Datenschutzerklärung

Datenschutzerklärung für onprem.ai

Datenschutzerklärung — OnPrem AI (Emerging Evidence GmbH)

Stand: 8. September 2025

Diese Datenschutzerklärung erläutert, wie OnPrem AI, eine Marke der Emerging Evidence GmbHEmerging Evidence», «wir», «uns», «unser»), personenbezogene Daten im Zusammenhang mit unserer Website, unseren Unternehmenslösungen und unseren lokalen KI-Systemen (On-Premises) verarbeitet, die wir in der Schweiz und in Europa anbieten.

Verantwortlicher (sofern nicht anders angegeben): Emerging Evidence GmbH Zur Stahlgiesserei 8, 8200 Schaffhausen, Schweiz Telefon: +41 76 446 36 73 E-Mail: info@onprem.ai

Soweit wir ausschliesslich als Auftragsverarbeiter im Auftrag eines Kunden tätig werden (z.B. bei Fernsupport für eine lokale Installation), ist der Kunde der Verantwortliche. Unsere Pflichten ergeben sich dann aus der jeweiligen Auftragsverarbeitungsvereinbarung (AVV).

1) Geltungsbereich

Diese Erklärung gilt für:

  • Besucher unserer Websites und Kommunikationskanäle
  • Geschäftskontakte (potenzielle und bestehende Kunden, Lieferanten, Partner)
  • Datenverarbeitungen zur Bereitstellung, Wartung und Unterstützung unserer On-Premises-KI-Software und -Dienstleistungen
  • Verarbeitungen, die von der Schweiz und dem Europäischen Wirtschaftsraum (EWR) aus erfolgen

Diese Erklärung ergänzt produktspezifische Vereinbarungen (z.B. AVV, Support-Bedingungen). Im Konfliktfall hat die Vereinbarung mit dem Kunden für diese Geschäftsbeziehung Vorrang.

2) Begriffsbestimmungen (Kurzform)

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erhebung, Speicherung, Nutzung, Offenlegung usw.).
  • Verantwortlicher: Die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.
  • Auftragsverarbeiter: Die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Kundendaten (Customer Content): Daten, die Kunden in unsere On-Premises-Lösungen einbringen oder damit erzeugen (einschliesslich Modelleingaben/-ausgaben, Logs und Konfigurationen). Sofern nicht anders vereinbart, bleiben Kundendaten unter der Kontrolle des Kunden in dessen Umgebung.

3) Rollen und Verantwortlichkeiten

  • Unsere Rolle: Wir sind Verantwortlicher für unsere eigenen Geschäftsprozesse (z.B. Vertrieb, Abrechnung, Lieferantenverwaltung, Website). Wir sind Auftragsverarbeiter, wenn ein Kunde uns entsprechend beauftragt (z.B. Fernwartung, Managed Services).
  • Rolle des Kunden: Für Kundendaten in On-Premises-Installationen sind Kunden in der Regel Verantwortliche (oder selbst Auftragsverarbeiter für ihre eigenen Kunden). Kunden müssen eine rechtmässige Grundlage sicherstellen und ihre Nutzer entsprechend informieren.
  • AVV: Wir bieten eine AVV mit Standardbedingungen zum Verantwortlichen-Auftragsverarbeiter-Verhältnis an, einschliesslich Vertraulichkeit, Sicherheitsmassnahmen, Kontrolle von Unterauftragsverarbeitern und Prüfungsunterstützung.

4) Welche Daten wir erheben

A. Daten, die wir als Verantwortlicher erheben

  • Identität und Kontakt: Name, Berufsbezeichnung, Arbeitgeber, E-Mail, Telefon, Postanschrift.
  • Geschäftsbeziehungsdaten: Vertragsdokumente, Bestellungen, Rechnungsstellung, Steuerinformationen, Korrespondenz, Besprechungsnotizen.
  • Web- und technische Daten: IP-Adresse, Geräte-/Browser-Metadaten, besuchte Seiten, Zeitstempel, grundlegende Telemetriedaten zum Betrieb der Website und zur Abwehr von Missbrauch.
  • Support-Interaktionen: Ticket-Inhalte, freiwillig bereitgestellte Diagnosedaten, Gesprächsaufzeichnungen (sofern angekündigt/eingewilligt).
  • Bewerberdaten (bei Bewerbung): Lebenslauf, Anschreiben, Referenzen (von Ihnen oder Ihren Referenzgebern erhoben).

