Datenschutzerklärung
Verantwortlicher
Brandfusion Burlet (lynox AI)
Neue Jonastrasse 71, 8640 Rapperswil SG, Schweiz
[email protected]
EU-Vertreter (Art. 27 DSGVO)
Wir haben die Prighter Group mit ihren lokalen Partnern als unseren Datenschutzvertreter und Anlaufstelle für die Europäische Union (EU) bestellt.
Prighter bietet dir eine einfache Möglichkeit, deine datenschutzrechtlichen Ansprüche geltend zu machen (z.B. Auskunfts- oder Löschungsanfragen). Wenn du uns über unseren Vertreter Prighter kontaktieren oder deine Betroffenenrechte ausüben möchtest, besuche:
https://app.prighter.com/portal/13646667120
Zusammenfassung
Wir glauben an Transparenz. Hier die Kurzversion:
- lynox als Produkt (@lynox-ai/core) sammelt keine Daten. Es läuft auf deiner Infrastruktur. Wir sehen deine Daten nie.
- lynox.ai die Website nutzt datenschutzfreundliche Analysen (Plausible) und — mit deiner Zustimmung — Cookies zur Anzeigenmessung für Google Ads.
- lynox Managed Hosting benötigt eine E-Mail-Adresse und Zahlung über Stripe. Wir speichern nur, was für den Betrieb deiner Instanz und die Abrechnung nötig ist.
- Wir verkaufen deine Daten nicht. Wir teilen sie nicht mit Dritten, ausser wie unten beschrieben.
1. Website-Analysen (keine Einwilligung nötig)
Wir verwenden Plausible Analytics um zu verstehen, wie Besucher diese Website nutzen. Plausible:
- Setzt keine Cookies
- Sammelt keine personenbezogenen Daten
- Trackt dich nicht über Websites hinweg
- Ist DSGVO-, PECR- und CCPA-konform ohne Einwilligung
Erfasste Daten: Seitenaufrufe, Referrer, Land (aus IP, wird nicht gespeichert), Gerätetyp, Browser. Alle Daten sind aggregiert — einzelne Besucher können nicht identifiziert werden.
2. Anzeigenmessung (Einwilligung erforderlich)
Wenn du Marketing-Cookies über unser Consent-Banner akzeptierst, aktivieren wir:
- Google Consent Mode v2 — signalisiert Google deinen Einwilligungsstatus. Bei Ablehnung erhält Google nur anonyme, cookielose Pings für statistische Modellierung.
- Google Analytics 4 (serverseitig via Measurement Protocol) — hilft uns zu verstehen, welche Marketing-Kanäle zu Anmeldungen führen. Daten werden über unseren eigenen Server (
t.lynox.ai) verarbeitet, bevor sie Google erreichen. - Google Ads Conversion Tracking — misst, ob Anzeigenklicks zu relevanten Aktionen führen (z.B. Kopieren des Install-Befehls, Newsletter-Anmeldung, Kaufabschluss).
Cookies, die mit Einwilligung gesetzt werden können: _gcl_*, _ga_*, _gid.
3. Einwilligungsverwaltung
Wir verwenden Klaro (Open Source, selbst gehostet) als Consent-Manager. Deine Einwilligungsentscheidung wird in einem First-Party-Cookie (lynox_consent) für 365 Tage gespeichert. Du kannst deine Wahl jederzeit ändern, indem du deine Cookies löschst oder im Consent-Banner auf «Einstellungen» klickst.
