Datenschutzerklärung

Last updated: 30.4.2026

Diese Datenschutzerklärung beschreibt, wie Proofix («wir», «uns») personenbezogene Daten verarbeitet, wenn Sie den sicheren Dateiübertragungsdienst von Proofix (den «Dienst») nutzen. Wir halten das revidierte Schweizer Datenschutzgesetz (revDSG/nDSG, in Kraft seit 1. September 2023) sowie die EU-Datenschutz-Grundverordnung (DSGVO, Verordnung 2016/679) ein.

1. Verantwortlicher

Verantwortliche für die Verarbeitung ist die Digital Ledger Systems AG (Roosstrasse 53, 8832 Wollerau, Kanton Schwyz, Schweiz), tätig unter dem Namen «Proofix». Kontakt für Datenschutzanliegen: info@proofix.ch. Vollständige Angaben finden Sie im Impressum.

2. Unser Datenschutzmodell: Verschlüsseln vor dem Upload

Jede Datei wird mit AES-256-GCM auf Ihrem Gerätverschlüsselt, bevor sie hochgeladen wird. Der Entschlüsselungsschlüssel wird auf Ihrem Gerät erzeugt und im URL-Fragment des Download-Links abgelegt, das Browser nicht an Server übertragen. Bei der Variante «Ich teile selbst» erreicht der Schlüssel unsere Server nie und wir können die Datei nicht lesen. Wenn Sie uns bitten, den Link per E-Mail an den Empfänger zu senden, verarbeitet unser Server die vollständige URL, einschliesslich Schlüsselfragment, kurzzeitig im Arbeitsspeicher, um die E-Mail zu erstellen und zu versenden; der Schlüssel wird nicht gespeichert. Wir verarbeiten nur die für den Betrieb unbedingt nötigen Daten.

3. Welche personenbezogenen Daten wir verarbeiten

3.1 Von Ihnen bereitgestellte Daten

  • E-Mail-Adresse Absender — zur Bestätigung und für Versandbestätigungen.
  • E-Mail-Adresse Empfänger — zur Benachrichtigung, dass eine Datei wartet (bei E-Mail-Versand).
  • Dateiname, Grösse und SHA-256-Hash des Klartexts — für Integritätsprüfung und Audit-Trail.
  • Optionaler Nachrichtentext — wird dem Empfänger angezeigt.
  • Zahlungsdaten (nur Proof-Tier) — werden direkt von Stripe verarbeitet. Wir erhalten nie Ihre vollständige Kartennummer.

3.2 Automatisch erzeugte Daten

  • Transfer-ID (UUID), Erstellungs- und Ablaufzeitpunkte.
  • SHA-256-Hash von IP-Adresse und User-Agent des Empfängers — wir speichern keine Roh-IPs.
  • Versand- und Download-Ereignisse für den Absender-Audit-Trail.
  • RFC-3161-Zeitstempel-Token (Proof-Tier).
  • Serverprotokolle mit Korrelations-IDs, Anfragepfaden und Statuscodes (Aufbewahrung bis 30 Tage).

4. Verschlüsselter Dateiinhalt

Der verschlüsselte Chiffretext wird in Schweizer Object-Storage gespeichert. Bei «Ich teile selbst» erreicht der Entschlüsselungsschlüssel unsere Server nie, so dass wir den Klartextinhalt nicht lesen können. Bei E-Mail-Versand wird das Schlüsselfragment nur im Arbeitsspeicher zum Versenden der E-Mail verarbeitet und nicht gespeichert — dieser Pfad ist jedoch nicht strikt Zero-Knowledge. Bei passwortgeschützten Transfers wird der AES-Schlüssel mit einem PBKDF2-abgeleiteten Schlüssel verpackt und neben dem Chiffretext gespeichert; ohne das Passwort kann der verpackte Blob nicht entpackt werden. Bei Ablauf, Widerruf oder Erreichen des Download-Limits wird der Chiffretext endgültig gelöscht.

5. Rechtsgrundlagen (Art. 6 DSGVO)

  • Art. 6 Abs. 1 lit. b — Vertragserfüllung: zur Bereitstellung des von Ihnen angeforderten Dienstes.
  • Art. 6 Abs. 1 lit. f — berechtigte Interessen: Betrugsprävention, Integrität des Dienstes, Audit-Trail.
  • Art. 6 Abs. 1 lit. c — rechtliche Verpflichtung: Erfüllung steuer-, buchhaltungs- und behördenrechtlicher Pflichten.

