Datenschutzerklärung
Zuletzt aktualisiert: 2026-06-19
1. Verantwortlicher und räumlicher Geltungsbereich
Giacomo Cacciatore
E-Mail: info@turnix.ch
Für formelle postalische Anfragen kontaktieren Sie uns bitte per E-Mail, um die
Postanschrift des Verantwortlichen anzufordern; die Beantwortung von Datenschutzanfragen
erfolgt innerhalb von 30 Tagen ab Versand.
Mindestalter für die Nutzung: 18 Jahre (der Dienst richtet sich an volljährige Fachkräfte im Gesundheitswesen) oder, alternativ, das im Wohnsitzland des Nutzers festgelegte Mindestalter für die digitale Einwilligung (Art. 8 DSGVO: zwischen 13 und 16 Jahren je nach Mitgliedstaat) mit ausdrücklicher Genehmigung der erziehungsberechtigten Person. Für das Vereinigte Königreich gilt zusätzlich der UK Age Appropriate Design Code 2020 der ICO. Turnix erhebt oder verarbeitet wissentlich keine Daten von Minderjährigen ohne die gesetzlich vorgeschriebenen Genehmigungen; jede festgestellte rechtswidrige Verarbeitung wird umgehend gelöscht.
Turnix ist weltweit verfügbar. Wir wenden die DSGVO (Verordnung (EU) 2016/679) als Basisstandard für alle Nutzer an, unabhängig davon, in welchem Land sie sich befinden. In den folgenden Rechtsordnungen gewährleisten wir die vollständige Konformität mit dem jeweiligen lokalen Recht:
- Europäische Union (EU) und Europäischer Wirtschaftsraum (EWR): Verordnung (EU) 2016/679 (DSGVO).
- Vereinigtes Königreich: UK GDPR + Data Protection Act 2018.
- Schweiz: Bundesgesetz über den Datenschutz (revDSG/nDSG), in Kraft seit dem 1. September 2023, + Datenschutzverordnung (DSV).
Für Nutzer in anderen Ländern wenden wir den DSGVO-Standard als Mindestschutzniveau an und respektieren die nach dem anwendbaren lokalen Datenschutzrecht vorgesehenen Rechte. Diese Nutzer können sich an ihre eigene zuständige lokale Aufsichtsbehörde wenden (siehe §8).
Die Schweiz profitiert von einem EU-Angemessenheitsbeschluss (15. Januar 2024, Beschluss 2024/254 der Europäischen Kommission). Das Vereinigte Königreich profitiert von einem EU-Angemessenheitsbeschluss (28. Juni 2021, Beschluss 2021/1772).
2. Erhobene Daten
- E-Mail-Adresse (Registrierung und Authentifizierung über E-Mail und Passwort oder über Google Sign-In OAuth)
- Konto-Passwort (verschlüsselt auf Supabase Auth gespeichert, niemals im Klartext; NICHT anwendbar, wenn der Nutzer sich ausschliesslich über Google Sign-In anmeldet)
- In der App gewählter Identifikationsname
- Arbeitsschicht-Daten: Datum, ausgeschnittenes Bild der PDF-Zelle (visueller Sticker) und visueller Fingerabdruck pHash (perzeptueller Hash der Zelle) zur Erkennung gleicher oder geänderter Schichten. Die App interpretiert die Bedeutung der Zelle (Schichtcode, Farbe, Uhrzeiten) NICHT automatisch: Sie zeigt ausschliesslich das echte Bild des PDFs.
- Aus der Legende des PDFs extrahierte Uhrzeiten (sofern verfügbar) dienen ausschliesslich der lokalen Planung von Weckern/Erinnerungen.
- Cluster ähnlicher Zellen (pHash-Gruppierung) und manuell in den Statistiken eingetragene Nutzerklassifizierung „Arbeit/Ruhe".
- Google OAuth-Token: (a) wenn der Nutzer sich über Google Sign-In anmeldet (optionale Alternative zur Anmeldung mit E-Mail und Passwort), oder (b) wenn der Premium-Nutzer die Google Kalender Synchronisation verbindet. Die Token werden ausschliesslich auf dem Gerät (Hive box) gespeichert und niemals an Turnix-Server gesendet.
- Push-Token (Firebase Cloud Messaging) für den Empfang von Benachrichtigungen zur Team-Schichtverteilung.
- Temporäre PDF-Dateien während der Verarbeitung (werden nicht auf dem Consumer-Server gespeichert, sondern nur im team_archive für Team-Verteilungs-Uploads im Enterprise-Modus).
