Datenschutzerklärung
Diese Datenschutzerklärung beschreibt, welche Personendaten beim Besuch und der Nutzung von Skim bearbeitet werden und wer dafür verantwortlich ist. Sie folgt dem revidierten Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) sowie der EU-Datenschutz-Grundverordnung (DSGVO) für Besucherinnen und Besucher aus dem EWR.
Verantwortliche
Verantwortlich für die Bearbeitung der Personendaten gemäss revDSG Art. 5 lit. j und DSGVO Art. 4 Ziff. 7 ist: required gmbh Stadthofstrasse 3 6004 Luzern Schweiz
Welche Daten wir bearbeiten
Wir bearbeiten ausschliesslich Daten, die für den Betrieb von Skim notwendig sind: Anmeldedaten der Administratorinnen und Administratoren (E-Mail-Adresse, Passwort-Hash, Sessions), API-Token (ausschliesslich als SHA-256-Hash gespeichert — niemals im Klartext), Nutzungsdaten je Token (Anzahl Anfragen, verbrauchte LLM-Tokens, geschätzte Kosten, Zeitstempel, Modell) sowie die für eine Zusammenfassung übermittelten Inhalte (URLs bzw. eingefügter Text inklusive der daraus extrahierten Artikeltexte). Wir bearbeiten keine besonders schützenswerten Personendaten im Sinne von revDSG Art. 5 lit. c bzw. DSGVO Art. 9.
Zwecke der Bearbeitung
Die Bearbeitung erfolgt zur Erbringung der Dienstleistung (Generierung von Zusammenfassungen), zur Authentifizierung und Sitzungsverwaltung, zur Nutzungsabrechnung je Token (Kontingente und Kostenüberblick), zur Sicherstellung der Betriebssicherheit (Schutz vor Missbrauch, Rate-Limiting wo aktiv) sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten.
Rechtsgrundlagen
Soweit die DSGVO anwendbar ist, stützen wir die Bearbeitung auf die Vertragserfüllung (DSGVO Art. 6 Abs. 1 lit. b) sowie auf unsere berechtigten Interessen am sicheren Betrieb des Dienstes (DSGVO Art. 6 Abs. 1 lit. f). Im Geltungsbereich des revDSG erfolgt die Bearbeitung auf vertraglicher Grundlage und unter Wahrung der Grundsätze von Treu und Glauben, Zweckbindung und Verhältnismässigkeit (revDSG Art. 6).
Auftragsverarbeiter
Vercel
Skim wird auf der Infrastruktur von Vercel Inc. (USA) betrieben. Vercel verarbeitet HTTP-Anfragedaten (IP-Adresse, HTTP-Header, Anfrage- und Antwortinhalte) sowie betriebsbedingte Logs und Metriken. Die Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs, Modul 2 — Verantwortlicher zu Auftragsverarbeiter) im Rahmen des Vercel-Auftragsverarbeitungsvertrags (DPA, https://vercel.com/legal/dpa).
Turso
Die persistente Datenhaltung erfolgt über Turso (libSQL). Die Datenbank wird in der EU-Region aws-eu-west-1 (Irland) betrieben; es findet folglich keine Drittlandübermittlung für die ruhenden Daten statt. Turso bearbeitet im Auftrag die in dieser Erklärung beschriebenen Datenkategorien (Admin-Konten, gehashte API-Token, Nutzungsaufzeichnungen, gespeicherte Zusammenfassungen). Ein Auftragsverarbeitungsvertrag mit Turso kann über die Account-Einstellungen abgeschlossen werden und ist Teil des Pre-Produktions-Deploys.
Anthropic
Die KI-gestützte Erzeugung der Zusammenfassungen erfolgt durch Anthropic (USA). Übermittelt werden ausschliesslich die für die Zusammenfassung benötigten Inhalte — also der eingefügte Text bzw. der aus einer URL extrahierte Artikeltext — sowie der serverseitig festgelegte System-Prompt. Anthropic erhält keine Konto- oder Token-Daten der Nutzenden. Die Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln gemäss DSGVO Art. 46. Nach den aktuellen Standardbedingungen der kommerziellen Anthropic-API werden API-Logs maximal 7 Tage aufbewahrt und Eingaben/Ausgaben werden nicht für das Modelltraining verwendet (Stand 2026-05-28). Ein Auftragsverarbeitungsvertrag (DPA) gemäss den Commercial Terms of Service wird vor dem Produktiv-Deploy abgeschlossen.
Drittlandtransfer
Übermittlungen in die USA (Vercel, Anthropic) erfolgen auf Grundlage der EU-Standardvertragsklauseln (DSGVO Art. 46 Abs. 2 lit. c). Für ruhende Daten in der Turso-Datenbank findet kein Drittlandtransfer statt (EU-Region Irland).
Speicherdauer
Admin-Konten und die zugehörigen Sessions werden so lange aufbewahrt, wie ein Konto aktiv ist. Token-Hashes und Nutzungsaufzeichnungen verbleiben so lange in der Datenbank, wie sie für die Abrechnung und für betriebliche Auswertungen benötigt werden. Generierte Zusammenfassungen werden anhand eines Eingabe-Hashes gecached, um wiederholte Anfragen ohne erneute LLM-Verarbeitung zu beantworten. Anthropic bewahrt API-Logs gemäss seinen Standardbedingungen maximal 7 Tage auf. Vercel-Logs werden gemäss der Vercel-Logaufbewahrung gehalten.
Rechte der betroffenen Personen
Unter dem revDSG (Art. 25 ff.) und der DSGVO stehen Ihnen folgende Rechte zu: Auskunft über die zu Ihrer Person bearbeiteten Daten, Berichtigung unrichtiger Daten, Löschung (Recht auf Vergessenwerden, soweit gesetzlich anwendbar), Einschränkung der Bearbeitung, Datenübertragbarkeit sowie Widerspruch gegen eine auf berechtigten Interessen gestützte Bearbeitung. Für die Ausübung dieser Rechte genügt eine formlose Nachricht an die unten genannte Kontaktadresse.
Cookies und lokaler Speicher
Skim verwendet ausschliesslich technisch notwendige funktionale Cookies und einen Eintrag im lokalen Browser-Speicher. Es werden weder Analyse- noch Marketing- noch Tracking-Cookies gesetzt; es wird kein Einwilligungs-Banner angezeigt. Dieser Abschnitt wird überarbeitet, bevor allfällige nicht zwingend erforderliche Cookies eingeführt werden.
- Better Auth Session-Cookie: hält die angemeldete Admin-Sitzung aufrecht und wird mit dem Abmelden bzw. dem Sitzungsablauf gelöscht.
- next-intl Locale-Cookie: speichert die zuletzt gewählte Sprache (de oder en), damit diese bei der nächsten Anfrage wieder angewendet wird.
- next-themes Speicher (im lokalen Browser-Speicher, kein Cookie): speichert die bevorzugte Farbgebung (hell, dunkel oder System).
Kontakt
Bei Fragen zu dieser Datenschutzerklärung oder zur Bearbeitung Ihrer Personendaten erreichen Sie uns per E-Mail unter team@required.com.