Datenschutzerklärung Vertical Data AG (Companion)

Version 1.0 Januar 2024

Über uns

Diese Datenschutzerklärung („Datenschutzerklärung“) erläutert, wie Personendaten bei Verwendung unserer Webapplikation Companion (das „Tools“, die „Dienste“) verarbeitet und geschützt werden.

Companion wird von der Vertical Data AG, Mattenhofstrasse 7, 3007 Bern, Schweiz, info@verticaldata.ch (das „Unternehmen«, die „Firma“, «wir«, «unser» oder «uns«) betrieben, welche als Auftragsbearbeiter tätig wird. Das Unternehmen, das Companion nutzt, ist der Verantwortliche im datenschutzrechtlichen Sinne und für die unten beschriebenen Datenverarbeitungen verantwortlich, ausser dies ist explizit anders beschrieben. Sofern Sie als Mitarbeiter Companion nutzen, ist Ihr Arbeitgeber der Verantwortliche.

Diese Datenschutzerklärung umfasst nicht etwaige Datenverarbeitungen der durch Schnittstellen angebundenen Tools, wie z.B. Bexio.

Sofern in dieser Datenschutzerklärung nicht anders definiert, haben die in dieser Datenschutzerklärung verwendeten Definitionen dieselbe Bedeutung wie im Schweizer Bundesgesetz über den Datenschutz („DSG“).

Personendaten, die verarbeitet werden

Innerhalb von Companion können Personendaten erfasst werden. Dies umfasst das Folgende:

Kontaktdaten (z.B.: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Geburtsdatum)

Login Details (z.B.: Passwort, Nutzername, Session)

Technische Daten (z.B.: IP-Adresse, Logfiles)

Nutzungsdaten (z.B.: Input Daten und Antworten, sofern diese Personendaten enthalten)

Dokumenten Details (sofern die hochgeladenen Dokumente Personendaten)

Personendaten aus Schnittstellen

Es besteht keine Verpflichtung zur Angabe Ihrer Personendaten. Bitte beachten Sie jedoch, dass unsere Dienste nicht genutzt werden können, wenn Sie die erforderlichen Daten nicht bereitstellen, die unbedingt erforderlich sind.

Wie Personendaten gesammelt werden

Wenn Sie Companion nutzen, werden Personendaten über Sie als Nutzer und Dritte (z.B. Kunden des Verantwortlichen) gesammelt.

Direkt

Wenn Sie Companion nutzen

Indirekt

Von anderen Tools, die über eine API mit Companion verknüpft sind

Von externen Dienstleistern (siehe Punkt 5)

Rechtsgrundlagen und Zwecke der Datenverarbeitung

Die Rechtsgrundlage für die Erhebung und Verwendung der in dieser Datenschutzerklärung beschriebenen personenbezogenen Daten hängt von den personenbezogenen Daten ab, die der Verantwortliche erhebt, und von den spezifischen Zwecken, für die sie erhoben werden. Dies wird durch den Verantwortlichen festgelegt, ausser es ist nachfolgend anders beschrieben. Die Bearbeitung Ihrer Personendaten zur Nutzung von Companion und zur Aufsetzung Ihres Zugangs als Mitarbeiter erfolgt grundsätzlich auf Grundlage Ihres Beschäftigungsverhältnisses.

Eingabe Daten und Antworten: Insoweit wir Personendaten anonymisieren und zur Verbesserung unseres Services verwenden, handeln wir als eigener Verantwortliche im datenschutzrechtlichen Sinne. Dies erfolgt auf Grundlage unseres berechtigten Interesses an der Verbesserung unserer Webapplikation

Speicherfristen

Personendaten werden grundsätzlich so lange aufbewahrt, wie sie für die Zwecke, für die sie erhoben wurden, und in Übereinstimmung mit gesetzlichen und regulatorischen Anforderungen oder vertraglichen Vereinbarungen, benötigt werden. Für die Umsetzung ist der Kunde verantwortlich. Dieser kann die Daten jederzeit selbst innerhalb Companion löschen.

Empfänger von Personendaten

Innerhalb von Companion kommen Drittunternehmen («Dienstleister«) zum Einsatz, um den Betrieb unserer Dienste zu erleichtern sowie IT-Dienste zur Verfügung zu stellen. Diese Dritten haben nur insoweit Zugang zu Ihren personenbezogenen Daten, als dies zur Erfüllung dieser Aufgaben erforderlich ist.

