← Kailua PackagesStand: Mai 2026

Datenschutzerklarung

Gemass Datenschutz-Grundverordnung (DSGVO) und revidiertem Schweizer Datenschutzgesetz (revDSG). Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher fur die Verarbeitung Ihrer Personendaten im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO) und des revDSG (Art. 5 lit. j revDSG) ist:

Kailua Packages GmbH

[Strasse und Hausnummer]

[PLZ Ort], Schweiz

E-Mail: datenschutz@kailua-packages.ch

Web: https://kailua-packages.ch

* Platzhalter – bitte vor Inbetriebnahme mit den korrekten Angaben ersetzen.

2. Datenschutz-Ansprechperson

Sofern eine Benennung eines Datenschutzbeauftragten gesetzlich erforderlich ist (DSGVO Art. 37; revDSG Art. 10), wird dieser unter der nachfolgenden Adresse erreichbar sein. Anfragen in Datenschutzangelegenheiten richten Sie bitte an:

Datenschutz-Ansprechperson
Kailua Packages GmbH
datenschutz@kailua-packages.ch

3. Geltungsbereich

Diese Datenschutzerklarung gilt fur alle Anwendungen und Dienste der Kailua Packages Plattform, die uber die Domain kailua-packages.ch und deren Subdomains (slug.kailua-packages.ch) bereitgestellt werden. Die Plattform umfasst folgende Module:

  • Gateway / DashboardZentrales Dashboard, Benutzerverwaltung, Integrationen, Einstellungen
  • CRMFirmen- und Kontaktverwaltung, KI-Datenanreicherung
  • FlowAufgaben, Listen, Kalender, Zeiterfassung
  • KampagnenE-Mail-Marketing, Massenversand, Abonnentenverwaltung
  • EventmanagerVeranstaltungen, Personalplanung, Budgetverwaltung
  • FinanzenBuchhaltung, Rechnungsstellung, Ausgabenverfolgung
  • E-Mail-ClientIMAP/SMTP-gebundener E-Mail-Client, Team-Postfacher

Die Plattform ist als Multi-Tenant-SaaS konzipiert. Jede Organisation (Mandant) erhalt eine eigene Subdomain und logisch vollstandig getrennte Daten.

4. Verarbeitete Personendaten

4.1 Konto- und Profildaten

Bei Registrierung und Nutzung erheben wir: Name, E-Mail-Adresse, Passwort (als bcrypt-Hash), Profilbild (optional, gespeichert auf Cloudflare R2), Spracheinstellung, Zeitzone, Benachrichtigungspraferenzen sowie den Zeitpunkt der letzten Anmeldung.

4.2 Organisationsdaten

Organisationsname, Subdomain-Slug, Logo, Rechnungsadresse, Branche, Mitglieder und deren Rollen (Admin, Mitglied, Eingeschrankter Zugriff), Einladungstoken sowie Abonnement-/Lizenzdaten.

4.3 CRM-Daten (Modul CRM)

Kontaktdaten Dritter (Kunden, Interessenten): Name, E-Mail-Adressen, Telefonnummern, Postanschriften, Geburtstage, Berufsbezeichnung, Firmenzugehorigkeit, Social-Media-Profile, Notizen, Aktivitatshistorie sowie benutzerdefinierte Felder. Diese Daten werden von den Nutzern der Organisation eingegeben und unterliegen der Verantwortung der jeweiligen Organisation als Verantwortliche. Kailua Packages handelt insoweit als Auftragsverarbeiter (DSGVO Art. 28; revDSG Art. 9).

4.4 Aufgaben- und Kalenderdaten (Modul Flow)

Aufgabentitel, -beschreibungen, Falligkeitsdaten, Prioritaten, Zessionar (zugewiesene Person), Zeiterfassungen, Kalendereintragetypen (Termin, Aufgabe, Blocker), Wiederholungsregeln sowie Kommentare.

