Datenschutzerklärung

1. Verantwortliche Person

Verantwortlich für die Datenbearbeitung auf mietkuendigung.ch ist:

Weitere Angaben zum Betreiber finden Sie im Impressum.

2. Welche Daten wir bearbeiten

2.1 Wizard-Eingaben

Wenn Sie den Kündigungs-Wizard nutzen, erfassen wir die von Ihnen eingegebenen Daten:

• Name und Adresse (Mieterin/Mieter und Vermieterschaft)
• Kanton und Wohnsituation
• Mietvertrags-Details (Datum, Art, Frist)
• Kündigungssituation (Standard, vorzeitig, WG usw.)

Diese Daten werden in unserer Datenbank bei Supabase (AWS London, UK) gespeichert, um Ihnen den generierten Brief und — bei Premium — das Dashboard bereitzustellen.

2.2 E-Mail-Adresse

Ihre E-Mail-Adresse verwenden wir für:

• Authentifizierung (Magic Link oder Passwort)
• Frist-Erinnerungen per E-Mail (nur mit ausdrücklicher Einwilligung)

2.3 Zahlungsdaten

Zahlungsdaten (Kreditkarten-, Bank- oder TWINT-Daten) werden ausschliesslich von unserem Zahlungsdienstleister Stripe verarbeitet und gespeichert. Wir haben keinen Zugriff auf Ihre Zahlungsdaten. Von Stripe erhalten wir lediglich: E-Mail-Adresse, Bestellnummer und Produktvariante (Basic/Premium).

2.4 Technische Daten

Beim Besuch der Website fallen automatisch technische Daten an (IP-Adresse, Browser-Typ, Zugriffszeitpunkt). Diese werden für den technischen Betrieb, die Sicherheit und die Fehlerdiagnose verwendet (siehe Abschnitt 3 — Auftragsbearbeiter).

2.5 Cookies

Wir verwenden keine Tracking-Cookies und keine Drittanbieter-Cookies. Ausschliesslich technisch notwendige Cookies (Authentifizierungs-Session) werden gesetzt. Für die Produktanalyse setzen wir PostHog in einer cookie-freien Konfiguration ein.

Da keine Tracking-Cookies gesetzt werden, ist kein Cookie-Banner erforderlich (FMG Art. 45c).

3. Auftragsbearbeiter und Dienstleister

Wir setzen sorgfältig ausgewählte Auftragsbearbeiter ein. Mit allen bestehen Auftragsbearbeitungsverträge (Data Processing Agreements, DPAs) bzw. Standardvertragsklauseln (SCC) für Anbieter mit US-Sitz.

3.1 Supabase (Datenbank + Authentifizierung)

Anbieter:

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Hosting-Region:

AWS eu-west-2 — London, Vereinigtes Königreich (UK)

Zweck:

Speicherung von Benutzerkonten, Kündigungsdaten, Dashboard-Inhalten; Authentifizierungs-Dienste

Rechtsgrundlage:

Vertragserfüllung (nDSG Art. 31 Abs. 2 lit. a) und berechtigtes Interesse an Datensicherheit

Aufbewahrung:

12 Monate nach letztem Login, danach automatische Löschung

Wichtig: Das Vereinigte Königreich ist seit dem Brexit kein EU-Mitgliedstaat mehr. Es verfügt jedoch über ein eigenes Datenschutzrecht (UK Data Protection Act 2018 + UK-GDPR) und wurde sowohl vom Schweizer EDÖB als auch von der EU-Kommission als Land mit angemessenem Datenschutzniveau anerkannt. Ein Transfer Ihrer Hauptdaten in die USA findet nicht statt.

DPA: supabase.com/legal/dpa

3.2 Stripe (Zahlungsabwicklung)

Anbieter:

Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Rolle:

Zahlungsdienstleister (Auftragsbearbeiter für Zahlungsdaten). Juristischer Verkäufer und Ihr Vertragspartner bleibt der Betreiber (Joel Waeber).

Hosting-Region:

EU (Dublin, Irland) über Stripe Payments Europe Ltd. Muttergesellschaft in San Francisco, USA.

Zweck:

Checkout, Bezahlung, Rückerstattungen, Betrugsprävention

Von Stripe erhalten wir:

E-Mail-Adresse, Bestellnummer, Produktvariante (Basic/Premium), Bestellzeitpunkt. Kreditkartendaten sehen wir nie.

Für die Übermittlung gelten: EU/CH-Standardvertragsklauseln (SCC) sowie — soweit zertifiziert — das EU-US bzw. Swiss-US Data Privacy Framework (DPF). Stripe ist PCI-DSS-Level-1-zertifiziert.

Datenschutzerklärung Stripe: stripe.com/privacy

3.3 Vercel (Website-Hosting)

Anbieter:

Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA

Hosting-Region:

US-Unternehmen mit globalem Edge-Netz. Statische Assets werden aus geografisch nahen PoPs (inkl. EU) ausgeliefert. Serverless-Funktionen können je nach Konfiguration in US- oder EU-Regionen laufen.

Zweck:

Auslieferung der Web-Anwendung, Bereitstellung der Serverless-Funktionen (Next.js)

Rechtsgrundlage:

Berechtigtes Interesse an Betrieb und Performance (nDSG Art. 31 Abs. 2 lit. c)

Vercel ist ein US-Unternehmen. Für die Übermittlung gelten: EU/CH-Standardvertragsklauseln (SCC) sowie — soweit zertifiziert — das EU-US bzw. Swiss-US Data Privacy Framework (DPF). Vercel verarbeitet keine Anwendungsdaten — diese liegen ausschliesslich bei Supabase (London, UK). Vercel sieht lediglich Anfrage-Metadaten (IP, User-Agent, URL).

