Datenschutzerklärung

Zuletzt aktualisiert: 2026-05-23

1. Verantwortlicher und räumlicher Geltungsbereich

Giacomo Cacciatore
E-Mail: info@turnix.ch
Für formelle postalische Anfragen kontaktieren Sie uns bitte per E-Mail, um die Postanschrift des Verantwortlichen anzufordern; die Beantwortung von Datenschutzanfragen erfolgt innerhalb von 30 Tagen ab Versand.

Mindestalter für die Nutzung: 18 Jahre (der Dienst richtet sich an volljährige Fachkräfte im Gesundheitswesen) oder, alternativ, das im Wohnsitzland des Nutzers festgelegte Mindestalter für die digitale Einwilligung (Art. 8 DSGVO: zwischen 13 und 16 Jahren je nach Mitgliedstaat) mit ausdrücklicher Genehmigung der erziehungsberechtigten Person. Für das Vereinigte Königreich gilt zusätzlich der UK Age Appropriate Design Code 2020 der ICO. Turnix erhebt oder verarbeitet wissentlich keine Daten von Minderjährigen ohne die gesetzlich vorgeschriebenen Genehmigungen; jede festgestellte rechtswidrige Verarbeitung wird umgehend gelöscht.

Turnix kann in den folgenden 32 Rechtsordnungen genutzt werden:

• Europäische Union (27 Mitgliedstaaten): Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn, Zypern.
• Europäischer Wirtschaftsraum (EWR, 3 Nicht-EU-Staaten): Norwegen, Island, Liechtenstein.
• Schweiz (CH).
• Vereinigtes Königreich (UK) nach dem Brexit.

Diese Erklärung entspricht:

• Verordnung (EU) 2016/679 (DSGVO) — anwendbar in der EU 27 + EWR.
• UK General Data Protection Regulation (UK GDPR) und Data Protection Act 2018 — anwendbar im Vereinigten Königreich nach dem Brexit.
• Bundesgesetz über den Datenschutz (revDSG/nDSG), in Kraft seit dem 1. September 2023, und Datenschutzverordnung (DSV) — anwendbar in der Schweiz.

Die Schweiz profitiert von einem EU-Angemessenheitsbeschluss (15. Januar 2024, Beschluss 2024/254 der Europäischen Kommission). Das Vereinigte Königreich profitiert von einem EU-Angemessenheitsbeschluss (28. Juni 2021, Beschluss 2021/1772), der derzeit in Kraft ist und periodisch überprüft wird.

2. Erhobene Daten

• E-Mail-Adresse (Registrierung und Authentifizierung über E-Mail und Passwort oder über Google Sign-In OAuth)
• Konto-Passwort (verschlüsselt auf Supabase Auth gespeichert, niemals im Klartext; NICHT anwendbar, wenn der Nutzer sich ausschliesslich über Google Sign-In anmeldet)
• In der App gewählter Identifikationsname
• Arbeitsschicht-Daten: Datum, ausgeschnittenes Bild der PDF-Zelle (visueller Sticker) und visueller Fingerabdruck pHash (perzeptueller Hash der Zelle) zur Erkennung gleicher oder geänderter Schichten. Die App interpretiert die Bedeutung der Zelle (Schichtcode, Farbe, Uhrzeiten) NICHT automatisch: Sie zeigt ausschliesslich das echte Bild des PDFs.
• Aus der Legende des PDFs extrahierte Uhrzeiten (sofern verfügbar) dienen ausschliesslich der lokalen Planung von Weckern/Erinnerungen.
• Cluster ähnlicher Zellen (pHash-Gruppierung) und manuell in den Statistiken eingetragene Nutzerklassifizierung „Arbeit/Ruhe".
• Google OAuth-Token: (a) wenn der Nutzer sich über Google Sign-In anmeldet (optionale Alternative zur Anmeldung mit E-Mail und Passwort), oder (b) wenn der Premium-Nutzer die Google Kalender Synchronisation verbindet. Die Token werden ausschliesslich auf dem Gerät (Hive box) gespeichert und niemals an Turnix-Server gesendet.
• Push-Token (Firebase Cloud Messaging) für den Empfang von Benachrichtigungen zur Team-Schichtverteilung.
• Temporäre PDF-Dateien während der Verarbeitung (werden nicht auf dem Consumer-Server gespeichert, sondern nur im team_archive für Team-Verteilungs-Uploads im Enterprise-Modus).
• Anonyme Diagnosedaten: Crash-Stack-Trace, App-Version, Gerätemodell, Betriebssystem (an Sentry gesendet zur Fehlerbehebung — keine personenbezogenen Daten).

