Datenschutz

Datenschutzerklärung

Stand: März 2026 · Gilt für startiq.app

Diese Datenschutzerklärung gilt für die Nutzung von startiq.app und richtet sich nach dem Schweizer Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) sowie ergänzend nach der Datenschutz-Grundverordnung (DSGVO) der EU.

1. Verantwortliche Person

Verantwortlich für die Datenbearbeitung auf dieser Website ist:

Elias Felder
Reichensteinerstrasse 15
4153 Reinach BL
Schweiz
E-Mail: eliasfelder07@gmail.com

2. Welche Daten wir erheben

2.1 Bei der Registrierung

Bei der Erstellung eines Kontos erheben wir folgende Daten:

Anzeigename (frei wählbar)
E-Mail-Adresse
Passwort (wird ausschliesslich als bcrypt-Hash gespeichert, niemals im Klartext)

2.2 Bei der Anmeldung via Google (OAuth)

Wenn du dich mit deinem Google-Konto anmeldest oder es nachträglich verknüpfst, erhalten wir von Google:

Google-Konto-ID (interne Kennung)
Name und E-Mail-Adresse deines Google-Kontos
Profilbild-URL (optional)
OAuth-Zugriffstoken und Refresh-Token (für Google Calendar)

2.3 Sicherheits- und Authentifizierungsdaten

Zur Absicherung deines Kontos speichern wir zusätzlich:

E-Mail-Verifizierungscodes (als SHA-256-Hash, temporär)
Zwei-Faktor-Authentifizierung (2FA): Entweder temporäre E-Mail-Codes (SHA-256-Hash) oder ein TOTP-Secret (Base32-kodiert) für Authenticator-Apps
Login-Protokoll: IP-Adresse, Browser/Gerät (User-Agent) und Zeitpunkt jeder Anmeldung (max. 50 Einträge pro Nutzer)
Remember-Me-Token (als SHA-256-Hash) für die dauerhafte Anmeldung
Rate-Limiting-Daten (IP-Adresse/E-Mail und Versuchszähler, temporär)

2.4 Von dir erstellte Inhalte

Im Rahmen der Nutzung der Startseite speichern wir:

Gespeicherte Links und Kategorien
Notizen
Persönliche Einstellungen (Theme, aktivierte Widgets, Zeitzone etc.)

2.5 Technische Daten

Beim Zugriff auf unsere Website werden automatisch technische Daten im Server-Log gespeichert: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite, HTTP-Statuscode und verwendeter Browser (User-Agent). Diese Daten dienen ausschliesslich der Sicherheit und Fehlerdiagnose und werden nach spätestens 7 Tagen gelöscht.

3. Zweck der Datenbearbeitung

Wir bearbeiten deine Daten ausschliesslich für folgende Zwecke:

Bereitstellung und Betrieb der personalisierten Startseite
Authentifizierung und Kontoverwaltung (inkl. E-Mail-Verifizierung, Passwort-Reset, 2FA)
Versand von Transaktions-E-Mails (Verifizierungscodes, Sicherheitsbenachrichtigungen, Kalender-Erinnerungen)
Abruf deiner Google-Kalendertermine und optionale E-Mail-Erinnerungen (nur wenn aktiviert)
Login-Protokollierung zur Sicherheitsübersicht
Technische Sicherheit und Fehlerdiagnose

Wir verkaufen deine Daten nicht und geben sie nicht an Dritte zu Werbezwecken weiter.

4. Rechtsgrundlage

4.1 Nach Schweizer DSG

Die Datenbearbeitung erfolgt gestützt auf das Schweizer Datenschutzgesetz (DSG). Soweit eine Einwilligung erforderlich ist (z.B. für die Verknüpfung mit Google und den Zugriff auf Google Calendar), wird diese ausdrücklich eingeholt.

4.2 Nach EU-DSGVO

Soweit die DSGVO anwendbar ist, stützen wir die Datenverarbeitung auf folgende Rechtsgrundlagen:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Erstellung und Verwaltung deines Kontos, Authentifizierung, Bereitstellung der personalisierten Startseite, Versand von Transaktions-E-Mails.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Verknüpfung mit Google OAuth, Zugriff auf Google Calendar, Nutzung des Wetter-Widgets (IP-Geolocation).
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Login-Protokollierung, Rate-Limiting, Server-Logs und technische Sicherheitsmassnahmen zum Schutz unseres Dienstes und unserer Nutzer.

5. Weitergabe an Dritte

5.1 Google LLC

Wenn du dich mit Google anmeldest oder Google Calendar nutzt, werden Daten an Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) übermittelt. Für diese Datenübermittlung gelten die Datenschutzbestimmungen von Google. Google verarbeitet Daten unter anderem in den USA; Google ist nach dem EU-US sowie dem Swiss-US Data Privacy Framework zertifiziert.

5.2 Resend (E-Mail-Versand)

Für den Versand von Transaktions-E-Mails (Verifizierungscodes, Sicherheitsbenachrichtigungen, Kalender-Erinnerungen) nutzen wir den Dienst Resend (Resend, Inc., USA). Dabei wird deine E-Mail-Adresse sowie der E-Mail-Inhalt an die Server von Resend übermittelt. Es werden keine E-Mails zu Werbezwecken versendet. Weitere Informationen findest du in der Datenschutzerklärung von Resend.

5.3 Google Fonts

Diese Website lädt Schriftarten von Google Fonts (Google LLC). Dabei wird deine IP-Adresse an Google übermittelt. Weitere Informationen findest du in der Datenschutzerklärung von Google.

