Datenschutzerklarung

Version 2.1

Aktualisiert 12. Januar 2026

EU-DSGVO Schweizer nDSG US CCPA/CPRA EU AI Act

Einleitung und Geltungsbereich

COEUS ("wir", "uns", "unser") ist eine datenschutzkonforme Immobilienverwaltungssoftware mit KI-gestutzter Dokumentenverarbeitung. Diese umfassende Datenschutzerklarung gilt fur alle Nutzer weltweit und erfullt die Anforderungen folgender Rechtsvorschriften:

EU-DSGVO (Datenschutz-Grundverordnung, Verordnung (EU) 2016/679)
Schweizer nDSG (revidiertes Bundesgesetz uber den Datenschutz, in Kraft seit 1. September 2023)
US CCPA/CPRA (California Consumer Privacy Act / California Privacy Rights Act)
EU AI Act (Verordnung (EU) 2024/1689 uber kunstliche Intelligenz)

Hinweis zur Rechtsordnung

Je nach Ihrem Wohnsitz gelten unterschiedliche Datenschutzrechte. Diese Erklarung informiert Sie uber alle anwendbaren Rechte. Die jeweils fur Sie geltenden Rechte finden Sie in den entsprechenden Abschnitten.

Verantwortlicher fur die Datenverarbeitung

Datenverantwortlicher

Name

Angad Manik

Adresse

Rebgasse 53
4058 Basel, Schweiz

E-Mail

impact@angad.swiss

EU-Vertreter (Art. 27 DSGVO): Angad Manik, Rebgasse 53, 4058 Basel, Schweiz. Die Schweiz gilt nach EU-Recht als Land mit angemessenem Datenschutzniveau.

Welche Daten wir sammeln

3.1 Kontodaten

Bei der Registrierung (uber Google OAuth, Microsoft OAuth oder Passkey):

Name (Vor- und Nachname)
E-Mail-Adresse
OAuth-Provider-ID (Google-ID, Microsoft-ID)
Profilbild (optional, vom OAuth-Provider)
Passkey-Credential (bei WebAuthn-Registrierung)

3.2 Organisationsdaten

Firmenname, Rechtsform
Geschaftsadresse, Kontaktdaten
Briefkopfinformationen fur Dokumente
Logo und Unterschriftsbild (optional)
Organisationseinstellungen und Praferenzen

3.3 Immobiliendaten

Liegenschafts-, Gebaude- und Wohnungsdetails
Adressen, Flachen, Zimmerzahlen
Mietvertrage und Konditionen
Nebenkostenabrechnungen
Zahlerstandsablesungen

3.4 Dokumentendaten

Hochgeladene Dateien (PDF, Bilder, HEIC, Word, Excel)
OCR-extrahierter Text (via Mistral OCR)
KI-generierte Metadaten (Dokumenttyp, Datum, Kategorie, Zusammenfassung)
Einbettungsvektoren fur semantische Suche (pgvector)
Versionsverlauf und Anderungsprotokoll

3.5 Cloud-Speicher-Verbindungen

Google Drive OAuth-Tokens (AES-256 verschlusselt)
OneDrive/Microsoft OAuth-Tokens (AES-256 verschlusselt)
Synchronisierte Datei-Metadaten
Ordnerstrukturen und Berechtigungen

3.6 KI-Interaktionsdaten

Chat-Nachrichten und KI-Antworten
Token-Verbrauch pro Anfrage
Verwendete KI-Modelle und Parameter
Quellenverweise (Citations)
Feedback und Bewertungen

3.7 Mietbewerbungsdaten

Bewerberinformationen (Name, E-Mail, Telefon, Adresse)
Einkommensnachweise, Betreibungsauszuge
Identitatsdokumente (Ausweise)
Antworten auf benutzerdefinierte Fragen
Bewerbungsstatus und Kommunikationshistorie

3.8 Technische Daten

IP-Adresse (anonymisiert nach 30 Tagen)
Browser-Typ und -Version
Geratetyp und Betriebssystem
Zeitzone und Spracheinstellungen
Referrer-URL (woher Sie kamen)

Rechtsgrundlage fur die Verarbeitung

4.1 EU-DSGVO Rechtsgrundlagen

Verarbeitungszweck	Rechtsgrundlage
Kontoerstellung, Authentifizierung	Art. 6(1)(b) - Vertragserfullung
Cloud-Speicher-Verbindung	Art. 6(1)(a) - Einwilligung
KI-Dokumentenverarbeitung	Art. 6(1)(b) - Vertragserfullung
Sicherheitsprotokollierung	Art. 6(1)(f) - Berechtigtes Interesse
Steuerliche Aufbewahrung	Art. 6(1)(c) - Rechtliche Verpflichtung
Marketing (nur mit Einwilligung)	Art. 6(1)(a) - Einwilligung