Kategorien von Gesundheitsdaten (Art. 9 DSGVO / Art. 5 revDSG): Zum gegenwärtigen Zeitpunkt erhebt Turnix KEINE biometrischen Daten, genetischen Daten, Daten zu religiösen-philosophischen-politischen-gewerkschaftlichen Meinungen, ethnischer/rassischer Herkunft, Sozial- oder Strafdaten. Die Arbeitsschichtdaten stellen ordentliche personenbezogene Daten dar.

Optionale zukünftige Funktion — Menstruationszyklus-Tracking: Turnix sieht vor, in einer zukünftigen Version eine optionale Funktion für die manuelle Verfolgung des Menstruationszyklus einzuführen (fällt unter „Gesundheitsdaten" im Sinne von Art. 9 Abs. 1 DSGVO). Diese Funktion ist derzeit NICHT aktiviert und wird ausschliesslich über ein separates ausdrückliches Opt-in mit dediziertem Consent-UI aktivierbar sein (Rechtsgrundlage: Art. 9 Abs. 2 Buchst. a DSGVO — ausdrückliche Einwilligung; für die Schweiz: Art. 6 Abs. 7 Buchst. a nDSG). Der Nutzer kann die Funktion jederzeit mit vollständiger Löschung der zugehörigen Daten deaktivieren, ohne das Konto löschen zu müssen. Die vorliegende Datenschutzerklärung wird im Moment der Aktivierung mit einem dedizierten Abschnitt „Menstruationszyklus-Tracking" aktualisiert.

Keine automatisierte Profilbildung: Turnix nimmt KEINE Profilbildung und keine automatisierten Entscheidungen über Ihre Daten im Sinne von Art. 22 DSGVO / UK GDPR / Art. 21 nDSG vor. Die visuelle Gruppierung von pHash-Clustern ist ein deterministischer Bildvergleich (Hash-Fingerabdruck der perzeptuellen Wahrnehmung der PDF-Zelle) und stellt weder eine Profilbildung noch eine automatisierte Bewertung persönlicher Aspekte des Nutzers dar. Die Cluster-Klassifizierung „Arbeit/Ruhe" wird stets manuell vom Nutzer in den Statistiken angegeben.

3. Zwecke und Rechtsgrundlage

Rechtsgrundlage gemäss DSGVO (EU + EWR) und UK GDPR:

• Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO / UK GDPR — Vertragserfüllung)
• Persistenz der visuellen pHash-Cluster zur Erkennung gleicher und geänderter Schichten zwischen verschiedenen Monaten (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO / UK GDPR)
• Abonnementverwaltung über RevenueCat (Vertragserfüllung)
• Optionale Authentifizierung über Google Sign-In (ausdrückliche Einwilligung, Art. 6 Abs. 1 lit. a DSGVO / UK GDPR) — Alternative zur Anmeldung mit E-Mail und Passwort. Der Nutzer kann frei wählen, welche Authentifizierungsmethode er verwendet. Google OAuth-Token werden ausschliesslich auf dem Gerät gespeichert, niemals an Turnix-Server gesendet.
• Optionale Synchronisation mit Google Kalender (ausdrückliche Einwilligung, Art. 6 Abs. 1 lit. a DSGVO / UK GDPR) — nur aktiviert, wenn ein Premium-Nutzer das eigene Google-Konto verbindet. Einwilligung jederzeit widerrufbar.
• Crash-Diagnose und App-Stabilität über Sentry (berechtigtes Interesse, anonyme Daten)
• Versand von Push-Benachrichtigungen zur Team-Schichtverteilung über Firebase Cloud Messaging (Vertragserfüllung, ausschliesslich Enterprise-Team-Modus)
• Google AdMob Werbung für Freemium-Nutzer (ausdrückliche Einwilligung über UMP SDK für Nutzer aus der EU/EWR/UK/CH, Art. 6 Abs. 1 lit. a DSGVO / UK GDPR + ePrivacy-Richtlinie 2002/58/EG, umgesetzt von jedem Mitgliedstaat)

Rechtsgrundlage gemäss revDSG (Schweiz): Bearbeitung erforderlich zur Vertragserfüllung, zur Wahrung der berechtigten Interessen des Verantwortlichen und auf der Grundlage der ausdrücklichen Einwilligung des Nutzers für akzessorische Zwecke (Art. 31 revDSG).

