Schweizer Datenschutz
für deine Meetings.
Diese Fassung klärt insbesondere Rollenverteilung, Auftragsbearbeitung, Subprozessoren, KI-Verarbeitung, Löschung und Drittlandtransfers.
Öffentliche Fassung · Stand: Mai 2026
Du entscheidest über deine Daten. Bei jedem Upload wählst du aktiv, ob das Audio nach der Transkription gelöscht oder befristet gespeichert wird. Transkripte und Protokolle liegen ausschliesslich in deinem Konto, bis du sie löschst.
1. Verantwortliche Stelle
GMS Consulting GmbH
Spitalgasse 28, 3011 Bern, Schweiz
UID/MWST: CHE-305.757.023
Handelsregister Kanton Bern
Kontakt: datenschutz@gmind.ch, support@gmind.ch oder Kontaktformular auf gmind.ch. Weitere Angaben findest du im Impressum.
2. Rollenverteilung
Für Website-Betrieb, Registrierung, Account-Verwaltung, Abrechnung, Support, Sicherheit, Missbrauchsprävention und Kommunikation ist die GMS Consulting GmbH Verantwortliche. Soweit Geschäftskunden gMind verwenden, um Audio-Dateien, Transkripte, Protokolle oder sonstige personenbezogene Daten ihrer Mitarbeitenden, Kunden, Mandanten, Gesprächspartner oder Dritten zu verarbeiten, handelt die GMS Consulting GmbH grundsätzlich als Auftragsbearbeiterin beziehungsweise Auftragsverarbeiterin des jeweiligen Kunden. Der Kunde bleibt in diesem Fall Verantwortlicher und ist insbesondere für Rechtmässigkeit der Aufnahme, Information der betroffenen Personen, Einwilligungen, Zweckbestimmung und Weisungen verantwortlich.
Details zur Auftragsbearbeitung regelt der Auftragsbearbeitungsvertrag (Data Processing Agreement) für gMind. Dieser wird Geschäftskunden auf Anfrage bereitgestellt und ist im passwortgeschützten Trust Center einsehbar.
3. Welche Daten wir bearbeiten
3.1 Account-Daten
Wir bearbeiten E-Mail-Adresse, Name falls angegeben, Organisations- und Workspace-Zugehörigkeit, Rolle, Authentifizierungsdaten, Session-Daten sowie optional TOTP-Secret und Recovery-Codes für Zwei-Faktor-Authentifizierung. Sensitive Authentifizierungswerte werden verschlüsselt gespeichert, soweit technisch vorgesehen.
3.2 Inhaltsdaten
Inhaltsdaten sind insbesondere Audio-Dateien, Transkripte, Protokolle, Zusammenfassungen, Sprechersegmente, Zeitstempel, Meetingtitel, Dateinamen und vom Nutzer ergänzte Inhalte. Beim Hochladen wählst du aktiv, ob eine Audio-Datei nach der Transkription gelöscht oder befristet gespeichert wird. Ohne aktive Auswahl startet keine Transkription. Transkripte und Protokolle liegen in deinem Konto beziehungsweise Workspace, bis du sie löschst oder bis das Konto gemäss den Aufbewahrungsfristen gelöscht wird.
Die Sprecher-Diarisation dient der technischen Zuordnung von Gesprächsanteilen. Sie ist keine biometrische Identifikation und verwendet Labels wie Sprecher A oder Sprecher B.
3.3 Nutzungs-, Meta- und Sicherheitsdaten
Wir bearbeiten technische und nutzungsbezogene Daten wie IP-Adresse, User-Agent, Zeitpunkt von Uploads, Audiodauer, Dateigrösse, gewählte Sprache, Verarbeitungsmethode, verbrauchte Minuten pro Workspace und Abrechnungsperiode, Magic-Link-Anforderungen, Login-Versuche, MFA-Ereignisse, Admin-Aktionen, Audit-Logs und sicherheitsrelevante Ereignisse.
3.4 Zahlungsdaten
Zahlungsinformationen werden durch Stripe verarbeitet. Wir speichern keine Kreditkartennummern oder Bankverbindungen. In gMind können Stripe-Customer-ID, Stripe-Subscription-ID, Abonnementstatus, Plan-ID, Rechnungsstatus und abrechnungsrelevante Metadaten gespeichert werden.
