Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie darüber, wie und zu welchem Zweck wir personenbezogene Daten (nach Schweizer Recht «Personendaten») im Zusammenhang mit unserer Website und unseren Dienstleistungen verarbeiten. Eine Datenschutzerklärung dient dazu, der Informationspflicht nach dem revidierten Schweizer Datenschutzgesetz (DSG) und – soweit anwendbar – der EU‑Datenschutz‑Grundverordnung (DSGVO) nachzukommen. In der Schweiz gilt seit dem 1. September 2023 das neue Datenschutzgesetz; Unternehmen mit Kunden im Europäischen Wirtschaftsraum müssen darüber hinaus die DSGVO beachten. Wir behandeln Ihre Daten vertraulich, respektieren die Grundsätze der Rechtmässigkeit, Zweckbindung, Verhältnismässigkeit und Transparenz und treffen angemessene technische und organisatorische Massnahmen, um sie zu schützen.

Personendaten sind nach schweizerischem Recht alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Zur Bearbeitung (Verarbeitung) zählt jeder Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Verwenden, Verändern, Bekanntgeben und Löschen. IP‑Adressen gelten nach schweizerischer und europäischer Rechtsprechung als personenbezogene Daten, weil sie eine Person bestimmbar machen können.

Verantwortlicher für die Datenverarbeitung auf dieser Website ist: Bombelli Analytics / Tsari Bombelli, Luzern, Kanton Luzern, Schweiz. E‑Mail: kontakt@bombelli-analytics.ch

Für Anfragen zur Datenverarbeitung oder zur Ausübung Ihrer Rechte können Sie uns über die oben genannten Kontaktdaten erreichen.

Wir verarbeiten Personendaten nur, soweit dies erlaubt ist oder uns eine Rechtsgrundlage vorliegt. Die Zwecke und Grundlagen sind:

1. Bereitstellung der Website und Systemsicherheit: Beim Besuch unserer Website fallen technische Daten (z. B. IP‑Adresse, Browser, Betriebssystem, Seitenaufrufe und Zeitpunkt) an. Diese Daten sind notwendig, um unsere Website bereitzustellen, die Stabilität zu gewährleisten und Angriffe abzuwehren. Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses an der Sicherstellung des Betriebs und der Sicherheit.

2. Kontaktaufnahme und vorvertragliche Kommunikation: Wenn Sie mit uns per Formular, E‑Mail oder telefonisch Kontakt aufnehmen, verarbeiten wir die von Ihnen übermittelten Kontaktdaten sowie den Inhalt Ihrer Anfrage. Zweck ist die Beantwortung Ihrer Anfrage und ggf. die Vorbereitung eines Vertrags. Rechtsgrundlagen sind vorvertragliche Massnahmen bzw. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse, Ihre Anfragen zu beantworten.

3. Leistungserbringung (Analyse und Beratung): Im Rahmen unserer Analyse‑ und Beratungsleistungen verarbeiten wir die von unseren Kunden bereitgestellten Daten (Prompt‑Texte, Analyseergebnisse) sowie gegebenenfalls personenbezogene Daten Dritter, die in diesen Prompt‑Texten enthalten sind. Diese Daten werden ausschliesslich zur Durchführung des Auftrags verarbeitet; wir agieren hierbei als Auftragsverarbeiter (Auftragsbearbeiter) und unsere Kunden bleiben für die Rechtmässigkeit verantwortlich. Rechtsgrundlagen sind die Vertragserfüllung und – soweit besonders schützenswerte Daten betroffen sind – Einwilligungen oder gesetzliche Ausnahmen.

4. Geschäftsabwicklung und rechtliche Pflichten: Wir verarbeiten Stammdaten und Vertragsdaten, um Verträge abzuschliessen und abzuwickeln, Rechnungen zu stellen und gesetzlichen Aufbewahrungspflichten nachzukommen. Rechtsgrundlagen sind Vertragserfüllung sowie rechtliche Verpflichtungen (z. B. handels‑ und steuerrechtliche Vorschriften).

5. Berechtigte Interessen: Darüber hinaus können wir Daten auf Basis unserer berechtigten Interessen verarbeiten, etwa um unsere Angebote zu verbessern, Missbrauch zu verhindern oder Rechtsansprüche geltend zu machen bzw. abzuwehren. Dabei wägen wir unsere Interessen gegen Ihre entgegenstehenden Interessen oder Grundrechte ab.

