Zurück

Datenschutzerklärung.

Stand: 18. Mai 2026 · Version 1.1

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten iglesio erhebt, zu welchen Zwecken sie verarbeitet werden, mit wem wir sie teilen und welche Rechte Sie als betroffene Person haben. Sie richtet sich nach dem Schweizer Datenschutzgesetz (DSG) und, sofern anwendbar, nach der EU-Datenschutz-Grundverordnung (DSGVO).

Wir unterscheiden zwischen iglesio als Verantwortlicher für die eigene Webseite, das Konto eines Administrators und die Vertragsbeziehung mit den Kirchen, und iglesio als Auftragsbearbeiter, soweit Kirchen die Plattform nutzen, um ihre Mitglieder-, Einsatz- und Anlassdaten zu verwalten. Für die Inhalte, die Kirchen in iglesio einstellen, ist die jeweilige Kirche verantwortlich. Details dazu regelt unser Auftragsverarbeitungsvertrag.

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Zusammenhang mit dem Betrieb der iglesio-Webseite und der Plattform ist:

Levyn Schneider (Einzelunternehmen)
handelnd unter der Bezeichnung iglesio
Neumattstrasse 26
3127 Mühlethurnen, Schweiz
E-Mail: [email protected]

Da iglesio keinen Sitz und keine Niederlassung in der EU unterhält und kein Auslandvertreter nach Art. 27 DSGVO bestellt ist, können Anfragen von Betroffenen aus der EU jederzeit direkt an die oben genannte Adresse oder an [email protected] gerichtet werden.

2. Welche Daten wir verarbeiten

2.1 Daten beim Besuch unserer Webseite

Beim Aufruf unserer Webseite verarbeiten wir technische Daten, die Ihr Browser automatisch übermittelt: IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene URL, Referrer, User-Agent sowie HTTP-Status. Diese Daten dienen der Bereitstellung der Webseite, der Angriffserkennung und der Stabilitätssicherung und werden nach spätestens 30 Tagen in den Server-Logs gelöscht.

2.2 Daten beim Anlegen eines Kontos

Wenn Sie ein iglesio-Konto erstellen oder ein eingeladenes Konto aktivieren, verarbeiten wir: Name, E-Mail-Adresse, Profilbild (sofern hochgeladen), Sprachpräferenz, Rolle innerhalb der Kirche, Status der Datenschutzakzeptanz, Zwei-Faktor-Status sowie Authentifizierungsdaten (Magic-Link-Token, OAuth-Tokens, gehashte TOTP-Geheimnisse und gehashte Backup-Codes).

2.3 Sitzungsdaten

Während einer aktiven Sitzung speichern wir IP-Adresse, User-Agent, Ablaufzeit und Organisationskontext der Sitzung. Sitzungen laufen spätestens nach 30 Tagen ab. Bei Logout oder Abmeldung aller Geräte werden die Tokens serverseitig invalidiert.

2.4 Daten in der Kirchenverwaltung

Innerhalb der Plattform verarbeiten Kirchen in eigener Verantwortung (iglesio als Auftragsbearbeiter):

  • Stammdaten zu Personen (Name, Geburtsdatum, Geschlecht, Zivilstand, Nationalität, Beruf, Sprache, Profilfoto)
  • Kontaktdaten (Telefon, E-Mail, Postadresse)
  • Haushalts- und Beziehungsdaten (Familienangehörige, Rollen im Haushalt, soziale Verknüpfungen)
  • Mitgliedschafts-, Status- und Kategoriedaten, Eintritts- und Statusdatum, Gruppen- und Teamzugehörigkeit
  • Engagement- und Einsatzdaten (Freiwilligendienste, Verfügbarkeiten, Tauschanfragen, Erinnerungen)
  • Gottesdienst- und Anlassplanung mit Vorlagen, Setlisten, Liedinformationen und Notizen
  • Notizen, Tags und vom Verantwortlichen definierte Zusatzfelder
  • Kommunikationsverlauf (versendete E-Mails, In-App-Nachrichten, Push-Benachrichtigungen)
  • Einwilligungen (Zweck, Zeitpunkt, Quelle, IP-Adresse zum Zeitpunkt der Einwilligung, Widerruf)
  • Audit-Spuren über Zugriffe, Änderungen und Exporte

Sofern der Verantwortliche im Rahmen seiner kirchlichen Verwaltungstätigkeit Daten erhebt, die als besondere Kategorien personenbezogener Daten gelten (etwa weltanschauliche Angaben in frei definierbaren Zusatzfeldern oder Notizen), stützt sich die Verarbeitung auf Art. 9 Abs. 2 lit. d DSGVO (Verarbeitung durch religiöse Vereinigungen im Rahmen ihrer rechtmässigen Tätigkeit) sowie auf die entsprechenden Bestimmungen des DSG. Ein dediziertes Feld für die Religionszugehörigkeit wird von der Plattform nicht vorgegeben.

