Datenschutzerklärung
Diese Datenschutzerklärung erläutert, wie Nina Costioli, tätig unter dem Namen Lead From Within (der „Coach", „wir", „uns"), Ihre personenbezogenen Daten erhebt, nutzt, weitergibt und schützt, wenn Sie leadfromwithin.ch (die „Website") besuchen oder unsere Coaching-Dienstleistungen (die „Dienstleistungen") in Anspruch nehmen.
Wir verarbeiten Ihre personenbezogenen Daten gemäss dem Schweizer Datenschutzgesetz (DSG / nDSG), und — wenn Sie im Europäischen Wirtschaftsraum (EWR) oder im Vereinigten Königreich wohnen — gemäss der EU-Datenschutz-Grundverordnung (DSGVO) sowie der UK-DSGVO.
01Verantwortliche Stelle für Ihre Daten
Verantwortliche Stelle für Ihre personenbezogenen Daten ist:
Nina Costioli — Einzelunternehmerin, tätig unter dem Namen Lead From Within
Schweiz
E-Mail: info@leadfromwithin.ch
Telefon: +41 78 732 07 16
Wir sind eine kleine Coaching-Praxis mit einer einzigen Praktikerin und sind gesetzlich nicht verpflichtet, eine·n Datenschutzbeauftragte·n (DSB) zu benennen. Bei Fragen zu Ihren personenbezogenen Daten schreiben Sie bitte an die obige E-Mail-Adresse mit dem Betreff „Datenschutzanfrage".
02Erhobene Daten
Wir erheben nur die personenbezogenen Daten, die wir tatsächlich für den Betrieb der Website und die Erbringung der Coaching-Dienstleistungen benötigen.
2.1 Daten, die Sie uns direkt geben
| Wann | Was wir erheben |
|---|---|
| Buchung eines kostenlosen Kennenlerngesprächs (Reservierungsformular) | Vollständiger Name, E-Mail-Adresse, Telefonnummer (optional), gewünschtes Thema (optional), gewähltes Datum/Uhrzeit |
| Erstellung eines Klienten-Kontos | Vollständiger Name, E-Mail-Adresse, Passwort (nur als gesalzener bcrypt-Hash gespeichert — niemals im Klartext) |
| Während Coaching-Engagements | Notizen, die Nina während der Sitzungen macht, von Ihnen erledigte Aufgaben, Tagebucheinträge, die Sie in Ihrem Konto verfassen, und Ressourcen, die wir mit Ihnen teilen |
| Kontakt per E-Mail | Inhalt Ihrer Nachricht und Ihre E-Mail-Adresse |
| Einreichung eines Testimonials (mit Einwilligung) | Ihr Name (oder Initialen, wenn Sie es vorziehen), das Zitat, das Sie liefern, Ihre Rolle/Firma falls erwähnt |
2.2 Automatisch erhobene Daten
- Sitzungs-Cookies — sobald Sie sich anmelden, identifiziert ein Cookie namens
lfw.sidIhre Browser-Sitzung. Es ist unbedingt erforderlich, um Sie angemeldet zu halten. - Server-Logs — unser Server erfasst vorübergehend Anfrage-Metadaten (IP-Adresse, Anfrage-Pfad, User-Agent, Zeitstempel) zur Sicherheit, Missbrauchsabwehr und Fehlerbehebung. Diese Logs werden in der Regel innerhalb von 30 Tagen gelöscht, ausser sie werden für eine laufende Sicherheitsuntersuchung benötigt.
- Speicher für Rate-Limiting — um Brute-Force-Angriffe auf Anmeldung und Passwort-Reset abzuwehren, halten wir Ihre IP-Adresse bis zu 1 Stunde im Speicher.
Wir verwenden derzeit keine Drittanbieter-Analyse, Werbe-Tracker oder Tools zur Verhaltensprofilierung. Siehe unsere Cookie-Richtlinie für die vollständige Liste.
2.3 Daten, die wir von Dritten erhalten
- Google Calendar / Google Meet — wenn Nina Ihre Buchung bestätigt, werden über die Calendar-API von Google ein Kalenderereignis und ein Meet-Link erstellt. Die Teilnehmer·innen des Ereignisses (Ihr Name und Ihre E-Mail) werden von Google verarbeitet.
