Datenschutzerklärung
Stand: 2. Juni 2026 Status: Entwurf — vor öffentlicher Verwendung juristisch zu prüfen.
1. Verantwortliche Stelle
Verantwortlich für die Datenbearbeitung im Sinne von Art. 5 lit. j nDSG (Schweizer Datenschutzgesetz) sowie — soweit anwendbar — Art. 4 Nr. 7 DSGVO ist:
Sneks AG Churerstrasse 176, 6300 Zug, Schweiz E-Mail:
privacy@keeep.ch
2. Welche Daten wir bearbeiten
2.1 Kontodaten
Beim Erstellen eines Kontos speichern wir:
- Ihre E-Mail-Adresse
- Ihre bevorzugte Sprache (Deutsch, Französisch, Italienisch, Englisch, Spanisch, Niederländisch)
- Eine pseudonyme Einlieferungsadresse für E-Mail-Ingest (
docs+xxxxxxxx@ingest.keeep.ch) - Erstellungs- und letztes Anmeldedatum
2.2 Authentifizierungsdaten
Je nach gewählter Anmeldemethode speichern wir:
- Passkeys (WebAuthn): öffentlicher Schlüssel, Zähler für Klonschutz, optionaler Gerätename
- Magic-Link: einmalig verwendbares Token mit kurzer Gültigkeitsdauer
- Zwei-Faktor-Authentifizierung (TOTP): verschlüsseltes Authenticator-Secret, optional Recovery-Codes (gehasht)
- Vertraute Geräte: Hash eines Tokens, Gültigkeit 90 Tage, jederzeit widerrufbar
- Sitzungen: httpOnly-Cookie-Token, Gültigkeit 30 Tage rollend
2.3 Dokumente
Wir bearbeiten Dokumente, die Sie hochladen oder per E-Mail einsenden:
- Datei-Inhalt (PDF, JPG, PNG, HEIC; bis 50 MB pro Datei)
- Per OCR extrahierter Volltext
- Per KI extrahierte Metadaten: Kategorie, Absender, Datum, Zusammenfassung, ggf. relevante Beträge
- Vektor-Embeddings für die semantische Suche
- Ihre eigenen Anpassungen (Dateiname, Ordnerpfad)
2.4 KI-Chat
Wenn Sie den KI-Chat nutzen, speichern wir den Verlauf Ihrer Konversationen (Frage, Antwort, Titel, Zeitstempel). Ihre Dokumente werden bei jeder Antwort als Kontext herangezogen.
2.5 E-Mail-Ingest
Wenn Sie den E-Mail-Ingest nutzen, speichern wir die E-Mail-Adressen, von denen Sie Nachrichten erlauben (Whitelist), sowie optionale Labels.
2.6 Wissensbasis
Das System enthält allgemeine, öffentlich zugängliche Informationen zu Schweizer Recht und Verwaltung (z. B. AHV, EStV). Diese enthalten keine personenbezogenen Daten.
2.7 Technische Protokolldaten
Zur Sicherheit und Fehlerbehebung verarbeiten wir vorübergehend IP-Adressen (für Rate-Limiting), HTTP-Logs sowie Fehler-Logs. Diese enthalten keine Dokumentinhalte und werden nicht langfristig archiviert.
2.8 Erinnerungen
Wenn Sie eine Erinnerung für ein Dokument setzen, speichern wir den gewünschten Zeitpunkt und eine optionale Notiz. Zum gewählten Zeitpunkt senden wir Ihnen eine E-Mail mit Link zum Dokument.
3. Zwecke der Datenbearbeitung
Wir bearbeiten Ihre Daten ausschliesslich zur Erbringung der von Ihnen bestellten Dienstleistung: Authentifizierung, Dokumentenverwaltung, KI-Chat, E-Mail-Ingest, Sicherheit und Fehlerbehebung.
Eine Verwendung Ihrer Daten für KI-Training Dritter findet nicht statt.