2.5 Mobile App

Bei der Nutzung unserer mobilen App verarbeiten wir zusätzlich: anonyme Geräte-IDs, Push-Tokens (Expo, APNs, FCM) sowie Ihre Benachrichtigungspräferenzen. Wir greifen nicht auf Kontakte, Standort oder Kalender Ihres Geräts zu.

2.6 Telemetrie und Logs

Wir betreiben Backend-Logs und Fehlerprotokolle, die zur Bereitstellung, Absicherung und Fehleranalyse der Plattform erforderlich sind. Diese enthalten IP-Adresse, Account-ID, Anfragepfad und Fehlerkontext. Sie werden nach 30 Tagen automatisch rotiert.

3. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO; Art. 31 Abs. 1 DSG): Bereitstellung, Betrieb und Weiterentwicklung der Plattform, Verwaltung von Konten, Abwicklung von Abonnements und Zahlungen
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO; Art. 31 Abs. 2 DSG): IT-Sicherheit, Missbrauchsabwehr, serverseitige Fehleranalyse und Performance-Monitoring (Sentry Backend), interne Statistik, Verbesserung der Plattform und direkter Support
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; Art. 31 Abs. 1 DSG): Browser-Analytics, Browser-Fehler-Tracking inkl. Session-Replay sowie weitere optionale Funktionen, die ausdrücklich zugestimmt werden müssen
  • Religiöse Vereinigungen (Art. 9 Abs. 2 lit. d DSGVO): Verarbeitung besonderer Datenkategorien im Rahmen kirchlicher Tätigkeit der nutzenden Organisationen
  • Rechtliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungs-, Buchführungs- und Auskunftspflichten

4. Hosting und Speicherort

Die Plattform und sämtliche Kundendaten (Benutzerkonten, Mitglieder-, Einsatz- und Anlassdaten, Backups) werden bei Google Cloud Platform in der Region Zürich (europe-west6) gehostet. Die Rechenzentren sind nach ISO/IEC 27001, 27017, 27018 sowie 27701 zertifiziert.

Der gesamte eingehende HTTP/HTTPS-Verkehr wird über Cloudflare als Edge- und CDN-Provider geleitet. Cloudflare terminiert die öffentliche TLS-Verbindung, schützt vor volumetrischen DDoS-Angriffen und cached statische Inhalte. Cloudflare verarbeitet Verbindungs- und Anfrage-Metadaten weltweit auf seinem Anycast-Netzwerk; mit Cloudflare besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO inklusive EU-Standardvertragsklauseln für Drittstaaten-Übermittlungen.

Zusätzlich zur Plattformverschlüsselung wird jede Kirche mit einem eigenen Datenverschlüsselungsschlüssel (DEK) geführt, der über Google Cloud KMS umhüllt wird (Envelope Encryption). Die KMS-Region ist ebenfalls Zürich.

Für Fehlertracking, Zahlungsabwicklung, transaktionale E-Mails, Push- Benachrichtigungen und KI-gestützte Funktionen setzen wir Unterauftragsverarbeiter ein, deren Sitze teils in der EU, teils in den USA liegen. Details dazu finden Sie in Abschnitt 7 sowie in der öffentlichen Liste der Unterauftragsverarbeiter.

Die EU gilt gemäss Entscheid des Bundesrats vom 14. November 2023 als Staat mit angemessenem Datenschutzniveau im Sinne von Art. 16 Abs. 1 DSG. Übermittlungen in die USA stützen wir auf das EU-US Data Privacy Framework (sofern der Anbieter zertifiziert ist) sowie ergänzend auf Standardvertragsklauseln und technische Schutzmassnahmen wie Pseudonymisierung.

5. Cookies, Local Storage und Einwilligung

Wir setzen ausschliesslich technisch notwendige Cookies und Local-Storage-Einträge, die für den Betrieb der Plattform erforderlich sind. Dazu gehören:

  • Anmeldung und Sitzung: ein Cookie und ein Token halten Sie nach dem Login angemeldet. Die Sitzung läuft spätestens nach 30 Tagen ab
  • Einwilligungs- und Komforteinstellungen: Ihre Wahl am Analyse-Banner sowie kleine Komfortwerte (zuletzt ausgewählte Kirche, Player-Lautstärke) werden lokal in Ihrem Browser gespeichert

Analyse- und Fehlertracking im Browser (PostHog, Sentry Web inklusive maskiertem Session-Replay bei Fehlern) werden nur nach ausdrücklicher Einwilligung über den Banner geladen. Bei Ablehnung werden keine Analyse-Skripte, keine Tracking-Pixel und keine zugehörigen Cookies gesetzt. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die lokalen Browserdaten für diese Webseite löschen und neu entscheiden. Wir setzen keine Werbe-Cookies und keine Cross-Site-Tracking-Technologien ein.

