Datenschutz bei Aivie

Diese Seite beschreibt, wie Aivie personenbezogene Daten im Auftrag von Kund:innen verarbeitet.
Sie ist als Referenz gedacht, damit Unternehmen in ihrer eigenen Datenschutzerklärung einfach auf diese Informationen verlinken können.
Kurz gesagt: Kund:innen bleiben Verantwortliche. Aivie ist Auftragsverarbeiter und verarbeitet Daten ausschliesslich nach Weisung und im vereinbarten Zweck.

Einführung

Aivie ist ein Marketing Automation Tool. Unternehmen nutzen Aivie, um Kontakte zu verwalten,
Zielgruppen zu segmentieren und Kommunikation über Kanäle wie E-Mail, SMS oder Push automatisiert auszuspielen.

Aivie wird als gehostete Lösung bereitgestellt. Dabei bearbeitet Aivie personenbezogene Daten im Auftrag der Kund:innen. Die Kund:innen bleiben verantwortlich für Inhalte, Zweck, Rechtmässigkeit, Aufbewahrungspflichten und Transparenz gegenüber ihren Kontakten.

Beispiel Use Cases

Aivie wird typischerweise eingesetzt, um Marketing und Kundenkommunikation messbar und effizient zu automatisieren.
Beispiele:

  • Newsletter und Kampagnen: Segmentierte E Mail Kampagnen mit messbaren Öffnungen und Klicks
  • Lead Generierung: Landingpages und Formulare, die Leads erfassen und in Listen oder Segmente überführen
  • Lead Nurturing: Automatisierte Strecken nach Interessen, Verhalten oder Funnel Phase
  • Transaktionale Kommunikation: Bestätigungen, Follow ups, Event Informationen
  • Reaktivierung: Automatische Kampagnen bei Inaktivität oder abgebrochener Journey
  • Consent und Präferenzen: Verwaltung von Einwilligungen und Kommunikationspräferenzen

Welche Daten werden mit Aivie verarbeitet

Aivie ist darauf ausgelegt, dass Kund:innen die Datenverarbeitung selbst steuern. Welche Daten erfasst werden,
hängt von der Konfiguration, den Formularen und den eingesetzten Funktionen ab.

Typische Datenkategorien

  • Identifizierungsdaten: z. B. Name, E-Mail-Adresse
  • Analytische Daten: z. B. Reaktionen auf Kampagnen, Öffnungen, Klicks, Conversions
  • Technische Daten: z. B. IP-Adresse, Geräte- und Browserinformationen, Log Daten für den sicheren Betrieb
  • Vom Kunden definierte Profildaten: z. B. Firma, Rolle, Interessen, Einwilligungsstatus

Betroffene Personen sind typischerweise Kontakte, Leads oder Kund:innen der Aivie Kund:innen.

Rollen und Verantwortlichkeiten

In der Regel gilt:

  • Verantwortliche: Aivie Kund:innen, die Aivie in ihrem Unternehmen einsetzen
  • Auftragsverarbeiter: Aivie by Idea 2 Collective GmbH

Aivie verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisungen der Verantwortlichen.
Eine Verarbeitung für eigene Zwecke ist ausgeschlossen.

Kontakt

Idea 2 Collective GmbH
Wengistrasse 6
CH 8004 Zürich
legal@aivie.ch

Datenhoheit und Datensouveränität

Die Kund:innen bleiben jederzeit Eigentümer:innen ihrer Daten. Aivie verarbeitet personenbezogene Daten ausschliesslich im Auftrag und überträgt keine Nutzungsrechte an Dritte. Daten können exportiert, übertragen oder nach Vertragsende vollständig gelöscht werden.

Datenschutz und Datensicherheit

Aivie schützt Auftragsdaten mit hoher Sorgfalt. Der Betrieb ist so organisiert, dass nur Personen Zugriff erhalten,
die ihn für Betrieb und Support zwingend benötigen. Zugriffe werden nach dem Need to know Prinzip vergeben.

