Name: CRMS - Car Rental Management System
Author: Microservice Solutions GmbH

1. Verantwortliche Stelle

Verantwortlich im Sinne des Schweizer Datenschutzgesetzes (DSG) und der EU-Datenschutz-Grundverordnung (DSGVO):

Microservice Solutions GmbH

Erlenweg 10, 6312 Steinhausen, Schweiz

E-Mail: info@microservice-solutions.ch

Telefon: +41 (0) 79 950 91 81

UID: CHE-140.645.095

Für Anfragen zum Datenschutz wenden Sie sich bitte an: legal@microservice-solutions.ch

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Webseite microservice-solutions.ch sowie der SaaS-Anwendung CRMS (Car Rental Management System). Sie informiert Sie darüber, welche Personendaten wir erheben, zu welchem Zweck wir sie verarbeiten und welche Rechte Sie haben.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Personendaten auf Basis der folgenden Rechtsgrundlagen:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO / Art. 31 Abs. 2 lit. a DSG): Bereitstellung und Betrieb der SaaS-Plattform.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 Abs. 1 DSG): Sicherheit, Fehlerbehebung, Betrugsvorbeugung.
Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Buchhaltungs- und Vertragsdaten.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 Abs. 1 DSG): Wo zutreffend, z.B. für optionale Push-Benachrichtigungen.

4. Erhobene Datenkategorien

Im Rahmen der Nutzung von CRMS können folgende Datenkategorien verarbeitet werden:

Kontodaten: E-Mail-Adresse, Passwort (gehasht), Name, Rolle in der Organisation.
Kundendaten: Name, Adresse, Telefonnummer, E-Mail, Führerscheinnummer, Geburtsdatum, Nationalität.
Vertragsdaten: Mietverträge, Reservierungen, Unterschriften (digital), Vertragskonditionen, Schadensprotokolle.
Fahrzeugdaten: Kennzeichen, Fahrzeugidentifikationsnummer (VIN), Kilometerstand, Bilder.
Abrechnungsdaten: Rechnungsanschrift, Zahlungsmethode (über Stripe verarbeitet — wir speichern keine Kreditkartennummern).
Kommunikationsdaten: E-Mail-Inhalte (Bestätigungen, Benachrichtigungen), Kontaktformular-Nachrichten.
Nutzungsdaten: IP-Adresse, Browser-Typ, Gerätetyp, Zugriffszeiten, Fehlermeldungen.

5. Zwecke der Verarbeitung

Bereitstellung und Betrieb der SaaS-Plattform (Vertragserfüllung)
Benutzerkontoverwaltung und Authentifizierung
Abrechnung und Zahlungsabwicklung
Versand transaktionsbezogener E-Mails (Bestätigungen, Einladungen, Passwortrücksetzung)
Technischer Support und Fehlerbehebung
Sicherheit und Missbrauchsprävention (Rate-Limiting, CSRF-Schutz)
Fehlerüberwachung und Leistungsoptimierung
Erfüllung gesetzlicher Aufbewahrungspflichten

6. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Drittanbieter als Auftragsverarbeiter ein:

Supabase Inc.

Zweck: Datenbank, Authentifizierung, Dateispeicherung (Storage)

Standort: USA (AWS-Region eu-central-1 für EU-Kunden konfigurierbar)

Datenschutz: supabase.com/privacy

Vercel Inc.

Zweck: Hosting und Bereitstellung der Webanwendung, Edge-Funktionen

Standort: USA (mit Edge-Standorten weltweit)

Datenschutz: vercel.com/legal/privacy-policy

Stripe Inc.

Zweck: Zahlungsabwicklung und Abonnementverwaltung

Standort: USA (PCI DSS Level 1 zertifiziert)

Datenschutz: stripe.com/privacy

Resend Inc.

Zweck: Versand transaktionsbezogener E-Mails

Standort: USA

Datenschutz: resend.com/legal/privacy-policy

Functional Software Inc. (Sentry)

Zweck: Fehlerüberwachung und Performance-Monitoring

Standort: USA

Datenschutz: sentry.io/privacy

Hinweis: Sentry-Berichte werden vor dem Versand um personenbezogene Daten bereinigt (Authorization-Header, Cookies, Tokens).

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV / DPA) gemäss Art. 28 DSGVO bzw. Art. 9 DSG.

