Rechtliches

Datenschutz

Wir behandeln deine Daten so, wie wir wollen, dass unsere eigenen behandelt würden. Hier erfährst du genau, wie.

Diese Datenschutzerklärung erklärt transparent, welche Personendaten die balio GmbH erhebt, zu welchen Zwecken sie diese bearbeitet, an wen sie weitergegeben werden und welche Rechte du hast.

Sie richtet sich nach dem revidierten Schweizer Datenschutzgesetz (revDSG) und der zugehörigen Verordnung (DSV), in Kraft seit dem 1. September 2023. Soweit im Einzelfall die EU-Datenschutz-Grundverordnung (DSGVO) anwendbar ist, gelten deren Bestimmungen ergänzend (siehe Ziffer 5).

1. Verantwortliche Stelle

Verantwortlich für die Datenbearbeitung im Zusammenhang mit der Website balio.ch, der Anwendung app.balio.ch sowie deinem Nutzerkonto ist:

balio GmbH i. G.
Rennweg 63
8704 Herrliberg
Schweiz

Vertreten durch den Geschäftsführer Kevin Sachs.
E-Mail: info@balio.ch

Für alle Datenschutz-Anliegen (Auskunft, Berichtigung, Löschung, Auftragsbearbeitungsvertrag) genügt eine E-Mail an info@balio.ch mit entsprechendem Betreff.

Eine Pflicht zur Bezeichnung einer Vertretung in der Schweiz oder eines Datenschutzberaters besteht für die balio GmbH nach revDSG nicht. Da sich balio ausschliesslich an Kundinnen und Kunden in der Schweiz richtet, ist auch kein Vertreter in der EU nach Art. 27 DSGVO erforderlich.

2. Wer ist wofür verantwortlich?

balio ist eine Software-as-a-Service-Lösung für Schweizer Handwerksbetriebe. Dabei fallen zwei Rollen an:

a) balio als Verantwortliche. Für die Daten rund um deinen Zugang zu balio (Website-Nutzung, Registrierung, Konto- und Stammdaten, Abo- und Zahlungsabwicklung, Support) ist die balio GmbH die verantwortliche Stelle im Sinne von Art. 5 lit. j revDSG. Für diese Bearbeitungen gilt die vorliegende Datenschutzerklärung umfassend.

b) balio als Auftragsbearbeiterin. Für die Geschäfts- und Mitarbeiterdaten, die du als Betrieb in balio erfasst (deine eigenen Kunden, Offerten, Aufträge, Rapporte, Rechnungen, Belege, Fotos sowie die Daten deiner Mitarbeitenden), bist du der Verantwortliche. Die balio GmbH bearbeitet diese Daten ausschliesslich in deinem Auftrag und nach deinen Weisungen als Auftragsbearbeiterin nach Art. 9 revDSG (bzw. Auftragsverarbeiterin nach Art. 28 DSGVO). Die Einzelheiten regelt ein Auftragsbearbeitungsvertrag (AVV/ADV), den wir dir auf Anfrage zur Verfügung stellen. Für die Information deiner eigenen Kundinnen, Kunden und Mitarbeitenden bist du selbst verantwortlich.

3. Welche Personendaten wir bearbeiten

3.1 Beim Besuch der Website (balio.ch)

  • Server- und Protokolldaten: gekürzte IP-Adresse, Zugriffszeitpunkt, abgerufene Seite, User-Agent, Referrer. Diese technischen Logs dienen Sicherheit und Stabilität und werden maximal 30 Tage aufbewahrt.
  • Anonyme Reichweitenstatistik: Wir nutzen site-weit Vercel Analytics, ohne Cookies und ohne Personenbezug. Es werden keine individuellen Profile gebildet und keine Daten an Werbenetzwerke übermittelt.

