Datenschutzerklärung

Datenschutzerklärung

für publy.ch, app.publy.ch und flow.publy.ch

Stand: 16. März 2026

1. Verantwortlicher

Verantwortlich im Sinne des Schweizer Bundesgesetzes über den Datenschutz (DSG) sowie der Europäischen Datenschutz-Grundverordnung (DSGVO) ist:

KBX GmbH

Im Feld 9

6212 St. Erhard

Schweiz

E-Mail: info@kb-media.ch

Website: https://publy.ch

Die KBX GmbH hat keinen Datenschutzbeauftragten ernannt. Für Datenschutzanfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die SaaS-Plattform publy.ch einschliesslich der Anwendungen unter app.publy.ch und flow.publy.ch (nachfolgend zusammen «Plattform»).

Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und den Zweck der Bearbeitung von Personendaten innerhalb unserer Plattform auf. Sie richtet sich an Nutzerinnen und Nutzer in der Schweiz und in der Europäischen Union.

3. Rechtsgrundlagen

Wir bearbeiten Personendaten im Einklang mit dem Schweizer Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) und, soweit anwendbar, der Europäischen Datenschutz-Grundverordnung (DSGVO). Insbesondere stützen wir uns auf folgende Rechtsgrundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bearbeitung zur Durchführung vorvertraglicher Massnahmen oder zur Erfüllung eines Vertrags.

  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Bearbeitung zur Wahrung unserer berechtigten Interessen, sofern Ihre Interessen oder Grundrechte nicht überwiegen.

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; Art. 6 Abs. 6 DSG): Bearbeitung aufgrund Ihrer ausdrücklichen Einwilligung (z.B. Newsletter-Versand).

  • Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Soweit wir gesetzlich zur Bearbeitung verpflichtet sind.

4. Art der erhobenen Personendaten

Im Rahmen der Nutzung unserer Plattform können folgende Kategorien von Personendaten erhoben werden:

4.1 Kontodaten

  • Name, E-Mail-Adresse (via Google Auth oder E-Mail-Registrierung)

  • Profilbild und Benutzername (von Google Auth übermittelt)

  • Passwort (verschlüsselt gespeichert)

4.2 Zahlungsdaten

  • Rechnungsadresse, Zahlungsmethode, Transaktionshistorie (verarbeitet durch Stripe)

4.3 Nutzungsdaten

  • IP-Adresse, Browsertyp, Gerätetyp, Betriebssystem

  • Besuchte Seiten, Verweildauer, Klickverhalten (erfasst durch Google Analytics)

  • Interaktionen innerhalb der Plattform

4.4 Kommunikationsdaten

  • E-Mail-Adresse für Newsletter (Mailchimp), transaktionale E-Mails (Resend) und allgemeine Kommunikation (Google Workspace / Gmail)

4.5 Formulardaten

  • Alle Daten, die Sie über Cognito Forms an uns übermitteln (z.B. Kontaktformulare, Support-Anfragen)

4.6 KI-generierte Daten

  • Prompts und Eingaben, die Sie in der Plattform für KI-Funktionen verwenden (Bildgenerierung, KI-Vorschläge)

  • Unternehmensdaten, die über Firecrawl abgerufen werden (z.B. Logo, Branding-Informationen von öffentlichen Websites)

4.7 Social-Media-Daten

  • Daten, die über die Social-Media-Integration (Latenode/GetLate API) erhoben werden, sofern Sie diese Funktion nutzen

5. Zwecke der Datenbearbeitung

Wir bearbeiten Ihre Personendaten zu folgenden Zwecken:

  • Bereitstellung, Betrieb und Verbesserung der Plattform und ihrer Funktionen

  • Erstellung und Verwaltung von Benutzerkonten (Authentifizierung via Google Auth / E-Mail)

  • Abwicklung von Zahlungen und Abonnements

  • Versand von transaktionalen E-Mails (z.B. Bestätigungen, Passwort-Resets)

  • Versand von Newslettern und Marketingkommunikation (nur mit Ihrer Einwilligung)

  • Analyse und Verbesserung unserer Dienste (Webanalyse)