Wir verarbeiten je nach Beziehung folgende Datenkategorien:

Stammdaten: Namen, Adressen, Kontaktdaten und Informationen zu Ihrer Funktion oder Ihrem Unternehmen.

Vertragsdaten: Informationen zu Bestellungen, Leistungen, Verträgen, Rechnungen und Zahlungen.

Kommunikationsdaten: E‑Mails, Briefe, Telefonnotizen und vergleichbare Kommunikation.

Technische Daten: IP‑Adressen, Log‑Dateien, Gerätetyp, Browser, Betriebssystem und weitere Informationen, die bei Nutzung unserer Website anfallen.

Prompt‑ und Analysedaten: Texteingaben (Prompts) unserer Kunden und die daraus generierten Antworten oder Analyseergebnisse. Diese können personenbezogene Daten Dritter enthalten, sofern sie Bestandteil des Prompts sind.

Die Daten erhalten wir in der Regel direkt von Ihnen, wenn Sie unsere Website nutzen, mit uns Kontakt aufnehmen, uns Daten liefern oder unsere Dienstleistungen in Anspruch nehmen. In bestimmten Fällen können wir Daten auch aus öffentlich zugänglichen Quellen, von Behörden oder anderen Dritten erhalten.

Beim Aufruf unserer Website speichern die Webserver unseres Hosting‑Anbieters cyon AG automatisch Informationen in sogenannten Server‑Logfiles. Dazu gehören die besuchte Seite, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Referrer‑URL, Browser‑Typ und ‑Version, verwendetes Betriebssystem und IP‑Adresse. Diese Daten werden ausschliesslich für den Zweck verarbeitet, die Funktionalität und Sicherheit der Website zu gewährleisten. Wir führen diese Informationen nicht mit anderen Daten zusammen und werten sie nicht zur Profilbildung aus. Die Server‑Logs werden regelmässig gelöscht, sobald sie für den genannten Zweck nicht mehr erforderlich sind.

Zur statistischen Auswertung der Server‑Logs verwenden wir AWStats, eine freie Open‑Source‑Webanalyse‑Software. AWStats wertet Log‑Dateien aus, die der Webserver aufgrund von Besucheranfragen erstellt, und nutzt keine Cookies. Die Analyse erfolgt ausschliesslich über die Log‑Dateien; dabei können IP‑Adressen, Zeitpunkte des Seitenaufrufs, aufgerufene Seiten, Referrer‑URLs, Browser‑ und Betriebssysteminformationen sowie die geografische Herkunft der Besucher (aus der IP‑Adresse abgeleitet) verarbeitet werden. Nach der statistischen Auswertung werden die Log‑Dateien gelöscht. Alle Daten bleiben auf unseren Servern in der Schweiz und werden nicht an Dritte oder ausländische Server übertragen.

Wir stützen die Verarbeitung auf unser berechtigtes Interesse, die Nutzung unserer Website zu analysieren und die Sicherheit zu gewährleisten. Da AWStats keine Tracking‑Cookies einsetzt und nur serverseitige Log‑Dateien nutzt, ist hierfür nach schweizerischem Datenschutzrecht (DSG) keine Einwilligung erforderlich. IP‑Adressen werden so weit wie möglich anonymisiert oder pseudonymisiert, um die Privatsphäre der Besucher zu wahren.

Wir setzen keine weiteren Tracking‑ oder Marketing‑Tools und verwenden grundsätzlich nur notwendige Session‑Cookies für den technischen Betrieb. Zur Darstellung von Schriftarten laden wir Google Fonts (fonts.googleapis.com und fonts.gstatic.com). Dabei wird Ihre IP‑Adresse an Google LLC, USA, übermittelt. Rechtsgrundlage ist unser berechtigtes Interesse an einer ansprechenden Darstellung der Website. Links auf fremde Seiten liegen ausserhalb unseres Einflussbereichs.