- E-Mail-Anbieter (SMTP) — ausgehende E-Mails (Buchungsbestätigungen, Passwort-Reset, Willkommen, Verschiebungs-Benachrichtigungen) werden über einen SMTP-Anbieter geleitet. Der Anbieter verarbeitet zwangsläufig die E-Mail-Adresse der Empfänger·in und den Inhalt der Nachricht während der Übertragung.
03Wie und warum wir Ihre Daten nutzen
| Zweck | Beispiele |
|---|---|
| Betrieb der Website und Ihres Kontos | Anmelde-Sitzungen, Passwort-Reset, Konto-Einstellungen, Seiten-Sichtbarkeitseinstellungen |
| Bereitstellung der Coaching-Dienstleistungen | Sitzungen planen, bestätigen, verschieben und daran erinnern; Aufgaben, Notizen und Ressourcen teilen; Sitzungszahl gegen Ihr Paket verfolgen |
| Kommunikation mit Ihnen | Antworten auf Anfragen; Buchungsbestätigungen und Erinnerungen senden; Passwörter zurücksetzen |
| Sicherheit des Dienstes | Erkennung von Missbrauch, Brute-Force-Versuchen, Spam und unautorisiertem Zugriff |
| Erfüllung gesetzlicher Pflichten | Aufzeichnungen gemäss Schweizer Steuer- und Buchhaltungsrecht; Beantwortung rechtmässiger Anfragen zuständiger Behörden |
| Verbesserung der Website (aggregiert, nicht identifizierend) | Lesen von Roh-Fehlerprotokollen zur Fehlerbehebung; Überprüfung von Nutzungsmustern auf nicht identifizierender Ebene |
Wir verkaufen Ihre personenbezogenen Daten nicht und teilen sie nicht mit Marketing-Netzwerken, Datenmaklern oder Dritten zu Werbezwecken.
04Rechtsgrundlage der Verarbeitung
Soweit die DSGVO Anwendung findet, stützen wir uns auf folgende Rechtsgrundlagen:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — zur Erbringung der von Ihnen angefragten oder gebuchten Coaching-Dienstleistungen, einschliesslich Buchungsverwaltung und Klienten-Konto.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — für nicht-essentielle Cookies, für die Veröffentlichung namentlich gekennzeichneter Testimonials und wenn Sie dem Erhalt von Marketing- oder Newsletter-Mitteilungen ausdrücklich zugestimmt haben. Sie können die Einwilligung jederzeit widerrufen.
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — zur Aufrechterhaltung der Website-Sicherheit (Rate-Limiting, Missbrauchserkennung), zur Abwehr rechtlicher Ansprüche und zur unaufdringlichen Verbesserung unserer Dienstleistung. Soweit wir uns auf berechtigte Interessen stützen, haben wir diese gegen Ihre Rechte und Freiheiten abgewogen.
- Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — zur Aufbewahrung von Rechnungen und Zahlungen für die nach Schweizer Recht erforderlichen Zeiträume und zur Beantwortung rechtmässiger Anfragen von Aufsichtsbehörden oder Gerichten.
Soweit das Schweizer DSG Anwendung findet, verarbeiten wir personenbezogene Daten nur, wenn eine Rechtsgrundlage besteht (Einwilligung, Vertragserfüllung, überwiegendes berechtigtes Interesse oder eine gesetzliche Verpflichtung), in Übereinstimmung mit den Grundsätzen der Rechtmässigkeit, des guten Glaubens, der Zweckbindung, der Verhältnismässigkeit, der Richtigkeit und der Sicherheit.
05Weitergabe der Daten
Wir geben personenbezogene Daten nur an sorgfältig ausgewählte Dienstleister („Auftragsverarbeiter") weiter, die uns beim Betrieb der Website und der Erbringung des Coachings helfen, und nur im streng erforderlichen Umfang.
| Auftragsverarbeiter | Was er verarbeitet | Land |
|---|---|---|
| Hosting-/Infrastruktur-Anbieter | Alle Anfragen der Website, Logs, die Datenbank, hochgeladene Dateien | Europäische Union oder Schweiz |
| E-Mail-Anbieter (SMTP) | Ausgehende E-Mails an Sie (Bestätigungen, Reset-Links, Erinnerungen) | Europäische Union oder Schweiz (anbieterabhängig) |
| Google (Calendar / Meet) | Buchungsdatum/-uhrzeit, Namen und E-Mails der Teilnehmer·innen nur bei bestätigten Sitzungen | Vereinigte Staaten (mit Standardvertragsklauseln und EU-USA-Datenschutzrahmen) |
Wir können personenbezogene Daten auch an Anwält·innen, Buchhalter·innen, Wirtschaftsprüfer·innen oder zuständige Behörden weitergeben, wenn dies gesetzlich vorgeschrieben oder zur Verteidigung rechtlicher Ansprüche erforderlich ist.
