Datenschutzerklärung

Auf einen Blick

CASUS ist eine Schweizer Legal-Tech-Plattform. Wir unterstützen Rechtsabteilungen und Kanzleien beim Erstellen, Prüfen und Verwalten von Dokumenten mithilfe von Large Language Models (LLMs). Weil ihr uns sensitive Dokumente anvertraut, ist Datenschutz für uns kein Nachgedanke, sondern eine Design-Vorgabe.

Wer wir sind. CASUS Technologies AG, Uraniastrasse 31, 8001 Zürich, Schweiz. Kontakt für Datenschutzanliegen: contact@getcasus.com.

Was wir verarbeiten. Eure Kontodaten (Name, E-Mail, Firma, Rolle), Dokumente die ihr hochladet, Prompts und Anweisungen die ihr an unsere KI-Funktionen sendet, Abrechnungsdaten sowie technische Daten wie IP-Adresse und Browser-Informationen.

Wo eure Dokumente liegen. Kundendokumente und Workspace-Daten werden auf Google Cloud Infrastruktur in der Schweiz gespeichert. Für die KI-Funktionen wird der benötigte Dokumenttext samt Prompts an Google Cloud (Vertex AI) in Belgien und an Microsoft Azure OpenAI in der Schweiz und in Schweden zur Inferenz übermittelt. Alle Übertragungen laufen über verschlüsselte Kanäle.

KI und eure Dokumente. Wir nutzen Drittanbieter-LLMs (über Google Cloud Vertex AI und Microsoft Azure OpenAI), um Vertragsanalyse und Drafting zu ermöglichen. Eure Dokumente werden nicht zum Training von KI-Modellen verwendet, und unsere Enterprise-Verträge mit Google und Microsoft verbieten es den Anbietern ebenfalls. KI-Ergebnisse können Fehler enthalten – die fachliche Prüfung durch einen Menschen bleibt unerlässlich.

Wer sonst Daten sieht. Eine kleine Zahl sorgfältig ausgewählter Dienstleister (vollständige Liste in Abschnitt 10): Zahlungen (Stripe), Support-Chat (Intercom), Terminbuchung (Calendly), Website-Analyse sowie interne Tools wie unser CRM. Keiner von ihnen verwendet eure Daten für eigene Zwecke.

Eure Rechte. Ihr könnt jederzeit auf eure personenbezogenen Daten zugreifen, sie berichtigen, löschen, exportieren, einschränken oder der Verarbeitung widersprechen und Einwilligungen widerrufen. Schreibt uns an contact@getcasus.com, wir antworten innerhalb von 30 Tagen.

Anwendbares Recht. Das Schweizer Bundesgesetz über den Datenschutz (revDSG) und, soweit anwendbar, die EU-Datenschutz-Grundverordnung (DSGVO). Diese Erklärung ist so formuliert, dass sie beiden Regimes gerecht wird.

Vollständige Datenschutzerklärung

1. Geltungsbereich und Verantwortlicher

Diese Datenschutzerklärung beschreibt, wie die CASUS Technologies AG (“CASUS”, “wir”, “uns”) personenbezogene Daten verarbeitet, wenn ihr

• unsere Website getcasus.com und verwandte Subdomains besucht,

• euch für die CASUS-Webapplikation, das CASUS Word Add-in oder ein anderes CASUS-Produkt (zusammen der “Dienst”) registriert, euch einloggt oder den Dienst nutzt,

• mit uns als Kunde, Interessent, Geschäftspartner, Teilnehmer an Veranstaltungen, Newsletter-Abonnent oder Bewerber interagiert oder

• uns per E-Mail, Chat, Telefon oder über ein Formular auf unserer Website kontaktiert.

CASUS ist Verantwortliche im Sinne von Art. 5 lit. j revDSG und Art. 4 Ziff. 7 DSGVO für die hier beschriebenen Verarbeitungen, ausser wo wir als Auftragsbearbeiterin im Auftrag eines Kunden handeln (siehe Abschnitt 3).

Wir sind eine Schweizer Aktiengesellschaft mit Sitz an der folgenden Adresse:

CASUS Technologies AG Uraniastrasse 31 8001 Zürich Schweiz contact@getcasus.com

Unsere Datenschutzbeauftragter ist Céleste Urech, erreichbar unter celeste.urech@casus.ch oder über die oben genannte Kontaktadresse.

Diese Datenschutzerklärung gilt nicht für Websites, Produkte oder Dienste Dritter, auch wenn wir darauf verlinken.

