Klexo

Datenschutzerklärung

Fassung vom 02.05.2026

1. Verantwortliche Stelle

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne des revidierten Schweizer Datenschutzgesetzes (DSG) und der EU-Datenschutz-Grundverordnung (DSGVO) ist:

Klexo
Marko Buric (Einzelunternehmen)
Goldregenweg 19
8050 Zürich, Schweiz
info@klexo.ch

2. Grundsätze

Klexo richtet sich an Kinder im Primarschulalter. Daten von Kindern sind besonders schützenswert. Wir arbeiten deshalb nach dem Grundsatz Privacy by Design:

  • Datenminimierung — wir erheben nur, was wir technisch zwingend brauchen.
  • Keine Werbung, keine Drittanbieter-Tracker — kein Google Analytics, kein Meta Pixel, kein Cross-Device- Profiling. Für die anonyme Reichweitenmessung nutzen wir ein technisches First-Party-Cookie und speichern die Daten ausschliesslich in unserer eigenen Datenbank in der Schweiz (Details in §7).
  • Kinder­profile sind pseudonym — kein Geburtsdatum, kein Foto, kein Echtname zwingend.
  • Eltern haben die Kontrolle — Kinder können sich nicht selbst registrieren, sondern nur über einen Eltern-Account.

3. Welche Daten wir verarbeiten

3.1 Eltern-Account

Beim Anlegen eines Kontos:

  • E-Mail-Adresse (für Login, Bestätigungs-Mails, Kontakt)
  • Passwort — wir speichern es nicht so, wie du es eingibst. Es wird vorher unwiderruflich verschlüsselt; selbst wir können es nicht mehr lesen.
  • Abo-Status (Plan, Anzahl Kinder, Zahlungsstatus)
  • Rechnungsadresse — erst beim kostenpflichtigen Abschluss

3.2 Kind-Profil

Vom Elternteil angelegt:

  • Vorname oder Spitzname (frei wählbar, muss kein Echtname sein)
  • PIN (vierstellig, ebenfalls unwiderruflich verschlüsselt gespeichert)
  • Klassenstufe (optional, für Spielempfehlungen)
  • Spielfortschritt und gespeicherte eigene Inhalte (z. B. Pixel-Bilder, Musikkompositionen)

3.3 Was wir bewusst NICHT erheben

  • Geburtsdatum, Foto, Schulname oder Telefonnummer der Kinder
  • Standortdaten
  • Verknüpfungen mit Google-, Apple- oder Facebook-Konten
  • Marketing-Präferenzen ohne ausdrückliche Einwilligung

3.4 Server-Logfiles

Beim Aufruf von klexo.ch erfasst unser Hosting-Anbieter automatisch technische Daten in Logfiles: IP-Adresse, Datum, Uhrzeit, aufgerufene URL, Browserkennung und HTTP-Statuscode. Diese Daten dienen ausschliesslich dem stabilen Betrieb, der Fehleranalyse und der Abwehr von Angriffen. Wir führen sie nicht mit anderen Datenquellen zusammen und löschen sie spätestens nach 30 Tagen.

4. Wozu wir die Daten verwenden

  • Damit die Plattform funktioniert: Konto und Kinderprofile anlegen und verwalten, Spielfortschritt sichern, geteilte Inhalte zwischen Geschwistern oder Mitschüler:innen weitergeben.
  • Damit du bezahlen kannst: Familien-Abos via Stripe abrechnen, Klassenpläne per E-Mail mit Schweizer QR-Rechnung versenden.
  • Damit niemand deinen Account kapert: Wir zählen Login-Versuche und blockieren auffällige Muster, damit niemand mit erratenen Passwörtern in dein Konto einbricht.
  • Damit wir die Buchhaltung machen können: Rechnungsdaten 10 Jahre aufbewahren, wie es das Gesetz vorschreibt.

Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse am Missbrauchsschutz (Art. 6 Abs. 1 lit. f DSGVO) und gesetzliche Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO).

Klexo führt kein Profiling und keine automatisierten Einzelentscheidungen mit Rechtsfolgen für die Nutzer:innen durch (Art. 21 revDSG). Das Brute-Force-Rate-Limiting beschränkt sich auf das Blockieren auffälliger Login-Muster und stellt keine automatisierte Einzelentscheidung im Sinne des Gesetzes dar.

