1. Einleitung

COEUS ("wir", "uns", "unser") ist eine GDPR-konforme Immobilienverwaltungssoftware mit KI-gestützter Dokumentenverarbeitung. Diese Datenschutzerklärung gilt für alle Nutzer in der Europäischen Union (EU), der Schweiz und den Vereinigten Staaten (USA).

Wir verpflichten uns zum Schutz Ihrer personenbezogenen Daten gemäß:

• EU-DSGVO (Datenschutz-Grundverordnung, EU 2016/679)
• Schweizer DSG (Bundesgesetz über den Datenschutz, revDSG 2023)
• US-Datenschutzgesetze (einschließlich CCPA, CPRA)

2. Verantwortlicher für die Datenverarbeitung

Name: Angad Manik
Adresse: Rebgasse 53, 4058 Basel, Schweiz
E-Mail: impact@angad.swiss

3. Welche Daten wir sammeln

3.1 Kontodaten (über Google OAuth)

• Name (Vor- und Nachname)
• E-Mail-Adresse
• Google-Profil-ID
• Profilbild (optional)

3.2 Organisationsdaten

• Firmenname, Adresse, Kontaktdaten
• Briefkopfinformationen (Name, Adresse, Telefon, E-Mail)
• Organisationseinstellungen

3.3 Dokumentendaten

• Hochgeladene Dateien (PDF, Bilder, HEIC, etc.)
• OCR-extrahierter Text (Mistral OCR)
• KI-generierte Metadaten (Dokumenttyp, Datum, Kategorie)
• Einbettungsvektoren für Suchfunktionalität (pgvector)

3.4 Cloud-Speicher-Verbindungen

• Google Drive OAuth-Tokens (verschlüsselt gespeichert)
• OneDrive OAuth-Tokens (verschlüsselt gespeichert)
• Datei-Metadaten aus verbundenen Speicherdiensten

3.5 Nutzungsdaten

• KI-Token-Nutzung (OpenAI GPT-4o, Mistral)
• Chat-Verlauf und KI-Interaktionen
• Systemlogs (Fehler, Sicherheitsereignisse)

3.6 Mietbewerbungsdaten

• Bewerberinformationen (Name, E-Mail, Telefon)
• Hochgeladene Dokumente (Ausweise, Gehaltsnachweise, etc.)
• Antworten auf benutzerdefinierte Fragen

4. Rechtsgrundlage für die Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage von:

• Einwilligung (DSGVO Art. 6 Abs. 1 lit. a): Für Google OAuth, Cloud-Speicher-Verbindungen
• Vertragserfüllung (DSGVO Art. 6 Abs. 1 lit. b): Bereitstellung der Plattform-Dienste
• Berechtigtes Interesse (DSGVO Art. 6 Abs. 1 lit. f): Systemsicherheit, Betrugsbekämpfung, Service-Verbesserung
• Rechtliche Verpflichtung (DSGVO Art. 6 Abs. 1 lit. c): Einhaltung von Steuer- und Archivierungspflichten

5. Datenverarbeiter und Drittanbieter

5.1 KI-Dienste

• OpenAI (GPT-4o): Chat-Funktionalität, RAG-System (USA, EU-Standardvertragsklauseln)
• Mistral AI: OCR-Verarbeitung, KI-Agenten (EU-basiert, DSGVO-konform)

5.2 Infrastruktur

• Supabase: Datenbank-Hosting (EU-Region obligatorisch, DSGVO-konform)
• Google Cloud Platform: OAuth-Dienste (EU-Datenresidenz)
• Microsoft Azure: OneDrive-Integration (EU-Datenresidenz)

5.3 Datenverarbeitungsverträge

Mit allen Drittanbietern bestehen Datenverarbeitungsverträge (DPA) gemäß DSGVO Art. 28, die Standardvertragsklauseln (SCC) für internationale Übermittlungen enthalten.

6. Internationale Datenübermittlung

EU-Datenresidenz: Alle Nutzerdaten werden primär in der EU gespeichert (Supabase EU-Region).