06Internationale Übermittlungen
Wo immer möglich, verbleiben Ihre personenbezogenen Daten in der Schweiz oder im Europäischen Wirtschaftsraum. Die Hauptausnahme ist Google (Calendar und Meet), das Daten in die Vereinigten Staaten übermitteln kann. Solche Übermittlungen sind geschützt durch:
- Den EU–USA-Datenschutzrahmen (in Bezug auf zertifizierte Google-Einheiten), und
- Wo der Rahmen nicht greift, durch die Standardvertragsklauseln der Europäischen Kommission zusammen mit ergänzenden Massnahmen.
Sie können bei info@leadfromwithin.ch eine Kopie der Schutzmassnahmen anfordern.
07Speicherdauer
| Daten | Speicherdauer |
|---|---|
| Aktives Klienten-Konto (Name, E-Mail, Passwort-Hash) | Solange Sie das Konto behalten, plus 90 Tage nach Löschungsantrag zur Wiederherstellung |
| Buchungs- und Sitzungsaufzeichnungen | 10 Jahre nach der letzten Sitzung, zur Einhaltung der Schweizer Buchhaltungs- und Verjährungsfristen |
| Coaching-Notizen, Aufgaben, Tagebucheinträge | Werden bei Ihrer Konto-Löschungsanfrage umgehend gelöscht, ausser wir müssen sie zur Verteidigung oder Verfolgung rechtlicher Ansprüche aufbewahren |
| E-Mail-Logs (Zustellungs-Metadaten) | Bis zu 12 Monate |
| Server-Logs (IP, Anfrage-Pfad) | Typischerweise bis zu 30 Tage; länger nur bei aktiver Sicherheitsuntersuchung |
| Passwort-Reset-Tokens | Einmalverwendung, automatischer Ablauf nach 1 Stunde |
| Sitzungs-Cookies | Bis zur Abmeldung oder 1 Stunde Inaktivität, je nachdem, was zuerst eintritt |
| Aufzeichnung der Cookie-Einwilligung | 12 Monate ab Ihrer letzten Wahl, dann erneute Abfrage |
08Datensicherheit
Wir nehmen Datensicherheit ernst. Spezifische Massnahmen umfassen:
- HTTPS/TLS-Verschlüsselung für sämtlichen Datenverkehr zwischen Ihrem Browser und der Website.
- Passwörter werden nur als bcrypt-Hashes gespeichert (Kostenfaktor 12); Klartext-Passwörter werden nie gespeichert oder protokolliert.
- Strenge HTTP-Sicherheits-Header (Content-Security-Policy, HSTS, X-Frame-Options, Referrer-Policy).
- Pro-Route-Rate-Limiting an Anmelde-, Registrierungs-, Passwort-Reset- und Buchungs-Endpunkten zur Abwehr von Brute Force und Spam.
- Serverseitige Eingabevalidierung und parametrisierte SQL-Abfragen zur Verhinderung von Injektionen.
- Sitzungs-Cookies markiert mit
HttpOnly,SameSite=Lax,Securein Produktion; Rotation bei jeder Anmeldung. - Administrativer Zugriff beschränkt auf Nina Costioli; Admin-Aktionen sind durch eine separate Rollenprüfung bei jeder Anfrage geschützt.
- Regelmässige Überprüfung und Aktualisierung der Abhängigkeiten.
Keine Übertragungs- oder Speichermethode ist 100 % sicher. Wir werden Sie und die zuständige Aufsichtsbehörde gemäss unseren gesetzlichen Pflichten über jede Verletzung personenbezogener Daten benachrichtigen (innerhalb von 72 Stunden nach Kenntnisnahme, soweit erforderlich).
09Cookies und Tracking
Wir verwenden eine kleine Anzahl von Cookies und ähnlichen Technologien. Unbedingt
erforderliche Cookies (wie das Sitzungs-Cookie lfw.sid) werden
automatisch gesetzt, wenn Sie sich anmelden. Nicht-essentielle Cookies werden
erst gesetzt, nachdem Sie über das Cookie-Banner zugestimmt haben.
