Datenschutzerklärung

craiready.com, craiready.ch & platform.craiready.ch — codAIx GmbH, CRA-Compliance-Plattform · Stand: 16.07.2026

1. Verantwortliche Stelle

Für die Datenverarbeitung auf der Marketing-Webseite craiready.ch sowie auf dem Kundenportal platform.craiready.ch ist verantwortlich:

codAIx GmbH
c/o JULITH GmbH
Erlengasse 3
8240 Thayngen, Schweiz

Handelsregister: Kanton Schaffhausen, UID CHE-249.882.147.
Geschäftsführung: Dr. Judith Behr (Vorsitzende), Thomas Riehn.
E-Mail Datenschutz: datenschutz@codaix.ch.

Vertreterin in der EU gemäss Art. 27 DSGVO:
JULITH UG (haftungsbeschränkt)
Rennbahnstrasse 72
60528 Frankfurt am Main, Deutschland
Handelsregister: AG Frankfurt am Main, HRB 138446.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die öffentliche Marketing-Webseite craiready.com bzw. craiready.ch (Single-Page-Application, gehostet auf dem eigenen Server der JULITH GmbH in Thayngen, CH) und für das Kundenportal platform.craiready.ch (CRA-Compliance-Management).

codAIx ist eine Schweizer Gesellschaft; soweit Dienste an Personen in der EU gerichtet sind, gilt zusätzlich die DSGVO (Art. 3 Abs. 2, Marktortprinzip). Berücksichtigt werden daher sowohl das Schweizer Datenschutzgesetz (nDSG) als auch die DSGVO.

3. Hosting und technischer Betrieb

3.1 Marketing-Webseite (craiready.ch)

Die Webseite wird auf dem eigenen Server der JULITH GmbH in Thayngen (Schweiz) gehostet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb).

3.2 Kundenportal (platform.craiready.ch)

Das Portal wird auf demselben eigenen Server der JULITH GmbH in Thayngen (Schweiz) gehostet (openresty/nginx, serverseitiges Rendering). Zur Drittlandübermittlung Schweiz siehe Abschnitt 11.

4. Erhobene Daten — alle Angebote

4.1 Server-Logfiles

[Webseite + Portal] Der Hosting-Provider protokolliert automatisch: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Referrer, Browser (User-Agent). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: max. 14 Tage.

4.2 Web-Analytics

[Webseite] Auf craiready.ch werden keine Tracker oder Analyse-Tools eingesetzt — keine Erfassung des Nutzungsverhaltens, weder mit noch ohne Cookies.

[Portal] Auf platform.craiready.ch wird Umami eingesetzt — ein datenschutzfreundliches, cookieloses Web-Analyse-Tool. Server: umami.julith.gmbh, betrieben durch die JULITH GmbH, Thayngen (CH). Keine Cookies, keine IP-Speicherung; Wiedererkennung über täglich rotierenden Hash (kein dauerhaftes Tracking). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (dokumentierte Interessenabwägung, LIA-2026-001). Auftragsverarbeiter: JULITH GmbH (AVV nach Art. 28 DSGVO). Opt-Out über Do-Not-Track.

4.3 Cookies

[Webseite] Es werden derzeit keine Cookies gesetzt; im Browser wird lediglich die Datenschutz-Einstellung des Nutzers lokal gespeichert (localStorage „codaix_cookie_consent").
[Portal] Session-Cookie „session" (UUID, 24 h, HttpOnly, SameSite=Lax). Beides ist technisch notwendig und einwilligungsfrei (Art. 5 Abs. 3 ePrivacy-RL, § 25 Abs. 2 Nr. 2 TDDDG, Art. 45c nFMG).

5. Erhobene Daten — Marketing-Webseite (craiready.com / craiready.ch)

5.1 Kontaktformulare / Kontaktanfragen

Name, E-Mail (Pflicht), ggf. Unternehmensname, Nachricht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Speicherdauer: ohne Abschluss 3 Jahre, bei Vertragsabschluss bis 10 Jahre (Art. 958f OR).

5.2 Schriftarten

DM Sans und Instrument Serif werden lokal gehostet — keine Übermittlung an externe Dienste (z. B. Google Fonts).

5.3 Quick-Check und Überleitung in die Plattform

Der Quick-Check auf der Marketing-Webseite läuft im Browser. Wählen Sie nach dem Ergebnis „In der Plattform loslegen", übermittelt die Webseite die bis dahin gegebenen Quick-Check-Antworten (Produkt-/Scope-Angaben, in der Regel ohne Personenbezug, keine besonderen Datenkategorien) und — sofern angegeben — Ihre E-Mail-Adresse an unsere Plattform/Steuerungsebene (eigener Server in Thayngen, CH). Dort werden die Angaben zunächst als pseudonyme Vorbefüllung mit Zugriffstoken gespeichert und bei Ihrer Registrierung Ihrem Konto zugeordnet; die Plattform berechnet die CRA-Einstufung eigenständig neu. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO. Ohne aktive Auswahl der Überleitung erfolgt keine Übermittlung; nicht übergebene Entwürfe werden nach kurzer Frist verworfen.

5.4 Newsletter (optional)

Gibt der Nutzer seine E-Mail-Adresse an und stimmt dem Newsletter aktiv zu (separate, nicht vorausgewählte Checkbox), verarbeiten wir die E-Mail-Adresse zum Versand des Newsletters. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (z. B. über den Abmeldelink in jeder Newsletter-E-Mail). Ohne Newsletter-Einwilligung wird die E-Mail-Adresse nur für den jeweils gewählten Zweck verwendet (z. B. Zusendung des Quick-Check-Ergebnisses) und nicht für Werbung.

