Datenschutzerklärung

Stand: 8. Mai 2026 · Sprache: Deutsch (Schweiz)

Hinweis: Dieses Dokument wurde mit grosser Sorgfalt erstellt, ersetzt aber keine anwaltliche Prüfung. Vor der finalen Veröffentlichung sollte ein auf SaaS und Datenschutz spezialisierter Anwalt das Dokument auf den konkreten Geschäftsbetrieb hin abnehmen. Platzhalter in [ECKIGEN KLAMMERN] sind vor der Live-Schaltung auszufüllen.

1. Verantwortliche Stelle

Verantwortlich für die Datenbearbeitung im Sinne der Schweizer Datenschutzgesetzgebung (revDSG) und – soweit anwendbar – der EU-Datenschutz-Grundverordnung (DSGVO) ist:

[FIRMA, INHABER VOR- UND NACHNAME]
[STRASSE / NR.]
[PLZ / ORT]
Schweiz

E-Mail: datenschutz@craft-man.ch
Telefon: [OPTIONAL: TELEFON]
Website: craft-man.ch (öffentliche Marketing-Seite)
Anwendung: app.craft-man.ch (eingeloggte SaaS-Plattform)

Im Folgenden zusammen als «wir», «uns» oder «Craftman» bezeichnet.

2. Anwendungsbereich

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten wir im Rahmen unserer Software-as-a-Service-Plattform Craftman und des Craftman Outlook-Add-Ins bearbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage und an welche Empfänger wir sie weitergeben.

Sie gilt für alle Personen, die mit Craftman in Kontakt treten:

Tenants (zahlende oder testende Unternehmen, in der Regel Schweizer Handwerksbetriebe), deren Mitarbeitende und Administratoren;
Auftraggeber und Kunden der Tenants (Privatpersonen, Liegenschaftsverwaltungen, Eigentümer), deren Daten von einem Tenant in Craftman erfasst werden;
Lieferanten der Tenants, deren Rechnungen oder Bestätigungen über Craftman verarbeitet werden;
Besucher der Marketing-Website craft-man.ch (anonyme Produkt-Information, keine Account-Daten) und der Anwendung app.craft-man.ch (Login-Bereich der SaaS-Plattform).

3. Welche Daten wir bearbeiten

3.1 Account-Daten der Tenant-Mitarbeitenden

Wenn ein Mitarbeitender eines Tenants ein Benutzerkonto in Craftman erhält, bearbeiten wir folgende Daten:

Benutzername
Vor- und Nachname (sofern angegeben)
E-Mail-Adresse (sofern angegeben)
Passwort (ausschliesslich als Bcrypt-Hash gespeichert, nie im Klartext)
Rolle (Owner, Admin, Mitarbeitender, Handwerker)
Tenant-Zugehörigkeit
Erstellungs- und Aktivitätszeitpunkte

3.2 Tenant- und Geschäftsdaten

Daten, die der Tenant beim Betrieb seines Geschäfts in Craftman erfasst:

Auftraggeber- und Kundendaten (Name, Adresse, Kontaktdaten, Rechnungsadressen, Bemerkungen)
Lieferantendaten (Name, Adresse, Kontakt, Konditionen)
Aufträge (Beschreibung, Adresse, Termine, Status, beteiligte Personen, hochgeladene Quelldokumente, Materialien, Stundenrapporte)
Materialpool-Einträge (Artikelnummern, Bezeichnungen, Preise, Lieferanten)
Audit-Logs zu Anlagen, Änderungen und Löschungen

3.3 E-Mail-Inhalte (Outlook Add-In und manuelle Uploads)

Wenn ein Tenant das Outlook-Add-In nutzt oder Dateien manuell hochlädt, bearbeiten wir den Inhalt der jeweiligen E-Mail bzw. Datei zum Zweck der KI-gestützten Strukturierung:

Mail-Kopfdaten (Absender, Empfänger, Betreff, Datum)
Mail-Body (Klartext und HTML)
Anhänge (PDFs, Bilder, Tabellen)
Falls die Mail Personendaten Dritter enthält (Auftraggeber, Lieferanten, auf Schadenbildern erkennbare Personen): auch diese

Diese Inhalte werden zur Auftrags- bzw. Materialextraktion an unseren KI-Subprozessor weitergeleitet (siehe Ziffer 5) und im Anschluss strukturiert in der Datenbank des Tenants abgelegt. Das Originaldokument wird verschlüsselt aufbewahrt, damit der Tenant es als «Quelldatei» auch später wieder einsehen kann.

