Datenschutzerklärung

Datenschutzerklärung der Concrete App GmbH — Zuletzt aktualisiert: 30. Januar 2026

Einleitung

Wir, die Concrete App GmbH, Oberfeldhöhe 13, 6280 Hochdorf, Schweiz, verarbeiten personenbezogene Daten gemäss dem Bundesgesetz über den Datenschutz (DSG). Diese Erklärung informiert über Art, Umfang und Zweck der Datenbearbeitung.

1. Verantwortlicher

Concrete App GmbH
Oberfeldhöhe 13
6280 Hochdorf
Schweiz

Kontakt: info@concrete.ch

2. Gesammelte Daten

Wir erfassen folgende Kategorien personenbezogener Daten:

Kontodaten: Name, Benutzername, E-Mail-Adresse, Passwort (verschlüsselt), Profilbild
Projektdaten: Projektnamen, Beschreibungen, Aufgaben, Termine, Statusangaben, Notizen, hochgeladene Dateien und Dokumente
Standortdaten: Projektadressen, geografische Koordinaten (Längen- und Breitengrad)
Kommunikationsdaten: Chat-Nachrichten mit dem KI-Assistenten, E-Mail-Korrespondenz, Benachrichtigungen
Zahlungsdaten: Abonnementstatus, Rechnungsinformationen (Kreditkartendaten werden ausschliesslich von Stripe verarbeitet und nicht auf unseren Servern gespeichert)
Technische Daten: IP-Adressen, Browser-Typ und -Version, Betriebssystem, Geräteinformationen, Cookies, Browser-Fingerprints, Zugriffszeitpunkte, Nutzungsstatistiken

3. Zweck der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:

Bereitstellung des Services: Projektmanagement-Funktionen, Kollaboration, Datenspeicherung, Benutzerverwaltung
Zahlungsabwicklung: Verwaltung von Abonnements, Rechnungsstellung, Zahlungsverarbeitung
KI-Assistenten-Funktionalität: Verarbeitung von Chat-Anfragen, Bereitstellung intelligenter Unterstützung
Kommunikation: Versand von Projekteinladungen, Benachrichtigungen, Service-E-Mails
Sicherheit: Schutz vor Missbrauch, Spam, Betrug und unbefugtem Zugriff
Verbesserung des Services: Analyse der Nutzung, Fehlerbehebung, Optimierung der Funktionalität
Rechtliche Verpflichtungen: Einhaltung gesetzlicher Anforderungen, Steuerpflichten

Rechtfertigungsgründe (Art. 31 DSG): Die Bearbeitung erfolgt in der Regel zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG), aufgrund unseres überwiegenden Interesses (Art. 31 Abs. 1 DSG), durch Ihre Einwilligung oder zur Erfüllung einer gesetzlichen Pflicht.

4. Weitergabe an Dritte

Wir geben personenbezogene Daten nur an Dritte weiter, wenn dies zur Erbringung des Services erforderlich ist oder Sie eingewilligt haben. Folgende Auftragsverarbeiter setzen wir ein:

4.1 Stripe (Zahlungsabwicklung)

Dienstleister: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Zweck: Verarbeitung von Zahlungen, Verwaltung von Abonnements und Rechnungen

Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsinformationen (Kreditkartendaten werden direkt von Stripe verarbeitet und nicht auf unseren Servern gespeichert), Abonnementstatus

Standort: Unser Stripe-Konto ist in der Schweiz registriert. Die primäre Datenverarbeitung erfolgt in Europa. Stripe kann jedoch Daten im Rahmen des EU-US Data Privacy Framework und des Swiss-US Data Privacy Framework in die USA übermitteln, um den Service bereitzustellen.

Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln und angemessener technischer und organisatorischer Massnahmen (Art. 16-17 DSG).

Datenschutzerklärung: https://stripe.com/ch/privacy

4.2 KI-Assistenten-Funktionalität

Unsere KI-Assistenten-Funktionalität verwendet zwei komplementäre Dienste: LangSmith für die Orchestrierung und Verwaltung von Konversationen, sowie Google Vertex AI für die eigentliche KI-Modellverarbeitung.

