Datenschutzerklärung
LegaFund AG (NeuraPay) – revDSG primär, DSGVO-ready für den Fall, dass Art. 3(2) DSGVO einschlägig ist.
1. Geltungsbereich und anwendbares Recht
Diese Datenschutzerklärung beschreibt, wie die LegaFund AG („wir", „uns", „LegaFund") im Rahmen des Projekts NeuraPay Personendaten bearbeitet, wenn Sie diese Website (neurapay.ai, lega-fund.com und Unterdomains), die NeuraPay-Plattform oder damit verbundene Dienste nutzen.
Wir richten uns primär nach dem revidierten Schweizer Bundesgesetz über den Datenschutz (revDSG). Soweit der sachliche und räumliche Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO) nach Art. 3(2) DSGVO eröffnet ist – insbesondere bei Angeboten an betroffene Personen in der EU – wenden wir die DSGVO ergänzend an.
2. Verantwortliche Stelle
Verantwortliche Stelle im Sinne von Art. 5 lit. j revDSG bzw. Art. 4 Nr. 7 DSGVO ist:
LegaFund AG
Basteiplatz 5, 8001 Zürich, Schweiz
UID: CHE-260.692.477 · HR: CH-020-3048728-1
Allgemeine Anfragen: info@lega-fund.com
Datenschutz: datenschutz@lega-fund.com
3. Datenschutz-Ansprechpartner
Ansprechpartner für Datenschutzanliegen ist die Geschäftsleitung der LegaFund AG, vertreten durch Amadeus Romeo. Anfragen richten Sie bitte an datenschutz@lega-fund.com.
Wir benennen derzeit keinen formellen externen Datenschutzbeauftragten (DPO) im Sinne von Art. 37 DSGVO. Eine Pflicht zur Benennung besteht für uns derzeit nicht, da unsere Kerntätigkeit keine umfangreiche regelmässige und systematische Überwachung betroffener Personen im Sinne von Art. 37(1)(b) DSGVO erfordert. Bei einer EU-Expansion prüfen wir die Benennung neu.
4. EU-Vertreter (Art. 27 DSGVO)
Die LegaFund AG unterhält derzeit keine Niederlassung in der EU und richtet ihre Angebote nicht aktiv an Personen in der EU. Aus diesem Grund haben wir aktuell keinen EU-Vertreter im Sinne von Art. 27 DSGVO bestellt.
Sollten die Voraussetzungen von Art. 3(2) DSGVO in Zukunft flächendeckend einschlägig werden (aktive EU-Marktausrichtung), werden wir einen EU-Vertreter bestellen und an dieser Stelle bekannt geben.
5. Kategorien bearbeiteter Personendaten
Je nachdem, in welcher Form Sie mit uns in Kontakt treten oder unsere Dienste nutzen, bearbeiten wir die nachfolgend beschriebenen Kategorien von Personendaten. Wir erheben dabei stets nur diejenigen Daten, die für den jeweiligen Zweck erforderlich sind.
Stamm- und Kontaktdaten. Hierzu gehören Firmenbezeichnung, Vor- und Nachname, dienstliche E-Mail-Adresse, Telefonnummer, berufliche Funktion, Postanschrift sowie – sofern Sie uns diese freiwillig mitteilen – Ihr LinkedIn-Profil. Diese Daten erhalten wir ausschliesslich über die Formulare auf dieser Website oder aus direkter Korrespondenz mit Ihnen.
Vertrags- und Transaktionsdaten. Im Rahmen der Vertragsanbahnung und -abwicklung bearbeiten wir die vertragsrelevanten Angaben, insbesondere Leistungsbeschreibungen, Preise, Zahlungsmodalitäten, Rechnungs- und Mahndaten sowie sonstige mit dem Vertragsverhältnis zusammenhängende Informationen.
KYC-/AML-Daten. Soweit wir gesetzlich dazu verpflichtet sind (insbesondere nach dem Geldwäschereigesetz, GwG), bearbeiten wir Identifikationsdokumente, Angaben zu den wirtschaftlich Berechtigten (wB) sowie die Ergebnisse von PEP- und Sanktionslistenprüfungen. Die Erhebung dieser Daten erfolgt nicht über diese Landing Page, sondern ausschliesslich im authentifizierten Onboarding-Prozess der NeuraPay-Plattform.