Arten von Dienstleistern, die auf Ihre Personendaten zugreifen können:

IT- und Hostingdienstleister

Tools, die der Verantwortliche über API angebunden hat

Sofern eine Drittstaatsübermittlung stattfindet und kein Angemessenheitsbeschluss oder geeignete Garantien vorliegen, ist es möglich und besteht das Risiko, dass Behörden im Drittland (z.B. Geheimdienste) Zugriff auf die übermittelten Daten erlangen können und dass eine Durchsetzbarkeit der Betroffenenrechte nicht gewährleistet werden kann.

Datensicherheit

Wir setzen angemessene technische und organisatorische Sicherheitsmassnahmen ein, um Ihre gespeicherten Daten vor Manipulation, Verlust oder unberechtigtem Zugriff Dritter zu schützen. Unsere Sicherheitsmassnahmen werden entsprechend der technologischen Entwicklung fortlaufend angepasst.

Auch den internen Datenschutz nehmen wir sehr ernst. Unsere Mitarbeiter und die von uns beauftragten Dienstleister sind zur Verschwiegenheit und zur Einhaltung der geltenden Datenschutzgesetze verpflichtet. Darüber hinaus erhalten sie nur insoweit Zugang zu personenbezogenen Daten, als dies für die Erfüllung ihrer jeweiligen Aufgaben oder ihres Auftrags erforderlich ist.

Die Sicherheit Ihrer personenbezogenen Daten ist uns wichtig, aber bedenken Sie, dass keine Methode der Übertragung über das Internet oder der elektronischen Speicherung zu 100 % sicher ist. Auch wenn wir uns bemühen, Ihre personenbezogenen Daten mit wirtschaftlich vertretbaren Mitteln zu schützen, können wir keine absolute Sicherheit garantieren. Wir empfehlen die Verwendung von Antiviren-Software, einer Firewall und anderer ähnlicher Software zum Schutz Ihres Systems.

Ihre Rechte

Sie haben die folgenden Datenschutzrechte. Um diese Rechte auszuüben, können Sie sich an den Verantwortlichen bzw. Ihren Arbeitgeber wenden. Sofern Sie sich direkt uns wenden, leiten wir Ihre Anfrage an den Verantwortlichen weiter.

Recht auf Auskunft: Sie haben das Recht, eine Kopie Ihrer personenbezogenen Daten anzufordern, die Ihnen in elektronischer Form zur Verfügung gestellt werden.

Recht auf Berichtigung: Sie haben das Recht, Aufzeichnungen zu korrigieren, wenn Sie glauben, dass sie falsche oder unvollständige Informationen über Sie enthalten.

Recht auf Widerruf der Einwilligung: Wenn Sie in die Verarbeitung Ihrer Personendaten eingewilligt haben, haben Sie das Recht, diese Einwilligung mit Wirkung für die Zukunft zu widerrufen.

Recht auf Löschung: Sie haben das Recht, die Löschung Ihrer Personendaten zu verlangen, wenn diese für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind oder wenn sie unrechtmässig bearbeitet wurden.

Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Personendaten zu verlangen.

Recht auf Datenübertragbarkeit: Sie haben das Recht zu verlangen, dass Ihre Personendaten in einem Standardformat wie Excel an einen anderen Verantwortlichen übermittelt werden.

Recht auf Widerspruch gegen die Verarbeitung: Wenn die Rechtsgrundlage für die Verarbeitung Ihrer Personendaten das berechtigte Interesse des Verantwortlichen ist, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen diese Verarbeitung einzulegen.

Recht auf Beschwerde bei einer Aufsichtsbehörde: Sie haben das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Personendaten gegen das Datenschutzrecht verstösst. Die zuständige Aufsichtsbehörde in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, Feldeggweg 1, CH – 3003 Bern, info@edoeb.admin.ch.

Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden. Wir empfehlen Ihnen daher, diese Datenschutzerklärung regelmässig auf Änderungen zu überprüfen. Änderungen an dieser Datenschutzrichtlinie treten in Kraft, wenn sie hier veröffentlicht werden.

Häufig gestellte Fragen

  • Eigene KI-Modelle und Fine-Tuning?