2. Begriffe

Wir verwenden die Begriffe wie in Art. 5 revDSG und Art. 4 DSGVO definiert. Kurz zusammengefasst:

• Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

• Bearbeitung/Verarbeitung ist jede Operation mit personenbezogenen Daten wie Erheben, Speichern, Nutzen, Bekanntgeben oder Löschen.

• Verantwortlicher ist, wer über Zweck und Mittel der Bearbeitung entscheidet.

• Auftragsbearbeiter ist, wer personenbezogene Daten im Auftrag eines Verantwortlichen bearbeitet.

• Kunde ist eine juristische oder natürliche Person, die mit CASUS einen Dienstleistungsvertrag abgeschlossen hat.

• Nutzer ist eine Person, die den Dienst nutzt – ob als Mitarbeiter eines Kunden, als Trial-User oder als Besucher.

3. Rolle als Verantwortliche vs. Auftragsbearbeiterin

CASUS bearbeitet personenbezogene Daten in zwei unterschiedlichen Rollen, und die Unterscheidung ist wichtig:

a) CASUS als Verantwortliche. Für Kontodaten, Abrechnungsdaten, Website-Analyse, Marketing-Kommunikation und vergleichbare operative Verarbeitungen entscheidet CASUS über Zweck und Mittel. Diese Datenschutzerklärung regelt diese Verarbeitungen.

b) CASUS als Auftragsbearbeiterin. Wenn Kunden Dokumente hochladen und KI-Analysen im Dienst ausführen, können diese Inhalte personenbezogene Daten von Mitarbeitenden, Gegenparteien, Mandanten und weiteren Dritten enthalten. Diese Inhalte bearbeitet CASUS im Auftrag und nach den Weisungen des Kunden, der Verantwortlicher bleibt. Die Bedingungen dieser Auftragsbearbeitung ergeben sich aus den CASUS-AGB (insbesondere Ziffer 9) und werden durch das Trust Center unter https://trust.getcasus.com näher dokumentiert.

Wenn ihr als betroffene Person in von Kunden hochgeladenen Dokumenten erscheint, richtet Anfragen (Auskunft, Löschung etc.) bitte in erster Linie an den jeweiligen Kunden. In unserer Rolle als Auftragsbearbeiterin unterstützen wir den Kunden bei der Beantwortung solcher Anfragen.

4. Welche personenbezogenen Daten wir verarbeiten

Wir versuchen, nur das zu erheben, was für den jeweiligen Zweck erforderlich ist. Die folgende Tabelle listet die wichtigsten Kategorien.

4.1 Daten, die ihr uns direkt zur Verfügung stellt

• Konto- und Profildaten – Vorname, Nachname, geschäftliche E-Mail-Adresse, Firma, Rolle, bevorzugte Sprache, Passwort-Hash. Erhoben bei der Registrierung und bei Profilaktualisierungen.

• Kontaktdaten – Telefonnummer, Postanschrift, Funktion. Erhoben über Kontaktformulare und im Rahmen von Sales-Interaktionen.

• Inhaltsdaten – Dokumente die ihr hochladet; Prompts und Anweisungen an KI-Funktionen; Klauseln, Entwürfe, Vorlagen und Annotationen im Dienst. Entstehen durch eure Nutzung des Dienstes.

• Vertrags- und Abrechnungsdaten – Abo-Plan, Rechnungsadresse, MWST-Nummer, Rechnungen, Zahlungsverlauf. Erhoben im Rahmen von Subscription und Billing.

• Support- und Kommunikationsdaten – Nachrichten an unser Support-Team, Chat-Transkripte, Gesprächsnotizen. Entstehen bei Support-Anfragen, Telefonaten und E-Mails.

• Event- und Webinar-Daten – Name, E-Mail, Firma, gestellte Fragen. Erhoben bei der Anmeldung zu unseren Veranstaltungen.

• Newsletter-Daten – Name, E-Mail, Interaktion mit Newslettern (geöffnet, geklickt). Erhoben bei der Newsletter-Anmeldung.

• Bewerbungsdaten – Lebenslauf, Motivationsschreiben, Referenzen. Erhoben im Rahmen von Stellenbewerbungen.

