Datenschutzerklärung

Zuletzt aktualisiert: 2026-06-08

1. Einleitung

Diese Datenschutzerklärung erläutert, wie System Crew (Switzerland) GmbH („wir“) personenbezogene Daten verarbeitet, wenn Sie Cost Clarity (den „Dienst“) unter www.costclarity.com nutzen, einschließlich der Marketing-Website, der authentifizierten Webanwendung, der APIs und zugehöriger E-Mail-Benachrichtigungen.

Wir verarbeiten personenbezogene Daten im Einklang mit den anwendbaren Datenschutzgesetzen, einschließlich des Schweizer Bundesgesetzes über den Datenschutz („DSG“) und, soweit anwendbar, der Datenschutz-Grundverordnung der EU/des EWR („DSGVO“). Bei widersprüchlichen Bestimmungen wenden wir den strengeren Standard an, sofern dies gesetzlich vorgeschrieben ist.

2. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Dienst ist:

System Crew (Switzerland) GmbH
Grabenstrasse 25
6340 Baar, Switzerland
UID: CHE-362.405.991
E-Mail: info@costclarity.com

Für datenschutzbezogene Anfragen (einschließlich Rechtsanfragen gemäß Abschnitt 9) kontaktieren Sie uns bitte unter der oben genannten E-Mail-Adresse und geben Sie „Datenschutz“ im Betreff an.

3. Umfang der Verarbeitung

Der Dienst hilft Organisationen, Cloud-Abrechnungs- und Nutzungsquellen zu verbinden (zunächst mit AWS-Schwerpunkt), Abruf- und Analyse-Workflows auszuführen, für Menschen verständliche Interpretationen zu erzeugen (einschließlich KI-gestützter Zusammenfassungen) und optionale Benachrichtigungen (z. B. per E-Mail) gemäß Ihrer Routing-Einstellungen zu übermitteln. Die Verarbeitung hängt davon ab, wie Sie den Dienst nutzen und welche Integrationen Sie aktivieren.

4. Kategorien personenbezogener Daten

Je nach Ihrer Nutzung des Dienstes können wir verarbeiten:

  • Konto- und Identitätsdaten - z. B. Name, E-Mail-Adresse, Authentifizierungskennungen, Organisations-/Mandantenkennungen und Rolleninformationen, die mit Ihrem Konto verknüpft sind (verarbeitet über unsere Authentifizierungs- und Datenbankanbieter).
  • Nutzungs- und technische Daten des Dienstes - z. B. Geräte-/Browsertyp, IP-Adresse, Zeitstempel, Diagnoseprotokolle, Sitzungskennungen, Sicherheitssignale und ähnliche Metadaten, die zum Betrieb, zur Absicherung und zur Verbesserung des Dienstes erforderlich sind.
  • Cloud-Integrationsmetadaten - Informationen, die zum Verknüpfen Ihrer Cloud-Konten erforderlich sind (z. B. Kontokennungen, Verbindungsstatus, Konfigurationsmetadaten und Referenzen auf Rollen mit geringsten Rechten wie AWS-IAM-Rollen-ARNs), wie in unserer Produktdokumentation beschrieben.
  • Abrechnungs- und Nutzungssignale - von verbundenen Cloud-Anbietern für Analysen abgerufene Daten (z. B. Kosten- und Nutzungsmetriken), gespeichert und verarbeitet, um Berichte und Interpretationen im Dienst bereitzustellen.
  • Interpretationsergebnisse - strukturierte Artefakte und KI-generierte Narrative, die aus abgerufenen Signalen abgeleitet werden, gespeichert zur Anzeige im Produkt und (sofern aktiviert) für die nachgelagerte Benachrichtigungszustellung.
  • Benachrichtigungsdaten - Zieladressen (z. B. E-Mail), Routing-Präferenzen, Zustellprotokolle und Nachrichtenmetadaten, die zum Versand der von Ihnen konfigurierten dienstbezogenen Benachrichtigungen erforderlich sind.
  • Kommunikation - Inhalte, die Sie uns senden (z. B. Supportanfragen), und zugehörige Korrespondenzmetadaten.