- Anonyme Diagnosedaten: Crash-Stack-Trace, App-Version, Gerätemodell, Betriebssystem (an Sentry gesendet zur Fehlerbehebung — keine personenbezogenen Daten).
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO / Art. 5 lit. c revDSG): Turnix erhebt KEINE biometrischen Daten, genetischen Daten, Daten zu religiösen-philosophischen-politischen-gewerkschaftlichen Meinungen, ethnischer/rassischer Herkunft, Sozial- oder Strafdaten. Die Arbeitsschichtdaten stellen ordentliche personenbezogene Daten dar.
Optionale Gesundheitsfunktionen — Daten NUR auf dem Gerät (local-only)
Turnix bietet drei optionale Gesundheitsfunktionen, die standardmässig deaktiviert sind und einzeln über eine separate ausdrückliche Einwilligung aktiviert werden können (Art. 9 Abs. 2 lit. a DSGVO / Art. 6 Abs. 7 lit. a revDSG). Die Daten dieser Funktionen sind Gesundheitsdaten (besondere Kategorie, Art. 9 DSGVO):
- Menstruationszyklus: Startdatum, Stärke des Flusses, geschätzte Dauer, freie Notiz, vorhergesagte Tage.
- Schlaf: Zubettgehzeit, Aufwachzeit, Schlafqualität (die Dauer wird berechnet, nicht gespeichert).
- Wohlbefinden: Stimmung, Symptome und Energie (ausgewählte Tags) sowie eine freie Notiz.
Die Daten dieser Funktion bleiben ausschließlich auf diesem Gerät: Sie werden nicht an unsere Server oder an Dritte gesendet. Sie werden nicht auf ein neues Telefon übertragen und gehen beim Deinstallieren der App verloren.
Sie sind at-rest auf dem Gerät verschlüsselt (AES, mit einem lokal im sicheren Keystore des Telefons erzeugten Schlüssel), von den automatischen Backups des Betriebssystems ausgeschlossen, nie in die Cloud synchronisiert und nie an Auftragsverarbeiter übermittelt. Sie können jede Funktion jederzeit deaktivieren: Das Deaktivieren löscht die zugehörigen Daten endgültig vom Gerät, ohne dass das Konto gelöscht werden muss.
Turnix ist kein Medizinprodukt: Die Daten dieser Funktion dienen nur zu Informations- und persönlichen Zwecken und ersetzen nicht den Rat eines Arztes.
Keine automatisierte Profilbildung: Turnix nimmt KEINE Profilbildung und keine automatisierten Entscheidungen über Ihre Daten im Sinne von Art. 22 DSGVO / UK GDPR / Art. 21 nDSG vor. Die visuelle Gruppierung von pHash-Clustern ist ein deterministischer Bildvergleich (Hash-Fingerabdruck der perzeptuellen Wahrnehmung der PDF-Zelle) und stellt weder eine Profilbildung noch eine automatisierte Bewertung persönlicher Aspekte des Nutzers dar. Die Cluster-Klassifizierung „Arbeit/Ruhe" wird stets manuell vom Nutzer in den Statistiken angegeben.
3. Zwecke und Rechtsgrundlage
Rechtsgrundlage gemäss DSGVO (EU + EWR) und UK GDPR:
- Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO / UK GDPR — Vertragserfüllung)
- Persistenz der visuellen pHash-Cluster zur Erkennung gleicher und geänderter Schichten zwischen verschiedenen Monaten (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO / UK GDPR)
- Abonnementverwaltung über RevenueCat (Vertragserfüllung)
- Optionale Authentifizierung über Google Sign-In (ausdrückliche Einwilligung, Art. 6 Abs. 1 lit. a DSGVO / UK GDPR) — Alternative zur Anmeldung mit E-Mail und Passwort. Der Nutzer kann frei wählen, welche Authentifizierungsmethode er verwendet. Google OAuth-Token werden ausschliesslich auf dem Gerät gespeichert, niemals an Turnix-Server gesendet.
- Optionale Synchronisation mit Google Kalender (ausdrückliche Einwilligung, Art. 6 Abs. 1 lit. a DSGVO / UK GDPR) — nur aktiviert, wenn ein Premium-Nutzer das eigene Google-Konto verbindet. Einwilligung jederzeit widerrufbar.