4. Rechtsgrundlagen
- Vertragserfüllung (Art. 31 Abs. 2 lit. a nDSG / Art. 6 Abs. 1 lit. b DSGVO)
- Berechtigte Interessen (Art. 31 Abs. 2 lit. d nDSG / Art. 6 Abs. 1 lit. f DSGVO): Sicherheit, Missbrauchsabwehr, Fehlerbehebung
- Einwilligung (Art. 6 nDSG / Art. 6 Abs. 1 lit. a DSGVO) für optionale Funktionen
Sie können erteilte Einwilligungen jederzeit für die Zukunft widerrufen.
5. Datenweitergabe an Dritte
5.1 Infomaniak Network SA (Genf, Schweiz)
- VPS-Hosting, Datenbank und Objektspeicher — Standort: Schweiz
- KI-Verarbeitung (Sprachmodelle für Extraktion, Chat und Suche) — Standort: Schweiz
Alle Inhaltsdaten verbleiben in der Schweiz. Infomaniak ist vertraglich zur Vertraulichkeit verpflichtet und darf Kundendaten nicht für das Training eigener oder fremder Modelle verwenden.
5.2 Mailgun Technologies (Frankfurt, Deutschland — EU-Region)
Eingehende E-Mails an *@ingest.keeep.ch werden über Mailguns
EU-Infrastruktur empfangen und per Webhook weitergeleitet. Mailgun
speichert eingehende E-Mails nur kurzzeitig für die Zustellung.
Für die Übermittlung in die EU gelten EU-Standardvertragsklauseln. Wir nutzen ausschliesslich die EU-Region.
5.3 Off-Site-Backup
Verschlüsselte Datenbank-Dumps werden täglich auf einen lokalen Ordner gepullt und mit Proton Drive (Proton AG, Genf, Schweiz) synchronisiert. Die Daten bleiben in Schweizer Rechenzentren.
5.4 Sentry (Berlin, Deutschland — Cloud-EU-Region Frankfurt)
Für das Fehler-Monitoring erhält Sentry ausschliesslich Stack-Traces und Routenpfade — keine IP-Adressen, keine Nutzerkennungen, keine Dokumenteninhalte. Datenstandort: EU (Frankfurt).
5.5 Keine Werbe-Tracker oder Analytics
Wir setzen keine Tracking-Pixel, Werbenetzwerke, Social-Media-Plugins oder Analytics-Dienste ein.
6. Internationale Datenübermittlung
Inhaltsdaten werden ausschliesslich in der Schweiz bearbeitet. Eine begrenzte Übermittlung in die EU erfolgt für eingehende E-Mails (Mailgun, Frankfurt) und Fehler-Monitoring (Sentry, Frankfurt). Die Schweiz verfügt über ein vom Bundesrat anerkanntes angemessenes Datenschutzniveau.
7. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Konto- und Dokumentendaten | bis Sie Ihr Konto löschen |
| Sitzungs-Token | 30 Tage rollend; bei Logout sofort |
| Vertraute Geräte | 90 Tage rollend; jederzeit widerrufbar |
| On-VPS-Backups | nächtlich, 14 Tage rollend |
| Off-Site-Backups (Proton Drive) | täglich, max. 12 Wochen rollend |
| Server-Logs | max. 30 Tage |
Wenn Sie Ihr Konto löschen, werden Ihre Daten und Dokumente sofort und kaskadierend aus der Live-Datenbank entfernt. Eine Wiederherstellung ist nicht möglich.
8. Ihre Rechte
Nach Schweizer und EU-Recht haben Sie das Recht auf:
- Auskunft — unentgeltlich, in der Regel innert 30 Tagen
- Berichtigung unrichtiger Daten
- Löschung — über «Konto löschen» im Konto-Bereich selbst auslösbar
- Datenportabilität — Export Ihrer Dokumente auf Anfrage
- Widerruf einer Einwilligung für die Zukunft
- Beschwerde beim EDÖB (Schweiz) oder einer zuständigen EU-Aufsichtsbehörde
Kontakt: privacy@keeep.ch
9. Datensicherheit
9.1 Vertrauensmodell
Ihre Dokumente sind nicht Ende-zu-Ende-verschlüsselt — das gilt für jeden Cloud-Dienst mit KI-Funktionen, weil OCR, Suche und Chat Zugriff auf den Inhalt benötigen.