4.2 Daten, die wir automatisch erheben

Bei Nutzung des Dienstes oder Besuch unserer Website erfassen wir automatisch technische Informationen, insbesondere:

• IP-Adresse und daraus abgeleitete ungefähre Standortinformation

• Geräte- und Browser-Informationen (Typ, Version, Sprache, Betriebssystem, Bildschirmgrösse)

• Verweisende URL und besuchte Seiten, Zeitstempel, Sitzungsdauer

• HTTP-Statuscodes, übertragene Datenmengen

• Log-Daten zu Funktionsnutzung, Fehlern und Performance

• Cookies und ähnliche Kennungen (siehe Abschnitt 12)

4.3 Daten, die wir von Dritten erhalten

Wo nötig bearbeiten wir personenbezogene Daten aus weiteren Quellen, zum Beispiel:

• Kontaktinformationen von Geschäftspartnern, Event-Hosts oder öffentlichen Quellen (Handelsregister, LinkedIn) für die B2B-Sales-Ansprache;

• Authentifizierungsdaten (Name, E-Mail) von Identity-Providern beim Single Sign-On (optional verfügbar für Enterprise-Kunden);

• Zahlungsbestätigungen von Stripe.

4.4 Kategorien betroffener Personen

Die über den Dienst bearbeiteten personenbezogenen Daten können Mitarbeitende, Consultants, Auftragnehmer, Lieferanten, Kunden, Gegenparteien und weitere in hochgeladenen Dokumenten genannte natürliche Personen sowie Website-Besucher und Newsletter-Abonnenten betreffen.

4.5 Besondere Kategorien personenbezogener Daten

Der Dienst ist nicht darauf ausgelegt, besondere Kategorien personenbezogener Daten (Art. 9 DSGVO, Art. 5 lit. c revDSG) zu bearbeiten, zum Beispiel Gesundheitsdaten, Daten zur Gewerkschaftszugehörigkeit oder Daten zu religiösen oder weltanschaulichen Überzeugungen. Wenn ihr dennoch Dokumente mit solchen Daten hochladet, tut ihr dies in eigener Verantwortung und müsst sicherstellen, dass ihr eine rechtmässige Grundlage und, wo verlangt, die ausdrückliche Einwilligung der betroffenen Personen habt.

5. Zwecke der Bearbeitung

Wir bearbeiten personenbezogene Daten zu folgenden Zwecken:

1. Erbringung des Dienstes, insbesondere Kontoerstellung und Authentifizierung, Speicherung und Abruf eurer Dokumente, Vertragsanalyse und Drafting mittels KI, Workspace-Kollaboration und das CASUS Word Add-in.

2. Kundenadministration, insbesondere Vertragsmanagement, Abrechnung, Buchhaltung und Archivierung nach Schweizer Recht.

3. Kundensupport, insbesondere Beantwortung von Anfragen, Troubleshooting und Debugging.

4. Produktverbesserung und Sicherheit, insbesondere Überwachung von Verfügbarkeit und Performance, Untersuchung von Missbrauch, Debugging, Fehleranalyse, Verbesserung der Usability und Entwicklung neuer Funktionen. Wo möglich greifen wir dazu auf aggregierte oder anonymisierte Daten zurück.

5. Marketing und Kommunikation, insbesondere Versand von Newslettern und Produktupdates (nach Einwilligung beziehungsweise mit Opt-out-Möglichkeit), Durchführung von Webinaren und Veranstaltungen, Werbung auf eigenen Kanälen, Messung der Reichweite unserer Kampagnen und Ansprache von Interessenten im B2B-Kontext.

6. Rechtliche Compliance und Rechtswahrung, insbesondere Einhaltung schweizerischer und EU-rechtlicher Pflichten, Beantwortung von Behördenanfragen, Dokumentation von Einwilligungen und Betroffenenrechten sowie Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen.

7. Unternehmenstransaktionen, insbesondere Prüfung, Vorbereitung und Durchführung von Fusionen, Übernahmen oder Umstrukturierungen.

6. Rechtsgrundlagen

Nach DSGVO stützen wir uns auf folgende Rechtsgrundlagen (Art. 6 DSGVO):

• Vertragserfüllung (Art. 6 Abs. 1 lit. b) – zur Erbringung des Dienstes an euch oder euren Arbeitgeber, zur Verwaltung eures Kontos und Abos, zur Zahlungsabwicklung und zur Beantwortung eurer Anfragen.

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f) – für den sicheren Betrieb von Website und Dienst, zur Erkennung und Abwehr von Betrug oder Missbrauch, zur Produktverbesserung, für B2B-Marketing gegenüber Geschäftskontakten, zur angemessenen Dokumentation aus Beweiszwecken sowie zur Vorbereitung und Durchführung von Unternehmenstransaktionen. Wir haben diese Interessen gegen eure Rechte und Freiheiten abgewogen und teilen die Abwägung auf Anfrage gerne mit.

• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) – zur Einhaltung schweizerischer und EU-rechtlicher Pflichten, zum Beispiel Buchhaltung, Steuer, Geldwäschereibekämpfung, Meldung von Datenschutzverletzungen.

• Einwilligung (Art. 6 Abs. 1 lit. a) – für Newsletter, nicht zwingend erforderliche Cookies und andere Verarbeitungen, für die wir ausdrücklich um Einwilligung bitten. Ihr könnt eure Einwilligung jederzeit widerrufen, ohne dass dadurch die Rechtmässigkeit der vor dem Widerruf erfolgten Bearbeitung berührt wird.

Nach Schweizer revDSG ist die Bearbeitung zulässig, wenn die Grundsätze von Art. 6 revDSG (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Transparenz, Datensicherheit) eingehalten werden. Wo wir uns auf überwiegende Interessen stützen, haben wir eine entsprechende Begründung dokumentiert.

7. KI-Bearbeitung eurer Dokumente

Dieser Abschnitt ist zentral, weil er beschreibt, was CASUS von einem generischen SaaS-Produkt unterscheidet.

7.1 Was wir tun

Der Dienst setzt Large Language Models (“LLMs”) ein, um juristische Dokumente zu analysieren, zusammenzufassen, Informationen zu extrahieren, Entwürfe zu erstellen und Texte zu überarbeiten. Wenn ihr eine KI-Funktion nutzt, läuft Folgendes ab:

1. Der relevante Dokumenttext und euer Prompt werden über TLS vom Browser oder Word Add-in an das CASUS-Backend übermittelt.

2. Das Backend leitet den Text über eine verschlüsselte, private Verbindung an einen unserer LLM-Provider weiter – aktuell Google Cloud (Vertex AI) und Microsoft Azure OpenAI.

3. Das LLM erzeugt eine Antwort und sendet sie an das CASUS-Backend zurück.

4. Die Antwort wird in eurem Workspace bereitgestellt und im Dienst angezeigt.

7.2 Wo die Modelle laufen

• Google Cloud – Vertex AI (Gemini sowie über Vertex angebotene Drittmodelle): Belgien (europe-west1).

• Microsoft Azure – Azure OpenAI Service: Switzerland North und Sweden Central.

Die Dokumentspeicherung selbst verbleibt auf Google Cloud in der Schweiz; nur der Text, der für eine konkrete KI-Anfrage benötigt wird, wird an die Inferenz-Region übermittelt.

7.3 Kein Training auf euren Daten

Wir haben unsere Integrationen mit Google Cloud und Microsoft Azure so konfiguriert, dass eure Prompts, Dokumente und KI-Antworten nicht zum Training, Fine-Tuning oder zur Verbesserung der zugrundeliegenden Modelle verwendet werden. Dies ist vertraglich abgesichert durch die Datenschutzbedingungen, die Google Cloud und Microsoft für ihre Enterprise-Kunden vorsehen und die auf unsere Konten anwendbar sind.

Wir verwenden eure Inhalte auch nicht zum Training oder zur Verbesserung eines CASUS-eigenen Modells.

7.4 Aufbewahrung auf Modellebene

Google Cloud Vertex AI bewahrt Prompts und Antworten nach Auslieferung der Antwort gemäss den anwendbaren Google Cloud-Bedingungen nicht dauerhaft auf. Microsoft Azure OpenAI würde normalerweise Prompts und Completions bis zu 30 Tage zur Missbrauchsüberwachung speichern; CASUS hat jedoch von Microsoft ein Opt-out aus dem Abuse-Monitoring erhalten, so dass eure Prompts und Antworten über den Request-Response-Zyklus hinaus nicht im Azure OpenAI Service gespeichert werden.

7.5 Genauigkeit und menschliche Kontrolle

KI-Antworten sind statistische Prognosen, kein geprüftes juristisches Beratungsergebnis. Sie können sachliche Fehler, erfundene Zitate (“Halluzinationen”), Auslassungen oder Fehlinterpretationen enthalten. Ihr dürft euch nicht ohne qualifizierte menschliche Prüfung auf KI-Antworten verlassen. CASUS ist ein Werkzeug für Rechtsprofis; es ersetzt keine rechtliche Beurteilung und bietet keine Rechtsberatung.

