Datenschutzerklärung
Version: 3.0
Stand: 20. November 2025
Zerovia GmbH, Via Casti 52, 7151 Schluein, Schweiz
E-Mail: info@zerovia.ch
Diese Datenschutzerklärung beschreibt, wie dieZEROVIA GmbH, Via Casti 52, 7151 Schluein, Schweiz („ZEROVIA“, „wir“) personenbezogene Daten verarbeitet, wenn Sie unsere Website oder unsere SaaS-Plattform nutzen. Sie gilt für:
- die Websitezerovia.ch
- die Plattformzerovia.app
- alle ESG-, Supplier- und Procurement-Module
- Verifizierungs- und Validierungsprozesse
- Datenfreigaben an Dritte (Opt-In)
- API- und Integrationsschnittstellen
Wir verarbeiten personenbezogene Daten gemäss demSchweizer Datenschutzgesetz (DSG) und – soweit anwendbar – derDatenschutz-Grundverordnung (DSGVO).
1. Verantwortliche Stelle und EU-Vertretung (Art. 27 DSGVO)
1.1 Verantwortliche Stelle in der Schweiz
ZEROVIA GmbH
Via Casti 52
CH-7151 Schluein
E-Mail: privacy@zerovia.ch
1.2 EU-Vertretung gemäss Art. 27 DSGVO
Für betroffene Personen und Aufsichtsbehörden in der EU hat ZEROVIA folgenden Vertreter benannt:
EU Representative (Art. 27 GDPR)
iuro Rechtsanwälte GmbH t/a Prighter
Schellinggasse 3
1010 Vienna, Austria
E-Mail: privacy@zerovia.ch
Portal für Betroffenenanfragen:https://app.prighter.com/portal/zerovia
1.3 Verarbeitungstätigkeiten der EU-Vertretung
Die EU-Vertretung übernimmt:
- Entgegennahme von Anfragen betroffener Personen
- Entgegennahme von Anfragen europäischer Datenschutzaufsichtsbehörden
- Strukturierung und sichere Übermittlung der Anfragen an ZEROVIA
- Bereitstellung eines Data-Subject-Request-Tools (DSR-Tool)
Verarbeitete Daten umfassen u. a.:
- Identifikations- und Kontaktdaten
- Angaben zum Anliegen der betroffenen Person
- Inhalte der Anfrage
1.4 Rollenklärung
- Prighter als Verantwortlicher:
bei Beratung oder Unterstützung gemäss Art. 27 DSGVO. - Prighter als Auftragsverarbeiter:
bei Bereitstellung des DSR-Tools.
Dabei verwendet PrighterHetzner Online GmbH als Hosting-Provider.
2. Arten von personenbezogenen Daten
Wir verarbeiten je nach Nutzung insbesondere folgende Datenkategorien:
2.1 Stammdaten
- Name, Vorname
- geschäftliche Kontaktangaben
- Rolle und Position
- Unternehmenszugehörigkeit
2.2 technische und Nutzungsdaten
- IP-Adresse
- Logfiles, Zeitstempel
- Browser- und Geräteinformationen
- Opt-In-Protokolle
- API-Token-Nutzung
2.3 ESG-bezogene Daten
- Angaben aus Self-Declared ESG-Profilen
- Antworten auf ESG-Fragebögen
- hochgeladene Dokumente (Policies, Reports, Nachweise)
- Angaben für Verifizierungen
- Daten für Validierungen externer Partner
- Profil- und Gültigkeitsstatus
2.4 Kommunikationsdaten
- E-Mail-Korrespondenz
- Supportanfragen
- Rückmeldungen innerhalb der Plattform
3. Zwecke der Datenverarbeitung
Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:
3.1 Bereitstellung der Plattform
- Erstellung und Verwaltung von Benutzerkonten
- Rollen- und Rechtemanagement
- Betrieb der Module
- Fehlerdiagnose und Stabilität
3.2 ESG-Profilierung
- Erstellung und Verwaltung von ESG-Profilen
- Self-Declared Eingaben
- formale Verifizierungen („Verified by ZEROVIA“)
- technische Unterstützung für Validierungen durch externe Partner
- Anzeige des Profilstatus
3.3 Datenfreigaben an Dritte (Opt-In)
