Wir, die Concrete App GmbH, Oberfeldhöhe 13, 6280 Hochdorf, Schweiz, verarbeiten personenbezogene Daten gemäss dem Bundesgesetz über den Datenschutz (DSG). Diese Erklärung informiert über Art, Umfang und Zweck der Datenbearbeitung.
Concrete App GmbH
Oberfeldhöhe 13
6280 Hochdorf
Schweiz
Kontakt: info@concrete.ch
Wir erfassen folgende Kategorien personenbezogener Daten:
Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:
Rechtfertigungsgründe (Art. 31 DSG): Die Bearbeitung erfolgt in der Regel zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG), aufgrund unseres überwiegenden Interesses (Art. 31 Abs. 1 DSG), durch Ihre Einwilligung oder zur Erfüllung einer gesetzlichen Pflicht.
Wir geben personenbezogene Daten nur an Dritte weiter, wenn dies zur Erbringung des Services erforderlich ist oder Sie eingewilligt haben. Folgende Auftragsverarbeiter setzen wir ein:
Dienstleister: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
Zweck: Verarbeitung von Zahlungen, Verwaltung von Abonnements und Rechnungen
Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsinformationen (Kreditkartendaten werden direkt von Stripe verarbeitet und nicht auf unseren Servern gespeichert), Abonnementstatus
Standort: Unser Stripe-Konto ist in der Schweiz registriert. Die primäre Datenverarbeitung erfolgt in Europa. Stripe kann jedoch Daten im Rahmen des EU-US Data Privacy Framework und des Swiss-US Data Privacy Framework in die USA übermitteln, um den Service bereitzustellen.
Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln und angemessener technischer und organisatorischer Massnahmen (Art. 16-17 DSG).
Datenschutzerklärung: https://stripe.com/ch/privacy
Unsere KI-Assistenten-Funktionalität verwendet zwei komplementäre Dienste: LangSmith für die Orchestrierung und Verwaltung von Konversationen, sowie Google Vertex AI für die eigentliche KI-Modellverarbeitung.
Dienstleister: LangChain, Inc., 1 Letterman Drive, Building C, Suite C3-215, San Francisco, CA 94129, USA
Zweck: Orchestrierung der KI-Assistenten-Funktionalität, Routing von Chat-Anfragen, Speicherung von Konversationsverläufen, Observability und Monitoring, Agent-Workflow-Management
Verarbeitete Daten: Chat-Nachrichten (Nutzeranfragen und KI-Antworten), hochgeladene Dateien im Chat-Kontext, Konversationshistorie, Thread-Metadaten, Tool-Calls und Agent-Status-Informationen
Standort: LangSmith verarbeitet Chat-Daten auf Servern in der Europäischen Union. Als US-amerikanisches Unternehmen unterliegt LangChain den US-Gesetzen; technische Telemetrie- und Systeminformationen können in die USA übermittelt werden. Ihre Chat-Inhalte und hochgeladenen Dateien bleiben auf EU-Servern gespeichert.
Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln (Art. 16-17 DSG). LangChain ist GDPR-konform, SOC 2 Type II zertifiziert und verfügt über einen EU-Vertreter für Datenschutzanfragen.
Datenschutzerklärung: https://www.langchain.com/privacy-policy
Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Verarbeitung von KI-Anfragen mit Gemini-Modellen, Generierung von intelligenten Antworten und Unterstützung im Chat-Assistenten
Verarbeitete Daten: Chat-Nachrichten (Nutzeranfragen), hochgeladene Dateien im Chat-Kontext, Kontext-Informationen aus Ihren Projekten
KI-Modell: Google Gemini 2.5 Flash (über Vertex AI)
Standort: europe-west6 (Zürich, Schweiz) – Die KI-Verarbeitung erfolgt ausschliesslich in der Schweiz bzw. EU-Region
Enterprise-Datenschutz und wichtige Unterscheidung:
Sicherheitsmassnahmen:
Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Google Cloud ist GDPR-konform, verfügt über EU-Standardvertragsklauseln (SCCs 2021/914) und einen Data Processing Addendum (DPA). Vertex AI erfüllt strenge regulatorische Anforderungen einschliesslich GDPR, ISO 27001, SOC 2/3 und ist für den Einsatz in hochregulierten Branchen zertifiziert.
Datenschutzerklärung: https://cloud.google.com/privacy
Vertex AI Datenverarbeitung: https://cloud.google.com/vertex-ai/docs/generative-ai/data-governance
Datenschutzerklärung: https://www.langchain.com/privacy-policy
Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für EEA/Schweiz)
Zweck: Cloud-Hosting, Datenbankverwaltung (Firestore), Dateispeicherung (Cloud Storage), Authentifizierung (Firebase Auth), serverlose Funktionen (Cloud Functions)
Verarbeitete Daten: Alle Nutzerdaten der Plattform (Accountdaten, Projektdaten, hochgeladene Dateien, Profilbilder), technische Logs, IP-Adressen, Geräteinformationen
Standort: Unsere Firebase-Infrastruktur läuft in der Region europe-west6 (Zürich, Schweiz). Google kann jedoch Daten auf Servern weltweit verarbeiten, insbesondere für Support, Wartung und Sicherheit.
Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln 2021/914 und angemessener technischer und organisatorischer Massnahmen (Art. 16-17 DSG). Google ist GDPR-konform.