4.2.1 LangSmith (KI-Orchestrierung und Observability)

Dienstleister: LangChain, Inc., 1 Letterman Drive, Building C, Suite C3-215, San Francisco, CA 94129, USA

Zweck: Orchestrierung der KI-Assistenten-Funktionalität, Routing von Chat-Anfragen, Speicherung von Konversationsverläufen, Observability und Monitoring, Agent-Workflow-Management

Verarbeitete Daten: Chat-Nachrichten (Nutzeranfragen und KI-Antworten), hochgeladene Dateien im Chat-Kontext, Konversationshistorie, Thread-Metadaten, Tool-Calls und Agent-Status-Informationen

Standort: LangSmith verarbeitet Chat-Daten auf Servern in der Europäischen Union. Als US-amerikanisches Unternehmen unterliegt LangChain den US-Gesetzen; technische Telemetrie- und Systeminformationen können in die USA übermittelt werden. Ihre Chat-Inhalte und hochgeladenen Dateien bleiben auf EU-Servern gespeichert.

Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln (Art. 16-17 DSG). LangChain ist GDPR-konform, SOC 2 Type II zertifiziert und verfügt über einen EU-Vertreter für Datenschutzanfragen.

Datenschutzerklärung: https://www.langchain.com/privacy-policy

4.2.2 Google Cloud Vertex AI (KI-Modellverarbeitung)

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Verarbeitung von KI-Anfragen mit Gemini-Modellen, Generierung von intelligenten Antworten und Unterstützung im Chat-Assistenten

Verarbeitete Daten: Chat-Nachrichten (Nutzeranfragen), hochgeladene Dateien im Chat-Kontext, Kontext-Informationen aus Ihren Projekten

KI-Modell: Google Gemini 2.5 Flash (über Vertex AI)

Standort: europe-west6 (Zürich, Schweiz) – Die KI-Verarbeitung erfolgt ausschliesslich in der Schweiz bzw. EU-Region

Enterprise-Datenschutz und wichtige Unterscheidung:

Keine Nutzung für Modell-Training: Google verwendet Kundendaten aus Vertex AI NICHT zum Training oder zur Verbesserung von KI-Modellen. Ihre Eingaben und die Modell-Ausgaben bleiben isoliert innerhalb unserer privaten Google Cloud-Umgebung.
Enterprise vs. Consumer AI: Vertex AI unterscheidet sich grundlegend von Consumer Google AI-Diensten (wie Google Bard/Gemini für Privatnutzer). Vertex AI bietet Enterprise-Datenisolation und vertragliche Datenschutzgarantien, die verhindern, dass Ihre Geschäfts- und Projektdaten jemals in die öffentliche Wissensbasis des KI-Modells gelangen.
Zweckbindung: Die KI verarbeitet ausschliesslich die Informationen, die zur Erfüllung Ihrer spezifischen Anfragen erforderlich sind, z.B. Aufgabenverwaltung, Projektassistenz oder Datenabruf.

Sicherheitsmassnahmen:

Verschlüsselung während der Übertragung: TLS 1.2+ (Transport Layer Security) für alle Datenübertragungen an Vertex AI
Verschlüsselung im Ruhezustand: AES-256-Verschlüsselung für gespeicherte Daten auf Google Cloud
Regionale Datenverarbeitung: Garantierte Verarbeitung in der Schweiz (europe-west6) ohne Übertragung in Drittländer

Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Google Cloud ist GDPR-konform, verfügt über EU-Standardvertragsklauseln (SCCs 2021/914) und einen Data Processing Addendum (DPA). Vertex AI erfüllt strenge regulatorische Anforderungen einschliesslich GDPR, ISO 27001, SOC 2/3 und ist für den Einsatz in hochregulierten Branchen zertifiziert.

Datenschutzerklärung: https://cloud.google.com/privacy

Vertex AI Datenverarbeitung: https://cloud.google.com/vertex-ai/docs/generative-ai/data-governance

Datenschutzerklärung: https://www.langchain.com/privacy-policy

4.3 Firebase / Google Cloud Platform (Hosting und Infrastruktur)

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für EEA/Schweiz)

Zweck: Cloud-Hosting, Datenbankverwaltung (Firestore), Dateispeicherung (Cloud Storage), Authentifizierung (Firebase Auth), serverlose Funktionen (Cloud Functions)

Verarbeitete Daten: Alle Nutzerdaten der Plattform (Accountdaten, Projektdaten, hochgeladene Dateien, Profilbilder), technische Logs, IP-Adressen, Geräteinformationen

Standort: Unsere Firebase-Infrastruktur läuft in der Region europe-west6 (Zürich, Schweiz). Google kann jedoch Daten auf Servern weltweit verarbeiten, insbesondere für Support, Wartung und Sicherheit.

Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln 2021/914 und angemessener technischer und organisatorischer Massnahmen (Art. 16-17 DSG). Google ist GDPR-konform.

Datenschutzerklärung: https://cloud.google.com/privacy

4.4 Google Maps / Places API (Adress-Autocomplete)

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Adresseingabe-Unterstützung, Geocoding, Kartenvisualisierung für Projektstandorte

Verarbeitete Daten: Eingegebene Suchbegriffe, Projektadressen, Standortkoordinaten (Längen- und Breitengrad), IP-Adressen, Browser- und Geräteinformationen

Standort: Globale Google-Infrastruktur. Daten werden auf Google-Servern weltweit verarbeitet.

Rechtsgrundlage: Berechtigtes Interesse zur Verbesserung der Nutzererfahrung (Art. 31 Abs. 1 DSG). Controller-Controller-Verhältnis. Internationale Datenübermittlungen erfolgen auf Basis der GDPR-Compliance von Google (Art. 16-17 DSG).

Datenschutzerklärung: https://policies.google.com/privacy

4.5 Google ReCAPTCHA v3 (Bot-Schutz)

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Schutz vor automatisierten Anfragen, Spam und Missbrauch (Firebase App Check)

Verarbeitete Daten: Browser-Fingerprints, IP-Adressen, Geräteinformationen (Betriebssystem, Browser), Mausbewegungen und Interaktionsmuster, Cookies (_GRECAPTCHA)

Standort: Globale Google-Infrastruktur. Daten werden auf Google-Servern weltweit verarbeitet.

Rechtsgrundlage: Berechtigtes Interesse zum Schutz vor Missbrauch und zur Gewährleistung der Sicherheit (Art. 31 Abs. 1 DSG). Internationale Datenübermittlungen erfolgen auf Basis der GDPR-Compliance von Google (Art. 16-17 DSG).

Datenschutzerklärung: https://policies.google.com/privacy

4.6 Resend (E-Mail-Versand)

Dienstleister: Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA

Zweck: Versand von transaktionalen E-Mails (Projekteinladungen, Benachrichtigungen)

Verarbeitete Daten: E-Mail-Adressen (Absender und Empfänger), E-Mail-Inhalte, Metadaten (Zeitstempel, IP-Adressen)

Standort: Infrastruktur in Irland, EU (eu-west-1). Daten können global übertragen werden.

Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis des EU-US Data Privacy Framework, UK Extension to EU-U.S. DPF, EU-Standardvertragsklauseln und UK SCCs (Art. 16-17 DSG). Resend ist GDPR-konform und SOC 2 Type II zertifiziert.

Datenschutzerklärung: https://resend.com/legal/privacy-policy

5. Speicherort und Übermittlung

Unsere primäre Infrastruktur (Firebase/Google Cloud Platform) läuft in der Region europe-west6 (Zürich, Schweiz). Wir setzen jedoch verschiedene Auftragsverarbeiter ein (siehe Abschnitt 4), die Daten teilweise ausserhalb der Schweiz und der EU verarbeiten. Alle internationalen Datenübermittlungen erfolgen auf Basis angemessener Garantien gemäss Art. 16-17 DSG, einschliesslich EU-Standardvertragsklauseln, Data Privacy Framework-Zertifizierungen und GDPR-Compliance.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Kontodaten: Solange Ihr Account aktiv ist, plus 60 Tage nach Löschung des Accounts
Projektdaten und hochgeladene Dateien: Bis zur Löschung durch Sie oder 60 Tage nach Account-Löschung
Rechnungsdaten und Zahlungsbelege: 10 Jahre ab Ende des Kalenderjahres (gesetzliche Aufbewahrungspflicht gemäss Schweizer Obligationenrecht)
Chat-Verläufe mit KI-Assistent: Bis zur Löschung durch Sie oder 60 Tage nach Account-Löschung
Technische Logs und IP-Adressen: Maximal 90 Tage, sofern nicht für Sicherheits- oder Missbrauchsuntersuchungen länger benötigt
E-Mail-Metadaten (via Resend): Maximal 90 Tage nach Versand

Nach Ablauf der Speicherfristen werden die Daten automatisch oder auf Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Automatisierte Entscheidungen

Es finden keine automatisierten Einzelentscheidungen im Sinne von Art. 21 DSG statt, die rechtliche Wirkung für Sie entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

Der KI-Assistent verarbeitet Ihre Anfragen automatisiert, dient jedoch ausschliesslich als Unterstützungstool. Die generierten Antworten haben keinen verbindlichen Charakter und führen nicht zu automatisierten Entscheidungen über Ihre Person. Sie behalten die volle Kontrolle über alle Aktionen und Entscheidungen in Ihrem Account.