4. Daten, die wir erfassen
| Daten | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Seitenaufrufe (anonym) | Website-Analysen | Berechtigtes Interesse | Aggregiert, keine personenbezogenen Daten |
| Einwilligungsentscheidung | Präferenz merken | Berechtigtes Interesse | 365 Tage (Cookie) |
| Google Click ID (gclid) | Anzeigen-Conversion-Tracking | Einwilligung | Nur Session |
| UTM-Parameter | Marketing-Attribution | Einwilligung | Nur Session |
| GA4-Events | Marketing-Analysen | Einwilligung | 14 Monate (GA4) |
| E-Mail-Adresse (Newsletter) | Produkt-Updates & Ankündigungen | Einwilligung | Bis zur Abmeldung |
| Name, Firma (Managed Hosting) | Kontoidentifikation, Rechnungsstellung, rechtliche Korrespondenz | Vertrag | Dauer des Abonnements + 120 Tage (siehe AVV) |
| Sanktions-/Embargo-Prüfung (Managed Hosting) | Zur Einhaltung von Sanktionsrecht (a) gleichen wir deinen Namen mit konsolidierten öffentlichen Sanktions-/Embargo-Listen (SECO, EU, UN, OFAC) lokal auf unserer eigenen Infrastruktur ab — dein Name wird an keinen externen Screening-Anbieter übermittelt — wobei ein möglicher Treffer das Konto ausschliesslich zur manuellen Prüfung durch einen Menschen markiert und dich nicht von sich aus blockiert oder eine automatisierte Entscheidung über dich trifft; und (b) verweigern wir mittels einer deterministischen Prüfung die Registrierung, wenn die Rechnungsadresse in einem umfassend sanktionierten Land liegt (Kuba, Iran, Nordkorea, Syrien). | Rechtliche Verpflichtung / berechtigtes Interesse (Sanktions- & Embargorecht) | Eine Prüf-Markierung wird für die Dauer des Abonnements aufbewahrt. |
| E-Mail-Adresse (Managed Hosting) | Authentifizierung, Rechnungsbenachrichtigungen, Support | Vertrag | Dauer des Abonnements + 120 Tage (siehe AVV) |
| Rechnungsadresse (Managed Hosting) | Rechnungsstellung, MwSt-Konformität, Gerichtsstand | Vertrag / Gesetzliche Pflicht | Dauer des Abonnements + 120 Tage (siehe AVV) |
| KI-Kosten pro Lauf (Lauf-ID, Modell, Kosten in Cent) | Budget- & Fair-Use-Durchsetzung (Managed-Tarif) | Vertrag | Dauer des Abonnements + 120 Tage (siehe AVV) |
| Zahlungsinformationen | Abo-Abrechnung | Vertrag | Verwaltet von Stripe (siehe deren Datenschutzerklärung) |
| Karten-Fingerprint (Trial-Missbrauchsabwehr) | Erkennung und Verhinderung, dass dieselbe physische Zahlungskarte mehrere Gratis-Trials startet (Betrugs-/Farming-Abwehr). Ein pseudonymer Einweg-Hash, abgeleitet aus einem von Stripe gelieferten Token; wir sehen oder speichern die Kartennummer nie. | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 Abs. 1 lit. e revDSG) | 24 Monate ab Erhebung, unabhängig von der Konto-Lebensdauer (siehe unten) — erforderlich, damit die Massnahme nach Kontolöschung fortbesteht. |
| Referral-Attribution (werbende Kunden-ID) | Festhalten, welcher Bestandskunde einen Neukunden geworben hat, zur Gutschrift der Empfehlungsprämie. | Vertrag (Art. 6 Abs. 1 lit. b DSGVO / Art. 31 Abs. 2 lit. a revDSG) | Dauer des Abonnements + 120 Tage; als Transaktionsnachweis für die buchhalterisch vorgeschriebene Frist aufbewahrt. |
| Trial-Enddatum & Erinnerungsplan | Erfassung des Trial-Endes und Versand automatischer Erinnerungs-E-Mails (3 und 1 Tag vor Umstellung). | Vertrag / Berechtigtes Interesse (Art. 6 Abs. 1 lit. b/f DSGVO) | Dauer des Abonnements + 120 Tage; Versandprotokolle der Erinnerungen nach 120 Tagen gelöscht. |
| Chatinhalte & angehängte Dateien (Managed Hosting) | KI-Konversation, Agent-Reasoning, Analyse angehängter Dokumente/Bilder | Vertrag | Für die Dauer des aktiven Abonnements aufbewahrt, soweit zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO / Art. 31 Abs. 2 lit. a revDSG — Vertrag); auf Kundenwunsch oder bei Kontoschliessung gelöscht. |
| OAuth-verbundene Mailbox-Inhalte (IMAP) | E-Mail-Triage, Antwortentwürfe, Konversationskontext | Vertrag | Transient (nur aktuelle Konversationsrunde); lokale mail-state.db speichert Message-ID + Ordner-Metadaten, um wiederholtes Abrufen zu vermeiden |
