Datenschutzerklärung
Wie wir personenbezogene Daten erheben, verarbeiten und schützen – gemäss Schweizer Datenschutzgesetz (nFADP) und ergänzend zur EU-DSGVO.
1. Verantwortlicher
SFOUR Consulting AG Oberallmendstrasse 18 6300 Zug, Schweiz E-Mail: info@sfour-consulting.com
Für Auskunfts-, Berichtigungs- oder Löschanfragen gemäss nFADP / DSGVO genügt eine formlose E-Mail an die oben genannte Adresse mit dem Betreff „Datenschutz".
2. Welche Daten wir verarbeiten
2.1 Beim Besuch der Website
- Technische Cookies (
sfour_langfür die Sprachwahl, Login-/Session-Token für angemeldete Benutzer,sfour_previewwährend der Pre-Live-Phase). - Server-Logs mit IP-Adresse, User-Agent, Request-Zeitstempel und HTTP-Status. Aufbewahrung max. 90 Tage, anschliessend automatische Löschung.
2.2 Beim Nutzen der agentischen Funktionen
Unser Berater-Agent beobachtet Routen, Klicks, Scroll-Tiefe und die
eingegebenen Fragen, um Empfehlungen und Inhalte zu personalisieren.
Diese Beobachtungen werden in einer SEA-Session gespeichert
(Cookie sea_session). Die Session enthält keine
Identifikationsdaten, nur Verhaltens-Signale (Personas, Pain-Signale,
Cluster-Fokus). Anonyme Sessions werden nach 90 Tagen Inaktivität
automatisch gelöscht.
2.3 Beim Chat mit dem Agenten
Jede Frage, die Sie an den Agenten stellen, wird zur Beantwortung an die OpenAI-API (USA) übermittelt – siehe Abschnitt 4 (Drittland-Übermittlungen). Die Anfragen werden bei uns mit Zeitstempel und Antwort gespeichert (Dialog-Memory, max. 6 Turns pro Session) und im Audit-Log archiviert (max. 90 Tage).
2.4 Bei Kontaktanfragen
Wenn Sie das Kontaktformular ausfüllen, verarbeiten wir die angegebenen Daten (Name, Firma, E-Mail, Anliegen) ausschliesslich zur Bearbeitung Ihrer Anfrage. Aufbewahrung gemäss handelsrechtlicher Pflichten (10 Jahre), sofern aus der Anfrage ein Beratungsmandat entsteht.
2.5 Bei Anmeldung als Benutzer
Wir speichern Benutzername, Passwort-Hash (bcrypt), Rolle, letzten Login und ggf. die zugewiesene Modell-Konfiguration. Keine Passwörter im Klartext, kein E-Mail-Tracking.
3. Zweck und Rechtsgrundlage
Die Verarbeitung erfolgt zur: - Vertragsanbahnung und -erfüllung (Beratungsmandat, Termin-Vereinbarungen) - Berechtigten Interessen (Site-Sicherheit, Missbrauchs-Erkennung, Produkt-Verbesserung durch aggregierte Verhaltens-Analyse) - Erfüllung gesetzlicher Pflichten (Aufbewahrung von Geschäftskorrespondenz)
Eine Einwilligung im engeren Sinn holen wir nur ein, wenn dies gesetzlich vorgeschrieben ist (z.B. Newsletter).
4. Drittland-Übermittlungen
4.1 OpenAI (Vereinigte Staaten)
Chat-Eingaben, die Sie an unseren Berater-Agenten richten, werden
an die OpenAI-API übermittelt. Modell: gpt-5.4-mini. Verarbeitet
werden ausschliesslich die Eingaben dieser Konversation.
Wir nutzen die OpenAI-Schnittstelle unter den Standard-API-Geschäftsbedingungen (openai.com/policies/business-terms) mit dem ergänzenden Data Processing Addendum (openai.com/policies/data-processing-addendum). Wesentliche Konsequenzen daraus:
- OpenAI verarbeitet die Inhalte als Auftragsverarbeiter im Sinne von Art. 28 DSGVO / Art. 9 nFADP.
- API-Eingaben und -Ausgaben werden nicht zum Trainieren der OpenAI-Modelle verwendet (Opt-out by default).
- Eingaben werden auf OpenAI-Seite maximal 30 Tage zur Missbrauchs-Erkennung gespeichert und anschliessend gelöscht.
- Für Drittland-Übermittlungen (USA) gelten die EU-Standardvertragsklauseln (SCC, Modul 2, Verantwortlicher → Auftragsverarbeiter), eingebettet in das DPA.
4.2 Microsoft Azure (Schweiz / EU)
Wenn Sie sich in unserer Mandanten-Umgebung anmelden, kann die Authentifizierung über Azure-Komponenten in der Schweizer oder Westeuropa-Region erfolgen. Microsoft verfügt über Standard-Vertragsklauseln zur DSGVO-Übermittlung.
4.3 Railway (USA)
Unser Hosting-Provider Railway betreibt Server in den USA. Datenbank und Application-Container laufen dort. Übertragung verschlüsselt (TLS 1.2+). Standard-Vertragsklauseln für Drittland-Übermittlung sind anwendbar.
5. Cookies und Tracking
Wir verwenden ausschliesslich erstanbietige Cookies. Keine Marketing-/Werbe-Cookies, keine Drittanbieter-Tracker (kein Google Analytics, kein Facebook-Pixel).
| Cookie | Zweck | Lebensdauer |
|---|---|---|
sfour_lang |
Sprachauswahl | 1 Jahr |
sea_session |
SEA-Tracker (Berater-Agent) | 90 Tage |
sfour_token (localStorage) |
Login | bis Logout |
sfour_preview |
Pre-Live-Zugang | 30 Tage |
Sie können Cookies in Ihrem Browser jederzeit löschen oder das Setzen unterbinden. Die SEA-Session können Sie über den „Anonyme Sitzung beenden"-Link im Footer manuell zurücksetzen.
6. Ihre Rechte
Gemäss nFADP und DSGVO haben Sie das Recht auf: - Auskunft über die zu Ihrer Person gespeicherten Daten - Berichtigung unrichtiger Daten - Löschung Ihrer Daten (sofern keine gesetzliche Aufbewahrungspflicht entgegensteht) - Datenübertragbarkeit in einem strukturierten Format - Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen - Beschwerde bei der Aufsichtsbehörde (EDÖB, Schweiz / lokale Datenschutzbehörde in der EU)
Anfragen an info@sfour-consulting.com mit Betreff „Datenschutz". Wir antworten innert 30 Tagen.
7. Sicherheit
- HTTPS / TLS 1.2+ auf allen Verbindungen
- Passwort-Hashes mit bcrypt (Cost-Factor 12)
- Rollenbasierte Zugriffskontrolle (RBAC)
- Audit-Logs für alle administrativen Aktionen
- Kein Klartext-Speichern von Passwörtern, Tokens oder API-Schlüsseln
- Regelmässige Backups, Trennung zwischen Produktions- und Entwicklungs-Umgebungen
8. Stand
Diese Erklärung wurde zuletzt im Mai 2026 überarbeitet. Änderungen werden auf dieser Seite veröffentlicht.
