Roofy.

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne des Schweizer Datenschutzgesetzes (revDSG) ist:

FNPlan GmbH

Auhof 5, 8853 Lachen SZ, Schweiz

CHE-370.591.803 MWST

Geschäftsführer: Fabian Nünlist

Kontakt: info@roofy.ch

2. Erhobene Daten

Wir erheben und verarbeiten folgende personenbezogene Daten:

  • Account-Daten: Name, E-Mail-Adresse, Passwort (als Hash gespeichert)
  • Projekt-Daten: Original-Drohnenbilder (JPEG, temporär bis zur ODM-Verarbeitung, danach gelöscht), EXIF-Metadaten inkl. GPS-Koordinaten, ODM-Ergebnisse (Orthomosaic, DSM/DTM-Höhenmodelle, 3D-Punktwolke), Messergebnisse, Polygone, generierte PDF-Reports und DXF-Exports.
  • Nutzungsdaten: IP-Adresse, Browser-Typ, Zugriffszeitpunkt
  • Zahlungsdaten: werden über Stripe verarbeitet und nicht direkt bei uns gespeichert

3. Zweck der Datenverarbeitung

Wir verarbeiten Ihre Daten für folgende Zwecke (Art. 19 Abs. 2 lit. b DSG):

  • Bereitstellung und Betrieb des Dachvermessungs-Service Roofy
  • Bildverarbeitung: Hochgeladene Original-Drohnenbilder (JPEG) werden temporär im Supabase Storage (Region Zurich, Schweiz) abgelegt und an unsere ODM-Server bei Hetzner (Falkenstein, Deutschland) zur photogrammetrischen Auswertung mit der Open-Source-Software NodeODM/OpenDroneMap übermittelt. Aus den Original-Drohnenbildern entsteht ein Orthomosaic (zusammengesetztes Top-Down-Bild des Dachs), ein digitales Höhenmodell (DSM/DTM) und eine 3D-Punktwolke. Nach Abschluss der ODM-Verarbeitung (typisch ~20–30 Min, auch bei Fehlschlag) werden die Original-Drohnenbilder automatisch aus dem Supabase Storage gelöscht. Die ODM-Ergebnisse (Orthomosaic, DSM/DTM, Punktwolke) verbleiben auf den Hetzner-Servern bis zur Projekt- oder Kontolöschung; sie bilden die Grundlage für die anschliessende Vermessung im Mess-Tool.
  • Solar-Potenzial-Zusatzinfos: Beim Öffnen einer Mess-Session werden die GPS-Koordinaten aus den EXIF-Metadaten der Original-Drohnenbilder automatisch an sonnendach.ch (Bundesamt für Energie BFE) übermittelt, um Solar-Potenzial-Zusatzinformationen zum Dach (Ausrichtung, Stromertrag, Dachflächen) abzurufen und im Mess-Tool anzuzeigen. Diese Daten sind rein informativ und fliessen nicht in die Vermessung ein. Die Dachneigung wird Roofy-intern aus dem digitalen Höhenmodell (DSM) berechnet, kein externer API-Call.
  • Transaktions-E-Mails: Passwort-Reset, Team-Einladungen und Benachrichtigungen über abgeschlossene Vermessungen werden über Resend versendet
  • Zahlungsabwicklung über Stripe
  • Kontoführung und Authentifizierung Rechtsgrundlagen für EU-Nutzer (DSGVO): Sofern für Sie als Nutzer mit Wohnsitz in der EU die DSGVO Anwendung findet, sind die Rechtsgrundlagen unserer Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) für Account- und Projekt-Daten; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit) für Server-Logs; Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für die zehnjährige Aufbewahrung von Zahlungsdaten gemäss OR Art. 958f.

4. Empfänger und Drittdienste

Folgende Drittanbieter erhalten im Rahmen der Leistungserbringung Zugang zu personenbezogenen Daten (Art. 19 Abs. 2 lit. c DSG):

