Verantwortlich für die Datenverarbeitung ist die PaperWar GmbH, Bärengasse 3, 4800 Zofingen, Schweiz ("wir"). Für Datenschutzanfragen erreichst du uns unter: [datenschutz@stuerli.ch] oder admin@stuerli.ch.
Sofern wir einen Datenschutzberater oder eine Datenschutzvertretung benennen, werden die Kontaktdaten an dieser Stelle veröffentlicht.
Diese Datenschutzerklärung gilt für die Nutzung der Plattform "Stürli" über die Website sowie die Mobile Apps (iOS/Android). Sie gilt auch für Kommunikationskanäle innerhalb der Plattform (z. B. Chat) und für Supportkontakte.
Wir verarbeiten je nach Nutzung insbesondere folgende Kategorien personenbezogener Daten:
E-Mail-Adresse, Passwort (ausschliesslich in gehashter Form), Nutzerrollen/Status, Zeitpunkte von Registrierung und Login, Sicherheits- und Verifikationsstatus (z. B. OTP/MFA).
Name, Adresse, Telefonnummer und weitere vom Nutzer bereitgestellte Profilinformationen.
Angaben, die der Nutzer im Rahmen der Steuerfallbearbeitung eingibt, einschliesslich strukturierter Steuerformulardaten, Statusinformationen, Notizen und Metadaten.
Hochgeladene Dateien und deren Metadaten (Dateiname, Typ, Upload-Zeitpunkt), Inhalte im Chat oder Nachrichtenverlauf, sofern der Nutzer diese erstellt.
IP-Adresse, Device- und App-Informationen, Logdaten, Sicherheitsereignisse, Diagnosedaten, Fehlerreports und Performance-Daten, soweit dies für Betrieb und Sicherheit erforderlich ist.
Zahlungsstatus, Produkt-/Planinformationen, Transaktionsreferenzen; Zahlungsdaten (z. B. Kartennummer) werden in der Regel direkt durch Stripe verarbeitet.
Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:
Soweit die DSGVO anwendbar ist, stützen wir Verarbeitungen insbesondere auf folgende Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) sowie Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), sofern wir dich ausdrücklich um Einwilligung bitten (z. B. optionale Marketingkommunikation, bestimmte Tracking-/Analytics-Cookies, soweit verwendet).
Wir setzen Dienstleister ein, die Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter), insbesondere für Hosting, Speicher, Sicherheit und Zahlungsabwicklung. Dazu können insbesondere gehören:
Wir schliessen – soweit erforderlich – Auftragsverarbeitungsverträge (DPA/AVV) ab und verpflichten Dienstleister auf angemessene Sicherheitsmassnahmen.
Je nach gewählter Region und Dienstleister kann es zu einer Datenverarbeitung in der Schweiz, im EWR oder in weiteren Ländern kommen. Soweit Daten in Staaten ohne angemessenes Datenschutzniveau übermittelt werden, sichern wir die Übermittlung durch geeignete Garantien ab, insbesondere Standardvertragsklauseln (SCC) oder vergleichbare Instrumente, soweit gesetzlich gefordert.
Wir setzen angemessene technische und organisatorische Massnahmen ein, um deine Daten zu schützen. Dazu zählen – je nach Systemteil – insbesondere Transportverschlüsselung (TLS/SSL), rollenbasierte Zugriffskontrollen, Hashing von Passwörtern, Protokollierung sicherheitsrelevanter Ereignisse, Zero-Trust-Mechanismen, Schutz gegen Brute-Force sowie regelmässige Updates.
Bitte beachte, dass trotz umfassender Sicherheitsmassnahmen keine absolute Sicherheit garantiert werden kann. Du bist selbst verpflichtet, dein Endgerät zu schützen (z. B. aktuelle Updates, sichere Passwörter, Geräte-PIN, keine Weitergabe von Tokens/Einmalcodes).
Zur Sicherung von Registrierung und Login können wir Einmalcodes (OTP) per E-Mail oder weitere MFA-Mechanismen einsetzen. Dabei verarbeiten wir die E-Mail-Adresse, OTP-Status, Zeitpunkte, IP-/Geräteinformationen und Sicherheitslogs, um Missbrauch zu verhindern und Authentifizierungsvorgänge nachzuvollziehen. Diese Logs werden für einen angemessenen Zeitraum gespeichert, der sich nach Sicherheits- und Nachweiserfordernissen richtet.
Je nach Nutzung können hochgeladene Dokumente Informationen enthalten, die als besonders schützenswert gelten können (z. B. Gesundheitskosten, Religionszugehörigkeit implizit über Spendenbelege, Sozialdaten). Wir empfehlen, nur jene Dokumente hochzuladen, die für den Steuerzweck erforderlich sind. Wir verarbeiten solche Dokumente ausschliesslich, um die Plattformfunktion zu erbringen und den vom Nutzer initiierten Zweck zu erfüllen.
In der Webversion können Cookies oder ähnliche Technologien eingesetzt werden, um grundlegende Funktionen (z. B. Session, Sicherheit) bereitzustellen. Optionale Technologien (z. B. Analytics/Marketing) setzen wir – soweit verwendet – nur nach Einwilligung ein. Details (inkl. Cookie-Kategorien, Speicherdauer, Opt-out) werden in einer separaten Cookie-Information bzw. in den Cookie-Einstellungen erläutert.
In der Mobile App können vergleichbare Technologien (z. B. lokale Speicherung, Secure Storage) eingesetzt werden, um Sessions, Tokens oder Einstellungen sicher zu speichern.
Die App kann – je nach Funktionsumfang – Berechtigungen anfragen, etwa für Kamera (Dokument-Scan), Dateizugriff (Upload), Benachrichtigungen (Statusupdates) oder Biometrie (komfortables Entsperren). Diese Berechtigungen werden nur verwendet, um die jeweilige Funktion bereitzustellen, und können vom Nutzer in den Geräteeinstellungen gesteuert werden. Eine Verweigerung kann dazu führen, dass bestimmte Funktionen nicht nutzbar sind.
Wir speichern personenbezogene Daten nur so lange, wie dies für die in dieser Datenschutzerklärung genannten Zwecke erforderlich ist. Darüber hinaus speichern wir Daten, soweit gesetzliche Aufbewahrungspflichten bestehen oder soweit dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Dokumente und steuerfallbezogene Daten können aus Nachweis- und Steuerkontext-Gründen längere Aufbewahrungsfristen auslösen. Konkrete Fristen hängen von der Rolle (Privatperson/Unternehmen), dem Vertragsmodell und anwendbaren gesetzlichen Pflichten ab. Nach Ablauf der Aufbewahrungspflichten werden Daten gelöscht oder anonymisiert, soweit technisch möglich.
Du hast – nach Massgabe des anwendbaren Rechts – insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen bestimmte Verarbeitungen. Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
Anfragen kannst du an die in Ziffer 1 genannten Kontaktstellen richten. Wir behalten uns vor, zur Verhinderung von Missbrauch eine geeignete Identitätsprüfung vorzunehmen.
In der Schweiz kannst du dich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden. Im EWR besteht zudem ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde deines Wohnsitzes oder Arbeitsortes.
Wir können diese Datenschutzerklärung anpassen, wenn sich rechtliche Anforderungen ändern oder wenn wir Funktionen, Dienstleister oder Prozesse weiterentwickeln. Die jeweils aktuelle Version wird in der App bzw. auf der Website veröffentlicht.