  • KI-gestützte Funktionen wie Bildgenerierung und inhaltliche Vorschläge

  • Abruf öffentlicher Unternehmensinformationen für Branding-Funktionen

  • Social-Media-Management und -Integration

  • Automatisierung interner Geschäftsprozesse

  • Gewährleistung der Sicherheit und Verhinderung von Missbrauch

  • Erfüllung gesetzlicher Pflichten

6. Einsatz von Drittdiensten und Auftragsbearbeiter

Zur Erbringung unserer Dienste setzen wir die folgenden Drittanbieter ein, die als Auftragsbearbeiter (Art. 9 DSG) bzw. Auftragsverarbeiter (Art. 28 DSGVO) in unserem Auftrag Personendaten bearbeiten. Bei allen Datenübermittlungen in die USA stützen wir uns auf das EU-U.S. Data Privacy Framework (DPF), das Swiss-U.S. Data Privacy Framework oder auf Standardvertragsklauseln (SCC) als Garantie für ein angemessenes Datenschutzniveau.

6.1 Supabase (Hosting & Datenbank)

Anbieter: Supabase Inc., 3500 S. DuPont Highway, Dover, Delaware, USA

Zweck: Hosting der Plattform, Datenbankverwaltung, Authentifizierung, Dateispeicherung

Daten: Sämtliche Kontodaten, Nutzungsdaten und in der Plattform gespeicherte Inhalte

Standort: Die Daten werden in der von uns gewählten Region gespeichert und nicht automatisch in andere Regionen transferiert. Supabase ist SOC 2 Type II-konform.

Garantien: Data Processing Addendum (DPA) mit Standardvertragsklauseln (SCC) und Referenz auf Schweizer Datenschutzrecht

Datenschutzerklärung: https://supabase.com/privacy

6.2 Google Analytics

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland / Google LLC, USA

Zweck: Webanalyse, Erfassung von Nutzungsstatistiken

Daten: IP-Adresse (anonymisiert), Geräte- und Browserinformationen, Seitenaufrufe, Verweildauer, Interaktionen

Standort: EU/USA – Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) über Cookie-Banner

Google Analytics verwendet Cookies, um die Nutzung unserer Plattform zu analysieren. Sie können die Erfassung durch Google Analytics verhindern, indem Sie das Browser-Add-on zur Deaktivierung von Google Analytics installieren oder Ihre Cookie-Einstellungen anpassen.

Datenschutzerklärung: https://policies.google.com/privacy

6.3 Stripe (Zahlungsabwicklung)

Anbieter: Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA, USA / Stripe Payments Europe Ltd., Dublin, Irland

Zweck: Abwicklung von Zahlungen und Abonnements

Daten: Name, E-Mail, Rechnungsadresse, Kreditkarten- bzw. Zahlungsinformationen, Transaktionshistorie

Standort: EU/USA – Stripe ist unter dem EU-U.S., UK und Swiss-U.S. Data Privacy Framework zertifiziert

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Stripe kann bereits bei Eingabe in Checkout-Formulare Daten erfassen, auch wenn der Kauf nicht abgeschlossen wird. Stripe agiert sowohl als Auftragsverarbeiter als auch als eigenständiger Verantwortlicher für bestimmte Zwecke (z.B. Betrugsprävention, regulatorische Anforderungen).

Datenschutzerklärung: https://stripe.com/privacy

6.4 Mailchimp (Newsletter)

Anbieter: The Rocket Science Group LLC d/b/a Mailchimp, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA, USA (Intuit Inc.)

Zweck: Versand von Newslettern und Marketing-E-Mails

Daten: E-Mail-Adresse, Name, Öffnungs- und Klickraten

Standort: USA – auf Basis von Standardvertragsklauseln (SCC) und dem EU-U.S. Data Privacy Framework

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Sie können den Newsletter jederzeit über den Abmeldelink in jeder E-Mail abbestellen. Nach Abmeldung werden Ihre Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Datenschutzerklärung: https://www.intuit.com/privacy/statement/

6.5 Resend (Transaktionale E-Mails)

Anbieter: Plus Five Five, Inc. (Resend), USA

Zweck: Versand transaktionaler In-App-E-Mails (z.B. Bestätigungen, Benachrichtigungen)

Daten: E-Mail-Adresse, Name, E-Mail-Inhalt

Standort: USA – Resend ist unter dem EU-U.S. Data Privacy Framework und der UK Extension zertifiziert. Es bestehen SOC 2 Type II-Konformität und ein Data Processing Addendum mit SCC.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Datenschutzerklärung: https://resend.com/legal/privacy-policy