B. Daten, die wir als Auftragsverarbeiter verarbeiten (On-Prem/Managed Support)

  • Kundendaten (Customer Content): Modelleingaben/-ausgaben, Logs, Konfigurationen und Leistungskennzahlen innerhalb der kontrollierten Umgebung des Kunden.
    • Standardeinstellung: Kundendaten verlassen die Umgebung des Kunden nicht.
    • Ausnahmen: Nur bei ausdrücklicher Freigabe oder Anweisung (z.B. sichere Fernsupport-Sitzung, kuratierte anonymisierte Telemetrie oder Backups an einen vom Kunden kontrollierten Speicherort).

Wir verarbeiten absichtlich keine besonderen Kategorien personenbezogener Daten (z.B. Gesundheit, Biometrie) als Verantwortlicher. Falls Kunden solche Daten verarbeiten, müssen sie eine angemessene Rechtsgrundlage und Schutzmassnahmen gewährleisten; unsere AVV und Sicherheitsvorkehrungen unterstützen sensible Kontexte.

5) Zwecke und Rechtsgrundlagen (DSGVO & DSG)

Wir stützen uns auf die nachfolgend aufgeführten Rechtsgrundlagen (DSGVO Art. 6; Schweizer DSG – berechtigte Interessen, Vertrag, gesetzliche Pflichten, Einwilligung bei Bedarf).

ZweckBeispieleRechtsgrundlage
Vertrieb und vorvertragliche MassnahmenAnfragen beantworten, Demos, AngeboteVertragsanbahnung; berechtigte Interessen
VertragserfüllungSoftwarebereitstellung, Lizenzierung, Rechnungsstellung, KontoverwaltungVertragserfüllung; gesetzliche Pflicht (Steuern/Buchführung)
Sicherheit und MissbrauchsvorbeugungZugriffskontrolle, Betrugsprävention, VorfallbearbeitungBerechtigte Interessen; gesetzliche Pflicht (wo zutreffend)
Produktverbesserung (nur Daten als Verantwortlicher)Aggregierte, anonymisierte Analysen zur Verbesserung von Zuverlässigkeit und BenutzererfahrungBerechtigte Interessen; Einwilligung (bei nicht essenziellen Cookies)
Marketing an GeschäftskontakteNewsletter, Event-Einladungen an geschäftliche E-MailsBerechtigte Interessen; Einwilligung (bei Bedarf)
PersonalbeschaffungKandidatenbeurteilung und EinstellungsabwicklungVertragsanbahnung; berechtigte Interessen
ComplianceSteuern, Buchführung, behördliche AnfragenGesetzliche Pflicht

Als Auftragsverarbeiter verarbeiten wir Kundendaten nur nach dokumentierten Weisungen des Kunden (Verantwortlicher).

6) Datenminimierung und Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist, zuzüglich gesetzlicher Aufbewahrungsfristen (z.B. nach schweizerischem/EU-Handels- und Steuerrecht typischerweise bis zu 10 Jahre für bestimmte Unterlagen). Wir wenden folgende allgemeine Fristen an:

  • Verträge und Rechnungen: Vertragslaufzeit + bis zu 10 Jahre (gesetzlich).
  • Support-Tickets: Aktive Bearbeitung + bis zu 3 Jahre (oder gemäss Vertrag).
  • Marketing-Kontakte: Bis zum Widerruf oder nach anhaltender Inaktivität (regelmässig geprüft).
  • Bewerbungen: Bis zu 6 Monate nach Entscheidung, sofern nicht eine längere Aufbewahrung im Talentpool eingewilligt wird.

Nach Ablauf der Aufbewahrungsfrist löschen oder anonymisieren wir Daten unwiderruflich, sofern nicht rechtliche Ansprüche eine längere Aufbewahrung erfordern.

7) Offenlegungen und Empfänger

Wir verkaufen keine personenbezogenen Daten. Wir können Daten offenlegen an:

  • Dienstleister / Unterauftragsverarbeiter: z.B. sicheres Hosting unserer Unternehmenssysteme, E-Mail, CRM, Buchhaltung und Sicherheitswerkzeuge. Diese Anbieter sind zur Vertraulichkeit und zum Datenschutz verpflichtet.
  • Professionelle Berater: Wirtschaftsprüfer, Rechtsberater.
  • Behörden: wo gesetzlich vorgeschrieben oder zum Schutz von Rechten, Sicherheit oder Integrität erforderlich.

Bei On-Premises-Installationen gestalten wir Lösungen so, dass Kundendaten in der Umgebung des Kunden verbleiben. Jeder Fernzugriff oder Export erfordert ausdrückliche Genehmigung und wird protokolliert.

Wir führen ein internes Verzeichnis der Unterauftragsverarbeiter und können auf Anfrage unter NDA Details bereitstellen.

