1. Einleitung und Geltungsbereich
1.1 Zweck dieser Erklärung
Diese Compliance-Erklärung dokumentiert, auf welche Weise EmailSchutz by SYNTHETIXMIND LTD die Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO) sowie des revidierten Schweizer Bundesgesetzes über den Datenschutz (DSG) erfüllt. Sie richtet sich an Nutzer, Geschäftspartner und Aufsichtsbehörden und dient der Transparenz über unsere Datenschutzpraktiken.
1.2 Anwendbare Rechtsgrundlagen
| Rechtsrahmen | Anwendungsbereich |
|---|---|
| DSGVO (EU) 2016/679 | Nutzer mit Wohnsitz in Deutschland und Österreich sowie im gesamten EU/EWR-Raum |
| DSG (Schweiz, rev. 2023) | Nutzer mit Wohnsitz in der Schweiz |
| Nationales Recht (DE, AT) | Ergänzende nationale Datenschutzgesetze |
1.3 Räumlicher Geltungsbereich
EmailSchutz richtet seine Dienste ausschliesslich an Nutzer mit Wohnsitz oder Sitz in Deutschland, der Schweiz und Österreich. Die DSGVO findet gemäss Art. 3 Abs. 2 DSGVO (Marktortprinzip) Anwendung.
1.4 Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher:
EmailSchutz by SYNTHETIXMIND LTD
Evagora Pallikaridi 38, 8010 Paphos, Cyprus
Datenschutzbeauftragter (DSB / DPO):
Thomas Dobler
E-Mail: dpo@emailschutz.com
2. Grundsätze der Datenverarbeitung
Alle Verarbeitungstätigkeiten von EmailSchutz orientieren sich an den in Art. 5 DSGVO und Art. 6 DSG verankerten Grundsätzen:
- Rechtmässigkeit, Treu und Glauben, Transparenz — Daten werden ausschliesslich auf gesetzlich anerkannter Rechtsgrundlage verarbeitet
- Zweckbindung — Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben
- Datenminimierung — Es werden ausschliesslich jene Daten erhoben, die für den jeweiligen Zweck erforderlich sind
- Richtigkeit — Angemessene Massnahmen zur Berichtigung oder Löschung unrichtiger Daten
- Speicherbegrenzung — Keine Speicherung über den erforderlichen Zeitraum hinaus
- Integrität und Vertraulichkeit — Schutz durch technische und organisatorische Massnahmen (TOMs)
- Rechenschaftspflicht — Dokumentation und Nachweisbarkeit der Einhaltung aller Grundsätze
3. Rechtsgrundlagen der Verarbeitung
3.1 Übersicht
| Verarbeitungstätigkeit | Rechtsgrundlage DSGVO | Rechtsgrundlage DSG |
|---|---|---|
| Kontoerstellung und Vertragserfüllung | Art. 6 Abs. 1 lit. b | Art. 31 Abs. 2 lit. a |
| Zahlungsabwicklung (Stripe) | Art. 6 Abs. 1 lit. b | Art. 31 Abs. 2 lit. a |
| Technischer Betrieb / Sicherheit | Art. 6 Abs. 1 lit. f | Art. 31 Abs. 1 |
| Analyse (Google Analytics) | Art. 6 Abs. 1 lit. a | Art. 6 DSG (Einwilligung) |
| Marketing-Kommunikation | Art. 6 Abs. 1 lit. a | Art. 6 DSG (Einwilligung) |
| Gesetzliche Aufbewahrungspflichten | Art. 6 Abs. 1 lit. c | Art. 31 Abs. 2 lit. c |
4. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
4.2 Übersicht der Verarbeitungstätigkeiten
| Tätigkeit | Datenkategorien | Zweck | Speicherdauer | Empfänger |
|---|---|---|---|---|
| Nutzerregistrierung | Name, E-Mail, Telefon | Vertragserfüllung | Dauer des Kontos | Intern |
