Datenschutzerklärung — Schweiz
Letzte Aktualisierung: 11. Mai 2026Diese Erklärung beschreibt, wie Paak personenbezogene Daten erhebt, verwendet und schützt, die im Rahmen der Website paak.club und der Anwendung Paak verarbeitet werden — für Nutzerinnen, Nutzer und Vereine mit Sitz in der Schweiz. Sie ist konform mit dem revidierten Bundesgesetz über den Datenschutz (nDSG / FADP, SR 235.1), in Kraft seit dem 1. September 2023, und mit der EU-Datenschutz-Grundverordnung (DSGVO), soweit diese anwendbar ist.
1. Verantwortliche Stelle
Emmara by Cyrille Barraud, schweizerische Einzelunternehmung (UID CHE-309.503.616), St. Alban-Anlage 25, 4052 Basel, Schweiz.
Kontakt für alle Fragen zum Datenschutz: contact@paak.club.
2. Unterscheidung: Website-Besucher, App-Nutzer, Vereinsmitglieder
Wir unterscheiden drei Konstellationen:
- Besucher von paak.club — Sie besuchen unsere öffentlichen Seiten oder füllen ein Kontaktformular aus. Die Sie betreffenden Daten werden von Paak als Verantwortlicher verarbeitet.
- Anwendungsnutzer Paak (Vereinsleitung, Trainer, Vereinsstaff) — Sie haben ein Konto erstellt und verwalten einen Verein. Die Daten Ihres Kontos werden von Paak als Verantwortlicher verarbeitet.
- Mitglieder der in Paak verwalteten Vereine (Mitglieder, Eltern, Minderjährige) — Ihre Daten werden vom Verein erfasst, der Sie eingetragen hat. In diesem Fall ist der Verein verantwortlich, und Paak handelt als Auftragsbearbeiter im Sinne von Art. 9 nDSG (und Art. 28 DSGVO). Für die Wahrnehmung Ihrer Rechte wenden Sie sich zuerst an Ihren Verein.
3. Erhobene Daten
3.1 Besucher der Website paak.club
- Kontaktformular / Warteliste — Vorname, Name, E-Mail, deklarierte Rolle, Verein. Rechtsgrundlage: Einwilligung (Art. 6 §6 nDSG; Art. 6 §1 a DSGVO).
- Technische Daten — gekürzte IP-Adresse, Browsertyp, besuchte Seiten — über unsere selbst gehostete Matomo-Instanz. Nur wenn Sie Analyse-Cookies akzeptieren (siehe Cookie-Richtlinie).
3.2 Anwendungsnutzer (Admin- / Staff-Konto)
- Authentifizierungsdaten (E-Mail, Hanko-Session-Token), Vor- und Nachname, Rolle im Verein.
- Abrechnungsdaten bei kostenpflichtigem Plan (Rechnungs-E-Mail und -Name, Transaktionshistorie).
- Minimal erforderliche technische Spuren für Betrieb und Sicherheit (Zugriffsprotokolle, Login-Historie, fehlgeschlagene Versuche).
3.3 Vom Verein in der Anwendung verwaltete Daten
Vereine erfassen in Paak die für ihre Vereinsführung erforderlichen Daten: Kontaktdaten der Mitglieder, Verbandslizenzen, Beiträge, Trainerteam, Anwesenheit, Material. Paak hostet und sichert diese Daten im Auftrag des Vereins, ohne deren Inhalt für eigene Zwecke zu verwenden.
3.4 Besonders schützenswerte Daten — Gesundheit / Verletzungen (Art. 5 lit. c nDSG)
Wenn der Verein gesundheitsbezogene Informationen einer Athletin oder eines Athleten erfasst (Arztzeugnis, Verletzungsnotizen, Notfallkontakt, schwere Allergien), gelten diese Daten als besonders schützenswerte Daten im Sinne von Art. 5 lit. c nDSG. Ihre Bearbeitung erfordert eine ausdrückliche Einwilligung des volljährigen Mitglieds — oder bei Minderjährigen der gesetzlichen Vertretung (Art. 6 §7 nDSG). Paak stellt dem Verein die Oberfläche zur Einwilligungserfassung bereit; die materielle Rechtsgrundlage bleibt beim Verein als Verantwortlichem.
