Datenschutzerklärung
Stand: 18. Mai 2026 Status: Entwurf — vor öffentlicher Verwendung juristisch zu prüfen.
1. Verantwortliche Stelle
Verantwortlich für die Datenbearbeitung im Sinne von Art. 5 lit. j nDSG (Schweizer Datenschutzgesetz) sowie — soweit anwendbar — Art. 4 Nr. 7 DSGVO ist:
[Name / Firma einfügen] [Strasse und Hausnummer] [PLZ und Ort], Schweiz E-Mail:
privacy@keeep.ch
Bei Fragen zu Datenschutz oder zur Ausübung Ihrer Rechte können Sie uns jederzeit unter der oben genannten E-Mail-Adresse kontaktieren.
2. Welche Daten wir bearbeiten
2.1 Kontodaten
Beim Erstellen eines Kontos auf docs.keeep.ch oder ai.keeep.ch speichern wir:
- Ihre E-Mail-Adresse
- Ihre bevorzugte Sprache (Deutsch, Französisch, Italienisch, Englisch, Spanisch)
- Eine pseudonyme Einlieferungsadresse für E-Mail-Ingest
(
docs+xxxxxxxx@ingest.keeep.ch) - Erstellungs- und letztes Anmeldedatum
2.2 Authentifizierungsdaten
Für eine sichere Anmeldung speichern wir je nach von Ihnen gewählter Methode:
- Passkeys (WebAuthn): den öffentlichen Schlüssel Ihres Passkeys (niemals den privaten Schlüssel — dieser verlässt Ihr Gerät nie), Zähler für Klonschutz, optionaler Gerätename
- Magic-Link: einmalig verwendbares Token mit 15 Minuten Gültigkeit
- Zwei-Faktor-Authentifizierung (TOTP): verschlüsseltes Authenticator-Secret, optional Recovery-Codes (gehasht)
- Vertraute Geräte: SHA-256-Hash eines per Cookie gespeicherten Tokens, Gültigkeit 90 Tage, jederzeit widerrufbar
- Sitzungen: Sitzungs-Token (httpOnly-Cookie), Gültigkeit 30 Tage rollend
2.3 Dokumente
Wir bearbeiten Dokumente, die Sie aktiv hochladen oder per E-Mail an Ihre persönliche Ingest-Adresse senden:
- Den Datei-Inhalt (PDF, JPG, PNG, HEIC; bis 50 MB pro Datei)
- Aus der OCR-Erkennung extrahierten Volltext
- Per KI extrahierte Metadaten: Kategorie, Absender, Datum, Zusammenfassung, ggf. relevante Beträge
- Vektor-Embeddings (numerische Repräsentation des Inhalts für die semantische Suche)
- Ihre selbst vergebenen Anpassungen (Dateiname, Ordnerpfad)
2.4 KI-Chat
Wenn Sie den KI-Chat auf ai.keeep.ch nutzen, speichern wir:
- Den Verlauf Ihrer Konversationen (Frage und Antwort)
- Den automatisch generierten Titel der Konversation
- Den Zeitstempel der letzten Nachricht
Ihre eigenen Dokumente werden in jeder Antwort als Kontext herangezogen (Retrieval-Augmented Generation). Findet die KI keine passenden Dokumente, antwortet sie ohne Dokumentenbezug.
2.5 E-Mail-Ingest und Whitelist
Wenn Sie den E-Mail-Ingest aktivieren, speichern wir:
- Die E-Mail-Adressen, von denen Sie eingehende E-Mails an Ihre Ingest-Adresse zulassen (Whitelist; leere Liste = Ingest deaktiviert)
- Optionale Labels für jede whitelisted Adresse
2.6 Wissensbasis (KI-Hintergrundwissen)
Im System sind generelle, öffentlich zugängliche Informationen zu Schweizer Recht und Verwaltung gespeichert (z.B. AHV, BAG, EStV). Diese enthalten keine personenbezogenen Daten und werden monatlich aktualisiert.
