← Zurück

Datenschutzerklärung

Stand: 10.7.2026

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Sinne des revidierten Schweizer Datenschutzgesetzes (revDSG) sowie — soweit anwendbar — der EU-Datenschutz-Grundverordnung (DSGVO):

Bojan Trajkovic, 5620 Bremgarten, Schweiz
E-Mail: bojan@trajkovic.ch

TEO ist ein privat betriebenes, nicht-kommerzielles Unterstützungs-Tool. Es findet keine Monetarisierung statt (keine Werbung, kein Verkauf von Daten, keine Profilbildung über die Nutzung hinaus).

2. Welche Daten ich verarbeite

  • Kontodaten: E-Mail-Adresse, Name (optional), Account-Typ, ggf. weitere freiwillig im Profil hinterlegte Angaben (Firma, Funktion, Telefon, Standort, Notizen).
  • Authentifizierung: verschlüsselt (bcrypt) gespeichertes Passwort bzw. Google-OAuth-Identifikator, Sitzungstoken. Bei aktivierter Zwei-Faktor-Authentifizierung (TOTP) zusätzlich ein verschlüsselt gespeichertes Faktor-Secret. Bei Registrierung und Passwort­änderung wird der Hash deines Passworts (k-anonymisiert, ersten 5 Zeichen des SHA-1) gegen die Have-I-Been-Pwned-Datenbank geprüft — das Klartext-Passwort verlässt dabei den Server nicht.
  • Projektdaten: von dir angelegte Projekte, hochgeladene Bilder/Mockups, Kommentare, Markierungen, Freigabe-Einstellungen.
  • Audit-Log: sicherheitsrelevante Änderungen an Projekten, Feedback, Rollen und Profilen werden mit Zeitstempel, Akteur (User-ID) und Diff protokolliert. Einsicht ausschliesslich durch Administratoren zur Missbrauchs- und Fehleranalyse.
  • Technische Daten: bei jedem Zugriff fallen serverseitig kurzzeitig Verbindungsdaten an (IP-Adresse, Zeitstempel, User-Agent), die ausschliesslich der Betriebssicherheit dienen.

Es findet kein Analytics- oder Tracking-Einsatz statt (kein Google Analytics, kein Pixel, kein Drittanbieter-Cookie).

3. Zwecke der Verarbeitung

  • Bereitstellung der Anwendung und Verwaltung deines Nutzerkontos.
  • Sicherheit, Missbrauchserkennung und Fehleranalyse.
  • Erfüllung gesetzlicher Pflichten (z.B. Auskunfts­anfragen nach revDSG/DSGVO).

4. Rechtsgrundlagen

Nach DSGVO erfolgt die Verarbeitung zur Vertragserfüllung (Art. 6 Abs. 1 lit. b), aufgrund berechtigter Interessen am sicheren Betrieb (lit. f) und — bei nicht notwendigen Cookies — auf Basis deiner Einwilligung (lit. a). Nach revDSG ist die Bearbeitung zulässig, soweit sie nicht widerrechtlich ist und Treu und Glauben sowie die Verhältnismässigkeit gewahrt sind.

5. Cookies und lokaler Speicher

Ich verwende ausschliesslich technisch notwendige Cookies bzw. lokalen Browser-Speicher (Anmeldung, Sitzung, Sicherheit, gespeicherte Kamera-Auswahl, Cookie-Einwilligung selbst). Cookies für Analyse oder Marketing werden nicht gesetzt.

6. Auftragsverarbeiter und Datenweitergabe

Für den Betrieb nutze ich folgende Dienstleister, die in meinem Auftrag Daten verarbeiten:

  • Lovable Cloud / Supabase (Supabase Inc., USA, mit Hosting in der EU [Frankfurt]) — Hosting, Datenbank, Authentifizierung und Datei-Speicher. Übermittlung in Drittländer ist durch EU-Standardvertragsklauseln (SCC) abgesichert.
  • Google LLC (USA) — optionaler Single-Sign-On via Google OAuth. Wird nur aktiv, wenn du dich ausdrücklich mit Google anmeldest. Datenübermittlung in die USA auf Basis EU-US Data Privacy Framework.
  • Cloudflare Inc. (USA / global) — CDN und Edge-Hosting der Anwendung.

Weiter gebe ich keine personenbezogenen Daten weiter. Ein Verkauf von Daten findet nicht statt.

7. Speicherdauer und Löschung

  • Konto- und Profildaten: bis zur Löschung des Kontos durch dich.
  • Projekte und hochgeladene Dateien: bis zur Löschung durch dich bzw. zusammen mit dem Konto.
  • Audit-Log-Einträge: werden bis zur Konto-Löschung des Akteurs aufbewahrt und dann mitentfernt.
  • Konto-Löschung: über die Schaltfläche „Konto löschen" im Profil. Es werden sofort und unwiderruflich Konto, Profil, eigene Projekte, geteilte Links, Mitgliedschaften, Feedback, Aktivitätslog und alle hochgeladenen Dateien gelöscht. Backups werden im Rahmen der üblichen Lösch­zyklen des Hosters überschrieben.
  • Server-/Verbindungslogs: kurzzeitig zur Betriebssicherheit, danach automatisch verworfen.

8. Verschlüsselung

Daten werden in der Datenbank verschlüsselt gespeichert („at rest", AES-256) und ausschliesslich über TLS 1.2+ übertragen. Bilder im Feedback-/Upload-Bucket sind privat und nur über kurzlebige, signierte URLs zugänglich.

9. Deine Rechte

Du hast jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Anfragen genügen formlos per E-Mail an bojan@trajkovic.ch.

Schweizer Nutzer können sich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten beschweren (edoeb.admin.ch). EU-Nutzer können sich bei der zuständigen Aufsichtsbehörde ihres Wohnsitzlandes melden.

10. Änderungen dieser Erklärung

Diese Erklärung kann angepasst werden, wenn sich die Anwendung oder rechtliche Vorgaben ändern. Massgeblich ist jeweils die hier abrufbare aktuelle Fassung.