Sicherheit & Datenschutz

Datenschutz

Protime agiert als Auftragsbearbeiter (Data Processor) im Sinne von Art. 28 DSGVO und Art. 9 des Schweizer Datenschutzgesetzes (revDSG). Wir verarbeiten personenbezogene Daten ausschließlich im Auftrag und nach Weisung unserer Kunden.

Für Geschäftskunden stellen wir auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) bereit — verfügbar als Schweizer Version (revDSG) und als EU/deutsche Version (DSGVO). Wir führen eine aktuelle Liste aller Unterauftragsbearbeiter, die auf Anfrage verfügbar ist.

Zuständige Aufsichtsbehörde in der Schweiz ist der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte). Für Nutzer im EU-/EWR-Raum ist die jeweils zuständige Landesdatenschutzbehörde Ansprechpartner.

Datenhosting & Infrastruktur

Alle Daten werden auf der Google Cloud Platform in der EU-Region europe-west3 (Frankfurt) gehostet. Wir nutzen Firebase Authentication, Cloud Firestore und Cloud Functions. Es werden keine Daten außerhalb der EU gespeichert.

Verschlüsselung

• ✓Übertragung: Alle Verbindungen sind mit TLS/SSL verschlüsselt.
• ✓Speicherung: Google Cloud Standardverschlüsselung (AES-256) für alle gespeicherten Daten.
• ✓Authentifizierung: OAuth 2.0 für Gmail- und Outlook-Zugriff. Es werden keine Passwörter gespeichert.

KI-Verarbeitung

Wir nutzen ausschließlich Google Gemini für die Erstellung von Briefings. Die Verarbeitung erfolgt im Rahmen der Google Cloud Datenverarbeitungsvereinbarung (DPA) auf EU-Servern (Region europe-west3, Frankfurt). Google verwendet Ihre Daten nicht zum Training allgemeiner KI-Modelle (gemäß den Google Cloud Nutzungsbedingungen).

E-Mail- & Kalenderzugriff

• ✓Wir verwenden OAuth 2.0 mit folgenden Berechtigungen: Gmail (gmail.modify) und Outlook (Mail.Read, Mail.ReadWrite) fuer das Lesen, Verschieben und Erstellen von Entwuerfen. Kuenftig auch Kalender-Zugriff (Lesen und Schreiben) fuer Meeting-Vorbereitung und Terminvorschlaege. Der Zugriff kann jederzeit ueber die Kontoeinstellungen Ihres E-Mail-Anbieters widerrufen werden.
• ✓Verarbeitete E-Mails werden nach maximal 3 Monaten automatisch gelöscht. Die daraus generierten Zusammenfassungen bleiben erhalten.
• ✓Protime entspricht der Google Limited Use Policy und der Google API Services User Data Policy.

Organisatorische Sicherheit

• ✓Der Zugriff auf Kundendaten ist auf autorisiertes Personal beschränkt und erfolgt ausschließlich zur Fehlerbehebung oder auf Support-Anfrage.
• ✓Wir verfügen über einen Incident-Response-Prozess mit einer 72-Stunden-Benachrichtigungsfrist gemäß DSGVO-Anforderungen.
• ✓Regelmäßige Sicherheitsbewertungen, einschließlich Google CASA (Cloud Application Security Assessment). SOC 2 Typ 1 Zertifizierung ist für Q2 2026 geplant.
• ✓Alle Systemprotokolle werden 365 Tage aufbewahrt, um vollständige Nachvollziehbarkeit und Audit-Fähigkeit zu gewährleisten.
• ✓Datenschutz-Ansprechpartner: Marc Loeb, data@protime.ai

Unterauftragsbearbeiter

Eine aktuelle Übersicht der Dienste, die zur Erbringung von Protime eingesetzt werden:

• ✓Google Cloud Platform (Firestore, Cloud Functions, Firebase Auth) — EU-Region europe-west3, Google Cloud DPA.
• ✓Google Gemini — KI-Zusammenfassung, EU-Region europe-west3, Google Cloud DPA. Kein Training auf Kundendaten.
• ✓Google Vertex AI — Embeddings und Bildgenerierung, EU-Region europe-west3, Google Cloud DPA.
• ✓Microsoft Azure — Outlook OAuth 2.0, Microsoft Online Services DPA, EU-US Data Privacy Framework.
• ✓Stripe — Zahlungsabwicklung, Stripe DPA, EU-US Data Privacy Framework.