Zurück

Datenschutzerklärung

Version 1.2 · Gültig ab 05. Juni 2026

Diese Datenschutzerklärung informiert dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von Schnittwerk.app. Wir nehmen den Schutz deiner Daten sehr ernst und behandeln sie vertraulich entsprechend den gesetzlichen Datenschutzvorschriften, insbesondere dem Schweizer Datenschutzgesetz (revDSG) und der Europäischen Datenschutz-Grundverordnung (DSGVO).

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Theurillat Schnittwerk Jakob Steiner-Weg 24 3427 Utzenstorf, Schweiz

E-Mail: hello@schnittwerk.app

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Webapplikation Schnittwerk.app (erreichbar unter https://schnittwerk.app) sowie alle damit verbundenen Dienste und Funktionen. Sie informiert dich darüber, welche personenbezogenen Daten wir erheben, wie wir sie verwenden und welche Rechte du hast.

3. Welche Daten wir erheben

3.1 Kontodaten

Bei der Registrierung und Nutzung erheben wir:

  • E-Mail-Adresse – für Anmeldung, Authentifizierung und Kommunikation
  • Name (optional) – für die Profildarstellung
  • Profilbild (optional) – wenn du eines hochlädst
  • Präferenzen – z.B. bevorzugte Ansicht, Sortierung

3.2 Schnittmuster- und Stofflagerdaten

Inhalte, die du in der App erstellst und speicherst:

Schnittmuster:

  • Titel, Kategorien, Grössen, Tags
  • Notizen und Beschreibungen
  • Hochgeladene Dateien (PDF-Schnittmuster, Bilder)
  • Links zu externen Quellen

Stofflager:

  • Name, Stoffart, Farbe und Farbcode
  • Masse (Länge, Breite)
  • Kaufpreis, Währung, Kaufdatum und Händler
  • Zusammensetzung, Waschtemperatur, Lagerort
  • Tags und Notizen
  • Hochgeladene Stofffotos (als komprimierte WebP-Bilder)
  • Benutzerdefinierte Stoffarten (eigene Bezeichnungen und Sortierung)

Nähprojekte:

  • Projekttitel, Status, Für-wen-Angabe, Notizen
  • Coverbilder (komprimiert als WebP-Bilder im Speicher-Bucket «project-covers»)
  • Stoffzuweisungen (welche Stoffe einem Projekt zugeordnet sind)
  • Stoffverbrauch (verbrauchte Menge pro Stoff und Projekt)

3.3 Technische Daten

Automatisch erfasste Daten beim Besuch der Website:

  • IP-Adresse – in Server-Logs wird sie ausschliesslich in gekürzter (anonymisierter) Form gespeichert, wobei das letzte Oktett der IPv4-Adresse entfernt wird, sodass kein Rückschluss auf einzelne Personen möglich ist. Eine Ausnahme bilden AGB-Zustimmungsnachweise (siehe Abschnitt 3.5 und 8), bei denen die vollständige IP-Adresse zur Beweissicherung 10 Jahre lang aufbewahrt wird
  • Datum und Uhrzeit des Zugriffs
  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL (von welcher Seite du kamst)

3.4 Zahlungsdaten

Bei kostenpflichtigen Abonnements werden Zahlungsdaten ausschliesslich von unserem Zahlungsdienstleister Stripe verarbeitet. Wir speichern lediglich:

  • Stripe Kunden-ID
  • Abonnement-Status
  • Rechnungshistorie (ohne Kreditkartendaten)

3.5 Zustimmungsnachweise

Bei jeder Annahme der AGB (Registrierung, Abo-Abschluss via Stripe-Checkout, erneute Zustimmung nach AGB-Änderung) erfassen wir zur Beweissicherung folgende Daten:

  • Akzeptierte AGB-Version mit Versionsnummer und Wirksamkeitsdatum
  • Akzeptierte Datenschutz-Version mit Versionsnummer und Wirksamkeitsdatum
  • Zeitstempel der Zustimmung
  • Vollständige IP-Adresse (Ausnahme zur Anonymisierung in Server-Logs, siehe Abschnitt 3.3)
  • User-Agent des verwendeten Browsers
  • SHA-256-Hash des akzeptierten Vertragstexts (kryptografische Verankerung gegen nachträgliche Manipulation)
  • Stripe-Checkout-Session-ID (sofern die Zustimmung im Rahmen eines Abo-Abschlusses erfolgt)
  • Quelle der Zustimmung (Registrierung, Checkout oder Re-Acceptance)