Nach ausdrücklicher Zustimmung des Kunden:
- Weitergabe an Banken
- Weitergabe an Versicherungen
- Weitergabe an Grossunternehmen
- Weitergabe an Kunden und Lieferanten
- Weitergabe an externe Validierungs- oder Prüforganisationen
- API-basierte Freigaben
- Freigaben via Partnercodes oder Sharing-Links
3.4 Verbesserung und Weiterentwicklung
- anonyme statistische Auswertungen
- Verbesserung von UI/UX
- Weiterentwicklung der Plattform
3.5 Kommunikation
- Support
- sicherheitsrelevante Mitteilungen
- Benachrichtigungen zu Änderungen von AGB oder Datenschutz
4. Rechtsgrundlagen der Datenbearbeitung
ZEROVIA verarbeitet personenbezogene Daten auf folgenden Rechtsgrundlagen:
4.1 Erfüllung eines Vertrags
(z. B. Art. 6 Abs. 1 lit. b DSGVO; Art. 31 DSG)
Wir verarbeiten Daten, um unsere Dienstleistungen bereitzustellen oder Verträge zu erfüllen. Dazu gehören:
- Registrierung und Accountverwaltung
- Nutzung der Module
- Erstellung von ESG-Profilen
- Durchführung von Verifizierungen
- technische Abwicklung von Validierungen
- Nutzung von Supplier- und Procurement-Modulen
- Bereitstellung von API-Funktionen
Ohne diese Daten kann die Plattform nicht betrieben werden.
4.2 Berechtigtes Interesse
(z. B. Art. 6 Abs. 1 lit. f DSGVO; Art. 31 DSG)
Wir verarbeiten Daten zur Wahrung unserer berechtigten Interessen, insbesondere zur:
- Aufrechterhaltung der IT-Sicherheit
- Missbrauchserkennung und Betrugsprävention
- Weiterentwicklung unserer Software
- Dokumentation und Qualitätssicherung
- Erstellung anonymisierter Auswertungen
Diese Verarbeitung erfolgt nur in einem Rahmen, den Sie vernünftigerweise erwarten können.
4.3 Einwilligung (Opt-In)
In bestimmten Fällen verarbeiten wir Daten nur mit Ihrer ausdrücklichen Zustimmung. Dies betrifft:
- Weitergabe von ESG-Daten an Banken, Versicherungen und Grossunternehmen
- Weitergabe an Validierungs- oder Prüfpartner
- Veröffentlichung eines ESG-Profils
- API-Zugriffe, Partnercodes oder Sharing-Links
- bestimmte AI-gestützte Funktionen (falls separat erklärt)
Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
5. ESG-Profile und deren Verarbeitung
ZEROVIA unterstützt drei Profiltypen:
5.1 Self-Declared ESG Profile
- reine Selbstauskunft
- keine Prüfung durch ZEROVIA
- vollständige Verantwortung beim Unternehmen
5.2 Verified by ZEROVIA
- formale Dokumentenprüfung
- Plausibilitätschecks
- kein Audit, keine Zertifizierung
- Opt-In erforderlich
5.3 Validated by External Partner
- inhaltliche Prüfung durch externe Spezialisten
- ZEROVIA = ausschliesslich technischer Plattformanbieter
- Weitergabe nur nach Opt-In
- Validierungsurteile stammen von externen Partnern
5.4 Veröffentlichung
Profile werden nur öffentlich angezeigt, wenn dies aktiv freigegeben wird.
6. Weitergabe personenbezogener Daten an Dritte (Opt-In)
Eine Weitergabe erfolgt ausschliesslich nach ausdrücklicher Zustimmung des Kunden.
Mögliche Empfänger:
- Banken und Finanzinstitute
- Versicherungen
- Grossunternehmen
- Kunden und Lieferanten
- externe Validierungs- und Prüforganisationen
- API- oder Webhook-basierte Empfänger
- Plattform-Integrationen von Geschäftspartnern
ZEROVIA prüft die Legitimation der Empfänger nicht.