7.6 Besonders vertrauliche Inhalte

Ihr entscheidet, welche Dokumente ihr hochladet. Wenn ein Dokument besonders strengen Vertraulichkeits-, Anwaltsgeheimnis- oder Geheimhaltungspflichten unterliegt, prüft bitte vor dem Upload, ob die in dieser Erklärung und im Trust Center beschriebenen Schutzmassnahmen für euren Anwendungsfall genügen. Für Enterprise-Kunden besprechen wir gerne zusätzliche Schutzmassnahmen.

8. Weitergabe an Dritte

Wir geben personenbezogene Daten nur weiter, wenn es eine Rechtsgrundlage und einen echten Bedarf gibt. Empfänger können sein:

• Dienstleister und Unterauftragsbearbeiter, die uns beim Betrieb des Dienstes und des Unternehmens unterstützen (siehe Abschnitt 10).

• Professionelle Berater wie Revisoren, Steuerberater, Anwälte und Versicherungen, jeweils unter Vertraulichkeit.

• Zahlungsdienstleister wie Stripe zur Abwicklung von Abonnements.

• Behörden und Gerichte, wo wir gesetzlich zur Herausgabe verpflichtet sind.

• Käufer oder Investoren im Rahmen von Due-Diligence-Prüfungen oder Unternehmenstransaktionen unter angemessener Vertraulichkeit.

Wir verkaufen keine personenbezogenen Daten und geben keine personenbezogenen Daten zu eigenen Marketingzwecken Dritter weiter.

9. Internationale Datenübermittlungen

Wir bearbeiten personenbezogene Daten primär in der Schweiz und in der EU/EWR. Mandats- und Dokumenteninhalte verlassen diese Regionen nicht. Für andere Datenkategorien wie Account-, Nutzungs- und Supportdaten findet die Bearbeitung teilweise auch in weiteren Ländern statt:

• Europäische Union (Belgien, Irland, Niederlande, Deutschland, Malta) – für KI-Inferenz (Google Cloud Vertex AI), für einzelne Analytics- und Support-Dienste sowie für Zahlungsabwicklung.

• Schweden – als eine der von uns genutzten Azure OpenAI-Regionen.

• Vereinigte Staaten – für einzelne operative und Website-Tools wie Intercom, Calendly, Notion, Slack, Attio und Google Analytics.

Wird ein Transfer in ein Land ohne angemessenes Datenschutzniveau nach Einschätzung des Schweizerischen Bundesrats oder der EU-Kommission vorgenommen, stützen wir uns auf eine oder mehrere der folgenden Garantien:

• die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission) in Kombination mit dem vom Schweizer Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) anerkannten Swiss Addendum;

• das UK International Data Transfer Addendum, sofern einschlägig;

• zusätzliche technische und organisatorische Massnahmen wie Verschlüsselung während der Übertragung und im Ruhezustand, strenge Zugriffskontrollen und vertragliche Einschränkungen des Zugriffs von Subprozessoren;

• in besonderen Fällen eure ausdrückliche Einwilligung oder die Vertragserforderlichkeit, soweit Art. 17 revDSG und Art. 49 DSGVO dies erlauben.

Kopien der für einen konkreten Transfer eingesetzten Garantien könnt ihr über contact@getcasus.com anfordern.

10. Subprozessoren

Wir setzen eine bewusst klein gehaltene Anzahl Subprozessoren ein, um den Dienst zu betreiben und unser Geschäft zu führen. Wir unterscheiden zwei Gruppen:

• Produkt-Subprozessoren, die mit Kundendokumenten und Prompts in Berührung kommen können. Weil dies der sensible Kern der Datenbearbeitung ist, nennen wir sie nachfolgend vollständig beim Namen.

• Operative Subprozessoren, die wir für Website, Marketing, Sales, Support, Zahlungen und interne Zusammenarbeit einsetzen. Sie greifen in der Regel nicht auf Kundendokumente zu. Wir führen sie nachfolgend nach Kategorien auf; die stets aktuelle, namentliche Liste wird in unserem Trust Center veröffentlicht.

10.1 Produkt-Subprozessoren

• Google LLC / Google Cloud EMEA Ltd — Google Cloud Storage und Compute, Standort Schweiz. Eingesetzt für Hosting des Dienstes sowie Speicherung von Kundendokumenten und Workspace-Daten.

• Google LLC / Google Cloud EMEA Ltd — Google Cloud Vertex AI, Standort Belgien (europe-west1). Eingesetzt für LLM-Inferenz für KI-Funktionen.

• Microsoft Ireland Operations Ltd — Azure OpenAI Service, Standorte Switzerland North und Sweden Central. Eingesetzt für LLM-Inferenz für KI-Funktionen.