USA-Übermittlungen: KI-Verarbeitung durch OpenAI (USA) erfolgt auf Grundlage:

• EU-Standardvertragsklauseln (SCC)
• Zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung)
• Datenminimierung (nur notwendige Daten werden übermittelt)

7. Datenspeicherung und -aufbewahrung

• Kontodaten: Solange das Konto aktiv ist + 30 Tage nach Löschung
• Dokumente: Solange vom Nutzer gewünscht + gesetzliche Aufbewahrungspflichten
• Chat-Verläufe: 90 Tage (sofern nicht vom Nutzer gelöscht)
• Systemlogs: 30 Tage (Sicherheitslogs: 12 Monate)
• Mietbewerbungen: 6 Monate nach Projektstatus "abgeschlossen"

8. Ihre Rechte (DSGVO Art. 15-22, revDSG Art. 25-32)

Sie haben folgende Rechte:

• Auskunftsrecht (Art. 15): Kopie Ihrer gespeicherten Daten
• Berichtigungsrecht (Art. 16): Korrektur falscher Daten
• Löschungsrecht (Art. 17): "Recht auf Vergessenwerden"
• Einschränkung der Verarbeitung (Art. 18): Vorübergehende Sperrung
• Datenübertragbarkeit (Art. 20): Export in maschinenlesbarem Format (JSON)
• Widerspruchsrecht (Art. 21): Widerspruch gegen Verarbeitung
• Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeit widerrufbar

Kontakt: privacy@your-domain.com

9. Datensicherheit

• Verschlüsselung im Transit (TLS 1.3)
• Verschlüsselung im Ruhezustand (AES-256)
• Row-Level Security (RLS) in Supabase
• OAuth-Token-Verschlüsselung (Fernet symmetric encryption)
• Regelmäßige Sicherheitsaudits
• Zugriffskontrolle nach dem Prinzip der geringsten Privilegien

10. Cookies und Tracking

COEUS verwendet folgende Cookies:

• Notwendige Cookies: JWT-Authentifizierung, Session-Management (keine Einwilligung erforderlich)
• Präferenz-Cookies: Theme-Einstellungen (dunkel/hell/farben), Sprachauswahl

Keine Tracking-Cookies: Wir verwenden keine Analyse-Tools von Drittanbietern (z.B. Google Analytics).

11. Kinder unter 16 Jahren

COEUS richtet sich nicht an Personen unter 16 Jahren (DSGVO Art. 8). Bei Kenntnis über die Verarbeitung von Daten Minderjähriger werden diese umgehend gelöscht.

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren. Wesentliche Änderungen werden per E-Mail mitgeteilt. Das Datum der letzten Aktualisierung ist oben angegeben.

13. Beschwerderecht

Sie haben das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen:

• Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
  Feldeggweg 1, 3003 Bern
  Tel: +41 58 462 43 95 | E-Mail: info@edoeb.admin.ch
• EU: Liste der EU-Datenschutzbehörden

14. Kontakt

Für Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Rechte:

E-Mail: impact@angad.swiss
Adresse: Rebgasse 53, 4058 Basel, Schweiz

1. Introduction

COEUS ("we", "us", "our") is a GDPR-compliant property management platform with AI-powered document processing. This Privacy Policy applies to all users in the European Union (EU), Switzerland, and the United States (USA).

We are committed to protecting your personal data in accordance with:

• EU GDPR (General Data Protection Regulation, EU 2016/679)
• Swiss FADP (Federal Act on Data Protection, revFADP 2023)
• US Privacy Laws (including CCPA, CPRA)

2. Data Controller

Name: Angad Manik
Address: Rebgasse 53, 4058 Basel, Switzerland
Email: impact@angad.swiss

3. Data We Collect

3.1 Account Data (via Google OAuth)

• Name (first and last name)
• Email address
• Google profile ID
• Profile picture (optional)

3.2 Organization Data

• Company name, address, contact details
• Letterhead information (name, address, phone, email)
• Organization settings

3.3 Document Data

• Uploaded files (PDF, images, HEIC, etc.)
• OCR-extracted text (Mistral OCR)
• AI-generated metadata (document type, date, category)
• Embedding vectors for search functionality (pgvector)

