Datenschutzerklärung — Schweizerisches Bundesgesetz über den Datenschutz (nDSG/DSG)
Sarama CRM-Plattform
Verantwortliche: Angad Manik Beratung für Strategie und Projekte, Rebgasse 53, 4058 Basel, Schweiz
Datenschutz-Kontakt: Angad Bank (ehemals Manik), impact@angad.swiss
Plattform: sarama.angad.swiss
Stand: 28. März 2026
1. Einleitung
Diese Datenschutzerklärung informiert Sie gemäss dem Schweizerischen Bundesgesetz über den Datenschutz (DSG, SR 235.1, revidierte Fassung in Kraft seit 1. September 2023, «nDSG») und der Verordnung über den Datenschutz (DSV, SR 235.11) darüber, wie die Angad Manik Beratung für Strategie und Projekte («wir», «Verantwortliche») Ihre Personendaten im Zusammenhang mit der Sarama CRM-Plattform («Plattform») bearbeitet.
Wir handeln in zwei Funktionen:
- Verantwortliche für Konto-, Nutzer- und Abrechnungsdaten;
- Auftragsbearbeiterin für Personendaten, die unsere Kunden auf die Plattform hochladen (Kontakte, Formulareingaben, E-Mail-Inhalte), wobei der Kunde als Verantwortlicher handelt.
2. Kontakt der Verantwortlichen
Angad Manik Beratung für Strategie und Projekte
Angad Bank (ehemals Manik)
Rebgasse 53, 4058 Basel, Schweiz
E-Mail: impact@angad.swiss
3. Bearbeitete Personendaten
3.1 Konto- und Authentifizierungsdaten
- E-Mail-Adresse (OTP-Anmeldung, keine Passwörter)
- Benutzer-ID
- Organisationszugehörigkeit und Rollen
3.2 Abrechnungsdaten (über Stripe)
- Zahlungsinformationen
- Transaktionshistorie
- Guthaben (Credit-System)
3.3 Vom Kunden hochgeladene Daten (wir als Auftragsbearbeiterin)
- Kontaktdaten (Name, E-Mail, Telefon, Adresse, Beruf, Firma, Social-Media-Links, Geburtsdatum, benutzerdefinierte Felder)
- Unternehmensdaten
- Deal- und Vertriebsdaten
- E-Mail-Inhalte (über Integration)
- Formulareingaben (alle Felddaten, UTM-Parameter, Referrer, URL)
- Kalendereinträge
- Workflow-Konfigurationen
3.4 Tracking-Daten
- IP-Adresse (bei E-Mail-Öffnungen und -Klicks)
- User-Agent (bei E-Mail-Tracking und Formulareingaben)
- Klick-URLs
- Formulareingabe-Metadaten (IP, User-Agent, Referrer)
3.5 KI- und Chat-Daten
- Konversationsnachrichten
- API-Schlüssel für KI-Anbieter (verschlüsselt)
3.6 Integrations-Zugangsdaten
- OAuth-Tokens (Gmail, Outlook, Kalender) — verschlüsselt
- IMAP/SMTP-Zugangsdaten — verschlüsselt
3.7 Audit-Daten
- Protokolleinträge (Benutzer-ID, Aktion, Ressource, Zeitstempel)
4. Daten, die wir NICHT bearbeiten
- Passwörter (OTP-basierte Authentifizierung)
- Eigene Tracking-Cookies über die nachstehend offengelegten hinaus (Google Analytics und Cloudflare Turnstile setzen Cookies wie in Abschnitt 6 beschrieben)
- Drittanbieter-Analysen (kein Google Analytics, Meta Pixel o.ä.)
- Gerätefingerabdrücke
- Präzise Standortdaten
- Biometrische Daten
- Besonders schützenswerte Personendaten im Sinne von Art. 5 lit. c nDSG
5. Zweck und Rechtsgrundlage der Bearbeitung
| Zweck | Rechtsgrundlage (nDSG) |
|---|---|
| Vertragserfüllung (Kontoverwaltung, Plattformzugang) | Art. 31 Abs. 2 lit. a nDSG — Vertragserfüllung |
| Abrechnung und Zahlung | Art. 31 Abs. 2 lit. a nDSG — Vertragserfüllung |
| Sicherheit (Audit-Logs, Betrugsprävention) | Überwiegendes Interesse (Art. 31 Abs. 1 nDSG) |
| Auftragsbearbeitung (Kundendaten) | Vertrag mit dem Kunden (Art. 9 nDSG) |
| Gesetzliche Pflichten (Buchführung) | Art. 31 Abs. 2 lit. b nDSG — gesetzliche Pflicht |
| E-Mail-Tracking (im Auftrag des Kunden) | Überwiegendes Interesse des Kunden / Einwilligung der Empfänger |
Hinweis zum nDSG: Das nDSG kennt keinen Einwilligungsvorbehalt wie die DSGVO. Die Bearbeitung ist grundsätzlich zulässig, sofern die Bearbeitungsgrundsätze (Art. 6 nDSG) eingehalten werden und keine Persönlichkeitsverletzung vorliegt. Eine Einwilligung ist nur bei besonders schützenswerten Personendaten oder Profiling mit hohem Risiko erforderlich.
