Version vom 10. April 2026
Verantwortlicher im Sinne der DSGVO und des revidierten Schweizer Datenschutzgesetzes (revDSG) ist Moritz Nonnemann – Software & Game Development, Ballyweg 14, 6440 Brunnen, Schweiz. Datenschutzanfragen: [email protected]. Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO und § 38 BDSG derzeit nicht gesetzlich verpflichtend; die Kontaktstelle ist die oben genannte E-Mail-Adresse.
Verarbeitet werden: (a) Account- und Profildaten (E-Mail, Name, Firmendaten, Rolle); (b) Authentifizierungsdaten (Passwort-Hash, 2FA-Status, Sessions, IP und User-Agent); (c) Vertrags- und Abrechnungsdaten (Plan, Subscription-ID, Rabatte); (d) Buchhaltungsdaten (Rechnungen, Quittungen, Ausgaben, Belege, Transaktionen, Kunden- und Lieferantendaten); (e) optional Bankkonto- und Zahlungsdaten bei verbundenen Integrationen; (f) Kommunikationsdaten bei Support-Anfragen; (g) Audit- und Sicherheitsereignisse zur Nachvollziehbarkeit und Betrugsabwehr.
Die Verarbeitung erfolgt primär zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO, Art. 31 revDSG) für die Bereitstellung des SaaS-Dienstes. Ergänzend stützen wir uns auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für Sicherheit, Missbrauchs- und Abuse-Prävention sowie für die Integrität der Protokolldaten. Soweit wir zur Einhaltung gesetzlicher Aufbewahrungspflichten verpflichtet sind (z. B. Art. 958f OR, § 147 AO, § 132 BAO), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ziehen wir nur dort heran, wo sie tatsächlich Rechtsgrundlage ist; in diesem Fall kann sie jederzeit ohne Angabe von Gründen widerrufen werden.
Wir setzen die folgenden Auftragsverarbeiter und externen Dienste tatsächlich ein: Stripe (Zahlungsabwicklung, USA/EU, SCC nach Art. 46 DSGVO), der jeweils konfigurierte SMTP-Versand-Dienstleister (Transaktionsmails), Sentry (Fehler-Telemetrie; nur aktiv, wenn SENTRY_DSN gesetzt ist – USA, SCC), Cloudflare Turnstile (Bot-Schutz, nur auf den Anmelde-Formularen), und – sofern der Workspace-Owner sie aktiv verbindet – die Integrationen Wise, Clockify, Toggl, Revolut, Mollie, Lexoffice, Google Drive, Dropbox sowie Bankanbindungen über GoCardless (PSD2). Die jeweils aktuelle technische Übersicht ist im Trust Center dokumentiert; die zugehörige DPA/AVV ist unter /legal/dpa einsehbar. Übermittlungen in Drittländer stützen wir auf Standardvertragsklauseln (SCC) bzw. den EU-US Data Privacy Framework, soweit einschlägig.
Der SaaS-Dienst setzt ausschliesslich technisch notwendige Cookies (z. B. Session-Tokens) und Browser-Storage (z. B. für Sprachwahl und Anzeigewährung). Ein Analytics-, Werbe- oder Session-Replay-Framework ist in der Standard-Auslieferung nicht aktiv. Sentry (Fehler-Telemetrie) wird ausschliesslich aktiviert, wenn der Betreiber das über die Umgebungsvariable SENTRY_DSN konfiguriert hat; in diesem Fall wird der Aktivstatus zusätzlich im Trust Center ausgewiesen. Cloudflare Turnstile wird nur auf Login-/Registrierungsformularen geladen (Bot-/Missbrauchsabwehr, Art. 6 Abs. 1 lit. f DSGVO). Die gepflegte Cookie- und Storage-Übersicht finden Sie im Trust Center.
Refresh-Tokens werden bis zu 30 Tage, Passwort-Reset-Tokens 2 Stunden und E-Mail-Verifizierungs-Tokens 72 Stunden aufbewahrt. Sicherheits- und Audit-Ereignisse niedriger Schwere werden nach 18 Monaten automatisch gelöscht. Sicherheitsereignisse hoher Schwere werden für forensische Zwecke während eines aktiven Accounts aufbewahrt und im Rahmen des Retention-Lifecycles gelöscht, sobald Kontoschliessung und Aufbewahrungsbedingungen erfüllt sind und kein Legal Hold greift. Buchhaltungs- und Rechnungsunterlagen bewahren wir entsprechend den gesetzlichen Aufbewahrungspflichten des jeweiligen Landes auf (in der Regel 10 Jahre, in Österreich regelmässig 7 Jahre). Nach Ablauf der Aufbewahrungspflicht und sofern kein Legal Hold greift, werden die verbleibenden Datensätze endgültig gelöscht. Näheres zum Kontoschliessungs-Prozess siehe Abschnitt 9.
Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Für Schweizer Betroffene gelten die entsprechenden Rechte nach Art. 25 ff. revDSG. Anfragen bearbeiten wir grundsätzlich innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Für Datenzugriff und Datenexport steht zusätzlich ein Self-Service im Konto-Bereich zur Verfügung, insbesondere unter /account/export. Beschwerden können Sie beim EDÖB (Schweiz), beim BfDI oder der jeweils zuständigen Landes-Datenschutzbehörde (Deutschland) oder bei der Österreichischen Datenschutzbehörde (Österreich) einreichen.
Kontara nutzt Automatisierungen zur Unterstützung der Buchhaltung, etwa eine Vorschlagslogik zur Ausgaben-Kategorisierung, eine Zahlungsabgleich-Logik und optionale OCR-Erkennung auf hochgeladenen Belegen. Diese Vorschläge können jederzeit manuell überschrieben werden und stellen keine automatisierte Einzelentscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO dar. Die OCR-Verarbeitung erfolgt standardmässig serverseitig mit Tesseract; bei aktivierten Cloud-Speicher-Integrationen (Google Drive, Dropbox) gelangen die betreffenden Dateien zusätzlich zum gewählten Anbieter, sofern der Workspace-Owner diese Übertragung aktiviert.
Bei einer Kontoschliessung werden persönliche Merkmale (E-Mail, Name, Passwort-Hash, Authenticator-Geheimnisse, Passkey-Credentials, Session-Tokens) anonymisiert, während buchhaltungsrelevante Datensätze für die gesetzliche Aufbewahrungsfrist erhalten bleiben. Nach Ablauf der Frist und sofern kein Legal Hold mehr besteht, werden die verbleibenden Datensätze endgültig gelöscht. Betreiber- und Support-Mitarbeitende des Anbieters können im Rahmen ihrer Admin-Rollen auf Workspaces zugreifen und – ausschliesslich zu Supportzwecken und mit vollständiger Protokollierung – eine zeitlich begrenzte Impersonierung durchführen. Account-Recovery-Eingriffe (z. B. 2FA-Reset oder erneuter Versand von Verifizierungslinks) sind auf berechtigte Admins beschränkt und werden in Security- sowie Admin-Access-Logs protokolliert.
Der Dienst richtet sich ausschliesslich an Unternehmer. Kontara ist nicht für Minderjährige bestimmt und erhebt oder verarbeitet keine personenbezogenen Daten Minderjähriger wissentlich im Rahmen der Account-Anlage.
Eine laufend aktualisierte Übersicht zu Dateninventar, Integrationen, Cookies, Aufbewahrung und Auditierbarkeit findest du im Trust Center.
Trust Center öffnen