Datenschutzerklärung: https://cloud.google.com/privacy
Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Adresseingabe-Unterstützung, Geocoding, Kartenvisualisierung für Projektstandorte
Verarbeitete Daten: Eingegebene Suchbegriffe, Projektadressen, Standortkoordinaten (Längen- und Breitengrad), IP-Adressen, Browser- und Geräteinformationen
Standort: Globale Google-Infrastruktur. Daten werden auf Google-Servern weltweit verarbeitet.
Rechtsgrundlage: Berechtigtes Interesse zur Verbesserung der Nutzererfahrung (Art. 31 Abs. 1 DSG). Controller-Controller-Verhältnis. Internationale Datenübermittlungen erfolgen auf Basis der GDPR-Compliance von Google (Art. 16-17 DSG).
Datenschutzerklärung: https://policies.google.com/privacy
Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Schutz vor automatisierten Anfragen, Spam und Missbrauch (Firebase App Check)
Verarbeitete Daten: Browser-Fingerprints, IP-Adressen, Geräteinformationen (Betriebssystem, Browser), Mausbewegungen und Interaktionsmuster, Cookies (_GRECAPTCHA)
Standort: Globale Google-Infrastruktur. Daten werden auf Google-Servern weltweit verarbeitet.
Rechtsgrundlage: Berechtigtes Interesse zum Schutz vor Missbrauch und zur Gewährleistung der Sicherheit (Art. 31 Abs. 1 DSG). Internationale Datenübermittlungen erfolgen auf Basis der GDPR-Compliance von Google (Art. 16-17 DSG).
Datenschutzerklärung: https://policies.google.com/privacy
Dienstleister: Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA
Zweck: Versand von transaktionalen E-Mails (Projekteinladungen, Benachrichtigungen)
Verarbeitete Daten: E-Mail-Adressen (Absender und Empfänger), E-Mail-Inhalte, Metadaten (Zeitstempel, IP-Adressen)
Standort: Infrastruktur in Irland, EU (eu-west-1). Daten können global übertragen werden.
Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis des EU-US Data Privacy Framework, UK Extension to EU-U.S. DPF, EU-Standardvertragsklauseln und UK SCCs (Art. 16-17 DSG). Resend ist GDPR-konform und SOC 2 Type II zertifiziert.
Datenschutzerklärung: https://resend.com/legal/privacy-policy
Unsere primäre Infrastruktur (Firebase/Google Cloud Platform) läuft in der Region europe-west6 (Zürich, Schweiz). Wir setzen jedoch verschiedene Auftragsverarbeiter ein (siehe Abschnitt 4), die Daten teilweise ausserhalb der Schweiz und der EU verarbeiten. Alle internationalen Datenübermittlungen erfolgen auf Basis angemessener Garantien gemäss Art. 16-17 DSG, einschliesslich EU-Standardvertragsklauseln, Data Privacy Framework-Zertifizierungen und GDPR-Compliance.
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
Nach Ablauf der Speicherfristen werden die Daten automatisch oder auf Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Es finden keine automatisierten Einzelentscheidungen im Sinne von Art. 21 DSG statt, die rechtliche Wirkung für Sie entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.
Der KI-Assistent verarbeitet Ihre Anfragen automatisiert, dient jedoch ausschliesslich als Unterstützungstool. Die generierten Antworten haben keinen verbindlichen Charakter und führen nicht zu automatisierten Entscheidungen über Ihre Person. Sie behalten die volle Kontrolle über alle Aktionen und Entscheidungen in Ihrem Account.
Wir bearbeiten wissentlich keine besonders schützenswerten Personendaten im Sinne von Art. 5 lit. c DSG (z. B. Gesundheitsdaten, biometrische Daten, Daten über strafrechtliche Verfolgungen).
Unser Service richtet sich an Personen ab 16 Jahren. Personen unter 16 Jahren dürfen den Service nur mit ausdrücklicher Zustimmung der Erziehungsberechtigten nutzen.
Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren ohne Zustimmung der Eltern oder Erziehungsberechtigten. Sollten wir feststellen, dass wir solche Daten versehentlich erhoben haben, werden wir diese unverzüglich löschen.
Wenn Sie als Erziehungsberechtigter vermuten, dass Ihr Kind ohne Ihre Zustimmung Daten bereitgestellt hat, kontaktieren Sie uns bitte unterinfo@concrete.ch.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns per E‑Mail aninfo@concrete.ch. Für Löschungsanfragen senden Sie eine Anfrage zur Account‑Löschung. Sie können Beschwerden beim EDÖB einreichen.
Wir setzen umfassende technische und organisatorische Massnahmen zum Schutz Ihrer personenbezogenen Daten ein:
Trotz dieser Massnahmen kann keine absolute Sicherheit garantiert werden. Wir empfehlen Ihnen, ein sicheres Passwort zu verwenden und dieses regelmässig zu ändern.
Änderungen werden auf der Website bekanntgegeben.
Wir setzen verschiedene Cookies und ähnliche Technologien ein:
Sie können Cookies in Ihren Browser-Einstellungen blockieren oder löschen. Beachten Sie jedoch, dass dies die Funktionalität der Website erheblich einschränken kann, insbesondere die Anmelde- und Chat-Funktionen.
Wir setzen derzeit keine Tracking- oder Marketing-Cookies ein. Cookies von Drittanbietern (Google) unterliegen deren eigenen Datenschutzrichtlinien (siehe Abschnitt 4).
Bei Fragen: info@concrete.choder Concrete App GmbH, Oberfeldhöhe 13, 6280 Hochdorf, Schweiz.