6. Aufbewahrungsfristen

  • Verschlüsselter Dateiinhalt: gelöscht beim frühesten Ereignis: gewählte Gültigkeit (1, 7 oder 14 Tage), erreichtes Download-Limit oder Widerruf durch Absender.
  • Transfer-Datensätze: bis zur Ablauf-/Widerrufs-Markierung; danach bleibt nur die Status-Zeile als Beweis bestehen.
  • E-Mail-Versand-Audit (email_events) und Download-Audit (download_events): 24 Monate ab Erstellung, danach automatisch gelöscht.
  • E-Mail-Outbox (email_outbox): 30 Tage nach erfolgreichem Versand, danach automatisch gelöscht.
  • Rate-Limit-Zähler: 1 Stunde nach Ablauf des Zeitfensters.
  • Proof-Datensätze (Zeitstempel-Token, kanonischer Hash, Hash-Eingabe): unbefristet aufbewahrt für rechtliche Referenz und Beweiskontinuität. Gerechtfertigt nach Art. 17 Abs. 3 lit. e DSGVO («zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen»).
  • Zahlungsbelege: 10 Jahre gemäss Art. 958f OR.
  • Serverprotokolle: bis zu 30 Tage.

7. Empfänger und Auftragsverarbeiter

Wir geben Daten nur an für den Betrieb unbedingt nötige Dienstleister weiter. Die vollständige aktuelle Liste mit Adressen, Verarbeitungsorten und Datenkategorien finden Sie auf der Seite Auftragsverarbeiter. Zusammenfassend:

  • Objektspeicher verschlüsselter Datei-Blobs: Infomaniak Network SA, Genf (Schweiz).
  • E-Mail-Versand: Infomaniak Network SA (Schweiz).
  • Zahlungsabwicklung: Stripe Payments Europe Ltd, Dublin (Irland), mit Infrastruktur betrieben von Stripe Inc. in den USA. Siehe Datenschutzerklärung von Stripe.
  • Zeitstempelung: interner, von Proofix in der Schweiz betriebener Dienst. Keine Drittpartei involviert.

Jeder Auftragsverarbeiter ist durch einen Auftragsverarbeitungsvertrag (AVV / DPA) gebunden, der den Anforderungen von Art. 28 DSGVO und nDSG entspricht: Vertraulichkeit, Sicherheitsmassnahmen (Art. 32 DSGVO), Genehmigungspflicht für Unterauftragsverarbeiter, Rückgabe / Löschung am Vertragsende. Wir kündigen jede Änderung dieser Liste mindestens 30 Tage im Voraus an.

8. Internationale Datenübermittlung

Die primäre Datenspeicherung verschlüsselter Dateiinhalte und Transfer-Metadaten erfolgt in der Schweiz(Infomaniak-Rechenzentren in Genf).

Begrenzte Zahlungs-Metadaten (Stripe-PaymentIntent-ID, Betrag, Absender-E-Mail zur Zuordnung von Rückerstattungen) werden über Stripe Payments Europe Ltd in Irland an Stripe Inc. in die USA übermittelt. Die Übermittlung ist abgesichert durch:

  • Das EU-U.S. Data Privacy Framework (DPF), unter dem Stripe Inc. selbst-zertifiziert ist;
  • Das Swiss-U.S. Data Privacy Framework, die Schweizer Erweiterung des DPF, anerkannt vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) als angemessener Schutz gemäss Art. 16 nDSG;
  • EU-Standardvertragsklauseln (SCCs, Beschluss 2021/914) als zusätzliche Absicherung im DPA von Stripe.

Wir senden Stripe weder Kartennummer, CVC noch Ablaufdatum — diese Werte werden direkt im Stripe-Elements-Widget in Ihrem Browser eingegeben und an Stripe übermittelt, nicht an unsere Server.

9. Ihre Rechte

Nach DSGVO und nDSG haben Sie das Recht auf:

  • Auskunft (Art. 15 DSGVO / Art. 25 nDSG).
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO).
  • Löschung, sofern keine rechtliche Pflicht entgegensteht (Art. 17 DSGVO / Art. 32 nDSG).
  • Einschränkung oder Widerspruch gegen die Verarbeitung (Art. 18, 21 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO).
  • Beschwerde bei einer Aufsichtsbehörde — in der Schweiz beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB); in der EU bei Ihrer zuständigen Datenschutzbehörde.

Zur Ausübung Ihrer Rechte: info@proofix.ch. Wir antworten innerhalb von 30 Tagen.

10. Sicherheit

Wir setzen technische und organisatorische Massnahmen um, die sich an ISO 27001-Leitlinien orientieren: clientseitige Verschlüsselung, TLS 1.3 in Transit, AES-256 at rest, Least-Privilege-Zugang und strukturierte Audit-Protokolle. Proofix ist nicht ISO-27001-zertifiziert und hält aktuell keine SOC 2-, HIPAA- oder vergleichbaren Drittzertifizierungen. Architekturdetails auf der Sicherheitsseite.

11. Änderungen dieser Erklärung

Wir können diese Erklärung aktualisieren. Wesentliche Änderungen werden in der Anwendung und per E-Mail mitgeteilt, sofern wir Ihre Adresse haben. Das Datum oben zeigt die aktuelle Fassung.

12. Kontakt

Fragen zum Datenschutz: info@proofix.ch.

Datenschutzerklärung · Proofix