4.2 Schweizer nDSG Rechtsgrundlagen

Das Schweizer nDSG erfordert keinen expliziten Erlaubnistatbestand wie die DSGVO. Die Verarbeitung ist zulassig, sofern sie:

Die Personlichkeitsrechte nicht widerrechtlich verletzt
Verhaltnismassig ist
Transparent kommuniziert wird (durch diese Erklarung erfullt)
Bei besonders schutzenswerten Personendaten: mit ausdrucklicher Einwilligung erfolgt

KI-Verarbeitung und EU AI Act Transparenz

Hinweis gemass EU AI Act (Verordnung 2024/1689)

COEUS verwendet KI-Systeme zur Dokumentenverarbeitung und Assistenzfunktionen. Diese Systeme sind als begrenzt riskante KI-Systeme einzustufen (Art. 50 - Transparenzpflichten).

5.1 Eingesetzte KI-Systeme

Mistral AI - Dokumentenverarbeitung

Begrenzt riskant

Anbieter: Mistral AI (Frankreich, EU)

Modelle: mistral-ocr-latest, mistral-large-latest

Zweck: OCR, Dokumentenklassifizierung, Chat-Assistent

Datenstandort: EU (Paris, Frankreich)

Training: Nutzerdaten werden nicht fur Modelltraining verwendet

OpenAI - Erweiterte Sprachverarbeitung (Optional)

Begrenzt riskant

Anbieter: OpenAI (USA)

Modelle: GPT-4o (falls aktiviert)

Datenstandort: USA (EU-Standardvertragsklauseln)

Training: Nein - API mit Data Processing Addendum

5.2 KI-Transparenzhinweise (Art. 50 AI Act)

Kennzeichnung: KI-generierte Inhalte werden als solche gekennzeichnet
Keine automatisierte Entscheidungsfindung: Es werden keine rechtlich bindenden Entscheidungen vollautomatisiert getroffen (Art. 22 DSGVO)
Menschliche Aufsicht: Alle KI-Empfehlungen konnen von Nutzern uberpruft und korrigiert werden
Quellenangaben: Bei dokumentenbasierten Antworten werden die Quellen zitiert

5.3 Ihre Rechte bezuglich KI-Verarbeitung

Recht auf Erklarung der KI-Logik bei Entscheidungen, die Sie betreffen
Recht auf menschliche Uberprufung von KI-Empfehlungen
Recht auf Deaktivierung bestimmter KI-Funktionen (wo technisch moglich)
Recht auf Information uber verwendete KI-Systeme

Auftragsverarbeiter und Drittanbieter

6.1 Hosting und Infrastruktur

Anbieter	Dienst	Standort	Garantien
Supabase Inc.	Datenbank, Auth, Storage	EU (Frankfurt)	DPA, SOC 2
Infomaniak	Webhosting	Schweiz	ISO 27001, Swiss Hosting
Cloudflare Inc.	CDN, DDoS-Schutz	Global (EU-Knoten)	DPA, SCCs

6.2 KI-Dienste

Anbieter	Dienst	Standort	Garantien
Mistral AI	OCR, LLM	EU (Frankreich)	DSGVO-konform, kein Training
OpenAI (optional)	LLM	USA	DPA, SCCs, kein Training

6.3 Authentifizierung

Anbieter	Dienst	Standort	Garantien
Google LLC	OAuth 2.0	USA/EU	DPA, SCCs, EU-US DPF
Microsoft Corp.	OAuth 2.0, OneDrive	USA/EU	DPA, SCCs, EU-US DPF

Hinweis zu Analytics

Google Analytics wird nur aktiviert, wenn Sie im Cookie-Banner der Kategorie "Analyse" zugestimmt haben. Wir haben IP-Anonymisierung aktiviert und Google Signals sowie Werbe-Personalisierung deaktiviert.

Mit allen Auftragsverarbeitern bestehen Datenverarbeitungsvertrage (DPA/AVV) gemass Art. 28 DSGVO bzw. Art. 9 nDSG.

Internationale Datenubermittlung

7.1 EU-Datenresidenz (Standard)

Alle Nutzerdaten werden primar in der EU (Frankfurt, Deutschland) gespeichert. Die Hauptdatenbank, Dateispeicher und Authentifizierungsdienste befinden sich in EU-Rechenzentren.