Ein gescanntes Arztzeugnis ist in Paak nicht zwingend: standardmässig wird nur das Ablaufdatum gespeichert. Lädt der Verein dennoch einen Scan hoch, ist der Zugriff auf Vereinsadministratoren beschränkt; das Dokument erscheint in keinem öffentlichen Export.
3.5 Besonders schützenswerte Daten — Strafregisterauszüge für Betreuungspersonen
Bei der Prüfung der Eignung von Betreuungspersonen (Trainer, Staff) erfasst Paak ausschliesslich die Auszugsnummer und das Ablaufdatum. Es wird kein Scan oder Foto des Sonderprivatauszugs (Art. 371a StGB, in Kraft seit dem 1. Januar 2015) gespeichert. Die physische Prüfung des Dokuments findet ausserhalb der Plattform statt und folgt dem Ethik-Statut von Swiss Olympic.
4. Zwecke der Bearbeitung
- Bereitstellung der Paak-Dienste und Support.
- Abwicklung der Mitgliederzahlungen und Rechnungsstellung (Mollie, Niederlande).
- Versand operativer Kommunikation (Anmeldebestätigungen, Zahlungserinnerungen, Sicherheitswarnungen).
- Produktverbesserung anhand aggregierter Statistik (nur mit Cookie-Einwilligung).
- Erfüllung gesetzlicher Pflichten (Buchhaltungspflichten gemäss Art. 958f OR, behördliche Anfragen).
5. Rechtfertigungsgründe (nDSG) / Rechtsgrundlagen (DSGVO)
- Vertragserfüllung (Art. 31 §2 lit. a nDSG; Art. 6 §1 b DSGVO) — Nutzerkonten, Rechnungsstellung, Dienstebetrieb.
- Einwilligung (Art. 6 §6 und §7 nDSG; Art. 6 §1 a DSGVO) — Analyse-Cookies, freiwillige Kontaktformulare, Marketing-Kommunikation, Bearbeitung besonders schützenswerter Daten.
- Berechtigtes Interesse (Art. 31 §2 lit. d nDSG; Art. 6 §1 f DSGVO) — Sicherheit des Dienstes, Betrugsprävention, funktionale Verbesserung.
- Gesetzliche Verpflichtung (Art. 31 §2 lit. c nDSG; Art. 6 §1 c DSGVO) — Schweizer Buchhaltung (Art. 958f OR, 10 Jahre), Behördenauskünfte.
6. Auftragsbearbeiter und Empfänger
Wir setzen ausschliesslich europäische Auftragsbearbeiter ein. Keine Daten verlassen die Europäische Union oder die Schweiz. Die EU steht in Anhang 1 der DSV (SR 235.11) als Land mit angemessenem Datenschutzniveau im Sinne des nDSG.
| Anbieter | Rolle | Land |
|---|---|---|
| OVHcloud | Hosting der Anwendung und der Datenbank | Frankreich (EU) |
| Hanko | Authentifizierung (Passkeys, Sitzungen) | Deutschland (EU) |
| Mollie | Online-Zahlungen (Beiträge, Material, Abonnements; TWINT unterstützt) | Niederlande (EU) |
| Brevo (vormals Sendinblue) | Transaktions-E-Mails und Newsletter | Frankreich (EU) |
| Matomo (selbst gehostet) | Reichweitenmessung — auf unserem eigenen OVH-Server | Frankreich (EU) |
Mit jedem dieser Anbieter besteht ein Auftragsbearbeitungsvertrag (DPA, Art. 9 nDSG / Art. 28 DSGVO). Die Übersicht über die DPAs und deren Reichweite für den Schweizer Kontext ist in unserem internen Dossier dokumentiert (siehe NLPD-COMPLIANCE.md §3 — Vendor DPA Matrix).