6. Authentifizierung

Wir bieten passwortlose Anmeldung über E-Mail-Magic-Links sowie optional Sign-in über Google und Apple an. Bei der Nutzung dieser Identitätsanbieter werden Sie auf deren Anmeldeseite weitergeleitet; iglesio empfängt anschliessend die OpenID-Connect-Standardfelder (E-Mail, Name, Avatar) zur Anlage des Kontos.

Google und Apple sind eigenständige Verantwortliche. Es gelten die Datenschutzbestimmungen von Google (policies.google.com/privacy) und Apple (apple.com/legal/privacy).

Für Konten mit administrativem Zugriff empfehlen wir dringend die Aktivierung der Zwei-Faktor-Authentifizierung (TOTP). Backup-Codes werden ausschliesslich als scrypt-Hashes gespeichert.

7. Empfänger und Unterauftragsverarbeiter

Zum Betrieb der Plattform arbeiten wir mit ausgewählten Auftragsverarbeitern zusammen. Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Die vollständige, jeweils aktuelle Liste findet sich unter iglesio.com/unterauftragsverarbeiter.

7.1 Infrastruktur und Speicherung

  • Google Cloud Platform (Google Ireland Ltd.): Hosting der Applikation, Datenbank, Dateispeicher, Schlüsselverwaltung, Geheimnisspeicher. Standort: Zürich (europe-west6). Verarbeitete Daten: sämtliche Plattform- und Kundendaten
  • Cloudflare, Inc.: Edge- und CDN-Provider vor der Plattform. Terminiert die öffentliche TLS-Verbindung, leitet Anfragen an die GCP-Infrastruktur weiter und schützt vor volumetrischen DDoS-Angriffen und automatisierten Bots. Verarbeitete Daten: IP-Adressen, Anfrage-Metadaten, Verbindungstoken. Verarbeitung weltweit auf Cloudflares Anycast-Netzwerk; Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit EU-Standardvertragsklauseln

7.2 Zahlungsabwicklung

  • Stripe Payments Europe Ltd.: Abwicklung von Zahlungen, Abonnementverwaltung und Schweizer MWST über Stripe Tax. Übermittelt werden ausschliesslich Kirchenname, Administrator-E-Mail und interne Kunden-ID. Kartendaten werden direkt auf stripe.com erhoben und gelangen nie auf unsere Server

7.3 Kommunikation und Benachrichtigungen

  • Plunk (EU): transaktionale E-Mails wie Login-Links, Einladungen, Bestätigungen und vom Kunden initiierte Mitteilungen
  • Expo Push (650 Industries, Inc.) (USA): Vermittlung von Push-Benachrichtigungen für die mobile App; verarbeitet pseudonyme Gerätetokens
  • Apple Push Notification Service (Apple Distribution International Ltd.) und Firebase Cloud Messaging (Google): Auslieferung der Push-Benachrichtigungen an iOS- bzw. Android-Geräte

7.4 Monitoring und Analyse

  • Sentry (EU Region, Frankfurt): Fehler- und Performance-Monitoring. Backend-Sentry läuft im berechtigten Interesse zur Sicherstellung des Betriebs und enthält serverseitige Logs inklusive IP-Adressen und User-IDs. Browser-Sentry inkl. maskiertem Session-Replay bei Fehlern wird nur nach ausdrücklicher Einwilligung geladen
  • PostHog (EU Cloud, Frankfurt): pseudonymisierte Nutzungsanalyse für die Marketing-Webseite und das Produkt, ausschliesslich nach ausdrücklicher Einwilligung, Reverse-Proxy unter r.iglesio.com

7.5 KI-gestützte Funktionen

Zur Erleichterung des CSV-Imports senden wir Eingaben an OpenRouter (USA), ein API-Gateway für Sprachmodelle. Vor der Übermittlung ersetzen wir personenbezogene Felder wie E-Mail-Adressen, Telefonnummern, Namen und Freitexte durch Platzhalter. Vollständige Mitglieder- oder Einsatzdaten werden nicht an OpenRouter übertragen. Jeder KI-Aufruf wird intern protokolliert. Die Verarbeitung erfolgt auf Grundlage berechtigter Interessen sowie der Vertragserfüllung.