Vertraulichkeit und Zugriff

  • Personen mit Zugriff sind zur Vertraulichkeit verpflichtet
  • Gemeinsame Benutzerkonten werden vermieden
  • Rechte werden rollenbasiert und minimal vergeben

Unterstützung der Kund:innen

Aivie unterstützt Kund:innen bei der Erfüllung von Betroffenenrechten und Pflichten.
Dazu gehören unter anderem Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit,
soweit dies im Rahmen der Auftragsverarbeitung erforderlich ist.

Infrastruktur und Sicherheitsarchitektur

Die Plattform ist so aufgebaut, dass Sicherheit, Skalierbarkeit und Nachvollziehbarkeit auf Infrastruktur- und Applikationsebene gewährleistet sind. Nachfolgend eine Übersicht der zentralen Sicherheitsmechanismen.

Cloud Infrastruktur

  • Hosting auf Cloud-Plattform mit Standorten je nach Setup (Z.B. Schweiz)
  • Globale, hochverfügbare Netzwerkarchitektur mit redundanten Komponenten
  • Trennung von Applikation, Dateisystem, Datenbank, Cache und E-Mail-Infrastruktur
  • Isolierte Projekte für spezielle Kundenanforderungen möglich

Verschlüsselung

  • Verschlüsselung aller Daten in transit mittels TLS
  • Verschlüsselung aller Daten at rest auf Infrastruktur- und Speicherebene
  • Unterstützung von Customer Managed Encryption Keys bei erhöhten Anforderungen
  • Separierte Schlüsselverwaltung mit klar definierten Zugriffsrechten

Zugriffskontrolle und Identitätsmanagement

  • Rollenbasierte Zugriffskontrolle nach dem Need to know Prinzip
  • Granulare Rechtevergabe auf Projekt- und Systemebene
  • Vermeidung gemeinsamer Benutzerkonten
  • Regelmässige Überprüfung und Anpassung von Berechtigungen

Audit Logging und Monitoring

  • Protokollierung relevanter System- und Datenzugriffe
  • Monitoring von Infrastruktur- und Applikationsmetriken
  • Nachvollziehbarkeit von Änderungen an Konfiguration und Berechtigungen
  • Technische Grundlage für forensische Analyse bei Bedarf

Netzwerksicherheit

  • Segmentierte Netzwerkarchitektur
  • Firewall- und Traffic-Kontrollmechanismen
  • Intrusion Detection und Bedrohungserkennung auf Cloud-Ebene
  • Zero-Trust-Prinzip bei der Zugriffskontrolle

Backups und Wiederherstellung

  • Regelmässige Backups der Datenbank, Dateien und relevanter Systemkomponenten
  • Definierte Wiederherstellungsprozesse
  • Physisch und logisch getrennte Backup-Speicherorte (selber Rechtsraum)

Sichere Softwareentwicklung

  • Einsatz bewährter Entwicklungsstandards
  • Regelmässige Updates und Sicherheits-Patches
  • Kontrollierte Deployments mit definierten Freigabeprozessen
  • Trennung von Entwicklungs-, Test- und Produktionsumgebung

Physische Sicherheit der Rechenzentren

  • Mehrschichtige Zutrittskontrollen
  • 24/7 Überwachung
  • Biometrische Zugangssysteme
  • Standortredundanz zur Sicherstellung hoher Verfügbarkeit

Datenisolierung für regulierte Branchen

Für Kund:innen mit erhöhten regulatorischen Anforderungen, beispielsweise im Finanz- oder Behördenumfeld,
können Daten in separaten Projekten betrieben werden. Dadurch lassen sich Mandanten logisch und organisatorisch klar trennen und individuelle Zugriffskonzepte umsetzen.

Organisatorische Sicherheitsmassnahmen

  • Dokumentiertes Sicherheitskonzept
  • Definierte Rollen und Verantwortlichkeiten
  • Prozesse für Business Continuity und Wiederanlauf
  • Regelmässige Schulungen und Sensibilisierung der Mitarbeitenden
  • Kontrolliertes Änderungsmanagement

Datenhaltung: Schweiz, Deutschland, oder an einem Ort deiner Wahl

Wir verstehen, dass der Standort deiner Daten nicht nur eine technische, sondern eine rechtliche Entscheidung ist. Deshalb passt sich Aivie deiner Compliance-Strategie an.