4. Datenspeicherung

Die Daten werden gespeichert, solange das Konto aktiv ist. Nutzer können alle eigenen Daten jederzeit über Einstellungen → Alle Daten zurücksetzen löschen. Nach der Löschung werden die Daten innerhalb von 30 Tagen aus den Backups entfernt.

Spezifische Aufbewahrungsfristen pro Kategorie:

• E-Mail-Adresse des Kontos: gespeichert, solange das Konto aktiv ist. Löschung innerhalb von 30 Tagen nach Anfrage des Nutzers (Einstellungen → Alle Daten zurücksetzen) + vollständige Entfernung aus den Backups innerhalb der darauffolgenden 90 Tage (Grundsatz der Datenminimierung + Recht auf Vergessenwerden Art. 17 DSGVO / UK GDPR / Art. 32 nDSG).
• Zellen-Crop-Bilder (visuelle Sticker): automatische Löschung nach 365 Tagen (Grundsatz der Datenminimierung gemäss revDSG).
• Google Kalender OAuth-Token: sofortige Löschung, sobald der Nutzer das Konto über Einstellungen → Google Kalender Synchronisation → Trennen entkoppelt. Der Nutzer kann den Zugriff zudem direkt über myaccount.google.com → Sicherheit → Apps mit Zugriff auf dein Konto widerrufen.
• Firebase Cloud Messaging Token: Löschung beim Logout oder Daten-Reset.
• Vom Vorgesetzten verteilte PDFs (Enterprise-Team-Modus): rollende FIFO-Aufbewahrung von maximal 6 Monaten.
• Sentry Diagnosedaten: 90 Tage Aufbewahrung auf Sentry-Servern in Frankfurt (EU).

5. Drittanbieter (Auftragsverarbeiter)

Supabase Inc. (Datenspeicherung, Authentifizierung) — Server in der Region: eu-west-1 (Irland, EU). DPA verfügbar unter supabase.com/privacy.

RevenueCat Inc. (Abonnementverwaltung) — Datenschutzerklärung: revenuecat.com/privacy. RevenueCat erhält lediglich eine anonyme Kennung des Kaufs, nicht die Schichtdaten.

Google Mobile Ads / AdMob (Google LLC) — nur für Freemium-Nutzer (nach 14-tägiger Testphase, kein Premium-Abonnement). Zeigt kleine, nicht-invasive Werbebanner. AdMob kann die Werbe-ID des Geräts (Advertising ID Android / IDFA iOS), IP-Adresse und Informationen zur Interaktion mit Anzeigen erheben. ES WERDEN KEINE Schicht- oder personenbezogenen Daten geteilt. Datenschutzerklärung: policies.google.com/privacy. Anzeigentypen (personalisiert vs. nicht-personalisiert) sind über das UMP-SDK-Consent beim ersten App-Start steuerbar + Reset in Einstellungen → „Werbe-Einwilligung zurücksetzen". Premium-Nutzer (CHF/EUR 19,90/Jahr) erhalten KEINE Anzeigen und Google Mobile Ads wird für sie NICHT aktiviert.

Google LLC — Google Calendar API (nur Premium-Nutzer, die die optionale Synchronisation aktivieren). Die App greift ausschliesslich auf den Scope „calendar.events" zu (CRUD auf Ereignissen des primären Kalenders des Nutzers, KEIN Zugriff auf die Kalenderliste noch Lesen anderer Ereignisse). OAuth-Token werden ausschliesslich auf dem Gerät gespeichert (Hive box „google_calendar_sync_v1"), niemals an Turnix-Server übermittelt. Der Nutzer kann den Zugriff jederzeit über Einstellungen → Google Kalender Synchronisation → Trennen entkoppeln oder widerrufen, oder über myaccount.google.com → Sicherheit. Google erhält die Ereignisse (Datum, Uhrzeit, Cluster-Bezeichnung), aber KEINE sensiblen Daten (Name des Mitarbeiters, OCR-Schichtcode), konform mit dem Prinzip „Strada B Pura".