Lesen Sie die vollständige Aufstellung — einschliesslich Cookie-Namen, Zwecken und Dauer — in unserer Cookie-Richtlinie. Sie können Ihre Einstellungen jederzeit ändern, indem Sie auf klicken.
10Ihre Rechte
Vorbehaltlich des anwendbaren Rechts haben Sie folgende Rechte:
- Auskunft — Bestätigung darüber zu erhalten, ob wir Ihre Daten verarbeiten, sowie eine Kopie davon.
- Berichtigung — unrichtige oder unvollständige Daten zu berichtigen. Sie können Ihren Namen und Ihr Passwort direkt in Ihren Konto-Einstellungen bearbeiten.
- Löschung („Recht auf Vergessenwerden") — die Löschung Ihrer Daten zu verlangen, vorbehaltlich gesetzlicher Aufbewahrungsausnahmen. Sie können die Löschung über Ihre Konto-Seite auslösen.
- Einschränkung der Verarbeitung — uns in bestimmten Fällen aufzufordern, die Verarbeitung auszusetzen.
- Datenübertragbarkeit — eine strukturierte, maschinenlesbare Kopie der von Ihnen bereitgestellten Daten zu erhalten. Sie können sie über Ihre Konto-Seite herunterladen.
- Widerspruch — gegen eine Verarbeitung auf Grundlage unserer berechtigten Interessen zu widersprechen.
- Widerruf der Einwilligung — für jede auf Einwilligung beruhende Verarbeitung, einschliesslich nicht-essentieller Cookies und Marketing-E-Mails. Der Widerruf berührt die Rechtmässigkeit der zuvor erfolgten Verarbeitung nicht.
- Nicht einer Entscheidung unterworfen zu werden, die ausschliesslich auf automatisierter Verarbeitung beruht — siehe Abschnitt 12.
- Beschwerde einzulegen bei der zuständigen Aufsichtsbehörde — siehe Abschnitt 14.
Um eines dieser Rechte auszuüben, melden Sie sich in Ihrem Konto an und nutzen die Datenschutz & Daten-Steuerelemente, oder schreiben Sie an info@leadfromwithin.ch. Wir antworten innerhalb von 30 Tagen. Wir müssen Ihre Identität möglicherweise überprüfen, bevor wir einer Anfrage nachkommen.
11Kinder
Lead From Within richtet sich an Erwachsene. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren (oder dem entsprechenden Alter der digitalen Einwilligung in Ihrem Land). Wenn Sie glauben, ein Kind hat uns personenbezogene Daten übermittelt, kontaktieren Sie uns bitte und wir werden sie umgehend löschen.
12Automatisierte Entscheidungen und Profiling
Wir treffen keine Entscheidungen über Sie, die ausschliesslich auf automatisierter Verarbeitung beruhen, und betreiben kein Profiling, das rechtliche oder ähnlich bedeutsame Wirkungen entfaltet.
13Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Das Datum „Letzte Aktualisierung" oben auf der Seite zeigt, wann zuletzt Änderungen vorgenommen wurden. Wesentliche Änderungen werden per E-Mail (an Kontoinhaber·innen) oder durch ein Banner auf der Website bekannt gegeben.
14Kontakt und Beschwerden
Bei Fragen zu dieser Erklärung oder zur Ausübung Ihrer Rechte:
Nina Costioli — Lead From Within
E-Mail: info@leadfromwithin.ch
Telefon: +41 78 732 07 16
Wenn Sie der Ansicht sind, dass wir Ihre personenbezogenen Daten unrechtmässig behandelt haben, können Sie eine Beschwerde bei der zuständigen Aufsichtsbehörde einreichen. Insbesondere:
- Schweiz — Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), www.edoeb.admin.ch.
- Europäischer Wirtschaftsraum — Ihre lokale Datenschutzbehörde. Eine Liste finden Sie auf edpb.europa.eu.
- Vereinigtes Königreich — Information Commissioner's Office (ICO), ico.org.uk.
Wir würden uns jedoch über die Möglichkeit freuen, Ihre Anliegen zuerst zu klären — bitte nehmen Sie Kontakt auf.
Die französische und deutsche Übersetzung dieser Erklärung wird zur Vereinfachung bereitgestellt. Bei Widersprüchen ist die englische Fassung massgebend.