Auftragsverarbeiter

Proofix wird betrieben von Digital Ledger Systems AG (Roosstrasse 53, 8832 Wollerau, Schweiz). Für den Betrieb des Dienstes setzen wir eine kleine Zahl externer Auftragsverarbeiter ein. Auf dieser Seite finden Sie jeden einzelnen mit den ihm anvertrauten Daten und den jeweils anwendbaren rechtlichen Grundlagen.

Wir kündigen jede Änderung dieser Liste mindestens 30 Tage im Voraus an, bevor ein neuer Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beginnt. Senden Sie eine E-Mail an info@proofix.ch mit dem Betreff Subprocessor updates, um Aktualisierungen zu abonnieren.

Aktuelle Auftragsverarbeiter

1. Infomaniak Network SA — Objektspeicher (verschlüsselte Datei-Blobs)

  • Rolle: Auftragsverarbeiter (DSGVO Art. 28).
  • Dienst: Public Cloud — S3-kompatibler Objektspeicher.
  • Verarbeitete Daten: AES-256-GCM-Chiffretext der hochgeladenen Dateien. Klartext und Entschlüsselungsschlüssel verlassen den Browser des Kunden nicht.
  • Verarbeitungsort: Schweiz (Rechenzentren in Genf). Keine Übermittlung ins Ausland.
  • Juristische Person: Infomaniak Network SA, Rue Eugène-Marziano 25, 1227 Les Acacias, Genf, Schweiz.
  • Datenschutzerklärung: infomaniak.com/de/rechtliche-grundlagen/datenschutzbestimmungen
  • AVV/DPA: Auftragsverarbeitungsvertrag gemäss Art. 28 DSGVO bzw. Art. 9 nDSG abgeschlossen.

2. Infomaniak Network SA — Ausgehende E-Mails (SMTP)

  • Rolle: Auftragsverarbeiter.
  • Dienst: SMTP-Relay über mail.infomaniak.com.
  • Verarbeitete Daten: Empfänger- und Absender-E-Mail-Adresse, Betreff, Klartext- und HTML-Body von transaktionalen Mails (Bestätigungslinks, Zustell-Benachrichtigungen).
  • Verarbeitungsort: Schweiz.
  • Juristische Person / Datenschutz / AVV: wie oben.

3. Stripe Payments Europe Ltd — Zahlungsabwicklung

  • Rolle: Auftragsverarbeiter für die begrenzten Zahlungs-Metadaten, die wir senden; eigenständig Verantwortlicher für die Daten, die Stripe direkt vom Karteninhaber erhebt (Kartendaten, Betrugssignale).
  • Dienst: Akzeptanz von Karten und TWINT für die einmalige Proof-Gebühr von CHF 2.90. Wir setzen keine weiteren Zahlungsmethoden ein (kein Apple Pay, kein Google Pay, keine Cartes Bancaires, kein Klarna, kein Amazon Pay).
  • Daten, die Stripe in unserem Auftrag verarbeitet: Stripe-PaymentIntent-ID, Betrag (CHF 2.90), Absender-E-Mail (als Metadaten für die Zuordnung von Rückerstattungen), Korrelations-ID. Wir sehen weder vollständige Kartennummer, CVC noch Ablaufdatum — diese werden direkt in Stripe-Elements eingegeben und an Stripe übermittelt, nie an unsere Server.
  • Verarbeitungsort: Irland (EU) primär; Vereinigte Staaten (Stripe Inc.) für Betrugserkennung und Plattform-Infrastruktur.
  • Übermittlungsmechanismus (CH/EU → USA):
    • EU-U.S. Data Privacy Framework (DPF) — Stripe Inc. ist zertifiziert (dataprivacyframework.gov).
    • Swiss-U.S. Data Privacy Framework — Stripe Inc. ist auch unter der Schweizer Erweiterung des DPF zertifiziert. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) anerkennt dies als angemessenen Schutz nach Art. 16 nDSG.
    • EU-Standardvertragsklauseln (SCCs, 2021/914) — als zusätzliche Absicherung im DPA von Stripe enthalten.
  • Juristische Person: Stripe Payments Europe Ltd, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
  • Datenschutzerklärung: stripe.com/privacy
  • DPA: stripe.com/legal/dpa — über das Stripe-Dashboard akzeptiert.

Was wir nicht mit Auftragsverarbeitern teilen

  • Den Klartext-Inhalt Ihrer übertragenen Dateien (wir kennen ihn nicht — die Verschlüsselung erfolgt in Ihrem Browser).
  • Den AES-256-Schlüssel bei der Auswahl «Ich teile selbst» (der Schlüssel liegt nur im URL-Fragment, das Browser nie an Server senden).
  • Vollständige Kartennummer, CVC oder Ablaufdatum (diese fliessen direkt in die PCI-DSS-Level-1-Umgebung von Stripe, nicht in unser Backend).

Unter-Auftragsverarbeiter

Unsere Auftragsverarbeiter dürfen ihrerseits Infrastrukturanbieter (z. B. Rechenzentrumsbetreiber) einsetzen. Diese sind in den veröffentlichten Listen der jeweiligen Auftragsverarbeiter dokumentiert — siehe die oben verlinkten Datenschutzerklärungen. Wir verpflichten jeden Auftragsverarbeiter, ein gleichwertiges Schutzniveau entlang der gesamten Verarbeitungskette sicherzustellen (Art. 28 Abs. 4 DSGVO).

Fragen

E-Mail an info@proofix.ch. Antworten innert fünf Arbeitstagen, Anfragen zu Betroffenenrechten innerhalb der gesetzlichen 30-Tage-Frist.

Auftragsverarbeiter · Proofix