8. Besonders schützenswerte Personendaten

Wir bearbeiten wissentlich keine besonders schützenswerten Personendaten im Sinne von Art. 5 lit. c DSG (z. B. Gesundheitsdaten, biometrische Daten, Daten über strafrechtliche Verfolgungen).

8a. Minderjährige

Unser Service richtet sich an Personen ab 16 Jahren. Personen unter 16 Jahren dürfen den Service nur mit ausdrücklicher Zustimmung der Erziehungsberechtigten nutzen.

Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren ohne Zustimmung der Eltern oder Erziehungsberechtigten. Sollten wir feststellen, dass wir solche Daten versehentlich erhoben haben, werden wir diese unverzüglich löschen.

Wenn Sie als Erziehungsberechtigter vermuten, dass Ihr Kind ohne Ihre Zustimmung Daten bereitgestellt hat, kontaktieren Sie uns bitte unterinfo@concrete.ch.

9. Ihre Rechte

Auskunft
Berichtigung
Löschung
Widerspruch
Datenherausgabe oder -übertragung (Datenportabilität)

Zur Ausübung Ihrer Rechte kontaktieren Sie uns per E‑Mail aninfo@concrete.ch. Für Löschungsanfragen senden Sie eine Anfrage zur Account‑Löschung. Sie können Beschwerden beim EDÖB einreichen.

10. Sicherheit

Wir setzen umfassende technische und organisatorische Massnahmen zum Schutz Ihrer personenbezogenen Daten ein:

Verschlüsselung: SSL/TLS-Verschlüsselung für alle Datenübertragungen, Verschlüsselung im Ruhezustand (at rest) für gespeicherte Daten
Zugriffskontrolle: Rollenbasierte Zugriffsbeschränkungen, Firebase Security Rules, Zwei-Faktor-Authentifizierung (optional)
Infrastruktur-Sicherheit: Hosting bei zertifizierten Cloud-Anbietern (Google Cloud Platform, SOC 2 Type II), regelmässige Sicherheitsupdates
Missbrauchsschutz: ReCAPTCHA v3, Firebase App Check, Spam-Filter, Anomalie-Erkennung
Monitoring: Kontinuierliche Überwachung auf Sicherheitsvorfälle, automatische Backups
Datentrennung: Strikte Trennung von Kundendaten, keine gemeinsame Nutzung zwischen verschiedenen Accounts

Trotz dieser Massnahmen kann keine absolute Sicherheit garantiert werden. Wir empfehlen Ihnen, ein sicheres Passwort zu verwenden und dieses regelmässig zu ändern.

11. Änderungen

Änderungen werden auf der Website bekanntgegeben.

12. Cookies und Tracking

Wir setzen verschiedene Cookies und ähnliche Technologien ein:

Notwendige Cookies: Firebase Authentication Cookies (Session-Management), Login-Status, Sicherheits-Tokens. Diese sind für die Funktionalität des Services zwingend erforderlich.
Sicherheits-Cookies: _GRECAPTCHA (Google ReCAPTCHA v3) zum Schutz vor Missbrauch und Spam
Funktionale Cookies: Spracheinstellungen, Benutzer-Präferenzen, UI-Einstellungen
Local Storage: LangSmith API-Schlüssel (lokal im Browser gespeichert), Chat-Verlauf, temporäre Daten

Sie können Cookies in Ihren Browser-Einstellungen blockieren oder löschen. Beachten Sie jedoch, dass dies die Funktionalität der Website erheblich einschränken kann, insbesondere die Anmelde- und Chat-Funktionen.

Wir setzen derzeit keine Tracking- oder Marketing-Cookies ein. Cookies von Drittanbietern (Google) unterliegen deren eigenen Datenschutzrichtlinien (siehe Abschnitt 4).