Bewerbungsdaten. Wenn Sie sich über unsere Karriereseite bewerben, bearbeiten wir Ihren Namen, Ihre Kontaktdaten, Ihr LinkedIn- sowie gegebenenfalls Ihr Portfolio- oder GitHub-Profil, Ihre Gehaltsvorstellung, Ihre Anmerkungen und die von Ihnen übermittelten Bewerbungsunterlagen (insbesondere Lebenslauf und Zeugnisse).
Nutzungs- und Metadaten. Beim Besuch der Website fallen technisch notwendige Metadaten an, namentlich die IP-Adresse (in Server-Logs), der User-Agent, der Zeitstempel des Zugriffs, die aufgerufene URL sowie die Referrer-Adresse. Produktanalytische Ereignisse (Mixpanel) werden ausschliesslich nach Ihrer ausdrücklichen Einwilligung erhoben.
Einwilligungs-Logdaten. Zum Nachweis der Ihrerseits erteilten oder verweigerten Cookie- und Tracking-Einwilligung speichern wir den Zeitpunkt Ihrer Entscheidung, die gewählten Kategorien und die Version der zugrunde liegenden Richtlinie. Zusätzlich protokollieren wir eine gehashte Form der IP-Adresse und des User-Agents. Die Klartext-IP wird zu keinem Zeitpunkt gespeichert.
Nura-Chat-Daten. Wenn Sie unseren KI-Assistenten Nura verwenden, bearbeiten wir die Inhalte der Konversation (Ihre Eingaben und die generierten Antworten), eine pro Sitzung neu generierte Session-ID, die gewählte Sprache sowie die URL der Seite, von der aus der Chat geöffnet wurde. IP-Adressen werden in diesem Zusammenhang nicht gespeichert.
Kommunikationsdaten. Wenn Sie uns eine E-Mail schreiben oder eines unserer Kontaktformulare nutzen, bearbeiten wir den Inhalt Ihrer Mitteilung, die damit übermittelten Anhänge sowie die hierzu gehörenden Absender- und Empfängerangaben.
6. Zwecke und Rechtsgrundlagen
Wir bearbeiten Personendaten zu den folgenden Zwecken und auf den folgenden Rechtsgrundlagen (revDSG / DSGVO parallel):
| Zweck | Datenkategorien | Rechtsgrundlage (CH / EU) |
|---|---|---|
| Beantwortung von Anfragen & Vertragsanbahnung | Stamm-/Kontaktdaten, Kommunikationsdaten | Art. 31(2) lit. a revDSG / Art. 6(1)(b) DSGVO |
| Bewerbungsverfahren | Bewerbungsdaten | Art. 31(2) lit. a revDSG i.V.m. Art. 328b OR / Art. 6(1)(b) DSGVO i.V.m. Art. 88 DSGVO |
| Vertragserfüllung | Stamm-, Vertrags-, Transaktionsdaten | Art. 31(2) lit. a revDSG / Art. 6(1)(b) DSGVO |
| Einhaltung gesetzlicher Pflichten (GwG, OR, Steuern) | KYC-/AML-, Transaktions-, Buchhaltungsdaten | Art. 31(1) revDSG / Art. 6(1)(c) DSGVO |
| Betrieb, Sicherheit, Missbrauchsprävention | Nutzungs-/Metadaten, Server-Logs | Berechtigtes Interesse / Art. 6(1)(f) DSGVO |
| Reichweitenmessung (Mixpanel) | Nutzungs-/Metadaten | Einwilligung / Art. 6(1)(a) DSGVO |
| KI-Chat (Nura) | Nura-Chat-Daten | Berechtigtes Interesse an Produktqualität / Art. 6(1)(f) DSGVO |
| Direktwerbung (nur mit gesonderter Einwilligung) | Stamm-/Kontaktdaten | Einwilligung / Art. 6(1)(a) DSGVO |
7. Auftragsbearbeiter und Sub-Processors
Wir setzen sorgfältig ausgewählte Auftragsbearbeiter (Art. 9 revDSG / Art. 28 DSGVO) ein. Mit allen bestehen vertragliche Vereinbarungen zur Auftragsbearbeitung (AVV / DPA) inkl. – wo erforderlich – EU-Standardvertragsklauseln (SCC 2021/914) und dem Schweizer Addendum des EDÖB. Wir geben keine Daten an nicht vertraglich gebundene Dritte weiter.