2.7 Technische Protokolldaten
Zur Sicherheit, Fehlerbehebung und Missbrauchsabwehr verarbeiten wir vorübergehend:
- Ihre IP-Adresse (für Rate-Limiting an den Anmeldeendpunkten, in Redis mit TTL von wenigen Minuten gespeichert)
- HTTP-Logs (Pfad, Statuscode, Zeitstempel) im Backend
- Fehler-Logs bei Ausnahmen
- Anmeldeereignisse (Zeitpunkt, Methode)
Diese Protokolle enthalten keine Dokumentinhalte und werden nicht langfristig archiviert.
2.8 Erinnerungen
Wenn Sie pro Dokument eine Erinnerung setzen, speichern wir den gewünschten Zeitpunkt sowie eine optionale Notiz. Zum gewählten Zeitpunkt senden wir Ihnen eine E-Mail mit Link zum Dokument. Erinnerungen können Sie jederzeit löschen.
3. Zwecke der Datenbearbeitung
Wir bearbeiten Ihre Daten ausschliesslich, um die von Ihnen bestellte Dienstleistung zu erbringen:
| Zweck | Datenkategorien |
|---|---|
| Authentifizierung und Kontoführung | Kontodaten, Auth-Daten, Sitzungen |
| Dokumentenverwaltung (Upload, OCR, KI-Extraktion, Speicherung, Suche) | Dokumente, Embeddings |
| KI-Chat und RAG-gestützte Antworten | KI-Chat, Dokumente |
| E-Mail-Ingest von erlaubten Absendern | Whitelist, eingehende E-Mails |
| Sicherheit (Rate-Limiting, Missbrauchsabwehr) | IP-Adressen, Protokolldaten |
| Erbringung und Fehlerbehebung | alle obigen, im Rahmen des Erforderlichen |
Eine Verwendung Ihrer Dokumente für KI-Training Dritter findet nicht statt. Insbesondere werden Ihre Inhalte nicht zur Verbesserung der Modelle von OpenAI, Anthropic, Google etc. verwendet.
4. Rechtsgrundlagen
Die Datenbearbeitung erfolgt — soweit erforderlich — auf folgender Grundlage:
- Vertragserfüllung (Art. 31 Abs. 2 lit. a nDSG, Art. 6 Abs. 1 lit. b DSGVO): alles, was zur Bereitstellung der Dienstleistung nötig ist
- Berechtigte Interessen (Art. 31 Abs. 2 lit. d nDSG, Art. 6 Abs. 1 lit. f DSGVO): Sicherheit, Missbrauchsabwehr, Rate-Limiting, Fehlerbehebung
- Einwilligung (Art. 6 nDSG, Art. 6 Abs. 1 lit. a DSGVO), wo besondere Datenkategorien oder optionale Funktionen aktiviert werden
Sie können erteilte Einwilligungen jederzeit für die Zukunft widerrufen.
5. Datenweitergabe an Dritte (Auftragsdatenverarbeiter)
Zur technischen Erbringung der Dienstleistung setzen wir folgende Auftragsdatenverarbeiter ein:
5.1 Infomaniak Network SA (Genf, Schweiz)
- VPS-Hosting (
docs.keeep.ch,ai.keeep.ch,api.docs.keeep.ch, Datenbank, Objektspeicher) — Standort: Schweiz - KI-Verarbeitung (Produkt-ID 108656; Modelle Kimi-K2.6, Ministral, Qwen3-Embedding, Qwen3-Reranker) — Standort: Schweiz
- SMTP (
mail.infomaniak.com:587) für ausgehende E-Mails vonnoreply@keeep.ch— Standort: Schweiz
Alle Daten bleiben innerhalb der Schweiz. Infomaniak ist nach Schweizer Recht (insb. nDSG) zur Vertraulichkeit verpflichtet.
