Datenschutzerklärung
craiready.ch & platform.craiready.ch — codAIx GmbH, CRA Compliance Platform
1. Verantwortliche Stelle
Für die Datenverarbeitung auf der Marketing-Webseite craiready.ch sowie auf dem Kundenportal platform.craiready.ch ist verantwortlich:
codAIx GmbH
c/o JULITH GmbH
Erlengasse 3
8240 Thayngen, Schweiz
Handelsregister: Kanton Schaffhausen, UID: CHE-249.882.147
Geschäftsführung: Dr. Judith Behr (Vorsitzende), Thomas Riehn
E-Mail Datenschutz: datenschutz@codaix.gmbh
Ansprechpartnerin für Datenschutzfragen: Dr. Judith Behr, E-Mail: datenschutz@codaix.gmbh
Vertreterin in der EU gemäss Art. 27 DSGVO:
JULITH UG (haftungsbeschränkt)
Rennbahnstrasse 72
60528 Frankfurt am Main, Deutschland
Handelsregister: AG Frankfurt am Main, HRB 138446
2. Geltungsbereich
Diese Datenschutzerklärung gilt für:
- craiready.ch — die öffentliche Marketing-Webseite der codAIx GmbH. Die Webseite ist eine Single-Page-Application (SPA) auf Basis von React/Vite und wird extern gehostet.
- platform.craiready.ch — das Kundenportal für CRA-Compliance-Management. Das Portal ermöglicht es Unternehmen, ihre Konformität mit der Verordnung (EU) 2024/2847 über Cyber-Resilienzanforderungen (Cyber Resilience Act – CRA) zu verwalten und nachzuweisen.
Die codAIx GmbH ist eine Schweizer Gesellschaft. Soweit wir unsere Dienste an Personen in der EU richten, gilt zusätzlich die Datenschutz-Grundverordnung (DSGVO) gemäss Art. 3 Abs. 2 DSGVO (Marktortprinzip). Diese Datenschutzerklärung berücksichtigt daher sowohl das Schweizer Datenschutzgesetz (nDSG) als auch die DSGVO. In den nachfolgenden Abschnitten wird jeweils gekennzeichnet, ob eine Verarbeitungstätigkeit die Webseite, das Portal oder beide Angebote betrifft.
3. Hosting und technischer Betrieb
3.1 Marketing-Webseite (craiready.ch)
Die Webseite wird auf externen Servern gehostet. Der technische Betrieb wird durch spezialisierte Hosting-Anbieter durchgeführt. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb der Webseite).
3.2 Kundenportal (platform.craiready.ch)
Das Portal wird auf Servern in der Schweiz gehostet. Der Webserver basiert auf openresty (nginx-Derivat) mit serverseitigem Rendering. Zur Drittlandübermittlung Schweiz siehe Abschnitt 11.
4. Erhobene Daten — alle Angebote
4.1 Server-Logfiles
[Webseite + Portal] Der Hosting-Provider protokolliert automatisch Informationen in Server-Log-Dateien:
- IP-Adresse des zugreifenden Geräts
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL
- HTTP-Statuscode
- Menge der übertragenen Daten
- Referrer (verweisende Seite)
- Browser-Informationen (User-Agent)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb und der Sicherheit der Systeme).
Speicherdauer: Maximal 14 Tage, anschliessend automatisch gelöscht.
4.2 Web-Analytics
[Webseite] Auf der Marketing-Webseite craiready.ch werden keine Tracker, Web-Analyse-Tools oder Reichweitenmess-Dienste eingesetzt. Es findet keine Erfassung des Nutzungsverhaltens statt — weder mit noch ohne Cookies.
[Portal] Auf dem Kundenportal platform.craiready.ch verwenden wir Umami Analytics, ein datenschutzfreundliches, cookieloses Web-Analyse-Tool.
| Eigenschaft | Webseite (craiready.ch) | Portal (platform.craiready.ch) |
|---|---|---|
| Web-Analytics | — keine | Umami |
| Server | — | umami.julith.gmbh |
| Website-ID | — | e46ca1ef-91b9-41c9-a0be-6f9cd3bd4810 |
| Betreiber | — | JULITH GmbH, Thayngen (CH) |
| Cookies | Nein | Nein (cookieless) |
| IP-Speicherung | Nein | Nein |
Im Portal erhebt Umami: Seitenaufrufe, Verweildauer, Referrer, Browser- und Betriebssystem-Informationen, Gerätetyp, Bildschirmauflösung, Spracheinstellung und Land (abgeleitet aus IP-Adresse, IP wird nicht gespeichert). Die Wiedererkennung erfolgt über einen täglich rotierenden Hash, der kein dauerhaftes Tracking ermöglicht.