Google LLC — Firebase Cloud Messaging (FCM). Nur Enterprise-Team-Modus für den Empfang von Push-Benachrichtigungen, wenn der Vorgesetzte ein PDF verteilt. Der FCM-Token wird auf Supabase gespeichert (RLS aktiv, nur für das Cloud Run Backend zugänglich). Datenschutzerklärung: firebase.google.com/support/privacy.

Sentry (Functional Software Inc.) — Crash-Diagnose und Stabilität. Server in der EU-Region: Sentry Frankfurt (ingest.de.sentry.io). Empfängt nur Stack-Traces, App-Version, Gerätemodell und Betriebssystem. Das Flag sendDefaultPii=false ist konfiguriert — ES WERDEN KEINE personenbezogenen Daten (E-Mail, IP, Nutzerkennungen) übermittelt. Datenaufbewahrung 90 Tage. Datenschutzerklärung: sentry.io/privacy.

Es werden keine Schichtdaten zu Werbezwecken an Dritte verkauft oder weitergegeben.

5.1 Cookies und Tracking-Technologien

Konformität mit der ePrivacy-Richtlinie 2002/58/EG (in jedem EU/EWR-Mitgliedstaat umgesetzt, z. B. TTDSG § 25 DE — Telekommunikation-Telemedien-Datenschutz-Gesetz, d.lgs. 196/2003 Art. 122 IT, LIL Art. 82 FR, LSSI-CE Art. 22 ES) + UK Privacy and Electronic Communications Regulations (PECR) 2003 + nDSG Art. 45c CH.

Mobile App Turnix: Verwendet KEINE HTTP-Cookies (native Apps haben keine Browser-Cookies). Lokaler Speicher wird ausschliesslich verwendet für:

• Lokale Hive-Boxes (Nutzereinstellungen, Sprach-Locale, Cache der pHash-Cluster, Google-OAuth-Token wenn Premium aktiviert): Diese sind keine Cookies und nicht für Dritte zugänglich.
• SharedPreferences Android / NSUserDefaults iOS: Zustand der UMP-SDK-Einwilligung Werbung, Flag für abgeschlossenes Onboarding. Für den Betrieb wesentliche Technologien (keine ePrivacy-Einwilligung erforderlich).

AdMob Werbung (Freemium-Nutzer): Das Google UMP SDK verwaltet die ausdrückliche Einwilligung gemäss Art. 6 Abs. 1 lit. a DSGVO / UK GDPR + ePrivacy-Richtlinie 2002/58/EG für Nutzer in EU/EWR/UK/CH. Möglichkeit zum Widerruf der Einwilligung: Einstellungen → „Werbe-Einwilligung zurücksetzen" (öffnet den UMP-SDK-Consent-Dialog erneut).

Website turnix.ch: Verwendet ausschliesslich technisch notwendige Cookies (keine Analytics, kein Tracking, keine Profilbildung, keine Drittanbieter-Cookies). Es ist keine Cookie-Einwilligung erforderlich gemäss TTDSG § 25 Abs. 2 DE + EDPB-Cookie-Leitlinien 03/2022.

5.2 Datenschutzbeauftragter (DSB)

Turnix ist nicht verpflichtet, einen Datenschutzbeauftragten (DSB) im Sinne von Art. 37 Abs. 1 DSGVO / UK GDPR / Art. 10 nDSG zu benennen: Der Verantwortliche ist keine Behörde, führt keine umfangreiche Verarbeitung sensibler Daten (Art. 9-10 DSGVO) durch und überwacht betroffene Personen nicht systematisch in grossem Umfang. Eine Datenschutz-Folgenabschätzung (DSFA Art. 35 DSGVO) ist für die von Turnix durchgeführte Verarbeitung gemäss den Kriterien WP248 EDPB nicht erforderlich.

Für jede Anfrage in Bezug auf den Schutz personenbezogener Daten, die Ausübung der Rechte der betroffenen Person (siehe §7) oder Beschwerden wenden Sie sich direkt an den Verantwortlichen unter der Adresse info@turnix.ch. Beantwortung innerhalb von 30 Tagen ab Anfrage (Art. 12 Abs. 3 DSGVO).

6. Internationaler Datentransfer

Personenbezogene Daten können in den nachfolgend beschriebenen Fällen ausserhalb der EU/EWR, des Vereinigten Königreichs und der Schweiz übermittelt werden. Jede Übermittlung basiert auf geeigneten Garantien gemäss Art. 44-49 DSGVO / UK GDPR und Art. 16-18 revDSG.

