Datenschutzerklärung

1. Einleitung

Die vorliegende Datenschutzerklärung informiert Sie über die Beschaffung, Bearbeitung, Speicherung und den Schutz von Personendaten der Nutzer der Website doaken.com sowie der SaaS-Plattform Doaken zur Beantwortung öffentlicher und privater Vergabeverfahren.

Doaken Technology bearbeitet Personendaten im Einklang mit dem schweizerischen Bundesgesetz über den Datenschutz (revDSG, in Kraft seit 1. September 2023) und der zugehörigen Datenschutzverordnung (DSV), sowie — soweit anwendbar — mit der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, DSGVO).

2. Verantwortlicher

Verantwortlicher im Sinne von Art. 5 lit. j revDSG und Art. 4 Nr. 7 DSGVO ist:

• Name: Monsieur Rodolphe Chane-Wai
• Geschäftsbezeichnung: Doaken Technology
• Rechtsform: Einzelunternehmen französischen Rechts (Entrepreneur individuel)
• Vertretungsberechtigt: Rodolphe Chane-Wai
• SIREN: 891 588 980
• SIRET (Hauptsitz): 891 588 980 00021
• Französische USt-IdNr.: FR03891588980
• Anschrift: Paris, Frankreich
• E-Mail: contact@doaken.fr
• Telefon: +33 9 39 24 59 16

Französisches Unternehmen — keine Schweizer Niederlassung. Gemäß Art. 14 revDSG wurde aufgrund der begrenzten Bearbeitung von Personendaten Schweizer Betroffener und der Einhaltung der DSGVO auf die Bezeichnung eines Vertreters in der Schweiz verzichtet; auf Anfrage bestätigen wir gerne die Rechtsgrundlage.

Datenschutzberater / Ansprechpartner: Es wurde kein Datenschutzberater gemäß Art. 10 revDSG bezeichnet (keine Verpflichtung für private Verantwortliche dieser Größenordnung). Zentraler Ansprechpartner für alle datenschutzrechtlichen Anliegen ist Rodolphe Chane-Wai, erreichbar unter contact@doaken.fr.

3. Bearbeitete Daten

a) Über die Website doaken.com (Demo-Anfrageformular)

• Geschäftliche E-Mail-Adresse
• Unternehmensname
• Jährliches Volumen bearbeiteter Ausschreibungen
• Größe des Angebots- bzw. Vertriebsteams
• Hauptherausforderung

b) Über die Plattform Doaken (SaaS-Anwendung)

• Vor- und Nachname des Nutzers
• E-Mail-Adresse
• Unternehmensinformationen (Firmenname, Branche)
• Hochgeladene Dokumente (Ausschreibungsunterlagen, technische Angebote, Eignungsnachweise)
• Rechnungsdaten

c) Automatisch erhobene technische Daten

• IP-Adresse
• Browsertyp und -version
• Besuchte Seiten und Navigationspfad
• Cookies (siehe Abschnitt 10)

4. Zwecke der Bearbeitung

Die erhobenen Personendaten werden zu folgenden Zwecken bearbeitet:

• Bearbeitung von Demo-Anfragen: Bearbeitung und Nachverfolgung von Anfragen zur Vorführung der Plattform
• Bereitstellung des SaaS-Dienstes: Einrichtung und Verwaltung der Nutzerkonten, Bearbeitung der Dokumente, Erstellung technischer Angebote
• Verbesserung des Dienstes: Analyse der Nutzung zur Verbesserung von Nutzererlebnis und Funktionen
• Kommerzielle Kommunikation: Versand von Informationen über Weiterentwicklungen des Dienstes (ausschließlich bei vorheriger Einwilligung)
• Rechtliche Verpflichtungen: Einhaltung handels-, steuer- und aufsichtsrechtlicher Pflichten

5. Rechtsgrundlagen der Bearbeitung

Die Bearbeitung erfolgt gestützt auf:

