Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Datenbearbeitung ist:

Julijan Lopicic
handelnd als «Lopicic Technologies»
Schweiz
E-Mail: support@semetra.ch

Mangels gesetzlicher Pflicht wurde kein Datenschutzberater bestellt. Für Anfragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Website semetra.ch, der Web-Applikation app.semetra.ch sowie der Desktop-Anwendung «Semetra» (zusammen «Dienst»). Sie erläutert, welche Personendaten wir erheben, zu welchem Zweck und an wen sie weitergegeben werden.

3. Rechtsgrundlagen

Wir bearbeiten Personendaten im Einklang mit dem schweizerischen Bundesgesetz über den Datenschutz (nDSG, in Kraft seit 1. September 2023). Soweit die EU-Datenschutz-Grundverordnung (DSGVO) anwendbar ist, dienen folgende Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — zur Bereitstellung des Dienstes und der Abonnement-Verwaltung
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — zur Verbesserung des Dienstes und zur Betrugsprävention
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — sofern ausdrücklich erteilt, z. B. für KI-Nutzung

4. Erhobene Daten

4.1 Bei der Registrierung

• E-Mail-Adresse
• Benutzername (optional)
• Passwort (gehasht gespeichert, nicht im Klartext)

4.2 Bei der Nutzung des Dienstes

• Von der Nutzerin eingegebene Studiendaten (Module, Noten, Notizen, Aufgaben, Kalendereinträge, Mind Maps, Karteikarten, Dokumente)
• Nutzungsstatistiken (Anzahl KI-Requests, aktive Sitzungen)
• Geräte- und Browser-Informationen (User Agent, Bildschirmauflösung) — nur soweit technisch notwendig

4.3 Bei der Zahlung

• Zahlungsdaten (Kreditkartennummer, Ablaufdatum) werden ausschliesslich durch Stripe verarbeitet und nie auf unseren Servern gespeichert
• Wir erhalten von Stripe lediglich: Abo-Status, Zahlungsstatus und die letzten vier Ziffern der Kartennummer

4.4 Bei der KI-Nutzung

• Vom Nutzer eingegebene Prompts und der zugehörige Kontext werden an Anthropic, PBC (USA) übermittelt, um eine Antwort zu generieren
• Anthropic verarbeitet diese Daten gemäss den Anthropic Privacy Policies. Laut Anthropic werden API-Eingaben nicht für das Training der Modelle verwendet

4.5 Desktop-Anwendung (Offline)

In der Desktop-Anwendung werden sämtliche Daten lokal in einer SQLite-Datenbank auf dem Gerät der Nutzerin gespeichert. Eine Übermittlung an unsere Server erfolgt nur, wenn die Nutzerin die Cloud-Synchronisierung aktiv nutzt (Pro-Feature).

5. Zweck der Datenbearbeitung

Wir bearbeiten Personendaten für folgende Zwecke:

• Bereitstellung und Betrieb des Dienstes
• Verwaltung des Nutzerkontos und Authentifizierung
• Abonnement- und Zahlungsverwaltung
• Bereitstellung der KI-Funktionen
• Synchronisation zwischen Desktop- und Web-Applikation
• Technische Fehlerbehebung und Verbesserung des Dienstes
• Kommunikation mit der Nutzerin (Support, Benachrichtigungen)

6. Weitergabe an Dritte

Wir geben Personendaten nur im notwendigen Umfang an folgende Dritte weiter:

Drittanbieter	Zweck	Sitz	Datenkategorien
Supabase, Inc.	Cloud-Datenbank, Authentifizierung, Speicher	USA	Kontodaten, Studiendaten, Dokumente
Stripe, Inc.	Zahlungsabwicklung	USA	E-Mail, Zahlungsdaten
Anthropic, PBC	KI-Lernassistent	USA	KI-Prompts, Kontext
Vercel, Inc.	Hosting Web-App	USA	IP-Adresse, Zugriffsdaten
Cloudflare, Inc.	Hosting Website, CDN, DNS	USA	IP-Adresse, Zugriffsdaten

Alle genannten US-Anbieter unterliegen angemessenen Datenschutzstandards. Wir schliessen, wo möglich, Auftragsverarbeitungsverträge (DPA) ab.

