sFlowsTM

Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns ein zentrales Anliegen. Diese Datenschutzerklärung erläutert, wie sFlows personenbezogene Daten erhebt, verwendet und schützt, wenn Sie unsere Website besuchen oder unsere Dienste nutzen.

sFlows GmbH

06.03.2026

Geltungsbereich

Diese Datenschutzerklärung gilt für:

  • die von der sFlows GmbH betriebene öffentliche Website („Website“); sowie
  • die von der sFlows GmbH bereitgestellte CRM-Plattform („Service“).

Der Service richtet sich ausschliesslich an Geschäftskunden (B2B).

Diese Datenschutzerklärung erläutert die Bearbeitung personenbezogener Daten gemäss dem revidierten Schweizer Datenschutzgesetz (revDSG).

Soweit Dienstleistungen Personen in der Europäischen Union angeboten werden oder EU-Datenschutzrecht anwendbar ist, erfolgt die Datenbearbeitung zusätzlich gemäss der Datenschutz-Grundverordnung (DSGVO).

Verantwortlicher

sFlows GmbH Dammstrasse 19 6300 Zug Schweiz E-Mail: privacy@sflows.ch

TEIL A: WEBSITE

Server-Logdaten

Beim Zugriff auf die Website werden automatisch bestimmte technische Daten verarbeitet:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene Seite
  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL

Diese Bearbeitung ist erforderlich, um:

  • die Systemsicherheit zu gewährleisten;
  • Missbrauch zu verhindern;
  • die Stabilität des Betriebs sicherzustellen.

Rechtsgrundlage: berechtigtes Interesse an der sicheren und funktionsfähigen Bereitstellung der Website.

Server-Logdaten werden grundsätzlich für eine begrenzte Dauer (in der Regel bis zu 6 Monate) gespeichert und danach gelöscht oder anonymisiert, sofern keine längere Aufbewahrung aus Sicherheits- oder gesetzlichen Gründen erforderlich ist.

Kontaktaufnahme

Wenn Personen sFlows per E-Mail oder auf anderem Weg kontaktieren, werden die übermittelten Daten (z.B. Name, E-Mail-Adresse, Inhalt der Nachricht) ausschliesslich zur Bearbeitung der Anfrage verarbeitet.

Rechtsgrundlage:

  • berechtigtes Interesse an der Beantwortung von Anfragen; oder
  • Vertragsrfüllung, sofern die Kommunikation ein bestehendes Vertragsverhältnis betrifft.

Kommunikationsdaten werden nur so lange gespeichert, wie dies zur Bearbeitung der Anfrage und zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich ist.

Einsatz von Cloudflare Turnstile

Die Website verwendet Cloudflare Turnstile, einen Bot-Schutzdienst der Cloudflare, Inc., zum Schutz vor automatisiertem Missbrauch und schädlichen Aktivitäten. Dabei können technische Informationen verarbeitet werden, insbesondere:

  • IP-Adresse;
  • Browsermerkmale;
  • Interaktionsmetadaten.

Rechtsgrundlage: berechtigtes Interesse an der Gewährleistung von Integrität, Verfügbarkeit und Sicherheit der Website. Cloudflare kann Daten ausserhalb der Schweiz oder des Europäischen Wirtschaftsraums bearbeiten. Soweit eine internationale Datenübermittlung erfolgt, werden geeignete Garantien, wie Standardvertragsklauseln oder vergleichbare rechtliche Mechanismen, gemäss den anwendbaren Datenschutzvorschriften angewendet.

Cookies

  1. Technische / Funktionale Cookies:

Die Website und der Service verwenden ausschliesslich technisch notwendige Cookies für folgende Zwecke:

  • Sitzungsverwaltung (Aufrechterhaltung des Anmeldestatus für authentifizierte Nutzer);
  • Sicherheit (CSRF-Schutz-Token);
  • Speicherung von Nutzereinstellungen (z.B. Spracheinstellungen).

Diese Cookies sind für den Betrieb des Services unbedingt erforderlich und können nicht deaktiviert werden, ohne die Funktionalität zu beeinträchtigen. Sie tracken Nutzer nicht websiteübergreifend und werden nach Sitzungsende oder innerhalb eines kurzen definierten Zeitraums gelöscht.

  1. Keine Marketing- oder Tracking-Cookies

Die Website und der Service verwenden keine:

  • Werbe- oder Marketing-Cookies;
  • verhaltensbasierte Tracking- oder Profiling-Cookies;
  • Drittanbieter-Analyse-Cookies;
  • websiteübergreifende Tracking-Technologien.

Für technisch notwendige Cookies ist keine Cookie-Einwilligung erforderlich. Es findet keine Profilbildung oder automatisierte Entscheidungsfindung über Cookies statt.

Kein Marketing oder verhaltensbezogenes Tracking

Die Website:

  • verwendet keine Werbetechnologien;
  • verwendet kein verhaltensbezogenes Tracking;
  • verwendet keine Marketing-Cookies;
  • gibt keine Besucherdaten zu Werbezwecken weiter.