5.2 Mailgun Technologies, Inc. (Frankfurt, Deutschland — EU-Region)
- Eingehende E-Mails an
*@ingest.keeep.chwerden über Mailguns EU-Infrastruktur empfangen und per Webhook an unseren Backend weitergeleitet - Mailgun speichert eingehende E-Mails nur kurzzeitig (in der Regel < 24 Stunden) für die Zustellung
- Datenstandort: EU (Frankfurt)
Mailguns Mutterkonzern ist in den USA ansässig. Für die Übermittlung von Daten in Drittländer (insb. USA) gelten EU-Standardvertragsklauseln. Unsere Konfiguration nutzt ausschliesslich die EU-Region.
5.3 Off-Site-Backup
Verschlüsselte Datenbank-Dumps und MinIO-Bucket-Archive werden wöchentlich auf einen lokalen Ordner gepullt, der mit Proton Drive (Proton AG, Genf, Schweiz) synchronisiert wird. Proton ist Schweizer Recht unterstellt; Daten werden in Schweizer Rechenzentren gespeichert.
5.4 Sentry GmbH (Berlin, Deutschland — Cloud-EU-Region Frankfurt)
Für die Fehlerüberwachung im Backend und im Hintergrund-Worker setzen wir
Sentry Cloud EU ein (Hosting in Frankfurt). Sentry erhält ausschliesslich
Stack-Traces, Routenpfade und allgemeine Kontextinformationen — keine
IP-Adressen, keine Nutzerkennungen, keine Dokumenteninhalte
(Einstellung send_default_pii=False). Es werden lediglich 5 % der
erfolgreichen Anfragen als Performance-Spuren übertragen. Sentry GmbH
unterliegt der DSGVO; Datenstandort: EU (Frankfurt).
5.5 Keine Werbe-Tracker oder Analytics-Dienste
Wir setzen keine Tracking-Pixel, Werbenetzwerke, Social-Media-Plugins, Google Analytics oder vergleichbare Dienste ein.
6. Internationale Datenübermittlung
Die Bearbeitung Ihrer Inhaltsdaten erfolgt ausschliesslich in der Schweiz. Eine begrenzte Übermittlung in die EU erfolgt für (a) eingehende E-Mails via Mailgun (Frankfurt) und (b) Fehler-Monitoring via Sentry (Frankfurt). Die Schweiz und die EU-Mitgliedstaaten verfügen über ein vom Bundesrat anerkanntes angemessenes Datenschutzniveau (Art. 16 nDSG).
Sollte sich die technische Konfiguration ändern, aktualisieren wir diese Erklärung entsprechend.
7. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Konto- und Dokumentendaten | bis Sie Ihr Konto löschen |
| Sitzungs-Token | 30 Tage rollend; bei Logout sofort |
| Magic-Link-Token | 15 Minuten; nach Verwendung sofort |
| TOTP-Pre-Auth-Token (Redis) | 5 Minuten |
| Vertrauenswürdige Geräte | 90 Tage rollend; jederzeit widerrufbar |
| Rate-Limit-Counter (Redis) | TTL je Bucket, max. 1 Stunde |
| Mailgun-Webhook-Tokens (Redis, Replay-Schutz) | 5 Minuten |
| On-VPS-Backups (Datenbank-Dumps + MinIO-Bucket-Archive) | nächtlich, 14 Tage rollend |
| Off-Site-Backups (Proton Drive) | wöchentlich, max. 12 Wochen rollend |
| HTTP-Server-Logs | max. 30 Tage |
Wenn Sie Ihr Konto löschen, werden Ihre persönlichen Daten und Dokumente sofort und kaskadierend aus der Live-Datenbank entfernt. Eine Wiederherstellung ist nicht möglich. Backups, die Ihre Daten noch enthalten, laufen innerhalb der oben genannten Frist regulär aus.