Rechtsgrundlage ist unser berechtigtes Interesse an der Beweisführung im Streitfall (Art. 6 Abs. 1 lit. f DSGVO, Art. 31 revDSG). Zur weiteren Absicherung speichern wir zusätzlich für jede AGB- und Datenschutz-Version einen unveränderlichen PDF-Snapshot im Speicher-Bucket «terms-snapshots». Diese Snapshots enthalten keinen Personenbezug, sondern ausschliesslich den jeweiligen Vertragstext, und sind durch technische Massnahmen (RLS, immutability triggers, fehlende Schreibrechte) gegen nachträgliche Änderung geschützt.

3.6 Anzeigeprotokoll für Rechtsänderungen

Wenn eine neue Fassung der AGB oder dieser Datenschutzerklärung wirksam wird, halten wir fest, wann dir das betroffene Versionspaar erstmals in der App zur Zustimmung angezeigt wurde. Dies dient ausschliesslich der Berechnung deiner individuellen 30-tägigen Zustimmungsfrist (siehe Abschnitt 15 sowie Ziffer 12 unserer AGB). Erfasst werden deine Benutzer-Kennung, die jeweilige AGB- und Datenschutz-Versionskennung sowie der Zeitpunkt der ersten Anzeige. Rechtsgrundlage ist unser berechtigtes Interesse an einer transparenten, fairen Fristbemessung (Art. 6 Abs. 1 lit. f DSGVO, Art. 31 revDSG). Diese Anzeigeprotokolle sind nicht Teil der Zustimmungsnachweise (Abschnitt 3.5) und werden bei einer Kontolöschung zusammen mit deinen übrigen Kontodaten gelöscht.

4. Zweck der Datenverarbeitung

Wir verarbeiten deine Daten für folgende Zwecke:

  • Bereitstellung des Dienstes: Ermöglichung der Registrierung, Anmeldung und Nutzung aller Funktionen
  • Speicherung deiner Inhalte: Sichere Aufbewahrung deiner Schnittmuster, Nähprojekte, Stofflager-Daten, Bilder und Notizen
  • Kommunikation: Versand von transaktionalen E-Mails (z.B. Magic Links, Passwort-Reset)
  • Abrechnung: Abwicklung von Zahlungen und Abonnements
  • Verbesserung: Analyse zur Optimierung unseres Dienstes
  • Sicherheit: Schutz vor Missbrauch und unbefugtem Zugriff
  • Rechtliche Verpflichtungen: Erfüllung gesetzlicher Aufbewahrungspflichten

5. Rechtsgrundlagen

Die Verarbeitung deiner Daten erfolgt auf folgenden Rechtsgrundlagen:

Nach DSGVO (Art. 6)

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Verarbeitung zur Erfüllung des Nutzungsvertrags (Bereitstellung des Dienstes, Speicherung deiner Schnittmuster, Abonnementverwaltung).

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Verarbeitung auf Basis deiner ausdrücklichen Einwilligung (z.B. Newsletter, optionale Funktionen).

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Verarbeitung zur Wahrung berechtigter Interessen (z.B. IT-Sicherheit, Betrugsprävention, Dienst-Optimierung, Beweissicherung bei AGB-Zustimmung).

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Verarbeitung zur Erfüllung rechtlicher Pflichten (z.B. Aufbewahrungspflichten für Rechnungen).

Nach Schweizer Datenschutzgesetz (revDSG)

Die Verarbeitung erfolgt gemäss den Grundsätzen von Art. 6 revDSG (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung) sowie der Informationspflicht nach Art. 19 revDSG. Soweit eine Einwilligung erforderlich ist, holen wir diese gemäss Art. 6 Abs. 6 und 7 revDSG ein.

6. Datenweitergabe an Dritte

Wir geben deine Daten nur weiter, wenn dies zur Erbringung unserer Dienste erforderlich ist oder eine gesetzliche Grundlage besteht. Folgende Dienstleister sind beteiligt:

Supabase Inc.

Hosting, Datenbank, Authentifizierung, Dateispeicherung.

