NEWLesen
Trust · DSGVO

DSGVO-bereit. EU- und Schweiz-konform.

CodeCourier verarbeitet personenbezogene Daten gemäss DSGVO und dem revidierten Schweizer DSG. Machen Sie Ihre acht Betroffenenrechte jederzeit geltend - wir antworten innerhalb von 30 Tagen, wie es Art. 12(3) vorschreibt.

Rechte geltend machenAVV anfordern
betroffenenrechte · DSGVOGewährt
Art. 15
Auskunft
Art. 16
Berichtigung
Art. 17
Löschung
Art. 18
Einschränkung
Art. 20
Übertragbarkeit
Art. 21
Widerspruch
Art. 22
Automatisiert
Art. 7(3)
Widerruf
CODECOURIER
betroffene person
Im Überblick

Die Struktur unseres Datenschutzprogramms.

Eine präzise Zusammenfassung der Regelwerke, denen wir folgen, der Rechte, die wir gewähren, und der Vendoren, die wir auditieren - bevor Sie ins Detail gehen.

Angemessenheit: Schweiz ↔ EU

Die Schweiz ist gemäss DSGVO Art. 45 als angemessen anerkannt. Wir erfüllen ebenso das revidierte Schweizer DSG, in Kraft seit September 2023.

Rechtsgrundlagen: 6

Wir stützen uns auf Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen - jeweils dokumentiert und zweckangemessen.

Betroffenenrechte: 8

Sämtliche Rechte nach Art. 15–22 werden über einen einzigen Posteingang gewährt. Der Widerruf der Einwilligung nach Art. 7(3) ist genauso einfach wie die Erteilung.

Unterauftragsverarbeiter: dokumentiert

Jeder Unterauftragsverarbeiter ist vertraglich nach Art. 28 gebunden und wird auf Anfrage offengelegt. Wesentliche Ergänzungen werden 30 Tage im Voraus angezeigt.

Rollen

Verantwortlicher oder Auftragsverarbeiter - je nach Daten.

Nach der DSGVO kann ein Unternehmen für einige Daten Verantwortlicher und für andere Auftragsverarbeiter sein. Hier sehen Sie, wo CodeCourier für welche Kategorie steht.

Wir sind VERANTWORTLICHER für…

  • Marketing-Leads aus Formularen, Demos und Content-Downloads.
  • Account-Registrierung, Abrechnungsdaten und Rechnungsdaten.
  • Support-Anfragen und die Metadaten unserer Kommunikation.
  • Aggregierte, anonymisierte Produktanalytik zum Betrieb des Dienstes.

Wir sind AUFTRAGSVERARBEITER für…

  • Vom Kunden hochgeladener Quellcode und Repository-Inhalte.
  • Agent-Run-Logs, Traces und Tool-Call-Ausgaben in Ihrem Auftrag.
  • Sandbox-Datei-Artefakte aus Agenten-Läufen.
  • Projektkontexte, Personas und Team-Konfigurationen, die Sie erstellen.
  • Learnings und Embeddings, abgeleitet aus Ihrem privaten Korpus.

Unsere Auftragsverarbeitungsvereinbarung (AVV / DPA) regelt das Auftragsverarbeitungsverhältnis - fordern Sie sie über die CTA oben an.

Rechtsgrundlagen

Sechs Grundlagen. Jede mit Absicht eingesetzt.

Jede Verarbeitungstätigkeit ist genau einer der sechs Rechtsgrundlagen aus Art. 6 zugeordnet - und nur dieser. Wir stapeln keine Grundlagen, um Optionen offenzuhalten.

Art. 6(1)(a)

Einwilligung

Für nicht-essenzielle Marketing-E-Mails, Analyse-Cookies und optionale Personalisierung. Immer granular, immer mit einem Klick widerrufbar.

Art. 6(1)(b)

Vertrag

Zur Erbringung des bestellten Dienstes: Bereitstellung von Sandboxes, Ausführung von Agenten, Speicherung Ihres Projektkontexts und Rechnungsstellung.