4.5 E-Mail-Daten (Modul E-Mail-Client)

IMAP/SMTP-Zugangsdaten (Benutzername und Passwort, AES-256-verschlusselt in der Datenbank gespeichert), E-Mail-Inhalt (Betreff, Nachrichtentext, HTML-Body), Absender- und Empfangeradressen, Anhange (auf Cloudflare R2), E-Mail-Header sowie interne Team-Notizen zu E-Mails.

4.6 Kampagnendaten (Modul Kampagnen)

Abonnentenlisten mit E-Mail-Adressen und optionalen Profilfeldern, Kampagneninhalte, Versandzeitpunkte, Offnungs- und Klickstatistiken (sofern Tracking aktiviert), Abmeldestatus sowie Bounce-Informationen.

4.7 Veranstaltungs- und Personaldaten (Modul Eventmanager)

Veranstaltungsdetails, Personalplane mit Namen und Schichtzuteilungen, Budgetpositionen, Teilnehmerlisten (sofern erfasst) sowie interne Notizen.

4.8 Finanzdaten (Modul Finanzen)

Rechnungsempfanger (Name, Adresse, MWST-Nummer), Rechnungspostendetails, Zahlungskonditionen, Betrage, Wahrungen, Ausgabenbelege sowie Buchungsvermerke. Diese Daten konnen handelsrechtlich relevante Personendaten enthalten.

4.9 KI-Interaktionsdaten

Wenn KI-Funktionen genutzt werden, werden die zur Verarbeitung notwendigen Daten (z. B. E-Mail-Text, CRM-Notizen, Aufgabenbeschreibungen) an externe KI-Anbieter ubermittelt. Details siehe Abschnitt 11.

4.10 Technische und Nutzungsdaten

IP-Adresse, Browser-Typ und -Version, Betriebssystem, Zugriffszeiten, aufgerufene URLs, Fehlerlogs, Sitzungs-ID (als HTTP-only-Cookie) sowie Performance-Metriken. Diese Daten werden fur den Betrieb, die Sicherheit und die Fehlerbehebung benotigt.

5. Zwecke und Rechtsgrundlagen

ZweckDSGVO-GrundlagerevDSG-Grundlage
Bereitstellung der Plattform (Vertrag)Art. 6 Abs. 1 lit. b DSGVOArt. 31 Abs. 2 lit. a revDSG
Sicherheit, MissbrauchsabwehrArt. 6 Abs. 1 lit. f DSGVOArt. 31 Abs. 1 revDSG (uberwiegendes Interesse)
System-E-Mails (Einladungen, Passwortreset)Art. 6 Abs. 1 lit. b DSGVOArt. 31 Abs. 2 lit. a revDSG
Rechnungsstellung und BuchhaltungArt. 6 Abs. 1 lit. c DSGVO (gesetzl. Pflicht)Art. 31 Abs. 2 lit. b revDSG
KI-gestutzte Funktionen (Smart Reply, etc.)Art. 6 Abs. 1 lit. b / lit. f DSGVOArt. 31 Abs. 1 revDSG
Push-BenachrichtigungenArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)Art. 31 Abs. 1 revDSG
Marketing-Kampagnen durch Nutzerorg.Art. 6 Abs. 1 lit. a/b DSGVOArt. 31 revDSG
Verbesserung und WeiterentwicklungArt. 6 Abs. 1 lit. f DSGVOArt. 31 Abs. 1 revDSG

Soweit wir uns auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO; Art. 31 Abs. 1 revDSG) stutzen, haben wir sichergestellt, dass diese die Interessen der Betroffenen nicht uberwiegen. Sie konnen dieser Verarbeitung jederzeit widersprechen (siehe Abschnitt 16).

6. Drittanbieter und Auftragsverarbeiter

Wir setzen sorgfaltig ausgewahlte Dienstleister ein, mit denen wir Auftragsverarbeitungsvertrage (AVV) gemas DSGVO Art. 28 bzw. entsprechende Vereinbarungen gemas revDSG Art. 9 geschlossen haben oder schliessen werden.