7.2 USA-Ubermittlungen

Bei Nutzung von OpenAI oder OAuth mit Google/Microsoft konnen Daten in die USA ubermittelt werden. Diese Ubermittlungen sind geschutzt durch:

EU-US Data Privacy Framework (DPF) fur zertifizierte Unternehmen
EU-Standardvertragsklauseln (SCCs) gemass Beschluss (EU) 2021/914
Erganzende Massnahmen: Verschlusselung, Pseudonymisierung, Datenminimierung

7.3 Schweiz-Angemessenheit

Die EU-Kommission hat die Schweiz als Land mit angemessenem Datenschutzniveau anerkannt (Beschluss 2000/518/EG). Ubermittlungen zwischen EU und Schweiz erfordern keine zusatzlichen Garantien.

Datenspeicherung und Aufbewahrung

Datenkategorie	Aufbewahrungsdauer	Begrundung
Kontodaten	Kontolaufzeit + 30 Tage	Vertragserfullung
Dokumente	Nach Nutzerwunsch + gesetzl. Fristen	10 Jahre (Steuerrecht CH/DE)
Chat-Verlaufe	90 Tage (oder Nutzerloschung)	Servicequalitat
Systemlogs	30 Tage	Fehleranalyse
Sicherheitslogs	12 Monate	Berechtigtes Interesse
Mietbewerbungen	6 Monate nach Abschluss	AGG-Nachweis (DE)
OAuth-Tokens	Bis Widerruf/Ablauf	Funktionalitat

Ihre Rechte nach Schweizer nDSG

Gilt fur: Personen in der Schweiz und Verarbeitung nach Schweizer Recht. Das revidierte Bundesgesetz uber den Datenschutz (nDSG), in Kraft seit 1. September 2023, gewahrt Ihnen folgende Rechte:

Auskunftsrecht Art. 25 nDSG

Kostenlose Auskunft uber alle verarbeiteten Personendaten. Einschliesslich: Identitat des Verantwortlichen, Bearbeitungszweck, Kategorien, Empfanger, Aufbewahrungsdauer.

Datenherausgabe Art. 28 nDSG

Herausgabe Ihrer Personendaten in gangigem elektronischem Format oder Ubertragung an anderen Verantwortlichen.

Berichtigung Art. 32 nDSG

Berichtigung unrichtiger Personendaten.

Widerspruch Art. 30 nDSG

Widerspruch gegen Bearbeitung durch Private mit schutzwurdigem Interesse.

Frist: Wir beantworten Anfragen innerhalb von 30 Tagen.

Ihre Rechte nach CCPA/CPRA (Kalifornien, USA)

Gilt fur: Einwohner Kaliforniens (California Consumer Privacy Act / California Privacy Rights Act)

Wichtiger Hinweis fur kalifornische Einwohner

COEUS verkauft keine personenbezogenen Daten und teilt keine personenbezogenen Daten fur Werbezwecke. Daher ist das "Opt-out"-Recht fur den Verkauf/Teilen derzeit nicht anwendbar.

11.1 Kategorien gesammelter Daten (CCPA ss1798.100)

CCPA-Kategorie	Beispiele	Gesammelt?
A. Identifikatoren	Name, E-Mail, IP-Adresse	Ja
B. Personliche Informationen	Name, Adresse, Telefon	Ja
C. Geschutzte Klassifikationen	Alter, Nationalitat	Nur bei Mietbewerbungen
D. Kommerzielle Informationen	Kaufhistorie, Transaktionen	Ja (Abrechnung)
F. Internet-Aktivitat	Browsing-Historie	Begrenzt (Logs)
G. Geolokalisierung	Standort	Nein
K. Schlussfolgerungen	Profile, Praferenzen	Begrenzt (KI-Metadaten)

11.2 Ihre CCPA/CPRA-Rechte

Recht auf Auskunft ss1798.100

Erfahren Sie, welche personenbezogenen Daten wir sammeln, verwenden, teilen oder verkaufen. Zwei kostenlose Anfragen pro 12-Monats-Zeitraum.

Recht auf Loschung ss1798.105

Verlangen Sie die Loschung Ihrer personenbezogenen Daten, vorbehaltlich gesetzlicher Ausnahmen.

Recht auf Korrektur ss1798.106

Korrektur ungenauer personenbezogener Daten (CPRA-Erweiterung).

Nicht-Diskriminierung ss1798.125

Keine Benachteiligung bei Ausubung Ihrer Datenschutzrechte.