Art. 6(1)(c)

Rechtliche Verpflichtung

Zur Aufbewahrung von Buchhaltungs- und Steuerunterlagen nach Schweizer Handelsrecht, zur Beantwortung rechtmässiger Auskünfte und zur Wahrung der Betroffenenrechte.

Art. 6(1)(d)

Lebenswichtige Interessen

Reserviert für Lebens- und Sicherheitssituationen - wir stützen uns nicht aktiv auf diese Grundlage, halten sie aber für Notfälle bereit.

Art. 6(1)(e)

Öffentliche Aufgabe

Nicht genutzt. Wir sind ein privates kommerzielles Unternehmen und nehmen keine im öffentlichen Interesse liegenden oder hoheitlichen Aufgaben wahr.

Art. 6(1)(f)

Berechtigte Interessen

Eng gefasst für Betrugsprävention, Dienst-Sicherheit, Missbrauchserkennung und minimale Produkttelemetrie - stets nach Abwägung gegen Ihre Rechte.

Ihre Rechte

Acht Rechte. Ein Posteingang.

Sie brauchen weder Formular noch Portal noch Anwalt. Eine einzige E-Mail genügt - wir leiten Ihre Anfrage an das richtige Team und antworten innerhalb der gesetzlichen Frist.

Art. 15

Auskunftsrecht

Sie erhalten Bestätigung, ob wir personenbezogene Daten zu Ihnen verarbeiten, eine Kopie dieser Daten sowie Informationen zu Zwecken, Kategorien und Empfängern.

Recht ausüben
Art. 16

Recht auf Berichtigung

Sie können unrichtige personenbezogene Daten unverzüglich berichtigen und unvollständige Daten - auch durch eine ergänzende Erklärung - vervollständigen lassen.

Recht ausüben
Art. 17

Recht auf Löschung

Auch bekannt als Recht auf Vergessenwerden. Wir löschen personenbezogene Daten, wenn einer der gesetzlichen Gründe vorliegt, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

Recht ausüben
Art. 18

Recht auf Einschränkung

Sie können uns verpflichten, die Verarbeitung in bestimmten Fällen einzuschränken - etwa während der Prüfung einer Genauigkeitsbeanstandung oder eines Widerspruchs.

Recht ausüben
Art. 20

Recht auf Datenübertragbarkeit

Soweit die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt, erhalten Sie Ihre Daten in einem strukturierten, maschinenlesbaren Format.

Recht ausüben
Art. 21

Widerspruchsrecht

Sie können jederzeit der Verarbeitung auf Grundlage berechtigter Interessen oder zu Direktwerbungszwecken widersprechen - danach stellen wir die Verarbeitung ein, sofern keine zwingenden Gründe entgegenstehen.

Recht ausüben
Art. 22

Automatisierte Entscheidungen

Sie werden nicht ausschliesslich automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen - eine menschliche Überprüfung ist sichergestellt.

Recht ausüben
Art. 7(3)

Widerruf der Einwilligung

Wo wir uns auf Ihre Einwilligung stützen, können Sie diese jederzeit widerrufen. Die Rechtmässigkeit der bisherigen Verarbeitung bleibt davon unberührt.

Recht ausüben

Wir antworten innerhalb von 30 Tagen, wie es Art. 12(3) vorschreibt. Bei komplexen Anfragen können wir um bis zu zwei Monate verlängern - mit Begründung, und Sie hören in jedem Fall innerhalb der ersten 30 Tage von uns.

Transfers

Wie Daten Grenzen überschreiten.

Personenbezogene Daten verlassen einen EU/EWR-Rechtsraum nur, wenn ein gültiger Transfermechanismus vorliegt - und wir dokumentieren, welcher für welches Ziel gilt.

Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission gemäss DSGVO Art. 45 - Transfers zwischen EU/EWR und der Schweiz benötigen daher keine zusätzlichen Schutzmassnahmen. Nach Schrems II prüfen wir jeden Weitertransfer mit derselben Sorgfalt.

