Datenschutzerklärung

Gültig ab: April 2026 — Verantwortlich für diese Seite: groal.ch

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und des revDSG ist:

Alain Grossenbacher
Schweiz
E-Mail: info@groal.ch

Ein Datenschutzbeauftragter ist für diese Organisation nicht gesetzlich vorgeschrieben und wurde nicht bestellt.

2. Überblick der Verarbeitungen

groal.ch ist ein internes Tool-Portal, das registrierten Benutzern nach Authentifizierung Zugang zu internen Berechnungstools gewährt. Die Verarbeitung personenbezogener Daten beschränkt sich ausschliesslich auf das, was für diesen Zweck technisch erforderlich ist.

3. Verarbeitete Datenkategorien, Zwecke und Rechtsgrundlagen

3.1 Kontodaten

Beim Anlegen eines Benutzerkontos werden folgende Daten gespeichert:

  • Benutzername
  • E-Mail-Adresse
  • Passwort-Hash (Argon2, kein Klartext-Passwort wird gespeichert)
  • Erstellungsdatum des Kontos
  • Datum der letzten Anmeldung

Zweck: Authentifizierung und Zugangskontrolle.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Massnahmen).

3.2 Zwei-Faktor-Authentifizierung (2FA)

Bei aktivierter Zwei-Faktor-Authentifizierung wird ein TOTP-Secret gespeichert. Das Secret wird verschlüsselt in der Datenbank abgelegt (AES-256-GCM).

Zweck: Erhöhter Schutz des Benutzerkontos gegen unbefugten Zugriff.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie berechtigtes Interesse an der Sicherheit der Plattform (Art. 6 Abs. 1 lit. f DSGVO).

3.3 Berechtigungen

Jedem Benutzerkonto werden Zugriffsrechte auf bestimmte Tools zugewiesen. Diese Zuordnung wird in der Datenbank gespeichert.

Zweck: Zugangskontrolle und Autorisierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.4 Session-Cookie (JWT)

Nach der Anmeldung wird ein signiertes Session-Cookie gesetzt (authjs.session-token / __Secure-authjs.session-token). Dieses Cookie enthält einen signierten JSON Web Token (JWT) und ist technisch notwendig für den Betrieb des Portals. Es werden keine Tracking- oder Werbe-Cookies verwendet.

  • Laufzeit: 30 Tage (oder bis zum Logout)
  • Art: HttpOnly, SameSite=Lax, Secure (in Produktion)

Zweck: Aufrechterhaltung der Anmeldesitzung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 IP-Adressen (Rate-Limiting)

Zur Abwehr von Brute-Force-Angriffen werden IP-Adressen temporär im Arbeitsspeicher des Servers gespeichert. Es werden keine IP-Adressen dauerhaft in einer Datenbank persistiert.

Zweck: Schutz vor unbefugtem Zugriff und Absicherung der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit).

3.6 Server-Logs

Administrative Aktionen (z.B. Anlegen/Löschen von Benutzern oder Tools) werden als strukturierte Log-Einträge gespeichert. Diese können Benutzernamen und Zeitstempel enthalten.

Zweck: Nachvollziehbarkeit von Änderungen und IT-Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Logs werden regelmässig gelöscht; die genaue Aufbewahrungsdauer richtet sich nach dem Hosting-Betrieb.

4. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Soweit wir uns auf berechtigte Interessen berufen, bestehen diese in:

  • Schutz der Plattform vor Missbrauch und Angreifern (Rate-Limiting, Security-Logs)
  • Sicherstellung des sicheren Betriebs der internen Tools

Eine Interessenabwägung hat ergeben, dass die berechtigten Interessen das Interesse der Betroffenen an einer Nichtverarbeitung überwiegen, da die Verarbeitung minimal und sicherheitsbegründet ist.

5. Empfänger und Weitergabe an Dritte

Personenbezogene Daten werden grundsätzlich nicht an Dritte weitergegeben.

Sub-Applikationen auf Subdomains: Die internen Tools (z.B. unter schallberechnung.groal.ch) erhalten bei Aufruf durch einen eingeloggten Benutzer eine Bestätigung der Sitzungsgültigkeit sowie die zugehörigen Zugriffsrechte (Benutzername, Berechtigungs-Slugs). Dies erfolgt über einen internen API-Aufruf zwischen den Systemen; es werden keine Daten an externe Dritte übermittelt.

Hosting-Provider: Der technische Betrieb erfolgt über einen Hosting-Dienstleister in der Schweiz bzw. dem EWR. Mit diesem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) gemäss Art. 28 DSGVO.

6. Übermittlung in Drittländer

Aktuell findet keine Übermittlung personenbezogener Daten in Länder ausserhalb der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Sofern der Hosting-Provider seinen Sitz ausserhalb des EWR hat, wird dies separat kommuniziert und durch geeignete Garantien abgesichert (z.B. EU-Standardvertragsklauseln).

7. Speicherdauer

DatenkategorieSpeicherdauer
Kontodaten (E-Mail, Passwort-Hash, Berechtigungen)Bis zur Kontolöschung durch den Benutzer oder Administrator
2FA-Secret (verschlüsselt)Bis zur Deaktivierung der 2FA oder Kontolöschung
Session-Cookie (JWT)30 Tage oder bis zum Logout
IP-Adressen (Rate-Limiting)15 Minuten (nur im Arbeitsspeicher, nicht persistent)
Server-LogsRegelmässige Löschung gemäss Hosting-Betrieb

8. Betroffenenrechte

Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO / Art. 25 revDSG): Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen. Eingeloggte Benutzer können ihre Daten direkt unter Mein Konto → Daten exportieren herunterladen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. Die E-Mail-Adresse kann über den Administrator geändert werden.
  • Recht auf Löschung (Art. 17 DSGVO / Art. 32 revDSG): Sie können die Löschung Ihrer Daten verlangen. Eingeloggte Benutzer können ihr Konto selbst unter Mein Konto → Konto löschen unwiderruflich löschen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON) unter Mein Konto herunterladen.
  • Recht auf Widerspruch (Art. 21 DSGVO): Soweit wir Ihre Daten auf Grundlage berechtigter Interessen verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@groal.ch

9. Widerrufsrecht (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmässigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Hinweis: Bei groal.ch werden keine Daten auf Basis einer Einwilligung verarbeitet. Die Verarbeitung stützt sich ausschliesslich auf Art. 6 Abs. 1 lit. b und lit. f DSGVO.

10. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, bei einer Datenschutz-Aufsichtsbehörde Beschwerde einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO oder das revDSG verstösst.

Für Personen mit Wohnsitz in der Schweiz:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern
www.edoeb.admin.ch

Für Personen mit Wohnsitz in der EU:
Die zuständige Datenschutzbehörde des EU-Mitgliedstaats Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmasslichen Verstosses. Eine Liste der EU-Datenschutzbehörden finden Sie unter: edpb.europa.eu

11. Pflicht zur Datensangabe

Die Bereitstellung Ihrer E-Mail-Adresse und eines Benutzernamens ist Voraussetzung für die Nutzung des Portals (Vertragserfüllung). Ohne diese Angaben kann kein Benutzerkonto angelegt werden und der Zugang zu den Tools ist nicht möglich.

Die Angabe einer Telefonnummer oder anderer Daten ist nicht erforderlich und wird nicht erhoben.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei Änderungen der Plattform oder der Rechtslage. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.