| Anbieter | Funktion | Region | Transfermechanismus |
|---|---|---|---|
| Google Cloud Platform (Google Ireland Ltd.) | Hosting, Speicher, Backend-Infrastruktur | EU (europe-west6 / europe-west1) / CH | SCC + Schweizer Addendum, EU-US DPF (US-Mutter Google LLC) |
| Vercel Inc. | Hosting Landing-Page (Edge-/Server-Rendering, Log-Drain) | EU (fra1 / Frankfurt) | SCC + Schweizer Addendum, EU-US DPF |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (falls aktiviert) | IE / EU | SCC + Schweizer Addendum, EU-US DPF (US-Mutter Stripe Inc.) |
| TWINT AG | Zahlungsabwicklung (falls aktiviert) | CH | DSG (CH) – kein Drittstaatentransfer |
| Mixpanel Inc. | Reichweitenmessung (nur mit Einwilligung) | EU (eu-residency) | SCC + Schweizer Addendum, EU-US DPF (US-Mutter) |
| Google Gemini API (Google Ireland Ltd.) | KI-Chat Nura (generative Antworten) | EU (europe-west regions) | SCC + Schweizer Addendum, EU-US DPF (US-Mutter Google LLC); Data Logging und Modelltraining vertraglich deaktiviert |
| Mailgun Technologies Inc. | Transaktionale E-Mails (Formulare, Bestätigungen) | EU (api.eu.mailgun.net) | SCC + Schweizer Addendum, EU-US DPF (US-Mutter Sinch AB) |
| HubSpot Ireland Ltd. | Meeting-Booking (nur aktiv wenn konfiguriert) | EU | SCC + Schweizer Addendum, EU-US DPF (US-Mutter HubSpot Inc.) |
8. Übermittlung in Drittstaaten
Unsere Dienste werden grundsätzlich in Rechenzentren in der Schweiz oder der Europäischen Union betrieben. Einige unserer Auftragsbearbeiter sind jedoch Tochtergesellschaften US-amerikanischer Mutterkonzerne (namentlich Google LLC, Vercel Inc., Stripe Inc., Mixpanel Inc., Sinch AB als Mutter von Mailgun sowie HubSpot Inc.). Im Einzelfall – etwa bei konzerninternen Support- oder Eskalationsprozessen, bei administrativer Rechnungsstellung oder bei gesetzlich angeordneten Herausgabeersuchen gegenüber der US-Muttergesellschaft – lässt sich daher ein Zugriff auf Personendaten durch Stellen in den USA nicht vollständig ausschliessen.
Sämtliche Übermittlungen in Drittstaaten erfolgen ausschliesslich auf der Grundlage geeigneter Garantien, namentlich der EU-Standardvertragsklauseln 2021/914, ergänzt um das Schweizer Addendum des EDÖB, sowie – soweit der jeweilige Anbieter hierzu zertifiziert ist – der Mechanismen des EU-US Data Privacy Framework (DPF). Wir überprüfen die Angemessenheit dieser Mechanismen fortlaufend anhand der aktuellen Rechtsprechung und regulatorischen Leitlinien und passen unsere Verträge bei Bedarf unverzüglich an.
Weitere Informationen zu den Garantien und konkreten Anbietern erhalten Sie auf Anfrage unter datenschutz@lega-fund.com.
9. Speicherdauer
Wir speichern Personendaten nur so lange, wie dies für die jeweiligen Zwecke erforderlich oder gesetzlich vorgeschrieben ist:
| Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| KYC-/AML-Daten | 10 Jahre nach Geschäftsbeendigung | GwG Art. 7 |
| Buchhaltungsunterlagen | 10 Jahre | OR 958f |
| Fall- und Vertragsdaten | Fallabschluss + 10 Jahre | OR 127 / Art. 31 revDSG |
| Server-/Zugriffs-Logs | 90 Tage | Berechtigtes Interesse |
| Consent-Log (Einwilligungen) | 3 Jahre | Art. 7(1) DSGVO / Accountability |
| Mixpanel-Events | 12 Monate | Einwilligung / berechtigtes Interesse |
| Nura-Chat-Logs (Vercel EU) | 30 Tage | Berechtigtes Interesse an Qualitätssicherung |
| Bewerbungsdaten (Absage) | 6 Monate nach Absage | Nachweis- und Beweissicherung |
| Bewerbungsdaten (Talent Pool, nur mit Einwilligung) | bis zu 24 Monate | Einwilligung |
| Newsletter / Marketing | bis Widerruf | Einwilligung |
10. Automatisierte Entscheidungen und Profiling
Auf der NeuraPay-Plattform können – je nach gebuchtem Produkt – automatisierte Analyseverfahren zum Einsatz kommen (z. B. Scoring zur Einschätzung der Zahlungsfähigkeit im B2B-Forderungsmanagement, Betrugs-/Missbrauchserkennung). Diese finden nicht auf dieser Landing Page statt, sondern erst in der eingeloggten Plattform.