Generative KI. Zusammenfassungen, Interpretationen, E-Mail-Digests, Warnungen und ähnliche Ausgaben können ganz oder teilweise mithilfe generativer KI-Modelle erstellt werden, die innerhalb unserer Dienstarchitektur betrieben werden (einschließlich Inferenz und damit zusammenhängender Verarbeitung über Unterauftragsverarbeiter wie die in dieser Richtlinie aufgeführten Cloud-Anbieter). Solche Ausgaben leiten sich aus Abrechnungs-, Nutzungs- und Konfigurationsdaten ab, die Sie mit dem Dienst verbinden. Sie dienen dazu, Ihnen Muster und Veränderungen zu verdeutlichen; sie ersetzen nicht Ihre eigene Prüfung maßgeblicher Unterlagen in den Konsolen, Rechnungen oder Verträgen Ihrer Cloud-Anbieter. Der Dienst ist nicht dafür vorgesehen, ausschließlich automatisierte Entscheidungen zu treffen, die rechtliche oder ähnlich erhebliche Auswirkungen auf Personen im Sinne von Artikel 22 DSGVO haben. Wenn Sie KI-generierte Inhalte für operative oder finanzielle Entscheidungen heranziehen, sollten Sie diese anhand der Quelldaten überprüfen.

Wir beabsichtigen nicht, besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) über den Dienst zu verarbeiten. Bitte übermitteln Sie solche Informationen nur, wenn dies zwingend erforderlich und rechtmäßig ist.

5. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

  • Bereitstellung des Dienstes - Kontobereitstellung, Authentifizierung, Mandantenisolierung, Dashboards, Integrationen, Abruf, Analyse, Speicherung und Benachrichtigungen (Vertragserfüllung; Art. 6 Abs. 1 lit. b DSGVO / gleichwertige Schweizer Grundlage).
  • Sicherheit und Missbrauchsprävention - Überwachung, Betrugsprävention, Audit-Trails und Schutz der Integrität von Kundendaten (berechtigte Interessen; Art. 6 Abs. 1 lit. f DSGVO / Art. 6 Abs. 1 DSG, abgewogen mit Ihren Rechten).
  • Produktverbesserung - aggregierte oder de-identifizierte Analysen, einschließlich Website-Traffic und Leistungsmetriken von Cloudflare Web Analytics, sofern konfiguriert. Cloudflare Web Analytics setzt keine Cookies und nutzt keinen Browser-Speicher für Tracking; wir stützen uns auf berechtigte Interessen und berücksichtigen Browser-Datenschutzsignale sowie die untenstehende Opt-out-Option.
  • Compliance - Erfüllung gesetzlicher Pflichten, Beantwortung rechtmäßiger Anfragen und Durchsetzung unserer Bedingungen (gesetzliche Verpflichtung / berechtigte Interessen, je nach Fall).
  • Marketingkommunikation - nur, soweit gesetzlich zulässig und, sofern erforderlich, auf Grundlage der Einwilligung oder anwendbarer Soft-Opt-in-Regeln in Ihrer Rechtsordnung.

6. Cookies und ähnliche Technologien

Wir verwenden Cookies und ähnliche Technologien, die für den Betrieb des Dienstes erforderlich sind (z. B. Authentifizierung/Sitzungskontinuität, Sicherheit, Lastverteilung und Theme-Präferenzen, sofern implementiert). Sofern nicht wesentliche Cookies verwendet werden, holen wir die nach anwendbarem Recht erforderliche Einwilligung ein.

Wir können Cloudflare Web Analytics nutzen, um aggregierten Website-Traffic und Seitenleistung zu verstehen, ohne Analyse-Cookies zu setzen oder Browser-Speicher für Tracking zu verwenden. Das Analyse-Skript wird nicht geladen, wenn Ihr Browser Global Privacy Control- oder Do-Not-Track-Signale sendet, und Sie können es für diesen Browser hier deaktivieren:

7. Empfänger und Unterauftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister („Unterauftragsverarbeiter“) ein, um den Dienst zu hosten und zu betreiben. Je nach Konfiguration kann dies umfassen:

