NeuGraphRAG jetzt in Early Beta
Swiss Knowledge Hub

Rechtliches

Datenschutzerklärung

Letzte Aktualisierung: 22.04.2026

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten die Swiss Knowledge Hub GmbH („wir“, „Anbieterin“) bei der Nutzung der Marketing-Website (swissknowledgehub.ch) und der Swiss-Knowledge-Hub-Plattform („SKH“, „Plattform“) erhebt, zu welchen Zwecken und auf welcher Rechtsgrundlage wir sie verarbeiten, sowie welche Rechte Sie als betroffene Person haben.

Wir verarbeiten Ihre Daten nach dem Schweizer Datenschutzgesetz (revDSG) sowie – soweit anwendbar – nach der EU-Datenschutz- Grundverordnung (GDPR).

1. Verantwortliche Stelle

Swiss Knowledge Hub GmbH
Könizstrasse 161, 3097 Liebefeld
CHE-219.860.750
E-Mail: hurni@swissknowledgehub.ch

2. Daten, die wir verarbeiten

2.1 Beim Besuch der Website

  • Technische Verbindungsdaten (IP-Adresse, Browsertyp, Betriebssystem)
  • Seitenaufrufe, Verweildauer, Referrer
  • Cookies nach Ihrer Einwilligung (siehe Abschnitt „Cookies“)

2.2 Bei Nutzung der Plattform

  • Registrierungsdaten (Name, E-Mail, Passwort-Hash, Organisation)
  • Hochgeladene Dokumente und ihre abgeleiteten Vektor-Embeddings
  • Chat-Anfragen und KI-Antworten
  • Nutzungs- und Abrechnungsdaten (Token-Verbrauch, Speichernutzung)
  • Audit-Log von Zugriffen und Abfragen

2.3 Sensible Felder

Felder mit personenbezogenem Charakter (z. B. Name, E-Mail-Adresse) werden zusätzlich auf Feld-Ebene verschlüsselt gespeichert (prisma-field-encryption mit @47ng/cloak).

3. Zwecke und Rechtsgrundlagen

  • Bereitstellung der Plattform und Erfüllung des Vertrags (Art. 31 Abs. 2 lit. a revDSG, Art. 6 Abs. 1 lit. b GDPR)
  • Abrechnung und Rechnungsstellung (gesetzliche Pflichten, Art. 31 Abs. 2 lit. c revDSG, Art. 6 Abs. 1 lit. c GDPR)
  • Sicherstellung des Betriebs, Missbrauchserkennung und Fehleranalyse (berechtigtes Interesse, Art. 31 Abs. 1 revDSG, Art. 6 Abs. 1 lit. f GDPR)
  • Kommunikation mit Interessent:innen (Einwilligung bzw. vorvertragliche Massnahmen, Art. 31 Abs. 1 revDSG, Art. 6 Abs. 1 lit. a/b GDPR)

4. Subprozessoren

Wir setzen ausgewählte Subprozessoren zur Erbringung der Plattform ein. Eine aktuelle Liste mit Sitz, Zweck und Rechtsgrundlage für internationale Datentransfers stellen wir auf Anfrage zur Verfügung und in unserem DPA (Data Processing Agreement) verbindlich zu.

4.1 Infrastruktur und Betrieb

  • Microsoft Azure (Switzerland North, CH) – Hosting der Plattform, Datenbank, Vector-Store pgvector, Service Bus
  • Hostpoint AG (CH) – Hosting dieser Marketing-Website
  • Azure Video Indexer (Switzerland North, CH) – Transkription von Audio- und Videodateien

4.2 LLM-Provider (je nach gewählter Konfiguration)

Kund:innen wählen pro Organisation, welches Sprachmodell eingesetzt wird. Der Standard läuft in der Schweiz und wird von der Anbieterin als Subprozessor unter unserem DPA bereitgestellt.

  • Azure OpenAI (Switzerland North, CH): Standard, Verarbeitung innerhalb der Schweiz, unter unserem DPA.

BYOK (Bring Your Own Key). Aktiviert eine Kundenorganisation optional einen eigenen Schlüssel für einen externen LLM-Anbieter, werden die betreffenden Anfragen direkt an die Infrastruktur dieses Anbieters übermittelt. In diesem Fall agiert der externe Anbieter nicht als Subprozessor der Anbieterin, sondern als eigenständiger Auftragsverarbeiter der Kundenorganisation. Der Abschluss der erforderlichen Verträge (DPA, EU-Standardvertragsklauseln, allfällige zusätzliche Schutzmassnahmen nach revDSG/GDPR) mit dem jeweiligen Anbieter liegt in der ausschliesslichen Verantwortung der Kundenorganisation. Die Anbieterin stellt lediglich die technische Schnittstelle zur Verfügung und protokolliert die Aktivierung auditierbar. Kommt die Kundenorganisation diesen Pflichten nicht nach, erfolgt die Nutzung auf ihr eigenes Risiko.