8. Speicher- und Löschfristen

  • Aktive Konten und Kirchendaten: für die Dauer des Vertragsverhältnisses
  • Sitzungen: bis zu 30 Tage, danach automatisch abgelaufen
  • Server- und Audit-Logs: 30 Tage im Standardbetrieb, länger nur bei laufender Untersuchung
  • Backups: 14 Tage rollend, danach automatisch überschrieben; Point-in-Time-Recovery für die letzten 7 Tage
  • Kommunikations-E-Mails: Plunk-seitige Versandprotokolle werden gemäss Plunk-Retention nach maximal 30 Tagen gelöscht. Inhalte versandter Mitteilungen bleiben in der Plattform, solange die Kirche dies entscheidet
  • Rechnungs- und Buchhaltungsdaten: 10 Jahre gemäss Art. 958f OR
  • Datenexporte nach Vertragsende: 60 Tage Export- Fenster, danach Löschung aller personenbezogenen Daten ausserhalb gesetzlicher Aufbewahrungspflichten

Innerhalb der Plattform legt der Verantwortliche eigene Aufbewahrungs- und Inaktivitätsregeln fest. Diese werden über die Datenschutz-Einstellungen verwaltet.

9. Ihre Rechte

Sofern Sie ein Konto bei einer iglesio nutzenden Kirche haben, ist diese Kirche Ihre primäre Anlaufstelle für die Wahrnehmung Ihrer Rechte. Wir unterstützen die Kirche dabei mit den nötigen Werkzeugen. Für die Daten, für die iglesio direkt verantwortlich ist (Konto, Webseite), wenden Sie sich an [email protected].

Sie haben insbesondere folgende Rechte:

  • Auskunft nach Art. 25 DSG bzw. Art. 15 DSGVO über die zu Ihrer Person gespeicherten Daten
  • Berichtigung unrichtiger Daten nach Art. 32 DSG bzw. Art. 16 DSGVO
  • Löschung nach Art. 32 DSG bzw. Art. 17 DSGVO, soweit keine Aufbewahrungspflichten oder berechtigte Interessen entgegenstehen
  • Einschränkung der Bearbeitung nach Art. 32 DSG bzw. Art. 18 DSGVO
  • Datenübertragbarkeit nach Art. 28 DSG bzw. Art. 20 DSGVO in einem gängigen, maschinenlesbaren Format
  • Widerspruch gegen Bearbeitungen, die auf berechtigtem Interesse beruhen, nach Art. 30 DSG bzw. Art. 21 DSGVO
  • Widerruf von Einwilligungen mit Wirkung für die Zukunft

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, in der Schweiz beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), in der EU bei der Aufsichtsbehörde Ihres Wohnsitzstaates.

10. Datenschutz in der Plattform selbst

Administratorinnen und Administratoren finden in den Datenschutz-Einstellungen ihrer Kirche direkt im Produkt folgende Funktionen:

  • Verwaltung von Einwilligungen pro Person und Zweck (Datenbearbeitung, E-Mail- und SMS-Marketing, Fotonutzung)
  • Anlegen und Bearbeiten von Auftragsbearbeitungsvereinbarungen
  • Bearbeitung von Auskunfts- und Löschanträgen mit Statusverlauf
  • Definition kirchenspezifischer Aufbewahrungsregeln (Inaktivität, automatische Löschung, Vorankündigungen)
  • Sichtbarkeitseinstellungen für interne Verzeichnisse pro Feld
  • Vollständige Personen-Audit-Logs für Einsicht und Nachweis

11. Datensicherheit

Wir treffen technische und organisatorische Massnahmen zum Schutz Ihrer Daten. Dazu zählen unter anderem Transportverschlüsselung mit TLS 1.3, AES-256-Verschlüsselung ruhender Daten, kundengetrennte Datenverschlüsselungsschlüssel via Google Cloud KMS, strikte Mandantentrennung über Postgres Row-Level-Security, lückenlose Audit-Protokolle und automatisierte Sicherheits-Scans. Eine ausführliche Beschreibung steht unter iglesio.com/toms.

Bei Verdacht auf eine Datenschutzverletzung melden wir den Vorfall dem Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an Änderungen der Rechtslage, neue Plattformfunktionen oder geänderte Verarbeitungspraktiken anzupassen. Die jeweils aktuelle Fassung ist auf dieser Webseite verfügbar. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder über eine Benachrichtigung in der Plattform; in diesem Fall können wir eine erneute Bestätigung verlangen.

13. Kontakt

Für Fragen, Anregungen oder Beschwerden zum Datenschutz erreichen Sie uns unter:

Levyn Schneider (Einzelunternehmen)
Neumattstrasse 26
3127 Mühlethurnen, Schweiz
E-Mail: [email protected]