Wenn Sie unser Kontaktformular verwenden oder uns per E‑Mail kontaktieren, benötigen wir in der Regel Ihren Namen, Ihre E‑Mail‑Adresse und gegebenenfalls weitere Angaben (z. B. Telefonnummer, Firma). Wir verwenden diese Daten ausschliesslich, um Ihre Anfrage zu beantworten und – falls es zu einem Vertragsabschluss kommt – zur Vertragsabwicklung. Die Verarbeitung beruht auf der Durchführung vorvertraglicher Massnahmen bzw. unserem berechtigten Interesse, mit Interessenten zu kommunizieren. Wir setzen PHPMailer zum Versand der Formulare ein; die Daten werden auf unserem Server verarbeitet und nicht an unbeteiligte Dritte weitergegeben. Die Kommunikation per E‑Mail erfolgt unverschlüsselt; wenn Sie vertrauliche Informationen senden, verwenden Sie bitte einen sicheren Übermittlungsweg.

Unsere Kernleistung besteht in der Auswertung von KI‑Systemen und der Analyse von Prompts. Hierbei verarbeiten wir im Auftrag unserer Kunden diejenigen Daten, die uns übermittelt werden, insbesondere:

Prompt‑Inhalte: Texte und Fragen, die an ein Sprachmodell (Large Language Model, LLM) gesendet werden; diese können personenbezogene Daten enthalten, etwa Namen, Kontaktdaten, geschäftliche oder private Informationen.

Antworten und Analyseergebnisse: Die vom LLM erzeugten Texte und unsere darauf aufbauenden Bewertungen und Berichte.

Wir verarbeiten diese Daten ausschliesslich zur Durchführung des vereinbarten Auftrags. Je nach Auftrag kann es sich dabei um Daten von Wettbewerbern oder sonstigen Dritten handeln; der Kunde ist dafür verantwortlich, dass die Eingaben rechtmässig sind. Wir agieren hierbei als Auftragsbearbeiter (Auftragsverarbeiter) im Sinne des DSG und der DSGVO. Unsere Kunden bleiben für die Rechtmässigkeit der Datenbearbeitung verantwortlich und müssen gegebenenfalls geeignete Rechtsgrundlagen (z. B. Einwilligungen) einholen.

Die Auswertung erfolgt mit Hilfe von LLM‑APIs, die von Drittanbietern (u. U. ausserhalb der Schweiz oder des EWR) bereitgestellt werden. Um personenbezogene Daten zu schützen, treffen wir folgende Massnahmen: Wir übermitteln nur die für den Auftrag erforderlichen Daten an den LLM‑Provider.

Wir nutzen derzeit die Dienste folgender LLM‑Anbieter: OpenAI LLC, San Francisco, USA (Datenschutzrichtlinie); Anthropic PBC, San Francisco, USA (Datenschutzrichtlinie); Google LLC, Mountain View, USA (Datenschutzrichtlinie). Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Standard Contractual Clauses, SCC) sowie – sofern anwendbar – des EU‑US Data Privacy Framework. Wir prüfen regelmässig, ob die eingesetzten Anbieter ein angemessenes Datenschutzniveau gewährleisten.

Wir speichern Prompt‑Daten und Analyseergebnisse nur so lange, wie dies für die Vertragserfüllung und unsere Nachweispflichten erforderlich ist. Anschliessend werden die Daten gelöscht oder anonymisiert.

Wir geben Ihre Personendaten nur weiter, wenn eine gesetzliche Pflicht besteht, dies zur Vertragserfüllung erforderlich ist oder ein berechtigtes Interesse vorliegt. Kategorien von Empfängern können sein:

Behörden und Gerichte, wenn wir gesetzlich dazu verpflichtet sind oder dies zur Wahrung unserer Rechte erforderlich ist.

Beratungs‑ und Analysepartner, wenn dies in Ihrem Auftrag geschieht und vertraglich geregelt ist.

Wir verkaufen Ihre Daten nicht zu Werbe‑ oder Marketingzwecken.

Personendaten dürfen aus der Schweiz grundsätzlich nur dann in ein Ausland übermittelt werden, wenn im Empfängerland ein angemessenes Datenschutzniveau besteht. Für Staaten ohne angemessenen Schutz können Datenübermittlungen auf der Basis von geeigneten Garantien erfolgen, insbesondere Standarddatenschutzklauseln, die der EDÖB (Eidgenössischer Datenschutz‑ und Öffentlichkeitsbeauftragter) genehmigt hat. Der Verantwortliche bleibt verpflichtet, zu prüfen, ob der Empfänger die vertraglichen Garantien einhalten kann und ob zusätzliche technische Massnahmen erforderlich sind. Über eine Datenübermittlung ins Ausland müssen wir Sie nach Art. 19 DSG informieren.