Wir haben jedoch die Verschlüsselungsgrenze so gelegt, dass unser Infrastrukturanbieter die sicherheitsrelevanten Schichten nur als Chiffrat sieht:
- Originaldateien im Objektspeicher: AES-256-GCM mit pro-Dokument-Schlüsseln, die durch einen von keeep verwalteten Master-Schlüssel gesichert sind. Der Speicheranbieter sieht nur Chiffrat.
- Datenbank-Backups: Vor dem Schreiben auf die Festplatte verschlüsselt. Der private Schlüssel liegt ausserhalb des Servers; auch der Anbieter kann die Backups nicht entschlüsseln.
- KI-Verarbeitung: Läuft auf Schweizer Servern. Der Anbieter ist vertraglich verpflichtet, Kundendaten nicht für Training zu verwenden.
- Sensitive Datenbankfelder (OCR-Text, Zusammenfassungen, Chat-Verlauf, Beträge): Mit AES-256-GCM unter einem separaten keeep-Schlüssel verschlüsselt.
- Metadaten und Embeddings (Dateiname, Absender, Kategorie): Aus funktionalen Gründen unverschlüsselt — für Anzeige, Filterung und semantische Suche erforderlich.
Wer kann technisch auf Ihre Daten zugreifen:
| Akteur | Zugriff |
|---|---|
| Sie selbst | Ja — via UI |
| Andere keeep-Nutzer:innen | Nein — strikte Trennung |
| Infrastrukturanbieter (Speicher, Backup) | Nein — nur Chiffrat |
| Infrastrukturanbieter (Hypervisor) | Theoretisch auf Metadaten und Embeddings; sensitive Spalten nur über den auf dem VPS liegenden Schlüssel |
| keeep-Betreiber | Ja — zur Diensterbringung und Wartung |
| Werbenetzwerke / Tracker | Nein — wir nutzen keine |
Wenn Sie echte Ende-zu-Ende-Verschlüsselung benötigen, ist das technisch unvereinbar mit KI-Funktionen. In diesem Fall empfehlen wir einen reinen Dateispeicher ohne KI-Verarbeitung.
9.2 Technische Massnahmen
- TLS 1.2+ für alle Verbindungen
- Passkeys (WebAuthn), optional TOTP-Zwei-Faktor
- httpOnly-Cookies für Sitzungs-Tokens
- Rate-Limiting an Anmeldeendpunkten
- Strikte Datentrennung per
user_id - HMAC-gesicherte Webhooks für E-Mail-Ingest
- Fehler-Monitoring ohne personenbezogene Daten
9.3 Download-Links per E-Mail
Wenn Sie Dokumente per E-Mail an Ihre Ingest-Adresse anfordern, enthält unsere Antwort zeitlich begrenzte Download-Links. Jeder Link trägt ein kryptografisch signiertes, ablaufendes Token; wer den Link besitzt, kann die betreffende Datei bis zum Ablauf ohne Anmeldung abrufen — leiten Sie solche Links daher nicht weiter.
10. Cookies
Wir verwenden ausschliesslich technisch notwendige Cookies:
| Cookie | Zweck | Lebensdauer |
|---|---|---|
session_token | Anmelde-Sitzung | 30 Tage rollend |
keeep_auth | Anmeldestatus-Hinweis für Weiterleitung | Sitzungsdauer |
trusted_device | 2FA-Überspringen auf vertrauten Geräten | 90 Tage |
locale | Spracheinstellung | 1 Jahr |
Eine Cookie-Einwilligung ist nicht erforderlich, da alle Cookies für die vom Nutzer angeforderte Dienstleistung technisch notwendig sind.
11. Änderungen
Wesentliche Änderungen kündigen wir per E-Mail und in der Anwendung an.
Die aktuelle Version ist unter docs.keeep.ch/privacy abrufbar.
12. Kontakt
E-Mail: privacy@keeep.ch
Post: Sneks AG, Churerstrasse 176, 6300 Zug
Wir antworten in der Regel innert 14 Tagen.