6. Empfänger und Auftragsbearbeiter
| Empfänger | Dienst | Standort | Daten | Schutzmassnahmen |
|---|---|---|---|---|
| Supabase (AWS) | Datenbank, Auth, Speicher | Zürich, Schweiz | Alle Plattformdaten | Daten in der Schweiz |
| Stripe | Zahlungsabwicklung | USA | Abrechnungsdaten | Angemessenheitsbeschluss (Art. 16 Abs. 1 nDSG), Standardvertragsklauseln |
| Anthropic | KI-Modelle (Claude) | USA | Chat-Nachrichten (über Kunden-API-Keys) | Standardvertragsklauseln, kundeninitiiert |
| OpenAI | KI-Modelle (GPT) | USA | Chat-Nachrichten (über Kunden-API-Keys) | Standardvertragsklauseln, kundeninitiiert |
| KI-Modelle (Gemini) | USA/EU | Chat-Nachrichten (über Kunden-API-Keys) | Standardvertragsklauseln, kundeninitiiert | |
| Gmail / Outlook API | E-Mail-Synchronisation | USA | E-Mail-Inhalte (über Kunden-OAuth) | Kundeninitiiert |
| Google (Analytics) | Webseiten-Nutzungsanalyse | USA/EU | Seitenaufrufe, Sitzungsdauer, Gerätedaten, IP-Adresse (anonymisiert), Cookies (_ga, _gid) | Standardvertragsklauseln; nur aktiv bei Einwilligung des Nutzers |
| Cloudflare (Turnstile) | CAPTCHA / Bot-Schutz | USA/EU | IP-Adresse, Browser-Attribute, Cookies | Standardvertragsklauseln |
| Microsoft (Entra ID) | OAuth-Authentifizierung (optional) | USA/EU | E-Mail, Name, Konto-ID | Standardvertragsklauseln |
| Google (OAuth) | OAuth-Authentifizierung (optional) | USA/EU | E-Mail, Name, Konto-ID | Standardvertragsklauseln |
7. Bekanntgabe ins Ausland (Art. 16–17 nDSG)
7.1 Unsere Hauptinfrastruktur wird in Zürich, Schweiz betrieben (Supabase). Es findet insoweit keine Auslandsbekanntgabe statt.
7.2 Für Datenübermittlungen in die USA (Stripe, KI-Anbieter) stützen wir uns auf:
- Den Angemessenheitsbeschluss des Bundesrates, soweit vorhanden;
- Standarddatenschutzklauseln gemäss Art. 16 Abs. 2 lit. d nDSG;
- Ergänzende technische Massnahmen (Verschlüsselung).
7.3 Die aktuelle Liste der Staaten mit angemessenem Datenschutz wird vom EDÖB publiziert. Die USA verfügen aktuell nicht über einen generellen Angemessenheitsbeschluss; wir setzen daher Standardvertragsklauseln ein.
7.4 KI-Datenübermittlungen werden vom Kunden initiiert: Der Kunde stellt seine eigenen API-Schlüssel zur Verfügung und entscheidet, welche Modelle genutzt werden.
8. Aufbewahrungsdauer
| Datenkategorie | Aufbewahrungsdauer |
|---|---|
| Kontodaten | Vertragsdauer + 30 Tage Exportfrist |
| Abrechnungsdaten | 10 Jahre (Art. 958f OR) |
| Vom Kunden hochgeladene CRM-Daten | Vertragsdauer + 30 Tage Exportfrist |
| E-Mail-Tracking-Ereignisse | Vertragsdauer |
| KI-Chat-Nachrichten | Vertragsdauer |
| Audit-Protokolle | 2 Jahre |
| OAuth-/API-Tokens | Bis Widerruf oder Vertragsende |
Nach Vertragsende und Ablauf der 30-tägigen Exportfrist werden alle Kundendaten unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
9. Ihre Rechte nach nDSG
Als betroffene Person haben Sie folgende Rechte:
| Recht | Grundlage | Beschreibung |
|---|---|---|
| Auskunftsrecht | Art. 25–27 nDSG | Sie können Auskunft darüber verlangen, ob und welche Personendaten wir über Sie bearbeiten. |
| Recht auf Datenherausgabe und -übertragung | Art. 28–29 nDSG | Sie können die Herausgabe Ihrer Daten in einem gängigen elektronischen Format verlangen. |
| Berichtigungsrecht | Art. 32 Abs. 1 nDSG | Sie können die Berichtigung unrichtiger Daten verlangen. |
| Löschungsrecht | Art. 32 Abs. 2 lit. c nDSG | Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Pflicht entgegensteht. |
| Widerspruchsrecht | Art. 30 Abs. 2 lit. b nDSG | Sie können der Bearbeitung widersprechen. |
Für Kontakte unserer Kunden: Wenn Sie als Kontakt in der CRM-Datenbank eines unserer Kunden gespeichert sind, wenden Sie sich bitte an diesen Kunden (den Verantwortlichen). Wir unterstützen unsere Kunden als Auftragsbearbeiterin bei der Erfüllung Ihrer Rechte.
Antwortfrist: Wir beantworten Ihre Anfrage innerhalb von 30 Tagen.
10. Datensicherheit (Art. 8 nDSG, Art. 1–5 DSV)
Wir treffen die folgenden technischen und organisatorischen Massnahmen zum Schutz Ihrer Personendaten:
Technische Massnahmen:
- AES-256-GCM-Verschlüsselung für API-Schlüssel und sensible Zugangsdaten
- Supabase Vault für OAuth-Token-Verschlüsselung
- TLS 1.2+ für alle Datenübertragungen
- Row-Level Security (RLS) auf allen Datenbanktabellen — Datenisolation zwischen Organisationen
- HMAC-SHA256-Tokenvalidierung für Abmeldelinks
- Content Security Policy (CSP)
- DOMPurify für HTML-Bereinigung (XSS-Prävention)
- Ratenbegrenzung auf öffentlichen Endpunkten
- Keine CORS-Wildcard — dynamische Domainvalidierung
Organisatorische Massnahmen:
- OTP-basierte Authentifizierung (keine Passwörter)
- Rollenbasierte Zugriffskontrolle
- Audit-Protokollierung aller Datenoperationen
- Empfohlene API-Schlüsselrotation alle 90 Tage
- Auftragsbearbeitungsverträge mit allen Unterauftragsbearbeitern
- Regelmässige Sicherheitsüberprüfungen
11. Verletzung der Datensicherheit (Art. 24 nDSG)
Bei einer Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt:
- Melden wir die Verletzung dem EDÖB so rasch als möglich (Art. 24 Abs. 1 nDSG);
- Informieren wir die betroffenen Personen, wenn es zu ihrem Schutz erforderlich ist (Art. 24 Abs. 4 nDSG);
- Benachrichtigen wir betroffene Kunden (als Verantwortliche) unverzüglich;
- Empfehlen wir die sofortige Rotation aller gespeicherten API-Schlüssel.
12. Automatisierte Einzelentscheidungen (Art. 21 nDSG)
Die Plattform trifft keine automatisierten Einzelentscheidungen im Sinne von Art. 21 nDSG. KI-generierte Inhalte dienen als Vorschläge und unterliegen stets der menschlichen Kontrolle.
13. Minderjährige
Die Plattform richtet sich nicht an Personen unter 16 Jahren. Wir bearbeiten wissentlich keine Personendaten von Minderjährigen.
14. Cookies und Tracking-Technologien
Die Plattform setzt keine eigenen Cookies. Es werden keine Drittanbieter-Analyse- oder Werbetools eingesetzt über die in Abschnitt 6 offengelegten hinaus.
Die E-Mail-Tracking-Funktionen (Öffnungs- und Klick-Tracking) werden im Auftrag unserer Kunden bereitgestellt. Der Kunde ist als Verantwortlicher für die Information seiner Empfänger und die Einholung allfälliger Einwilligungen zuständig.
15. Aufsichtsbehörde
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern, Schweiz
https://www.edoeb.admin.ch
Sie haben das Recht, beim EDÖB eine Untersuchung zu beantragen (Art. 49 nDSG) oder Klage vor dem zuständigen Gericht zu erheben (Art. 32 nDSG).
16. Änderungen
Wir können diese Datenschutzerklärung jederzeit anpassen. Wesentliche Änderungen werden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Die aktuelle Fassung ist stets unter sarama.angad.swiss/de/site/datenschutz abrufbar.
17. Kontakt
Für Datenschutzanfragen:
Angad Manik Beratung für Strategie und Projekte
Angad Bank (ehemals Manik)
Rebgasse 53, 4058 Basel, Schweiz
E-Mail: impact@angad.swiss
Letzte Aktualisierung: 28. März 2026