Rechtsgrundlage (Portal): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung der Plattform). Eine dokumentierte Interessenabwägung liegt vor (Dokument: LIA-2026-001).
Auftragsverarbeiter: JULITH GmbH, Thayngen, Schweiz (AVV gem. Art. 28 DSGVO geschlossen am 01.04.2026).
Opt-Out: Umami respektiert den Do-Not-Track-Header Ihres Browsers. Aktivieren Sie DNT in Ihren Browser-Einstellungen, um die Erfassung zu unterbinden.
4.3 Cookies
[Webseite] Die Marketing-Webseite verwendet einen technisch notwendigen Session-Cookie für die Spracheinstellung (Gültigkeitsdauer: aktuelle Browser-Sitzung). Tracking-Cookies werden nicht verwendet.
[Portal] Das Kundenportal verwendet ein Session-Cookie zur Verwaltung von Benutzersitzungen:
- Cookie-Name: „session"
- Wert: UUID (Universally Unique Identifier)
- Gültigkeitsdauer: 24 Stunden
- Flags: HttpOnly, SameSite=Lax
Beide Cookies sind technisch notwendig und bedürfen keiner Einwilligung (Art. 5 Abs. 3 ePrivacy-Richtlinie, § 25 Abs. 2 Nr. 2 TDDDG, Art. 45c nFMG).
5. Erhobene Daten — Marketing-Webseite (craiready.ch)
5.1 Kontaktformulare und Demo-Anfragen
Die Webseite bietet ein Kontaktformular und ein Demo-Anfrage-Formular an. Dabei werden erhoben: Name, E-Mail-Adresse, ggf. Unternehmensname und Ihre Nachricht. Diese Angaben sind freiwillig (Pflichtfelder: Name und E-Mail-Adresse). Ohne Angabe der Pflichtfelder kann Ihre Anfrage nicht bearbeitet werden. Die weiteren Felder dienen ausschliesslich der Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
Speicherdauer: Bei Vertragsanbahnung ohne Abschluss: 3 Jahre (allgemeine Verjährungsfrist). Bei Vertragsabschluss: maximal 10 Jahre gemäss Art. 958f OR (handelsrechtliche Aufbewahrungspflicht).
5.2 Schriftarten
Die verwendeten Schriftarten (DM Sans, Instrument Serif) werden lokal gehostet. Es erfolgt keine Datenübermittlung an externe Dienste wie Google Fonts.
6. Erhobene Daten — Kundenportal (platform.craiready.ch)
Das Kundenportal verarbeitet umfangreiche Daten im Rahmen des CRA-Compliance-Managements. Für die vom Kunden eingegebenen Geschäftsdaten (Produktdaten, Lieferkettendaten, SBOM) fungiert die codAIx GmbH als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Für die Verwaltung der Benutzerkonten und Zugriffsprotokollierung ist die codAIx GmbH selbst Verantwortlicher. Für die vom Kunden eingegebenen Geschäftsdaten sind die Kunden selbst datenschutzrechtlich Verantwortliche; deren eigene Datenschutzerklärung gilt insoweit gegenüber den betroffenen Personen.
6.1 Benutzerkonto und Authentifizierung
- E-Mail-Adresse (zur Anmeldung und Kommunikation)
- Passwort (gehasht mit bcrypt, niemals im Klartext gespeichert)
- Benutzerrolle (Administrator, Compliance Officer, Viewer etc.)
- Anmeldedatum, letzte Anmeldung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
6.2 Unternehmensdaten
Unternehmensname, Webseite, Rechtsform, Adresse, Kontaktdaten, EU-Vertreter (falls erforderlich), Rolle in der Lieferkette (Hersteller, Integrator, Distributor etc.).
6.3 Produktdaten und SBOM
Produktname, Version, Beschreibung, CRA-Klassifizierung, Software Bill of Materials (SBOM) im Format CycloneDX oder SPDX, Abhängigkeiten und Komponenten.
Speicherdauer: Während der Vertragslaufzeit. Der Kunde ist als Hersteller gemäss Art. 13 Abs. 13 CRA (EU) 2024/2847 eigenverantwortlich für die 10-jährige Aufbewahrung seiner technischen Dokumentation. Bei Vertragsende werden die Daten nach Datenexport gelöscht.