4. Zwecke und Rechtsgrundlagen
Wir bearbeiten Daten zur Vertragserfüllung, zur Bereitstellung der Transkriptions- und Strukturierungsleistung, zur Account- und Workspace-Verwaltung, zur Rechnungsstellung, zur Zahlungsabwicklung, zur technischen Sicherheit, zur Betrugs- und Missbrauchsprävention, für Support, für anonymisierte oder aggregierte Produktverbesserung sowie zur Erfüllung gesetzlicher Pflichten. Soweit die DSGVO anwendbar ist, stützen wir uns insbesondere auf Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO. Nach Schweizer Datenschutzrecht erfolgt die Bearbeitung insbesondere im Rahmen der Vertragserfüllung, überwiegender Interessen und gesetzlicher Pflichten.
5. KI-Verarbeitung und automatisierte Verarbeitung
gMind verwendet KI-basierte Spracherkennung, Sprecher-Diarisation, Strukturierung und Zusammenfassung. Diese Verarbeitung dient ausschliesslich der Erbringung der vereinbarten Dienstleistung. Es werden keine automatisierten Einzelentscheidungen getroffen, die für dich rechtliche Wirkungen entfalten oder dich in vergleichbarer Weise erheblich beeinträchtigen.
Kundendaten, Audio-Dateien, Transkripte und Protokolle werden von der GMS Consulting GmbH nicht zum Training eigener KI-Modelle verwendet. Soweit KI-Dienstleister eingesetzt werden, wählen wir Anbieter und Verarbeitungsmodi so aus, dass Kundendaten nicht für das Training fremder KI-Modelle verwendet werden. Eine Verarbeitung durch diese Anbieter erfolgt zur Transkription, Strukturierung, Zusammenfassung, Sicherheit und Missbrauchsprävention gemäss den einschlägigen Vertragsbedingungen.
6. Auftragsbearbeitung für Geschäftskunden
Wenn du gMind geschäftlich nutzt und dabei personenbezogene Daten deiner Mitarbeitenden, Kunden, Mandanten, Gesprächspartner oder sonstiger Dritter verarbeitest, stellen wir dir auf Anfrage einen Auftragsbearbeitungsvertrag (Data Processing Agreement) bereit. Dazu gehören technische und organisatorische Massnahmen, Subprozessorenliste, Datenstandorte, Drittlandtransfer-Informationen, Löschfristen, Backup-Retention und Angaben zur KI-Verarbeitung. Geschäftskunden erhalten Zugang zum Trust Center.
7. Datenweitergabe und Subprozessoren
Wir setzen Dienstleister ein, die für Betrieb, Hosting, Speicherung, KI-Verarbeitung, E-Mail-Versand, Authentifizierung, Zahlungsabwicklung, Monitoring und Support erforderlich sind. Die aktuelle Subprozessorenliste wird als separates Dokument geführt. Wesentliche Änderungen werden Geschäftskunden im Rahmen des DPA oder über das Trust Center mitgeteilt.
| Anbieter | Zweck | Datenkategorien | Standort / Transfer |
|---|---|---|---|
| Neon Database | Postgres-Datenbank | Account-, Workspace-, Inhalts- und Metadaten, soweit in der Datenbank gespeichert | EU/USA je nach Region und Konfiguration |
| Vercel Inc. | Hosting, Edge-Funktionen, Deployment | HTTP-Requests, IP-Adresse, technische Logs, Anwendungscode | EU/USA |
| Vercel Blob Storage | Audio-Dateispeicherung | Audio-Dateien und technische Metadaten | EU, abhängig von Konfiguration |
| AssemblyAI | Schweizerdeutsch-Transkription und Sprecher-Diarisation | Audio und transkriptionsrelevante Metadaten | USA |
| OpenAI | Whisper-Transkription und KI-Verarbeitung je nach Funktion | Audio, Text und verarbeitungsrelevante Metadaten | USA |
| Anthropic | Strukturierung, Zusammenfassung, Protokollerstellung | Transkripte, Prompts, Ergebnisdaten und Metadaten | USA |
| Resend | E-Mail-Versand | E-Mail-Adresse, Versandinhalt, technische Versanddaten | USA |
| Stripe | Zahlungsabwicklung und Abonnementverwaltung | Abrechnungsdaten, Zahlungsstatus, Rechnungsdaten | USA |
| Google LLC | Optionale Anmeldung via Google-Konto | OAuth-ID, E-Mail-Adresse, Name falls übermittelt | USA |
8. Datenstandorte und Drittlandtransfers
Wir verarbeiten Daten primär auf Servern in der EU und der Schweiz, soweit dies durch die eingesetzten Dienste und die gewählte Konfiguration möglich ist. Für spezialisierte KI-Dienste, Zahlungsabwicklung, E-Mail-Versand, Authentifizierung oder Cloud-Funktionen können Daten in die USA oder andere Länder übertragen werden. Solche Transfers erfolgen auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln, Swiss Addendum, EU-US Data Privacy Framework, Swiss-US Data Privacy Framework, Angemessenheitsentscheiden oder weiteren anwendbaren Schutzmechanismen, soweit jeweils einschlägig.