3.4 Cloud Storage Connections

• Google Drive OAuth tokens (encrypted storage)
• OneDrive OAuth tokens (encrypted storage)
• File metadata from connected storage services

3.5 Usage Data

• AI token usage (OpenAI GPT-4o, Mistral)
• Chat history and AI interactions
• System logs (errors, security events)

3.6 Rental Application Data

• Applicant information (name, email, phone)
• Uploaded documents (IDs, income statements, etc.)
• Responses to custom questions

4. Legal Basis for Processing

We process personal data based on:

• Consent (GDPR Art. 6(1)(a)): For Google OAuth, cloud storage connections
• Contract Performance (GDPR Art. 6(1)(b)): Providing platform services
• Legitimate Interest (GDPR Art. 6(1)(f)): System security, fraud prevention, service improvement
• Legal Obligation (GDPR Art. 6(1)(c)): Compliance with tax and archiving requirements

5. Data Processors and Third Parties

5.1 AI Services

• OpenAI (GPT-4o): Chat functionality, RAG system (USA, EU Standard Contractual Clauses)
• Mistral AI: OCR processing, AI agents (EU-based, GDPR-compliant)

5.2 Infrastructure

• Supabase: Database hosting (EU region mandatory, GDPR-compliant)
• Google Cloud Platform: OAuth services (EU data residency)
• Microsoft Azure: OneDrive integration (EU data residency)

5.3 Data Processing Agreements

We have Data Processing Agreements (DPA) with all third-party processors per GDPR Art. 28, including Standard Contractual Clauses (SCC) for international transfers.

6. International Data Transfers

EU Data Residency: All user data is primarily stored in the EU (Supabase EU region).

USA Transfers: AI processing by OpenAI (USA) is based on:

• EU Standard Contractual Clauses (SCC)
• Additional safeguards (encryption, pseudonymization)
• Data minimization (only necessary data transferred)

7. Data Storage and Retention

• Account data: While account is active + 30 days after deletion
• Documents: As long as user desires + legal retention requirements
• Chat history: 90 days (unless deleted by user)
• System logs: 30 days (security logs: 12 months)
• Rental applications: 6 months after project status "completed"

8. Your Rights (GDPR Art. 15-22, revFADP Art. 25-32)

You have the following rights:

• Right of Access (Art. 15): Copy of your stored data
• Right to Rectification (Art. 16): Correction of incorrect data
• Right to Erasure (Art. 17): "Right to be forgotten"
• Right to Restriction (Art. 18): Temporary blocking
• Right to Data Portability (Art. 20): Export in machine-readable format (JSON)
• Right to Object (Art. 21): Object to processing
• Right to Withdraw Consent (Art. 7(3)): Revocable at any time

Contact: privacy@your-domain.com

9. Data Security

• Encryption in transit (TLS 1.3)
• Encryption at rest (AES-256)
• Row-Level Security (RLS) in Supabase
• OAuth token encryption (Fernet symmetric encryption)
• Regular security audits
• Least-privilege access control

10. Cookies and Tracking

COEUS uses the following cookies:

• Necessary Cookies: JWT authentication, session management (no consent required)
• Preference Cookies: Theme settings (dark/light/colors), language selection

No Tracking Cookies: We do not use third-party analytics tools (e.g., Google Analytics).

11. Children Under 16

COEUS is not directed to individuals under 16 years of age (GDPR Art. 8). If we become aware of processing data from minors, we will delete it immediately.

12. Changes to This Privacy Policy

We may update this Privacy Policy. Material changes will be communicated via email. The date of the last update is indicated above.

13. Right to Lodge a Complaint

You have the right to lodge a complaint with a data protection supervisory authority:

• Switzerland: Federal Data Protection and Information Commissioner (FDPIC)
  Feldeggweg 1, 3003 Bern
  Tel: +41 58 462 43 95 | Email: info@edoeb.admin.ch
• EU: List of EU Data Protection Authorities

14. Contact

For questions about this Privacy Policy or to exercise your rights:

Email: impact@angad.swiss
Address: Rebgasse 53, 4058 Basel, Switzerland