse (revDSG; DSGVO Art. 6 Abs. 1 lit. b und f)

Bestätigungs- und Stornierungs-E-Mails – einschliesslich eines Kalendereintrags im .ics-Format – werden über Brevo (Sendinblue SA, Frankreich/EU) versendet. Jede Bestätigung enthält einen persönlichen Stornierungslink (Cancel-by-Token), über den Sie Ihre Buchung selbst absagen können. Buchungs- und Vertragsdaten unterliegen den gesetzlichen Aufbewahrungspflichten (insbesondere Art. 958f OR, zehn Jahre für Geschäftsunterlagen). Im Übrigen löschen wir Buchungsdaten, sobald sie für die genannten Zwecke nicht mehr erforderlich sind.

7. KI-Checkliste / Lead-Formular

Auf der Seite /vorbereitung stellen wir einen Fragebogen bereit, der Sie auf ein Gespräch vorbereiten soll. Wenn Sie das zugehörige Formular absenden, bearbeiten wir die folgenden Daten:

• E-Mail-Adresse (zwingend)
• optional die von Ihnen ausgefüllten Antworten des Fragebogens, sofern Sie diese ausdrücklich mitübermitteln

Diese Daten werden in einer PostgreSQL-Datenbank auf unserem Server bei Hetzner (Deutschland/EU) in der Tabelle leads gespeichert. Über Brevo (Sendinblue SA, Frankreich/EU) wird eine Benachrichtigung an unser Team versendet. Die Übermittlung erfolgt nur, wenn Sie das obligatorische Einwilligungs-Häkchen (Consent-Checkbox) gesetzt haben.

• Zweck: Kontaktaufnahme, Vorbereitung und Durchführung eines Beratungsgesprächs
• Rechtsgrundlage: Einwilligung sowie vorvertragliche Massnahmen (revDSG; DSGVO Art. 6 Abs. 1 lit. a und b)
• Aufbewahrung: bis zum Widerruf Ihrer Einwilligung, längstens jedoch 24 Monate ab dem letzten Kontakt (Inaktivität)

Zur Verbesserung der Datenqualität führen wir bei der Eingabe Ihrer E-Mail-Adresse eine Echtzeit-Validierung durch. Diese prüft ausschliesslich das Format der Adresse sowie das Vorhandensein eines zuständigen Mailservers (DNS-MX-Abfrage). Es findet keine Zustellprüfung an das einzelne Postfach (kein «Mailbox-Probing») statt.

7a. Zahlungsabwicklung (Stripe)

Wenn Sie ein Paket über /pakete buchen, wickeln wir die Zahlung über den Zahlungsdienstleister Stripe ab (Stripe Payments Europe, Ltd., Irland/EU, sowie Stripe, Inc., USA). Die Zahlung erfolgt in einem von Stripe gehosteten Bezahlvorgang; Karten- bzw. IBAN-Daten werden ausschliesslich von Stripe verarbeitet und sind für uns zu keinem Zeitpunkt einsehbar.

• Datenkategorien: Name, E-Mail-Adresse, Rechnungsadresse, Unternehmen; Karten-/IBAN-Daten ausschliesslich bei Stripe
• Zweck: Vertragsabwicklung und Zahlung, Betrugsprävention, Buchhaltung
• Rechtsgrundlage: Vertragserfüllung (revDSG; DSGVO Art. 6 Abs. 1 lit. b) sowie berechtigtes Interesse an sicherer Zahlungsabwicklung (lit. f)
• Aufbewahrung: gemäss gesetzlichen Aufbewahrungspflichten, insbesondere Art. 958f OR (zehn Jahre für Geschäftsunterlagen)

8. Lokale Speicherung (localStorage)

Der Online-Fragebogen wird zu Ihrer Bequemlichkeit ausschliesslich lokal im Speicher Ihres Browsers (localStorage) gespeichert, solange Sie ihn nicht ausdrücklich absenden. Diese Daten verbleiben auf Ihrem Endgerät und werden nicht an uns übermittelt. Auch eine allfällige Spracheinstellung kann lokal gespeichert werden. Sie können diese lokal gespeicherten Daten jederzeit selbst löschen (siehe Cookie-Hinweise).