7. Internationale Datenübermittlung

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf Basis des EU-U.S. Data Privacy Framework (DPF) bzw. der Standardvertragsklauseln (SCC) gemäss Art. 46 Abs. 2 lit. c DSGVO. Für die Schweiz stützen wir uns auf die Angemessenheitsentscheide des EDÖB und die revidierten Standardvertragsklauseln.

Wir stellen sicher, dass alle Auftragsverarbeiter angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Daten treffen.

8. Aufbewahrungsfristen

Wir bewahren Personendaten nur so lange auf, wie es für die jeweiligen Zwecke erforderlich ist:

Kontodaten: Bis zur Löschung des Benutzerkontos, danach anonymisiert oder gelöscht.
Vertrags- und Abrechnungsdaten: 10 Jahre nach Vertragsende (gesetzliche Aufbewahrungspflicht gemäss Art. 958f OR).
Kundendaten: Bis zur Löschung durch den Mandanten oder 10 Jahre nach dem letzten Vertrag (je nachdem, was zuletzt eintritt).
Kommunikationsdaten: Kontaktanfragen werden nach 12 Monaten gelöscht, sofern kein Vertragsverhältnis besteht.
Nutzungsdaten und Logs: Maximal 90 Tage.

9. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Daten, darunter:

Verschlüsselung aller Datenübertragungen mittels TLS (HTTPS)
Verschlüsselung ruhender Daten in der Datenbank (AES-256)
Rollenbasierte Zugriffskontrolle (Row-Level Security) mit strikter Mandantentrennung
Passwörter werden ausschliesslich gehasht gespeichert (bcrypt)
CSRF-Schutz, Rate-Limiting und Content Security Policy (CSP)
Mehrstufige Authentifizierung (MFA/TOTP) als Option
Regelmässige Sicherheitsüberprüfungen und Abhängigkeitsprüfungen

10. Cookies und lokale Speicherung

CRMS verwendet ausschliesslich technisch notwendige Cookies:

Authentifizierungs-Cookies (sb-*): Sitzungsverwaltung via Supabase. HttpOnly, Secure. Ablauf: gemäss Sitzungsdauer.
Organisations-Cookie: Speichert die aktive Organisation. Ablauf: 1 Jahr.
Theme-Cookie: Speichert die Farbschema-Einstellung (hell/dunkel). Ablauf: 1 Jahr.

Wir verwenden keine Tracking-Cookies, Analyse-Tools von Drittanbietern oder Werbetechnologien.

11. Push-Benachrichtigungen

CRMS bietet optionale Web-Push-Benachrichtigungen an. Diese funktionieren über das Web Push Protocol (VAPID). Die Aktivierung erfolgt nur mit Ihrer ausdrücklichen Zustimmung und kann jederzeit in den Browser-Einstellungen oder in den Anwendungseinstellungen widerrufen werden.

12. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer Personendaten:

Auskunftsrecht (Art. 25 DSG / Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
Berichtigungsrecht (Art. 32 DSG / Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
Datenportabilität (Art. 28 DSG / Art. 20 DSGVO): Sie können Ihre Daten in einem gängigen, maschinenlesbaren Format erhalten.
Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Widerruf der Einwilligung: Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: legal@microservice-solutions.ch

Wir werden Ihre Anfrage innert 30 Tagen beantworten. Zur Identitätsprüfung kann eine Kopie Ihres Ausweises erforderlich sein.

13. Beschwerderecht

Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Feldeggweg 1, 3003 Bern, Schweiz

www.edoeb.admin.ch

Falls die DSGVO anwendbar ist, können Sie sich auch an die zuständige Datenschutzbehörde in Ihrem EU/EWR-Mitgliedstaat wenden.

14. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) handeln wir gemäss Art. 24 DSG und Art. 33/34 DSGVO:

Meldung an Behörden: Wir melden Datenschutzverletzungen unverzüglich, in der Regel innert 72 Stunden, an den EDÖB und — sofern anwendbar — an die zuständige EU-Datenschutzbehörde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen.
Benachrichtigung Betroffener: Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge hat, benachrichtigen wir die betroffenen Personen unverzüglich per E-Mail.
Dokumentation: Alle Datenschutzverletzungen werden intern dokumentiert, einschliesslich Art der Verletzung, betroffene Datenkategorien, ergriffene Massnahmen und Auswirkungen.

Sollten Sie eine Sicherheitslücke oder einen Datenschutzvorfall vermuten, melden Sie dies bitte umgehend an: legal@microservice-solutions.ch

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen. Die aktuelle Fassung ist stets auf dieser Seite verfügbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.