Zum Hauptinhalt springen
← LokBox

Datenschutzerklärung

Stand: 13. Juni 2026

Pilot-Baseline; juristische Prüfung ausstehend.

1. Einleitung und Verantwortlicher

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten durch LokBox gemäss dem Schweizer Datenschutzgesetz (revDSG) und, soweit anwendbar, der EU-Datenschutz-Grundverordnung (DSGVO). LokBox ist ein Angebot von bubloo, Kubilé (Einzelunternehmen), Inhaberin Ernesta Kubilé. Verantwortlich für die Datenverarbeitung: bubloo, Kubilé, Lischenweg 7, 4915 St. Urban, Schweiz (UID: CHE-190.821.402). E-Mail: info@lokbox.ch / privacy@lokbox.ch.

2. Welche Daten wir verarbeiten

Wir verarbeiten personenbezogene Daten, die im Rahmen deiner Nutzung unserer Plattform anfallen: (1) Kontodaten: E-Mail-Adresse, Name (optional), bcrypt-Passworthash und Bestätigungsstatus deines Kontos. (2) Mandantendaten (Dossiers): Vom Kunden erfasste Stammdaten seiner Mandanten (Name, juristischer Name, UID, Adresse, Kanton, Kontaktpersonen, E-Mail-Adressen, Telefonnummern und spezifische Arbeitsanweisungen). (3) Aufgabendaten & Prompts: Eingegebene Arbeitsanweisungen, Ausführungsschritte des Agenten (Klicks, Navigationspfade, Fehlermeldungen), temporäre Screenshots und DOM-Auszüge zur visuellen Steuerung sowie die generierten Resultate. (4) Hochgeladene Dokumente: Vom Nutzer zur Aufgabenbearbeitung bereitgestellte Dateien (z. B. PDF-Rechnungen, Belege). (5) Zahlungsdaten: Transaktionsdaten über Stripe (Betrag, Währung, Status, Rechnungsadresse); Kreditkartendaten werden direkt von Stripe (PCI-DSS Level 1 zertifiziert) verarbeitet und liegen nie auf unseren Servern. (6) Nutzungs- & Protokolldaten: IP-Adressen, Session-Tokens, Zugriffszeiten, Logdateien der Webserver und der Agenten-Laufzeiten.

3. Zweck der Verarbeitung

Die Datenverarbeitung dient folgenden Zwecken: Vertragserfüllung (Bereitstellung, Steuerung und Durchführung des KI-Agenten-Browsers); Abrechnung der Dienste (Credits, Overage) und Zahlungsabwicklung; Kundendienst, Support und Behebung technischer Fehler; Sicherheit des Dienstes (Betrugsprävention, Missbrauchserkennung); Einhaltung gesetzlicher Aufbewahrungspflichten (Buchhaltungspflicht gemäss Schweizerischem Obligationenrecht OR Art. 958f).

4. Rechtsgrundlage (DSGVO)

Soweit die DSGVO anwendbar ist, basiert die Verarbeitung auf: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Bereitstellung des Dienstes; rechtlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) für Buchhaltungs- und Aufbewahrungspflichten; berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) für die Sicherheit der Plattform und die Fehlerüberwachung; Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bei der Anbindung optionaler Integrationen (Google, Notion OAuth).