9. Reichweitenmessung (Analytics)

Zur statistischen Reichweitenmessung betreiben wir eine selbst gehostete, cookiefreie Erstanbieter-Analyse (First-Party-Analytics) auf unserem Server bei Hetzner (Deutschland/EU). Es kommen keine Drittanbieter-Analysedienste zum Einsatz, und es findet kein seitenübergreifendes Tracking statt. Dabei verarbeiten wir keine rohe IP-Adresse: Diese wird ausschliesslich kurzzeitig zur Bildung eines täglich rotierenden, nicht umkehrbaren Sitzungs-Hashs (session_hash, SHA-256 aus IP, User-Agent, einem geheimen Salt und dem Tagesdatum) verwendet und nicht gespeichert. Erfasst werden: die aufgerufene Seite/URL, der ungefähre Standort (Land, Region, Stadt), der am Edge aus den Cloudflare-Headern abgeleitet wird, Gerätetyp, Browser und Betriebssystem, der täglich rotierende Sitzungs-Hash, der Referrer-Host und die Referrer-URL, UTM-Parameter sowie die Bildschirmbreite. Es werden keine Daten erfasst, die eine dauerhafte Identifizierung einzelner Besucherinnen und Besucher ermöglichen. Wir respektieren die Signale «Do Not Track» (DNT) und «Global Privacy Control» (GPC). Die Website setzt hierfür keine Cookies. Rechtsgrundlage: berechtigtes Interesse an einer datenschutzfreundlichen Bedarfs- und Reichweitenanalyse (revDSG; DSGVO Art. 6 Abs. 1 lit. f). Aufbewahrung: Die aggregierten Analysedaten werden längstens 24 Monate aufbewahrt und danach gelöscht oder anonymisiert.

10. Auftragsbearbeiter und Bekanntgabe an Dritte

Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsbearbeiter ein, die Personendaten ausschliesslich nach unseren Weisungen und auf Grundlage entsprechender Verträge zur Auftragsbearbeitung bearbeiten:

• Fairlane Ventures GmbH (Zug, Schweiz) – verbundene Schweizer Gesellschaft, Auftragsbearbeiterin für KI-Infrastruktur sowie EU-/CH-Vertretung gemäss DSGVO Art. 27 / revDSG
• Hetzner Online GmbH (Deutschland/EU) – Hosting, Server, Datenbank
• Cloudflare, Inc. (USA, Edge-Standorte EU) – CDN, Proxy, Web Application Firewall, DDoS-Schutz
• Sendinblue SA / Brevo (Frankreich/EU) – Versand von Transaktions-E-Mails (Kontakt, Termin, Benachrichtigungen)
• Stripe Payments Europe, Ltd. (Irland/EU) und Stripe, Inc. (USA) – Abwicklung von Online-Zahlungen; Kartendaten werden ausschliesslich von Stripe verarbeitet und sind für uns nicht einsehbar
• Selbst gehostete Erstanbieter-Analyse (First-Party-Analytics, Hetzner, Deutschland/EU) – cookiefreie, IP-lose statistische Reichweitenmessung; kein Drittanbieter-Analysedienst

Eine Weitergabe Ihrer Personendaten an weitere Dritte erfolgt nur, soweit dies zur Erfüllung eines Vertrags oder einer gesetzlichen Pflicht erforderlich ist, Sie eingewilligt haben oder ein überwiegendes berechtigtes Interesse besteht. Eine Weitergabe zu Werbezwecken an unbeteiligte Dritte findet nicht statt.

11. Bekanntgabe ins Ausland (USA und weitere Länder)

Da die Verantwortliche – DuneDive LLC – ihren Sitz in den Vereinigten Staaten von Amerika hat, findet eine Bekanntgabe von Personendaten in die USA bereits dort statt, wo Daten an die Verantwortliche selbst übermittelt werden. Zusätzliche Bekanntgaben in die USA ergeben sich aus dem Einsatz von Cloudflare, Inc. (USA) sowie von Stripe, Inc. (USA) im Rahmen der Zahlungsabwicklung. Solche Bekanntgaben erfolgen nur unter Einhaltung der Voraussetzungen von Art. 16 und 17 revDSG sowie – für EU-Betroffene – von Kapitel V der DSGVO.

Als geeignete Garantien stützen wir uns – je nach Empfänger – auf das schweizerisch-amerikanische bzw. EU-amerikanische Data Privacy Framework (Swiss-U.S. / EU-U.S. DPF), auf die Standardvertragsklauseln der EU-Kommission (Standard Contractual Clauses, SCC) sowie auf ergänzende technische und organisatorische Schutzmassnahmen. Der operative Betrieb der KI-Infrastruktur sowie das Hosting der für die Website massgeblichen Server erfolgen in der Schweiz bzw. der EU. Auf Anfrage stellen wir Ihnen Angaben zu den getroffenen Garantien zur Verfügung.