3.2 Bei Registrierung und Kontoverwaltung (app.balio.ch)

  • Konto- und Stammdaten: E-Mail, Name, Firmenname, Rolle/Funktion, optional Telefonnummer, Firmenlogo und weitere Firmenangaben (Adresse, IBAN/Bankverbindung für QR-Rechnungen).
  • Anmelde- und Sicherheitsdaten: Passwort (ausschliesslich als sicherer bcrypt-Hash, nie im Klartext), Magic-Link-Token, Session-Informationen sowie, sofern du die Zwei-Faktor-Authentisierung (2FA/TOTP) aktivierst, die zugehörigen Konfigurations- und einmalig nutzbaren Wiederherstellungscodes (gehasht).
  • Nutzungsdaten: Login-Zeitpunkte, technische Fehler- und Ereignisprotokolle, Aktivitätszeitstempel.

3.3 Deine Geschäftsdaten (Inhaltsdaten)

Inhalte, die du selbst in balio erfasst und für die du Verantwortlicher bist (Ziffer 2 b):

  • Daten deiner eigenen Kundinnen und Kunden (Name, Adresse, Kontaktangaben)
  • Offerten, Aufträge, Projektnotizen, Rapporte, Rechnungen und deren Positionen
  • Stunden- und Materialrapporte, Fotos und hochgeladene Belege
  • Zahlkonten/IBAN und Angaben zur Erstellung von Swiss-QR-Rechnungen

3.4 Daten deiner Mitarbeitenden

Sofern du Mitarbeitende anlegst, bearbeiten wir in deinem Auftrag:

  • Mitarbeiter-Accounts (Name, E-Mail), Rollen und Berechtigungen
  • Zeiterfassung, Zeitsalden und Stundensatz-/Tarifkategorien
  • arbeitszeitbezogene Einstellungen (z. B. Pensum, Feiertage). Die Einhaltung der arbeits- und datenschutzrechtlichen Pflichten gegenüber deinen Mitarbeitenden obliegt dir als Arbeitgeber.

3.5 KI-Assistent und Sprach-Rapporte

  • Texteingaben an den KI-Assistenten, die daraus erzeugten Vorschläge sowie die zugehörigen Konversations- und Aktionsprotokolle.
  • Sprachaufnahmen: Diktierte Audiodaten werden nur temporär zur Transkription an unseren KI-Dienst übermittelt und nicht dauerhaft gespeichert.
  • Wichtig: Deine Daten werden weder von uns noch von unseren KI-Partnern zum Training von KI-Modellen verwendet.

3.6 Zahlungs- und Abodaten

Plan, Abo-Status, hinterlegte Zahlungsmethode und Rechnungsdaten. Die Zahlungsabwicklung erfolgt über unseren Zahlungsdienstleister Stripe; wir speichern selbst keine vollständigen Kreditkartendaten.

3.7 Benachrichtigungen und Support

  • Push-Endpoints und deine Benachrichtigungseinstellungen (E-Mail/Push), sofern aktiviert.
  • Inhalt und Metadaten deiner Support-Kommunikation mit uns.

4. Zwecke der Bearbeitung

  • Bereitstellung, Betrieb und Absicherung der Software und deines Kontos (Vertragserfüllung)
  • Erstellung von Offerten, Rapporten, Rechnungen und QR-Rechnungen sowie Betrieb der KI- und Sprachfunktionen
  • Abwicklung von Abonnement und Zahlung, Rechnungsstellung und Mahnwesen
  • Kommunikation mit dir (Support, Onboarding, sicherheits- und betriebsrelevante Mitteilungen)
  • Stabilität, Sicherheit und Missbrauchsprävention (z. B. Rate-Limiting, Protokollierung)
  • Erfüllung gesetzlicher Pflichten (z. B. handels- und steuerrechtliche Aufbewahrung)
  • Weiterentwicklung des Dienstes auf Basis aggregierter, nicht personenbezogener Auswertungen

5. Grundlage der Bearbeitung (revDSG / DSGVO)

Nach Schweizer Recht dürfen private Personen wie die balio GmbH Personendaten bearbeiten, sofern dies nach Treu und Glauben, verhältnismässig und für den erkennbaren Zweck erfolgt (Art. 6 und 30 ff. revDSG). Eine vorgängige Rechtsgrundlage wie unter der DSGVO ist nach revDSG nicht erforderlich. Soweit eine Rechtfertigung nötig ist, stützen wir uns auf die Vertragserfüllung, auf gesetzliche Pflichten sowie auf unser überwiegendes Interesse an einem sicheren, funktionsfähigen Dienst (Art. 31 revDSG).