Cloudflare R2 (Dateispeicher)

Cloudflare, Inc., USA

Zweck: Speicherung von Dateianhangen, Profilbildern, E-Mail-Anhangen und exportierten Dokumenten.

Ubermittelte Daten: Dateiinhalte, Metadaten, MIME-Typen

Datentransfer: USA; Cloudflare unterliegt dem EU-US Data Privacy Framework

Datenschutz: https://www.cloudflare.com/privacypolicy/

Resend (System-E-Mails)

Resend Inc., USA

Zweck: Versand transaktionaler E-Mails: Einladungen, Passwortreset, Sicherheitshinweise.

Ubermittelte Daten: Empfanger-E-Mail, Betreff, Nachrichteninhalt

Datentransfer: USA; Standardvertragsklauseln (SCC) gemas DSGVO Art. 46

Datenschutz: https://resend.com/privacy

OpenAI (KI-Funktionen)

OpenAI, L.L.C., USA

Zweck: KI-Features: Smart Reply, Textzusammenfassung, Kategorisierung, Kontaktextraktion, Ubersetzung.

Ubermittelte Daten: E-Mail-Texte, CRM-Notizen, Aufgabenbeschreibungen (pseudonymisiert soweit moglich)

Datentransfer: USA; SCC gemas DSGVO Art. 46; API-Daten werden gemas OpenAI Business Policy nicht fur Training verwendet

Datenschutz: https://openai.com/policies/privacy-policy

Anthropic (KI-Funktionen)

Anthropic, PBC, USA

Zweck: Alternative/erganzendes KI-Backend fur dieselben KI-Features wie bei OpenAI.

Ubermittelte Daten: Wie OpenAI – E-Mail-Texte, Notizen, Beschreibungen

Datentransfer: USA; SCC gemas DSGVO Art. 46; keine Nutzung fur Modell-Training

Datenschutz: https://www.anthropic.com/privacy

7. Datentransfers in Drittstaaten

Einzelne Dienstleister (Cloudflare, Resend, OpenAI, Anthropic) haben ihren Sitz in den USA. Die USA gelten aktuell fur EU-Bevolkerung als unsicheres Drittland im Sinne von DSGVO Kapitel V. Fur Ubermittlungen in die USA gelten folgende Schutzgarantien:

  • EU-US Data Privacy Framework (DPF): Cloudflare ist nach dem DPF zertifiziert (Angemessenheitsbeschluss der EU-Kommission, Juli 2023).
  • EU-Standardvertragsklauseln (SCC): Mit Resend, OpenAI und Anthropic bestehen oder werden Standardvertragsklauseln gemas DSGVO Art. 46 Abs. 2 lit. c abgeschlossen.
  • Schweiz: Fur Ubermittlungen aus der Schweiz gelten die Standarddatenschutzklauseln des EDOB gemas revDSG Art. 16 Abs. 2 lit. d.

Sie konnen eine Kopie der anwendbaren Schutzgarantien unter datenschutz@kailua-packages.ch anfordern.

8. Speicherdauer

Wir speichern Personendaten nur so lange, wie es fur den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

DatenkategorieAufbewahrungsdauerGrundlage
KontodatenBis zur Kontoloschung + 30 Tage KarenzzeitVertrag
OrganisationsdatenBis zur Abonnementkundigung + 90 TageVertrag
Finanzdaten / Rechnungen10 JahreOR Art. 958f (Schweiz), HGB (DE/AT)
E-Mail-Inhalte (IMAP)Entsprechend Mailserver-Synchronisation; keine eigene LangzeitspeicherungVertrag
CRM-DatenBis zur Loschung durch Nutzer oder Org-KundigungVertrag / Auftragsverarbeitung
Logs und Sicherheitsdaten90 Tage (rolling)Berechtigtes Interesse
Backup-DatenMax. 30 Tage (verschlusselt)Betrieb
Push-TokenBis zum Widerruf der Einwilligung oder KontoloschungEinwilligung
Kampagnen-AbonnentenBis zur Abmeldung + 3 Jahre NachweisEinwilligung / Berechtigtes Interesse

Nach Ablauf der Speicherdauer werden Daten unwiderruflich geloscht oder so anonymisiert, dass ein Personenbezug nicht mehr moglich ist.