  • OpenAI, Inc. (USA): BYOK, Vertragspartner der Kundenorganisation
  • Anthropic PBC (USA): BYOK, Vertragspartner der Kundenorganisation
  • Google LLC (Gemini API) (USA/EU): BYOK, Vertragspartner der Kundenorganisation
  • Mistral AI SAS (Frankreich): BYOK, Vertragspartner der Kundenorganisation
  • DeepSeek, Azure DeepSeek, AI Foundry, Custom Endpoints: je nach Konfiguration durch die Kund:innen, Vertragspartner der Kundenorganisation

Keine Trainingsnutzung im Standard. Im Schweizer-Standard-Setup laufen sämtliche Inferenzen über Enterprise-API-Tarife, die eine Verwendung der übermittelten Inhalte zu Trainingszwecken vertraglich ausschliessen. Bei BYOK hängen Trainingsnutzung, Aufbewahrung und Standort ausschliesslich von den Bedingungen ab, die die Kundenorganisation mit dem gewählten Anbieter vereinbart hat.

4.3 Weitere Dienstleister

  • Stripe Payments Europe Ltd. (IE) – Abrechnung und Zahlungsabwicklung
  • Datadog, Inc. (USA/EU) – Observability und Fehler-Monitoring (anonymisiert, ohne Dokumenteninhalte)

5. Internationale Datentransfers

In der Standardkonfiguration verlassen Ihre Dokumente und KI-Anfragen die Schweiz nicht; der Datentransfer findet innerhalb der Azure-Region Switzerland North statt und ist durch das DPA der Anbieterin gedeckt.

Bei BYOK-Konfigurationen mit Providern ausserhalb der Schweiz/EU übermittelt die Plattform Anfragen direkt an die vom Kunden gewählte Infrastruktur. Die Rechtsgrundlage für diesen Drittlandtransfer – insbesondere der Abschluss der EU-Standardvertragsklauseln (Module 2), eine Transfer Impact Assessment und allfällige ergänzende Schutzmassnahmen – wird ausschliesslich zwischen der Kundenorganisation und dem gewählten Anbieter etabliert. Die Anbieterin ist an diesen Verträgen nicht Partei. Die Aktivierung einer BYOK-Konfiguration liegt in der Entscheidungshoheit der zeichnungsberechtigten Person der Kundenorganisation, wird auditierbar protokolliert und erfolgt auf deren eigenes Risiko, sofern die erforderlichen Verträge und Schutzmassnahmen nicht abgeschlossen wurden.

6. Aufbewahrungsfristen

  • Account- und Abrechnungsdaten: bis zum Ende der gesetzlichen Aufbewahrungsfrist (10 Jahre für Finanzdokumente nach OR)
  • Inhalts- und Vektordaten: bis zur Löschung durch die Kund:innen oder 30 Tage nach Vertragsende (Löschung per Default)
  • Server- und Audit-Logs: 90 Tage, danach automatische Löschung oder Anonymisierung
  • Kontaktanfragen: 24 Monate nach letztem Kontakt

7. Cookies und Tracking

Diese Website setzt technisch notwendige Cookies (Session, Sprache, Theme) ohne Einwilligung. Analyse- und Marketing-Cookies werden nur nach Ihrer expliziten Einwilligung über unser Consent-Banner aktiviert. Die Einwilligung kann jederzeit in den Cookie-Einstellungen widerrufen werden.

8. Automatisierte Entscheidungen

Die Plattform generiert KI-Antworten als Hilfsmittel; wir treffen keine automatisierten Einzelentscheidungen mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 21 revDSG bzw. Art. 22 GDPR. Ergebnisse von SKH sollen stets durch Menschen validiert werden.

9. Ihre Rechte

Als betroffene Person haben Sie das Recht auf:

  • Auskunft über die verarbeiteten Daten
  • Berichtigung unrichtiger Daten
  • Löschung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit (GDPR)
  • Widerruf erteilter Einwilligungen
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen
  • Beschwerde bei der zuständigen Aufsichtsbehörde (Schweiz: EDÖB,edoeb.admin.ch)

Zur Ausübung Ihrer Rechte wenden Sie sich an hurni@swissknowledgehub.ch.

10. Sicherheit

Wir setzen TLS 1.3 für die Übertragung, Verschlüsselung at-Rest sowie Feld-Level-Verschlüsselung für personenbezogene Daten ein. Zugriffe werden auditierbar protokolliert. Mitarbeitende sind zur Verschwiegenheit verpflichtet.

11. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.