7. Datenübermittlung ins Ausland

Durch die Nutzung der oben genannten Drittanbieter können Personendaten in die USA übermittelt werden. Die USA gelten gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nicht als Land mit angemessenem Datenschutzniveau. Wir stützen die Übermittlung auf Standardvertragsklauseln (SCC) sowie die Einhaltung des EU-US Data Privacy Frameworks (DPF) durch die jeweiligen Anbieter, sofern anwendbar.

8. Cookies und Tracking

Die Website semetra.ch verwendet keine Werbe-Cookies oder Tracking-Tools Dritter (kein Google Analytics, kein Facebook Pixel).

Es werden ausschliesslich technisch notwendige Cookies verwendet:

• Session-Cookies — zur Authentifizierung in der Web-App
• Präferenz-Cookies — zur Speicherung von Spracheinstellungen

Diese Cookies sind für den Betrieb des Dienstes erforderlich und können nicht deaktiviert werden, ohne die Funktionalität einzuschränken.

9. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz der Personendaten, insbesondere:

• Verschlüsselung der Datenübertragung mittels TLS/SSL (HTTPS)
• Passwörter werden gehasht gespeichert (bcrypt via Supabase Auth)
• Zugriffsbeschränkung auf Daten durch Row Level Security (RLS) in der Datenbank
• Regelmässige Sicherheitsprüfungen und Updates
• Lokale Datenspeicherung in der Desktop-App (SQLite) verbleibt auf dem Gerät der Nutzerin

Trotz aller Massnahmen kann keine absolute Sicherheit garantiert werden. Der Anbieter haftet nicht für Schäden, die durch Angriffe Dritter oder höhere Gewalt entstehen.

10. Aufbewahrungsdauer

Personendaten werden so lange aufbewahrt, wie sie für den jeweiligen Zweck benötigt werden:

• Kontodaten: bis zur Löschung des Nutzerkontos
• Studiendaten: bis zur Löschung durch die Nutzerin oder Kontolöschung
• Zahlungsdaten: gemäss den gesetzlichen Aufbewahrungsfristen (10 Jahre nach Schweizer Buchführungspflicht)
• KI-Prompts: werden nicht dauerhaft gespeichert; die Verarbeitung erfolgt transient bei Anthropic
• Server-Logs: maximal 90 Tage

Nach Löschung des Nutzerkontos werden sämtliche personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Rechte der betroffenen Person

Nach dem schweizerischen Datenschutzgesetz (nDSG) stehen der Nutzerin folgende Rechte zu:

• Auskunftsrecht (Art. 25 nDSG): Recht auf Auskunft über die bearbeiteten Personendaten
• Recht auf Berichtigung (Art. 32 Abs. 1 nDSG): Recht auf Korrektur unrichtiger Daten
• Recht auf Löschung: Recht auf Löschung der Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Recht auf Datenherausgabe (Art. 28 nDSG): Recht auf Herausgabe der Daten in einem gängigen elektronischen Format
• Widerspruchsrecht: Recht, der Datenbearbeitung zu widersprechen

Soweit die DSGVO anwendbar ist, stehen zusätzlich folgende Rechte zu: Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Recht auf Widerspruch (Art. 21 DSGVO) und Beschwerderecht bei einer Aufsichtsbehörde.

Anfragen sind schriftlich an support@semetra.ch zu richten. Wir beantworten Anfragen innert 30 Tagen.

12. Daten von Minderjährigen

Der Dienst richtet sich an Personen ab 16 Jahren. Wir erheben wissentlich keine Personendaten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erhalten, dass Daten von Personen unter 16 Jahren erhoben wurden, werden diese unverzüglich gelöscht.

13. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen. Die aktuelle Version ist stets unter semetra.ch/datenschutz.html abrufbar. Wesentliche Änderungen werden per E-Mail oder innerhalb der App angekündigt.