9. Datensicherheit

Wir treffen gemas DSGVO Art. 32 und revDSG Art. 8 technische und organisatorische Massnahmen (TOM), die dem Stand der Technik und dem Risiko der Verarbeitung entsprechen:

  • Transportverschlusselung: Alle Verbindungen erfolgen ausschliesslich uber TLS 1.2+.
  • Passwortsicherung: Passworter werden ausschliesslich als bcrypt-Hash gespeichert, nie im Klartext.
  • Credential-Verschlusselung: IMAP/SMTP-Zugangsdaten werden vor der Speicherung mit AES-256 verschlusselt.
  • Datentrennung: Jeder Mandant hat eine logisch vollstandig isolierte Datenbankinstanz mit obligatorischer organizationId-Filterung in allen Abfragen.
  • Authentifizierung: JWT-basierte Sessions (Auth.js v5) mit HTTP-only-Cookies, automatischer Session- Invalidierung und optionaler Zwei-Faktor-Authentifizierung.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem mit Principle of Least Privilege; jede Aktion wird auf Server-Seite gepruft.
  • Backups: Regelmassige verschlusselte Datenbank-Backups mit 30-tagiger Aufbewahrung.
  • Datenverletzungen: Wir verfugen uber einen Prozess zur Erkennung und Meldung von Datenpannen gemas DSGVO Art. 33/34 (72-Stunden-Frist) und revDSG Art. 24 (unverzuglich).

10. Cookies und Sitzungsverwaltung

Die Plattform verwendet ausschliesslich technisch notwendige Cookies. Tracking- oder Werbe-Cookies werden nicht eingesetzt.

CookieZweckTyp / Dauer
authjs.session-tokenAuthentifizierungssession (JWT)HTTP-only, Secure; 30 Tage (gleitend)
authjs.csrf-tokenCSRF-Schutz fur FormulareHTTP-only, Secure; Session
NEXT_LOCALEGespeicherte Sprachpraferenz1 Jahr

Da ausschliesslich technisch notwendige Cookies eingesetzt werden, ist kein Cookie-Banner erforderlich (DSGVO ErwGr. 25; TDDDG § 25 Abs. 2 Nr. 2).

11. KI-Funktionen

Die Plattform bietet optional KI-gestutzte Funktionen. Beim Einsatz werden Inhalte an externe KI-Anbieter (OpenAI, Anthropic) ubermittelt. Folgendes gilt fur alle KI-Features:

  • KI-Funktionen sind opt-in und werden nur ausgefuhrt, wenn der Nutzer sie aktiv auslost.
  • Es werden nur die fur den jeweiligen KI-Aufruf notwendigen Daten ubermittelt (Datensparsamkeit, DSGVO Art. 5 Abs. 1 lit. c).
  • Die KI-Anbieter verwenden API-Daten gemas ihrer Business Policies nicht fur das Training ihrer Modelle.
  • Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung (DSGVO Art. 22) statt. KI-Vorschlage sind immer menschlich reviewpflichtig.

Hinweis zum Budget-System

Jede Organisation kann ein KI-Ausgabenbudget festlegen. KI-Funktionen werden automatisch deaktiviert, wenn das Budget uberschritten wird, um unkontrollierte Datenubermittlungen zu vermeiden.