Standort der Daten: Server in der Schweiz (Zürich, Region eu-central-2) Firmensitz: USA (San Francisco, Kalifornien)

Die Nutzerdaten werden auf Servern in der Schweiz gespeichert. Da Supabase ein US-Unternehmen ist, besteht potenziell Zugriff auf diese Daten (z.B. für technischen Support oder Wartungsarbeiten). Für diesen Fall gelten EU-Standardvertragsklauseln (SCC) sowie zusätzliche technische Schutzmassnahmen.

Sub-Processors: Supabase setzt verschiedene Sub-Processors ein, darunter Amazon Web Services (Hosting), Cloudflare (Hosting) und OpenAI (für optionale KI-Funktionen). Schnittwerk.app nutzt keine KI-Funktionen von Supabase, sodass keine Nutzerdaten an OpenAI übermittelt werden. Die vollständige Sub-Processor-Liste ist unter supabase.com/legal einsehbar.

DPA: Auftragsverarbeitungsvertrag gemäss Art. 28 DSGVO abgeschlossen. Datenschutz: supabase.com/privacy

Stripe Inc.

Zahlungsabwicklung.

Standort: USA (mit EU-Standardvertragsklauseln) DPA: Der Auftragsverarbeitungsvertrag ist Bestandteil der Stripe-Nutzungsbedingungen. Datenschutz: stripe.com/privacy

Resend Inc.

E-Mail-Versand (transaktionale E-Mails wie Magic Links und Passwort-Resets).

Standort: USA (mit EU-Standardvertragsklauseln) Verarbeitete Daten: E-Mail-Adressen der Empfänger, E-Mail-Inhalte. DPA: Data Processing Addendum gemäss Art. 28 DSGVO abgeschlossen. Datenschutz: resend.com/legal/dpa

Vercel Inc.

Webhosting und Content Delivery.

Standort: Globales Edge-Netzwerk (statische Inhalte), primäre Verarbeitung in den USA.

Über das Edge-Netzwerk werden ausschliesslich statische Inhalte (HTML, CSS, JavaScript, Bilder) ausgeliefert. Personenbezogene Daten wie Projektinhalte oder Kontodaten werden nicht am Edge verarbeitet, sondern direkt zwischen deinem Browser und den Supabase-Servern in der Schweiz ausgetauscht. Vercel agiert als Processor für Kundendaten und als eigenständiger Controller für Service-Generated Data (z.B. Nutzungsstatistiken) gemäss eigener Privacy Policy.

DPA: Auftragsverarbeitungsvertrag ist Bestandteil der Vercel-Nutzungsbedingungen (automatisch bindend) und umfasst EU-Standardvertragsklauseln (Module 1–3) sowie eine Schweiz-spezifische Klausel. Datenschutz: vercel.com/legal/privacy-policy

Übersicht Auftragsverarbeiter

DienstleisterFunktionSitzDPA-GrundlageDatenspeicherort
Supabase Inc.Datenbank, Auth, StorageUSA (San Francisco)Separates DPA, signiert 01.01.2026Schweiz (Zürich)
Vercel Inc.Webhosting, CDNUSA (Delaware)Via Nutzungsbedingungen, autom. bindendGlobal (Edge), USA (primär)
Resend (Plus Five Five, Inc.)Transaktionale E-MailsUSA (San Francisco)Via Nutzungsbedingungen + DPAUSA
Stripe Inc.ZahlungsabwicklungUSA / IrlandVia Stripe Service Agreement, autom. bindendUSA / EU

Unsere Dienstleister informieren uns über Änderungen an ihren Sub-Processors mit folgenden Vorlaufzeiten: Supabase 30 Tage, Stripe 30 Tage, Resend 14 Tage, Vercel 5 Tage. Wir prüfen solche Änderungen und informieren bei datenschutzrelevanten Auswirkungen über unsere Website.