• Einwilligung (Art. 6 Abs. 6 und 7 revDSG; Art. 6 Abs. 1 lit. a DSGVO): Kontaktformulare, Demo-Anfrage, Analyse-Cookies, kommerzielle Kommunikation
• Vertragserfüllung (Art. 31 Abs. 2 lit. a revDSG; Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung des SaaS-Dienstes, Verwaltung des Nutzerkontos, Dokumentenbearbeitung
• Überwiegende private Interessen (Art. 31 Abs. 2 revDSG; Art. 6 Abs. 1 lit. f DSGVO): Verbesserung des Dienstes, Sicherheit der Plattform, Betrugsprävention
• Gesetzliche Verpflichtung (Art. 31 Abs. 1 revDSG; Art. 6 Abs. 1 lit. c DSGVO): Rechnungsstellung, Buchhaltung, steuerliche Pflichten

6. Aufbewahrungsdauer

Personendaten werden nur so lange aufbewahrt, wie es für die genannten Zwecke erforderlich ist:

• Interessentendaten (Demo-Formular): 3 Jahre nach dem letzten Kontakt
• Kundendaten (Nutzerkonto): Vertragslaufzeit + 10 Jahre (Aufbewahrungspflicht gemäß Art. 958f OR)
• Hochgeladene Dokumente (Vergabeunterlagen, technische Angebote): Vertragslaufzeit + 30 Tage nach Kontolöschung
• Technische Logs (IP-Adressen, Zugriffsprotokolle): 12 Monate
• Cookies: maximal 13 Monate

Nach Ablauf dieser Fristen werden die Daten unwiderruflich gelöscht oder anonymisiert.

7. Auftragsbearbeiter

Doaken Technology beauftragt die folgenden Auftragsbearbeiter im Sinne von Art. 9 revDSG bzw. Art. 28 DSGVO:

8. Bekanntgabe von Personendaten ins Ausland

Einige unserer Auftragsbearbeiter haben ihren Sitz in den Vereinigten Staaten. Die Bekanntgabe von Personendaten ins Ausland erfolgt gemäß Art. 16 bis 18 revDSG sowie Art. 44 bis 49 DSGVO unter folgenden Garantien:

• Anthropic PBC (USA): Vertrag und Standardvertragsklauseln (SCC 2021). Zur Analyse übermittelte Daten werden nicht dauerhaft gespeichert und niemals zum Training von Modellen verwendet (Anthropic Commercial API Policy).
• Vercel Inc. (USA): Ausführungsserver in Frankreich (Region Paris cdg1). Vertrag und SCC 2021. Vercel speichert ausschließlich technische Logs (IP, URLs, User-Agent) zu Sicherheitszwecken.
• Supabase Inc. (USA): Daten werden auf Supabase-Servern in Frankfurt (EU) gespeichert. Vertrag und SCC 2021.
• Cloudflare Inc. (USA): R2-Speicher auf europäische Region konfiguriert. Vertrag und SCC 2021.
• Google LLC (USA) — Analytics & Fonts: Vertrag und SCC 2021. Google Analytics wird ausschließlich nach vorheriger ausdrücklicher Einwilligung über unser Cookie-Banner eingesetzt.

Die Vereinigten Staaten gelten aus Sicht des revDSG nicht als Land mit angemessenem Datenschutzniveau. Für Bekanntgaben in die USA stützt sich der Anbieter daher auf vertragliche Garantien (insbesondere Standardvertragsklauseln gemäß Durchführungsbeschluss 2021/914 der Europäischen Kommission), die gemäß EDÖB auch im Rahmen des revDSG als hinreichend erachtet werden.

9. Ihre Rechte

Nach dem revDSG (Art. 25 ff.) und der DSGVO (Art. 15 bis 22) stehen Ihnen folgende Rechte bezüglich Ihrer Personendaten zu:

• Auskunftsrecht (Art. 25 revDSG; Art. 15 DSGVO): Bestätigung und Kopie Ihrer bearbeiteten Daten
• Recht auf Berichtigung (Art. 32 Abs. 1 revDSG; Art. 16 DSGVO): Korrektur unrichtiger oder unvollständiger Daten
• Recht auf Löschung / Vernichtung (Art. 32 Abs. 2 lit. c revDSG; Art. 17 DSGVO)
• Recht auf Einschränkung der Bearbeitung (Art. 18 DSGVO)
• Recht auf Datenherausgabe und Datenübertragbarkeit (Art. 28 revDSG; Art. 20 DSGVO)
• Widerspruchsrecht (Art. 30 Abs. 2 lit. b revDSG; Art. 21 DSGVO)
• Widerrufsrecht: jederzeitiger Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Zur Ausübung dieser Rechte wenden Sie sich bitte an: contact@doaken.fr

Antwortfrist: In der Regel innerhalb von 30 Tagen ab Eingang Ihrer Anfrage. Die Frist kann bei komplexen Anfragen angemessen verlängert werden; in diesem Fall werden Sie informiert.