Diese Subprozessoren arbeiten unter einer Zero-Data-Retention-Vereinbarung: Kundeninhalte, die zur Inferenz übermittelt werden, werden über die Dauer der Anfrage hinaus nicht gespeichert und nicht zum Training oder zur Verbesserung der Modelle verwendet.

10.2 Operative Subprozessoren – Kategorien

Für unsere Website, Marketing, Sales, Support, Zahlungen, interne Zusammenarbeit und Kommunikation greifen wir auf Drittanbieter in den folgenden Kategorien zurück:

• Zahlungsabwicklung, für Abo-Abrechnung und Rechnungsstellung.

• Transaktions- und Marketing-E-Mail, für Konto-Mails, Passwort-Resets, Rechnungen und Newsletter.

• Kundensupport und In-App-Messaging, für Support-Chat, Help Center und Produkt-Ankündigungen.

• CRM- und Sales-Tools, für die Verwaltung von Interessenten- und Kundenkontaktdaten.

• Terminbuchung, für die Buchung von Demos und Sales-Calls.

• Website- und Produkt-Analyse, Werbemessung und Tag-Management, um zu verstehen, wie Besucher unsere Website nutzen, und um Marketing-Kampagnen zu messen.

• Produkt-Analyse, Heatmaps und Session Recordings auf unserer Marketing-Website.

• Web-Fonts, eingebunden über unsere Marketing-Site.

• Authentifizierungs- und Datenbankinfrastruktur, die Teile des Dienstes unterstützt.

• Interne Knowledge Base und Dokumentation.

• Interne Teamkommunikation.

Anbieter in diesen Kategorien befinden sich in der Schweiz, im Europäischen Wirtschaftsraum und in den Vereinigten Staaten. Soweit sich Anbieter ausserhalb der Schweiz oder des EWR befinden, werden Übermittlungen durch die in Abschnitt 9 beschriebenen Schutzmassnahmen abgesichert (insbesondere EU-Standardvertragsklauseln mit Schweizer Addendum und/oder die jeweils anwendbaren Angemessenheitsbeschlüsse).

10.3 Aktuelle Liste und Trust Center

Die stets aktuelle, namentliche Liste aller Subprozessoren – Produkt- wie operative – ist öffentlich in unserem Trust Center unter https://trust.getcasus.com einsehbar. Wir halten diese Liste aktuell, sobald wir einen Subprozessor ergänzen oder ersetzen, damit du jederzeit nachsehen kannst, mit wem wir zusammenarbeiten.

Mit jedem Subprozessor haben wir eine schriftliche Vereinbarung abgeschlossen, die gleichwertige Pflichten vorsieht wie diese Datenschutzerklärung und unsere AGB – insbesondere Vertraulichkeit, Sicherheit und, wo relevant, Standardvertragsklauseln für internationale Übermittlungen.

Änderungen der Subprozessoren. Wir können Subprozessoren im Zuge der Weiterentwicklung des Dienstes ergänzen oder ersetzen. Wir informieren Kunden mindestens 30 Tage im Voraus über neue Produkt-Subprozessoren – über das Trust Center sowie, sofern Kunden Updates abonniert haben, per E-Mail. Kunden können aus angemessenen Datenschutzgründen Einspruch erheben.

11. Aufbewahrungsdauer

Wir bewahren personenbezogene Daten nur so lange auf, wie dies für die in dieser Erklärung genannten Zwecke erforderlich ist oder wie es gesetzlich vorgeschrieben wird. Die wichtigsten Aufbewahrungsfristen:

• Konto- und Profildaten – während der Vertragslaufzeit, danach bis zu 90 Tage für das Bereinigen von Backups.

• Kundendokumente und Workspace-Inhalte – während der aktiven Subscription; nach Vertragsende Löschung oder Rückgabe gemäss unseren AGB.

• Rechnungs- und Buchhaltungsdaten – 10 Jahre ab Ende des Geschäftsjahres (Art. 958f OR).

• Vertragsdaten mit Kunden und Lieferanten – 10 Jahre ab Vertragsende.

• Server- und Zugriffs-Logs – typischerweise bis zu 90 Tage, länger bei Sicherheitsuntersuchungen.

• Support-Tickets und Chat-Transkripte – bis zu 3 Jahre nach letzter Interaktion.

• Newsletter-Abonnements – bis zur Abmeldung; anschliessend Sperrliste, um keine erneute Ansprache zu erlauben.

• Marketing- und Analysedaten – in aggregierter Form in der Regel bis zu 26 Monate.