3.4 Technische Logs

Beim Aufruf der Marketing-Website (craft-man.ch) und der Anwendung (app.craft-man.ch) werden in begrenztem Umfang technische Daten erfasst, die für den sicheren Betrieb erforderlich sind:

IP-Adresse
Datum und Uhrzeit des Zugriffs
Aufgerufene URL und HTTP-Statuscode
Browser-Typ und Betriebssystem (sofern vom Browser übermittelt)

Diese Logs werden nach 90 Tagen automatisch gelöscht und nur zur Erkennung von Missbrauch, Betrug und technischen Störungen bearbeitet.

3.5 Cookies und lokale Speicherung

Craftman setzt nur technisch notwendige Cookies bzw. nutzt den Browser-eigenen Local Storage:

Login-Token (JWT): wird nach erfolgreicher Anmeldung im Local Storage des Browsers abgelegt, damit der Benutzer angemeldet bleibt. Lebensdauer: bis zur Abmeldung oder Token-Ablauf.
UI-Einstellungen: kleinere Komfortdaten wie zuletzt gewählter Filter, im Local Storage des Tenants.

Wir setzen keine Tracking-Cookies, keine Marketing-Cookies und keine Analytics-Tools von Dritten (kein Google Analytics, kein Meta Pixel etc.).

4. Zwecke und Rechtsgrundlagen

Wir bearbeiten personenbezogene Daten ausschliesslich zu folgenden Zwecken:

Zweck	Rechtsgrundlage (revDSG / DSGVO)
Bereitstellung und Betrieb der Plattform für den Tenant	Vertragserfüllung (Art. 31 Abs. 1 revDSG / Art. 6(1)(b) DSGVO)
KI-gestützte Auftrags- und Materialextraktion aus Tenant-Dokumenten	Vertragserfüllung; Auftragsverarbeitung im Auftrag des Tenants
Sicherung der Plattform (Logs, Missbrauchserkennung)	Berechtigtes Interesse (Art. 31 Abs. 2 lit. d revDSG / Art. 6(1)(f) DSGVO)
Tägliche Sicherungskopien (Backups)	Vertragserfüllung und berechtigtes Interesse an Datenwiederherstellung
Kommunikation mit Tenant-Administratoren (Support, Bestätigungen)	Vertragserfüllung
Erfüllung gesetzlicher Aufbewahrungspflichten	Gesetzliche Verpflichtung (Art. 31 Abs. 1 lit. c revDSG / Art. 6(1)(c) DSGVO)

5. Auftragsverarbeiter und Subprozessoren

Wir geben personenbezogene Daten an folgende Subprozessoren weiter, jeweils unter Verträgen, die ein dem schweizerischen und europäischen Datenschutzrecht äquivalentes Schutzniveau sicherstellen:

Anbieter	Zweck	Standort
Hetzner Online GmbH	Hosting der Server-Infrastruktur (Web, Application, Datenbank)	Nürnberg, Deutschland (EU)
Anthropic PBC	KI-gestützte Strukturierung von E-Mail-Inhalten und Anhängen (Auftrags- und Materialextraktion). Anthropic verarbeitet die übermittelten Inhalte und liefert die strukturierte Antwort. Anthropic verwendet Daten von API-Kunden ausdrücklich nicht zum Training seiner Modelle.	Vereinigte Staaten (USA), mit Standardvertragsklauseln und EU-US Data Privacy Framework
[BACKUP-PROVIDER, z.B. Backblaze B2 oder OneDrive]	Verschlüsselte Offsite-Backups der Datenbank und Anhänge	[Standort gemäss Provider]
GoDaddy / DNS-Registrar	Domain-Verwaltung craft-man.ch	USA / EU

Hinweis zur KI-Verarbeitung: Bei der Auftrags- und Materialextraktion werden E-Mail-Inhalte (inklusive personenbezogener Daten Dritter, falls in der Mail enthalten) an Anthropic in den USA übermittelt. Anthropic ist Teilnehmer am EU-US Data Privacy Framework und stellt Standardvertragsklauseln bereit. Die übermittelten Inhalte werden ausschliesslich zur Bereitstellung der Antwort verarbeitet, anschliessend gemäss Anthropic's Retention-Policy (in der Regel 30 Tage) gelöscht und nicht zum Training genutzt. Tenants, die eine Übermittlung in die USA ausdrücklich nicht wünschen, können das Outlook-Add-In bzw. die KI-Funktionen abschalten und manuell arbeiten.

6. Datenübermittlung in Drittländer

Wie unter Ziffer 5 dargestellt, übermitteln wir bestimmte Daten an Empfänger ausserhalb der Schweiz und der EU/EWR. Eine solche Übermittlung erfolgt nur, wenn der Empfänger entweder einem von der Schweiz und der EU als angemessen anerkannten Schutzregime unterliegt oder durch geeignete Garantien (Standardvertragsklauseln gemäss Art. 16 Abs. 2 lit. d revDSG / Art. 46 DSGVO) abgesichert ist.

