Datenschutzerklärung

Diese Erklärung beschreibt, wie CICS GmbH («wir») personenbezogene Daten auf https://coffee.cics.ch verarbeitet. Massgebliches Recht: das revidierte Schweizer Bundesgesetz über den Datenschutz (CH-DSG, in Kraft seit 1. September 2023). Für Besucher:innen aus der EU/dem EWR gilt zusätzlich die Verordnung (EU) 2016/679 (DSGVO) Art. 3.

1. Verantwortliche Stelle

CICS GmbH
Grabenstrasse 15a, 6340 Baar, Switzerland
Datenschutzanfragen: datenschutz@cics.ch

2. Welche Daten wir erheben — und warum

Daten	Zweck	Rechtsgrundlage	Aufbewahrung
Eingegebener Token (über QR oder URL)	Validierung Ihrer Briefing-Einladung	Art. 6 Abs. 1 lit. b DSGVO / Art. 31 Abs. 2 lit. a DSG (Vertragsdurchführung)	Bis Kampagnenende plus 6 Monate
Name, geschäftliche E-Mail, Firma (reguläre Einlösung)	Vereinbarung des Briefings	Art. 6 Abs. 1 lit. b / Art. 31 Abs. 2 lit. a DSG	24 Monate nach dem Briefing
Erweiterte Angaben (Funktion, Land, LinkedIn, Telefon, Thema) (Identitätsprüfung)	Authentifizierung des Zugriffs auf die hinterlegten Inhalte	Art. 6 Abs. 1 lit. f / Art. 31 Abs. 1 lit. c DSG (überwiegendes berechtigtes Interesse)	13 Monate, anschliessend Löschung
Optionale Felder (Thema, Zeitfenster) bei regulärer Einlösung	Vorbereitung eines passenderen Briefings	Art. 6 Abs. 1 lit. a / Art. 31 Abs. 1 lit. a DSG (Einwilligung, optional)	24 Monate nach dem Briefing
IP-Adresse, User-Agent, Anfrage-ID, Zeitstempel	Audit-Log; Missbrauchs- und Betrugsabwehr	Art. 6 Abs. 1 lit. f / Art. 31 Abs. 1 lit. c DSG (berechtigtes Interesse)	13 Monate rollierend
Marketing-Liste (nur bei aktiver Einwilligung)	Künftige Briefings, Lageberichte, Event-Einladungen	Art. 6 Abs. 1 lit. a / Art. 31 Abs. 1 lit. a DSG (Einwilligung)	Bis zur Abmeldung

3. Verschlüsselung in der Datenbank

Alle direkt identifizierenden personenbezogenen Felder (vollständiger Name, E-Mail, Firma, Funktion, Land, Telefon, LinkedIn-URL, Thema, Wunschtermin sowie der User-Agent-String) werden auf Anwendungsebene verschlüsselt, bevor sie in die Datenbank geschrieben werden. Verfahren: AES-128-GCM (Fernet) mit Authentifizierungs-Tag. Die Schlüssel liegen ausschliesslich in den Umgebungsvariablen der Anwendungs-Container und werden nie zusammen mit den verschlüsselten Daten gespeichert.

Für Deduplikations- und Korrelationszwecke werden E-Mail-Adressen und Firmennamen zusätzlich als HMAC-SHA256-Fingerabdruck (mit separatem HMAC-Schlüssel) abgelegt; die Originalwerte sind aus diesen Fingerabdrücken nicht rekonstruierbar. Backups erben diese verschlüsselte Form. Datenbank-Dumps sind nicht sensibler als die laufende DB.

4. Web-Analyse

Diese Seite betreibt kein Web-Tracking in der Standardkonfiguration. Es werden keine Drittanbieter-Skripte geladen, mit Ausnahme der Schriftarten Special Elite, Courier Prime und Inter von Google Fonts. Falls in einem späteren Stadium ein selbst gehostetes Matomo aktiviert wird, beschreiben wir das hier explizit (cookielos, IP-anonymisiert, Token-Parameter gestrippt).

5. Cookies

Wir setzen genau einen kurzlebigen, signierten, Secure; HttpOnly; SameSite=Strict-Cookie (coffee_outcome, Lebensdauer 10 Minuten), um das Ergebnis der Formularverarbeitung über den Post-Redirect-Get-Schritt zu transportieren. Er enthält keinen persistenten Identifikator und wird gelöscht, sobald die Folgeseite gerendert wurde. Andere Cookies setzen wir nicht.

6. Bestätigungs-E-Mail

Bei einer regulären Einlösung schicken wir eine Bestätigungs-E-Mail an die angegebene Adresse. Wir nutzen unseren eigenen SMTP-Server; es ist kein externer E-Mail-Marketing-Dienst beteiligt. Standard-Mail-Header (Message-Id, Date, Empfängeradresse) werden für 24 Monate zusammen mit dem Buchungsdatensatz archiviert.

7. Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden ausschliesslich auf Infrastruktur der Hetzner Online GmbH (Falkenstein, Deutschland) verarbeitet. Mit dem Hosting-Anbieter besteht ein Auftragsverarbeitungsvertrag. Eine Übermittlung in Drittländer ausserhalb EU/EWR/Schweiz findet im Rahmen des Betriebs dieser Seite nicht statt.

8. Ihre Rechte

Nach Art. 15-22 DSGVO und Art. 25-32 DSG haben Sie ein Recht auf:

Auskunft über Ihre Daten und eine Kopie davon,
Berichtigung unrichtiger Daten,
Löschung — vorbehaltlich gesetzlicher Aufbewahrungspflichten,
Einschränkung oder Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen,
Datenübertragbarkeit für Daten, die Sie uns selbst übermittelt haben,
jederzeitigen Widerruf erteilter Einwilligungen — ohne dass die Rechtmässigkeit der bisherigen Verarbeitung berührt wird,
Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bzw. bei der für Sie zuständigen EU-Aufsichtsbehörde.

Anfragen richten Sie an datenschutz@cics.ch. Wir antworten innerhalb von 30 Tagen.

9. Sicherheit

Verbindungen zur Seite verwenden TLS 1.2+ (TLS 1.3 bevorzugt). Die Anwendung ist sowohl auf Netzwerk- als auch auf Anwendungsebene ratenbegrenzt. Server-Zugriffsprotokolle erfassen den eingegebenen Token nicht. Datenbank-Snapshots sind nächtlich verschlüsselt abgelegt; interne Zugriffe erfolgen nach dem Need-to-Know-Prinzip mit Audit-Log.

10. Authentifizierungs- und Missbrauchsschutz

Zum Schutz der hinterlegten Inhalte und der Kampagne unterhalten wir ein Audit-Log jedes Einlöseversuchs sowie der durchgeführten Identitätsprüfungen. Diese Aufzeichnungen ermöglichen uns, ungewöhnliche Muster zu erkennen und nachzuvollziehen, und werden nach 13 Monaten automatisch gelöscht. Bei Fragen oder einem Wunsch zur vorzeitigen Löschung Ihrer Aufzeichnungen schreiben Sie uns an datenschutz@cics.ch.

11. Änderungen

Letzte Aktualisierung: 2026. Wesentliche Änderungen werden auf dieser Seite angekündigt.