Eingesetzte KI-Funktionen je Modul:

  • E-Mail-Client: Smart Reply (3 Vorschlage), Zusammenfassung, Sentiment- und Kategorieanalyse, Entwurf verbessern, Kontaktextraktion aus Signatur, Terminkennung, Sprachubersetzung, Daily Digest
  • CRM: Datenanreicherung von Kontakten und Firmen
  • Kampagnen: Textgenerierung fur Kampagneninhalte
  • Gateway: Freitext-Suche uber Plattformdaten (Ask Your Data)

12. E-Mail-Client (IMAP/SMTP)

Das E-Mail-Modul verbindet sich mit externen Mailservern der Nutzerorganisationen. Es gelten besondere Hinweise:

  • Kailua Packages ist in Bezug auf die E-Mail-Inhalte Auftragsverarbeiter der jeweiligen Organisation (DSGVO Art. 28). Die Organisation tragt die Verantwortung fur die Rechtmassigkeit des E-Mail-Versands.
  • IMAP/SMTP-Zugangsdaten werden mit AES-256 verschlusselt in der Datenbank gespeichert. Die Entschlusselung erfolgt ausschliesslich zur Laufzeit fur den Verbindungsaufbau.
  • E-Mail-Inhalte werden fur die Darstellung im Client zwischengespeichert. Wir speichern keine E-Mails dauerhaft auf unseren Servern – die Quelle der Wahrheit bleibt der Mailserver der Organisation.
  • Dateianhange werden temporar auf Cloudflare R2 gespeichert und konnen auf Wunsch der Organisation geloscht werden.
  • Lesebestatigungs-Header konnen optional aktiviert werden; dies liegt in der Verantwortung der nutzenden Organisation.
  • Interne Team-Notizen zu E-Mails sind ausschliesslich fur Teammitglieder der eigenen Organisation sichtbar.

13. E-Mail-Marketing / Kampagnen

Das Kampagnen-Modul ermoglicht Massenversand an Abonnentenlisten. Die nutzende Organisation ist hierbei in der Regel alleinige Verantwortliche im Sinne der DSGVO gegenuber den Abonnenten. Kailua Packages handelt als Auftragsverarbeiter.

  • Die Organisation ist verpflichtet, fur den Versand von Werbe-E-Mails eine gultige Einwilligung der Empfanger (DSGVO Art. 6 Abs. 1 lit. a; UWG Schweiz Art. 3 lit. o) oder einen anderen Rechtfertigungsgrund nachzuweisen.
  • Jede Kampagnen-E-Mail muss einen funktionierenden Abmeldelink enthalten (CAN-SPAM, CASL, UWG Schweiz).
  • Abmeldungen werden automatisch im System erfasst und der Abonnent wird von weiteren Kampagnen ausgeschlossen.
  • Bounce-Informationen werden verarbeitet, um Empfangerlisten hygienisch zu halten.

14. Multi-Tenancy und Datentrennung

Die Plattform ist als Multi-Tenant-System konzipiert. Jede Organisation (Mandant) ist durch folgende Massnahmen vollstandig von anderen Mandanten getrennt:

  • Jede Organisation hat eine eindeutige organizationId, die bei jeder Datenbankabfrage als Pflichtfilter eingesetzt wird.
  • Benutzer konnen nur auf Daten ihrer eigenen Organisation(en) zugreifen; ein Datenleck zwischen Mandanten ist durch das Berechtigungssystem systemisch verhindert.
  • Jede Organisation erhalt eine eigene Subdomain (slug.kailua-packages.ch), die als zusatzliche Zugriffsbarriere dient.
  • Org-Administratoren konnen Mitglieder, Rollen und Berechtigungen eigenstandig verwalten und Datenschutzanfragen (Loschung, Export) fur ihre Organisation initiieren.

15. Push-Benachrichtigungen

Mit Ihrer ausdrucklichen Einwilligung (DSGVO Art. 6 Abs. 1 lit. a) konnen wir Ihnen Browser-Push-Benachrichtigungen senden. Dafur wird ein gerateindeutiger VAPID-Push-Token generiert und in unserer Datenbank gespeichert.

  • Push-Benachrichtigungen werden uber den Web-Push-Standard (RFC 8030) direkt von unseren Servern an Ihren Browser gesendet; dabei wird lediglich der Push-Token ubertragen.
  • Sie konnen Push-Benachrichtigungen jederzeit in Ihren Profileinstellungen oder in den Browsereinstellungen widerrufen.
  • Push-Token werden bei Widerruf oder Kontoloschung unverzoglich geloscht.