8) Internationale Datenübermittlungen

Wir verarbeiten Daten primär in der Schweiz und im EU/EWR. Sollten Übermittlungen in andere Länder erfolgen, stellen wir ein angemessenes Schutzniveau sicher mittels:

  • Angemessenheitsbeschlüssen (z.B. Schweiz ↔ EU/EWR), und/oder
  • Standardvertragsklauseln (SCC) mit ergänzenden Massnahmen, und
  • Transfer-Folgenabschätzungen (soweit anwendbar).

9) Sicherheitsmassnahmen (Überblick)

Wir setzen technische und organisatorische Massnahmen ein, die dem Risiko angemessen sind, darunter:

  • Netzwerksegmentierung; Zugriff nach dem Prinzip der geringsten Rechte mit RBAC und MFA für administrativen Zugang.
  • Verschlüsselung während der Übertragung (TLS) und im Ruhezustand für unterstützte Komponenten; Optionen für kundenverwaltete Schlüssel.
  • Sichere Softwareentwicklung: Code-Review, Abhängigkeitsverwaltung, Schwachstellenscanning.
  • Härtungsrichtlinien, Patch-Management, Sicherheitsprotokollierung und -überwachung.
  • Incident-Response-Runbooks, Business Continuity und getestete Backup-/Wiederherstellungsverfahren.
  • Vertraulichkeitsvereinbarungen mit Mitarbeitern und rollenbasierte Schulungen.

Wir orientieren unser Informationssicherheitsmanagement an anerkannten Rahmenwerken (z.B. ISO/IEC 27001-Prinzipien). Wir beanspruchen keine Zertifizierung, sofern diese nicht ausdrücklich in einer unterzeichneten Vereinbarung genannt ist.

10) Cookies und ähnliche Technologien

Unsere Websites verwenden essenzielle Cookies für Betrieb und Sicherheit. Wir können Analyse-Cookies einsetzen, um die Nutzung zu verstehen und unsere Dienste zu verbessern. Wo erforderlich, holen wir Ihre Einwilligung über ein Banner ein und bieten differenzierte Kontrollen an. Sie können die Einwilligung jederzeit über die Banner-Einstellungen oder Ihren Browser widerrufen.

Wir verwenden keine Werbe-Cookies von Drittanbietern.

11) Automatisierte Entscheidungsfindung und KI-Modellnutzung

  • Wir treffen keine Entscheidungen ausschliesslich auf Grundlage automatisierter Verarbeitung, die rechtliche oder ähnlich erhebliche Auswirkungen auf Einzelpersonen haben, ohne angemessene Schutzmassnahmen und menschliche Überprüfung.
  • Modelltraining: Wir verwenden Kundendaten aus On-Premises-Installationen nicht zum Training gemeinsam genutzter Modelle, es sei denn, dies ist ausdrücklich schriftlich vereinbart. Kunden können lokales Finetuning vollständig unter ihrer eigenen Kontrolle aktivieren.
  • Evaluierung/Telemetrie: Diagnosedaten, die die Kundenumgebung verlassen, sind standardmässig deaktiviert und werden nur vom Kunden freigegeben. Falls aktiviert, empfehlen wir Anonymisierung/Pseudonymisierung und minimalen Umfang.

12) Ihre Rechte (DSGVO & DSG)

Vorbehaltlich bestimmter Bedingungen und Ausnahmen haben Sie folgende Rechte:

  • Auskunft über Ihre personenbezogenen Daten und Erhalt einer Kopie.
  • Berichtigung unrichtiger oder unvollständiger Daten.
  • Löschung von Daten (Recht auf Vergessenwerden).
  • Einschränkung der Verarbeitung.
  • Datenübertragbarkeit (maschinenlesbare Kopie der von Ihnen bereitgestellten Daten).
  • Widerspruch gegen Verarbeitung aufgrund berechtigter Interessen oder zu Direktmarketingzwecken.
  • Widerruf der Einwilligung jederzeit (ohne Auswirkung auf die Rechtmässigkeit früherer Verarbeitungen).

So machen Sie Ihre Rechte geltend: Kontaktieren Sie uns unter info@onprem.ai. Wir müssen möglicherweise Ihre Identität überprüfen. Wir bemühen uns, innerhalb eines Monats zu antworten (DSGVO), verlängerbar um zwei Monate, falls aufgrund der Komplexität erforderlich.

Beschwerden: Sie können bei Ihrer zuständigen EU-Aufsichtsbehörde Beschwerde einlegen (DSGVO Art. 77). In der Schweiz können Sie sich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden.

13) Daten von Kindern

Unsere Dienste richten sich an Unternehmens- und Geschäftskunden. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren.