6.4 Schwachstellen- und Sicherheitsdaten
CVE-Nummern, Schwachstellenbeschreibungen (CVSS-/EPSS-Scores), Risikobewertungen, KI-generierte Triage-Empfehlungen, Status der Schwachstellenverwaltung.
6.5 Melde- und Compliance-Daten
Meldungen nach Art. 14 CRA an die zuständige CSIRT-Stelle und ENISA, Konformitätsnachweise, CRA-Compliance-Status, Behördenmeldungen.
Speicherdauer: Während der Vertragslaufzeit. Die 10-jährige Aufbewahrungspflicht nach CRA obliegt dem Kunden als Hersteller.
6.6 Lieferkettendaten
Informationen über Lieferanten, Komponenten-IDs, Versionen, Herkunftsinformationen, Lebenszyklusdaten, Supply-Chain-Risiken.
6.7 Nutzungsdaten und Protokolle
- Audit-Logs: Alle Benutzeraktionen werden protokolliert (Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung)
- Zugriffsprotokolle (IP-Adressen, Browser-Informationen)
- Session-Daten
Speicherdauer: Audit-Logs: Während der Vertragslaufzeit, mindestens jedoch 3 Jahre (Nachweispflicht). Zugriffsprotokolle: 14 Tage.
6.8 API-Schlüssel und Konfiguration
API-Schlüssel für externe Dienste (NVD, GitHub, LLM-Provider) werden verschlüsselt in der Datenbank gespeichert (AES-256). Nur Administratoren haben Zugriff auf die Konfigurationsseite.
7. KI-gestützte Funktionen (nur Portal)
Das Kundenportal integriert optionale KI-Funktionen zur Unterstützung von Compliance-Aufgaben. Diese sind vollständig konfigurierbar und standardmässig deaktiviert.
7.1 Unterstützte KI-Anbieter
- Anthropic Claude API (USA) — Large Language Model
- OpenAI GPT API (USA) — Large Language Model
- Ollama (Self-Hosted) — lokales LLM, keine externe Datenübermittlung
Der Kunde wählt den KI-Anbieter in den Einstellungen aus. Der Standardzustand ist „keine KI aktiviert".
7.2 Einsatzzwecke
- Schwachstellen-Triage: Automatische Kategorisierung und Priorisierung von CVEs
- Dokumentgenerierung: Entwürfe von Compliance-Dokumenten und Konformitätserklärungen
- Risikobewertung: Unterstützungsempfehlungen basierend auf CVSS-/EPSS-Scores
- AI-Chat: Interaktive Unterstützung bei Compliance-Fragen
7.3 An KI-APIs übermittelte Daten
Nur bei expliziter Aktivierung durch den Nutzer werden folgende Daten an den gewählten KI-Anbieter übermittelt: CVE-Daten (Nummer, CVSS-Score, Beschreibung), Produktinformationen (Name, Version, Kategorien), SBOM-Metadaten (Zusammenfassungen, nicht vollständige SBOMs) und Benutzereingaben (Prompts).
Folgende Daten werden niemals an KI-APIs übermittelt:
- Benutzerkennwörter oder Authentifizierungsdaten
- API-Schlüssel des Portals
- Lieferkettendaten und Kundenbeziehungen
- Audit-Logs oder Benutzeraktionen anderer Nutzer
- Vollständige SBOM-Rohdateien
7.4 Transparenz gemäss AI Act (Verordnung (EU) 2024/1689)
Gemäss Art. 50 AI Act erfüllen wir folgende Transparenzpflichten:
- KI-generierte Inhalte werden deutlich als solche gekennzeichnet
- Nutzer werden informiert, wenn ein KI-System ihre Anfrage verarbeitet
- KI-Empfehlungen sind ausschliesslich Vorschläge ohne rechtlich bindende Wirkung
- Alle finalen Entscheidungen treffen Menschen (Human-in-the-Loop)
7.5 Opt-Out und Self-Hosted-Alternative
Kunden können KI-Funktionen jederzeit vollständig deaktivieren. Alternativ kann Ollama als selbst gehostetes LLM eingesetzt werden, sodass keine Daten das Unternehmensnetzwerk verlassen. Das Portal funktioniert ohne KI-Verarbeitung vollumfänglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), sofern die KI-Funktionen Bestandteil des gebuchten Leistungsumfangs sind. Für Daten Dritter, die nicht Vertragspartei sind: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
8. Externe Dienste und APIs
[Portal] Das Kundenportal integriert folgende externe Dienste:
| Dienst | Betreiber | Zweck | Datenübermittlung |
|---|---|---|---|
| NVD API | NIST (USA) | CVE- und Schwachstellendaten | CVE-Nummern, Produktversionen |
| GitHub API | Microsoft (USA) | OSS-Lebenszyklusdaten | Repository-Namen, Versionen |
| CISA KEV | CISA (USA) | Bekannte ausgenutzte Schwachstellen | CVE-Nummern |
| OSV Database | Google (USA) | Open-Source-Schwachstellen | Paketbezeichnungen |
| Cloudflare CDN | Cloudflare (USA) | Tailwind CSS Framework | Browser-Anfragen |
| Anthropic API | Anthropic (USA) | KI-Funktionen (optional) | Siehe Abschnitt 7.3 |
| OpenAI API | OpenAI (USA) | KI-Funktionen (optional) | Siehe Abschnitt 7.3 |
[Webseite] Die Marketing-Webseite lädt das codAIx-Logo von codaix.gmbh. Schriftarten werden lokal gehostet.