7. Speicherdauer

Wir bearbeiten personenbezogene Daten nur so lange, wie dies zur Erfüllung der Zwecke erforderlich ist:

Datenkategorie	Aufbewahrungsdauer
Account-Daten der Tenant-Mitarbeitenden	Bis zur Kündigung des Tenant-Vertrags + 30 Tage Karenz für Datenexport
Tenant-Geschäftsdaten (Aufträge, Kunden, Materialien etc.)	Während der Vertragslaufzeit; nach Kündigung 30 Tage zum Export, dann Löschung
Hochgeladene Quelldokumente und E-Mail-Inhalte	Während der Vertragslaufzeit; nach Kündigung wie oben
Backups	30 Tage rollierend
Technische Zugriffslogs	90 Tage
Audit-Logs (Pflicht zur Nachvollziehbarkeit)	Während der Vertragslaufzeit + 12 Monate
Buchhaltungsdaten (gesetzliche Aufbewahrung)	10 Jahre gemäss Art. 957a OR

8. Ihre Rechte

Sie haben gegenüber uns die folgenden Rechte (revDSG Art. 25 ff., DSGVO Art. 15 ff.):

Auskunft über die zu Ihrer Person bearbeiteten Daten;
Berichtigung unrichtiger Daten;
Löschung bzw. Vernichtung, soweit keine gesetzliche oder vertragliche Aufbewahrungspflicht entgegensteht;
Einschränkung der Bearbeitung;
Datenherausgabe und Datenübertragbarkeit in einem gängigen elektronischen Format;
Widerspruch gegen Bearbeitungen, die auf einem berechtigten Interesse beruhen;
Widerruf einer Einwilligung mit Wirkung für die Zukunft.

Wenn Sie Mitarbeitender oder Kunde eines Tenants sind: Wir bearbeiten Ihre Daten in unserer Rolle als Auftragsverarbeiter im Auftrag des Tenants. Anfragen bezüglich Ihrer Daten richten Sie idealerweise zuerst an den Tenant (das Unternehmen, das Craftman einsetzt). Wenn dies nicht möglich oder nicht erfolgreich ist, können Sie uns direkt unter datenschutz@craft-man.ch kontaktieren.

9. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren. In der Schweiz ist dies der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Feldeggweg 1, 3003 Bern, www.edoeb.admin.ch. In der EU ist die jeweilige Datenschutzbehörde Ihres Wohnsitzlandes zuständig.

10. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen, um Ihre Daten zu schützen:

Verschlüsselte Übertragung via HTTPS/TLS auf allen Wegen
Bcrypt-Hashing aller Passwörter
Container-isolierte Anwendungs-Architektur
Firewall-Schutz, kein direkter Datenbank-Zugriff aus dem Internet
Tägliche automatische Backups, zusätzlich wöchentliche verschlüsselte Offsite-Kopien
Mehrstufige Authentifizierung beim Server-Zugriff (SSH-Keys, kein Passwort)
Regelmässige Sicherheits-Updates (Betriebssystem, Anwendungen, Container)
Audit-Logs zur Nachvollziehbarkeit datenrelevanter Vorgänge

Trotz aller Massnahmen kann keine Datenübermittlung über das Internet absolute Sicherheit garantieren.

11. Hinweise zu KI-generierten Ergebnissen

Craftman nutzt KI (Anthropic Claude) zur Strukturierung und Vorschlags-Erzeugung aus E-Mails, Dokumenten und Anhängen. Wir weisen ausdrücklich darauf hin:

KI-Ergebnisse sind Vorschläge, keine garantierte Rechts- oder Geschäftsdatenwahrheit;
Tenants und ihre Mitarbeitenden sind verpflichtet, alle KI-Ausgaben vor weiterer Verwendung zu prüfen;
Wir haften nicht für Schäden, die aus der ungeprüften Übernahme KI-generierter Inhalte entstehen (siehe AGB);
Die KI verarbeitet die Inhalte ausschliesslich zur Antwort-Erzeugung; die Inhalte werden vom KI-Anbieter nicht zum Training verwendet.

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, um sie an geänderte gesetzliche Anforderungen oder neue Funktionen der Plattform anzupassen. Die jeweils aktuelle Version ist unter craft-man.ch/datenschutz abrufbar. Wesentliche Änderungen kommunizieren wir den Tenants per E-Mail mit angemessener Vorlaufzeit.

13. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte:

E-Mail: datenschutz@craft-man.ch
Postanschrift: [ADRESSE wie unter Ziffer 1]