Rechtliches
Datenschutzerklärung
Stand: 8. Juni 2026 · Gemäss nDSG (Schweiz) und DSGVO (EU)
1. Verantwortliche Stelle
Verantwortlich für die Datenbearbeitung im Sinne von Art. 5 lit. j nDSG (Schweiz) und Art. 4 Nr. 7 DSGVO (EU) ist:
Adoriac/o CT24 Schweiz
Schweiz
Kontakt: datenschutz@adoria.tech
Da Adoria keine Niederlassung in der EU hat und nicht überwiegend EU-Personen betreibt, ist die Bestellung eines EU-Vertreters (Art. 27 DSGVO) nicht erforderlich. Bei Anfragen aus der EU wenden Sie sich an obige Email-Adresse.
2. Welche Daten wir bearbeiten und warum
Wir bearbeiten die folgenden Kategorien personenbezogener Daten:
2.1 Demo-Anfragen (Landing-Page)
- Name, Email, Firma, optionale Nachricht — eingegeben über das Demo-Formular auf der Startseite
- Browser-Kennung (User-Agent) — wird mit der Anfrage übermittelt und gespeichert, um Spam-/Bot-Anfragen zu erkennen
- IP-Adresse (gehasht) — wir speichern nur einen SHA-256-Hash der IP zur Drosselung (Rate-Limiting), nicht die Roh-IP
Zweck: Beantwortung deiner Anfrage und Demo-Vereinbarung.
Rechtsgrundlage: Art. 31 Abs. 1 nDSG / Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen) sowie lit. f (Missbrauchsschutz).
Aufbewahrung: 24 Monate ab Eingang oder bis du eine Löschung verlangst.
2.2 Login (Magic-Link)
- Email-Adresse — für die Zustellung des Login-Links und die Identifikation deines Kontos
- Verifikations-Tokens — temporäre, kurzlebige Tokens (60 Minuten) zur einmaligen Anmeldung
- Session-Cookie — siehe Abschnitt 3 (Cookies)
Zweck: Authentifizierung und Sitzungsverwaltung.
Rechtsgrundlage: Art. 31 Abs. 1 nDSG / Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Aufbewahrung: Tokens werden nach Gebrauch oder Ablauf gelöscht; die Email-Adresse bleibt für die Dauer der Kundenbeziehung gespeichert.
2.3 Konto- und Audit-Daten
- Organisations- und Benutzerprofil — Name, Email, Rolle, optional Logo
- Google-Ads-Konto-Verknüpfungen — Customer-IDs, MCC-Status, Performance-Metriken (Klicks, Impressionen, Kosten, Conversions)
- Meta-Ads-CSV-Exporte — optional von dir hochgeladen, enthalten Kampagnen-Performance-Daten ohne Klarnamen-Felder
- Audit-Ergebnisse, Empfehlungen, Ausführungen, Rollbacks — automatisch generierte Berichte und deren Statusverlauf
Zweck: Erbringung der vertraglich vereinbarten Audit-, Empfehlungs- und Optimierungsleistungen.
Rechtsgrundlage: Art. 31 Abs. 1 nDSG / Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Aufbewahrung: Für die Dauer der Kundenbeziehung plus 90 Tage (Rollback-Fenster), maximal 10 Jahre für buchhalterisch relevante Daten gemäss Art. 958f OR.
3. Cookies und Tracking
Adoria setzt ausschliesslich funktional notwendige Cookies ein. Wir verzichten bewusst auf Analytics-, Werbe- oder Tracking-Cookies — es ist daher kein Cookie-Banner erforderlich.
| Name | Zweck | Gültigkeit |
|---|---|---|
| next-auth.session-token | Authentifizierte Sitzung (HTTP-only, Secure, SameSite=Lax) | 30 Tage |
| next-auth.csrf-token | CSRF-Schutz für Auth-Endpunkte | Session |
| next-auth.callback-url | Weiterleitungsziel nach Login (verhindert Open-Redirect) | Session |
| NEXT_LOCALE | Sprachpräferenz (next-intl) | 1 Jahr |
Diese Cookies sind technisch zwingend für den Betrieb der Plattform und unterliegen nach Art. 5(3) ePrivacy-Richtlinie keiner Einwilligungspflicht. Du kannst sie über deine Browser-Einstellungen löschen — eine Anmeldung wird danach allerdings nicht mehr möglich sein.
