RechNex

Datenschutzerklärung (nDSG)

Diese Datenschutzerklärung beschreibt, wie RechNex Personendaten nach dem revidierten schweizerischen Datenschutzgesetz (nDSG, seit 2023) und ergänzend nach DSGVO für EU-Geschäftskunden bearbeitet.

Zuletzt aktualisiert: 28.02.2026

1) Verantwortlicher

Verantwortlicher für die Datenbearbeitung im Zusammenhang mit RechNex ist Ruta Group Kacper Ruta. RechNex wird von ruta-tech.ch betrieben; die technische Umsetzung erfolgt durch glasbox.ch (jeweils unter Ruta Group).

Anfragen zu Datenschutz, Betroffenenrechten und Sicherheit können über die folgenden Kontaktdaten gestellt werden.

  • Rechtsträger (Verantwortlicher): Ruta Group Kacper Ruta
  • Adresse: Werkstrasse 11, 6102 Malters, Schweiz
  • UID: CHE-471.967.194
  • Produkt: RechNex
  • Datenschutzkontakt: info@rechnex.ch
  • Service Operator: ruta-tech.ch (betrieben durch Ruta Group)
  • Technische Umsetzung/Agentur: glasbox.ch (im Besitz von Ruta Group)

2) Geltungsbereich und Grundsätze

Wir bearbeiten nur jene Personendaten, die für den sicheren Betrieb unserer Schweizer B2B-Dokumenten- und Billing-Plattform erforderlich sind. Es gilt der Grundsatz der Datenminimierung und Zweckbindung.

Die Bearbeitung erfolgt ausschliesslich zur Vertragserfüllung, zur Systemsicherheit, zur rechtlichen Compliance und zur Missbrauchsprävention. Es findet kein Werbe-Profiling statt.

3a) Zweck der Bearbeitung

Wir bearbeiten Personendaten ausschliesslich für die in dieser Erklärung beschriebenen Zwecke: Bereitstellung und Verbesserung von RechNex, Gewährleistung der Plattformsicherheit, Erfüllung gesetzlicher Pflichten sowie Kommunikation mit Nutzern über ihre Konten und Dienstleistungen.

Es werden keine Daten für Zwecke bearbeitet, die über den sicheren Betrieb einer schweizerischen B2B-Dokumenten- und Billing-Plattform hinausgehen.

3b) Rechtsgrundlage der Bearbeitung

Nach dem nDSG ist die Bearbeitung zulässig, wenn sie der Vertragserfüllung (Art. 31 Abs. 2 lit. a nDSG), der Einhaltung gesetzlicher Pflichten oder dem Schutz berechtigter Interessen dient. Auf diese Grundlagen stützen wir unsere gesamte betriebliche Datenbearbeitung.

Für EU-Betroffene nach DSGVO erfolgt die Bearbeitung auf Basis von: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder ausdrücklicher Einwilligung, soweit erforderlich. Eine erteilte Einwilligung kann jederzeit widerrufen werden, ohne die Rechtmässigkeit der zuvor erfolgten Bearbeitung zu berühren.

3) Welche Daten wir bearbeiten und zu welchem Zweck

Zur Bereitstellung von RechNex bearbeiten wir Konto-, Organisations-, Kunden-, Dokument-, Technik- und Billing-Metadaten. Zahlungsdaten von Kreditkarten werden nicht durch RechNex gespeichert.

Kunden- und Dokumentdaten sind strikt mandantengetrennt und dürfen nicht organisationsübergreifend eingesehen werden.

  • Benutzerkonto: E-Mail, Vorname, Nachname, Locale, Zeitzone, Verifizierungsstatus; Passwörter werden ausschliesslich als bcrypt-Hash gespeichert.
  • Organisations-/Firmenprofil: Firmenname, Rechtsname, Adresse, UID, MWST-Status, Kontaktangaben, Logo/Signatur/Stempel sowie IBAN/QR-IBAN für QR-Rechnungen.
  • Kundendaten (mandantengetrennt): Name, Adresse, Kontaktperson, E-Mail, Telefon.
  • Dokumentdaten: Rechnungen und Mahnungen mit unveränderlichen Snapshots; PDFs werden serverseitig gespeichert.
  • Sicherheits-/Technikdaten: Session-Token-Hashes (SHA-256), Password-/Email-Reset-Token-Hashes (SHA-256), Session-IP und User-Agent für Sicherheitszwecke.
  • Trial-Nutzung: Es wird nur ein SHA-256(IP+UA+salt)-Fingerprint gespeichert; keine rohe IP für den Trial-Fingerprint.
  • Audit-Logs: Actor-Typ, Actor-ID, Aktionsmetadaten, IP-Adresse, Zeitstempel.
  • Billing: Speicherung von Stripe Customer-/Subscription-IDs; Kartendaten werden ausschliesslich von Stripe (PCI-DSS) verarbeitet.
  • E-Mail: Nur transaktionale Zustellung (keine Newsletter, kein Marketing).

4) Hosting und Auftragsbearbeiter

Wir setzen Auftragsbearbeiter mit vertraglichen Datenschutzpflichten ein. Zugriffe erfolgen nur soweit erforderlich.