Unsere Infrastruktur ist so aufgebaut, dass deine Daten in deinem Rechtsraum bleiben:

Für Kunden aus der Schweiz:

  • Standort: Zürich.

  • Vorteil: Deine Daten bleiben garantiert auf Schweizer Boden. Ideal für die Compliance mit dem nDSG und für Branchen mit strengen Auflagen (Finanz, Gesundheit, Behörden).

Für Kunden aus Deutschland & der EU:

  • Standort: Frankfurt.

  • Vorteil: Deine Daten werden ausschliesslich auf Servern in Deutschland gespeichert. Dies garantiert volle Konformität mit der DSGVO (GDPR) und stellt sicher, dass keine Speicherung in Drittstaaten erfolgt.

Hinweis: Für die technische Auslieferung von E-Mails nutzen wir die spezialisierte Infrastruktur von AWS. Da E-Mails als globales Medium ohnehin Landesgrenzen überschreiten (z. B. sobald der Empfänger einen internationalen Provider wie Gmail oder Outlook nutzt), priorisieren wir hier maximale Zustellqualität (Deliverability). Dies stellt sicher, dass deine Nachrichten zuverlässig ankommen und nicht im Spam landen. Und das bei voller Datenschutz-Konformität (DSG, DSGVO).

Unterauftragsverarbeiter

Aivie setzt Unterauftragsverarbeiter ein, um die Plattform sicher zu betreiben und bestimmte Teilprozesse zu erbringen. Alle Unterauftragsverarbeiter werden vertraglich verpflichtet.

Aivie informiert Kund:innen mindestens 2 Wochen vor beabsichtigten Änderungen bei Unterauftragsverarbeitern,
damit Einwände erhoben werden können.

Aktuelle Unterauftragsverarbeiter

Unterauftragsverarbeiter Aktivität Verarbeitungsstandort
Google (Google Ireland Limited) Hosting der Marketing Automation Lösung Zürich, Frankfurt, oder ein anderer von dir gewählter Ort.
Amazon Web Services (AWS EMEA) E-Mail-Versand Frankfurt

Hinweis: Aivie verarbeitet Daten in europäischen bzw. Schweizer Rechenzentren.
Sollte im Rahmen der eingesetzten Infrastruktur eine Übermittlung in ein Drittland erforderlich sein, erfolgt diese ausschliesslich unter Einhaltung der gesetzlichen Vorgaben und mit geeigneten Garantien wie Standardvertragsklauseln.

Schutz vor US Cloud Act & Drittzugriff

Unabhängig davon, ob deine Daten in Zürich oder Frankfurt liegen: Da wir auf globaler Cloud-Infrastruktur aufbauen, stellen sich viele Kunden die Frage nach dem Zugriff durch US-Behörden (US Cloud Act).

Unsere Sicherheitsarchitektur schiebt diesem Risiko technisch einen Riegel vor. Wir verlassen uns nicht nur auf Verträge, sondern auf Verschlüsselung und Datenhoheit:

1. Verschlüsselung als Standard (Encryption by Default)

Alle Daten sind sowohl während der Übertragung (in transit) als auch auf den Festplatten (at rest) verschlüsselt. Der Infrastruktur-Provider sieht lediglich verschlüsselte Datenblöcke, aber niemals lesbare Personen- oder Marketingdaten.

2. Customer Managed Encryption Keys (CMEK)

Um das Risiko des US Cloud Act faktisch zu eliminieren, unterstützen wir Customer Managed Encryption Keys.

  • Das Prinzip: Der Schlüssel zur Entschlüsselung der Daten liegt nicht beim Cloud-Provider, sondern wird separat verwaltet.

  • Die Sicherheit: Selbst im theoretischen Fall einer behördlichen Herausgabeanordnung an den Provider wären die ausgehändigten Daten ohne deinen Schlüssel wertloser Datenmüll. Dies gilt sowohl für Hosting in der Schweiz als auch in der EU.