| Google-Kalendereinträge | Terminplanung, zeitbewusster Agent-Kontext | Vertrag | Transient (pro Anfrage gelesen, nicht persistiert) |
Wissensgraph / memory_store abgeleitete Entitäten | Langzeit-Agent-Erinnerung, Thread-übergreifender Recall, semantische Suche | Vertrag | memory_delete deaktiviert die Erinnerung und schliesst sie von jeder Agent-Abfrage aus; die Zeilenlöschung erfolgt im Storage-Wartungszyklus |
| Agent-Aktionsprotokolle / Aktivitäts-Events | Audit-Trail für Tool-Aufrufe (E-Mail-Versand, CRM-Änderung, Drittanbieter-API-Aufruf usw.) | Vertrag / Gesetzliche Pflicht | 365 Tage |
5. Drittanbieter-Dienste
| Dienst | Zweck | Datenstandort | Einwilligung nötig |
|---|---|---|---|
| Cloudflare | Hosting, CDN, DNS, serverseitiges Event-Routing | Global (Edge-Netzwerk) | Nein (essentiell) |
| Plausible Analytics | Anonyme Website-Analysen | EU | Nein |
| Google Analytics 4 | Marketing-Analysen | USA (Google LLC) | Ja |
| Google Ads | Conversion Tracking | USA (Google LLC) | Ja |
| Stripe | Zahlungsabwicklung & Abo-Verwaltung | USA (Stripe Inc) | Nein (essentiell für Abrechnung) |
| Hetzner | Server-Infrastruktur für Managed Hosting | EU (Deutschland) | Nein (essentiell für Hosting) |
| Anthropic, PBC | Primäre KI-Modell-Inferenz (Claude-Modellfamilie — direkte API) | USA | Nein (essentiell für KI-Inferenz) |
| Mistral AI | KI-Modell-Inferenz für Chat, Agent-Workflows, Mail-Triage-Klassifikation und Memory-Konsolidierung (Mistral-Large-Modellfamilie — direkte API). Dient standardmässig als Worker-/Failover-Profil und kann von jeder Kundin und jedem Kunden in den Einstellungen als Hauptanbieter gewählt werden, um die primäre Inferenz innerhalb der EU zu halten. Kein persistenter serverseitiger Cache, keine Verwendung zum Training gemäss Mistral-Bedingungen. | Frankreich (EU) | Nein (essentiell für KI-Inferenz) |
| Brevo (Sendinblue) | E-Mail-Zustellung (SMTP-Relay) und Kontaktlistenverwaltung | EU (Frankreich/Deutschland) | Nein (essentiell für Zustellung) |
| Bugsink (selbst gehostet) | Fehlerberichterstattung (immer aktiv, berechtigtes Interesse) | EU (selbst gehostet auf lynox-Infrastruktur) | Nein (immer aktiv — Art. 6(1)(f) berechtigtes Interesse) |
6. Managed Hosting
Wenn du lynox Managed Hosting kaufst, gelten zusätzliche Datenverarbeitungen:
- Kontodaten — dein Name, deine E-Mail-Adresse, Firma (falls angegeben) und Rechnungsadresse werden beim Checkout erhoben. Verwendet für Authentifizierung (OTP-Verifizierung), Rechnungsstellung, Rechnungsbenachrichtigungen, rechtliche Korrespondenz und Support. Gespeichert in unserer Datenbank auf Hetzner (EU).
- Zahlungsabwicklung — wird vollständig von Stripe übernommen. Wir sehen oder speichern deine Kartennummer nie. Stripe erhebt Zahlungsdaten, Rechnungsadresse und Transaktionsverlauf gemäss ihrer eigenen Datenschutzerklärung.
- Instanz-Bereitstellung — deine Instanz läuft in einem isolierten Container mit eigenem verschlüsseltem Vault und eigener Datenbank auf einem gemeinsam genutzten Tenant-Host bei Hetzner Cloud (Deutschland). Instanz-Metadaten (IP, Tenant-Host, Status) werden in unserer Control-Plane-Datenbank gespeichert. Ein dedizierter Single-Tenant-VPS ist als Enterprise-Upgrade auf Anfrage verfügbar.
- Transaktions-E-Mails — Verifizierungscodes, Onboarding- und Rechnungsbenachrichtigungen werden über Brevo (SMTP-Relay, EU) versendet. Nur deine E-Mail-Adresse wird zu Zustellzwecken an Brevo übermittelt.
- KI-Nutzungsmessung (nur Managed-Tarif) — zur Anwendung deines inkludierten KI-Budgets und der Fair-Use-Richtlinie meldet deine Instanz einen Kosten-Datensatz pro Lauf an unsere Control Plane: eine opake Lauf-Kennung, den Modellnamen und die Kosten in Cent. Es werden keine Prompts, Antworten, Token-Details oder Gesprächsinhalte übermittelt.