  • Supabase Inc. — Datenbank, Account-Daten, temporäre Drohnenbild-Ablage (vor ODM-Verarbeitung), generierte PDF-Reports und DXF-Exports (Daten-Standort: Region Zurich, Schweiz, AWS eu-central-2). Hinweis: Mutterfirma in den USA — abstraktes US-CLOUD-Act-Risiko, mitigiert durch Verschlüsselung at-rest und Auftragsverarbeitungs-Vertrag (DPA).
  • Hetzner Online GmbH (Falkenstein, Deutschland/EU) — ODM-Server für die photogrammetrische Pipeline. Empfängt Original-Drohnenbilder vom Supabase Storage zur Verarbeitung und speichert anschliessend die ODM-Ergebnisse (Orthomosaic, DSM/DTM-Höhenmodelle, Punktwolke) bis zur Projekt- oder Kontolöschung.
  • Vercel Inc. — Frontend-Hosting (USA, Swiss-U.S. Data Privacy Framework zertifiziert)
  • Stripe Payments Europe, Ltd. / Stripe, Inc. — Zahlungsabwicklung (Irland/USA, Swiss-U.S. Data Privacy Framework zertifiziert)
  • Resend, Inc. — Versand von Transaktions-E-Mails (USA, Swiss-U.S. Data Privacy Framework zertifiziert)
  • Bundesamt für Energie (BFE) — sonnendach.ch (Schweiz). Empfänger der GPS-Koordinaten beim Öffnen einer Mess-Session, um informative Solar-Potenzial-Daten zum Dach abzurufen.

5. Datenexport ins Ausland

Drohnenbilder und Messdaten werden auf Servern in Deutschland (Hetzner Online GmbH) verarbeitet — sie verlassen die EU nicht. Account- und Nutzungsdaten werden an Dienstleister in den USA übermittelt (Vercel, Stripe, Resend). Diese drei Anbieter sind unter dem Swiss-U.S. Data Privacy Framework (in Kraft seit 15.09.2024) selbst-zertifiziert; der Bundesrat anerkennt damit für sie ein angemessenes Datenschutzniveau (Art. 16 Abs. 1 revDSG i.V.m. Anhang 1 DSV). Zusätzlich bestehen Auftragsverarbeitungs-Verträge mit Standardvertragsklauseln (SCC, EU-Modul) mit den Anbietern.

6. Aufbewahrungsdauer

  • Account-Daten: bis zur aktiven Kontolöschung durch den Nutzer oder bis zur automatischen Löschung 120 Tage nach Sub-Ende (Details siehe Sektion 10).
  • Projekt-Daten: Original-Drohnenbilder werden automatisch ~20–30 Min nach Upload aus dem Supabase Storage gelöscht (nach Abschluss der ODM-Verarbeitung, auch bei Fehlschlag). ODM-Ergebnisse (Orthomosaic, DSM/DTM, Punktwolke), Messdaten, PDF-Reports und DXF-Exports bleiben bis zur Projekt- oder Kontolöschung erhalten.
  • Zahlungsdaten: 10 Jahre gemäss gesetzlicher Aufbewahrungspflicht (Art. 958f OR).
  • Server-Logs: kurzlebig durch die jeweiligen Infrastruktur-Anbieter aufbewahrt (Vercel-Edge-Logs typisch ~24h, Supabase Postgres-Logs ~7 Tage, Hetzner-Container-Logs bis Container-Neustart oder Log-Rotation). Es findet keine zentrale Log-Aggregation mit erweiterter Aufbewahrung statt.

7. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 25 DSG): Sie können Auskunft über die über Sie gespeicherten Daten verlangen.
  • Recht auf Datenherausgabe (Art. 28 DSG): Sie können Ihre Daten in einem gängigen Format verlangen.
  • Recht auf Berichtigung: Sie können die Korrektur unrichtiger Daten verlangen.
  • Recht auf Löschung: Sie können die Löschung Ihrer Daten verlangen.
  • Beschwerderecht: Sie können eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einreichen. EU-Nutzer können sich zudem an die zuständige nationale Aufsichtsbehörde ihres Wohnsitzstaates wenden. Für EU-Nutzer zusätzlich: Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Widerspruchsrecht gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen (Art. 21 DSGVO), Recht auf Datenportabilität (Art. 20 DSGVO) — Roofy stellt einen ZIP-Export jederzeit über die Settings-Seite bereit.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter info@roofy.ch.

