1. Verantwortlicher

Verantwortlich für die Bearbeitung von Personendaten im Zusammenhang mit dieser Website und dem DueDesk-Konto ist der Betreiber von DueDesk, Schweiz. Sie erreichen uns unter support@duedesk.ch. Weitere Angaben zum Anbieter finden Sie im Impressum.

2. Rollen nach Datenkategorie

Je nach Datenkategorie nimmt DueDesk eine unterschiedliche Rolle ein:

• Für Konto-, Abrechnungs-, Anmelde-, Support- und Website-Kontaktdaten ist DueDesk, soweit anwendbar, die verantwortliche Stelle.
• Für die Kundendaten, die eine Garage in der Plattform bearbeitet (Endkundinnen und -kunden der Garage und deren Fahrzeuge), ist die jeweilige Garage die verantwortliche Stelle (Controller/Verantwortliche). DueDesk bearbeitet diese Daten ausschliesslich im Auftrag und nach Weisung der Garage als Auftragsbearbeiterin (Art. 9 revDSG, Art. 28 DSGVO). Die Einzelheiten regelt der Auftragsbearbeitungsvertrag (AVV).

3. Welche Daten bearbeitet werden

• Konto- und Abrechnungsdaten: Name, E-Mail-Adresse und Anmeldedaten der Garage bzw. ihrer Mitarbeitenden sowie abrechnungsrelevante Angaben.
• Von der Garage hochgeladene Kundendaten: Name, Anrede, E-Mail-Adresse, Telefonnummer und Adresse der Endkundinnen und -kunden; Fahrzeugdaten wie Marke, Modell, Kontrollschild, Fahrgestellnummer (VIN) sowie Service-, MFK- und Reifendaten.
• Kommunikationsinhalte: Inhalt der über DueDesk versendeten E-Mails und der eingehenden Antworten der Endkundinnen und -kunden (einschliesslich der ursprünglichen Nachricht) sowie daraus automatisch abgeleitete Einordnungen (z. B. Absicht oder Tonalität).
• Technische Daten: Server-Logdaten sowie Session- und Nutzungsdaten, die beim Betrieb der Plattform anfallen.

4. Zwecke und Rechtsgrundlagen

Die Daten werden bearbeitet, um die Plattform bereitzustellen und zu betreiben, automatisierte E-Mail-Erinnerungen (Service, Reifenwechsel, MFK) im Auftrag der Garage zu erstellen und zu versenden, eingehende Antworten zuzuordnen, die Abrechnung abzuwickeln, die Sicherheit zu gewährleisten und gesetzliche Pflichten zu erfüllen. Es werden nur die für diese Zwecke erforderlichen Daten bearbeitet.

Soweit die DSGVO anwendbar ist, stützen wir die Bearbeitung auf folgende Rechtsgrundlagen (Art. 6 DSGVO):

• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Bereitstellung des Kontos, Nutzung der Plattform und Abrechnung.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Sicherheit, Protokollierung, Missbrauchs- und Betrugsprävention sowie Stabilität und Weiterentwicklung des Produkts.
• Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c): insbesondere buchhalterische Aufbewahrungspflichten.
• Einwilligung (Art. 6 Abs. 1 lit. a), soweit eine solche eingeholt wird.
• Für die von der Garage hochgeladenen Endkundendaten bestimmt die Garage als verantwortliche Stelle die jeweilige Rechtsgrundlage.

5. Beigezogene Dienstleister (Auftragsbearbeiter)

Für den Betrieb von DueDesk werden sorgfältig ausgewählte Dienstleister beigezogen, die Personendaten in unserem Auftrag bearbeiten. Die folgende Übersicht nennt Zweck, Standort bzw. Übermittlung und – soweit bekannt – die vertragliche Grundlage. Angaben zu Garantien erfolgen mit Vorbehalt und können sich ändern.

Eine aktuelle Auflistung der Unterauftragsbearbeiter ist auch Bestandteil des Auftragsbearbeitungsvertrags (AVV). Über Änderungen informieren wir in geeigneter Form.