6.6 Google Workspace / Gmail (E-Mail-Kommunikation)

Anbieter: Google Ireland Limited / Google LLC, USA

Zweck: Allgemeine geschäftliche E-Mail-Kommunikation

Daten: E-Mail-Adresse, Name, Kommunikationsinhalte

Standort: EU/USA – Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert

Rechtsgrundlage: Vertragserfüllung und berechtigte Interessen

Datenschutzerklärung: https://policies.google.com/privacy

6.7 Google Auth (Anmeldung / Single Sign-On)

Anbieter: Google Ireland Limited / Google LLC, USA

Zweck: Authentifizierung und Anmeldung bei der Plattform

Daten: Name, E-Mail-Adresse, Profilbild, Google-Benutzer-ID

Standort: EU/USA – EU-U.S. Data Privacy Framework

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Wenn Sie sich über Google Auth anmelden, erhalten wir Zugriff auf bestimmte Daten Ihres Google-Kontos gemäss den von Google festgelegten Berechtigungen. Wir empfehlen Ihnen, die Datenschutzeinstellungen Ihres Google-Kontos regelmässig zu überprüfen.

Datenschutzerklärung: https://policies.google.com/privacy

6.8 Google KI-Dienste (Bildgenerierung & KI-Vorschläge)

Anbieter: Google Ireland Limited / Google LLC, USA

Zweck: KI-gestützte Bildgenerierung und inhaltliche Vorschläge innerhalb der Plattform

Daten: Benutzereingaben (Prompts, Texte), generierte Inhalte

Standort: EU/USA – EU-U.S. Data Privacy Framework

Rechtsgrundlage: Vertragserfüllung und berechtigte Interessen

Ihre Eingaben werden an Google-KI-Dienste übermittelt, um die gewünschten Ergebnisse zu generieren. Bitte geben Sie keine besonders schützenswerten Personendaten in KI-Prompts ein. Wir empfehlen, keine vertraulichen oder persönlichen Informationen Dritter über die KI-Funktionen zu verarbeiten.

Datenschutzerklärung: https://policies.google.com/privacy

6.9 Firecrawl (Web-Scraping für Branding)

Anbieter: Mendable AI / Firecrawl, USA

Zweck: Automatischer Abruf öffentlich verfügbarer Unternehmensinformationen (Logo, Farben, Branding) von Websites

Daten: URL der abzurufenden Website, öffentlich zugängliche Inhalte (keine Personendaten im Regelfall)

Standort: USA

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Firecrawl wird eingesetzt, um das Branding (z.B. Logo, Farbschema) eines Unternehmens automatisch von dessen öffentlicher Website abzurufen. Es werden dabei in der Regel keine Personendaten verarbeitet.

Datenschutzerklärung: https://www.firecrawl.dev/privacy-policy

6.10 Latenode / GetLate API (Social-Media-Integration)

Anbieter: Latenode (Betreiber gemäss deren Nutzungsbedingungen)

Zweck: Integration von Social-Media-Kanälen, Veröffentlichung und Verwaltung von Social-Media-Inhalten

Daten: Social-Media-Kontodaten, veröffentlichte Inhalte, Zugangstokens

Standort: Abhängig von der verbundenen Social-Media-Plattform

Rechtsgrundlage: Einwilligung und Vertragserfüllung

Durch die Verbindung Ihrer Social-Media-Konten mit unserer Plattform autorisieren Sie den Datenaustausch zwischen der Plattform und dem jeweiligen Netzwerk. Bitte beachten Sie zusätzlich die Datenschutzerklärung des jeweiligen Social-Media-Anbieters.

6.11 Cognito Forms (Online-Formulare)

Anbieter: Cognito LLC, Columbia, SC, USA

Zweck: Bereitstellung von Online-Formularen (z.B. Kontakt, Support, Anmeldung)

Daten: Alle über das Formular eingegebenen Daten (Name, E-Mail, Nachricht etc.)

Standort: USA – gehostet auf Microsoft Azure; Cognito Forms ist GDPR-konform und bietet ein Data Processing Addendum (DPA)

Rechtsgrundlage: Einwilligung und Vertragserfüllung

Wir setzen Cognito Forms ein, um Ihre Informationen sicher zu erfassen und zu verwalten. Cognito Forms verarbeitet Ihre Daten im Einklang mit der DSGVO.