Sprich: Du hältst den Schlüssel zu deinen Daten.

Hinweis: Diese Funktionalität ist als optionales Add-on verfügbar.

3. Trennung von Infrastruktur und Applikation

Wir nutzen die Cloud-Infrastruktur als reines “digitales Rechenzentrum”. Die logische Verwaltung und der Zugriff auf die Datenbanken erfolgen ausschliesslich durch die Aivie-Applikation und unser Team in der Schweiz.

Auftragsverarbeitungsvertrag (AVV)

Aivie stellt auf Anfrage einen Auftragsverarbeitungsvertrag bereit, um Rechte und Pflichten im Auftragsverhältnis verbindlich zu regeln.

Was regelt der AVV

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Verarbeitung nur nach dokumentierten Weisungen
  • Vertraulichkeit und Zugriffsbeschränkung
  • Technische und organisatorische Massnahmen und deren Weiterentwicklung
  • Einsatz und Wechsel von Unterauftragsverarbeitern mit Vorankündigung
  • Unterstützung bei Betroffenenrechten und Pflichten der Verantwortlichen
  • Kontroll und Auditrechte der Verantwortlichen
  • Löschung oder Rückgabe von Daten nach Vertragsende

AVV anfordern: legal@aivie.ch

Zertifizierungen und Compliance

Unser Infrastrukturanbieter Google Cloud verfügt über umfangreiche Sicherheits- und Compliance-Zertifizierungen, darunter ISO 27001 sowie SOC 1, SOC 2 und SOC 3 Prüfberichte. Aivie selbst betreibt keine eigenen Rechenzentren und ist nicht eigenständig nach ISO 27001 zertifiziert. Aivie erfüllt jedoch die relevanten Anforderungen, auch ohne eigene Zertifizierung.

Aivie nutzt diese geprüften Infrastrukturkontrollen als technische Grundlage für den sicheren Betrieb der Plattform. Die Zertifizierungen betreffen insbesondere physische Rechenzentrumssicherheit, Netzwerkschutz, Verschlüsselung, Zugriffsmanagement und Auditierbarkeit.

Beispiele relevanter Zertifikate und Standards

  • DSG und DSGVO
  • ISO 27001, ISO 27017 und ISO 27018
  • ISAE 3000 Type 2 Report (FINMA)
  • SOC 1, SOC 2 und SOC 3
  • C5 und CSA STAR

Weitere Details zu Zertifizierungen und Auditberichten der Google Cloud Platform sind hier einsehbar:
Google Cloud Compliance Übersicht

Konformität mit DSG und DSGVO

Aivie ist so aufgebaut, dass Kund:innen Anforderungen aus dem Schweizer DSG und der EU DSGVO erfüllen können.
Die Schweiz verfügt aus EU Sicht über ein anerkanntes angemessenes Datenschutzniveau.

Was Kund:innen typischerweise selbst umsetzen

  • Rechtsgrundlage und Informationspflichten gegenüber ihren Kontakten
  • Cookie Einwilligungen auf der eigenen Website, falls Tracking Technologien genutzt werden
  • Aufbewahrungsfristen und interne Prozesse für Auskunft, Löschung oder Widerspruch

Textbaustein für die eigene Datenschutzerklärung

Damit Besucher:innen schnell verstehen, wie Aivie als Auftragsverarbeiter arbeitet, kann folgender Hinweis in die eigene Datenschutzerklärung aufgenommen werden.
Den Link bitte auf diese Seite setzen.

Beispiel Datenschutz Textbaustein

Wir nutzen Aivie als Marketing Automation Tool, um Newsletter, Kampagnen und automatisierte Kommunikationsstrecken auszuspielen.
Aivie verarbeitet personenbezogene Daten in unserem Auftrag und ausschliesslich nach unseren Weisungen.
Details zu Datenschutz, Datensicherheit, Unterauftragsverarbeitern und dem Auftragsverarbeitungsvertrag sind hier beschrieben:
https://aivie.ch/datenschutz-aivie

Stand

Stand: 17. Februar 2026