Datenschutzerklärung
Version 1.1 – Stand: Mai 2026
Diese Datenschutzerklärung informiert Sie darüber, wie wir Ihre personenbezogenen Daten bei der Nutzung von Mietlupe (mietlupe.ch) bearbeiten. Sie gilt im Sinne des revidierten Schweizer Datenschutzgesetzes (revDSG) und – soweit anwendbar – der EU-Datenschutz-Grundverordnung (DSGVO).
1. Verantwortliche Stelle
Verantwortlich für die Datenbearbeitung im Sinne von Art. 5 lit. j revDSG ist:
Jonas Bahlmann
Via Marcau 6
7031 Laax
Schweiz
E-Mail: kontakt@mietlupe.ch
Für Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie sich jederzeit per E-Mail an die obenstehende Adresse wenden.
2. Welche Daten wir bearbeiten
2.1 Hochgeladene Dokumente
Wenn Sie eine Nebenkostenabrechnung hochladen, wird das PDF kurzzeitig zur Analyse verarbeitet. Solche Dokumente können personenbezogene Daten enthalten, insbesondere:
- Namen und Adressen von Mieter und Vermieter
- Adresse des Mietobjekts
- Mieternummer oder Vertragsreferenz
- Kostenpositionen und Beträge
- Abrechnungsperiode
2.2 Dauerhaft gespeicherte Daten
Aus der Abrechnung werden ausschliesslich folgende sachbezogene Daten dauerhaft in unserer Datenbank gespeichert:
- Bezeichnung der Kostenposition (in anonymisierter Form)
- Betrag in CHF
- Kategorie (z.B. «Heizung», «Verwaltung», «Hauswart»)
- Algorithmische Bewertung (grün/gelb/rot)
- Kurze Begründung und Rechtsgrundlage
- Abrechnungsperiode und Gesamtsumme
Personennamen, Adressen, Mieternummern, Bankverbindungen und ähnliche Identifikationsmerkmale werden nicht dauerhaft gespeichert. Die hochgeladene PDF wird nach Abschluss der Analyse umgehend und automatisiert gelöscht.
2.3 Technische Daten
Beim Aufruf der Website werden – wie technisch üblich – Verbindungsdaten verarbeitet (IP-Adresse, Browsertyp, Betriebssystem, Zugriffszeitpunkt, Referrer). Diese Daten dienen ausschliesslich der Sicherheit, Stabilität und Missbrauchsvermeidung.
2.4 Einwilligungsdaten
Bei der Nutzung des Upload-Dienstes wird Ihre Zustimmung zu diesen AGB und zu dieser Datenschutzerklärung mit Zeitstempel und Versionsnummer dokumentiert. Diese Dokumentation dient ausschliesslich dem Nachweis der erteilten Einwilligung.
3. Zwecke der Bearbeitung
Wir bearbeiten Ihre Daten zu folgenden Zwecken:
- Diensterbringung: Durchführung der Analyse und Bereitstellung der Ergebnisse
- Sicherheit und Missbrauchsvermeidung: Schutz des Dienstes vor Angriffen und Missbrauch
- Nachweispflichten: Dokumentation der erteilten Einwilligungen
- Weiterentwicklung: anonymisierte und aggregierte Auswertung zur Verbesserung des Dienstes
4. Rechtsgrundlagen
Die Datenbearbeitung erfolgt insbesondere auf folgenden Grundlagen:
- Vertragserfüllung bzw. Diensterbringung: für die Bereitstellung der von Ihnen aktiv angeforderten Analyse
- Einwilligung (Art. 6 Abs. 6 revDSG): insbesondere für die Übermittlung an Drittanbieter (vgl. Ziff. 5 und 6)
- Berechtigte Interessen: für Sicherheit, Stabilität und Missbrauchsvermeidung sowie zur Weiterentwicklung des Dienstes
5. Auftragsbearbeiter
Wir setzen folgende Auftragsbearbeiter zur Erbringung des Dienstes ein:
5.1 Supabase Inc.
- Funktion: Datenbank (PostgreSQL) und temporäre Datei-Speicherung (Storage-Bucket)
- Standort der Daten: Region Zürich, Schweiz
- Vertragliche Grundlage: Auftragsbearbeitungsvertrag (Data Processing Agreement) gemäss den Bedingungen von Supabase
5.2 Anthropic, PBC
- Funktion: KI-gestützte Analyse der hochgeladenen Abrechnung (Claude API)
- Standort: USA
- Datenexport: Die hochgeladene PDF wird zur Analyse an Anthropic in die USA übermittelt. Anthropic ist nicht unter dem Swiss-US Data Privacy Framework zertifiziert. Der Datentransfer erfolgt daher auf Grundlage der Standardvertragsklauseln (SCC) der EU-Kommission, die vom EDÖB für Datentransfers aus der Schweiz anerkannt sind, ergänzt durch das Anthropic Data Processing Addendum. Anthropic verfügt über die Zertifizierungen ISO 27001:2022, ISO/IEC 42001:2023 und SOC 2 Type II. Anthropic verwendet API-Daten gemäss eigenen Geschäftsbedingungen nicht für das Training ihrer Modelle.