6. Bekanntgabe ins Ausland

Die Kundendatenbank wird in der Schweiz (Zürich) betrieben. Einzelne der vorgenannten Dienstleister – insbesondere OpenAI, Stripe, Resend und Vercel – können Personendaten in Ländern ausserhalb der Schweiz und der EU, namentlich in den USA, bearbeiten. In diesen Fällen wird für ein angemessenes Datenschutzniveau gesorgt, soweit anwendbar durch geeignete Garantien wie das EU-US Data Privacy Framework und/oder Standardvertragsklauseln (SCC) sowie Auftragsbearbeitungsverträge. Eine ausschliessliche Speicherung sämtlicher Daten in der Schweiz oder der EU wird ausdrücklich nicht zugesichert.

7. Aufbewahrung

Personendaten werden nur so lange aufbewahrt, wie es für die jeweiligen Zwecke erforderlich ist:

• Konto- und Vertragsdaten, solange das Konto besteht, zuzüglich allfälliger gesetzlicher Aufbewahrungsfristen.
• Rechnungs- und Buchhaltungsdaten gemäss den gesetzlichen Aufbewahrungsfristen (in der Schweiz in der Regel zehn Jahre).
• Kommunikations- und Kundendaten, solange dies für die Erbringung des Dienstes erforderlich ist bzw. bis zur Löschung oder zum Export durch die Garage.
• Sicherheits- und Server-Logs für eine begrenzte Zeit, soweit praktikabel.

Sind exakte Fristen technisch noch nicht fest definiert, richtet sich die Aufbewahrung nach dem Grundsatz der Erforderlichkeit. Die Garage kann von ihr hochgeladene Kundendaten jederzeit in ihrem Konto löschen.

8. Datensicherheit

Alle Daten werden verschlüsselt übertragen (TLS) und beim Hosting-Dienstleister verschlüsselt gespeichert, soweit der Anbieter dies unterstützt. Der Zugriff ist durch eine mandantengetrennte Zugriffssteuerung (Row Level Security) auf die jeweilige Garage und autorisierte Personen beschränkt. Weitere technische und organisatorische Massnahmen (TOMs) sind im Auftragsbearbeitungsvertrag (AVV) beschrieben.

9. Ihre Rechte

Im Rahmen des anwendbaren Rechts haben betroffene Personen insbesondere folgende Rechte:

• Auskunft über die bearbeiteten Personendaten,
• Berichtigung unrichtiger Daten,
• Löschung,
• Einschränkung der Bearbeitung,
• Widerspruch gegen die Bearbeitung,
• Datenübertragbarkeit (Datenherausgabe),
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft,
• Beschwerde bei der zuständigen Aufsichtsbehörde – in der Schweiz beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), in der EU bei der jeweils zuständigen Datenschutz-Aufsichtsbehörde.

Soweit die DSGVO anwendbar ist, beantworten wir Anfragen in der Regel innerhalb eines Monats. Betrifft die Anfrage Kundendaten, die eine Garage hochgeladen hat, richten Sie diese bitte an die betreffende Garage; wir unterstützen die Garage bei der Bearbeitung. Für alle übrigen Anliegen erreichen Sie uns unter support@duedesk.ch.

10. Datenschutzverletzungen

Tritt eine relevante Verletzung des Schutzes von Personendaten auf, informiert DueDesk die betroffenen Garagen ohne unangemessene Verzögerung. Soweit eine Garage selbst verantwortliche Stelle ist, bleibt sie für die gesetzlichen Melde- und Benachrichtigungspflichten gegenüber ihren Kundinnen und Kunden sowie gegenüber den Behörden verantwortlich.

11. Abmeldung von E-Mails

Jede über DueDesk an Endkundinnen und -kunden versendete E-Mail enthält einen Abmelde-Link. Nach der Abmeldung werden an die betreffende E-Mail-Adresse keine weiteren Nachrichten mehr versendet. DueDesk versendet Kundennachrichten ausschliesslich per E-Mail.

12. Cookies

DueDesk verwendet ausschliesslich technisch notwendige Cookies, die für die Anmeldung und den sicheren Betrieb der Anwendung erforderlich sind. Es werden keine Cookies zu Werbe- oder Tracking-Zwecken eingesetzt.

13. Änderungen

Diese Datenschutzerklärung kann angepasst werden, um sie an geänderte rechtliche oder technische Rahmenbedingungen anzupassen. Massgebend ist die jeweils auf dieser Seite veröffentlichte Fassung.