Für unsere Website‑Analyse nutzen wir Server in der Schweiz, sodass keine Auslandsübermittlung stattfindet. Bei Nutzung von LLM‑APIs kann jedoch eine Übermittlung in Länder ausserhalb der Schweiz bzw. des EWR erfolgen; in diesem Fall sorgen wir für angemessene Garantien wie oben beschrieben.

Wir speichern Personendaten nur so lange, wie dies zur Erfüllung der genannten Zwecke erforderlich ist oder wie es gesetzliche Aufbewahrungsfristen vorsehen. Kriterien für die Speicherdauer sind u. a.:

Server‑Logs und AWStats-Daten: Diese werden nach Auswertung gelöscht, sofern keine Sicherheitsvorfälle vorliegen.

Kontakt‑ und Kommunikationsdaten: Solange die Bearbeitung der Anfrage läuft und gegebenenfalls darüber hinaus, um gesetzliche Aufbewahrungsfristen (z. B. 10 Jahre für geschäftliche Kommunikation) einzuhalten.

Vertrags‑ und Abrechnungsdaten: Bis zum Ablauf gesetzlicher Aufbewahrungspflichten (z. B. steuerrechtliche Aufbewahrungspflicht von 10 Jahren).

Prompt‑ und Analysedaten: Bis zur Erfüllung des Auftrags; anschliessend Löschung oder Anonymisierung.

Wir treffen angemessene technische und organisatorische Sicherheitsmassnahmen, um Ihre Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen. Diese Massnahmen orientieren sich am Risiko und umfassen u. a. Zugriffs‑ und Zugriffskontrollen, Verschlüsselung beim Datentransport (HTTPS/TLS), Regelungen zur Datenminimierung, Schulung der Mitarbeitenden sowie regelmässige Prüfung unserer Sicherheitsvorkehrungen.

Sie haben nach dem auf Sie anwendbaren Datenschutzrecht verschiedene Rechte in Bezug auf Ihre Personendaten. Dazu gehören insbesondere:

Auskunftsrecht: Sie können Auskunft darüber verlangen, welche Daten wir über Sie bearbeiten, zu welchem Zweck, wie lange und wer sie erhält.

Berichtigungsrecht: Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

Löschungsrecht («Recht auf Vergessenwerden»): Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten verlangen, beispielsweise wenn die Verarbeitung für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich ist.

Widerspruchsrecht: Sie können der Verarbeitung Ihrer Daten, die wir aufgrund eines berechtigten Interesses vornehmen, jederzeit widersprechen.

Widerrufsrecht: Sofern wir Daten aufgrund Ihrer Einwilligung verarbeiten, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen.

Recht auf Datenübertragbarkeit: Sie haben das Recht, Ihre Personendaten in einem gängigen elektronischen Format herauszuverlangen oder deren Übertragung an einen anderen Verantwortlichen zu verlangen (Art. 28 DSG), sofern wir die Daten automatisiert bearbeiten und Sie in die Bearbeitung eingewilligt haben oder die Bearbeitung in unmittelbarem Zusammenhang mit einem Vertrag steht.

Bitte beachten Sie, dass wir bei der Ausübung Ihrer Rechte Ihre Identität eindeutig feststellen müssen. Die Ausübung einzelner Rechte kann unter Umständen mit vertraglichen Vereinbarungen kollidieren und zu Konsequenzen wie der vorzeitigen Beendigung eines Vertrags führen; darüber informieren wir Sie bei Bedarf.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die rechtlichen Grundlagen, unsere Datenbearbeitungen oder andere Umstände ändern. Es gilt jeweils die aktuelle Version, die auf unserer Website veröffentlicht ist.

Wenn Sie Fragen zum Datenschutz haben, Ihre Rechte ausüben möchten oder der Meinung sind, dass die Verarbeitung Ihrer Daten gegen Datenschutzrecht verstösst, kontaktieren Sie uns bitte per E‑Mail oder Post (siehe Abschnitt 2). Wir bemühen uns, Ihr Anliegen schnellstmöglich zu klären.

Darüber hinaus haben Sie das Recht, eine Beschwerde beim Eidgenössischen Datenschutz‑ und Öffentlichkeitsbeauftragten (EDÖB) einzureichen: www.edoeb.admin.ch.