16. Ihre Rechte

Als betroffene Person stehen Ihnen folgende Rechte zu. Diese konnen Sie uber datenschutz@kailua-packages.ch oder direkt in den Plattform-Einstellungen (Einstellungen → Datenschutz) ausuben:

Auskunftsrecht

DSGVO Art. 15; revDSG Art. 25

Sie haben das Recht zu erfahren, ob und welche Personendaten wir von Ihnen verarbeiten, zu welchem Zweck, an wen sie ubermittelt werden und wie lange sie gespeichert werden.

Berichtigungsrecht

DSGVO Art. 16; revDSG Art. 32 Abs. 1

Sie konnen die Berichtigung unrichtiger oder unvollstandiger Personendaten verlangen.

Loschungsrecht (Recht auf Vergessenwerden)

DSGVO Art. 17; revDSG Art. 32 Abs. 2 lit. c

Sie konnen die Loschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschrankung der Verarbeitung

DSGVO Art. 18

Sie konnen in bestimmten Fallen die Einschrankung der Verarbeitung Ihrer Daten verlangen (z. B. wahrend einer Richtigkeitsprufung).

Recht auf Datenuberportabilitat

DSGVO Art. 20; revDSG Art. 28

Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format zu erhalten oder direkt an einen anderen Verantwortlichen ubermitteln zu lassen.

Widerspruchsrecht

DSGVO Art. 21

Sie konnen der Verarbeitung auf Grundlage berechtigter Interessen jederzeit widersprechen. Wir werden die Verarbeitung dann einstellen, es sei denn, zwingende schutzwurdige Grunde uberwiegen.

Widerruf der Einwilligung

DSGVO Art. 7 Abs. 3; revDSG Art. 6 Abs. 7

Eine erteilte Einwilligung konnen Sie jederzeit mit Wirkung fur die Zukunft widerrufen. Die Rechtmassigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberuhrt.

Recht auf GDPR-Datenexport

DSGVO Art. 20

Nutzer konnen uber Einstellungen → Datenschutz einen vollstandigen Export ihrer Personendaten im JSON-Format anfordern.

Wir antworten auf Anfragen innerhalb von 30 Tagen (DSGVO Art. 12 Abs. 3). Identitat der anfragenden Person muss ausreichend nachgewiesen werden.

17. Beschwerderecht

Sie haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehorde einzureichen:

Schweiz (revDSG)

Eidgenossischer Datenschutz- und Offentlichkeitsbeauftragter (EDOB)

Feldeggweg 1, 3003 Bern

www.edoeb.admin.ch

EU / Deutschland (DSGVO)

Zustandig ist die Datenschutzaufsichtsbehorde des EU-Mitgliedstaats Ihres gewohnlichen Aufenthalts oder des Orts des mutmasslichen Verstosses.

datenschutzkonferenz-online.de

18. Anderungen dieser Erklarung

Wir behalten uns vor, diese Datenschutzerklarung anzupassen, um sie stets dem aktuellen Stand der Technik, der Rechtslage und unserer Dienste anzupassen. Wesentliche Anderungen, die Ihre Rechte oder die Zwecke der Verarbeitung betreffen, teilen wir Ihnen per E-Mail oder durch einen Hinweis beim nachsten Login mit. Das Datum der letzten Aktualisierung steht oben im Dokument.

19. Kontakt

Fur alle datenschutzbezogenen Anfragen, Auskunftsersuchen oder zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an:

Kailua Packages GmbH – Datenschutz

datenschutz@kailua-packages.ch

Oder direkt in der Plattform: Einstellungen → Datenschutz → Anfrage stellen

Diese Datenschutzerklarung wurde mit Sorgfalt erstellt und orientiert sich an DSGVO, revDSG, UWG Schweiz und den Empfehlungen des EDOB. Sie ersetzt keine Rechtsberatung.

Stand: Mai 2026 | Version 1.0