8. Cookies

Roofy verwendet ausschliesslich technisch notwendige Cookies. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Konkret eingesetzte Cookies: (1) Better-Auth Session-Cookie (better-auth.session_token) für die Authentifizierung, Lebensdauer bis zu 7 Tage (Better-Auth Default, kein Custom-Override). (2) Sprach-Cookie (NEXT_LOCALE) für die Auswahl der Anzeige-Sprache — Session-Cookie ohne max-age (wird vom Browser beim Schliessen verworfen, next-intl Default). (3) Organisations-Cookie (activeOrganizationId) für den Org-Kontext bei Multi-Org-Nutzern, an die Better-Auth-Session gekoppelt (bis zu 7 Tage). Beim Klick auf Bezahlen werden Sie zu Stripe weitergeleitet, wo Stripe eigene Cookies auf der stripe.com-Domain setzt — diese liegen ausserhalb des Roofy-Geltungsbereichs.

9. Kontolöschung

Sie können Ihr Konto jederzeit selbstständig in den Profileinstellungen löschen. Dabei werden Ihr Account, alle Projekte und alle hochgeladenen Bilder unwiderruflich gelöscht (Cascade Delete).

10. Automatische Datenlöschung nach Abo-Ende

Nach einer Kündigung deines Roofy-Abos bleiben alle Projekt- und Messdaten zunächst für 90 Tage im Readonly-Zugriff — du kannst sie in diesem Zeitraum weiter ansehen und jederzeit als ZIP-Archiv exportieren, aber keine neuen Messungen starten. Danach beginnt eine 30-tägige Warnphase, während der wir dich per E-Mail an Tag 60, Tag 90 und Tag 113 erinnern. 120 Tage nach der Kündigung werden alle Organisations-Daten (Projekte, Messungen, Polygone, PDF-Reports und DXF-Exports) unwiderruflich gelöscht — sowohl in der Datenbank als auch im Supabase-Storage und auf unseren NodeODM-Servern (Hetzner). Ausnahmen: Stripe-Rechnungen bleiben gemäss Schweizer Obligationenrecht (OR Art. 958f) für 10 Jahre erhalten. Interne Audit-Log-Einträge zur Löschung (Zeitpunkt, Grund, Counts) werden während 10 Jahren aufbewahrt — analog zur gesetzlichen Aufbewahrungspflicht für Geschäftsbücher gemäss Art. 958f OR. Die Aufbewahrung erfolgt zur Rechenschaftspflicht gemäss revDSG. Du kannst deine Daten jederzeit manuell vor Ablauf der 120 Tage über die Settings-Seite als ZIP exportieren (Recht auf Datenherausgabe gemäss Art. 28 revDSG bzw. Datenportabilität gemäss Art. 20 DSGVO). Rechtsgrundlagen: Art. 6 Abs. 4 revDSG (Datenminimierung), DSGVO Art. 5 Abs. 1 lit. e (Speicherbegrenzung), DSGVO Art. 17 (Recht auf Löschung) und DSGVO Art. 20 (Datenportabilität).

11. GPS-Daten und Drohnenaufnahmen Dritter

Original-Drohnenbilder enthalten in der Regel GPS-Koordinaten in den EXIF-Metadaten. Diese werden beim Öffnen einer Mess-Session automatisch an sonnendach.ch (Bundesamt für Energie BFE) übermittelt, um Solar-Potenzial-Zusatzinfos zum Dach abzurufen. Die GPS-Koordinaten der Original-Drohnenbilder werden zusammen mit den JPEG-Originalen aus dem Supabase Storage gelöscht, sobald die ODM-Verarbeitung abgeschlossen ist (typisch ~20–30 Min nach Upload). GPS-Referenzen in den ODM-Ergebnissen — im georeferenzierten Orthomosaic, im DSM/DTM und in der Punktwolke — bleiben bis zur Projekt- oder Kontolöschung erhalten. Drohnenaufnahmen können zudem Personen, Fahrzeuge, Kennzeichen oder Privateigentum Dritter (Nachbarn, Gärten) zeigen. Für solche Aufnahmen ist der Nutzer als Drohnen-Pilot Verantwortlicher im Sinne von Art. 5 lit. j revDSG; Roofy ist Auftragsbearbeiter im Sinne von Art. 5 lit. k revDSG und verarbeitet die Bilder ausschliesslich auf Weisung des Nutzers zur Erbringung der Mess-Dienstleistung. Der Nutzer ist verpflichtet, vor dem Drohnenflug die Persönlichkeits- und Datenschutzrechte Dritter zu prüfen (insbesondere Art. 28 ZGB sowie die Bearbeitungsgrundsätze nach Art. 6 revDSG). Detail-Pflichten regelt Ziffer 4 unserer AGB.

12. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen. Die aktuelle Version ist auf dieser Seite verfügbar.