14) Meldung von Datenschutzverletzungen

Wir bewerten Datenschutzverletzungen und melden diese, wo erforderlich, den zuständigen Behörden unverzüglich (und innerhalb der DSGVO-Fristen) sowie betroffenen Personen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht.

15) Vertreter in EU/EWR und UK

Falls DSGVO Art. 27 die Benennung eines Vertreters im EU/EWR erfordert (für Verarbeitungen im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen an Personen in der EU, wenn wir keine Niederlassung in der EU haben), werden wir einen solchen benennen und auf Anfrage Details bereitstellen. Gleiches gilt für einen UK-Vertreter gemäss UK-DSGVO, falls zutreffend.

16) Unterauftragsverarbeiter und Dienstleister (Kategorien)

  • Unternehmens-IT und Kommunikation (E-Mail, Office-Produktivität, CRM, Ticketing).
  • Buchhaltung und Compliance (Rechnungsstellung, Steuern, Prüfung).
  • Sicherheitswerkzeuge (Schwachstellenmanagement, Monitoring).
  • Hosting für unsere Unternehmenssysteme (getrennt von Kunden-On-Premises-Umgebungen).

On-Premises-Lösungen sind so konzipiert, dass produktive Kundendaten nicht über unsere unternehmenseigenen SaaS-Tools geleitet werden. Jede Ausnahme erfordert ausdrückliche schriftliche Genehmigung und dokumentierte Kontrollen.

17) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Wir verankern Datenschutzprinzipien in unserer Architektur:

  • On-Prem First: Verarbeitung erfolgt standardmässig innerhalb der Vertrauensgrenze des Kunden.
  • Konfigurierbare Datenflüsse: Kunden können ausgehende Telemetrie und Support-Kanäle vollständig deaktivieren.
  • Zugriffstransparenz: Admin-Aktionen und Support-Sitzungen werden protokolliert; Just-in-Time-Zugriff mit Ablaufzeit.
  • Datenminimierung: Wir erheben nur, was notwendig ist; standardmässig Pseudonymisierung, wo möglich.

18) Kontakt

Emerging Evidence GmbH (OnPrem AI) Zur Stahlgiesserei 8 8200 Schaffhausen, Schweiz Telefon: +41 76 446 36 73 E-Mail: info@onprem.ai

Bitte verwenden Sie «Datenschutzanfrage» im Betreff.

19) Änderungen dieser Erklärung

Wir können diese Erklärung aktualisieren, um rechtliche, technische oder geschäftliche Entwicklungen widerzuspiegeln. Die aktualisierte Version wird durch das Datum «Stand» gekennzeichnet. Wesentliche Änderungen kommunizieren wir über geeignete Kanäle (z.B. Website-Hinweis oder E-Mail an Kunden).

20) Dokumentenverwaltung

Wir führen Verzeichnisse von Verarbeitungstätigkeiten (VVT), Lieferantenrisikobewertungen und Inventare der Sicherheitsmassnahmen. Kopien oder Zusammenfassungen, die für Ihre Geschäftsbeziehung relevant sind, stellen wir auf begründete Anfrage und vorbehaltlich Vertraulichkeit zur Verfügung.

Anhang: Zusammenfassung typischer Aufbewahrungsfristen (Verantwortlichen-Kontext)

DatenkategorieTypische Aufbewahrungsfrist
Verträge, Rechnungen, SteuerunterlagenVertragslaufzeit + bis zu 10 Jahre (gesetzlich)
Support-Tickets und DiagnosenBearbeitungsdauer + bis zu 3 Jahre (sofern nicht länger zur Geltendmachung/Verteidigung von Ansprüchen erforderlich)
Vertriebs-/CRM-DatenAktive Beziehung + 3 Jahre nach letzter Interaktion, oder bis zum Widerruf
Bewerberdaten (erfolglos)Bis zu 6 Monate nach Entscheidung, sofern nicht anderweitig eingewilligt
Web-Server-Logs (Sicherheit)90 Tage (typisch), risikobasiert anpassbar

Spezifische AVV pro Auftrag können abweichende, mit Ihren Kontrollen abgestimmte Aufbewahrungsfristen festlegen.

Hinweis an Kunden: Für On-Premises-Installationen stellen Sie bitte sicher, dass Ihre internen Datenschutzhinweise, Rechtsgrundlagen und Aufbewahrungspläne Ihre Verarbeitung als Verantwortlicher abdecken. Unsere AVV und technische Dokumentation beschreiben, wie Kundendaten in Ihrer Umgebung verbleiben und wie Telemetrie-/Support-Optionen konfiguriert werden.