5.4 jsDelivr CDN

Für die Darstellung von QR-Codes (bei der Einrichtung der Authenticator-App) wird eine JavaScript-Bibliothek über das Content Delivery Network jsDelivr (Prospect One, Polen) geladen. Dabei wird deine IP-Adresse an jsDelivr übermittelt. Weitere Informationen findest du in der Datenschutzerklärung von jsDelivr.

5.5 Wetter-Widget (IP-Geolocation & Open-Meteo)

Die IP-Geolocation erfolgt ausschliesslich, wenn du das Wetter-Widget aktiv nutzt. Nur in diesem Fall wird deine IP-Adresse zur ungefähren Standortermittlung an die folgenden Dienste übermittelt, um Längen- und Breitengrad sowie den Stadtnamen zu ermitteln:

ip-api.com: Kostenloser Geolocation-Dienst. Es werden keine persönlichen Daten über die IP-Adresse hinaus gespeichert.
ipapi.co: Alternativer Geolocation-Dienst.
geolocation-db.com: Alternativer Geolocation-Dienst.

Die ermittelten Koordinaten (ohne IP-Adresse) werden anschliessend an Open-Meteo.com (Meteo-Datenbank von Open-Meteo GmbH, Deutschland) gesendet, um die aktuellen Wetterdaten abzurufen. Es werden keine persönlichen Daten an Open-Meteo übermittelt.

5.6 Hosting

Die Website wird bei MC-HOST24 (Deutschland) gehostet. Der Hostinganbieter verarbeitet im Rahmen des Betriebs technische Zugriffsdaten (IP-Adresse, Zeitpunkt, aufgerufene Seite, HTTP-Statuscode, User-Agent) in Server-Logs. Diese Daten werden ausschliesslich zur Sicherstellung des Betriebs und zur Fehlerdiagnose verwendet.

5.7 Auftragsverarbeitung

Soweit erforderlich, haben wir mit unseren externen Dienstleistern (insbesondere Hosting-Anbieter und Resend) Auftragsverarbeitungsverträge (AVV) abgeschlossen bzw. stützen uns auf deren standardmässige Datenschutzvereinbarungen, um den Schutz deiner Daten sicherzustellen.

5.8 Browser-Extension

Unsere Browser-Extension «StartIQ – Smart Browser Companion» kommuniziert mit denselben Servern und verarbeitet dieselben Daten wie die Web-App. Die Extension speichert lokal lediglich Nutzereinstellungen (z.B. ob der Neue-Tab-Redirect aktiv ist, Benachrichtigungen und Rechtsklick-Menü-Präferenzen). Seitentitel und URLs werden nur gespeichert, wenn der Nutzer dies aktiv auslöst (z.B. durch Klick auf «Seite speichern» oder über das Rechtsklick-Menü). Die Extension liest keine Browserdaten, keinen Verlauf und führt kein Tracking durch.

6. Cookies und Sessions

Diese Website verwendet ausschliesslich technisch notwendige Cookies:

Session-Cookie: Dient der Aufrechterhaltung deiner Anmeldung. Wird beim Schliessen des Browsers gelöscht.
Remember-Me-Cookie: Wird nur gesetzt, wenn du bei der Anmeldung «Angemeldet bleiben» aktivierst. Enthält einen zufälligen Token (in der Datenbank als SHA-256-Hash gespeichert) und läuft nach 30 Tagen ab.
Sprach-Cookie (lang): Speichert deine gewählte Sprache. Enthält keine persönlichen Daten.

Es werden keine Tracking- oder Werbe-Cookies eingesetzt.

7. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmassnahmen ein, um deine Daten zu schützen:

Übertragung ausschliesslich via HTTPS (TLS-Verschlüsselung)
Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert
Verifizierungscodes und Tokens werden als SHA-256-Hash gespeichert
Optionale Zwei-Faktor-Authentifizierung (per E-Mail-Code oder Authenticator-App/TOTP)
Rate-Limiting zum Schutz vor Brute-Force-Angriffen
Session-Cookies mit HttpOnly-Flag (kein JavaScript-Zugriff)
OAuth-Flows mit CSRF-State-Token abgesichert
Strikte Datenisolation: Jeder Nutzer kann ausschliesslich auf eigene Daten zugreifen

8. Aufbewahrungsdauer

Deine Daten werden gespeichert, solange dein Konto aktiv ist. Nach Löschung deines Kontos werden alle personenbezogenen Daten (Konto, Links, Notizen, Einstellungen, OAuth-Tokens) unverzüglich und vollständig gelöscht. Server-Logs werden nach spätestens 7 Tagen gelöscht.

9. Deine Rechte

Du hast nach DSG und DSGVO folgende Rechte:

Auskunft: Du kannst jederzeit Auskunft über die zu dir gespeicherten Daten verlangen.
Berichtigung: Du kannst die Korrektur unrichtiger Daten verlangen.
Löschung: Du kannst die Löschung deiner Daten verlangen.
Einschränkung: Du kannst die Einschränkung der Bearbeitung verlangen.
Datenübertragbarkeit: Du kannst deine Daten in einem strukturierten Format erhalten.
Widerruf: Du kannst eine erteilte Einwilligung jederzeit widerrufen (z.B. Google-Verknüpfung aufheben).
Beschwerde: Du hast das Recht, eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzureichen.

Zur Ausübung deiner Rechte wende dich per E-Mail an: eliasfelder07@gmail.com

10. Mindestalter

Unser Angebot richtet sich nicht speziell an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass ein Kind unter 16 Jahren uns personenbezogene Daten übermittelt hat, werden wir diese unverzüglich löschen.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden angemeldete Nutzerinnen und Nutzer informiert.