- KI-Inferenzanbieter — Gesprächsinhalte werden zur Inferenz an Anthropic (Claude-Modellfamilie, USA) und Mistral AI (Mistral-Large-Modellfamilie, Frankreich/EU) übermittelt. Standardmässig nutzt deine Managed-Instanz Anthropic als Haupt-Inferenzanbieter, wobei Mistral AI als Worker-/Failover-Profil läuft; du kannst Mistral jederzeit in den Einstellungen als Hauptanbieter wählen, um deine primäre Inferenz innerhalb der EU zu halten — eine manuelle Wahl, kein automatischer oder segmentbasierter Standard. Beide Anbieter werden über ihre nativen direkten APIs angesprochen. Weder Anthropic noch Mistral AI nutzen Kundendaten zum Trainieren oder Verbessern ihrer Modelle gemäss den jeweiligen API-Nutzungsbedingungen. Die aktuelle Liste der Unterauftragsverarbeiter findest du im AVV.
- Inhalte & Sicherheit — Gesprächsinhalte auf deiner Managed-Instanz sind noch nicht auf Anwendungsebene verschlüsselt (dies steht auf unserer Sicherheits-Roadmap); der Zugriff ist durch Per-Tenant-Container-Isolation und Betriebssystem-Berechtigungen beschränkt. Wir greifen im Normalbetrieb nicht auf Gesprächsinhalte zu; ein eng begrenzter, ausnahmebasierter Zugriff erfolgt ausschliesslich bei Missbrauchsmeldungen oder rechtlichen Anfragen, und wir lesen oder analysieren deine Gespräche nicht routinemässig. API-Keys und Zugangsdaten werden in einem dedizierten Vault verschlüsselt.
- Conversion-Messung — wenn deine Instanz bereit ist, senden wir ein
purchase-Event an unseren Tracking-Endpunkt (abhängig von deiner Einwilligungsentscheidung). Keine personenbezogenen Daten sind enthalten — nur ein anonymes Event mit einem Conversion-Wert.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Nach Ende deines Abonnements hast du 30 Tage für den Datenexport. Nach Ablauf der Exportfrist werden alle Daten innerhalb von 90 Tagen dauerhaft gelöscht. Details siehe Auftragsverarbeitungsvertrag.
Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
lynox kann in deinem Auftrag Aktionen ausführen (E-Mails senden, CRM-Einträge ändern, Aufgaben planen, Drittanbieter-APIs aufrufen). Diese Aktionen erfolgen auf Basis deiner ausdrücklichen Konfiguration und bleiben unter deiner Kontrolle; wir treffen ohne deine aktive Konfiguration und Prüfung keine ausschliesslich automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung gegenüber betroffenen Personen im Sinne von Art. 22 DSGVO. Du bleibst Verantwortlicher für alle vom Agent ausgelösten Aktionen.
Internationale Datenübermittlungen
Übermittlungen in die USA (z.B. Anthropic, Stripe, Google Analytics, Google Ads) stützen sich auf den Angemessenheitsbeschluss der EU-Kommission unter dem EU-US Data Privacy Framework, soweit der Empfänger zertifiziert ist, sowie auf Standardvertragsklauseln (Modul 2/3, 2021/914) plus zusätzliche Massnahmen (TLS 1.3 bei Übertragung, AES-256-GCM im Ruhezustand, No-Training-Zusagen gemäss den veröffentlichten API-Bedingungen von Anthropic und Mistral (Standard-Policy, kein Opt-out nötig)), wo dies nicht der Fall ist. Eine Kopie ist auf Anfrage unter [email protected] erhältlich.
Für Schweizer betroffene Personen stützen sich US-Übermittlungen an Anthropic, Stripe und Cloudflare auf das Swiss-US Data Privacy Framework oder Standardvertragsklauseln (Anhang IIa). Wenn du über Einstellungen → LLM einen eigenen LLM-Provider anbindest (BYOK) — z. B. OpenAI, einen OpenAI-kompatiblen Endpunkt, Google Vertex AI oder ein selbst gehostetes Modell — erfolgt eine Übermittlung an diesen Anbieter unter deiner eigenen Vereinbarung mit ihm, nicht unter unserer (siehe «Kundenkonfigurierte Endpunkte» in unserem AVV). Die aktuelle Liste der Unterauftragsverarbeiter ist unter /de/unterauftragsverarbeiter/ publiziert.