8. Ihre Rechte
Nach Schweizer und EU-Recht haben Sie folgende Rechte:
- Auskunft (Art. 25 nDSG, Art. 15 DSGVO): unentgeltlich, in der Regel binnen 30 Tagen
- Berichtigung (Art. 32 nDSG, Art. 16 DSGVO): unrichtige Daten korrigieren
- Löschung (Art. 32 Abs. 2 nDSG, Art. 17 DSGVO): über die Funktion «Konto löschen» im Konto-Bereich selbst auslösbar
- Datenportabilität (Art. 28 nDSG, Art. 20 DSGVO): Export Ihrer Dokumente in einem maschinenlesbaren Format auf Anfrage
- Widerruf der Einwilligung für die Zukunft, soweit eine Bearbeitung auf Einwilligung beruht
- Beschwerde bei der zuständigen Aufsichtsbehörde — in der Schweiz der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)
Um diese Rechte auszuüben, kontaktieren Sie uns unter privacy@keeep.ch.
Wir benötigen ggf. eine Authentifizierung, um Ihre Identität zu verifizieren.
9. Datensicherheit und Zugriff
9.1 Vertrauensmodell — wer kann Ihre Dokumente technisch lesen?
Ihre Dokumente sind nicht Ende-zu-Ende-verschlüsselt. Das gilt für jeden Cloud-Dienst mit KI-Funktionen — Google Drive, Dropbox, iCloud, Notion, OneDrive — und aus demselben technischen Grund: Damit OCR, Kategorisierung, Zusammenfassung, Suche und Chat funktionieren, muss die Software auf den Inhalt zugreifen können.
Konkret bedeutet das:
- Übertragung: TLS 1.2+ für alle Verbindungen.
- Ruhende Speicherung: Auf den verschlüsselten VPS-Festplatten von Infomaniak (Verschlüsselung auf Hypervisor-Ebene).
- KI-Verarbeitung: OCR, Metadaten-Extraktion und Embeddings laufen auf der Schweizer KI-Infrastruktur von Infomaniak. Deren AGB verbieten ein Training auf Kundendaten sowie eine Speicherung über die Diensterbringung hinaus.
- Datenbank: Extrahierter OCR-Text, Metadaten und Embeddings liegen im Klartext in Postgres — andernfalls würde keine Suche funktionieren.
Wer hat technischen Zugriff auf Ihre Dateien:
| Akteur | Technischer Zugriff | Vertraglich erlaubt |
|---|---|---|
| Sie selbst | Ja | – |
| Andere keeep-Nutzer:innen | Nein (strikte Trennung pro Benutzer in der DB) | Nein |
| Infomaniak (Hosting + KI) | Ja | Nein — Schweizer nDSG + AGB von Infomaniak |
| keeep-Betreiber (Admin-Zugang zum VPS) | Ja | Nein — siehe diese Datenschutzerklärung |
| Werbenetzwerke, Tracker, Analyse-Dienste | Nein — wir nutzen keine | – |
Wenn Sie echte Ende-zu-Ende-Verschlüsselung benötigen, bei der weder ein KI-Anbieter noch der Diensteanbieter technisch auf Ihre Dateien zugreifen kann, ist das technisch unvereinbar mit den KI-Funktionen von keeep. In diesem Fall empfehlen wir einen reinen Dateispeicher ohne KI-Verarbeitung.