Es findet keine Profilbildung und keine automatisierte Entscheidungsfindung statt.

TEIL B: CRM-PLATTFORM

Rollen und Verantwortlichkeiten

Je nach Kontext handelt sFlows entweder als Auftragsbearbeiter oder als Verantwortlicher.

  1. sFlows als Auftragsbearbeiter: sFlows handelt als Auftragsbearbeiter, wenn Kunden personenbezogene Daten innerhalb der CRM-Plattform („Kundendaten“) hochladen, speichern oder verwalten.

In diesem Zusammenhang gilt:

  • Der Kunde ist Verantwortlicher.
  • sFlows bearbeitet Kundendaten ausschliesslich im Auftrag des Kunden.
  • Der Kunde ist allein verantwortlich für: die Rechtmässigkeit der erhobenen Daten; die Einhaltung der anwendbaren Datenschutzgesetze; die Festlegung von Aufbewahrungsfristen; ◦die Bearbeitung von Betroffenenanfragen.

sFlows bestimmt weder Zwecke noch wesentliche Mittel der Bearbeitung von Kundendaten. sFlows ist nicht verantwortlich für die Einhaltung datenschutzrechtlicher Pflichten durch den Kunden in Bezug auf Kundendaten.

  1. sFlows als Verantwortlicher:

sFlows handelt als Verantwortlicher für folgende Datenkategorien:

  • Registrierungsdaten;
  • Authentifizierungsdaten;
  • Rechnungs- und Vertragsdaten;
  • technische Zugriffs- und Logdaten;
  • sicherheitsrelevante Daten;
  • aggregierte und anonymisierte Nutzungsstatistiken;
  • Sicherheitslog-Daten können auch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden.

Die Bearbeitung erfolgt zur:

  • Bereitstellung und Aufrechterhaltung des Services;
  • Verwaltung von Benutzerkonten;
  • Vertrags- und Rechnungsabwicklung;
  • Gewährleistung der Systemsicherheit und Betrugsprävention;
  • Erfüllung gesetzlicher Pflichten;
  • Weiterentwicklung und Verbesserung des Services.

Rechtsgrundlagen:

  • Vertragsrfüllung;
  • berechtigtes Interesse (Sicherheit, Systemintegrität, Produktverbesserung);
  • gesetzliche Verpflichtungen.

Kategorien personenbezogener Daten

Je nach Nutzung können folgende Datenkategorien bearbeitet werden:

  • Identifikationsdaten (z.B. Name, E-Mail-Adresse);
  • Authentifizierungsdaten;
  • Rechnungsdaten;
  • technische Logdaten;
  • vom Kunden hochgeladene Daten (ausschliesslich als Auftragsbearbeiter).

sFlows überprüft, überwacht oder validiert die Inhalte der Kundendaten nicht aktiv.

Hosting und Datenstandort

Die Infrastruktur des Services wird ausschliesslich in der Schweiz auf virtueller Serverinfrastruktur von Infomaniak Network SA betrieben. Kundendaten (Produktion und Backups) werden ausschliesslich in der Schweiz gespeichert und verarbeitet.

Hinweis zu Unterauftragsverarbeitern

Bestimmte von Infomaniak eingesetzte Unterauftragsverarbeiter für Hilfsdienste (z.B. SMS-Authentifizierung und Betrugserkennung) können begrenzte technische Metadaten ausserhalb der Schweiz oder des EWR verarbeiten. Diese Dienste beinhalten keine Speicherung von Kundendaten ausserhalb der Schweiz. Alle solchen Übermittlungen unterliegen geeigneten Schutzmaßnahmen, einschliesslich Standardvertragsklauseln. Siehe Abschnitt 13 für die aktuelle Liste der Unterauftragsverarbeiter.

Eine grenzüberschreitende Übermittlung von Kundendaten erfolgt nur, wenn dies gesetzlich erforderlich ist oder vom Kunden ausdrücklich veranlasst wird.

Sicherheitsmassnahmen

sFlows implementiert angemessene technische und organisatorische Massnahmen nach einem risikobasierten Ansatz, insbesondere:

  • Verschlüsselung der Datenübertragung (TLS);
  • Zugriffsbeschränkungen und Authentifizierungskontrollen;
  • Logging- und Überwachungsmechanismen;
  • Hosting in der Schweiz.

Da der Service auf nicht verwalteter virtueller Infrastruktur von Infomaniak betrieben wird, werden alle sicherheitsrelevanten Konfigurationen auf Anwendungsebene (einschliesslich TLS, Verschlüsselung ruhender Daten, Backup-Management und Zugriffskontrollen) direkt von sFlows implementiert und unterhalten. Die physische und Netzwerkinfrastruktur von Infomaniak ist ISO 27001 zertifiziert.

Im Falle eines Datensicherheitsvorfalls ergreift sFlows angemessene Massnahmen und benachrichtigt betroffene Verantwortliche gemäss den anwendbaren Datenschutzvorschriften.

Aufbewahrungsdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die beschriebenen Zwecke erforderlich ist.

  • Kundendaten: gemäss Weisung des Kunden und Dauer der Vertragsbeziehung.
  • Sicherheits- und Audit-Logs: bis zu fünf Jahre, sofern dies aus Sicherheits-, Compliance- oder rechtlichen Gründen erforderlich ist.
  • Rechnungs- und Buchhaltungsdaten: gemäss Schweizer Handels- und Steuerrecht (in der Regel bis zu zehn Jahre).
  • Website-Server-Logs: bis zu sechs Monate.
  • Kommunikationsdaten: für die zur Bearbeitung der Anfrage und zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderliche Dauer.

Nach Beendigung des Vertrags werden Kundendaten innerhalb von 30 bis 90 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht oder überwiegende berechtigte Interessen entgegenstehen.

Auftragsbearbeiter (Subunternehmer)

sFlows setzt sorgfältig ausgewählte Auftragsbearbeiter für spezifische Dienste ein. Folgende Auftragsbearbeiter sind derzeit tätig:

  1. Primärer Infrastruktur-Auftragsbearbeiter

Infomaniak Network SA, Rue Eugène-Marziano 25, 1227 Les Acacias, Schweiz. Funktion: VPS-Hosting, Datenspeicherung, Netzwerkinfrastruktur. Datenstandort: Schweiz. ISO 27001 zertifiziert.

  1. Unterauftragsverarbeiter von Infomaniak (Hilfsdienste)

Infomaniak setzt folgende Unterauftragsverarbeiter für Hilfsdienste ein. Diese speichern keine Kundendaten, können jedoch begrenzte technische Metadaten verarbeiten:

  • Twilio Inc. (USA) — SMS-Authentifizierung. Übermittlungsmechanismus: Standardvertragsklauseln.
  • MaxMind Inc. (USA) — Betrugserkennung via GeoIP. Übermittlungsmechanismus: Standardvertragsklauseln.
  • Amazon Web Services EMEA SARL (Irland) — Newsletter-Infrastruktur. Übermittlungsmechanismus: EU-Angemessenheit / Standardvertragsklauseln.
  • Vadesecure (Frankreich) — Spam-Schutz für E-Mail-Dienste. Übermittlungsmechanismus: EU-Angemessenheit.
  • Acronis (Schweiz) — Geräte-Backup und Antivirus. Datenstandort: Schweiz.
  • Virtuozzo (Schweiz) — Cloud-Management für Jelastic-Dienst. Datenstandort: Schweiz.

sFlows behält sich das Recht vor, weitere Auftragsbearbeiter einzusetzen, sofern angemessene vertragliche Garantien gemäss anwendbarem Datenschutzrecht bestehen. Eine aktuelle Liste kann auf Anfrage unter privacy@sflows.ch bereitgestellt werden.

Rechte betroffener Personen

Betroffene Personen können — vorbehaltlich gesetzlicher Voraussetzungen — folgende Rechte geltend machen:

  • Auskunftsrecht;
  • Recht auf Berichtigung;
  • Recht auf Löschung;
  • Recht auf Einschränkung der Bearbeitung;
  • Widerspruchsrecht (sofern anwendbar);
  • Recht auf Datenübertragbarkeit (soweit anwendbar gemäss DSGVO).

Anfragen sind zu richten an: privacy@sflows.ch sFlows wird innerhalb von 30 Tagen nach Eingang der Anfrage antworten. Bei komplexen Anfragen kann diese Frist um weitere 60 Tage verlängert werden; die betroffene Person wird in diesem Fall innerhalb der ersten 30 Tage über die Verlängerung informiert.

Beschwerden können beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder einer zuständigen Aufsichtsbehörde eingereicht werden.

Soweit sFlows ausschliesslich als Auftragsbearbeiter tätig ist, sollten betroffene Personen ihre Anfragen direkt an den jeweiligen Kunden (Verantwortlichen) richten.

Zuständige Aufsichtsbehörde in der Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern — www.edoeb.admin.ch

Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profilbildung im Sinne der anwendbaren Datenschutzgesetze statt.

Änderungen

sFlows kann diese Datenschutzerklärung von Zeit zu Zeit anpassen.

Bei wesentlichen Änderungen dieser Datenschutzerklärung, die die Bearbeitung personenbezogener Daten bestehender Kunden oder Plattformnutzer betreffen, wird sFlows mindestens dreissig (30) Tage vor Inkrafttreten der Änderungen eine entsprechende Benachrichtigung per E-Mail an die hinterlegte Kontaktadresse oder durch einen deutlichen Hinweis innerhalb des Services versenden. Bei nicht wesentlichen Änderungen (einschliesslich Korrekturen, Klarstellungen oder gesetzlich erforderlichen Aktualisierungen) wird die aktualisierte Version auf der Website veröffentlicht und tritt mit der Veröffentlichung in Kraft. Das Versionsdatum am Anfang dieser Erklärung gibt an, wann sie zuletzt aktualisiert wurde.