Datenschutzerklärung — EU-Datenschutz-Grundverordnung (DSGVO)
Sarama CRM-Plattform
Verantwortliche: Angad Manik Beratung für Strategie und Projekte, Rebgasse 53, 4058 Basel, Schweiz
Datenschutz-Kontakt: Angad Bank (ehemals Manik), impact@angad.swiss
Plattform: sarama.angad.swiss
Stand: 12. Juni 2026
1. Einleitung
Diese Datenschutzerklärung erläutert, wie die Angad Manik Beratung für Strategie und Projekte («wir», «Verantwortliche») Personendaten im Zusammenhang mit der Sarama CRM-Plattform («Plattform») gemäss der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, «DSGVO») bearbeitet.
Wir handeln in zwei Funktionen:
- Verantwortliche für Konto-/Nutzerdaten, Abrechnungsdaten und Plattformanalysen;
- Auftragsbearbeiterin für Personendaten, die unsere Kunden hochladen (Kontaktdaten, Formulareingaben, E-Mail-Inhalte), wobei der Kunde als Verantwortlicher handelt.
2. Datenschutz-Kontakt
Angad Bank (ehemals Manik)
Rebgasse 53, 4058 Basel, Schweiz
E-Mail: impact@angad.swiss
Sie können sich bei allen Fragen zum Datenschutz an den Datenschutzbeauftragten wenden.
3. Kategorien von Personendaten
3.1 Konto- und Authentifizierungsdaten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| E-Mail-Adresse | Kontoerstellung, OTP/OAuth-Authentifizierung | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| Benutzer-ID | Interne Identifikation | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| Organisationsdaten | Mandantenfähigkeit | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| Mitgliedsrollen | Zugriffskontrolle | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
3.2 Abrechnungsdaten (verarbeitet durch Stripe)
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Zahlungsmittel | Abonnement-Abrechnung | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| Transaktionshistorie | Rechnungsstellung, Guthabenverfolgung | Art. 6 Abs. 1 lit. c — gesetzliche Pflicht |
| Guthaben | KI-Nutzungsabrechnung | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
3.3 Vom Kunden hochgeladene Daten (wir als Auftragsbearbeiterin)
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Kontaktdaten (Name, E-Mail, Telefon, Adresse, Beruf, Firma, Social-URLs, Geburtsdatum, benutzerdefinierte Felder) | CRM-Funktionalität | Art. 6 Abs. 1 lit. b / Art. 28 — Auftragsbearbeitung |
| Unternehmensdaten | CRM-Funktionalität | Art. 6 Abs. 1 lit. b / Art. 28 |
| Deal- und Pipeline-Daten | Vertriebsmanagement | Art. 6 Abs. 1 lit. b / Art. 28 |
| E-Mail-Inhalte (gesendet/empfangen) | E-Mail-Integration | Art. 6 Abs. 1 lit. b / Art. 28 |
| Formulareingaben (alle Felddaten, UTM-Parameter, Referrer, Seiten-URL) | Lead-Erfassung | Art. 6 Abs. 1 lit. b / Art. 28 |
| Kalendereinträge | Terminplanung | Art. 6 Abs. 1 lit. b / Art. 28 |
| Workflow-Konfigurationen | Automatisierung | Art. 6 Abs. 1 lit. b / Art. 28 |
3.4 Tracking- und Analysedaten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| IP-Adresse (E-Mail-Öffnungen/-Klicks) | E-Mail-Kampagnenanalyse | Art. 6 Abs. 1 lit. f — berechtigtes Interesse des Kunden |