9.2 Technische Massnahmen
- Transportverschlüsselung: TLS 1.2+ via Let's Encrypt für alle Verbindungen
- Authentifizierung: Passkeys (WebAuthn), optional Zwei-Faktor (TOTP)
- Speicherung: Sitzungs-Tokens als httpOnly-Cookies, sensible Werte (Recovery-Codes, Trusted-Device-Tokens) als Hashes
- Webhook-Sicherheit: HMAC-SHA256-Signaturprüfung und Token-Replay-Schutz für eingehende E-Mails
- Rate-Limiting: an allen Anmeldeendpunkten zur Brute-Force-Abwehr
- Trennung der Berechtigungen: Datenbanken pro Benutzer durch
user_id-Filter strikt isoliert - Fehler-Monitoring: Sentry (EU-Region Frankfurt) erhält Stack-Traces
und Routen — keine IP-Adressen, keine Nutzerkennungen, keine
Dokumenteninhalte (
send_default_pii=False) - Off-Site-Backups: Datenbank-Dumps + verschlüsselte MinIO-Bucket- Archive, wöchentlich ausserhalb des VPS gesichert
9.3 Signierte Download-Links in E-Mail-Antworten
Wenn unsere KI auf eine eingehende E-Mail-Anfrage antwortet — sei es eine Q&A-Antwort mit Quellenverweisen auf zitierte Dokumente oder ein direkt angefordertes Dokument — enthält die Antwort zeitlich begrenzte, signierte Download-Links auf die referenzierten Dateien. Diese Links funktionieren wie folgt:
- Wer kann sie öffnen: Jede Person, die den Link kennt, ohne vorherigen Login in keeep — vergleichbar mit der «Jeder mit dem Link»- Freigabe bei Google Drive, Dropbox oder Notion.
- Gültigkeitsdauer: 1 Stunde bei direkten Datei-Anfragen («schick mir
die Helsana-Rechnung»), 24 Stunden bei Quellenverweisen in Q&A-Antworten.
Nach Ablauf gibt der Server
404 Not Foundzurück. - Erratbarkeit: Der Link enthält ein HMAC-SHA256-signiertes Token (256 Bit Geheimnis) — er ist nicht zu erraten oder per Brute Force angreifbar.
- Übertragung: Die E-Mails werden über TLS-erzwungene Kanäle
ausgeliefert (MTA-STS «enforce»-Modus auf
ingest.keeep.ch); ein Lauschangriff im Transit ist nicht möglich. - Auslöse-Schutz: Nur Absender auf Ihrer eigenen Whitelist können überhaupt eine E-Mail-Antwort und damit einen Download-Link auslösen.
Was das praktisch bedeutet: Wenn Sie die Antwort-E-Mail weiterleiten
oder Ihr E-Mail-Postfach kompromittiert wird, kann jede Person mit Zugriff
auf den Link innerhalb der oben genannten Frist die referenzierten Dateien
herunterladen. Dies ist eine bewusste Abwägung zwischen Sicherheit und
Benutzerfreundlichkeit (Klick auf jedem Gerät, ohne Login-Umweg) und
entspricht dem branchenüblichen Standard für solche Funktionen. Wenn Sie
eine strengere Variante wünschen (z.B. erzwungener Login vor jedem
Download), kontaktieren Sie uns unter privacy@keeep.ch.
10. Cookies und ähnliche Technologien
Wir verwenden ausschliesslich technisch notwendige Cookies — keine Tracking- oder Werbe-Cookies:
| Cookie | Zweck | Lebensdauer |
|---|---|---|
session_token | Anmelde-Sitzung | 30 Tage rollend |
trusted_device | 2FA-Überspringen auf vertrauten Geräten | 90 Tage |
locale | Spracheinstellung (DE/FR/IT/EN/ES) | 1 Jahr |
| WebAuthn challenge (intern) | sicherer Passkey-Login | Sitzungsdauer |
Eine Einwilligung nach Cookie-Recht (z.B. ePrivacy / TTDSG) ist nicht erforderlich, da alle Cookies für die ausdrücklich vom Nutzer angeforderte Dienstleistung zwingend notwendig sind.
11. Änderungen dieser Datenschutzerklärung
Diese Erklärung kann sich ändern, insbesondere wenn neue Funktionen hinzukommen oder sich die rechtlichen Rahmenbedingungen ändern. Wesentliche Änderungen, die Ihre Rechte betreffen, kündigen wir per E-Mail und in der Anwendung an.
Die jeweils aktuelle Version ist unter docs.keeep.ch/datenschutz abrufbar.
12. Kontakt
Fragen, Auskunftsbegehren oder Beschwerden:
E-Mail:
privacy@keeep.chPost: [Adresse einfügen]
Wir antworten in der Regel innerhalb von 14 Tagen.