13. Kontaktaufnahme

Bei Fragen: info@concrete.choder Concrete App GmbH, Oberfeldhöhe 13, 6280 Hochdorf, Schweiz.

Datenschutzerklärung

Datenschutzerklärung der Concrete App GmbH — Zuletzt aktualisiert: 30. Januar 2026

Einleitung

1. Verantwortlicher

Concrete App GmbH
Oberfeldhöhe 13
6280 Hochdorf
Schweiz

Kontakt: info@concrete.ch

2. Gesammelte Daten

Wir erfassen folgende Kategorien personenbezogener Daten:

Kontodaten: Name, Benutzername, E-Mail-Adresse, Passwort (verschlüsselt), Profilbild
Projektdaten: Projektnamen, Beschreibungen, Aufgaben, Termine, Statusangaben, Notizen, hochgeladene Dateien und Dokumente
Standortdaten: Projektadressen, geografische Koordinaten (Längen- und Breitengrad)
Kommunikationsdaten: Chat-Nachrichten mit dem KI-Assistenten, E-Mail-Korrespondenz, Benachrichtigungen
Zahlungsdaten: Abonnementstatus, Rechnungsinformationen (Kreditkartendaten werden ausschliesslich von Stripe verarbeitet und nicht auf unseren Servern gespeichert)
Technische Daten: IP-Adressen, Browser-Typ und -Version, Betriebssystem, Geräteinformationen, Cookies, Browser-Fingerprints, Zugriffszeitpunkte, Nutzungsstatistiken

3. Zweck der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:

Bereitstellung des Services: Projektmanagement-Funktionen, Kollaboration, Datenspeicherung, Benutzerverwaltung
Zahlungsabwicklung: Verwaltung von Abonnements, Rechnungsstellung, Zahlungsverarbeitung
KI-Assistenten-Funktionalität: Verarbeitung von Chat-Anfragen, Bereitstellung intelligenter Unterstützung
Kommunikation: Versand von Projekteinladungen, Benachrichtigungen, Service-E-Mails
Sicherheit: Schutz vor Missbrauch, Spam, Betrug und unbefugtem Zugriff
Verbesserung des Services: Analyse der Nutzung, Fehlerbehebung, Optimierung der Funktionalität
Rechtliche Verpflichtungen: Einhaltung gesetzlicher Anforderungen, Steuerpflichten

4. Weitergabe an Dritte

Wir geben personenbezogene Daten nur an Dritte weiter, wenn dies zur Erbringung des Services erforderlich ist oder Sie eingewilligt haben. Folgende Auftragsverarbeiter setzen wir ein:

4.1 Stripe (Zahlungsabwicklung)

Dienstleister: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Zweck: Verarbeitung von Zahlungen, Verwaltung von Abonnements und Rechnungen

Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsinformationen (Kreditkartendaten werden direkt von Stripe verarbeitet und nicht auf unseren Servern gespeichert), Abonnementstatus

Datenschutzerklärung: https://stripe.com/ch/privacy

4.2 KI-Assistenten-Funktionalität

4.2.1 LangSmith (KI-Orchestrierung und Observability)

Dienstleister: LangChain, Inc., 1 Letterman Drive, Building C, Suite C3-215, San Francisco, CA 94129, USA

Zweck: Orchestrierung der KI-Assistenten-Funktionalität, Routing von Chat-Anfragen, Speicherung von Konversationsverläufen, Observability und Monitoring, Agent-Workflow-Management

Verarbeitete Daten: Chat-Nachrichten (Nutzeranfragen und KI-Antworten), hochgeladene Dateien im Chat-Kontext, Konversationshistorie, Thread-Metadaten, Tool-Calls und Agent-Status-Informationen

Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln (Art. 16-17 DSG). LangChain ist GDPR-konform, SOC 2 Type II zertifiziert und verfügt über einen EU-Vertreter für Datenschutzanfragen.

