SidePlan Einloggen →

Datenschutzerklärung

Stand: Mai 2026. Diese Erklärung erfüllt das Schweizer revidierte Datenschutzgesetz (revDSG) und die EU-Datenschutz-Grundverordnung (DSGVO).

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website und im SidePlan-Tool ist:

Matthias Müller
SidePlan
Schwarzenburgstrasse 296
3098 Köniz
Schweiz
E-Mail: hello@sideplan.app

Für Datenschutz-Anfragen, Auskunfts-, Berichtigungs- und Löschverlangen wende dich bitte ebenfalls an die obige E-Mail-Adresse. Wir bestätigen den Eingang innerhalb von 5 Werktagen und antworten substanziell innerhalb von 30 Tagen.

2. Geltungsbereich

Diese Erklärung gilt für alle personenbezogenen Daten, die wir im Zusammenhang mit der Website sideplan.app, dem Produkt SidePlan (Marketing-Controlling-Tool für KMU) und der zugehörigen Kommunikation (E-Mails, Support) verarbeiten. Sie gilt unabhängig davon, ob du die Webseite nur besuchst, dich auf die Warteliste einträgst, ein Konto erstellst oder das Tool aktiv nutzt.

3. Welche Daten wir erheben

3.1 Beim Besuch der Website

  • IP-Adresse (gekürzt verarbeitet, durch unseren Hoster Cloudflare)
  • Browser-Typ und -Version (User-Agent)
  • Zugriffszeitpunkt
  • Aufgerufene Seiten und HTTP-Statuscodes
  • Referrer (falls vorhanden)

Diese Daten werden in Server-Logs ausschliesslich zur Sicherstellung des stabilen Betriebs (Fehlersuche, Abwehr von Angriffen) verarbeitet und nach maximal 7 Tagen automatisch gelöscht.

3.2 Bei Warteliste / Closed-Beta-Anmeldung

  • E-Mail-Adresse
  • Optionale Nachricht (Freitext, falls von dir angegeben)
  • Zeitpunkt der Anmeldung

3.3 Bei Account-Erstellung (nach Einladung)

  • E-Mail-Adresse
  • Vollständiger Name (optional, übermittelt durch Google falls Google-Login verwendet)
  • Profilbild-URL (optional, dito)
  • Zeitpunkt der Account-Erstellung und letzte Aktivität

3.4 Bei Nutzung des Tools

  • Von dir erstellte Kampagnen-, Kanal-, Werbemittel- und Controlling-Daten (Namen, Datumsfelder, Kosten, KPIs, Notizen)
  • Konfigurationen wie Controlling-Schemata und Schemata-Versionen
  • Aktivitäts-Log: Welche Aktion wann von welchem User ausgeführt wurde (Erstellen, Ändern, Löschen) — ausschliesslich für Sicherheit, Audit und Fehlersuche
  • Workspace- und Mitgliedschafts-Metadaten

3.5 Cookies

Wir verwenden ausschliesslich technisch notwendige Cookies: ein Session-Cookie zur Authentifizierung und ein Cookie zur Speicherung deiner aktuell ausgewählten Organisation. Es findet kein Tracking, kein Re-Targeting, keine Werbung und keine Analytik durch Dritte statt. Daher ist gemäss § 25 Abs. 2 Nr. 2 TTDSG bzw. revDSG kein Einwilligungs-Banner erforderlich.

4. Zwecke der Verarbeitung

  • Bereitstellung und Betrieb des Tools (Vertragserfüllung)
  • Authentifizierung und Account-Verwaltung
  • Versand transaktionaler E-Mails (Login-Links, Account-Bestätigungen, Einladungen, Passwort-Reset)
  • Sicherstellung von IT-Sicherheit und Stabilität
  • Erfüllung gesetzlicher Aufbewahrungspflichten (z.B. steuerrechtlich, falls anwendbar)

5. Rechtsgrundlagen

Für EU-Besucher (DSGVO):

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung des Tools nach Account-Erstellung)
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (IT-Sicherheit, Fehlersuche, Betriebsstabilität)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Warteliste, optionaler Newsletter-ähnlicher Kontakt)

Für Schweizer Betroffene gilt das revidierte Datenschutzgesetz (revDSG). Die Verarbeitung erfolgt auf Grundlage der Vertragserfüllung (Art. 31 Abs. 2 lit. a revDSG) bzw. überwiegender berechtigter Interessen (Art. 31 Abs. 2 lit. d revDSG).