  • Supabase - Authentifizierung und verwaltete Postgres-Speicherung mit Mandantenisolierung über Row-Level Security und serverseitige Zugriffsmuster, wie in unserer Sicherheitsdokumentation beschrieben.
  • Amazon Web Services (AWS) - Cloud-Datenabruf (z. B. Abrechnungs-/Nutzungs-APIs), sichere Verarbeitung und KI-Inferenz (z. B. Modellservices zur Erzeugung von Interpretationen) in Regionen und Konfigurationen, die mit unserer Architektur übereinstimmen.
  • E-Mail-Zustellanbieter - z. B. zum Versand transaktionaler oder konfigurierter Benachrichtigungen (wie Digest-E-Mails).
  • Cloudflare - Webanalyse, Leistungsmessung und zugehörige Infrastrukturdienste, sofern konfiguriert.
  • Hosting und Infrastruktur - Bereitstellungsanbieter zum Betrieb der Webanwendung und APIs (z. B. Serverless-/Edge-Hosting).

Unterauftragsverarbeiter verarbeiten Daten nur auf dokumentierte Weisung und implementieren angemessene technische und organisatorische Maßnahmen. Eine aktuelle Liste kann Unternehmenskunden auf Anfrage zur Verfügung gestellt werden.

8. Internationale Übermittlungen

Ihre Daten können in der Schweiz, im EWR, im Vereinigten Königreich und in anderen Ländern verarbeitet werden, in denen unsere Anbieter tätig sind. Wenn personenbezogene Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz in Länder ohne Angemessenheitsbeschluss übermittelt werden, stützen wir uns auf geeignete Garantien wie Standardvertragsklauseln (SCCs) und ergänzende Maßnahmen, sofern erforderlich.

9. Aufbewahrung

Wir bewahren personenbezogene Daten nur so lange auf, wie es für die in dieser Richtlinie beschriebenen Zwecke erforderlich ist, sofern keine längere Aufbewahrung gesetzlich vorgeschrieben ist. Die Aufbewahrungsfristen hängen vom Kontostatus, der Integrationskonfiguration, Sicherheitsanforderungen und Backup-/Disaster-Recovery-Praktiken ab. Nach Kontolöschung oder -ablauf löschen oder anonymisieren wir Daten innerhalb einer angemessenen Frist, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

10. Sicherheit

Wir implementieren technische und organisatorische Maßnahmen, die dem Risiko angemessen sind, einschließlich Zugriffskontrollen, Verschlüsselung bei der Übertragung (HTTPS/TLS), Service-Rollen mit geringsten Rechten für Cloud-Verbindungen, Trennung privilegierter Serveroperationen vom direkten Clientzugriff und Datenbankrichtlinien zur Durchsetzung der Mandantenisolierung. Keine Übertragungs- oder Speichermethode ist zu 100 % sicher; Sie sind dafür verantwortlich, Ihre Zugangsdaten und den Zugriff auf Ihr Konto zu schützen.

11. Ihre Rechte

Je nach Ihrem Standort können Sie Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Datenübertragbarkeit und Widerruf der Einwilligung (sofern die Verarbeitung einwilligungsbasiert ist) haben. Sie können auch bei einer Aufsichtsbehörde Beschwerde einlegen. In der Schweiz können Sie den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) kontaktieren. Im EWR können Sie Ihre lokale Aufsichtsbehörde kontaktieren.

Zur Ausübung Ihrer Rechte senden Sie eine E-Mail an info@costclarity.com. Wir müssen möglicherweise Ihre Identität überprüfen, bevor wir Anfragen bearbeiten.

12. Kinder

Der Dienst richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie glauben, dass wir solche Daten erhoben haben, kontaktieren Sie uns, und wir werden angemessene Schritte zu deren Löschung unternehmen.

13. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung aktualisieren, um rechtliche, technische oder betriebliche Änderungen widerzuspiegeln. Wir veröffentlichen die aktualisierte Version auf dieser Seite und passen das Datum „Zuletzt aktualisiert“ an. Sofern gesetzlich vorgeschrieben, informieren wir Sie gesondert (z. B. per E-Mail oder In-App-Hinweis).

14. Kontakt

Fragen zu dieser Datenschutzerklärung: info@costclarity.com