Kommen solche Verfahren zum Einsatz, beachten wir die Vorgaben von Art. 21 revDSG und Art. 22 DSGVO wie folgt:
Eingesetzte Logik. Die Scoring-Modelle berücksichtigen unter anderem das historische Zahlungsverhalten der betroffenen Person, Bonitätsindikatoren aus Daten zertifizierter Wirtschaftsauskunfteien, Art und Höhe der offenen Forderung sowie branchenspezifische Kennzahlen. Die jeweiligen Gewichtungen werden regelmässig überprüft und dokumentiert.
Tragweite für die betroffene Person. Die Ergebnisse der Analyse steuern beispielsweise die Reihenfolge, in welcher Mahnschritte ausgelöst werden, die Priorisierung für eine manuelle Prüfung sowie die Auswahl der für einen konkreten Fall vorgeschlagenen Handlungsoptionen. Eine verbindliche Rechtswirkung entsteht aus der automatisierten Analyse allein nicht.
Keine ausschliesslich automatisierten Einzelentscheidungen. Entscheidungen, die rechtliche Wirkungen entfalten oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigen – etwa die Einleitung eines Betreibungsverfahrens oder die endgültige Ablehnung einer Ratenvereinbarung – werden nicht ausschliesslich automatisiert getroffen. Sie unterliegen stets einer menschlichen Prüfung durch den jeweiligen Auftraggeber oder durch die zuständigen Mitarbeitenden von NeuraPay.
Ihr Recht auf Intervention. Sie haben das Recht, die automatisierte Bearbeitung einer Einzelfallentscheidung anzufechten, Ihren eigenen Standpunkt darzulegen und eine manuelle Überprüfung durch eine natürliche Person zu verlangen. Wenden Sie sich dazu bitte an datenschutz@lega-fund.com.
11. Nura-Chat (KI-Assistent)
Unser KI-Assistent Nura beantwortet Fragen zur NeuraPay-Plattform. Technisch greifen wir auf die Google Gemini API in einer EU-Region (Google Ireland Ltd.) zurück. Für die Nutzung gelten die nachfolgenden Bedingungen und Garantien.
Übermittlung an die Gemini-API. Ihre Eingaben werden pro Anfrage über eine verschlüsselte Verbindung an die Gemini-API in der EU-Region übermittelt, um dort eine Antwort zu generieren. Nach den für uns geltenden API-Bedingungen von Google verwendet Google diese Inhalte nicht zum Training der Gemini-Modelle. Eine kurzfristige, API-seitige Zwischenspeicherung zum Zweck der Missbrauchserkennung durch Google kann im Rahmen der öffentlichen API-Nutzungsbedingungen nicht vollständig ausgeschlossen werden; sie erfolgt ausschliesslich innerhalb der von Google vertraglich zugesicherten Garantien (DPA, SCC, EU-US Data Privacy Framework).
Konversations-Log auf unserer Seite. Zur Qualitätssicherung, zur Fehleranalyse und zur Missbrauchsprävention speichern wir Ihre Eingaben sowie die generierten Antworten für 30 Tage in strukturierten Logfiles bei Vercel Inc. (Region fra1, Frankfurt/EU). IP-Adressen werden in diesem Zusammenhang nicht gespeichert; die Sitzung wird über eine zufällig erzeugte Session-ID pseudonymisiert, die ausschliesslich im sessionStorage Ihres Browsers abgelegt ist.
Keine Weitergabe an Dritte. Die Inhalte der Nura-Konversation werden nicht an andere Empfänger weitergegeben, es sei denn, wir sind gesetzlich dazu verpflichtet oder Sie haben einer Weitergabe ausdrücklich zugestimmt (etwa bei der Übergabe eines Vorgangs an unser Vertriebs- oder Supportteam).
Bitte keine sensiblen Daten eingeben. Wir bitten Sie ausdrücklich, im Nura-Chat keine besonders schützenswerten Personendaten im Sinne von Art. 5 lit. c revDSG oder Art. 9 DSGVO einzugeben – insbesondere keine Gesundheits-, Finanz-, biometrischen, religiösen oder auf sexuelle Orientierung bezogenen Angaben. Für Anliegen, die solche Daten erfordern, steht Ihnen unser vertraulicher Kanal datenschutz@lega-fund.com zur Verfügung.