6. Empfänger und Subprozessoren

Wir setzen folgende sorgfältig ausgewählte Dienstleister mit Auftragsverarbeitungsverträgen (DPA/AVV) und/oder EU-Standardvertragsklauseln ein:

Supabase Inc. (USA, Server: EU/Frankfurt)
Authentifizierung, Datenbank, Realtime-Übertragung. Daten liegen physisch in der EU (Frankfurt am Main, Region eu-central-1). DPA mit EU-SCC abgeschlossen.
supabase.com/privacy
Cloudflare Inc. (USA, globale Edge inkl. EU)
Hosting der Web-Anwendung (Cloudflare Pages), Content-Delivery-Network, DDoS-Schutz. Cloudflare verarbeitet IPs gekürzt und bietet ein DPA inkl. EU-SCC.
cloudflare.com/privacypolicy
Resend (Domain Inc.) (USA, Sending Region: EU)
Versand transaktionaler E-Mails (Login-Links, Bestätigungen, Einladungen). E-Mail-Inhalte werden nicht zu Marketingzwecken ausgewertet.
resend.com/legal/privacy-policy
Google LLC (USA, falls von dir genutzt)
OAuth-Login (optional). Wir erhalten Name, E-Mail und Profilbild-URL nur wenn du dich aktiv für „Mit Google fortfahren" entscheidest. Bei Magic-Link-Login fliesst nichts an Google.
policies.google.com/privacy
IONOS SE (DE, Domain-Registrar)
Reine Domain-Verwaltung (Whois, Registrar-Funktion). Keine Datenverarbeitung über die Website-Inhalte.

Übermittlung in Drittländer (insb. USA): Die Übertragung erfolgt auf Basis von EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Die Schweiz erkennt diese ebenfalls an. Für Supabase-bezogene Inhaltsdaten findet die Speicherung physisch ausschliesslich in der EU statt.

7. Speicherdauer

  • Account- und Tool-Daten: bis zur Löschung des Accounts durch dich (jederzeit in den Account-Einstellungen möglich)
  • Server-Logs: max. 7 Tage rotierend
  • Aktivitäts-Log im Tool: max. 90 Tage rotierend
  • Backup-Daten: max. 30 Tage rotierend
  • Warteliste: bis zum Closed-Beta-Ende oder bis du dich austragen lässt — danach max. 12 Monate inaktive Aufbewahrung, danach Löschung
  • Steuerrelevante Daten: 10 Jahre (Schweizerisches Obligationenrecht Art. 958f) — sofern Rechnungen entstehen

8. Deine Rechte

Du hast jederzeit folgende Rechte gegenüber uns:

  • Auskunft (Art. 15 DSGVO / Art. 25 revDSG): Welche Daten haben wir von dir?
  • Berichtigung (Art. 16 DSGVO / Art. 32 revDSG): Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO / Art. 32 revDSG): „Recht auf Vergessenwerden" — in den Account-Einstellungen mit einem Klick verfügbar
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO / Art. 28 revDSG): JSON-Export aller deiner Daten in den Account-Einstellungen
  • Widerspruch (Art. 21 DSGVO): gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): wirkt ab Eingang, nicht rückwirkend
  • Beschwerde bei einer Aufsichtsbehörde: in der Schweiz beim EDÖB; in DE bei der zuständigen Landes-Datenschutzbehörde; in AT bei der Datenschutzbehörde

Anfragen an: hello@sideplan.app. Wir bearbeiten kostenfrei und innerhalb 30 Tagen.

9. Sicherheit

Wir treffen angemessene technische und organisatorische Massnahmen, um deine Daten zu schützen:

  • Transportverschlüsselung (TLS 1.2+) für alle Verbindungen
  • Verschlüsselung der Datenbank-Backups
  • Row-Level Security (RLS) auf Datenbank-Ebene — Workspace-Daten sind strikt voneinander isoliert
  • Content-Security-Policy, HTTP-Strict-Transport-Security, Frame-Protection im Browser
  • Strikte Zugriffskontrollen auf Service-Role-Keys, keine Mitarbeiter-Zugriffe auf produktive Inhaltsdaten ohne Anlass
  • Passwortlose Authentifizierung (Magic Link / OAuth) als primärer Login-Weg

10. Automatisierte Entscheidungen / Profiling

Wir setzen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO ein. Es findet kein Profiling und keine Bewertung deiner Person statt.

11. Minderjährige

SidePlan richtet sich an Geschäftskunden. Personen unter 16 Jahren dürfen kein Konto erstellen. Wenn wir Kenntnis erlangen, dass ein Account von einer minderjährigen Person geführt wird, löschen wir diesen umgehend.

12. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Funktionsänderungen unserer Dienste anzupassen. Die jeweils aktuelle Version ist auf dieser Seite einsehbar. Wesentliche Änderungen kommunizieren wir aktiv per E-Mail an alle registrierten Nutzer:innen.