- Crash-Diagnose und App-Stabilität über Sentry (berechtigtes Interesse, anonyme Daten)
- Versand von Push-Benachrichtigungen zur Team-Schichtverteilung über Firebase Cloud Messaging (Vertragserfüllung, ausschliesslich Enterprise-Team-Modus)
- Optionale Gesundheitsfunktionen (Zyklus, Schlaf, Wohlbefinden): Verarbeitung ausschliesslich lokal auf dem Gerät auf der Grundlage der ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO / Art. 6 Abs. 7 lit. a revDSG), jederzeit widerrufbar durch Deaktivieren der Funktion (mit Löschung der Daten)
Rechtsgrundlage gemäss revDSG (Schweiz): Bearbeitung erforderlich zur Vertragserfüllung, zur Wahrung der berechtigten Interessen des Verantwortlichen und auf der Grundlage der ausdrücklichen Einwilligung des Nutzers für akzessorische Zwecke (Art. 31 revDSG).
4. Datenspeicherung
Die Daten werden gespeichert, solange das Konto aktiv ist. Nutzer können alle eigenen Daten jederzeit über Einstellungen → Alle Daten zurücksetzen löschen. Nach der Löschung werden die Daten innerhalb von 30 Tagen aus den Backups entfernt.
Spezifische Aufbewahrungsfristen pro Kategorie:
- E-Mail-Adresse des Kontos: gespeichert, solange das Konto aktiv ist. Löschung innerhalb von 30 Tagen nach Anfrage des Nutzers (Einstellungen → Alle Daten zurücksetzen) + vollständige Entfernung aus den Backups innerhalb der darauffolgenden 90 Tage (Grundsatz der Datenminimierung + Recht auf Vergessenwerden Art. 17 DSGVO / UK GDPR / Art. 32 nDSG).
- Zellen-Crop-Bilder (visuelle Sticker): automatische Löschung nach 365 Tagen (Grundsatz der Datenminimierung gemäss revDSG).
- Daten der Gesundheitsfunktionen (Zyklus, Schlaf, Wohlbefinden): nur auf dem Gerät gespeichert, solange die Funktion aktiv ist. Sofortige Löschung beim Deaktivieren der Funktion, über Einstellungen → Alle Daten zurücksetzen oder beim Deinstallieren der App. Sie befinden sich NIEMALS auf unseren Servern oder in Cloud-Backups.
- Google Kalender OAuth-Token: sofortige Löschung, sobald der Nutzer das Konto über Einstellungen → Google Kalender Synchronisation → Trennen entkoppelt. Der Nutzer kann den Zugriff zudem direkt über myaccount.google.com → Sicherheit → Apps mit Zugriff auf dein Konto widerrufen.
- Firebase Cloud Messaging Token: Löschung beim Logout oder Daten-Reset.
- Vom Vorgesetzten verteilte PDFs (Enterprise-Team-Modus): rollende FIFO-Aufbewahrung von maximal 6 Monaten.
- Sentry Diagnosedaten: 90 Tage Aufbewahrung auf Sentry-Servern in Frankfurt (EU).
5. Drittanbieter (Auftragsverarbeiter)
Supabase Inc. (Datenspeicherung, Authentifizierung) — Server in der Region: eu-west-1 (Irland, EU). DPA verfügbar unter supabase.com/privacy.
RevenueCat Inc. (Abonnementverwaltung) — Datenschutzerklärung: revenuecat.com/privacy. RevenueCat erhält lediglich eine anonyme Kennung des Kaufs, nicht die Schichtdaten.
Daten der Gesundheitsfunktionen (Zyklus, Schlaf, Wohlbefinden): kein Auftragsverarbeiter. Sie bleiben verschlüsselt auf dem Gerät und werden weder an Supabase noch an Dritte übermittelt.
Google LLC — Google Calendar API (optionale Premium-Funktion, nur aktiv, wenn der Premium-Nutzer sein eigenes Google-Konto verbindet). Die App verwendet zwei Scopes: „calendar.events" (CRUD auf den Ereignissen des primären Kalenders des Nutzers: Die App schreibt nur Ihre Ereignisse/Erinnerungen nach Google und liest die Ereignisse Ihres primären Kalenders) und „calendar.readonly" (nur Lesen, um die Ereignisse Ihrer anderen Google-Kalender in Turnix zu importieren — z. B. Geburtstage, Feiertage und benutzerdefinierte Kalender). Die Synchronisation betrifft ausschliesslich Schichten, Ereignisse und Erinnerungen: Daten der Gesundheitsfunktionen (Zyklus, Wohlbefinden, Schlaf) werden NIEMALS übermittelt. OAuth-Token werden ausschliesslich auf dem Gerät gespeichert (von Google Sign-In verwaltet), niemals an Turnix-Server übermittelt. Der Nutzer kann den Zugriff jederzeit über Einstellungen → Google Kalender Synchronisation → Trennen entkoppeln oder widerrufen, oder über myaccount.google.com → Sicherheit. Google erhält die Ereignisse (Datum, Uhrzeit, Cluster-Bezeichnung), aber KEINE sensiblen Daten (Name des Mitarbeiters, OCR-Schichtcode), konform mit dem Prinzip „Strada B Pura".