12. Cookies und vergleichbare Technologien
Details zu eingesetzten Cookies und Tracking-Technologien finden Sie in unserer Cookie-Richtlinie. Nicht-essenzielle Technologien (z. B. Mixpanel-Analytics) werden ausschliesslich nach Ihrer Einwilligung geladen.
13. Ihre Rechte
Ihnen stehen uns gegenüber die nachfolgenden Betroffenenrechte nach revidiertem Schweizer Datenschutzgesetz und – soweit einschlägig – nach der Datenschutz-Grundverordnung zu. Die Rechte können jederzeit und ohne formale Anforderungen geltend gemacht werden.
Recht auf Auskunft. Sie haben das Recht, von uns eine Auskunft darüber zu verlangen, ob und welche Personendaten wir über Sie bearbeiten (Art. 25 revDSG / Art. 15 DSGVO). Die Auskunft wird in der Regel innerhalb von 30 Tagen kostenlos erteilt.
Recht auf Berichtigung. Sollten die über Sie bearbeiteten Daten unrichtig oder unvollständig sein, können Sie deren unverzügliche Berichtigung oder Vervollständigung verlangen (Art. 32(1) revDSG / Art. 16 DSGVO).
Recht auf Löschung oder Vernichtung. Sie können die Löschung oder Vernichtung der Sie betreffenden Personendaten verlangen, soweit deren weitere Bearbeitung nicht durch gesetzliche Aufbewahrungspflichten, die Geltendmachung rechtlicher Ansprüche oder überwiegende berechtigte Interessen gerechtfertigt ist (Art. 32(2) revDSG / Art. 17 DSGVO).
Recht auf Einschränkung der Bearbeitung. Sie können verlangen, dass die Bearbeitung Ihrer Personendaten eingeschränkt wird, wenn Sie deren Richtigkeit bestreiten, die Bearbeitung unrechtmässig ist oder Sie Widerspruch gegen die Bearbeitung eingelegt haben (Art. 18 DSGVO).
Recht auf Datenherausgabe und -übertragung. Sie haben Anspruch auf Herausgabe der Sie betreffenden Personendaten, die Sie uns bereitgestellt haben, in einem gängigen elektronischen Format sowie auf deren Übermittlung an einen anderen Verantwortlichen, soweit die technischen Möglichkeiten dies erlauben (Art. 28 revDSG / Art. 20 DSGVO).
Recht auf Widerspruch. Sie können der Bearbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen, insbesondere gegenüber Bearbeitungen, die auf einem berechtigten Interesse beruhen (Art. 30(2) revDSG / Art. 21 DSGVO).
Recht auf Widerruf einer Einwilligung. Haben Sie uns eine Einwilligung zur Bearbeitung erteilt, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7(3) DSGVO). Die Rechtmässigkeit der bis zum Widerruf erfolgten Bearbeitung bleibt unberührt.
Recht auf Beschwerde. Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht zu, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen (siehe Ziff. 14).
Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an datenschutz@lega-fund.com. Zur Abwehr missbräuchlicher Anfragen sind wir berechtigt, bei begründeten Zweifeln an Ihrer Identität eine angemessene Überprüfung vorzunehmen, etwa durch Vorlage einer Kopie eines amtlichen Ausweises (nicht benötigte Angaben dürfen geschwärzt werden).
14. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde über unsere Datenbearbeitung zu beschweren, ohne dass Ihnen hierdurch Nachteile entstehen.
Für die Schweiz ist dies der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Feldeggweg 1, 3003 Bern, erreichbar unter www.edoeb.admin.ch.
Für die Europäische Union können Sie sich an jede Datenschutz-Aufsichtsbehörde des Mitgliedstaats Ihres Wohnorts, Ihres Arbeitsplatzes oder des Orts des mutmasslichen Verstosses wenden. Eine Liste der europäischen Aufsichtsbehörden führt der Europäische Datenschutzausschuss unter edpb.europa.eu.
15. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen nach Art. 8 revDSG / Art. 32 DSGVO (u. a. Verschlüsselung in-transit und at-rest, Zugriffskontrollen, Rollenkonzepte, Logging, Backup). Schwachstellen oder sicherheitsrelevante Hinweise melden Sie bitte an security@lega-fund.com – siehe auch security.txt.
16. Änderungen
Wir passen diese Datenschutzerklärung an, wenn sich unsere Datenbearbeitung oder die Rechtslage ändert. Die jeweils aktuelle Version ist hier veröffentlicht. Bei wesentlichen Änderungen informieren wir zusätzlich in geeigneter Weise.