4. Versand und Tracking von Emails
Wir versenden transaktionale Emails (Login-Links, Audit-Ergebnisse, Empfehlungs-Freigaben, Rollback-Bestätigungen) sowie optionale Wochen- Übersichten über den Dienstleister Resend (siehe Abschnitt 5).
Adoria deaktiviert das standardmässige Resend-Open- und Click-Tracking für alle versendeten Emails. Wir setzen keine 1×1-Pixel ein und schreiben keine Links auf einen Tracking-Redirect um. Magic-Link-URLs bleiben unverändert, damit der Login-Token nicht durch Dritte abgreifbar wird.
Jede Marketing-nahe Email (z. B. Wochen-Übersicht) enthält einen One-Click-Unsubscribe gemäss RFC 8058 sowohl als HTTP-Header (List-Unsubscribe) als auch als Link im Mail-Footer. Du kannst zusätzlich alle nicht-zwingenden Benachrichtigungen im Dashboard unter Einstellungen → Benachrichtigungen deaktivieren oder pausieren.
5. Empfänger und Auftragsbearbeiter
Zur Bereitstellung der Plattform setzen wir Auftragsbearbeiter ein, die nach Art. 9 nDSG / Art. 28 DSGVO vertraglich auf Datenschutz verpflichtet sind:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Vercel Inc. | Hosting, Edge-Functions, Datei-Speicher (Vercel Blob) | USA (EU-Datacenter konfiguriert) |
| Neon Inc. | PostgreSQL-Datenbank (Kunden- und Audit-Daten) | EU (Frankfurt) |
| Resend | Email-Versand (transaktional und Reports) | USA / EU |
| Anthropic PBC | AI-gestützte Audit-Auswertung über Vercel AI Gateway (Claude-Modelle). Kein Modell-Training auf deinen Daten. | USA |
| Inngest Inc. | Job-Queue für Audit-, Empfehlungs- und Reporting-Workflows | USA |
| Google LLC | Google-Ads-API-Zugriff zur Lese- und Schreiboperation auf deinem Konto | USA / EU |
Für Übermittlungen in die USA stützen wir uns auf den Swiss-U.S. Data Privacy Framework bzw. das EU-U.S. DPF, sofern der Empfänger zertifiziert ist; andernfalls auf Standardvertragsklauseln nach Art. 17 nDSG / Art. 46 DSGVO und ergänzende technische Massnahmen.
6. Deine Rechte
Als betroffene Person stehen dir nach nDSG (Schweiz) und DSGVO (EU) die folgenden Rechte zu:
- Auskunft über die zu deiner Person bearbeiteten Daten (Art. 25 nDSG / Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 32 Abs. 1 nDSG / Art. 16 DSGVO)
- Löschung deiner Daten — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 32 Abs. 2 nDSG / Art. 17 DSGVO)
- Datenübertragbarkeit in maschinenlesbarem Format (Art. 28 nDSG / Art. 20 DSGVO)
- Widerspruch gegen Bearbeitungen, die auf berechtigtem Interesse beruhen (Art. 30 Abs. 2 nDSG / Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
- Beschwerde beim Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB, edoeb.admin.ch) bzw. bei der in der EU für dich zuständigen Datenschutz-Aufsichtsbehörde
Anfragen sende bitte formlos an datenschutz@adoria.tech. Wir antworten innert 30 Tagen.
7. Datensicherheit
Wir setzen technische und organisatorische Massnahmen zum Schutz deiner Daten ein: Transport-Verschlüsselung (TLS 1.3), verschlüsselte Speicherung (PostgreSQL at-rest encryption), Rollen-basierte Zugriffskontrolle (RBAC), Audit-Logs, automatische Sitzungs-Timeouts, Hash-basiertes IP-Logging, Sicherheits-Reviews bei jedem Release und Multi-Faktor-Authentifizierung für interne Administrator-Zugänge.
8. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich Funktionen, eingesetzte Dienstleister oder rechtliche Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist über diese Seite jederzeit abrufbar. Bei wesentlichen Änderungen informieren wir aktive Nutzer per Email.