Zuständige Datenschutzaufsichtsbehörde: Da es sich um einen in Frankreich ansässigen Verantwortlichen handelt, ist primär die französische Commission Nationale de l'Informatique et des Libertés (CNIL) zuständig. Schweizer Betroffene können sich darüber hinaus an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden:

• Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): edoeb.admin.ch — Feldeggweg 1, 3003 Bern, Schweiz
• CNIL: cnil.fr/fr/plaintes — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich

Keine Profilbildung mit hohem Risiko, keine automatisierte Einzelentscheidung: Gemäß Art. 21 revDSG und Art. 22 DSGVO findet bei Doaken Technology keine ausschließlich automatisierte Einzelentscheidung einschließlich Profiling mit hohem Risiko statt, die Ihnen gegenüber Rechtswirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

10. Cookies

Die Website doaken.com und die Plattform Doaken verwenden folgende Cookie-Kategorien. Analyse- und Marketing-Cookies werden ausschließlich nach vorheriger ausdrücklicher Einwilligung über das Cookie-Banner gesetzt.

Technisch notwendige Cookies (keine Einwilligung erforderlich)

• Sitzungs- und Authentifizierungs-Cookies
• Sicherheits-Cookies (CSRF, Rate Limiting)
• Nutzerpräferenzen (Sprache, Darstellung)

Analyse-Cookies (nur mit Einwilligung)

• Google Analytics 4 (_ga, _ga_*) — anonymisierte Reichweitenmessung, Speicherdauer: 13 Monate. Der Einsatz erfolgt ausschließlich nach ausdrücklicher Einwilligung über das Cookie-Banner.

Werbe-Cookies

Doaken setzt keine Werbe-Cookies ein und führt kein Werbe-Targeting durch.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder Ihre Präferenzen anpassen:

• Über das Cookie-Banner der Website (Link „Cookie-Einstellungen" im Footer)
• Über die Einstellungen Ihres Browsers (Löschen der Cookies)

11. Datensicherheit

Doaken Technology trifft geeignete technische und organisatorische Massnahmen gemäss Art. 8 revDSG bzw. Art. 32 DSGVO zur Gewährleistung der Sicherheit und Vertraulichkeit von Personendaten:

• Transportverschlüsselung über TLS 1.3
• Verschlüsselung ruhender Daten mit AES-256
• Mandantentrennung über Row Level Security (RLS) auf PostgreSQL
• Starke Authentifizierung und Brute-Force-Schutz
• Protokollierung der Zugriffe und Monitoring
• Signierte URLs mit Ablaufdatum für Dokumentenzugriffe

12. Meldung von Verletzungen der Datensicherheit

Gemäss Art. 24 revDSG und Art. 33/34 DSGVO verpflichtet sich Doaken Technology im Falle einer Verletzung der Datensicherheit, die zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt:

• Unverzügliche Meldung an den EDÖB bzw. die zuständige EU-Aufsichtsbehörde (innerhalb von 72 Stunden gemäss DSGVO)
• Unverzügliche Benachrichtigung der betroffenen Personen, sofern dies zu ihrem Schutz erforderlich ist
• Dokumentation aller Verletzungen (Art, betroffene Datenkategorien, getroffene Massnahmen) in einem internen Verzeichnis

13. Änderungen dieser Datenschutzerklärung

Doaken Technology behält sich vor, diese Datenschutzerklärung jederzeit anzupassen. Bei wesentlichen Änderungen werden die Nutzer der Plattform per E-Mail oder durch Benachrichtigung in der Anwendung informiert.

Die jeweils aktuelle Fassung ist abrufbar unter: doaken.com/ch-de/privacy