    Wir trainieren und betreiben keine eigenen KI-Modelle. Für rund 98 % der Anwendungsfälle sind bestehende Modelle völlig ausreichend und lassen sich so einsetzen, dass sie exakt unsere Anforderungen erfüllen. Zudem erscheinen laufend neue Modelle, die oft günstiger oder spezialisierter sind. Wir prüfen deshalb kontinuierlich, ob ein neues Modell besser zu unseren Anwendungsfällen passt. Ist dies der Fall, wechseln wir entsprechend.

  • Lokale Applikation oder als Service?

    Unsere Lösung stellen wir als SaaS (Software as a Service) bereit. Sie greifen über einen Link auf die Software zu und können diese nach dem Anmelden direkt in der Applikation nutzen.

    Der Vorteil: Sie müssen keine Updates installieren und profitieren dennoch laufend von neuen Funktionen und Verbesserungen.

  • Welche KI-Modelle setzt ihr ein?

    Wir wählen KI-Modelle sorgfältig aus und setzen jeweils das Modell ein, das für den entsprechenden Anwendungsfall am besten geeignet ist. Neue Modelle prüfen wir hinsichtlich Verfügbarkeit, Qualität und Eignung für unsere Anwendungsfälle, bevor wir einen Wechsel vornehmen.
    Derzeit nutzen wir über zertifizierte Microsoft-Azure-Cloudsysteme (100% datenschutzkonform) die Modelle GPT-4o sowie Whisper (Sprache-zu-Text), die auf Schweizer Servern betrieben werden.

  • Warum nicht einfach n8n oder Zapier und CO?

    n8n oder Zapier sind Baukästen, man muss wissen, wie man Workflows modelliert, APIs anbindet und LLMs richtig promptet. Unsere Lösung ist ein fertiges Produkt für KMU: Daten werden automatisch aus Dokumenten, E-Mails und einer Vielzahl von anderen Quellen extrahiert, ergänzt, mit ERP, CRM oder anderen Quelldaten abgeglichen und stehen sofort bereit. Das spart bis zu 10x Zeit – ohne technisches Vorwissen und mit vollem Datenschutz in der Schweiz.

  • Werden Benutzeranfragen über den Chat validiert?

    Eingaben und Ausgaben werden automatisch gefiltert, sensible Daten bleiben isoliert und potenziell gefährliche Aktionen werden zuverlässig blockiert. So gewährleisten wir höchste Sicherheit, volle Transparenz der Datenquellen und eine robuste Abwehr gegen Manipulationsversuche.

    Auf folgende Inhalte wird geprüft:
    – Gewalt, Hass
    – Sexuell
    – Selbstverletzung

  • Wie wird Verhindert, dass Sensible Daten ausgegeben werden?

    OWASP LLM02:2025

    Unsere Lösung schützt zuverlässig vor der ungewollten Offenlegung sensibler Informationen, da das LLM nur die Daten verarbeitet, die der Benutzer bewusst bereitstellt und keinen Zugriff auf interne Systeme oder vertrauliche Datenbestände hat. Durch strikte Trennung, kontrollierte Datenflüsse und kontinuierliche Verbesserungen stellen wir sicher, dass Ihre Informationen jederzeit geschützt bleiben.

  • Warum Companion statt ChatGPT?

    Während sowohl Companion als auch ChatGPT die besten GPT-4-Modelle anbieten, nutzt Companion GPT-4, das in der Schweiz gehostet wird und ist bestrebt künftig Modelle aller führenden LLM-Anbieter sowie Open-Source-Modelle anzubieten. Companion integriert sich abhängig vom Anwendungsfall in die Daten deines Unternehmens und bietet die Möglichkeit individuelle Assistenten und Arbeitsabläufe zu erstellen und einzusetzen. Companion verfügt auch über eine integrierte Prompt-Bibliothek und einen unkomplizierten KI-Support & Sparringpartner aus der Schweiz.

  • Was macht Companion DSGVO-konform?

    Wir hosten alle unsere Dienste auf DSGVO-konformen Servern in der Schweiz. Beispielsweise wird das von uns verwendete GPT-4o-Modell von Microsoft Azure in Zürich gehostet und Mircosoft gewährleistet, dass a) die Daten gemäss der DSGVO behandelt werden und b) OpenAI keinen Zugriff auf die Daten hat. Wir streben künftig ISO270001 und SOC2 Typ 2 Zertifizierungen an und kontinuierliche Einhaltung aller Datenschutzrichtlinien durch einen externen DSB.