| Zahlungsabwicklung | Transaktionsdaten | Vertragserfüllung | Gesetzl. Aufbewahrung | Stripe |
| Kontaktformular | Name, E-Mail, Nachricht | Kommunikation | 12 Monate | Intern |
| Technischer Betrieb | IP-Adresse, Gerätedaten | Sicherheit, Betrieb | 90 Tage (anonymisiert) | Intern |
| Nutzungsanalyse | Anonymisierte Nutzungsdaten | Analyse, Optimierung | 14 Monate | Google Analytics |
| Marketing-E-Mails | E-Mail-Adresse | Marketing | Bis Abmeldung | Intern |
5. Betroffenenrechte und deren Umsetzung
| Recht | Rechtsgrundlage | Umsetzung bei EmailSchutz |
|---|---|---|
| Auskunft | Art. 15 DSGVO / Art. 25 DSG | Vollständige Auskunft über gespeicherte Daten auf Anfrage |
| Berichtigung | Art. 16 DSGVO | Korrektur unrichtiger Daten ohne unangemessene Verzögerung |
| Löschung | Art. 17 DSGVO | Löschung innerhalb von 30 Tagen, vorbehaltlich gesetzlicher Aufbewahrungspflichten |
| Einschränkung | Art. 18 DSGVO | Einschränkung der Verarbeitung auf begründeten Antrag |
| Übertragbarkeit | Art. 20 DSGVO | Datenexport in maschinenlesbarem Format (JSON, CSV) |
| Widerspruch | Art. 21 DSGVO | Sofortige Berücksichtigung bei berechtigten Interessen als Rechtsgrundlage |
Anfragen werden unverzüglich, spätestens innerhalb von 30 Tagen ab Eingang bearbeitet. Kontakt: dpo@emailschutz.com
6. Privacy by Design und Privacy by Default
EmailSchutz verankert den Datenschutz bereits in der Konzeptionsphase neuer Produkte (Privacy by Design) und trifft Voreinstellungen, die stets die datenschutzfreundlichste Option darstellen (Privacy by Default), gemäss Art. 25 DSGVO.
- Datenminimierung bei der Systemgestaltung
- Pseudonymisierung von Analysedaten wo immer möglich
- IP-Anonymisierung bei Google Analytics
- Verschlüsselung aller Datenübertragungen mittels TLS/SSL
- Zugriffsbeschränkungen nach dem Least-Privilege-Prinzip
7. Auftragsverarbeitung und Drittanbieter
7.2 Stripe – Zahlungsabwicklung
| Merkmal | Details |
|---|---|
| Anbieter | Stripe, Inc. (US) / Stripe Payments Europe, Ltd. (IE) |
| Zweck | Verarbeitung von Zahlungstransaktionen |
| Datenübermittlung | EU-Standardvertragsklauseln (SCCs) |
| DPA abgeschlossen | Ja |
| Datenschutzinformationen | https://stripe.com/de/privacy |
7.3 Google Analytics – Nutzungsanalyse
| Merkmal | Details |
|---|---|
| Anbieter | Google LLC / Google Ireland Limited |
| Zweck | Anonymisierte Nutzungsstatistiken |
| Datenübermittlung | EU-Standardvertragsklauseln (SCCs) |
| IP-Anonymisierung | Aktiviert |
| DPA abgeschlossen | Ja (Google Ads Data Processing Terms) |
| Einwilligungspflicht | Ja – nur nach ausdrücklicher Cookie-Einwilligung |
| Datenschutzinformationen | https://policies.google.com/privacy |
8. Internationale Datenübermittlung
Im Rahmen der Nutzung von Stripe und Google Analytics können personenbezogene Daten in die USA übermittelt werden. Die Übermittlung wird durch Standardvertragsklauseln (SCCs) gemäss Durchführungsbeschluss (EU) 2021/914 rechtlich abgesichert. Zusätzlich werden technische Massnahmen (Verschlüsselung, IP-Anonymisierung) eingesetzt.