• Bewerbungsdaten – bis zu 12 Monate nach Abschluss des Bewerbungsverfahrens, länger nur mit Einwilligung.

• Rechtsansprüche und Streitigkeiten – bis zur endgültigen Erledigung und Ablauf der Verjährungsfristen.

Nicht mehr benötigte Daten werden im Rahmen unserer Routinelöschungsprozesse gelöscht oder unwiderruflich anonymisiert.

12. Cookies, Analyse und Tracking

Unsere Website nutzt Cookies und ähnliche Technologien. Wir unterscheiden:

• Technisch notwendige Cookies, die für den Betrieb der Website und des Dienstes unverzichtbar sind (zum Beispiel Authentifizierung, Load Balancing, CSRF-Schutz). Sie lassen sich nicht deaktivieren.

• Analyse-Cookies von Google Analytics 4, mit welchem wir die Nutzung von Website und Dienst in aggregierter Form verstehen.

• Marketing-Cookies von Google Ads über den Google Tag Manager zur Messung der Reichweite und Wirkung unserer Kampagnen.

Analyse- und Marketing-Cookies setzen wir nur mit eurer Einwilligung, die wir über das Cookie-Banner beim ersten Besuch einholen. Ihr könnt eure Einwilligung jederzeit über den Link zu den Cookie-Einstellungen im Footer unserer Website widerrufen.

Google Analytics 4 verwendet pseudonymisierte Kennungen; IP-Adressen werden vor der Speicherung gekürzt und nicht mit anderen Google-Daten verknüpft. Google Ads und Google Tag Manager dienen dem Management von Tags und der Messung von Werbewirkung; Google kann dabei Daten in die USA übermitteln.

Unsere Marketing-Website wird auf Framer gehostet und bindet Google Fonts über Framer ein. Werden die Fonts von Google-Servern geladen, kann dabei eure IP-Adresse an Google übermittelt werden.

Wir setzen Cookies und ähnliche Technologien nicht dazu ein, Verhaltensprofile für Werbung ausserhalb unserer eigenen Kampagnen aufzubauen.

13. Newsletter, Webinare und Kontaktformulare

Newsletter. Wenn ihr unseren Newsletter abonniert, senden wir euch Produkt-News, Event-Einladungen und verwandte Inhalte. Wir setzen ein Double-Opt-in-Verfahren ein. Eine Abmeldung ist jederzeit über den Link am Ende jeder Newsletter-E-Mail oder per Nachricht an contact@getcasus.com möglich. Der Versand unserer Newsletter und Transaktions-E-Mails erfolgt über Brevo (Sendinblue SAS, Frankreich). Brevo bearbeitet dabei eure Name, E-Mail-Adresse und Interaktionsdaten (Öffnungen, Klicks) in unserem Auftrag in der Europäischen Union.

Webinare und Veranstaltungen. Bei der Anmeldung zu einem Webinar oder einer Veranstaltung verarbeiten wir Name, E-Mail und die Antworten, die ihr bei der Anmeldung gebt, um euren Platz zu bestätigen, Erinnerungen zu senden und – wo sinnvoll – mit weiterführenden Inhalten nachzufassen. Live-Veranstaltungen werden in der Regel nicht so aufgezeichnet, dass Teilnehmende identifizierbar wären; wenn ihr als Speaker oder Interviewpartner auftretet, holen wir vorab eure Einwilligung ein.

Kontakt- und Demoformulare. Bei Nutzung unserer Kontakt- oder Demoformulare verarbeiten wir die von euch angegebenen Daten (typischerweise Vorname, Nachname, E-Mail, Telefon, Firma und Nachricht), um eure Anfrage zu beantworten und gegebenenfalls einen Sales-Austausch zu starten.

14. Sicherheit

Wir treffen technische und organisatorische Massnahmen, um personenbezogene Daten gegen unbefugte oder unrechtmässige Bearbeitung, zufälligen Verlust, Zerstörung oder Beschädigung zu schützen. Dazu gehören:

• Verschlüsselung während der Übertragung über TLS für alle Verbindungen zum Dienst und zur Website.

• Verschlüsselung im Ruhezustand für Kundendokumente und Workspace-Daten.

• Strenge Zugriffskontrollen nach dem Need-to-Know-Prinzip, mit individuellen Benutzerkonten, starken Passwörtern und – wo möglich – Multi-Faktor-Authentifizierung.

• Netzwerksicherheit mit Firewalls, Intrusion Detection und kontinuierlichem Monitoring.