Trial-Missbrauchsabwehr (Interessenabwägung)
Wenn du einen Gratis-Trial startest, liefert unser Zahlungsdienstleister Stripe einen Karten-Fingerprint — einen unumkehrbaren Einweg-Token, der für dieselbe physische Karte über Versuche hinweg identisch ist, aber nicht in eine Kartennummer rückführbar ist. Wir speichern ausschliesslich einen mit einem geheimen Schlüssel berechneten Hash (HMAC) davon, um zu verhindern, dass dieselbe Karte für mehrere Gratis-Trials genutzt wird.
Zweck / berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO, Art. 31 Abs. 1 lit. e revDSG): Gratis-Trials verursachen reale Kosten (Managed-Infrastruktur plus ein KI-Inferenz-Budget pro Trial). Ohne Schutzmassnahme kann eine Person durch wiederholte Neuregistrierung unbegrenzt Gratis-Trials abschöpfen — eine missbräuchliche Nutzung, die uns zwingen würde, den Gratis-Trial zu streichen oder Preise für ehrliche Kunden zu erhöhen. Die Verhinderung von Trial-Farming ist unser berechtigtes Interesse und liegt im Interesse redlicher Kunden.
Erforderlichkeit: E-Mail und IP lassen sich trivial wechseln; der Karten-Fingerprint ist das einzige Signal, das mehrere Trial-Versuche zuverlässig einer Finanzierungsquelle zuordnet, und er fällt beim Zahlungsdienstleister ohnehin im Abrechnungsverlauf an — es werden keine zusätzlichen Daten von dir erhoben.
Abwägung / minimaler Eingriff: Wir speichern ausschliesslich einen pseudonymen Hash mit geheimem Schlüssel (HMAC), nie die Kartennummer. Wir erstellen keine Profile, kein Scoring, treffen keine automatisierten Entscheidungen mit Rechtswirkung (Art. 22 DSGVO) und geben den Fingerprint an keinen Dritten weiter. Der Hash dient allein einem Gleichheitsabgleich beim Trial-Start. Du kannst jederzeit widersprechen (Art. 21 DSGVO / Art. 30 revDSG) über [email protected]; ein kostenpflichtiges Abo kannst du ohne jeden Fingerprint-Abgleich abschliessen.
7. Newsletter
Wenn du unseren Newsletter abonnierst, erfassen wir deine E-Mail-Adresse und Sprachpräferenz. Diese Daten werden von Brevo (französisches Unternehmen, EU-Server) für den Newsletter-Versand und die Kontaktverwaltung gespeichert. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
- Du kannst dich jederzeit abmelden über den Link in jeder E-Mail.
- Bei Abmeldung wird dein Kontakt als abgemeldet markiert. Für eine vollständige Löschung kontaktiere [email protected].
- Wir geben deine E-Mail-Adresse nicht zu Marketingzwecken an Dritte weiter.
8. Deine Rechte
Gemäss DSGVO (EU) und dem revidierten Schweizer Datenschutzgesetz (revDSG) hast du das Recht auf:
- Auskunft — welche Daten wir über dich haben
- Berichtigung — fehlerhafte Daten korrigieren
- Löschung — Löschung deiner Daten verlangen
- Datenübertragbarkeit — deine Daten in einem strukturierten Format erhalten
- Einschränkung der Bearbeitung — Einschränkung der Verarbeitung deiner Daten verlangen (Art. 18 DSGVO)
- Widerspruch — der Verarbeitung aufgrund unserer berechtigten Interessen oder zu Zwecken der Direktwerbung widersprechen (Art. 21 DSGVO)
- Widerruf der Einwilligung — jederzeit, durch Löschen der Cookies oder über das Consent-Banner
- Beschwerde einreichen — bei deiner zuständigen Datenschutzbehörde
Um eines dieser Rechte auszuüben, kontaktiere [email protected].
9. lynox als Produkt
Die lynox-Software (@lynox-ai/core) läuft vollständig auf deiner eigenen Infrastruktur. Wir haben keinen Zugang zu deinen Daten, Gesprächen, dem Knowledge Graph oder deinen API-Keys. Die Software ruft die API deines konfigurierten KI-Anbieters direkt auf — keine Daten passieren unsere Server.
10. Änderungen
Wir können diese Richtlinie aktualisieren. Wesentliche Änderungen werden mit einem aktualisierten Datum «Letzte Aktualisierung» gekennzeichnet, und sofern rechtlich erforderlich informieren wir dich direkt.