Soweit im Einzelfall die DSGVO anwendbar ist, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. b (Vertrag), lit. c (rechtliche Verpflichtung) und lit. f (berechtigte Interessen). Da sich balio ausschliesslich an Kundinnen und Kunden in der Schweiz richtet, ist die DSGVO in der Regel nicht einschlägig.

6. Auftragsbearbeiter und Empfänger

Wir geben Personendaten nur an sorgfältig ausgewählte Dienstleister weiter, die uns beim Betrieb unterstützen. Mit allen besteht ein Auftragsbearbeitungsvertrag (AVV/ADV) nach Art. 9 revDSG bzw. Art. 28 DSGVO. Sie dürfen die Daten ausschliesslich für die vereinbarten Zwecke und nach unseren Weisungen bearbeiten.

  • Supabase (Datenbank, Authentifizierung, Datei-Speicher): Datenstandort Zürich, Schweiz (AWS eu-central-2). Die Geschäftsdaten verlassen die Schweiz nicht.
  • Vercel (App-Hosting, Edge-Auslieferung, AI-Gateway): Die Anwendung läuft im Rechenzentrum Frankfurt (EU); Betreiberin ist Vercel Inc. in den USA. KI-Anfragen werden nur weitergeleitet, nicht gespeichert. Grundlage Auslandbekanntgabe: Swiss-U.S. Data Privacy Framework.
  • Google (Gemini) (KI-Assistent und Sprachverarbeitung): Verarbeitung in den USA bzw. global, verschlüsselt, ohne Training auf deinen Daten. Grundlage Auslandbekanntgabe: Swiss-U.S. Data Privacy Framework.
  • Resend (Versand von Transaktions-E-Mails an dich und deine Kunden): Datenstandort USA. Grundlage Auslandbekanntgabe: Standardvertragsklauseln.
  • Stripe (Zahlungsabwicklung und Abo-Verwaltung): Datenstandort USA. Grundlage Auslandbekanntgabe: Standardvertragsklauseln und Garantien nach Art. 16 f. revDSG.

Wir verkaufen keine Personendaten und geben sie nicht zu Werbezwecken weiter. Eine Bekanntgabe an weitere Dritte (z. B. Behörden) erfolgt nur, wenn wir gesetzlich dazu verpflichtet sind oder du eingewilligt hast.

7. Bekanntgabe ins Ausland

Deine Geschäftsdaten (Datenbankinhalte, Dateien, Fotos, Belege, Backups) liegen physisch in Zürich, Schweiz und werden nicht ins Ausland repliziert. Die Anwendung selbst wird über Vercel aus dem Rechenzentrum Frankfurt (EU) ausgeliefert.

Eine Bekanntgabe in die USA erfolgt nur in begrenztem Umfang: bei der KI-Verarbeitung (Google Gemini), dem E-Mail-Versand (Resend) und der Zahlungsabwicklung (Stripe) sowie gegenüber Vercel als US-Betreibergesellschaft. Soweit ein Empfänger unter dem Swiss-U.S. Data Privacy Framework (DPF) zertifiziert ist, gilt die USA gestützt auf den Beschluss des Schweizerischen Bundesrats vom 14. August 2024 (in Kraft seit 15. September 2024) als Land mit angemessenem Datenschutz. Für nicht DPF-zertifizierte Empfänger stützen wir die Übermittlung auf Standardvertragsklauseln und ergänzende Garantien nach Art. 16 f. revDSG.

8. Künstliche Intelligenz und automatisierte Entscheidungen

Der KI-Assistent und die Sprach-Rapporte erstellen Vorschläge und Entwürfe, die du vor der Verwendung prüfst und freigibst. Eine automatisierte Einzelentscheidung mit rechtlicher Wirkung im Sinne von Art. 21 revDSG findet nicht statt, die Kontrolle liegt stets bei dir. KI-Anfragen werden verschlüsselt übermittelt; deine Daten werden nicht zum Training von KI-Modellen verwendet, und Audiodaten werden nach der Transkription nicht dauerhaft gespeichert.