12. Aufbewahrung und Löschung

• Lead-/KI-Checkliste-Daten: bis zum Widerruf der Einwilligung, längstens 24 Monate ab dem letzten Kontakt
• Buchungs- und Vertragsdaten: gemäss gesetzlichen Aufbewahrungspflichten, insbesondere Art. 958f OR (zehn Jahre)
• Server-Logfiles und Sicherheitsdaten: kurzfristig zu Sicherheitszwecken
• Kontakt-Korrespondenz: bis zur abschliessenden Bearbeitung und Ablauf allfälliger Aufbewahrungspflichten

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht bzw. vernichtet oder – soweit eine vollständige Löschung nicht möglich ist – datenschutzkonform anonymisiert.

13. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen, um Ihre Personendaten vor unbefugtem Zugriff, Verlust, Missbrauch oder Verfälschung zu schützen. Dazu gehören insbesondere eine durchgängige Transportverschlüsselung (TLS/HTTPS), eine Web Application Firewall und DDoS-Schutz, eine Begrenzung der Zugriffsrechte, Massnahmen gegen automatisierten Missbrauch (Honeypot, Rate Limiting) sowie der Betrieb in Rechenzentren innerhalb der EU. Eine absolute Sicherheit der Datenübertragung über das Internet kann gleichwohl nicht gewährleistet werden.

14. Ihre Rechte

Nach dem schweizerischen Datenschutzgesetz stehen Ihnen insbesondere folgende Rechte zu:

• Recht auf Auskunft über die zu Ihnen bearbeiteten Personendaten
• Recht auf Berichtigung unrichtiger Daten
• Recht auf Löschung bzw. Vernichtung von Daten
• Recht auf Herausgabe oder Übertragung von Daten (Datenportabilität)
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
• Recht auf Widerspruch gegen bestimmte Bearbeitungen

Soweit die DSGVO anwendbar ist, stehen Ihnen als betroffene Person zusätzlich die Rechte aus Art. 15 bis 21 DSGVO zu (Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung, Datenübertragbarkeit und Widerspruch) sowie das Beschwerderecht nach Art. 77 DSGVO. Zur Ausübung Ihrer Rechte genügt eine Mitteilung an [email protected] – wahlweise direkt an DuneDive LLC oder an die Fairlane Ventures GmbH als EU-/CH-Vertretung. Wir können zur Identitätsprüfung weitere Angaben verlangen.

15. Cookies

Diese Website setzt grundsätzlich keine Tracking-Cookies. Einzelheiten zur lokalen Speicherung (localStorage) und zur cookiefreien Erstanbieter-Reichweitenmessung finden Sie in unserer Cookie-Richtlinie.

16. Keine automatisierte Einzelentscheidung

Wir setzen keine automatisierte Einzelentscheidung im Sinne von Art. 21 revDSG bzw. Art. 22 DSGVO und kein Profiling mit Rechtswirkung gegenüber Ihnen ein.

17. Aufsichtsbehörden und Beschwerderecht

In der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB, edoeb.admin.ch) zuständig. Betroffene Personen in der EU können sich an die für sie zuständige Datenschutz-Aufsichtsbehörde wenden. Unabhängig davon können Sie sich jederzeit zuerst an uns oder an die Fairlane Ventures GmbH als EU-/CH-Vertretung wenden.

18. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung jederzeit anpassen, um sie an veränderte Rechtslagen oder Anpassungen unserer Dienste anzupassen. Massgebend ist die jeweils auf dieser Website veröffentlichte Fassung. Das Datum der letzten Aktualisierung ist oben angegeben.

19. Einbindung von KI-Diensten Dritter / QAIA-Gateway

Entwurf – Stand 2026-05-29. Dieser Abschnitt ersetzt keine individuelle Rechtsberatung; eine anwaltliche Prüfung ist ausstehend.

19.1 Eingesetzte KI-Dienste und Zweck der Einbindung

Bei der Erbringung unserer Leistungen können wir Dienste Dritter zur künstlichen Intelligenz einbinden, insbesondere Sprachmodelle und KI-Infrastruktur folgender Anbieter (nicht abschliessend): Anthropic, PBC («Claude»), OpenAI, LLC, Mistral AI SAS, Google LLC (Gemini), DeepSeek (Hangzhou DeepSeek Artificial Intelligence Co., Ltd.) sowie weitere, jeweils in der angezeigten Version. Der Einsatz dient der Bearbeitung von Anfragen, der Erstellung und Zusammenfassung von Texten, der Klassifikation von Inhalten sowie verwandten technischen Zwecken.