Datenschutzerklärung: https://www.cognitoforms.com/legal/privacy

6.12 Make.com (Automatisierung)

Anbieter: Celonis Inc., One World Trade Center, 87th Floor, New York, NY, USA (vormals Integromat, mit Sitz der Entwicklung in Tschechien)

Zweck: Automatisierung interner Geschäftsprozesse und Datenflüsse zwischen Diensten

Daten: Je nach Automatisierung können verschiedene Personendaten verarbeitet werden (z.B. E-Mail-Adressen, Formulareinträge)

Standort: EU (Tschechien) / USA – Make.com ist DSGVO-konform, SOC 2 Type II-zertifiziert und unter dem Swiss-U.S. Data Privacy Framework registriert. Die Datenverarbeitung erfolgt auf EU-Servern.

Rechtsgrundlage: Berechtigte Interessen und Vertragserfüllung

Make.com dient der internen Automatisierung. Die durch Make.com verarbeiteten Daten hängen von den jeweils konfigurierten Automatisierungen ab.

Datenschutzerklärung: https://www.make.com/en/privacy-notice

6.13 Lovable (Anwendungsentwicklung)

Anbieter: Lovable Labs AB, Box 190, 101 23 Stockholm, Schweden / Lovable Labs Incorporated, USA

Zweck: KI-gestützte Entwicklung und Bereitstellung der Plattform-Anwendungen

Daten: Code, Projektdaten und gegebenenfalls Daten, die über die Lovable-Cloud verarbeitet werden

Standort: EU/USA/Australien – Lovable Cloud unterstützt regionale Datenhaltung. Kundendaten verbleiben in der gewählten Region.

Rechtsgrundlage: Vertragserfüllung und berechtigte Interessen

Lovable nutzt Supabase als Infrastruktur und kann Daten an KI-Anbieter (z.B. OpenAI, Google) übermitteln. Lovable hat einen Datenschutzbeauftragten ernannt und stellt ein DPA zur Verfügung.

Datenschutzerklärung: https://lovable.dev/privacy

7. Datenübermittlung ins Ausland

Im Rahmen der Nutzung der oben genannten Drittdienste werden Personendaten in folgende Staaten übermittelt:

  • USA: Supabase, Stripe, Mailchimp, Resend, Google (Analytics, Auth, AI, Workspace), Firecrawl, Cognito Forms, Lovable

  • Irland: Google Ireland Limited, Stripe Payments Europe Ltd.

  • Tschechien: Make.com (EU-Server)

  • Schweden: Lovable Labs AB

Für die Übermittlung von Personendaten in die USA stützen wir uns auf folgende Garantien gemäss Art. 16 Abs. 2 DSG und Art. 46 DSGVO:

  • Swiss-U.S. Data Privacy Framework (CH-US DPF) – seit 15. September 2024 von der Schweiz als angemessen anerkannt

  • EU-U.S. Data Privacy Framework (EU-US DPF) und UK Extension

  • Standardvertragsklauseln (Standard Contractual Clauses, SCC) der Europäischen Kommission

  • Individuelle Data Processing Agreements (DPA) mit den jeweiligen Anbietern

Die Europäische Kommission und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) haben für die genannten Rahmenwerke ein angemessenes Datenschutzniveau festgestellt.

8. Cookies und Tracking-Technologien

Unsere Plattform verwendet Cookies und ähnliche Technologien. Cookies sind kleine Textdateien, die auf Ihrem Gerät gespeichert werden.

8.1 Notwendige Cookies

Diese Cookies sind für den Betrieb der Plattform unerlässlich (z.B. Session-Cookies, Authentifizierungs-Cookies). Sie können nicht deaktiviert werden.

Rechtsgrundlage: Berechtigte Interessen / Vertragserfüllung

8.2 Analyse-Cookies

Google Analytics setzt Cookies ein, um die Nutzung unserer Plattform statistisch auszuwerten. Diese Cookies werden nur mit Ihrer Einwilligung gesetzt.

Rechtsgrundlage: Einwilligung (über Cookie-Banner)

Sie können Ihre Cookie-Einstellungen jederzeit über den Cookie-Banner oder die Browsereinstellungen anpassen.