9. Rechtsgrundlagen
Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:
| Verarbeitungszweck | DSGVO | nDSG (Schweiz) |
|---|---|---|
| Betrieb der Webseite/des Portals, Server-Logfiles | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) | Art. 31 Abs. 1 |
| Vertragserfüllung (Portal-Account, Kundenvertrag) | Art. 6 Abs. 1 lit. b | Art. 31 Abs. 2 lit. a |
| Web-Analytics (Umami) | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) | Art. 31 Abs. 1 |
| KI-Funktionen (bei Aktivierung) | Art. 6 Abs. 1 lit. b (Vertragserfüllung) | Art. 31 Abs. 1 |
| CRA-Compliance-Dokumentation, Audit-Logs | Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung) | Art. 31 Abs. 2 lit. b |
| Kontaktformulare, Demo-Anfragen | Art. 6 Abs. 1 lit. b (vorvertragliche Massnahmen) | Art. 31 Abs. 2 lit. a |
Zusätzlich anwendbar: Art. 50 AI Act (EU) 2024/1689 (Transparenzpflichten für KI), Art. 10 CRA-Verordnung (EU) 2024/2847 (Aufbewahrungspflichten), Art. 5 Abs. 3 ePrivacy-Richtlinie / § 25 TDDDG / Art. 45c nFMG (Endgerätezugriff).
10. Weitergabe an Dritte und Auftragsverarbeiter
Personenbezogene Daten werden ausschliesslich an folgende Empfänger weitergegeben:
- Hosting-Anbieter: Zum Betrieb und zur Sicherung der Webseite und des Portals (Auftragsverarbeitungsvertrag geschlossen).
- JULITH GmbH (Thayngen, Schweiz): Betrieb des Umami-Analyse-Servers (AVV gem. Art. 28 DSGVO geschlossen am 01.04.2026).
- KI-Anbieter (nur bei Aktivierung): Anthropic (USA) oder OpenAI (USA) — nur wenn der Kunde KI-Funktionen explizit aktiviert. Der Kunde wählt den Anbieter selbst. Alternativ: Ollama (selbst gehostet, keine Datenübermittlung).
- Öffentliche APIs: NVD (NIST), GitHub, CISA KEV, OSV — nur minimale Anfragedaten (CVE-Nummern, Paketnamen).
- Cloudflare CDN: Bereitstellung des Tailwind CSS Frameworks für das Portal.
11. Datenübermittlung ins Ausland
11.1 Schweiz
Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission (Entscheidung 2000/518/EG, fortgeltend gemäss Art. 45 Abs. 9 DSGVO). Datenübermittlungen an den Umami-Server in Thayngen, Schweiz bedürfen keiner zusätzlichen Garantien.
11.2 USA
Folgende Dienste befinden sich in den USA: NVD API (NIST), GitHub API (Microsoft), Cloudflare CDN, sowie — bei Aktivierung — Anthropic Claude API und OpenAI GPT API. Für diese Übermittlungen gelten:
- EU-US Data Privacy Framework (DPF): Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 gemäss Art. 45 DSGVO. OpenAI ist DPF-zertifiziert. Anthropic ist derzeit nicht DPF-zertifiziert; die Übermittlung erfolgt ausschliesslich auf Grundlage von Standardvertragsklauseln (SCCs).
- Standardvertragsklauseln (SCCs) gemäss Art. 46 Abs. 2 lit. c DSGVO als ergänzende Garantie.
- Schweizer Recht: Art. 16–17 nDSG, Staatenliste des EDOEB.