Bei allfälligen Datentransfers ausserhalb der Schweiz stützen wir uns auf anerkannte Angemessenheitsentscheide und/oder Standardvertragsklauseln (SCC).

  • Infomaniak (Genf, Schweiz): Hosting, SMTP und Infrastruktur unter Schweizer Jurisdiktion.
  • Stripe (USA/EU): Zahlungsabwicklung und Subscription-Management.
  • RechNex speichert nur abrechnungsbezogene Metadaten; Karteninformationen verbleiben bei Stripe.
  • Google LLC (USA): Google Analytics (GA4), anonymisierte Webnutzungsanalyse. Datenübermittlung in die USA gestützt auf EU-US Data Privacy Framework und/oder Standardvertragsklauseln (SCC), soweit anwendbar.

5) Cookies und technische Tracking-Informationen

Wir verwenden technisch notwendige Cookies und Speichermechanismen für Authentifizierung, Sicherheit und Spracheinstellungen. Zusätzlich setzen wir Google Analytics (GA4) von Google LLC ein, um die Nutzung der Website zu analysieren.

Ausserhalb von Google Analytics setzen wir keine Werbe-Tracker ein, kein Meta Pixel, kein Ad-Retargeting und kein verhaltensbasiertes Marketing-Profiling.

  • NextAuth Session-Cookie (HTTP-only, Secure, SameSite).
  • Locale-Präferenz-Cookie für die Sprachauswahl.
  • RechNex verwendet Google Analytics (GA4) von Google LLC zur Analyse der Websitenutzung.
  • GA4 erfasst anonymisierte Nutzungsdaten wie Seitenaufrufe, Verweildauer und Gerätetyp.
  • Google Analytics setzt Cookies (z. B. _ga, _ga_*) mit einer Speicherdauer von bis zu 2 Jahren.
  • IP-Adressen werden anonymisiert verarbeitet (IP-Anonymisierung ist in GA4 standardmässig aktiviert).
  • Rechtsgrundlage: berechtigtes Interesse an der Verbesserung des Dienstes (Art. 31 Abs. 1 nDSG; Art. 6 Abs. 1 lit. f DSGVO).
  • Opt-out: Nutzer können Google Analytics über die Browser-Erweiterung von Google deaktivieren (https://tools.google.com/dlpage/gaoptout).

6) Datensicherheit und Anti-Leak-Massnahmen

Wir setzen technische und organisatorische Schutzmassnahmen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit um. Die Kontrollen werden risikobasiert weiterentwickelt.

Der Zugriff auf geschützte Ressourcen erfolgt authentifiziert und autorisiert pro Mandant, mit klaren Rollen- und Sicherheitsgrenzen.

  • Kryptografisches Hashing (SHA-256) für Sicherheits-Token und Reset-Artefakte.
  • Strikte Multi-Tenant-Isolation auf Datenbank- und Access-Control-Ebene.
  • Authentifizierte, zugriffsgeschützte Endpunkte für PDF-Dokumente.
  • Role-Based Access Control (RBAC) und Least-Privilege-Prinzip.
  • Rate Limiting und Schutz gegen Brute-Force-Angriffe.
  • Sicherheitsrelevante Ereignisprotokollierung für Nachvollziehbarkeit.

7) Aufbewahrungsdauer

Personendaten werden nur so lange aufbewahrt, wie dies für Vertragserfüllung, gesetzliche Pflichten, buchhalterische Anforderungen und Sicherheitsnachweise notwendig ist.

Aufbewahrungsfristen richten sich nach Datenkategorie, Rechtsgrundlage und Compliance-Vorgaben. Nicht mehr erforderliche Daten werden gelöscht oder anonymisiert.

8) Rechte betroffener Personen und Aufsicht

Sie können Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenherausgabe im rechtlich vorgesehenen Umfang verlangen.

Nach schweizerischem Recht kann der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) kontaktiert werden. Für EU-Betroffene gelten DSGVO-Rechte zusätzlich, soweit anwendbar.

  • Anfragen an: info@rechnex.ch
  • Schweizer Aufsichtsbehörde: EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter).

9) Datenschutz bei Minderjährigen

RechNex ist eine B2B-SaaS-Plattform, die ausschliesslich für die gewerbliche Nutzung durch Unternehmen, Einzelunternehmer und professionelle Organisationen bestimmt ist. Der Dienst richtet sich nicht an Personen unter 18 Jahren.

Wir erheben wissentlich keine Personendaten von Minderjährigen. Sollte uns bekannt werden, dass Daten einer Person unter 18 Jahren erhoben wurden, werden wir diese umgehend löschen.

10) Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit anpassen, um Änderungen unserer Praktiken, gesetzlicher Anforderungen oder Plattformfunktionen abzubilden. Wesentliche Änderungen werden über die Anwendung oder per E-Mail an betroffene Nutzer kommuniziert.

Das Datum oben auf dieser Seite zeigt an, wann die Erklärung zuletzt überarbeitet wurde. Die fortgesetzte Nutzung von RechNex nach einer Aktualisierung gilt als Annahme der geänderten Bestimmungen.

Zurück zur Startseite