7. Aufbewahrungsdauer
- Nutzerkonto — für die Dauer der Nutzung, anschliessend bis 90 Tage nach Kündigung bis zur endgültigen Löschung.
- Abrechnungsdaten — 10 Jahre (Schweizer Buchführungspflicht, Art. 958f OR).
- Wartelisten und Kontaktanfragen — bis zu 2 Jahre nach dem letzten Austausch, sofern keine Abmeldung erfolgt.
- Gesundheitsdaten / Arztzeugnis — Mitgliedschaftsdauer + 12 Monate (Versicherungs-Anfechtungsfenster), anschliessend endgültige Löschung.
- Vom Verein verwaltete Mitgliederdaten — gemäss Vereinsrichtlinie. Löschanträge laufen über den Verein.
- Technische Sicherheitsprotokolle — maximal 12 Monate.
8. Ihre Rechte (Art. 25-27 nDSG)
Gemäss nDSG und DSGVO haben Sie folgende Rechte:
- Auskunftsrecht (Art. 25 nDSG) — Kopie Ihrer Daten erhalten.
- Berichtigung (Art. 32 nDSG) — unrichtige oder unvollständige Daten korrigieren.
- Löschung — Löschung Ihrer Daten verlangen (vorbehaltlich gesetzlicher Pflichten).
- Einschränkung — eine bestrittene Bearbeitung temporär aussetzen.
- Widerspruch — eine auf berechtigtem Interesse oder Marketing gestützte Bearbeitung ablehnen.
- Datenübertragbarkeit (Art. 28 nDSG) — Ihre Daten in strukturiertem, maschinenlesbarem Format erhalten.
- Widerruf der Einwilligung jederzeit, ohne Rückwirkung.
Für Rechte an Daten, die Ihr Verein verwaltet, wenden Sie sich zuerst an Ihren Verein (Paak handelt dann als Auftragsbearbeiter). Für Daten, die wir als Verantwortlicher bearbeiten (Website, Admin-Konto, Rechnungsstellung), schreiben Sie an contact@paak.club. Wir antworten innerhalb von höchstens 30 Tagen gemäss Art. 25 §7 nDSG.
9. Aufsichtsbehörde
Zuständig ist in der Schweiz der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB / FDPIC), Feldeggweg 1, 3003 Bern — edoeb.admin.ch.
Datenschutzverletzungen können über das Portal edoeb.admin.ch/de/databreach-2 gemeldet werden. Gemäss Art. 24 nDSG meldet Paak Verletzungen, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder Grundrechte einer betroffenen Person führen, „so rasch als möglich" an den EDÖB.
Mit Wohnsitz in der EU können Sie zusätzlich Ihre nationale Aufsichtsbehörde anrufen (BfDI in Deutschland, DSB in Österreich, CNIL in Frankreich, GBA/APD in Belgien etc.).
10. Sicherheit
Daten werden bei der Übertragung verschlüsselt (TLS 1.2+). Die Authentifizierung nutzt ausschliesslich Passkeys (Hanko, ohne Passwort). Datenbank-Sicherungen sind im Ruhezustand verschlüsselt. Administrative Zugriffe sind protokolliert und durch verstärkte Authentifizierung geschützt. Unsere Multi-Tenant-Architektur isoliert die Daten jedes Vereins strikt auf Ebene der Datenbankabfragen (eigene Testabdeckung — IDOR / Cross-Tenant).
11. Internationale Übermittlungen
Keine Übermittlung in Drittländer findet statt. Die gesamte Infrastruktur ist in der Europäischen Union gehostet und sämtliche Auftragsbearbeiter sind in der EU ansässig. Zwischen der Schweiz und der EU besteht eine gegenseitige Angemessenheitsentscheidung, die in beide Richtungen ein gleichwertiges Schutzniveau garantiert.
12. Änderungen dieser Erklärung
Wir können diese Erklärung anpassen, um rechtliche oder technische Entwicklungen abzubilden. Das Datum der letzten Aktualisierung steht oben. Wesentliche Änderungen werden aktiven Nutzerinnen und Nutzern per E-Mail mitgeteilt.