Datentransfer pro Anbieter:

• Supabase Inc. (US) — Server eu-west-1 (Irland, EU) ausdrücklich ausgewählt. Eventuelle US-Transfers (Backup) auf der Grundlage der Standardvertragsklauseln (SVC) Beschluss EU 2021/914 + Angemessenheitsbeschluss EU-US Data Privacy Framework (DPF, Juli 2023). Für UK: International Data Transfer Agreement (IDTA) UK ICO. Für CH: SVC gültig über CH-EU Angemessenheitsbeschluss.
• Google LLC (AdMob, Calendar, FCM) — Transfer in die Vereinigten Staaten auf der Grundlage von:
  • EU/EWR: Angemessenheitsbeschluss EU-US Data Privacy Framework (Google LLC DPF-zertifiziert) + SVC als Fallback.
  • UK: UK Extension to EU-US DPF + International Data Transfer Agreement (IDTA).
  • CH: Swiss-US DPF (parallel zum EU-US DPF) + SVC als Fallback.
• RevenueCat Inc. (US) — Transfer in die Vereinigten Staaten auf der Grundlage der Standardvertragsklauseln (SVC) EU 2021/914. Für UK: IDTA. Für CH: angemessene SVC.
• Sentry — Functional Software Inc. (US/EU) — EU-Server in Frankfurt (ingest.de.sentry.io) ausdrücklich ausgewählt. KEIN US-Transfer für die Turnix-Diagnosedaten. Konformität mit DSGVO / UK GDPR / revDSG durch EU-Serverstandort gewährleistet.

Für Kunden aus dem Vereinigten Königreich gilt zudem der Data Protection Act 2018 (DPA 2018) als Ergänzung zur UK GDPR. Für die Schweiz garantiert das revDSG ein Schutzniveau, das dem der DSGVO gleichwertig ist.

7. Rechte der betroffenen Person und Widerrufsrecht

Gemäss DSGVO (Art. 15-22), UK GDPR (Art. 15-22) und revDSG (Art. 25-27) hast du das Recht auf:

• Auskunft über deine personenbezogenen Daten (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung („Recht auf Vergessenwerden", Art. 17) — direkt in der App verfügbar: Einstellungen → Alle Daten zurücksetzen
• Datenübertragbarkeit in einem strukturierten Format (Art. 20)
• Widerspruch gegen die Verarbeitung (Art. 21)
• Einschränkung der Verarbeitung (Art. 18)
• Keine ausschliesslich automatisierte Entscheidung (Art. 22) — Turnix trifft KEINE automatisierten Entscheidungen über deine Daten
• Widerruf der Werbe-Einwilligung: Einstellungen → „Werbe-Einwilligung zurücksetzen"
• Widerruf der Google-Kalender-Einwilligung: Einstellungen → Google Kalender Synchronisation → Trennen (oder myaccount.google.com → Sicherheit)

14-tägiges Widerrufsrecht

• EU 27 + EWR: Richtlinie 2011/83/EU über Verbraucherrechte. Du hast 14 Tage ab dem Kauf des Premium-Abonnements, um ohne Angabe von Gründen zu widerrufen. Der Widerruf wird durch Mitteilung der Entscheidung (E-Mail an info@turnix.ch) oder über das Store-Konto (App Store / Google Play) ausgeübt. Die Rückerstattung erfolgt durch den Store innerhalb von 14 Tagen ab der Mitteilung.
• UK: UK Verbraucherrechtsgesetz (Consumer Rights Act) 2015 + Verbraucherverträge-Verordnung (Consumer Contracts Regulations) 2013 — 14-tägiges Widerrufsrecht für digitale Dienste, ausgeschlossen bei vollständiger Nutzung vor Widerruf (Digital Content Unbundling Rule).
• CH: Das Schweizer Recht sieht kein gesetzlich verpflichtendes Widerrufsrecht für digitale Fernabsatzdienstleistungen vor, Turnix garantiert jedoch freiwillig dieselbe 14-Tage-Frist für gebietsübergreifende Konsistenz.

Zur Ausübung dieser Rechte schreibe an: info@turnix.ch

8. Aufsichtsbehörden

Du hast das Recht, Beschwerde bei der Aufsichtsbehörde deines Wohnsitzstaates oder gewöhnlichen Aufenthaltsorts einzulegen. Nachstehend die Liste der 32 zuständigen Behörden in den Rechtsordnungen, in denen Turnix nutzbar ist.