| User-Agent (E-Mail-Öffnungen/-Klicks) | Geräteanalyse | Art. 6 Abs. 1 lit. f — berechtigtes Interesse des Kunden |
| Klick-URLs | Kampagnenleistung | Art. 6 Abs. 1 lit. f — berechtigtes Interesse des Kunden |
| Formular-Metadaten (IP, User-Agent, Referrer) | Betrugsprävention, Analysen | Art. 6 Abs. 1 lit. f — berechtigtes Interesse |
3.5 KI- und Chat-Daten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Konversationsnachrichten | KI-Agenten-Interaktion | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| KI-Modell-API-Schlüssel (verschlüsselt) | KI-Funktionalität | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
3.6 Integrations-Zugangsdaten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| OAuth-Tokens (Gmail, Outlook, Kalender) | E-Mail-/Kalender-Synchronisation | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| IMAP/SMTP-Zugangsdaten (verschlüsselt gespeichert) | E-Mail-Integration | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| Social-Media-OAuth-Tokens (Facebook-Seiten, Instagram, LinkedIn, TikTok — verschlüsselt gespeichert) | Veröffentlichung von Beiträgen & Engagement-Analysen | Art. 6 Abs. 1 lit. b — Vertragserfüllung, kundeninitiiert |
| Marketing-Analyse-OAuth-Tokens (Google Analytics, Google Ads, Google Tag Manager, Meta Ads — verschlüsselt gespeichert) | Import der eigenen Marketing-Leistungsdaten des Kunden | Art. 6 Abs. 1 lit. b — Vertragserfüllung, kundeninitiiert |
3.7 Audit- und Sicherheitsdaten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Audit-Log-Einträge (Benutzer-ID, Aktion, Ressource, Zeitstempel) | Sicherheit, Compliance | Art. 6 Abs. 1 lit. f — berechtigtes Interesse, Art. 6 Abs. 1 lit. c — gesetzliche Pflicht |
3.8 Social-Publishing- und Marketing-Leistungsdaten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Beitragsinhalte (Texte, Hashtags, Medien) und Veröffentlichungsplan | Veröffentlichung auf den vom Kunden verbundenen Facebook-Seiten, Instagram-, LinkedIn- und TikTok-Konten im Auftrag des Kunden | Art. 6 Abs. 1 lit. b / Art. 28 — Verarbeitung im Auftrag des Kunden |
| Engagement-Kennzahlen (Impressionen, Reichweite, Likes, Kommentare, Shares, Views) | Leistungsberichte zu den eigenen Beiträgen des Kunden | Art. 6 Abs. 1 lit. b / Art. 28 — kundeninitiierter Abruf |
| Aus den eigenen Konten des Kunden importierte Marketing-Kennzahlen (Google-Analytics-4-Sitzungen/Nutzer/Conversions, Kampagnen-Impressionen/Klicks/Ausgaben aus Google Ads und Meta Ads, Google-Tag-Manager-Container-Inventar) | Aggregiertes Marketing-Reporting und KI-gestützte Analyse innerhalb der Plattform | Art. 6 Abs. 1 lit. b / Art. 28 — kundeninitiierter Import |
Social- und Marketing-Integrationen sind strikt kundeninitiiert: Der Kunde verbindet seine eigenen Konten per OAuth, Tokens werden verschlüsselt gespeichert, und der Kunde kann die Verbindung jederzeit trennen, wodurch jeder Abruf endet. Wir greifen ausschliesslich auf die Daten der ausdrücklich verbundenen Konten zu; Daten anderer Nutzer dieser Plattformen lesen wir nicht.
4. Daten, die wir NICHT erheben
- Passwörter (OTP-basierte Authentifizierung)
- Eigene Tracking-Cookies über die nachstehend offengelegten hinaus (Google Analytics und Cloudflare Turnstile setzen Cookies wie in Abschnitt 5 beschrieben)
- Werbe-Pixel oder seitenübergreifende Tracker innerhalb der Plattform-Anwendung (die öffentliche Marketing-Website nutzt einwilligungsgesteuertes Google Analytics, siehe Abschnitt 5)
- Gerätefingerabdrücke
- Präzise Standortdaten
- Sitzungsaufzeichnungen
- Biometrische Daten
5. Empfänger und Unterauftragsbearbeiter
Wir geben Personendaten an folgende Empfängerkategorien weiter:
| Unterauftragsbearbeiter | Dienst | Standort | Übermittelte Daten | Schutzmassnahmen |
|---|---|---|---|---|
| Supabase (AWS) | Datenbank, Authentifizierung, Speicher | Zürich, Schweiz | Alle Plattformdaten | CH-Angemessenheit — Daten bleiben in der Schweiz |
| Stripe | Zahlungsabwicklung | USA | Abrechnungsdaten | EU-US-Datenschutzrahmen, Standardvertragsklauseln |
| Anthropic | KI-Modellanbieter (Claude) | USA | Chat-Nachrichten (über Kunden-API-Keys) | Standardvertragsklauseln, kundeninitiiert |
| OpenAI | KI-Modellanbieter (GPT) | USA | Chat-Nachrichten (über Kunden-API-Keys) | Standardvertragsklauseln, kundeninitiiert |
| Google AI | KI-Modellanbieter (Gemini) | USA/EU | Chat-Nachrichten (über Kunden-API-Keys) | Standardvertragsklauseln, kundeninitiiert |
| Gmail API / Outlook API | E-Mail-Synchronisation | USA | E-Mail-Inhalte (über Kunden-OAuth) | Standardvertragsklauseln, kundeninitiiert |
| Google Calendar / Outlook Calendar | Kalender-Synchronisation | USA | Kalendereinträge (über Kunden-OAuth) | Standardvertragsklauseln, kundeninitiiert |
| Meta Platforms | Facebook-/Instagram-Publishing, Seiten- & Anzeigen-Insights (Graph API) | USA/EU | Beitragsinhalte, Engagement- & Anzeigen-Kennzahlen der verbundenen Konten des Kunden | Standardvertragsklauseln, kundeninitiiert |
| Beitrags-Publishing & Share-Statistiken | USA/EU | Beitragsinhalte und Engagement-Kennzahlen der verbundenen Konten | Standardvertragsklauseln, kundeninitiiert | |
| TikTok | Video-Publishing & Video-Statistiken | USA/EU/SG | Videoinhalte und Engagement-Kennzahlen der verbundenen Konten | Standardvertragsklauseln, kundeninitiiert |
| Google (Analytics-Data-/Ads-/Tag-Manager-APIs) | Import der eigenen Marketing-Kennzahlen des Kunden | USA/EU | Aggregierte Web-/Anzeigen-Leistungskennzahlen der verbundenen Konten | Standardvertragsklauseln, kundeninitiiert |
| Google (Analytics) | Webseiten-Nutzungsanalyse | USA/EU | Seitenaufrufe, Sitzungsdauer, Gerätedaten, IP-Adresse (anonymisiert), Cookies (_ga, _gid) | EU-US-Datenschutzrahmen; einwilligungsgesteuert |
| Cloudflare (Turnstile) | CAPTCHA / Bot-Schutz | USA/EU | IP-Adresse, Browser-Attribute, Cookies | EU-US-Datenschutzrahmen, Standardvertragsklauseln |
| Microsoft (Entra ID) | OAuth-Authentifizierung (optional) | USA/EU | E-Mail, Name, Konto-ID | EU-US-Datenschutzrahmen, Standardvertragsklauseln |
| Google (OAuth) | OAuth-Authentifizierung (optional) | USA/EU | E-Mail, Name, Konto-ID | EU-US-Datenschutzrahmen, Standardvertragsklauseln |
Wichtig: KI-Modell-API-Aufrufe verwenden die eigenen API-Schlüssel des Kunden. Wir kontrollieren oder haben keinen Zugang zu den Konten des Kunden bei diesen Anbietern. Der Kunde initiiert diese Datenübertragungen und ist für die Bedingungen mit diesen Anbietern verantwortlich.
6. Internationale Datenübermittlungen
6.1 Unsere Hauptinfrastruktur wird von Supabase in Zürich, Schweiz betrieben. Die Schweiz verfügt über einen Angemessenheitsbeschluss der Europäischen Kommission (Durchführungsbeschluss (EU) 2024/2272).
6.2 Für Unterauftragsbearbeiter in den USA stützen wir uns auf:
- Den EU-US-Datenschutzrahmen (soweit anwendbar);
- Standardvertragsklauseln (SVK) gemäss Durchführungsbeschluss (EU) 2021/914;
- Ergänzende technische Massnahmen (Verschlüsselung bei Übertragung und Speicherung).
6.3 KI-Modell-Übermittlungen werden vom Kunden initiiert: Der Kunde stellt seine eigenen API-Schlüssel bereit und wählt, welche Modelle verwendet werden. Wir stellen die technische Verbindung her, aber der Kunde kontrolliert den Datenfluss.
7. Aufbewahrungsdauer
| Datenkategorie | Aufbewahrungsdauer |
|---|---|
| Kontodaten | Vertragsdauer + 30 Tage für Export |
| Abrechnungs-/Transaktionsdaten | 10 Jahre (Schweizer Handelsrecht, Art. 958f OR) |
| Vom Kunden hochgeladene CRM-Daten | Vertragsdauer + 30-tägige Exportfrist |
| E-Mail-Tracking-Ereignisse | Vertragsdauer |
| KI-Chat-Nachrichten | Vertragsdauer |
| Audit-Protokolle | 2 Jahre |
| OAuth-/API-Tokens (E-Mail, Kalender, Social, Marketing) | Bis Widerruf/Trennung durch Kunden oder Vertragsende |
| Social-Engagement- & Marketing-Kennzahlen | Vertragsdauer |
| Formulareingaben | Vertragsdauer |
Nach Vertragsende und Ablauf der 30-tägigen Exportfrist werden alle Kundendaten endgültig gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
8. Ihre Rechte nach der DSGVO
Als betroffene Person haben Sie folgende Rechte:
| Recht | Beschreibung | Ausübung |
|---|---|---|
| Auskunft (Art. 15) | Kopie Ihrer Personendaten erhalten | E-Mail an impact@angad.swiss |
| Berichtigung (Art. 16) | Unrichtige Daten korrigieren | E-Mail oder Selbstbedienung in der Plattform |
| Löschung (Art. 17) | Löschung Ihrer Daten beantragen | E-Mail an impact@angad.swiss |
| Einschränkung (Art. 18) | Bearbeitung in bestimmten Fällen einschränken | E-Mail an impact@angad.swiss |
| Datenübertragbarkeit (Art. 20) | Daten in maschinenlesbarem Format erhalten | E-Mail an impact@angad.swiss |
| Widerspruch (Art. 21) | Bearbeitung auf Basis berechtigter Interessen widersprechen | E-Mail an impact@angad.swiss |
| Einwilligung widerrufen (Art. 7 Abs. 3) | Einwilligung jederzeit widerrufen (berührt nicht die bisherige Rechtmässigkeit) | E-Mail an impact@angad.swiss |
| Beschwerde (Art. 77) | Beschwerde bei einer Aufsichtsbehörde einreichen | Ihre lokale Datenschutzbehörde kontaktieren |
Für Kontakte unserer Kunden: Wenn Sie als Kontakt im CRM eines Kunden gespeichert sind, wenden Sie sich bitte an diesen Kunden (den Verantwortlichen). Wir unterstützen den Kunden als Auftragsbearbeiterin bei der Erfüllung des Antrags.
Wir beantworten Betroffenenanfragen innerhalb von 30 Tagen. Komplexe Anfragen können mit Benachrichtigung um weitere 60 Tage verlängert werden.
9. Sicherheitsmassnahmen
Wir setzen die folgenden technischen und organisatorischen Massnahmen gemäss Art. 32 DSGVO um:
Technische Massnahmen:
- AES-256-GCM-Verschlüsselung für API-Schlüssel und sensible Zugangsdaten
- Supabase Vault für OAuth-Token-Verschlüsselung
- TLS 1.2+ für alle Datenübertragungen
- Row-Level Security (RLS) auf allen Datenbanktabellen — Datenisolation zwischen Organisationen
- HMAC-SHA256-Tokenvalidierung für Abmeldelinks
- Content Security Policy (CSP) Header
- DOMPurify für HTML-Bereinigung (XSS-Prävention)
- Ratenbegrenzung auf öffentlichen Endpunkten (5–10 Anfragen/Min/IP)
- Keine CORS-Wildcard — dynamische Domainvalidierung
Organisatorische Massnahmen:
- OTP-basierte Authentifizierung (keine Passwörter)
- Rollenbasierte Zugriffskontrolle innerhalb von Organisationen
- Audit-Protokollierung aller Datenzugriffe und -änderungen
- Empfohlene API-Schlüsselrotation alle 90 Tage
- Unterauftragsbearbeitungsverträge mit allen Dritten
- Regelmässige Sicherheitsüberprüfungen
10. Auftragsbearbeitungsvertrag (AVV)
Für Kunden, die einen formellen Auftragsbearbeitungsvertrag nach Art. 28 DSGVO benötigen, stellen wir einen AVV auf Anfrage bereit. Kontakt: impact@angad.swiss.
Der AVV umfasst:
- Gegenstand und Dauer der Bearbeitung
- Art und Zweck der Bearbeitung
- Arten von Personendaten und Kategorien betroffener Personen
- Pflichten der Auftragsbearbeiterin
- Unterauftragsbearbeitermanagement
- Unterstützung bei Betroffenenrechten
- Verfahren zur Meldung von Datenschutzverletzungen
- Auditrechte
11. Meldung von Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes von Personendaten:
- Melden wir die Verletzung der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO);
- Benachrichtigen wir betroffene Personen unverzüglich, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten birgt (Art. 34 DSGVO);
- Benachrichtigen wir betroffene Kunden (als Verantwortliche) unverzüglich, damit diese ihre eigenen Meldepflichten erfüllen können;
- Empfehlen wir die sofortige Rotation aller gespeicherten API-Schlüssel.
12. Automatisierte Entscheidungsfindung
Die Plattform führt keine automatisierte Entscheidungsfindung oder Profiling durch, das rechtliche Wirkung entfaltet oder betroffene Personen in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO).
KI-generierte Inhalte werden als Vorschläge für die Nutzer des Kunden bereitgestellt, die die volle Kontrolle über ergriffene Massnahmen behalten.
13. Daten von Kindern
Die Plattform richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine Personendaten von Kindern. Sollten wir feststellen, dass Daten eines Kindes erhoben wurden, werden wir diese umgehend löschen.
14. E-Mail-Tracking-Transparenz
Unsere Plattform ermöglicht Kunden, E-Mail-Öffnungen und -Klicks zu verfolgen. Als Auftragsbearbeiterin stellen wir den technischen Mechanismus bereit. Der Kunde (Verantwortlicher) ist verantwortlich für:
- Die Information seiner Empfänger über das Tracking in seiner Datenschutzerklärung;
- Die Einholung der Einwilligung, wo nach anwendbarem Recht erforderlich;
- Die Bereitstellung von Opt-out-Mechanismen (Abmeldelinks sind Pflicht).
Wir filtern Apple Mail Privacy Protection-Öffnungen (IP-Bereich 17.x.x.x) zur Verbesserung der Genauigkeit.
15. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Die aktuelle Fassung ist stets unter sarama.angad.swiss/de/site/datenschutz-dsgvo verfügbar.
16. Aufsichtsbehörde
Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzureichen. Angesichts unseres Schweizer Sitzes ist die federführende Behörde:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern, Schweiz
https://www.edoeb.admin.ch
Für EU-Betroffene können Sie auch Ihre lokale Datenschutzbehörde kontaktieren.
17. Kontakt
Für datenschutzrechtliche Anfragen:
Angad Manik Beratung für Strategie und Projekte
Angad Bank (ehemals Manik) — Datenschutz-Kontakt
Rebgasse 53, 4058 Basel, Schweiz
E-Mail: impact@angad.swiss
Letzte Aktualisierung: 12. Juni 2026