9. Aufbewahrungsdauer

Wir speichern Personendaten nur so lange, wie dies für die Zwecke, für die sie erhoben wurden, erforderlich ist, oder wie es gesetzliche Aufbewahrungspflichten vorsehen. Im Einzelnen:

  • Kontodaten: Bis zur Löschung Ihres Kontos, danach maximal 30 Tage zur Wiederherstellung

  • Zahlungsdaten: Gemäss den gesetzlichen Aufbewahrungspflichten (in der Regel 10 Jahre für buchhalterische Belege gemäss Schweizer Obligationenrecht, Art. 958f OR)

  • Nutzungsdaten (Analytics): In der Regel 14 Monate (Google Analytics-Standardeinstellung)

  • Newsletter-Daten: Bis zum Widerruf Ihrer Einwilligung (Abmeldung)

  • Kommunikationsdaten: So lange wie für die Bearbeitung Ihres Anliegens erforderlich

  • Logdaten: In der Regel 90 Tage

10. Ihre Rechte

Sie haben nach dem Schweizer DSG und der DSGVO folgende Rechte in Bezug auf Ihre Personendaten:

10.1 Rechte nach dem Schweizer Datenschutzgesetz (DSG)

  • Auskunftsrecht (Art. 25 DSG): Sie können Auskunft darüber verlangen, ob und welche Personendaten wir über Sie bearbeiten.

  • Recht auf Datenherausgabe und -übertragung (Art. 28 DSG): Sie können die Herausgabe Ihrer Daten in einem gängigen elektronischen Format verlangen.

  • Recht auf Berichtigung (Art. 32 DSG): Sie können die Berichtigung unrichtiger Personendaten verlangen.

  • Recht auf Löschung: Sie können die Löschung Ihrer Personendaten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

  • Recht auf Widerspruch gegen automatisierte Einzelentscheidungen (Art. 21 DSG)

10.2 Zusätzliche Rechte nach DSGVO (für EU-Bürger)

  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Recht auf Widerspruch (Art. 21 DSGVO)

  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter info@kb-media.ch. Wir werden Ihr Anliegen in der Regel innerhalb von 30 Tagen bearbeiten. Die Auskunftserteilung ist grundsätzlich unentgeltlich.

11. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen (TOM), um Ihre Personendaten vor unbefugtem Zugriff, Verlust, Missbrauch oder Zerstörung zu schützen. Dazu gehören insbesondere:

  • Verschlüsselung der Datenübertragung mittels TLS/SSL (HTTPS)

  • Verschlüsselung gespeicherter Daten (Encryption at Rest) durch unsere Infrastrukturanbieter

  • Zugriffskontrolle und rollenbasierte Berechtigungen

  • Regelmässige Sicherheitsüberprüfungen und Updates

  • Vertraulichkeitsverpflichtungen für alle Mitarbeitenden und Partner

Trotz dieser Massnahmen kann keine Datenübertragung über das Internet oder elektronische Speicherung vollständig sicher sein. Wir bemühen uns, Ihre Daten bestmöglich zu schützen.

12. Meldung von Datensicherheitsverletzungen

Im Falle einer Verletzung der Datensicherheit, die voraussichtlich ein hohes Risiko für Ihre Persönlichkeit oder Ihre Grundrechte mit sich bringt, werden wir Sie sowie den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch wie möglich informieren (Art. 24 DSG). Bei Anwendbarkeit der DSGVO erfolgt die Meldung an die zuständige Aufsichtsbehörde innert 72 Stunden (Art. 33 DSGVO).

13. Minderjährige

Unsere Plattform richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine Personendaten von Kindern. Sollten wir Kenntnis davon erlangen, dass wir Daten eines Minderjährigen erhoben haben, werden wir diese unverzüglich löschen.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste und Datenbearbeitungsprozesse anzupassen. Die aktuelle Version finden Sie stets auf unserer Plattform. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder über die Plattform informieren.

15. Zuständige Aufsichtsbehörden

Für die Schweiz:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Feldeggweg 1, 3003 Bern

Website: https://www.edoeb.admin.ch

Für die EU: Die zuständige Datenschutzaufsichtsbehörde Ihres Wohnsitzmitgliedstaats.

16. Kontakt

Bei Fragen, Anliegen oder zur Ausübung Ihrer Rechte im Zusammenhang mit dem Datenschutz wenden Sie sich bitte an:

KBX GmbH

Im Feld 9

6212 St. Erhard, Schweiz

E-Mail: info@kb-media.ch

Diese Datenschutzerklärung wurde zuletzt am 16. März 2026 aktualisiert.

Starte heute ohne Aufwand, ohne Agentur, mit publy.ch

Schluss mit leeren Feeds. Wir verwandeln deine Ideen in professionelle Social-Media-Posts, fixfertig zur Veröffentlichung.

Jetzt starten