7. Datenübermittlung ins Ausland

Einige unserer Dienstleister haben ihren Sitz ausserhalb der Schweiz und des EWR, insbesondere in den USA (Stripe, Resend, Vercel sowie der Firmensitz von Supabase). Für die Übermittlung personenbezogener Daten in die USA stützen wir uns auf folgende Mechanismen:

  • EU-Standardvertragsklauseln (SCCs): Mit allen US-Dienstleistern wurden die Standardvertragsklauseln gemäss EU-Durchführungsbeschluss 2021/914 abgeschlossen, ergänzt durch technische Schutzmassnahmen (Verschlüsselung in Transit und at Rest).
  • EU-U.S. Data Privacy Framework: Stripe und Resend sind zusätzlich unter dem EU-U.S. Data Privacy Framework zertifiziert.
  • Schweiz-spezifische Regelungen: Für die Schweiz gelten die angepassten SCCs mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) als zuständiger Aufsichtsbehörde, wie in den jeweiligen DPAs der Dienstleister vorgesehen.
  • Schweizer Serverstandort: Die primäre Datenspeicherung (Datenbank, Authentifizierung, Dateien) erfolgt auf Supabase-Servern in Zürich, Schweiz.

8. Speicherdauer und Löschung

Wir speichern deine Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

DatenartSpeicherdauer
KontodatenBis zur Kontolöschung + 30 Tage in Backups
Projekt-, Schnittmuster- und Stoffdaten & DateienBis zur Löschung durch dich oder Kontolöschung
Rechnungsdaten10 Jahre (gesetzliche Aufbewahrungspflicht)
AGB-Zustimmungsnachweise (Version, Zeitstempel, IP, User-Agent, Stripe-Session-ID, Content-Hash)10 Jahre nach Vertragsende
AGB- und Datenschutz-PDF-Snapshots (ohne Personenbezug)Unbegrenzt (Immutability zur Beweissicherung)
Anzeigeprotokoll für Rechtsänderungen (Benutzer-Kennung, Versionskennungen, Zeitpunkt der ersten Anzeige)Bis zur Kontolöschung
Server-Logs7 Tage
Support-Anfragen2 Jahre nach Abschluss

Bei Löschung deines Kontos werden alle personenbezogenen Daten und Projektinhalte gelöscht. Die Löschfristen variieren je nach Dienstleister: Supabase löscht Daten innerhalb von 30 Tagen, Vercel innerhalb einer wirtschaftlich angemessenen Frist nach Vertragsende, und Resend löscht Kundendaten innerhalb von 90 Tagen nach Kontolöschung. Stripe bewahrt Zahlungsdaten gemäss gesetzlicher Aufbewahrungspflichten (bis zu 10 Jahre) auf. Während der jeweiligen Löschfristen erfolgt kein aktiver Zugriff auf die zu löschenden Daten.

Aufbewahrung von AGB-Zustimmungsnachweisen: Zur Erfüllung unserer Beweispflichten im Falle eines Vertragsstreits speichern wir Zustimmungsnachweise (akzeptierte AGB-/Datenschutz-Version, Zeitstempel, IP-Adresse, User-Agent, Stripe-Session-ID, SHA-256-Hash des Vertragstexts) über die gesamte Vertragsdauer und für weitere 10 Jahre nach Vertragsende. Rechtsgrundlage ist unser berechtigtes Interesse an der Beweisführung (Art. 6 Abs. 1 lit. f DSGVO und Art. 31 revDSG; analog zu den gesetzlichen Aufbewahrungspflichten gemäss Art. 958f OR). Aufgrund dieser gesetzlich begründeten Aufbewahrungspflicht bleiben Zustimmungsnachweise auch nach einer Kontolöschung erhalten und werden nicht mit den übrigen Kontodaten gelöscht (siehe Abschnitt 12); sie werden allerdings durch Entfernung der Benutzer-Referenz anonymisiert. Zur Manipulationssicherheit speichern wir zusätzlich zum Zustimmungsnachweis den SHA-256-Hash des akzeptierten Vertragstexts sowie einen unveränderlichen PDF-Snapshot der zum Zeitpunkt der Zustimmung gültigen AGB- und Datenschutz-Version. Diese Nachweise sind auf Anfrage per E-Mail an hello@schnittwerk.app einsehbar.

9. Cookies und lokale Speicherung

Schnittwerk.app verwendet nur technisch notwendige Cookies und lokale Speicherung (Local Storage) für folgende Zwecke:

NameZweckDauer
sb-access-tokenAuthentifizierung (Supabase)Session
sb-refresh-tokenToken-Erneuerung (Supabase)7 Tage

Sollten durch unsere Hosting- oder Infrastrukturdienstleister (z.B. Vercel) zusätzliche technisch notwendige Cookies gesetzt werden, dienen diese ausschliesslich der Funktionalität und Sicherheit der Website (z.B. Bot-Schutz) und nicht dem Tracking.