Datenschutzerklärung: https://www.langchain.com/privacy-policy

4.2.2 Google Cloud Vertex AI (KI-Modellverarbeitung)

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Verarbeitung von KI-Anfragen mit Gemini-Modellen, Generierung von intelligenten Antworten und Unterstützung im Chat-Assistenten

Verarbeitete Daten: Chat-Nachrichten (Nutzeranfragen), hochgeladene Dateien im Chat-Kontext, Kontext-Informationen aus Ihren Projekten

KI-Modell: Google Gemini 2.5 Flash (über Vertex AI)

Standort: europe-west6 (Zürich, Schweiz) – Die KI-Verarbeitung erfolgt ausschliesslich in der Schweiz bzw. EU-Region

Enterprise-Datenschutz und wichtige Unterscheidung:

Keine Nutzung für Modell-Training: Google verwendet Kundendaten aus Vertex AI NICHT zum Training oder zur Verbesserung von KI-Modellen. Ihre Eingaben und die Modell-Ausgaben bleiben isoliert innerhalb unserer privaten Google Cloud-Umgebung.
Enterprise vs. Consumer AI: Vertex AI unterscheidet sich grundlegend von Consumer Google AI-Diensten (wie Google Bard/Gemini für Privatnutzer). Vertex AI bietet Enterprise-Datenisolation und vertragliche Datenschutzgarantien, die verhindern, dass Ihre Geschäfts- und Projektdaten jemals in die öffentliche Wissensbasis des KI-Modells gelangen.
Zweckbindung: Die KI verarbeitet ausschliesslich die Informationen, die zur Erfüllung Ihrer spezifischen Anfragen erforderlich sind, z.B. Aufgabenverwaltung, Projektassistenz oder Datenabruf.

Sicherheitsmassnahmen:

Verschlüsselung während der Übertragung: TLS 1.2+ (Transport Layer Security) für alle Datenübertragungen an Vertex AI
Verschlüsselung im Ruhezustand: AES-256-Verschlüsselung für gespeicherte Daten auf Google Cloud
Regionale Datenverarbeitung: Garantierte Verarbeitung in der Schweiz (europe-west6) ohne Übertragung in Drittländer

Datenschutzerklärung: https://cloud.google.com/privacy

Vertex AI Datenverarbeitung: https://cloud.google.com/vertex-ai/docs/generative-ai/data-governance

Datenschutzerklärung: https://www.langchain.com/privacy-policy

4.3 Firebase / Google Cloud Platform (Hosting und Infrastruktur)

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für EEA/Schweiz)

Zweck: Cloud-Hosting, Datenbankverwaltung (Firestore), Dateispeicherung (Cloud Storage), Authentifizierung (Firebase Auth), serverlose Funktionen (Cloud Functions)

Verarbeitete Daten: Alle Nutzerdaten der Plattform (Accountdaten, Projektdaten, hochgeladene Dateien, Profilbilder), technische Logs, IP-Adressen, Geräteinformationen

Rechtsgrundlage: Auftragsverarbeitung zur Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG). Internationale Datenübermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln 2021/914 und angemessener technischer und organisatorischer Massnahmen (Art. 16-17 DSG). Google ist GDPR-konform.

Datenschutzerklärung: https://cloud.google.com/privacy

4.4 Google Maps / Places API (Adress-Autocomplete)

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Adresseingabe-Unterstützung, Geocoding, Kartenvisualisierung für Projektstandorte

Verarbeitete Daten: Eingegebene Suchbegriffe, Projektadressen, Standortkoordinaten (Längen- und Breitengrad), IP-Adressen, Browser- und Geräteinformationen

Standort: Globale Google-Infrastruktur. Daten werden auf Google-Servern weltweit verarbeitet.

Datenschutzerklärung: https://policies.google.com/privacy

4.5 Google ReCAPTCHA v3 (Bot-Schutz)

Dienstleister: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Schutz vor automatisierten Anfragen, Spam und Missbrauch (Firebase App Check)

Verarbeitete Daten: Browser-Fingerprints, IP-Adressen, Geräteinformationen (Betriebssystem, Browser), Mausbewegungen und Interaktionsmuster, Cookies (_GRECAPTCHA)

Standort: Globale Google-Infrastruktur. Daten werden auf Google-Servern weltweit verarbeitet.

Datenschutzerklärung: https://policies.google.com/privacy

4.6 Resend (E-Mail-Versand)

Dienstleister: Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA

Zweck: Versand von transaktionalen E-Mails (Projekteinladungen, Benachrichtigungen)

Verarbeitete Daten: E-Mail-Adressen (Absender und Empfänger), E-Mail-Inhalte, Metadaten (Zeitstempel, IP-Adressen)

Standort: Infrastruktur in Irland, EU (eu-west-1). Daten können global übertragen werden.