5. Auftragsverarbeiter

Wir setzen folgende externe Dienstleister mit Auftrags­verarbeitungs­vertrag ein:

DienstZweckSitz
Supabase Inc.Auth, Datenbank (Region Zürich/EU)USA / EU-Server
Vercel Inc.Hosting, LogsUSA / EU-Edges
Hostpoint AGE-Mail-Versand, DomainSchweiz
Stripe Inc.Zahlungsabwicklung Familien-AboUSA / Irland

Manche dieser Werkzeuge stehen auf Servern in den USA. Damit deine Daten dort gleich gut geschützt sind wie in der Schweiz, haben wir mit den Anbietern verbindliche Verträge abgeschlossen, die der EU-Datenschutz vorgibt. Stripe verarbeitet Zahlungsdaten eigenständig als Verantwortlicher gemäss seinem eigenen Datenschutzhinweis.

6. Bekanntgabe ins Ausland

Dank unserem Privacy-by-Design-Grundsatz halten wir die Daten, die das Land verlassen können, bewusst klein:

  • Supabase (Datenbank, Region Zürich/EU): speichert Account- und Profildaten sowie eigene Inhalte der Kinder. Liegt physisch in der EU; nur in Ausnahmefällen (Backups, Support) kann ein Zugriff durch das US-Mutterhaus stattfinden.
  • Vercel (Hosting): sieht ausschliesslich Server-Logfiles (siehe §3.4) — keine Account- oder Kindprofildaten.
  • Stripe (Zahlungen Familien-Abo): verarbeitet ausschliesslich die Zahlungsdaten der erwachsenen Kund:innen (E-Mail, Rechnungs­adresse, Kreditkarten­transaktion) — keine Daten der Kinder. Beim Klassenplan kommt Stripe nicht zum Einsatz; Rechnungen werden direkt aus Klexo per E-Mail mit Schweizer QR-Code zugestellt.
  • Hostpoint (E-Mail, Domain): Sitz Schweiz — kein Auslandstransfer.

Soweit Daten in die USA übermittelt werden, verfügen die USA aus Sicht des Bundesrats über keinen mit der Schweiz vergleichbaren Datenschutz. Wir stützen die Bekanntgabe daher auf Standardvertragsklauseln nach Art. 16 Abs. 2 lit. d revDSG — in Verbindung mit den von der EU-Kommission veröffentlichten SCC, ergänzt um die vom EDÖB anerkannten Anpassungen für die Schweiz. Eine Kopie dieser Garantien stellen wir auf Anfrage zur Verfügung.

7. Cookies und ähnliche Technologien

Klexo verwendet ausschliesslich First-Party-Cookies. Es werden keine Drittanbieter-Cookies, keine Werbe-Cookies und keine Cross-Device-Tracker gesetzt.

  • Session-Cookies für die Anmeldung (Eltern und Kinder)
  • CSRF-Schutz
  • Reichweitenmessungs-Cookie (klexo_session): Eine zufällig generierte Kennung ohne Personenbezug, gültig 24 Stunden, dient ausschliesslich der anonymen Plattform-Statistik.
  • Mute-Status der Spielsounds (lokale Browser-Speicherung, kein Server-Cookie)

8. Speicherdauer

  • Aktive Konten und Profile: solange das Abo besteht.
  • Nach Account-Löschung: Hard-Delete spätestens nach 90 Tagen Daten­retention­frist.
  • Zahlungsdaten in der Buchhaltung: 10 Jahre Aufbewahrungspflicht (OR Art. 958f).
  • Geteilte Inhalte (Teilen-Links): automatisch nach 7 Tagen gelöscht.
  • Anwendungs-Logs: max. 30 Tage.

9. Deine Rechte

Nach DSG und DSGVO hast du das Recht auf:

  • Auskunft über die zu deiner Person gespeicherten Daten
  • Berichtigung unrichtiger Daten
  • Löschung («Recht auf Vergessen»), soweit keine gesetzliche Aufbewahrungspflicht besteht
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit (strukturierter Export deiner Daten)
  • Widerspruch gegen Verarbeitungen, die wir auf berechtigte Interessen stützen
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Anfragen bitte per E-Mail an info@klexo.ch. Wir antworten innerhalb von 30 Tagen.

10. Beschwerde- und Klagerecht

Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren:

  • In der Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeits­beauftragter (EDÖB), edoeb.admin.ch.
  • In der EU: jeweils zuständige nationale Aufsichts­behörde im Wohnsitzland.

Unabhängig von der Beschwerde beim EDÖB steht es dir frei, deine Rechte aus dem DSG vor dem zuständigen Zivilgericht klageweise geltend zu machen (Art. 32 revDSG).

11. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, Auftragsverarbeiter oder rechtliche Rahmenbedingungen ändern. Die jeweils aktuelle Fassung gilt ab Veröffentlichung auf klexo.ch/datenschutz. Bestehende Nutzer:innen werden bei wesentlichen Änderungen per E-Mail informiert.