Wir verwenden keine:

  • Tracking-Cookies
  • Werbe-Cookies
  • Analyse-Tools wie Google Analytics
  • Social-Media-Plugins mit Tracking-Funktionen

10. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Massnahmen ein, um deine Daten zu schützen:

  • Verschlüsselung: Alle Datenübertragungen erfolgen über HTTPS/TLS
  • Passwörter: Werden gehasht gespeichert (nie im Klartext)
  • Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene – jeder Benutzer hat nur Zugriff auf seine eigenen Daten
  • Authentifizierung: Sichere Magic Links statt Passwörter
  • Backups: Regelmässige, verschlüsselte Backups
  • Kryptografische Verankerung von Zustimmungsnachweisen: SHA-256-Hash des akzeptierten Vertragstexts wird zum Zeitpunkt jeder AGB-/Datenschutz-Zustimmung erfasst, sodass nachträgliche Änderungen erkennbar wären
  • Immutable Vertragssnapshots: Unveränderliche PDF-Snapshots aller AGB- und Datenschutz-Versionen schützen gegen nachträgliche Manipulation der Vertragsgrundlage
  • Updates: Regelmässige Sicherheitsupdates aller Systeme

11. Automatisierte Entscheidungsfindung und Profiling

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Wir erstellen keine Profile auf Basis deiner personenbezogenen Daten, die rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen.

12. Deine Rechte

Du hast gemäss DSGVO und revDSG folgende Rechte bezüglich deiner personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO / Art. 25 revDSG): Du kannst jederzeit Auskunft über die von uns gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO / Art. 32 Abs. 1 revDSG): Du kannst die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen («Recht auf Vergessenwerden»). Hinweis: AGB-Zustimmungsnachweise (siehe Abschnitt 3.5 und 8) sind hiervon ausgenommen und werden gemäss gesetzlich begründeter 10-Jahres-Frist nach Vertragsende weiter aufbewahrt — sie werden bei Kontolöschung jedoch durch Entfernung der Benutzer-Referenz anonymisiert.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst die Einschränkung der Datenverarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO / Art. 28 revDSG): Du kannst deine Daten in einem gängigen Format erhalten und zu einem anderen Dienst mitnehmen — der Datenexport enthält auch deine Zustimmungsnachweise.
  • Widerspruchsrecht (Art. 21 DSGVO): Du kannst der Verarbeitung deiner Daten widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Du kannst eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

So übst du deine Rechte aus: Sende eine E-Mail an hello@schnittwerk.app mit deinem Anliegen. Wir werden deine Anfrage innerhalb von 30 Tagen bearbeiten. Zur Verifizierung deiner Identität können wir zusätzliche Informationen anfordern.

13. Beschwerderecht bei der Aufsichtsbehörde

Wenn du der Meinung bist, dass die Verarbeitung deiner Daten gegen Datenschutzrecht verstösst, hast du das Recht, dich bei einer Aufsichtsbehörde zu beschweren:

Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern, www.edoeb.admin.ch

EU/EWR: Die zuständige Aufsichtsbehörde in deinem Wohnsitzland. Eine Liste findest du unter edpb.europa.eu.

14. Minderjährige

Schnittwerk.app richtet sich an Personen ab 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir feststellen, dass ein Kind unter 16 Jahren personenbezogene Daten übermittelt hat, werden wir diese umgehend löschen.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version ist stets auf dieser Seite verfügbar. Bei wesentlichen Änderungen legen wir dir die aktualisierte Fassung — gemeinsam mit unseren AGB — bei der nächsten Nutzung des Dienstes in der App zur Zustimmung vor. Ab dieser ersten Anzeige stehen dir 30 Tage zur Verfügung, um die Änderungen zu prüfen und ihnen zuzustimmen; während dieser Frist kannst du Schnittwerk.app uneingeschränkt weiternutzen. Erfolgt innerhalb der Frist keine Zustimmung, ist die weitere Nutzung bis zur Zustimmung gesperrt. Den Zeitpunkt, ab dem deine individuelle Frist läuft, protokollieren wir gemäss Abschnitt 3.6.

16. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte erreichst du uns unter:

E-Mail: hello@schnittwerk.app

Schnittwerk
Nutzungsbedingungen und AGBKontakt