Datenschutzerklärung

Stand: April 2026 · Gemäss revDSG (Schweiz) und EU-DSGVO

Diese Erklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung von DayBoard, gemäss dem revidierten Bundesgesetz über den Datenschutz (revDSG, Schweiz) und der EU-Datenschutz-Grundverordnung (DSGVO).

1.1 Verantwortliche Stelle

Daniel Jurenda · Jurenda Services
Hauptstrasse 244 · 4634 Wisen SO · Schweiz
dayboard@jurenda-services.ch

1.2 Rollen des Anbieters

• Als Verantwortlicher: für eigene Website-Daten (dayboard.ch)
• Als Auftragsverarbeiter: für Kundendaten gemäss Art. 28 DSGVO. Eine AVV (Auftragsverarbeitungsvereinbarung gemäss Art. 28 DSGVO / revDSG) wird vor produktiver Nutzung auf Basis anerkannter Standardvorlagen bereitgestellt und beidseitig unterzeichnet.

Die Verarbeitung erfolgt ausschliesslich auf dokumentierte Weisung des jeweiligen Kunden. Es werden geeignete technische und organisatorische Massnahmen (TOMs) umgesetzt, um die Sicherheit der Daten gemäss Art. 28 DSGVO sicherzustellen.

1.3 Verarbeitete Daten

Nutzerdaten

• Benutzername
• Passwort (bcrypt-Hash, niemals Klartext)
• Rolle im System
• Aktivitätsprotokoll/Audit-Logs

Betriebliche Daten

• Namen der Mitarbeitenden
• Einteilungen nach Bereich/Zone
• Absenzen (Typ, ohne medizinische Details)
• Beschäftigungsgrad

Technische Daten

• Server-Logs (IP-Adresse, Zeitstempel, automatisch)
• Session-Token (JWT-basiert, im Browser, automatischer Ablauf nach 12 Stunden)

1.4 Zweck und Rechtsgrundlage

• Betrieb der Anwendung (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
• Systemsicherheit und Audit (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse)

Zusätzlich erfolgt die Bearbeitung personenbezogener Daten gemäss den Grundsätzen des revidierten Datenschutzgesetzes der Schweiz (revDSG), insbesondere Rechtmässigkeit, Verhältnismässigkeit und Zweckbindung.

1.5 Datensicherheit

• TLS/HTTPS — alle Verbindungen verschlüsselt
• bcrypt-Passwort-Hashing, JWT-Authentifizierung
• nginx Security Headers (CSP, HSTS, X-Frame-Options)
• Tägliche Backups werden zusätzlich auf Applikationsebene verschlüsselt (AES-256 via GPG) und anschliessend verschlüsselt via SSH zu einer Hetzner Storage Box (EU/EWR) übertragen. Damit sind Backups sowohl während der Übertragung als auch im Ruhezustand geschützt. Aufbewahrung: 7 Tage lokal, 30 Tage offsite. Restore ist dokumentiert und getestet.
• Rate-Limiting auf Login-Endpoint

Zugriff auf personenbezogene Daten ist strikt auf berechtigte Personen beschränkt. Rollen- und Berechtigungskonzepte stellen sicher, dass nur notwendige Daten eingesehen und bearbeitet werden können.

1.6 Speicherdauer

• Aktive Nutzerdaten: Solange der Vertrag aktiv ist
• Audit-Logs: maximal 90 Tage
• Server-Logs: 30 Tage
• Nach Vertragsende: Datenexport möglich, Löschung innert 30 Tagen

1.7 Ihre Rechte

• Auskunft über gespeicherte Daten
• Berichtigung unrichtiger Daten
• Löschung Ihrer Daten
• Datenübertragbarkeit
• Widerspruch gegen die Verarbeitung

Kontakt: dayboard@jurenda-services.ch

1.8 Live-Board und öffentliche Screens

Das Live-Board ist über einen individuellen Token-Link erreichbar. Im Live-Board werden keine Abwesenheitsgründe oder detaillierten personenbezogenen Informationen angezeigt. Die Anzeige beschränkt sich auf operative Einsatzdaten wie Namen/Initialen sowie Bereichs- und Zonen-Zuweisungen. Token-Links werden pro Kunde individuell generiert und können jederzeit erneuert werden.

1.9 Kontaktaufnahme per E-Mail

Auf dayboard.ch wird kein Kontaktformular betrieben. Anfragen erfolgen ausschliesslich per E-Mail an die im Impressum angegebene Adresse. Die in der E-Mail übermittelten Angaben werden ausschliesslich zur Bearbeitung der Anfrage verwendet und nicht an Dritte weitergegeben.

1.10 Hosting

Die Anwendung wird bei Hetzner Online GmbH in Deutschland (EU/EWR) gehostet; Produktivdaten und Offsite-Backups verbleiben im EU/EWR-Raum. DNS und Domain-Verwaltung erfolgen über Infomaniak SA in der Schweiz (ISO/IEC 27001 zertifiziert). Die TLS-Terminierung (HTTPS-Verschlüsselung) erfolgt direkt auf dem Origin-Server bei Hetzner mittels öffentlich vertrauenswürdiger Zertifikate (Let's Encrypt). Eine Übermittlung personenbezogener Daten in Drittländer im Sinne von Kapitel V DSGVO findet im Rahmen des SaaS-Betriebs nicht statt.

Bei Nutzung der optionalen Single-Sign-On-Funktion (Microsoft Entra ID) erfolgt eine Kommunikation mit Microsoft-Diensten im Rahmen des Authentifizierungsprozesses. Diese erfolgt ausschliesslich auf Initiative des Kunden und im Rahmen dessen bestehender Vertragsbeziehung mit Microsoft.

1.11 Cookies

• DayBoard verwendet keine Tracking-Cookies oder Analyse-Tools.
• Es werden ausschliesslich technisch notwendige Speichermechanismen (z. B. localStorage für Session-Token) verwendet, um die Funktionalität der Anwendung sicherzustellen.
• Es erfolgt kein Tracking, kein Profiling und keine Weitergabe zu Marketingzwecken.

1.12 Demo-Umgebung

Die öffentliche Demo unter demo.dayboard.ch enthält ausschliesslich fiktive Testdaten. Es werden keine personenbezogenen Daten verarbeitet. Die Demo wird täglich automatisch zurückgesetzt.

1.13 Datenweitergabe

• Personenbezogene Daten werden grundsätzlich nicht an Dritte weitergegeben.
• Eine Weitergabe erfolgt ausschliesslich, sofern dies für den Betrieb der Anwendung erforderlich ist (z. B. Hosting bei Hetzner Online GmbH) oder eine gesetzliche Verpflichtung besteht.
• Es findet keine kommerzielle Weitergabe oder Nutzung zu Werbezwecken statt.