Datenschutzerklärung: https://resend.com/legal/privacy-policy

5. Speicherort und Übermittlung

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Kontodaten: Solange Ihr Account aktiv ist, plus 60 Tage nach Löschung des Accounts
Projektdaten und hochgeladene Dateien: Bis zur Löschung durch Sie oder 60 Tage nach Account-Löschung
Rechnungsdaten und Zahlungsbelege: 10 Jahre ab Ende des Kalenderjahres (gesetzliche Aufbewahrungspflicht gemäss Schweizer Obligationenrecht)
Chat-Verläufe mit KI-Assistent: Bis zur Löschung durch Sie oder 60 Tage nach Account-Löschung
Technische Logs und IP-Adressen: Maximal 90 Tage, sofern nicht für Sicherheits- oder Missbrauchsuntersuchungen länger benötigt
E-Mail-Metadaten (via Resend): Maximal 90 Tage nach Versand

Nach Ablauf der Speicherfristen werden die Daten automatisch oder auf Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Automatisierte Entscheidungen

Es finden keine automatisierten Einzelentscheidungen im Sinne von Art. 21 DSG statt, die rechtliche Wirkung für Sie entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

8. Besonders schützenswerte Personendaten

Wir bearbeiten wissentlich keine besonders schützenswerten Personendaten im Sinne von Art. 5 lit. c DSG (z. B. Gesundheitsdaten, biometrische Daten, Daten über strafrechtliche Verfolgungen).

8a. Minderjährige

Unser Service richtet sich an Personen ab 16 Jahren. Personen unter 16 Jahren dürfen den Service nur mit ausdrücklicher Zustimmung der Erziehungsberechtigten nutzen.

Wenn Sie als Erziehungsberechtigter vermuten, dass Ihr Kind ohne Ihre Zustimmung Daten bereitgestellt hat, kontaktieren Sie uns bitte unterinfo@concrete.ch.

9. Ihre Rechte

Auskunft
Berichtigung
Löschung
Widerspruch
Datenherausgabe oder -übertragung (Datenportabilität)

10. Sicherheit

Wir setzen umfassende technische und organisatorische Massnahmen zum Schutz Ihrer personenbezogenen Daten ein:

Verschlüsselung: SSL/TLS-Verschlüsselung für alle Datenübertragungen, Verschlüsselung im Ruhezustand (at rest) für gespeicherte Daten
Zugriffskontrolle: Rollenbasierte Zugriffsbeschränkungen, Firebase Security Rules, Zwei-Faktor-Authentifizierung (optional)
Infrastruktur-Sicherheit: Hosting bei zertifizierten Cloud-Anbietern (Google Cloud Platform, SOC 2 Type II), regelmässige Sicherheitsupdates
Missbrauchsschutz: ReCAPTCHA v3, Firebase App Check, Spam-Filter, Anomalie-Erkennung
Monitoring: Kontinuierliche Überwachung auf Sicherheitsvorfälle, automatische Backups
Datentrennung: Strikte Trennung von Kundendaten, keine gemeinsame Nutzung zwischen verschiedenen Accounts

Trotz dieser Massnahmen kann keine absolute Sicherheit garantiert werden. Wir empfehlen Ihnen, ein sicheres Passwort zu verwenden und dieses regelmässig zu ändern.

11. Änderungen

Änderungen werden auf der Website bekanntgegeben.

12. Cookies und Tracking

Wir setzen verschiedene Cookies und ähnliche Technologien ein:

Notwendige Cookies: Firebase Authentication Cookies (Session-Management), Login-Status, Sicherheits-Tokens. Diese sind für die Funktionalität des Services zwingend erforderlich.
Sicherheits-Cookies: _GRECAPTCHA (Google ReCAPTCHA v3) zum Schutz vor Missbrauch und Spam
Funktionale Cookies: Spracheinstellungen, Benutzer-Präferenzen, UI-Einstellungen
Local Storage: LangSmith API-Schlüssel (lokal im Browser gespeichert), Chat-Verlauf, temporäre Daten

Wir setzen derzeit keine Tracking- oder Marketing-Cookies ein. Cookies von Drittanbietern (Google) unterliegen deren eigenen Datenschutzrichtlinien (siehe Abschnitt 4).

13. Kontaktaufnahme

Bei Fragen: info@concrete.choder Concrete App GmbH, Oberfeldhöhe 13, 6280 Hochdorf, Schweiz.