Ein Widerruf wirkt nur für zukünftige Zugriffe.
7. Rollenklärung: Verantwortlicher / Auftragsverarbeiter
7.1 ZEROVIA als Verantwortlicher
bei:
- Betrieb der Plattform
- Profilverwaltung
- Verifizierungen
- Benutzerdaten
- sicherheitsrelevanter Verarbeitung
- Logs und Monitoring
7.2 Externe Validierer als Verantwortliche
bei:
- Prüfentscheiden
- ESG-Validierungsberichten
7.3 ZEROVIA als Auftragsverarbeiter
bei:
- Verarbeitung personenbezogener Daten im Auftrag des Kunden
- API-Integrationen
- technischen Verifizierungsprozessen
Es gilt derZEROVIA Data Processing Agreement (DPA).
8. Unterauftragsverarbeiter
Wir setzen sorgfältig ausgewählte Dienstleister ein, z. B.:
- Hosting-Anbieter (CH/EU)
- E-Mail- und Kommunikationsdienste
- Sicherheits- und Monitoring-Anbieter
- Validierungsdienstleister (Opt-In)
- AI-Tools für strukturierende Aufgaben
Eine Liste kann über das DPA angefordert werden.
9. Datenübermittlung in andere Länder
Daten können übermittelt werden:
- in Länder mit Angemessenheitsbeschluss
- auf Basis von Standardvertragsklauseln (SCC)
- aufgrund ausdrücklicher Einwilligung
- aufgrund gesetzlicher Pflichten
Übermittlungen an Validierungspartner erfolgen nur per Opt-In.
10. KI-gestützte Funktionen
ZEROVIA nutzt KI-gestützte Funktionen u. a. für:
- Klassifikation und Tagging
- Datenbereinigung
- semantische Suche
- Texthilfen und Empfehlungen
Keine automatisierte Entscheidung entfaltet rechtliche Wirkung.
Daten dienen nicht dem Training externer KI-Modelle.
11. Speicherdauer
Wir speichern personenbezogene Daten:
- solange ein Benutzerkonto besteht
- solange gesetzliche Aufbewahrungspflichten bestehen
- solange ein berechtigtes Interesse besteht
- bis eine zulässige Löschung verlangt wird
ESG-Profile werden entsprechend ihrer Gültigkeitsdauer gespeichert und danach gekennzeichnet.
12. IT-Sicherheit und technische sowie organisatorische Massnahmen (TOM)
Wir schützen Daten durch moderne organisatorische und technische Massnahmen, z. B.:
- SSL/TLS-Verschlüsselung
- rollenbasierte Zugriffskontrollen und optionale 2FA
- Firewalls, IDS/IPS
- System-Monitoring
- regelmässige Backups
- interne Audits und externe Sicherheitstests
Unsere Sicherheitsarchitektur orientiert sich anISO/IEC 27001 und den Empfehlungen desEDÖB.
13. Rechte betroffener Personen
Sie haben – abhängig vom anwendbaren Recht – folgende Rechte:
- Auskunft
- Berichtigung
- Löschung
- Einschränkung
- Datenübertragbarkeit
- Widerspruch
- Widerruf von Einwilligungen
Anfragen an:privacy@zerovia.ch
EU-Bürger:https://app.prighter.com/portal/zerovia
14. Data Processing Agreement (DPA)
Wenn ZEROVIA personenbezogene Daten für Geschäftskunden im Auftrag verarbeitet, gilt zusätzlich derZEROVIA DPA, der regelt:
- Zweck und Umfang der Verarbeitung
- Verantwortlichkeiten
- technische und organisatorische Massnahmen
- Sub-Processors
- internationale Übermittlungen
15. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung kann angepasst werden, insbesondere bei:
- Produktänderungen
- geänderten gesetzlichen Anforderungen
- neuen Modulen
- überarbeiteten Validierungsprozessen
Die jeweils aktuelle Version ist unterhttps://zerovia.ch/datenschutzerklaerung/
abrufbar.
16. Kontakt
ZEROVIA GmbH
Via Casti 52
7151 Schluein
privacy@zerovia.ch