DPA: vercel.com/legal/dpa

3.5 PostHog (Produktanalyse)

Anbieter:

PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA

Hosting-Region:

EU-Region (eu.i.posthog.com) — Rechenzentren in Frankfurt / Dublin. Es findet kein Transfer in die USA statt.

Zweck:

Messen der Conversion-Strecken, Erkennen von Bedienhürden, Verbesserung der Nutzerführung

Rechtsgrundlage:

Berechtigtes Interesse an Produktverbesserung (nDSG Art. 31 Abs. 2 lit. c)

Aufbewahrung:

Gemäss Standardeinstellung von PostHog; wir arbeiten mit aggregierten Funnel-Daten ohne direkten Personenbezug

Unsere Konfiguration minimiert personenbezogene Daten so weit wie möglich:

• Cookie-frei: keine persistente Geräte-Erkennung (persistence: 'memory')
• IP-Adresse wird nicht gespeichert (ip: false)
• Kein Autocapture — es werden nur explizit definierte Ereignisse übermittelt (z. B. calculator_completed, paywall_viewed)
• Keine Klarnamen, keine E-Mail-Adressen in Ereignis-Daten — ausschliesslich Metadaten wie Kanton, Produkt-Tier oder Kündigungssituation
• Browser-Einstellung 'Do Not Track' wird respektiert (respect_dnt: true)
• Session Replay (Aufzeichnung von Bildschirm-Interaktionen) ist deaktiviert. Falls wir diese Funktion künftig aktivieren, wird diese Datenschutzerklärung vorher aktualisiert.

Widerspruchsmöglichkeit: Aktivieren Sie in Ihrem Browser 'Do Not Track' (DNT) — unsere Integration erkennt das und unterbindet die Erfassung.

DPA: posthog.com/dpa

4. Übermittlung ins Ausland

Personendaten werden an Dienstleister in folgenden Ländern übermittelt (nDSG Art. 16–17). Wir halten für Sie transparent fest, wo was liegt:

Der Datenschutz wird zusätzlich gewährleistet durch:

• EU/CH-Standardvertragsklauseln (Standard Contractual Clauses, SCC) mit allen US-Anbietern
• EU-US und Swiss-US Data Privacy Framework (DPF) für zertifizierte Anbieter
• Auftragsbearbeitungsverträge (DPAs) mit allen Auftragsbearbeitern
• Datenminimierung auf Anwendungsebene (Cookie-losigkeit, keine IP-Speicherung bei PostHog, kein Autocapture, keine Klarnamen in Events)
• Technische und organisatorische Massnahmen der Anbieter (Verschlüsselung, Zugriffskontrolle, Audits)

Restrisiko: Vercel (US-Unternehmen) sowie die US-Muttergesellschaften der EU-gehosteten Dienste Stripe und PostHog unterliegen US-Recht (z. B. CLOUD Act). Ein theoretischer Zugriff US-amerikanischer Behörden auf in der EU gespeicherte Daten ist nicht in allen Fällen ausgeschlossen. Dieses Restrisiko wird durch die oben genannten vertraglichen und technischen Massnahmen minimiert.

5. Zwecke der Datenbearbeitung

Wir bearbeiten Ihre Daten ausschliesslich für folgende Zwecke:

• Erbringung der Dienstleistung: Berechnung von Fristen, Generierung von Kündigungsbriefen, Bereitstellung des Dashboards
• Authentifizierung: Login und Zugangskontrolle (nur Premium-Nutzer)
• Frist-Erinnerungen: E-Mail-Benachrichtigungen zu wichtigen Terminen (nur mit ausdrücklicher Einwilligung)
• Technischer Betrieb: Sicherheit, Fehlerbehebung, Verfügbarkeit

Wir verwenden Ihre Daten nicht für Marketing, Werbung oder Profiling.

6. Aufbewahrungsdauer

Wir speichern Ihre Daten nur so lange, wie es für die Erbringung der Dienstleistung erforderlich ist (nDSG Art. 6, Grundsatz der Datensparsamkeit):

• Wizard-Daten und Dashboard: 12 Monate nach dem letzten Login. Danach automatische Löschung.
• E-Mail-Adresse: Bis zur Löschung des Accounts oder auf Anfrage.
• Technische Logs und Fehlerdaten: Maximal 30 Tage.

7. Ihre Rechte (nDSG Art. 25–29)

Sie haben folgende Rechte bezüglich Ihrer Personendaten:

• Auskunftsrecht (Art. 25): Sie können jederzeit Auskunft über die von uns gespeicherten Daten verlangen.
• Berichtigung (Art. 6 Abs. 5): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 6 Abs. 4): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Datenherausgabe (Art. 28): Sie können Ihre Daten in einem gängigen elektronischen Format herausverlangen.

Anfragen richten Sie bitte an: info@mietkuendigung.ch

Wir beantworten Ihre Anfrage in der Regel innerhalb von 30 Tagen.

8. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Daten (nDSG Art. 8):

• Verschlüsselte Übertragung (HTTPS/TLS)
• Zugriffskontrolle auf Datenbankebene (Supabase Row Level Security)
• Getrennte Schlüssel für öffentliche und administrative Zugriffe
• Regelmässige Sicherheitsprüfungen und Updates

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen. Die aktuelle Version ist stets auf dieser Seite verfügbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzerinnen und Nutzer per E-Mail.

10. Kontakt und Beschwerden

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: info@mietkuendigung.ch

Sie haben zudem das Recht, eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzureichen: