Datenschutzerklärung
Verantwortlicher
Verantwortlich im Sinne von Art. 4 Ziff. 7 DSGVO sowie Art. 5 lit. j des revidierten Schweizer Datenschutzgesetzes (revDSG) ist:
| Angabe | Details |
|---|---|
| Firma | DITTRICH & PARTNERS GmbH |
| Adresse | Brodlaube 18, 4310 Rheinfelden, Schweiz |
| UID | CHE-192.735.800 |
| HR-Nummer | CH-400.4.036.235-8 |
| legal@five-moves.org | |
| Ansprechpartner Datenschutz | Andreas Dittrich (Geschäftsführer) |
| Website | fivemoves.org |
Hinweis zum Datenschutzbeauftragten: Eine Pflicht zur Benennung eines Datenschutzbeauftragten gemäss Art. 37 DSGVO besteht für uns nicht. Für alle Datenschutzanliegen wendest du dich an die oben genannte E-Mail-Adresse.
Geltungsbereich
Diese Datenschutzerklärung gilt für:
- die Website fivemoves.org sowie alle Subdomains
- die FIVE MOVES® Mobile App (Apple App Store, Google Play Store)
- das FIVE MOVES® Backend (backend-api.fivemoves.org)
- alle damit verbundenen Online-Dienstleistungen der DITTRICH & PARTNERS GmbH (Kurse, CRM, Buchung, Trainer-Hub, KI-Trainingsfunktionen)
Für externe verlinkte Inhalte und Dienste gelten die jeweils dortigen Datenschutzerklärungen. Die Cookie-Richtlinie ist eigenständig unter https://fivemoves.org/cookies abrufbar.
Begriffe
Wir verwenden die Begriffsdefinitionen aus Art. 4 DSGVO und Art. 5 revDSG. Die wichtigsten in Kurzform:
| Begriff | Bedeutung |
|---|---|
| Personenbezogene Daten | Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail, IP-Adresse, App-Nutzungsdaten). |
| Verarbeitung | Jeder Vorgang im Zusammenhang mit personenbezogenen Daten: Erheben, Erfassen, Speichern, Anpassen, Auslesen, Verwenden, Offenlegen, Löschen, Vernichten. |
| Verantwortlicher | Die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Das sind wir (siehe §1). |
| Auftragsverarbeiter | Ein Dienstleister, der Daten in unserem Auftrag und nach unserer Weisung verarbeitet (z. B. Hosting, Stripe, Claude API). Geregelt durch einen Auftragsverarbeitungsvertrag (AVV / DPA) nach Art. 28 DSGVO. |
| Einwilligung | Freiwillige, informierte, unmissverständliche Willensbekundung der betroffenen Person, etwa durch Klick auf einen Zustimmen-Button. |
| Drittland | Land ausserhalb der EU / des EWR und ausserhalb der Schweiz (z. B. USA, UK). |
| Pseudonymisierung | Verarbeitung in der Form, dass Daten nicht mehr ohne zusätzliche Informationen einer Person zugeordnet werden können. |
| Standardvertragsklauseln (SCC) | EU-Kommissions-Vertragsmuster, das beim Datentransfer in Drittländer ein angemessenes Schutzniveau garantieren soll. |
| EU-US Data Privacy Framework (DPF) | Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 für zertifizierte US-Anbieter. Für die Schweiz greift das Swiss-US DPF. |
Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten nach der Europäischen Datenschutz-Grundverordnung (DSGVO), dem revidierten Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) und, soweit anwendbar, dem California Consumer Privacy Act (CCPA / CPRA).
Je nach Verarbeitung stützen wir uns auf eine der folgenden Rechtsgrundlagen:
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Kontoerstellung, Login, Vertragsabwicklung (Kurse, Bookings, Rechnungen, Trainer-Onboarding) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Aufbewahrung von Rechnungen, Verträgen, Buchhaltungsbelegen | Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 957 ff. OR (gesetzliche Aufbewahrungspflicht) |
| Newsletter (siehe §8) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Double-Opt-In) |
| KI-Trainingsfunktionen (siehe §7) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 9 Abs. 2 lit. a DSGVO bei sensiblen Inhalten |
| Server-Logs, Betrugsprävention, IT-Sicherheit | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem, sicherem Betrieb) |
| Analyse-Cookies, Marketing-Cookies | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner) |
| Beantwortung von Support-Anfragen | Art. 6 Abs. 1 lit. b oder lit. f DSGVO |
Datenkategorien
- Kontaktdaten: Name, E-Mail, Telefon, Adresse
- Kontodaten: Benutzername, Passwort (gehasht, niemals im Klartext)
- Kursdaten: Kursfortschritt, Quiz- und Prüfungsergebnisse, Zertifizierungen, Lernjournale
- Zahlungsdaten: werden direkt bei Stripe, SumUp, TWINT, Apple oder Google verarbeitet. Wir speichern keine vollständigen Kreditkartendaten — lediglich Token-Referenzen, Belegnummer und Status.
- KI-Interaktionsdaten: Texte, die du freiwillig in KI-gestützte Funktionen eingibst, sowie die KI-Antworten (siehe §7).
- Trainer-Profil-Daten (nur für Trainer-Partner): Bankverbindung (IBAN, BIC), Sozialversicherungsdaten falls erforderlich, Profilbild.
- Freitext-Inhalte: Mitteilungen über Kontaktformulare, Feedback, Lernjournal-Einträge.
- Technische Daten: IP-Adresse (anonymisiert oder gekürzt), Browser, Betriebssystem, Gerätetyp, Referrer
- Nutzungsdaten: Seitenaufrufe, App-Nutzungsmuster, Lektionsfortschritt, Sitzungsdauer, Klickpfade
- Performance-Daten: Absturzberichte, Diagnose- und Leistungsdaten (Crash-Reports)
- Standortdaten: Ungefährer Standort auf Landes-/Stadtebene basierend auf IP-Adresse. Kein GPS-Tracking.
Auftragsverarbeiter und eingesetzte Dienste
Mit allen folgenden Dienstleistern haben wir — soweit personenbezogene Daten verarbeitet werden — einen Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement, DPA) nach Art. 28 DSGVO geschlossen. Bei US-Anbietern stützen wir den Drittlandtransfer primär auf die DPF-Zertifizierung des Anbieters und subsidiär auf EU-Standardvertragsklauseln (SCC) der EU-Kommission vom 04.06.2021.
| Dienst | Zweck | Standort | AVV | Transfer-Grundlage |
|---|---|---|---|---|
| CYON GmbH | Webhosting fivemoves.org | Schweiz | Ja | Schweiz — angemessenes Schutzniveau |
| Render.com (Render Services Inc.) | App- und Backend-Infrastruktur | EU (Frankfurt) | Ja | EU — DSGVO direkt |
| Cloudflare Inc. | CDN, Video-Hosting, DDoS-Schutz | USA / global | Ja | EU-US DPF + SCC |
| Dienst | Zweck | Standort | AVV | Transfer-Grundlage |
|---|---|---|---|---|
| FIVE MOVES Plattform (eigen) | Online-Akademie, CRM, Buchhaltung | CH / EU | Eigenbetrieb | — |
Aktuell keine externen Analyse-Cookies aktiv. Eine Google-Analytics-4-Integration ist technisch vorbereitet, aber noch nicht produktiv eingebunden. Sobald sie aktiviert wird, ergaenzen wir diese Erklaerung entsprechend und holen deine Einwilligung über den Cookie-Banner ein.
| Dienst | Zweck | Standort | AVV | Transfer-Grundlage |
|---|---|---|---|---|
| Google Workspace (Google Ireland Ltd.) | Interne Kommunikation, Verwaltung, E-Mail | EU / USA | Ja | EU-US DPF + SCC |
| Zoom Video Communications Inc. | Live-Sessions, Workshops, Support | EU-Region | Ja | EU-US DPF + SCC |
| Dienst | Zweck | Standort | AVV | Transfer-Grundlage |
|---|---|---|---|---|
| Stripe Payments Europe Ltd. | Online-Zahlungen, Subscription Management | Irland (EU) / USA | Ja | EU-US DPF + SCC |
| SumUp Payments Ltd. | Vor-Ort-Zahlungen (Kartenterminal) | Irland (EU) | Ja | EU — DSGVO direkt |
| TWINT AG | Mobile Zahlungen Schweiz | Schweiz | Ja | Schweiz — angemessenes Schutzniveau |
| Apple Inc. | In-App-Käufe iOS | USA | Apple-Standardvertrag | EU-US DPF + SCC |
| Google Ireland Ltd. | In-App-Käufe Android | Irland / USA | Ja | EU-US DPF + SCC |
Derzeit kein externes Marketing-Tracking aktiv. Meta Pixel, LinkedIn Insight Tag oder vergleichbare Werbeanzeigen-Pixel sind nicht eingebunden. Sollten wir solche Dienste in Zukunft aktivieren, werden wir diese Erklaerung entsprechend ergaenzen, sie ausschliesslich nach deiner ausdruecklichen Einwilligung über den Cookie-Banner laden und einen Auftragsverarbeitungsvertrag (AVV) mit dem jeweiligen Anbieter schliessen.
| Dienst | Zweck | Standort | AVV | Transfer-Grundlage |
|---|---|---|---|---|
| Anthropic PBC (Claude API) | KI-gestützte Trainingsfunktionen, siehe §7 | USA | Ja — Anthropic DPA | EU-US DPF + SCC + Einwilligung |
Prüfung und Sorgfalt: Wir wählen Auftragsverarbeiter sorgfältig aus, prüfen deren technische und organisatorische Massnahmen und kontrollieren regelmässig die Vertragseinhaltung gemäss Art. 28 Abs. 1 DSGVO.
Claude API (Anthropic) — KI-Funktionen im Detail
Für die KI-Funktionen unserer Plattform nutzen wir die Claude API der Anthropic PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA. Anthropic ist im Sinne von Art. 28 DSGVO unser Auftragsverarbeiter.
Mit der Nutzung der API ist automatisch das Anthropic Data Processing Addendum (DPA) Bestandteil unseres Vertrages mit Anthropic, einbezogen durch Sec. C der Anthropic Commercial Terms of Service. Das DPA ist abrufbar unter:
Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend gelten die EU-Standardvertragsklauseln 2021/914 (Modul 2: Controller-Processor). Den aktuellen Zertifizierungsstatus — einschliesslich möglicher Erweiterungen für das UK Extension oder das Swiss-US DPF — kannst du jederzeit im offiziellen DPF-Register einsehen: dataprivacyframework.gov/list.
Anthropic setzt seinerseits Sub-Prozessoren ein, insbesondere Amazon Web Services (AWS) und Google Cloud Platform (GCP), jeweils für Modell-Hosting und Inferenz. Die aktuelle Liste ist abrufbar unter trust.anthropic.com/subprocessors.
User-facing Funktionen (du nutzt sie aktiv in App oder Plattform):
- Eröffnungsdialog — Wunschgefühl (Persona «Sevi»): Unterstützung bei der Identifikation deines Wunschgefühls gemäss der FIVE MOVES® Methodik. Diese KI-Funktion tritt in einer Persona auf, die im Stil und mit der Methodik von Sévérine Bachtold-Sidler (Spitzname «Sevi») gestaltet ist. Die Funktion ist eine KI-Begleitung, nicht Sévérine selbst. Persönlicher Kontakt mit Sévérine erfolgt ausschliesslich über reguläre Trainerin-Buchung.
- WI-Kurs Wunschgefühl-Check (Persona «Sevi»): Im Kurs «Weibliche Intimität» prüft die KI deine Eingabe darauf, ob sie ein gemäss der Methodik passendes Wunschgefühl beschreibt. Auch hier tritt die Funktion in der Sevi-Persona auf — KI, nicht Sévérine persönlich.
- Lernjournal-Feedback: Überprüfung und konstruktives Feedback zu deinen Lernjournal-Einträgen während der Trainer-Ausbildung. Outputs sind im UI als KI-generiert gekennzeichnet.
- Simulations-Feedback (nur für Guides in Ausbildung): Rückmeldung zu Trainings-Simulationen. Outputs sind im UI als KI-generiert gekennzeichnet.
- Prüfung V2 (nur Trainer-Prüfungssimulation): KI übernimmt die Rolle des Movers (Prüflings-Klienten mit randomisierter Persona) und bewertet die Performance der Guide-Kandidatin nach Multiple-Choice-Schema. Die finale Zertifizierungs-Entscheidung trifft immer eine menschliche Trainerin — die KI ist ausschliesslich Vorbereitungswerkzeug im Sinne von Art. 6 Abs. 3 EU AI Act.
Interne Backend-Funktionen (laufen ohne dein direktes Zutun, sind aber Datenschutz-relevant weil personenbezogene Daten verarbeitet werden):
- Kontakt-Personalisierung (Tonfall-Assistenz für Andreas Dittrich): Für persönliche Nachrichten von Andreas an dich werden dein Name und Kontext-Notizen kurzzeitig an Claude übermittelt, um Tonfall-Vorschläge zu generieren. Andreas bleibt Autor jeder Nachricht: er prüft, überarbeitet und versendet den Text manuell. Es findet kein automatisierter Mailversand auf Basis von KI-Output statt. Damit handelt es sich nicht um eine Generative-AI-Funktion gegenüber Endkunden im Sinne von Art. 50 Abs. 2 EU AI Act.
- Buchhaltungs-Kontenzuordnung: Für Lieferanten-Rechnungen unserer GmbH (keine Endkunden-Daten) schlägt die KI die korrekte Konten-Zuordnung nach Schweizer Buchhaltungsstandard vor. Hier fliessen in der Regel keine personenbezogenen Daten von Endkunden.
Wir kennzeichnen unsere KI-Funktionen gemäss Art. 50 EU AI Act in mehrfacher Hinsicht:
- Art. 50 Abs. 1 (Interaktions-Transparenz): An jeder Stelle, an der du mit einer KI interagierst (Funke-Box, Sevi-Dialog, Lernjournal-Eingabe, Prüfung V2), wird unmittelbar vor oder zu Beginn der Interaktion ein sichtbarer Hinweis angezeigt, dass du mit einem KI-System sprichst.
- Art. 50 Abs. 2 (Output-Kennzeichnung): KI-generierte Texte (Feedback, Bewertungen, Sevi-Antworten) sind im UI als «KI-generiert» ausgewiesen.
- Menschlicher Ansprechpartner: Du hast jederzeit das Recht, statt mit einer KI mit einem Menschen zu sprechen. Schreib uns an legal@five-moves.org oder buche eine reale Trainerin über die reguläre Buchungsstrecke.
- Risiko-Einstufung: Unsere KI-Funktionen sind nach Prüfung gegen Anhang III EU AI Act keine Hochrisiko-Systeme. Prüfung V2 fällt unter Art. 6 Abs. 3 EU AI Act (vorbereitendes Werkzeug für menschliche Entscheidung) und gilt damit ebenfalls nicht als Hochrisiko-System.
- Modell-Anbieter (GPAI): Wir setzen Claude von Anthropic ein. Anthropic veröffentlicht Transparenz-Berichte zu seinen General-Purpose-AI-Modellen gemäss Art. 53 EU AI Act unter anthropic.com/transparency.
- Texte, die du in der jeweiligen KI-Funktion eingibst (Prompt-Inhalte)
- System-Prompts und Methodik-Kontext der FIVE MOVES® Plattform
- Technische Metadaten: Modell-ID, Token-Anzahl, Zeitstempel
Nicht übermittelt werden — sofern du sie nicht selbst in den Freitext eingibst: deine E-Mail, dein Klarname, deine User-ID. Die App pseudonymisiert diese Felder vor Übermittlung.
Anthropic speichert API-Inputs und -Outputs gemäss seiner Usage Policy maximal 30 Tage zur Erkennung von Missbrauch (Trust & Safety). Danach werden die Daten gelöscht. Inhalte, die nach Anthropic-Prüfung als rechtswidrig oder als Verletzung der Usage Policy eingestuft werden, können länger aufbewahrt werden (bis zu 2 Jahre).
In unseren eigenen Systemen speichern wir KI-Interaktionen bis zu 90 Tage zur Qualitätssicherung und Pädagogik (Lernfortschritt). Prüfungsergebnisse aus Prüfung V2 bleiben für die Dauer der Trainer-Zertifizierung bestehen. Löschung auf Anfrage jederzeit über legal@five-moves.org.
- Du kannst alle KI-Funktionen jederzeit deaktivieren, indem du sie nicht nutzt.
- Du kannst die Löschung deines KI-Interaktionsverlaufs in unseren Systemen jederzeit per E-Mail beantragen.
- Du kannst eine maschinenlesbare Kopie deiner KI-Daten anfordern (Recht auf Datenübertragbarkeit, Art. 20 DSGVO).
Newsletter
Wir versenden Newsletter ausschliesslich an Personen, die sich aktiv im Double-Opt-In-Verfahren angemeldet haben. Nach Eintragung deiner E-Mail-Adresse erhältst du eine Bestätigungs-Mail mit einem Aktivierungslink; erst nach Klick auf diesen Link werden wir dich in den Verteiler aufnehmen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Inhalte: Informationen zu FIVE MOVES®, neuen Kursen, Veranstaltungen, Methodik, Trainer-News.
Protokollierung: Zeitpunkt der Anmeldung, IP-Adresse, Bestätigungszeitpunkt — zum Nachweis nach Art. 7 Abs. 1 DSGVO.
Widerruf: Jederzeit möglich über den Abmeldelink in jedem Newsletter oder per E-Mail an legal@five-moves.org. Der Widerruf wirkt für die Zukunft und berührt nicht die Rechtmässigkeit der bisherigen Verarbeitung.
Internationale Datenübermittlung
Deine Daten werden vorrangig in der Schweiz und in der Europäischen Union gespeichert. Bei Übermittlung in Drittländer (insbesondere USA) sichern wir ein angemessenes Schutzniveau über folgende Mechanismen:
- EU-US Data Privacy Framework (DPF) — für zertifizierte US-Anbieter wie Stripe, Google, Cloudflare, Anthropic, Apple, Zoom (Status prüfbar unter dataprivacyframework.gov/list)
- Swiss-US Data Privacy Framework — für Datentransfers aus der Schweiz, anerkannt durch Bundesratsbeschluss vom 14.08.2024 (sofern der jeweilige Anbieter erweitert zertifiziert ist; prüfbar im DPF-Register)
- EU-Standardvertragsklauseln 2021/914 (Modul 2 oder 3) als subsidiäre Grundlage
- Verbindliche interne Datenschutzvorschriften (BCR) wo vom Anbieter eingesetzt
- Ergänzende technische und organisatorische Massnahmen einschliesslich Transportverschlüsselung (TLS 1.2+), Verschlüsselung at-rest und Pseudonymisierung
Eine Kopie der zugrundeliegenden Vertragsgrundlagen ist auf Anfrage unter legal@five-moves.org erhältlich.
Datensicherheit — Technische und Organisatorische Massnahmen
Wir treffen technische und organisatorische Massnahmen gemäss Art. 32 DSGVO und Art. 8 revDSG, um deine Daten vor unbefugtem Zugriff, Verlust, Verfälschung oder Löschung zu schützen:
- SSL/TLS-Verschlüsselung (mindestens TLS 1.2) für alle Datenverbindungen
- Verschlüsselung sensibler Daten at-rest in der Datenbank
- Passwort-Hashing nach Bcrypt-Standard, niemals Klartext-Speicherung
- Rollenbasiertes Zugangskontrollsystem (Need-to-Know-Prinzip)
- Multi-Faktor-Authentifizierung für Admin-Zugänge
- HMAC-signierte Tokens für kritische Workflows (Magic-Links, Rechnungsfreigabe)
- Eingabevalidierung und Schutz vor SQL-Injection (Prepared Statements)
- CSRF-Tokens in allen Formularen
- Tägliche Backups, Aufbewahrung 30 Tage
- Redundante Hosting-Infrastruktur
- Monitoring und Alarmierung bei Anomalien
- Verpflichtung aller Mitarbeitenden auf das Datengeheimnis
- Dokumentiertes Incident-Response-Verfahren (Meldung an Aufsichtsbehörde binnen 72 h bei meldepflichtigen Vorfällen, Art. 33 DSGVO)
- Regelmässige Sicherheitsaudits und Schwachstellenscans
- Auftragsverarbeitungsverträge mit allen Dienstleistern (siehe §6)
Speicherdauer
| Datenkategorie | Speicherdauer | Grundlage |
|---|---|---|
| Vertrags- und Rechnungsdaten | 10 Jahre nach Vertragsende | Art. 957 ff. OR (gesetzl. Aufbewahrung) |
| Kontodaten | Solange Konto aktiv, danach 6 Monate | Vertragserfüllung + Nachlauf |
| Kursfortschritt, Zertifizierungen | Bis 5 Jahre nach Kursabschluss | Berechtigtes Interesse (Re-Zertifizierung) |
| Nutzungs- und Analysedaten | Bis 24 Monate | Berechtigtes Interesse |
| KI-Interaktionsdaten bei uns | Bis 90 Tage (löschbar früher auf Anfrage) | Einwilligung |
| KI-Interaktionsdaten bei Anthropic | Bis 30 Tage (Trust & Safety) | Anthropic DPA / Usage Policy |
| Newsletter-Daten | Bis Widerruf der Einwilligung | Einwilligung |
| Marketing-Cookie-Daten | Bis Widerruf, max. 13 Monate | Einwilligung über Cookie-Banner |
| Technische Server-Logs | 30 Tage | IT-Sicherheit |
| Google Analytics | 26 Monate | Einwilligung |
| Support-Kommunikation | 12 Monate nach Abschluss | Berechtigtes Interesse |
Deine Rechte
Nach DSGVO Art. 15-22 und Schweizer revDSG Art. 25-29 hast du folgende Rechte uns gegenüber:
- Auskunft (Art. 15 DSGVO / Art. 25 revDSG): Welche Daten wir über dich speichern, zu welchem Zweck, an wen wir sie weitergeben.
- Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten.
- Löschung (Art. 17 DSGVO, «Recht auf Vergessenwerden»): Soweit keine Aufbewahrungspflicht entgegensteht.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO): Deine Daten in maschinenlesbarem, strukturiertem Format (JSON).
- Widerspruch (Art. 21 DSGVO): Gegen Verarbeitungen auf Basis berechtigter Interessen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft.
- Schutz vor automatisierten Einzelentscheidungen (Art. 22 DSGVO): Siehe §13.
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Siehe §17.
Automatisierte Entscheidungen, Profiling (Art. 22 DSGVO)
Wir treffen keine ausschliesslich automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO.
Konkret:
- KI-Feedback (Claude API, siehe §7) ist ein Trainingsunterstützungswerkzeug. Die KI gibt Rückmeldung und Anregung, trifft aber keine verbindlichen Entscheidungen über dich.
- Prüfung V2: Die finale Zertifizierungs-Entscheidung trifft immer eine menschliche Trainerin. Die KI liefert nur Multiple-Choice-Bewertungs-Vorschläge nach festgelegtem Schema. Trainerinnen prüfen und geben frei.
- Profiling im Sinne automatisierter Bewertung persönlicher Aspekte (Persönlichkeit, Verhaltensvorhersage, Bonität etc.) findet nicht statt.
- Marketing-Cookies wären technisch in der Lage, Profiling-Funktionen von Drittanbietern auszulösen. Aktuell sind keine derartigen Marketing-Cookies aktiv (Stand §19).
Dieser Abschnitt erfüllt Art. 22 DSGVO. Die Transparenzpflichten nach EU AI Act Art. 50 (Hinweis auf KI-Interaktion, Kennzeichnung KI-generierter Inhalte) sind eigenständig geregelt und in §7 (Transparenz gemäss EU AI Act) dokumentiert. Der EU AI Act und die DSGVO ergänzen einander — eine Entscheidung kann gleichzeitig DSGVO-konform und AI-Act-konform sein müssen.
Datenweitergabe an Dritte
Wir verkaufen keine personenbezogenen Daten. Eine Weitergabe erfolgt ausschliesslich:
- an unsere Auftragsverarbeiter nach Art. 28 DSGVO (siehe §6) im Rahmen der vereinbarten Zwecke und unter unserer Weisung
- auf Grundlage einer gesetzlichen Verpflichtung (z. B. Steuerbehörden, Strafverfolgung) — und nur soweit gesetzlich gefordert
- im Rahmen der Vertragsabwicklung (z. B. Zahlungsdienstleister, Versandlogistik bei physischen Produkten)
- nach deiner ausdrücklichen Einwilligung in Einzelfällen
Cookies und Tracking
Wir verwenden technisch notwendige Cookies (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO bzw. §25 Abs. 2 Nr. 2 TTDSG) sowie — nach deiner Einwilligung über den Cookie-Banner — Analyse- und Marketing-Cookies (Art. 6 Abs. 1 lit. a DSGVO i. V. m. §25 Abs. 1 TTDSG).
Detaillierte Auflistung aller verwendeten Cookies (Name, Anbieter, Zweck, Speicherdauer, Drittland-Transfer) sowie Möglichkeit zur jederzeitigen Anpassung deiner Cookie-Einstellungen:
Datenschutz von Kindern
Die FIVE MOVES® Website und App richten sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16. Sollten wir Kenntnis davon erlangen, werden wir diese Daten umgehend löschen.
Eltern oder Erziehungsberechtigte, denen bekannt wird, dass ihr Kind uns Daten übermittelt hat, können sich an legal@five-moves.org wenden.
Beschwerderecht
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht dir das Recht auf Beschwerde bei einer Aufsichtsbehörde zu:
- Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern — edoeb.admin.ch
- EU: Die zuständige nationale Datenschutzbehörde deines Wohnsitz- oder Arbeitsortes. Liste: edpb.europa.eu/about-edpb/about-edpb/members
- Deutschland (Beispiel): Die jeweils zuständige Landesdatenschutzbehörde des Bundeslandes deines Wohnsitzes.
Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung ändern, um sie an geänderte Rechtslage, neue Dienste oder neue Funktionen anzupassen. Die jeweils aktuelle Version ist mit Datum gekennzeichnet (siehe Hero und §19).
Bei wesentlichen Änderungen informieren wir registrierte Nutzerinnen und Nutzer per E-Mail oder über eine deutliche Mitteilung in der App. Die fortgesetzte Nutzung nach Inkrafttreten gilt als Kenntnisnahme; eine erneute Einwilligung holen wir ein, wo gesetzlich erforderlich.
Kontakt
4310 Rheinfelden, Schweiz