Bei den öffentlichen APIs (NVD, GitHub, CISA) werden ausschliesslich öffentlich zugängliche Daten abgefragt (CVE-Nummern, Repository-Namen). Ein Personenbezug ist dabei nicht gegeben.
12. Speicherdauer
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Server-Logfiles | 14 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Spracheinstellungs-Cookie (Webseite) | Browser-Sitzung | Technisch notwendig |
| Session-Cookie (Portal) | 24 Stunden | Technisch notwendig |
| Kontaktformular-Daten | 3–10 Jahre (je nach Vertragsstatus) | Art. 958f OR |
| Benutzerkonto-Daten (Portal) | Bis Kontolöschung | Art. 6 Abs. 1 lit. b DSGVO |
| SBOM- und Produktdaten | Während Vertragslaufzeit | Kunde: Art. 13 Abs. 13 CRA |
| Audit-Logs | Während Vertragslaufzeit (mind. 3 J.) | Art. 6 Abs. 1 lit. c DSGVO |
| Schwachstellendaten (CVE) | Solange Produkt aktiv | Art. 6 Abs. 1 lit. c DSGVO |
| Lieferkettendaten | Während Vertragslaufzeit | Kunde: Art. 13 Abs. 13 CRA |
| Umami Analytics | Aggregiert (ca. 90 Tage) | Art. 6 Abs. 1 lit. f DSGVO |
13. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen (TOMs) gemäss Art. 32 DSGVO und Art. 8 nDSG:
- HTTPS/TLS-Verschlüsselung aller Datenübertragungen
- Passwort-Hashing mit bcrypt (Portal)
- Verschlüsselte Speicherung von API-Schlüsseln (AES-256)
- Rollenbasierte Zugriffskontrolle (RBAC)
- Audit-Logging aller Benutzeraktionen
- Regelmässige Sicherheitsupdates
- Monitoring und Überwachung auf Sicherheitsbedrohungen
Trotz dieser Massnahmen kann keine absolute Sicherheit garantiert werden.
14. Ihre Rechte
Sie haben folgende Rechte gemäss DSGVO (Art. 15–22) und nDSG (Art. 25–29):
- Auskunftsrecht (Art. 15 DSGVO, Art. 25 nDSG): Sie können Auskunft über die über Sie gespeicherten Daten verlangen.
- Berichtigungsrecht (Art. 16 DSGVO, Art. 32 Abs. 1 nDSG): Sie können die Berichtigung unrichtiger Daten verlangen.
- Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen (z.B. 10-Jahres-Frist nach CRA).
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO, Art. 28 nDSG): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, insbesondere der Verarbeitung auf Grundlage berechtigter Interessen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung (z.B. für KI-Funktionen) können Sie jederzeit für die Zukunft widerrufen.
- Widerspruch gegen KI-Verarbeitung: Sie können der Verwendung Ihrer Daten für KI-Funktionen jederzeit widersprechen. Deaktivieren Sie hierzu die KI-Funktionen in den Portal-Einstellungen.
Kontakt für Rechteausübung: datenschutz@codaix.gmbh
15. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
KI-generierte Empfehlungen im Portal (Schwachstellen-Triage, Risikobewertungen, Dokumentvorschläge) sind ausschliesslich Vorschläge ohne rechtlich bindende Wirkung. Alle Entscheidungen mit rechtlichen Folgen treffen die Nutzer (Menschen). Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt.
16. Beschwerderecht
Sie haben das Recht, bei einer Datenschutzaufsichtsbehörde Beschwerde einzureichen:
- Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), www.edoeb.admin.ch
- EU: Zuständige Datenschutzbehörde des EU-Mitgliedstaats, in dem Sie sich aufhalten oder in dem der mutmassliche Verstoss stattgefunden hat. Verzeichnis: edpb.europa.eu/about-edpb/board/members_en
17. Änderungen dieser Datenschutzerklärung
Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit zu aktualisieren. Änderungen treten mit Veröffentlichung auf der jeweiligen Webseite in Kraft. Bei wesentlichen Änderungen werden registrierte Portal-Nutzer per E-Mail benachrichtigt. Soweit Verarbeitungen auf Einwilligung beruhen, kann eine wesentliche Änderung eine erneute Einwilligung erfordern.
18. Stand
Diese Datenschutzerklärung wurde zuletzt aktualisiert am: 01. Mai 2026
Kontakt: datenschutz@codaix.gmbh
codAIx GmbH — craiready.ch & platform.craiready.ch