European Data Protection Board (EDPB) — offizielle aktualisierte Liste aller EU+EWR-Behörden: edpb.europa.eu/about-edpb/about-edpb/members_en

Europäische Union (27 Staaten)

• Italien: Garante per la protezione dei dati personali — garanteprivacy.it
• Frankreich: CNIL (Commission Nationale Informatique et Libertés) — cnil.fr
• Deutschland: BfDI (Bundesbeauftragter für Datenschutz und Informationsfreiheit) — bfdi.bund.de
• Spanien: AEPD (Agencia Española de Protección de Datos) — aepd.es
• Portugal: CNPD (Comissão Nacional de Proteção de Dados) — cnpd.pt
• Niederlande: AP (Autoriteit Persoonsgegevens) — autoriteitpersoonsgegevens.nl
• Belgien: APD/GBA (Autorité de Protection des Données) — autoriteprotectiondonnees.be
• Luxemburg: CNPD (Commission Nationale pour la Protection des Données) — cnpd.lu
• Irland: DPC (Data Protection Commission) — dataprotection.ie
• Dänemark: Datatilsynet — datatilsynet.dk
• Schweden: IMY (Integritetsskyddsmyndigheten) — imy.se
• Finnland: Tietosuojavaltuutettu — tietosuoja.fi
• Österreich: DSB (Datenschutzbehörde) — dsb.gv.at
• Polen: UODO (Urząd Ochrony Danych Osobowych) — uodo.gov.pl
• Tschechische Republik: ÚOOÚ (Úřad pro ochranu osobních údajů) — uoou.cz
• Ungarn: NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) — naih.hu
• Slowakei: ÚOOÚ (Úrad na ochranu osobných údajov) — dataprotection.gov.sk
• Slowenien: IP (Informacijski pooblaščenec) — ip-rs.si
• Rumänien: ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) — dataprotection.ro
• Bulgarien: КЗЛД (Комисия за защита на личните данни) — cpdp.bg
• Kroatien: AZOP (Agencija za zaštitu osobnih podataka) — azop.hr
• Griechenland: HDPA (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) — dpa.gr
• Zypern: Επίτροπος Προστασίας Δεδομένων — dataprotection.gov.cy
• Malta: IDPC (Information and Data Protection Commissioner) — idpc.org.mt
• Estland: AKI (Andmekaitse Inspektsioon) — aki.ee
• Lettland: DVI (Datu Valsts Inspekcija) — dvi.gov.lv
• Litauen: VDAI (Valstybinė Duomenų Apsaugos Inspekcija) — vdai.lrv.lt

Europäischer Wirtschaftsraum (EWR, 3 Nicht-EU-Staaten)

• Norwegen: Datatilsynet — datatilsynet.no
• Island: Persónuvernd — personuvernd.is
• Liechtenstein: DSS (Datenschutzstelle) — datenschutzstelle.li

Schweiz

• EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) — edoeb.admin.ch

Vereinigtes Königreich (UK nach dem Brexit)

• ICO (Information Commissioner's Office) — ico.org.uk

9. Sicherheit

Die Daten sind durch Row Level Security (RLS) auf Supabase geschützt: jede Nutzerin und jeder Nutzer greift ausschliesslich auf eigene Daten zu. Die Kommunikation erfolgt über HTTPS/TLS.

Meldung von Verletzungen des Schutzes personenbezogener Daten (Data Breach): Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten des Nutzers mit sich bringt, wird Turnix die zuständige Aufsichtsbehörde des Wohnsitzlandes des Nutzers innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung benachrichtigen, gemäss Art. 33 DSGVO / UK GDPR und Art. 24 nDSG. Sofern die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Nutzer darstellt (Art. 34 DSGVO), wird Turnix die Verletzung den Nutzern unverzüglich direkt mitteilen, in klarer und einfacher Sprache, unter Angabe von: Art der Verletzung, betroffene Daten und Kategorien, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Massnahmen zur Eindämmung der Auswirkungen, Kontaktstelle info@turnix.ch.

10. Änderungen

Wesentliche Änderungen werden über die App mitgeteilt. Die fortgesetzte Nutzung der App nach der Mitteilung gilt als Annahme.