Für Transfers in Länder ohne Angemessenheitsbeschluss verwenden wir die Standardvertragsklauseln (SCC) von 2021 als Standardmechanismus, ergänzt um den Schweizer DSG-Zusatz, wo die Daten parallel dem Schweizer Recht unterliegen.

Wo es die Überwachungsgesetze des Ziellandes erfordern, führen wir ein Transfer Impact Assessment (TIA) durch und ergreifen ergänzende Massnahmen - typischerweise vom Verantwortlichen kontrollierte Verschlüsselung und vertragliche Transparenzzusagen.

transfer · flow
EU / EWR
Angemessenheitsbeschluss · Art. 45
Schweiz
Angemessenheitsbeschluss · Art. 45
Andere Regionen
2021-SCC + TIA bei Bedarf
Datenstandort

Wählen Sie, wo Ihre Daten liegen.

Kundendaten werden in regionalen Clustern gespeichert. EU- und Schweiz-Residency sind heute verfügbar; weitere Regionen sind in Planung und können auf Anfrage aktiviert werden.

Verfügbar

EU (Frankfurt)

Primärregion für EU-Kunden. Sämtliche Verarbeitung und Backups verbleiben innerhalb der EU/EWR-Grenze.

Verfügbar

Schweiz (Zürich)

Schweizer Datenstandort für DSG-sensitive Kunden. Mit der EU nach Art. 45 angemessen.

Roadmap

Vereinigte Staaten (Virginia)

Geplant für Kunden mit US-Residency-Bedarf. Wird mit 2021-SCC und Transfer Impact Assessment ausgeliefert.

Roadmap

Weitere Regionen auf Anfrage

Regionale Cluster in UK, APAC oder LATAM sind im Rahmen von Enterprise-Verträgen möglich - sprechen Sie uns auf Ihren Residency-Bedarf an.

Unterauftragsverarbeiter

Dokumentiert, geprüft, angezeigt.

Wir setzen einen kleinen Kreis von Unterauftragsverarbeitern ein - Cloud-Infrastruktur, Modellanbieter und operative Tools - jeweils vertraglich nach Art. 28 gebunden und jährlich auf ihre Sicherheits- und Datenschutzposture überprüft.

Die vollständige Liste der Unterauftragsverarbeiter mit Kategorien, Standorten und Transfermechanismen ist auf Anfrage verfügbar und Bestandteil unserer AVV.

Liste anfordern30 Tage Vorankündigung vor neuen Unterauftragsverarbeitern
Massnahmen nach Art. 32

Technische und organisatorische Massnahmen.

Art. 32 fordert ein dem Risiko angemessenes Schutzniveau. Hier sind die Massnahmen, die wir über alle Verarbeitungstätigkeiten hinweg umsetzen - in verständlicher Sprache.

Verschlüsselung

TLS 1.2+ für Daten im Transit und AES-256 für ruhende Daten. Schlüssel werden im KMS des Cloud-Providers mit Rotation und Audit-Logging verwaltet.

Pseudonymisierung

Interne Analytik, Telemetrie und ML-Workflows arbeiten mit pseudonymen Identifikatoren, wo der Zweck keine zurechenbaren Daten erfordert.

Zugriffskontrollen (RBAC)

Rollenbasiert nach Least Privilege, SSO für Mitarbeitende, verpflichtende MFA und quartalsweise Access Reviews. Produktionszugriffe sind protokolliert und zeitlich begrenzt.

Resilienz und Backups

Verschlüsselte, georedundante Backups mit dokumentierten RTO-/RPO-Zielen und regelmässigen Wiederherstellungsübungen, die belegen, dass Recovery tatsächlich funktioniert.

Incident Response

Ein dokumentiertes Playbook mit Schweregradstufen, On-Call-Rotation und einer 72-Stunden-Meldefrist gemäss DSGVO Art. 33.