9. Aufbewahrung und Löschung
Account-Daten werden für die Dauer des Vertragsverhältnisses und grundsätzlich bis 30 Tage nach Kontolöschung gespeichert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Audio-Dateien werden gemäss deiner Upload-Auswahl sofort nach Transkription gelöscht oder befristet gespeichert. Transkripte und Protokolle bleiben bis zur Löschung durch dich oder bis zur Konto-Löschung gespeichert. Sicherheitslogs werden grundsätzlich maximal 12 Monate aufbewahrt, IP-spezifische Logs maximal 90 Tage, Magic-Link-Sessions maximal 15 Minuten. Zahlungs- und Rechnungsdaten werden gemäss gesetzlichen Aufbewahrungspflichten, insbesondere buchhalterischen Pflichten, aufbewahrt.
Gelöschte Inhalte werden aus dem produktiven System entfernt. In verschlüsselten Backups können gelöschte Daten bis zur regulären Backup-Rotation verbleiben. Die konkrete Backup-Retention wird im Lösch- und Aufbewahrungskonzept ausgewiesen. Backups werden ausschliesslich zur Wiederherstellung des Gesamtsystems verwendet und nicht zur regulären Bearbeitung einzelner gelöschter Kundendaten.
10. Cookies und Tracking
gMind verwendet ausschliesslich technisch notwendige Cookies und vergleichbare Speichertechnologien, insbesondere für Authentifizierung, Session-Verwaltung, Same-Device-Schutz für Magic-Links, CSRF-Schutz sowie UI-Einstellungen. gMind verwendet kein Google Analytics, kein Facebook Pixel und keine sonstigen Marketing-Tracker, soweit nicht ausdrücklich anders angegeben.
11. Datensicherheit
Wir setzen technische und organisatorische Massnahmen ein, insbesondere TLS-verschlüsselte Übertragung, verschlüsselte Speicherung sensitiver Authentifizierungsfelder, rollenbasierte Zugriffskontrolle, optionale Zwei-Faktor-Authentifizierung, Audit-Logs, Rate-Limiting, Content-Security-Policy, Mandantentrennung, beschränkten Mitarbeitendenzugriff, Lieferantenprüfung und definierte Prozesse für Sicherheitsvorfälle. Trotz dieser Massnahmen kann eine absolute Sicherheit der Datenübertragung und Datenverarbeitung nicht garantiert werden.
12. Deine Rechte
Du hast nach anwendbarem Recht insbesondere Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Datenportabilitäts- und Widerspruchsrechte. Datenschutzanfragen richtest du an datenschutz@gmind.ch oder über das Kontaktformular mit dem Betreff Datenschutz und DPA. Wir beantworten Datenschutzanfragen grundsätzlich innerhalb von 30 Tagen. Du hast zudem das Recht, dich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB oder bei einer zuständigen EU-Datenschutzbehörde zu beschweren.
13. Änderungen
Wir können diese Datenschutzerklärung anpassen, wenn sich Produkt, Prozesse, Subprozessoren, Rechtslage oder technische Umsetzung ändern. Wesentliche Änderungen werden mindestens 30 Tage im Voraus per E-Mail oder in der Anwendung angekündigt, soweit dies angemessen und erforderlich ist. Es gilt die jeweils aktuelle Version auf gmind.ch.