9. Cookies und Tracking

Wir setzen ausschliesslich technisch notwendige Cookies ein (z. B. Login-Session, CSRF-Schutz). Für die Reichweitenmessung nutzen wir Vercel Analytics, das ohne Cookies und ohne Personenbezug arbeitet.

Es findet kein Tracking durch Google Analytics, Meta/Facebook oder vergleichbare Drittanbieter statt, und wir bilden keine Werbeprofile. Da wir keine einwilligungspflichtigen Cookies einsetzen, ist nach Schweizer Recht (Art. 45c FMG, revDSG) kein Cookie-Banner erforderlich. Technisch notwendige Cookies kannst du über deine Browser-Einstellungen steuern.

10. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen nach Art. 8 revDSG und Art. 1 ff. DSV:

  • Verschlüsselung at rest: AES-256 (Schlüsselverwaltung über AWS KMS in der Zürcher Region)
  • Verschlüsselung in transit: TLS (1.2/1.3) auf allen Verbindungen
  • Mandantentrennung: Jeder Datenbankzugriff läuft durch eine Row-Level-Security-Policy, ein kompromittierter Zugriffstoken kann keine Daten ausserhalb der eigenen Firma sehen
  • Authentisierung: Passwörter nur als bcrypt-Hash, kurzlebige serverseitig geprüfte Session-Tokens, optionale Zwei-Faktor-Authentisierung
  • Sicherheits-Header (u. a. Content-Security-Policy, HSTS)
  • Backups täglich, in der Schweiz gespeichert
  • Protokollierung sicherheitsrelevanter Ereignisse und interner Datenzugriffe

Kein System ist absolut sicher. Wir informieren dich proaktiv, wenn ein meldepflichtiger Vorfall deine Daten betrifft.

11. Aufbewahrung und Löschung

  • Geschäftsdaten verbleiben in deinem Account, solange dein Vertrag besteht. Nach Kündigung werden sie innerhalb von 30 Tagen vollständig gelöscht, auf Wunsch auch sofort.
  • Gesetzliche Aufbewahrungspflichten (z. B. die zehnjährige Aufbewahrung von Buchhaltungsbelegen nach Art. 958f OR) bleiben unberührt; entsprechende Daten werden bis zum Fristablauf gesperrt und danach gelöscht.
  • Zahlungs- und Rechnungsdaten bei Stripe unterliegen dessen eigenen gesetzlichen Aufbewahrungsfristen.
  • Server-Logs maximal 30 Tage; Sprachaufnahmen nicht dauerhaft gespeichert.

12. Deine Rechte

  • Auskunft über die zu deiner Person bearbeiteten Daten (Art. 25 revDSG)
  • Berichtigung unrichtiger Daten
  • Löschung oder Vernichtung deiner Daten
  • Einschränkung der Bearbeitung sowie Widerspruch gegen bestimmte Bearbeitungen
  • Datenherausgabe und -übertragbarkeit (Art. 28 revDSG): Export deiner Daten als CSV oder JSON

Zur Ausübung genügt eine E-Mail an info@balio.ch. Wir antworten grundsätzlich innerhalb von 30 Tagen und kostenlos. Zur Verhinderung von Missbrauch können wir einen Identitätsnachweis verlangen.

Hinweis: Betreffen deine Daten Inhalte, die ein Handwerksbetrieb als unser Kunde in balio erfasst hat (z. B. weil du dessen Kunde oder Mitarbeitender bist), ist dieser Betrieb der Verantwortliche. Wir leiten dein Anliegen in diesem Fall an ihn weiter bzw. verweisen dich an ihn.

13. Aufsichtsbehörde

Du kannst dich jederzeit an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Feldeggweg 1, 3003 Bern, wenden: www.edoeb.admin.ch.

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich unsere Produkte, Verfahren oder Dienstleister ändern oder gesetzliche Vorgaben dies erfordern. Die aktuelle Fassung ist unter balio.ch/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir dich zusätzlich per E-Mail.

Stand: Juni 2026. Fragen zum Datenschutz beantworten wir gerne unter info@balio.ch.