- Vertragliche Grundlage: Data Processing Addendum von Anthropic
5.3 Vercel Inc.
- Funktion: Hosting der Webanwendung
- Standort: USA bzw. globales Edge-Netzwerk
- Vertragliche Grundlage: Data Processing Agreement gemäss den Bedingungen von Vercel
5.4 Cloudflare, Inc.
- Funktion: Schutz vor automatisierten Anfragen und Missbrauch (Cloudflare Turnstile)
- Standort: USA bzw. globales Edge-Netzwerk
- Verarbeitete Daten: IP-Adresse, technische Browser-Informationen, ein technisch notwendiges Cookie (
__cf_bm, max. 30 Min.) zur Bot-Erkennung. Keine Profilbildung, kein Tracking. - Vertragliche Grundlage: Cloudflare Data Processing Addendum, Zertifizierung unter dem Swiss-US Data Privacy Framework
5.5 Upstash, Inc.
- Funktion: Rate Limiting (Redis-basierte Zählerführung pro IP)
- Standort der Daten: Frankfurt am Main, Deutschland (EU)
- Verarbeitete Daten: IP-Adresse mit Zeitstempel, Aufbewahrung max. 24 Stunden
- Vertragliche Grundlage: Data Processing Agreement gemäss den Bedingungen von Upstash. Da der Serverstandort in der EU liegt, gilt ein angemessenes Datenschutzniveau.
6. Datenexport in Drittländer
Bei der Nutzung von Mietlupe werden Daten an Auftragsbearbeiter in den Vereinigten Staaten von Amerika übermittelt. Die USA verfügen aus Sicht des EDÖB nicht generell über ein angemessenes Datenschutzniveau. Wir setzen daher folgende Garantien ein:
- Anthropic, PBC (KI-Analyse): nicht DPF-zertifiziert. Datentransfer auf Grundlage der Standardvertragsklauseln (SCC) der EU-Kommission, vom EDÖB für die Schweiz anerkannt, ergänzt durch das Anthropic Data Processing Addendum.
- Cloudflare, Inc. (Bot-Schutz): unter dem Swiss-US Data Privacy Framework zertifiziert. Damit gilt ein vom EDÖB anerkanntes angemessenes Datenschutzniveau.
- Vercel, Inc. (Hosting): Datentransfer auf Grundlage der Standardvertragsklauseln (SCC) und des Vercel Data Processing Agreement.
Zusätzlich gelten technische und organisatorische Massnahmen zur Datenminimierung: Wir übermitteln nur die für die Erbringung des Dienstes erforderlichen Daten, und die hochgeladenen PDFs werden nach der Analyse umgehend automatisiert gelöscht.
Mit der Nutzung des Dienstes und der entsprechenden Bestätigung beim Upload willigen Sie ausdrücklich in diese Übermittlung ein.
7. Aufbewahrungsdauer
Die Aufbewahrungsdauer Ihrer Daten ist wie folgt:
| Datenkategorie | Aufbewahrung |
|---|---|
| Hochgeladene PDF | Automatische Löschung unmittelbar nach Analyse (i.d.R. Sekunden bis Minuten) |
| Extrahierte Positionen in der Datenbank | Bis zur Löschung auf Ihre Anfrage oder Wegfall des Zwecks |
| Technische Server-Logs | Maximal 90 Tage |
| Einwilligungsdokumentation | 3 Jahre nach letzter Nutzung |
8. Ihre Rechte
Nach revDSG (und ggf. DSGVO) stehen Ihnen folgende Rechte zu:
- Auskunft über die zu Ihrer Person bearbeiteten Daten
- Berichtigung unrichtiger Daten
- Löschung Ihrer Daten («Recht auf Vergessen»)
- Einschränkung der Bearbeitung
- Datenübertragbarkeit in einem gängigen, maschinenlesbaren Format
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
- Widerspruch gegen die Bearbeitung auf Basis berechtigter Interessen
- Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB, edoeb.admin.ch)
Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an kontakt@mietlupe.ch. Wir bitten um Verständnis, dass wir zur Verhinderung von Missbrauch ggf. Rückfragen zur Identitätsprüfung stellen.
9. Cookies und Tracking
Mietlupe selbst setzt keine Cookies und nutzt kein Tracking, keine Werbung und kein Analytics von Drittanbietern.
Der eingebundene Bot-Schutz-Dienst Cloudflare Turnstile (vgl. Ziff. 5.4) setzt ein technisch notwendiges Cookie (__cf_bm), das ausschliesslich der Bot-Erkennung dient und nach maximal 30 Minuten Inaktivität automatisch abläuft. Es findet keine Profilbildung und kein Tracking statt.
Sollten künftig weitere Cookies oder Analyse-Tools eingesetzt werden, werden Sie vorab informiert und – soweit erforderlich – um Ihre Einwilligung gebeten.
Sollte sich dies künftig ändern, werden Sie vorab informiert und – soweit erforderlich – um Ihre Einwilligung gebeten.
10. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Daten:
- HTTPS-Verschlüsselung für alle Datenübertragungen
- Verschlüsselte Speicherung in der Datenbank
- Privater Storage-Bucket mit Zugriffskontrolle
- Sofortige Löschung der hochgeladenen PDFs nach Verarbeitung
- Minimierung der dauerhaft gespeicherten Daten
Eine absolute Sicherheit ist bei der Übertragung über das Internet nicht möglich. Ein verbleibendes Restrisiko trägt der Nutzer.
11. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage ändert oder neue Funktionen eingeführt werden. Die jeweils aktuelle Fassung ist unter mietlupe.ch/datenschutz abrufbar.
12. Kontakt
Bei Fragen zum Datenschutz erreichen Sie uns unter:
E-Mail: kontakt@mietlupe.ch
Post: Jonas Bahlmann, Via Marcau 6, 7031 Laax, Schweiz