Datensicherheit

Wir setzen technische und organisatorische Massnahmen (TOMs) gemass Art. 32 DSGVO und Art. 8 nDSG ein:

Technische Massnahmen

Verschlusselung: TLS 1.3 fur Datenubertragung, AES-256 fur OAuth-Tokens und sensible Daten
Authentifizierung: OAuth 2.0, WebAuthn/Passkeys, Row Level Security (RLS)
Zugriffskontrolle: Rollenbasierte Berechtigungen, Audit-Logging
Infrastruktur: EU-Rechenzentren mit ISO 27001-Zertifizierung

Organisatorische Massnahmen

Regelmassige Sicherheitsuberprufungen
Datenminimierung und Zweckbindung
Vertraulichkeitsverpflichtungen fur alle Mitarbeiter
Incident Response Plan fur Datenschutzverletzungen

Cookies und Tracking

Wir verwenden Cookies fur verschiedene Zwecke. Details finden Sie in unserer separaten Cookie-Richtlinie.

Cookie-Kategorien

Kategorie	Zweck	Einwilligung
Notwendig	Session, Authentifizierung, CSRF-Schutz	Nicht erforderlich
Funktional	Spracheinstellungen, Theme-Praferenzen	Nicht erforderlich
Analyse	Google Analytics 4 (anonymisiert)	Erforderlich (Opt-in)
Marketing	Derzeit nicht verwendet	N/A

Minderjahrige

COEUS ist eine B2B-Software fur Immobilienverwaltung und richtet sich nicht an Minderjahrige unter 16 Jahren. Wir erheben wissentlich keine Daten von Kindern. Falls Sie glauben, dass ein Kind uns personenbezogene Daten ubermittelt hat, kontaktieren Sie uns bitte umgehend.

Anderungen dieser Erklarung

Wir behalten uns vor, diese Datenschutzerklarung bei Bedarf zu aktualisieren. Bei wesentlichen Anderungen werden wir Sie per E-Mail oder In-App-Benachrichtigung informieren. Die aktuelle Version ist immer auf dieser Seite verfugbar.

Versionsverlauf

Version 2.1 12. Januar 2026

Vereinheitlichung der Kontaktadresse

Version 2.0 11. Dezember 2025

Umfassende Aktualisierung: EU AI Act, CCPA/CPRA, nDSG 2023

Version 1.0 7. November 2025

Erstveroffentlichung

Beschwerderecht

Wenn Sie der Meinung sind, dass die Verarbeitung Ihrer Daten gegen Datenschutzrecht verstosst, haben Sie das Recht, Beschwerde bei einer Aufsichtsbehorde einzureichen:

EU (DSGVO)

Aufsichtsbehorde Ihres Wohnsitzlandes oder Baden-Wurttemberg (Hauptsitz-Nahe)

Schweiz (nDSG)

Eidgenossischer Datenschutz- und Offentlichkeitsbeauftragter (EDOB)
www.edoeb.admin.ch

USA (CCPA)

California Attorney General
California Privacy Protection Agency

Kontakt

Fur Fragen zu dieser Datenschutzerklarung oder zur Ausubung Ihrer Rechte:

Kontaktdaten

E-Mail

impact@angad.swiss

Postanschrift

Angad Manik
Rebgasse 53
4058 Basel
Schweiz

Wir bemuhen uns, alle Anfragen innerhalb von 30 Tagen zu beantworten.

Privacy Policy

Version 2.1

Updated January 12, 2026

EU GDPR Swiss FADP US CCPA/CPRA EU AI Act

Introduction and Scope

COEUS ("we", "us", "our") is a privacy-compliant property management platform with AI-powered document processing. This comprehensive Privacy Policy applies to all users worldwide and complies with the following regulations:

EU GDPR (General Data Protection Regulation, Regulation (EU) 2016/679)
Swiss nFADP (revised Federal Act on Data Protection, effective September 1, 2023)
US CCPA/CPRA (California Consumer Privacy Act / California Privacy Rights Act)
EU AI Act (Regulation (EU) 2024/1689 on Artificial Intelligence)

Jurisdiction Notice

Different privacy rights apply depending on your residence. This policy informs you about all applicable rights. Find your specific rights in the relevant sections.

Data Controller

Name

Angad Manik

Address

Rebgasse 53
4058 Basel, Switzerland

impact@angad.swiss

EU Representative (Art. 27 GDPR): Angad Manik, Rebgasse 53, 4058 Basel, Switzerland. Switzerland is recognized by the EU as having an adequate level of data protection.