Google LLC — Firebase Cloud Messaging (FCM). Nur Enterprise-Team-Modus für den Empfang von Push-Benachrichtigungen, wenn der Vorgesetzte ein PDF verteilt. Der FCM-Token wird auf Supabase gespeichert (RLS aktiv, nur für das Cloud Run Backend zugänglich). Datenschutzerklärung: firebase.google.com/support/privacy.
Sentry (Functional Software Inc.) — Crash-Diagnose und Stabilität.
Server in der EU-Region: Sentry Frankfurt (ingest.de.sentry.io). Empfängt nur
Stack-Traces, App-Version, Gerätemodell und Betriebssystem. Das Flag
sendDefaultPii=false ist konfiguriert — ES WERDEN KEINE personenbezogenen
Daten (E-Mail, IP, Nutzerkennungen) übermittelt. Datenaufbewahrung 90 Tage.
Datenschutzerklärung:
sentry.io/privacy.
Es werden keine Schichtdaten zu Werbezwecken an Dritte verkauft oder weitergegeben.
5.1 Cookies und Tracking-Technologien
Konformität mit der ePrivacy-Richtlinie 2002/58/EG (in jedem EU/EWR-Mitgliedstaat umgesetzt, z. B. TTDSG § 25 DE — Telekommunikation-Telemedien-Datenschutz-Gesetz, d.lgs. 196/2003 Art. 122 IT, LIL Art. 82 FR, LSSI-CE Art. 22 ES) + UK Privacy and Electronic Communications Regulations (PECR) 2003 + nDSG Art. 45c CH.
Mobile App Turnix: Verwendet KEINE HTTP-Cookies (native Apps haben keine Browser-Cookies). Lokaler Speicher wird ausschliesslich verwendet für:
- Lokale Hive-Boxes (Nutzereinstellungen, Sprach-Locale, Cache der pHash-Cluster, Google-OAuth-Token wenn Premium aktiviert): Diese sind keine Cookies und nicht für Dritte zugänglich.
- SharedPreferences Android / NSUserDefaults iOS: Flag für abgeschlossenes Onboarding, lokale Einstellungen (Sprache, Theme). Für den Betrieb wesentliche Technologien (keine ePrivacy-Einwilligung erforderlich).
Website turnix.ch: Verwendet ausschliesslich technisch notwendige Cookies (keine Analytics, kein Tracking, keine Profilbildung, keine Drittanbieter-Cookies). Es ist keine Cookie-Einwilligung erforderlich gemäss TTDSG § 25 Abs. 2 DE + EDPB-Cookie-Leitlinien 03/2022.
5.2 Datenschutzbeauftragter (DSB)
Turnix ist nicht verpflichtet, einen Datenschutzbeauftragten (DSB) im Sinne von Art. 37 Abs. 1 DSGVO / UK GDPR / Art. 10 nDSG zu benennen: Der Verantwortliche ist keine Behörde, führt keine umfangreiche Verarbeitung sensibler Daten (Art. 9-10 DSGVO) durch und überwacht betroffene Personen nicht systematisch in grossem Umfang.
In Bezug auf die optionalen Gesundheitsfunktionen (besondere Kategorie, Art. 9 DSGVO) wurde dennoch eine Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) durchgeführt. Die DSFA hat das Fehlen hoher Risiken für die Rechte und Freiheiten der betroffenen Personen bestätigt, dank der local-only Architektur: keine serverseitige Verarbeitung, at-rest verschlüsselte Daten ausschliesslich auf dem Gerät des Nutzers und unter dessen alleiniger Kontrolle, separate ausdrückliche Einwilligung und sofortige Löschung auf Anfrage.
Für jede Anfrage in Bezug auf den Schutz personenbezogener Daten, die Ausübung der Rechte der betroffenen Person (siehe §7) oder Beschwerden wenden Sie sich direkt an den Verantwortlichen unter der Adresse info@turnix.ch. Beantwortung innerhalb von 30 Tagen ab Anfrage (Art. 12 Abs. 3 DSGVO).