19.2 Welche Daten können an KI-Anbieter übermittelt werden

Im Rahmen der Nutzung von KI-Diensten können von Ihnen oder im Auftrag Ihrer Organisation eingegebene Inhalte (Prompts, Texte, Dokumente) an die API-Infrastruktur der jeweiligen KI-Anbieter übermittelt werden. Die Verarbeitung erfolgt in der Regel auf Servern dieser Anbieter, die sich je nach Anbieter in den USA, der EU oder anderen Ländern befinden können. Wir übermitteln grundsätzlich keine über den jeweiligen Auftragskontext hinaus identifizierenden Personendaten an KI-Anbieter; die Verantwortung für den Inhalt der eingegebenen Daten liegt beim Nutzer bzw. beim Kunden (siehe Ziffer 19.4). Auf Anfrage informieren wir Sie, welche Anbieter im konkreten Servicekontext eingesetzt werden.

19.3 QAIA-Gateway: technische Vermittlungsschicht, kein eigener KI-Anbieter

Das von DuneDive LLC bzw. der Fairlane Ventures GmbH betriebene KI-Gateway (QAIA bzw. «Chatriq») fungiert ausschliesslich als technische Vermittlungs- und Infrastrukturschicht («mere conduit»/Durchleitung). Es leitet Anfragen des Kunden an die von diesem gewählten oder vertraglich vereinbarten KI-Modelle Dritter weiter und gibt deren Ausgaben zurück. DuneDive bzw. Fairlane Ventures GmbH stellt weder ein eigenes KI-Modell bereit, noch bringt sie KI-Systeme unter eigenem Namen oder eigener Marke in Verkehr. Die KI-Modelle werden ausschliesslich von den jeweiligen Drittanbietern entwickelt, trainiert, gehostet und betrieben. Im Sinne des EU AI Act (Verordnung (EU) 2024/1689) agiert DuneDive LLC bzw. Fairlane Ventures GmbH daher nicht als «Anbieter» («Provider») eines KI-Systems, sondern allenfalls als technischer Dienstleister, der KI-Systeme Dritter auf Weisung und im Auftrag des Kunden («Deployer»-Sphäre) zugänglich macht. Die Pflichten eines Deployers nach dem EU AI Act obliegen in diesem Verhältnis dem Kunden, der das KI-System in seiner eigenen Betriebssphäre einsetzt. Soweit DuneDive LLC bzw. Fairlane Ventures GmbH im Rahmen dieses Gatewaybetriebs Personendaten des Kunden verarbeitet, handelt sie als Auftragsbearbeiterin (Processor) im Sinne des revDSG und der DSGVO, die Verarbeitung erfolgt auf Weisung und auf Rechnung des Kunden; ein Auftragsbearbeitungsvertrag (AVV) ist auf Anfrage erhältlich.

19.4 Verantwortung des Kunden für eingespeiste Daten

Der Nutzer und der Kunde sind selbst dafür verantwortlich, dass die von ihnen in KI-Dienste eingespeisten Daten, Prompts und Inhalte rechtmässig sind – insbesondere, dass die erforderlichen datenschutzrechtlichen Grundlagen (Einwilligung, Vertrag, berechtigtes Interesse) vorliegen, keine besonders schützenswerten Personendaten ohne entsprechende Absicherung übermittelt werden und keine Berufsgeheimnisse oder sonstige vertrauliche Drittdaten unbefugt weitergegeben werden. Die Nutzungsbedingungen der eingebundenen KI-Anbieter sind parallel einzuhalten.

19.5 Drittanbieter-Nutzungsbedingungen und Datenschutzerklärungen

• Anthropic (Claude): https://www.anthropic.com/legal/privacy (USA; SCCs / DPF je nach Vertragslage)
• OpenAI: https://openai.com/policies/privacy-policy (USA; SCCs / DPF je nach Vertragslage)
• Mistral AI: https://mistral.ai/terms/#privacy-policy (Frankreich/EU)
• Google (Gemini API): https://policies.google.com/privacy (USA; SCCs / DPF je nach Vertragslage)
• DeepSeek: https://www.deepseek.com/privacy_policy (VR China; erhöhtes Drittland-Risiko; nur in Projekten ohne sensible Personendaten)

Die Übermittlung von Personendaten in die USA und andere Drittländer erfolgt auf Grundlage von Art. 16 f. revDSG sowie – für EU-Betroffene – Kapitel V DSGVO (SCCs oder DPF, je nach Anbieter). Auf Anfrage stellen wir die massgeblichen Garantien zur Verfügung.

Massgebend ist die deutschsprachige Fassung. Bei Abweichungen zwischen der deutschen und der englischen Fassung geht die deutsche Fassung vor. Diese Texte stellen keine individuelle Rechtsberatung dar.