Data We Collect

3.1 Account Data

When registering (via Google OAuth, Microsoft OAuth, or Passkey):

Name (first and last name)
Email address
OAuth provider ID (Google ID, Microsoft ID)
Profile picture (optional, from OAuth provider)
Passkey credential (for WebAuthn registration)

3.2 Organization Data

Company name, legal form
Business address, contact details
Letterhead information for documents
Logo and signature image (optional)
Organization settings and preferences

3.3 Property Data

Estate, building, and unit details
Addresses, areas, room counts
Rental contracts and conditions
Utility billing statements
Meter readings

3.4 Document Data

Uploaded files (PDF, images, HEIC, Word, Excel)
OCR-extracted text (via Mistral OCR)
AI-generated metadata (document type, date, category, summary)
Embedding vectors for semantic search (pgvector)
Version history and change log

3.5 Cloud Storage Connections

Google Drive OAuth tokens (AES-256 encrypted)
OneDrive/Microsoft OAuth tokens (AES-256 encrypted)
Synchronized file metadata
Folder structures and permissions

3.6 AI Interaction Data

Chat messages and AI responses
Token consumption per request
AI models and parameters used
Source citations
Feedback and ratings

3.7 Rental Application Data

Applicant information (name, email, phone, address)
Income statements, credit reports
Identity documents (IDs)
Responses to custom questions
Application status and communication history

3.8 Technical Data

IP address (anonymized after 30 days)
Browser type and version
Device type and operating system
Timezone and language settings
Referrer URL (where you came from)

AI Processing and EU AI Act Transparency

Notice pursuant to EU AI Act (Regulation 2024/1689)

COEUS uses AI systems for document processing and assistance functions. These systems are classified as limited-risk AI systems (Art. 50 - Transparency obligations).

5.1 AI Systems Used

Mistral AI - Document Processing

Limited Risk

Provider: Mistral AI (France, EU)

Models: mistral-ocr-latest, mistral-large-latest

Purpose: OCR, document classification, chat assistant

Data Location: EU (Paris, France)

Training: User data is not used for model training

Contact

For questions about this Privacy Policy or to exercise your rights:

Contact Details

impact@angad.swiss

Postal Address

Angad Manik
Rebgasse 53
4058 Basel
Switzerland

We strive to respond to all inquiries within 30 days.

Einleitung und Geltungsbereich

Verantwortlicher fur die Datenverarbeitung

Datenverantwortlicher

Welche Daten wir sammeln

3.1 Kontodaten

3.2 Organisationsdaten

3.3 Immobiliendaten

3.4 Dokumentendaten

3.5 Cloud-Speicher-Verbindungen

3.6 KI-Interaktionsdaten

3.7 Mietbewerbungsdaten

3.8 Technische Daten

Rechtsgrundlage fur die Verarbeitung

4.1 EU-DSGVO Rechtsgrundlagen

4.2 Schweizer nDSG Rechtsgrundlagen

KI-Verarbeitung und EU AI Act Transparenz

5.1 Eingesetzte KI-Systeme

Mistral AI - Dokumentenverarbeitung

OpenAI - Erweiterte Sprachverarbeitung (Optional)

5.2 KI-Transparenzhinweise (Art. 50 AI Act)

5.3 Ihre Rechte bezuglich KI-Verarbeitung

Auftragsverarbeiter und Drittanbieter

6.1 Hosting und Infrastruktur

6.2 KI-Dienste

6.3 Authentifizierung

Internationale Datenubermittlung

7.1 EU-Datenresidenz (Standard)

7.2 USA-Ubermittlungen

7.3 Schweiz-Angemessenheit

Datenspeicherung und Aufbewahrung

Ihre Rechte nach EU-DSGVO

Ihre Rechte nach Schweizer nDSG

Ihre Rechte nach CCPA/CPRA (Kalifornien, USA)

11.1 Kategorien gesammelter Daten (CCPA ss1798.100)

11.2 Ihre CCPA/CPRA-Rechte

Datensicherheit

Technische Massnahmen

Organisatorische Massnahmen

Cookies und Tracking

Cookie-Kategorien

Minderjahrige

Anderungen dieser Erklarung

Versionsverlauf

Beschwerderecht

Kontakt

Kontaktdaten

Introduction and Scope

Data Controller

Data Controller

Data We Collect

3.1 Account Data

3.2 Organization Data

3.3 Property Data

3.4 Document Data

3.5 Cloud Storage Connections

3.6 AI Interaction Data

3.7 Rental Application Data

3.8 Technical Data

AI Processing and EU AI Act Transparency

5.1 AI Systems Used

Mistral AI - Document Processing

Your Rights Under EU GDPR

Contact

Contact Details