6. Internationaler Datentransfer
Personenbezogene Daten können in den nachfolgend beschriebenen Fällen ausserhalb der EU/EWR, des Vereinigten Königreichs und der Schweiz übermittelt werden. Jede Übermittlung basiert auf geeigneten Garantien gemäss Art. 44-49 DSGVO / UK GDPR und Art. 16-18 revDSG.
Datentransfer pro Anbieter:
- Supabase Inc. (US) — Server eu-west-1 (Irland, EU) ausdrücklich ausgewählt. Eventuelle US-Transfers (Backup) auf der Grundlage der Standardvertragsklauseln (SVC) Beschluss EU 2021/914 + Angemessenheitsbeschluss EU-US Data Privacy Framework (DPF, Juli 2023). Für UK: International Data Transfer Agreement (IDTA) UK ICO. Für CH: SVC gültig über CH-EU Angemessenheitsbeschluss.
- Google LLC (Calendar, FCM) — Transfer in die Vereinigten
Staaten auf der Grundlage von:
- EU/EWR: Angemessenheitsbeschluss EU-US Data Privacy Framework (Google LLC DPF-zertifiziert) + SVC als Fallback.
- UK: UK Extension to EU-US DPF + International Data Transfer Agreement (IDTA).
- CH: Swiss-US DPF (parallel zum EU-US DPF) + SVC als Fallback.
- RevenueCat Inc. (US) — Transfer in die Vereinigten Staaten auf der Grundlage der Standardvertragsklauseln (SVC) EU 2021/914. Für UK: IDTA. Für CH: angemessene SVC.
- Sentry — Functional Software Inc. (US/EU) — EU-Server in Frankfurt (ingest.de.sentry.io) ausdrücklich ausgewählt. KEIN US-Transfer für die Turnix-Diagnosedaten. Konformität mit DSGVO / UK GDPR / revDSG durch EU-Serverstandort gewährleistet.
Daten der Gesundheitsfunktionen (Zyklus, Schlaf, Wohlbefinden): kein internationaler Datentransfer. Sie verbleiben auf dem Gerät des Nutzers und verlassen das Telefon niemals.
Für Kunden aus dem Vereinigten Königreich gilt zudem der Data Protection Act 2018 (DPA 2018) als Ergänzung zur UK GDPR. Für die Schweiz garantiert das revDSG ein Schutzniveau, das dem der DSGVO gleichwertig ist.
7. Rechte der betroffenen Person und Widerrufsrecht
Gemäss DSGVO (Art. 15-22), UK GDPR (Art. 15-22) und revDSG (Art. 25-27) hast du das Recht auf:
- Auskunft über deine personenbezogenen Daten (Art. 15)
- Berichtigung unrichtiger Daten (Art. 16)
- Löschung („Recht auf Vergessenwerden", Art. 17) — direkt in der App verfügbar: Einstellungen → Alle Daten zurücksetzen
- Datenübertragbarkeit in einem strukturierten Format (Art. 20)
- Widerspruch gegen die Verarbeitung (Art. 21)
- Einschränkung der Verarbeitung (Art. 18)
- Keine ausschliesslich automatisierte Entscheidung (Art. 22) — Turnix trifft KEINE automatisierten Entscheidungen über deine Daten
- Widerruf der Einwilligung für Gesundheitsfunktionen: Funktion deaktivieren (Einstellungen → Bereich Zyklus/Schlaf/Wohlbefinden), mit sofortiger Löschung der Daten vom Gerät
- Widerruf der Google-Kalender-Einwilligung: Einstellungen → Google Kalender Synchronisation → Trennen (oder myaccount.google.com → Sicherheit)
14-tägiges Widerrufsrecht
- EU/EWR: Richtlinie 2011/83/EU über Verbraucherrechte. Du hast 14 Tage ab dem Kauf des Premium-Abonnements, um ohne Angabe von Gründen zu widerrufen. Der Widerruf wird durch Mitteilung der Entscheidung (E-Mail an info@turnix.ch) oder über das Store-Konto (App Store / Google Play) ausgeübt. Die Rückerstattung erfolgt durch den Store innerhalb von 14 Tagen ab der Mitteilung.
- UK: UK Verbraucherrechtsgesetz (Consumer Rights Act) 2015 + Verbraucherverträge-Verordnung (Consumer Contracts Regulations) 2013 — 14-tägiges Widerrufsrecht für digitale Dienste, ausgeschlossen bei vollständiger Nutzung vor Widerruf (Digital Content Unbundling Rule).