Für Nutzer mit Wohnsitz in der Schweiz erfolgt die Übermittlung in Drittstaaten auf Grundlage geeigneter Garantien gemäss Art. 16 DSG.
9. Datensicherheit und technisch-organisatorische Massnahmen (TOMs)
- Alle Datenübertragungen sind durch TLS 1.2 oder höher verschlüsselt
- Passwörter werden ausschliesslich in gehashter Form (bcrypt oder gleichwertig) gespeichert
- Analysedaten werden vor der Speicherung pseudonymisiert bzw. anonymisiert
- Zugriff ausschliesslich für autorisierte Mitarbeitende auf Basis des Least-Privilege-Prinzips
- Protokollierung aller Zugriffe auf personenbezogene Daten
- Regelmässige interne und externe Sicherheitsüberprüfungen
9.5 Datenpannen: Erkennung, Meldung, Dokumentation
| Schritt | Massnahme | Frist |
|---|---|---|
| Erkennung | Interne Meldung an den DSB | Unverzüglich |
| Bewertung | Risikoeinschätzung durch DSB | Innerhalb von 24 Stunden |
| Meldung an Behörde | Meldung an zuständige Aufsichtsbehörde | Innerhalb von 72 Stunden (Art. 33 DSGVO) |
| Benachrichtigung Nutzer | Bei hohem Risiko für Betroffene | Unverzüglich (Art. 34 DSGVO) |
| Dokumentation | Interne Dokumentation der Panne und Massnahmen | Dauerhaft |
10. Besonderheiten des Schweizer DSG
| Aspekt | DSGVO | DSG (Schweiz) |
|---|---|---|
| Meldepflicht bei Datenpannen | An Aufsichtsbehörde (72 Std.) + Betroffene | An EDÖB bei voraussichtlich hohem Risiko |
| Datenschutz-Folgenabschätzung | Art. 35 DSGVO | Art. 22 DSG – bei voraussichtlich hohem Risiko |
| Auskunftsrecht | Art. 15 DSGVO | Art. 25 DSG – umfassend, kostenlos |
| Rechtsgrundlage Bearbeitung | Art. 6 DSGVO | Art. 31 DSG |
| Strafbestimmungen | Bussgelder gegen Unternehmen | Bussgelder gegen natürliche Personen (bis CHF 250'000) |
12. Zuständige Aufsichtsbehörden und Beschwerderecht
| Land | Behörde | Kontakt |
|---|---|---|
| Zypern | Office of the Commissioner for Personal Data Protection | www.dataprotection.gov.cy |
| Deutschland | Zuständige Landesdatenschutzbehörde | www.bfdi.bund.de |
| Schweiz | Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) | www.edoeb.admin.ch |
| Österreich | Österreichische Datenschutzbehörde (DSB) | www.dsb.gv.at |
EmailSchutz empfiehlt, vor einer formellen Beschwerde zunächst den Datenschutzbeauftragten unter dpo@emailschutz.com zu kontaktieren.
13. Aktualisierung und Versionierung
Diese Compliance-Erklärung wird bei wesentlichen Änderungen der Verarbeitungsprozesse, bei Änderungen der anwendbaren Datenschutzgesetze sowie mindestens einmal jährlich überprüft und aktualisiert. Alle Versionen werden intern archiviert.
14. Salvatorische Klausel und Kontakt
Sollten einzelne Bestimmungen dieser Compliance-Erklärung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so berührt dies die Gültigkeit der übrigen Bestimmungen nicht.
Thomas Dobler – Datenschutzbeauftragter
E-Mail: dpo@emailschutz.com
EmailSchutz by SYNTHETIXMIND LTD
Evagora Pallikaridi 38, 8010 Paphos, Cyprus
Website: https://emailschutz.com
Diese DSGVO / DSG Compliance-Erklärung wurde zuletzt im Mai 2025 aktualisiert.
EmailSchutz by SYNTHETIXMIND LTD — Evagora Pallikaridi 38, 8010 Paphos, Cyprus