• Sichere Softwareentwicklung, Code Review und Dependency Management.

• Regelmässige Backups mit dokumentierten Wiederherstellungsprozessen.

• Endpoint-Management für Geräte mit Zugriff auf Produktivsysteme.

• Schulung der Mitarbeitenden zu Datenschutz und Sicherheit.

• Incident-Response-Prozesse, inklusive der Verpflichtung, als Verantwortliche betroffene Kunden unverzüglich und als Auftragsbearbeiterin innerhalb von 48 Stunden nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten zu informieren.

Eine detailliertere Beschreibung der technischen und organisatorischen Massnahmen ist in unserem Trust Center sowie auf Anfrage unter contact@getcasus.com erhältlich.

Keine Übertragungs- oder Speichermethode ist absolut sicher. Wir behaupten das auch nicht.

15. Eure Rechte

Unter den Bedingungen und mit den Ausnahmen des anwendbaren Datenschutzrechts habt ihr bezüglich eurer personenbezogenen Daten folgende Rechte:

• Auskunftsrecht – auf Bestätigung, ob wir personenbezogene Daten über euch bearbeiten, und gegebenenfalls auf Kopie und zugehörige Informationen.

• Recht auf Berichtigung – auf Korrektur unrichtiger und Vervollständigung unvollständiger Daten.

• Recht auf Löschung – auf Löschung eurer personenbezogenen Daten, sofern einer der Gründe von Art. 17 DSGVO beziehungsweise Art. 32 revDSG vorliegt.

• Recht auf Einschränkung – auf Einschränkung der Bearbeitung in bestimmten Situationen.

• Widerspruchsrecht – jederzeit gegen Bearbeitungen, die auf berechtigten Interessen oder Direktmarketing beruhen.

• Recht auf Datenübertragbarkeit – auf Erhalt der von euch bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format.

• Recht auf Widerruf der Einwilligung – jederzeit, ohne dass die Rechtmässigkeit der vor dem Widerruf erfolgten Bearbeitung berührt wird.

• Recht, keiner ausschliesslich automatisierten Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen zu werden. Solche Entscheidungen treffen wir auf Basis der von dieser Erklärung erfassten Daten nicht. Die KI-gestützte Analyse eurer Dokumente wird immer von euch als menschliche Entscheidungsträger überprüft.

Zur Ausübung dieser Rechte schreibt bitte an contact@getcasus.com. Wir können zur Bearbeitung eine Identitätsprüfung verlangen. In der Regel antworten wir innerhalb von 30 Tagen; bei komplexen Anliegen kann sich diese Frist um bis zu 60 Tage verlängern, worüber wir euch informieren.

Zusätzlich steht euch das Recht zu, eine Beschwerde bei einer Aufsichtsbehörde einzureichen:

• In der Schweiz: beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Feldeggweg 1, 3003 Bern, https://www.edoeb.admin.ch.

• In der EU/EWR: bei der Aufsichtsbehörde eures Wohnsitz-Mitgliedstaats, des Arbeitsorts oder des mutmasslichen Verstossorts. Eine Übersicht findet sich unter https://edpb.europa.eu/about-edpb/about-edpb/members_en.

16. Kinder

Der Dienst ist ein B2B-Werkzeug für Rechtsprofis und andere geschäftliche Nutzer. Er richtet sich nicht an Kinder, und wir erheben nicht wissentlich personenbezogene Daten von Personen unter 16 Jahren. Wenn ihr vermutet, dass uns ein Kind Daten übermittelt hat, kontaktiert bitte contact@getcasus.com, damit wir sie löschen können.

17. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit anpassen, um Änderungen am Dienst, am rechtlichen Rahmen oder an unseren Praktiken abzubilden. Die jeweils aktuelle Fassung ist unter https://www.getcasus.com/privacy veröffentlicht und durch das Datum oben gekennzeichnet. Über wesentliche Änderungen informieren wir euch vorab über den Dienst, per E-Mail oder per Hinweis auf unserer Website. Wer den Dienst nach Inkrafttreten der neuen Fassung weiter nutzt, akzeptiert damit die aktualisierte Erklärung.

18. Kontakt

Für alle Fragen, Anliegen und Anfragen zu dieser Datenschutzerklärung oder zur Bearbeitung eurer personenbezogenen Daten:

CASUS Technologies AG
Uraniastrasse 31
8001
Zürich
Schweiz
contact@getcasus.com

Unsere Datenschutzbeauftragter ist Céleste Urech (celeste.urech@casus.ch).