5. Auftragsverarbeiter (Subprozessoren) und Standorte

Wir nutzen folgende Partner zur Bereitstellung unserer Infrastruktur: Hetzner Online GmbH (Deutschland, EU) — Frontend-Hosting (Next.js-Laufzeit + Caddy-Reverse-Proxy) und Agent-Backend-Infrastruktur (Browser-Automatisierung); alle Server befinden sich in Deutschland (Falkenstein/fsn1). Supabase, Inc. (EU-Rechenzentrum Frankfurt, Deutschland) — Postgres-Datenbank, Authentifizierung und geschützter Objektspeicher (Bucket für Aufgabenaufzeichnungen). Amazon Web Services EMEA SARL (Luxemburg/EU) — Bedrock-Inferenzplattform; führt die KI-Verarbeitung (Anthropic Claude Sonnet 4.6) ausschliesslich in EU-Rechenzentren (eu-central-1, Frankfurt) mit einer technischen Kontrollsperre (fail-loud EU-Residenz-Guard) aus; die Daten im Inferenzpfad verlassen die EU nicht; keine Datenspeicherung durch Anthropic. Google Cloud Vertex AI (Niederlande/EU) — Resolver- und Antwortsynthese (Gemini-Modelle) innerhalb der EU. Stripe Payments Europe, Ltd. (Irland/EU) — Zahlungsabwicklung. Resend, Inc. (EU-Region) — Versand von System- und Bestätigungs-E-Mails. Sentry (Functional Software, Inc., EU-Region) — serverseitige Fehlerüberwachung (ingest.de.sentry.io; ohne Übertragung personenbezogener Daten aus dem Client-Browser).

6. Datenübertragung in Drittstaaten

Datenbanken und Inferenzsysteme werden ausschliesslich in der Europäischen Union (Deutschland, Irland, Niederlande) betrieben. Bei der Autorisierung optionaler Integrationen (Google Workspace, Notion) werden Daten an diese Dienste (ggf. in die USA) übertragen, um die von dir initiierten Aktionen auszuführen; der Schutz wird durch Standardvertragsklauseln sichergestellt. Es besteht keine generelle Speicherung in Drittstaaten ohne vertragliche Garantien. Wir weisen darauf hin, dass wir keine Schweizer Datenresidenz garantieren; die Speicherung erfolgt in Deutschland/EU.

7. Datensicherheit und Isolation

Workspace-Isolation: Jedes Kundenkonto ist strikt isoliert; Mandanten-Mappen und Aufgabenverläufe sind auf Datenbankebene getrennt. Zugangsdaten-Schutz: OAuth-Tokens und API-Schlüssel werden per AES-256-GCM anwendungsseitig verschlüsselt gespeichert; über den Live-Stream eingegebene Passwörter oder 2FA-Codes werden bei der Übertragung verschlüsselt und nicht dauerhaft von LokBox gespeichert. Modell-Training: Wir verwenden deine Daten niemals zum Training von KI-Modellen Dritter. PII-Schwärzung: Ein System zur automatischen Schwärzung personenbezogener Daten (PII-Redaktion) befindet sich derzeit in der Einführung (Testphase) und ist noch nicht standardmässig aktiv.

8. Speicherdauer

Nutzungsdaten & Aufzeichnungen: werden standardmässig nach 30 Tagen gelöscht (oder gemäss den Einstellungen deines Workspaces). Abrechnungsdaten: werden gemäss OR Art. 958f für 10 Jahre aufbewahrt. Kontodaten: werden nach Löschung des Kontos innerhalb von 30 Tagen endgültig entfernt.

9. Deine Rechte und Beschwerdestelle

Du hast das Recht auf Auskunft, Berichtigung, Löschung (Sperrung), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Zur Ausübung deiner Rechte wende dich bitte an privacy@lokbox.ch. Du hast zudem das Recht, dich bei einer Aufsichtsbehörde zu beschweren: in der Schweiz beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Bern; in der EU bei der zuständigen Datenschutzbehörde deines Wohnsitzstaates.

10. Cookies

Wir verwenden ausschliesslich technisch notwendige Sitzungs-Cookies zur Authentifizierung und zum CSRF-Schutz (lokbox_session und lokbox_csrf). Keine Werbe-, Marketing- oder Analyse-Cookies. Ein Cookie-Banner ist daher gesetzlich nicht erforderlich.

info@lokbox.ch · +41 78 845 84 66
Lischenweg 7, 4915 St. Urban (Kanton Luzern), Schweiz