Regelmässige Tests

Kontinuierliches Dependency-Scanning, periodische Penetrationstests und Tabletop-Übungen, die technische und organisatorische Kontrollen gleichermassen prüfen.

Vollständige Security-Details
Kontakt

Datenschutz-Kontakt.

Verantwortlicher
CodeCourier
Vertretung
Nico Jaroszewski
Adresse
Schlosstalstrasse 202, 8408 Winterthur, Switzerland
E-Mail
info@codecourier.dev

EU-Vertreter nach Art. 27: Derzeit nicht erforderlich. CodeCourier ist in der Schweiz niedergelassen und verarbeitet Daten von EU-Personen nicht regelmässig ausserhalb des Vertragsumfangs. Ein Vertreter wird benannt, sobald die Kriterien von Art. 27 erfüllt sind. Ein formeller Datenschutzbeauftragter (Art. 37) wird benannt, sobald Umfang oder Sensibilität der Verarbeitung dies erfordern.

Datenschutz kontaktieren
FAQ

Antworten ohne Beschönigung.

Wie lange bewahren Sie Kundendaten auf?
Wir bewahren Kundendaten so lange auf, wie Ihr Konto aktiv ist, sowie für eine kurze Restfrist danach für Rechnungsstellung, Streitbeilegung und gesetzliche Pflichten. Konkrete Aufbewahrungsfristen pro Datenkategorie sind in unserer AVV dokumentiert; eine frühere Löschung können Sie nach Art. 17 verlangen.
Kann ich meine Daten exportieren?
Ja. Im Produkt können Sie aktive Projektdaten selbst exportieren; zusätzlich können Sie nach Art. 20 einen strukturierten, maschinenlesbaren Export per E-Mail anfordern. Wir antworten innerhalb von 30 Tagen und übermitteln das Paket über einen authentifizierten Kanal.
Trainieren Sie Modelle auf Kundencode?
Nein. Vom Kunden hochgeladener Code und Agent-Run-Daten werden nicht zum Training unserer Foundation-Models oder derer Dritter verwendet. Fine-Tuning und Embeddings erfolgen ausschliesslich innerhalb Ihres Workspaces und nur zur Bedienung Ihrer Agenten.
Was passiert mit den Daten bei einer Kündigung?
Aktive Projektdaten werden innerhalb von 30 Tagen nach Kündigung gelöscht, sofern keine gesetzliche Aufbewahrungspflicht für bestimmte Datensätze (typischerweise Buchhaltung und Steuern) länger gilt. Backups laufen über ihren normalen Lebenszyklus aus und bleiben bis dahin verschlüsselt gespeichert.
Übermitteln Sie Daten in die USA?
Nur soweit zum Betrieb des Dienstes zwingend erforderlich - etwa für einen kleinen Kreis operativer Tools und Modellanbieter. Solche Transfers stützen sich auf die Standardvertragsklauseln (SCC) von 2021, werden bei Bedarf von einem Transfer Impact Assessment begleitet und sind in unserer Unterauftragsverarbeiter-Liste aufgeführt.
Wie reiche ich eine Beschwerde bei meiner Aufsichtsbehörde ein?
Sie haben jederzeit das Recht, bei der Datenschutzbehörde Ihres Wohnsitzlandes eine Beschwerde einzureichen (der EDPB führt ein Verzeichnis der nationalen Aufsichtsbehörden in EU/EWR). Für Personen mit Wohnsitz in der Schweiz ist der EDÖB zuständig. Wir würden uns aber freuen, wenn Sie uns zuerst Gelegenheit geben, Ihr Anliegen direkt zu klären.
Datenschutz bei CodeCourier

Fragen zur Verarbeitung Ihrer Daten?

Security-SeiteDatenschutz-Team kontaktieren
14 Tage kostenlos · keine Kreditkarte

Stellen Sie Ihren ersten KI-Ingenieur ein.
Bis zum Mittag live.

5 Minuten Onboarding. Erster PR innerhalb einer Stunde. Jederzeit kündbar.

Ersten Agenten deployen20-Min-Demo buchen