Datenschutz

1. Verantwortliche Stelle

Brightseed GmbH, Aurorastrasse 27, 5000 Aarau, Schweiz. Kontakt für Datenschutzanfragen: kontakt@sicherhand.ch. Wir antworten in der Regel innert 30 Tagen.

2. Welche Daten wir bearbeiten

• Beschreibungstext, den Sie eingeben (technisch als Klartext gespeichert, automatisch nach 24 h gelöscht).
• Hochgeladene Bilder — beim Upload werden sämtliche EXIF-Daten (inkl. allfälliger GPS-Koordinaten) entfernt, indem das Bild serverseitig neu codiert wird. Bilder werden nach 24 h automatisch gelöscht.
• IP-Adresse — als SHA-256-Hash, ausschliesslich zur Begrenzung der einmaligen Gratis-Credits pro Gerät; im Klartext nur in den Standard-HTTP-Logs unseres Hosters (siehe Punkt 5).
• Anonymer Credit-Identifier (zufällige UUID, lokal in Ihrem Browser unter dem Schlüssel sicherhand_credit_id gespeichert) — verwaltet Ihr Credit-Guthaben ohne Anmeldung. Lebensdauer auf Ihrem Gerät: bis Sie Browser-Daten löschen. Inaktive Credit-Konten werden serverseitig nach 30 Tagen gelöscht.
• Zahlungsinformationen bei Credit-Käufen — verarbeitet ausschliesslich durch Stripe (siehe Punkt 4). Wir selbst sehen keine Karten- oder TWINT-Daten; in unserer Datenbank wird lediglich die Stripe-Transaktions-ID zur Bestätigung des Zahlungseingangs gespeichert.
• Bewertungs-Sessions (Zwischenstände der KI-Analyse, Roh-Quellen, generierter Bericht) — gespeichert maximal 24 h, dann automatisch gelöscht.

3. Was wir nicht tun

• Kein Tracking, keine Werbe-Cookies, kein Google Analytics, kein Facebook-Pixel, kein Plausible, kein Sentry.
• Kein Verkauf, keine Vermietung, kein Tausch von Daten an Dritte.
• Keine Newsletter oder Werbe-Mails — wir erheben keine E-Mail-Adresse.
• Kein Profiling, keine automatisierten Einzelentscheidungen mit Rechtswirkung.

4. Auftragsverarbeiter und Dritte

Für den Betrieb des Dienstes setzen wir die folgenden externen Dienstleister ein. Mit allen Anbietern bestehen die gesetzlich erforderlichen Auftragsverarbeitungsvereinbarungen (Art. 9 revDSG / Art. 28 DSGVO). Übermittlungen in die USA sind durch Standardvertragsklauseln (SCC) und — soweit zertifiziert — das EU-US Data Privacy Framework abgesichert.

• Anthropic PBC (USA) — KI-Modell (Claude) für Produkterkennung, Recherche-Synthese und Bewertung. Übermittelt werden Ihr Beschreibungstext und Ihre hochgeladenen Bilder. Anthropic speichert API-Eingaben gemäss eigenen Geschäftsbedingungen nicht dauerhaft und nutzt sie nicht für Modell-Training.
• Brave Search Inc. (USA) — Suchmaschinen-API für die Marktrecherche. Übermittelt werden ausschliesslich aus Ihrer Beschreibung abgeleitete Suchanfragen. Bitte geben Sie keine Klarnamen oder Adressen in die Beschreibung ein, wenn Sie das vermeiden möchten.
• Stripe Payments Europe Ltd. (Irland) / Stripe Inc. (USA) — Abwicklung sämtlicher Zahlungen (Kreditkarte, TWINT). Stripe erhält Ihre Zahlungsdaten direkt aus dem Browser; wir selbst sehen lediglich die Stripe-Transaktions-ID, den bezahlten Betrag und das gewählte Credit-Paket. Stripe ist eigene Verantwortliche für die Zahlungs-Compliance (PCI-DSS) — siehe Stripe Privacy Policy.
• Render Services Inc. (USA), Region Frankfurt (DE) — Hosting der API. Die Anwendungsdaten liegen physisch in Frankfurt; Standard-HTTP-Zugriffslogs (IP, Pfad, Status, Zeitstempel) können bis zu 30 Tage in Renders Logging-System aufbewahrt werden.
• Vercel Inc. (USA) — Hosting der Website (Frontend) über das globale Edge-Netzwerk. Vercel verarbeitet ausschliesslich technische Zugriffsdaten zur Auslieferung der Website.
• Google Fonts — Schriften werden direkt aus Googles CDN nachgeladen. Dabei wird Ihre IP-Adresse an Google übermittelt. Wenn Sie das vermeiden wollen, können Sie Schriften in Ihrem Browser blockieren.

5. Speicherdauer

• Beschreibungstext, Bilder, Sessions, generierte Berichte: max. 24 h.
• Credit-Konten und Transaktions-IDs: solange aktiv genutzt, mindestens jedoch bis 7 Tage nach letzter Aktivität.
• HTTP-Server-Logs (bei unserem Hoster): bis zu 30 Tage.
• Stripe-seitige Zahlungsbelege unterliegen Stripes Aufbewahrungsfristen sowie ggf. der schweizerischen Buchhaltungspflicht (10 Jahre).

6. Cookies und lokaler Speicher

Wir setzen keine Cookies für eigene Zwecke. Im lokalen Speicher Ihres Browsers (localStorage) werden ausschliesslich technisch notwendige Werte abgelegt: der anonyme Credit-Identifier (siehe Punkt 2) sowie temporäre Wiederherstellungsdaten beim Stripe-Redirect. Keine dieser Werte verlässt unseren technischen Kontext oder geht an Dritte.

Stripe setzt während des Bezahlvorgangs eigene Cookies, um Betrugsversuche zu erkennen. Diese sind unbedingt erforderlich, sobald Sie sich entscheiden, einen Kauf zu tätigen.

7. Ihre Rechte

Nach revDSG und DSGVO haben Sie das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung, Datenportabilität sowie das Recht auf Widerspruch. Da wir keine langfristigen Konten führen und alle Inhaltsdaten nach 24 h automatisch gelöscht werden, ist das Löschungsrecht in den meisten Fällen bereits durch die automatische Löschung erfüllt. Anfragen richten Sie bitte an kontakt@sicherhand.ch.

Sie haben zudem das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren — in der Schweiz beim EDÖB, in der EU bei der jeweils nationalen Datenschutzbehörde.

8. Sicherheit

Sämtliche Datenübermittlungen erfolgen TLS-verschlüsselt (HTTPS). Die Anwendungsdaten werden in der EU (Frankfurt) gehostet. Zugriffe auf die Datenbank sind auf den Anwendungsserver beschränkt; eine direkte Datenbankschnittstelle nach aussen besteht nicht.

9. Änderungen

Diese Erklärung kann angepasst werden, etwa wenn neue Auftragsverarbeiter hinzukommen oder sich gesetzliche Anforderungen ändern. Die jeweils aktuelle Version ist auf dieser Seite verfügbar. Stand: April 2026.