- CH: Das Schweizer Recht sieht kein gesetzlich verpflichtendes Widerrufsrecht für digitale Fernabsatzdienstleistungen vor, Turnix garantiert jedoch freiwillig dieselbe 14-Tage-Frist für gebietsübergreifende Konsistenz.
Zur Ausübung dieser Rechte schreibe an: info@turnix.ch
7.1 Nutzer ausserhalb der EU/des EWR/der Schweiz/des Vereinigten Königreichs (einschliesslich USA, Brasilien, Kanada, Australien)
Turnix ist weltweit verfügbar und wendet die DSGVO als Mindestschutzniveau in jedem Land an. Nachfolgend die Ergänzungen für die wichtigsten zusätzlichen Rechtsordnungen.
Vereinigte Staaten — Kalifornien (CCPA/CPRA)
- Wir verkaufen deine personenbezogenen Daten weder, noch „teilen" wir sie, auch nicht zu Zwecken kontextübergreifender verhaltensbasierter Werbung: Turnix enthält keine Werbung.
- Erhobene Kategorien: Identifikatoren (E-Mail), kommerzielle Informationen (Kaufhistorie über RevenueCat), Nutzungs- und Diagnosedaten der App. Die sensiblen Daten der Gesundheitsfunktionen verbleiben ausschliesslich auf deinem Gerät und werden von unseren Servern weder erhoben noch verarbeitet.
- Rechte: Auskunft über/Zugang zu deinen Daten, deren Löschung und Berichtigung; Widerspruch gegen den Verkauf/das Teilen (nicht anwendbar — wir verkaufen nicht); Einschränkung der Nutzung sensibler Daten (bereits eingeschränkt: sie verbleiben auf dem Gerät); keine Diskriminierung aufgrund der Ausübung deiner Rechte.
- Zur Ausübung: info@turnix.ch (auch über einen bevollmächtigten Vertreter).
Brasilien (LGPD)
Wir anerkennen die nach der LGPD vorgesehenen Rechte (Bestätigung, Auskunft, Berichtigung, Anonymisierung/Löschung, Datenübertragbarkeit, Widerruf der Einwilligung) sowie die Behörde ANPD. Verantwortlicher: Giacomo Cacciatore (info@turnix.ch).
Andere Länder (Kanada, Australien usw.)
Wir wenden den DSGVO-Standard als Mindestschutzniveau an und respektieren die nach dem anwendbaren lokalen Recht vorgesehenen Rechte.
8. Aufsichtsbehörde
Du hast das Recht, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen. Die zuständigen Behörden für die von uns ausdrücklich befolgten Rechtsordnungen sind:
- Europäische Union und Europäischer Wirtschaftsraum: die nationale Datenschutzbehörde deines Staates. Offizielle, aktuelle Liste des Europäischen Datenschutzausschusses (EDPB): edpb.europa.eu/about-edpb/about-edpb/members_en
- Schweiz: FDPIC/EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) — edoeb.admin.ch
- Vereinigtes Königreich: ICO (Information Commissioner's Office) — ico.org.uk
Für Länder, deren Behörde oben nicht aufgeführt ist, kannst du dich an die lokale Datenschutzbehörde deines Landes wenden, sofern vorhanden.
9. Sicherheit
Die Daten sind durch Row Level Security (RLS) auf Supabase geschützt: jede Nutzerin und jeder Nutzer greift ausschliesslich auf eigene Daten zu. Die Kommunikation erfolgt über HTTPS/TLS.
Meldung von Verletzungen des Schutzes personenbezogener Daten (Data Breach): Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten des Nutzers mit sich bringt, wird Turnix die zuständige Aufsichtsbehörde des Wohnsitzlandes des Nutzers innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung benachrichtigen, gemäss Art. 33 DSGVO / UK GDPR und Art. 24 nDSG. Sofern die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Nutzer darstellt (Art. 34 DSGVO), wird Turnix die Verletzung den Nutzern unverzüglich direkt mitteilen, in klarer und einfacher Sprache, unter Angabe von: Art der Verletzung, betroffene Daten und Kategorien, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Massnahmen zur Eindämmung der Auswirkungen, Kontaktstelle info@turnix.ch.
10. Änderungen
Wesentliche Änderungen werden über die App mitgeteilt. Die fortgesetzte Nutzung der App nach der Mitteilung gilt als Annahme.