5.5 Direktansprache von Geschäftskontakten (B2B-Vertrieb)

Wir sprechen Ansprechpersonen in Unternehmen direkt an — selbst oder über unsere selbständigen Vertriebspartner —, um über unsere Produkte und Leistungen zu informieren. Verarbeitet werden berufliche Kontaktdaten (Name, Funktion, Unternehmen, geschäftliche E-Mail-Adresse, Telefonnummer) sowie öffentlich zugängliche Angaben zum Unternehmen.

Herkunft der Daten: Die Daten stammen (a) von Ihnen selbst (z. B. Messe- oder Veranstaltungskontakt, Visitenkarte, Anfrage) — in diesem Fall informieren wir Sie zum Zeitpunkt der Erhebung (Art. 13 DSGVO) —, (b) aus öffentlich zugänglichen Quellen, die wir selbst auswerten (Unternehmenswebseiten, berufliche Netzwerke, Handelsregister), oder (c) von unseren selbständigen Vertriebspartnern, die sie im Rahmen ihrer eigenen Akquisetätigkeit erhoben haben (Art. 14 Abs. 2 lit. f DSGVO). In den Fällen (b) und (c) informieren wir Sie spätestens innerhalb eines Monats nach Erhalt der Daten bzw. mit unserer ersten Mitteilung an Sie (Art. 14 Abs. 3 DSGVO).

Zweck und Rechtsgrundlage: Erstansprache und Anbahnung von Geschäftsbeziehungen im B2B-Bereich sowie deren Verwaltung in unserem Vertriebssystem (Lead-Register). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Direktansprache von Geschäftskunden) bzw. Art. 31 Abs. 1 nDSG. Werbliche Ansprache per E-Mail oder Telefon erfolgt nur in dem wettbewerbsrechtlich zulässigen Rahmen (insbesondere § 7 UWG in Deutschland).

Vertriebspartner: Unsere selbständigen Vertriebspartner erheben und nutzen Interessentendaten für ihre eigene Akquisetätigkeit als eigenständige Verantwortliche; Name und Kontaktdaten des jeweiligen Vertriebspartners ergeben sich aus der jeweiligen Nachricht, und die vorstehenden Hinweise (Zwecke, Herkunft, Speicherfrist, Ihre Rechte) gelten insoweit entsprechend. Mit der Registrierung eines Interessenten in unserem Vertriebssystem übermitteln sie die Daten an uns; ab diesem Zeitpunkt sind wir Verantwortliche. Soweit Vertriebspartner Daten ausschliesslich in unserem Vertriebssystem nach unserer Weisung pflegen, handeln sie insoweit als Auftragsverarbeiter (Art. 28 DSGVO).

Speicherdauer: Interessentendaten werden gelöscht, wenn sie für die Anbahnung nicht mehr erforderlich sind, spätestens 18 Monate nach dem letzten Kontakt ohne weitergehende Geschäftsbeziehung. Massgebliches Kriterium für diese Frist sind die typischen Beschaffungs- und Compliance-Zyklen unserer Zielkunden im Zusammenhang mit dem Cyber Resilience Act (Hauptpflichten ab Dezember 2027), die regelmässig deutlich über ein Jahr hinausreichen. Bei einem Widerspruch werden die Daten nur noch zur Sicherstellung des Widerspruchs vorgehalten (Sperrliste).

Widerspruchsrecht: Sie können der Verarbeitung Ihrer Daten für Zwecke der Direktwerbung jederzeit formlos widersprechen (Art. 21 Abs. 2 DSGVO) — wahlweise gegenüber dem jeweiligen Vertriebspartner oder an datenschutz@codaix.ch; Widersprüche werden wechselseitig weitergeleitet und von beiden Verantwortlichen beachtet. Nach einem Widerspruch verarbeiten wir Ihre Daten nicht mehr für diese Zwecke (Art. 21 Abs. 3 DSGVO).

6. Erhobene Daten — Kundenportal (platform.craiready.ch)

Für die vom Kunden eingegebenen Geschäftsdaten (Produktdaten, Lieferkettendaten, SBOM) ist die codAIx GmbH Auftragsverarbeiterin (Art. 28 DSGVO); für Benutzerkonten und Zugriffsprotokollierung ist sie selbst Verantwortliche. Verarbeitet werden u. a.:

  • Benutzerkonto: E-Mail, Passwort (bcrypt-Hash), Rolle, Anmeldedaten (Art. 6 Abs. 1 lit. b DSGVO).
  • Unternehmens- und Produktdaten, SBOM (CycloneDX/SPDX), Abhängigkeiten/Komponenten.
  • Schwachstellen-/Sicherheitsdaten: CVE, CVSS/EPSS, Risikobewertungen, KI-Triage, Status.
  • Melde-/Compliance-Daten (Art. 14 CRA), Konformitätsnachweise, CRA-Status.
  • Lieferkettendaten, Nutzungs-/Audit-Logs (Art. 6 Abs. 1 lit. c DSGVO; Audit-Logs während Vertragslaufzeit, mind. 3 Jahre; Zugriffsprotokolle 14 Tage).
  • API-Schlüssel (NVD, GitHub, LLM) verschlüsselt gespeichert (AES-256).
  • Zahlungs- und Rechnungsdaten bei kostenpflichtigen Plänen (Name, Rechnungsanschrift, Zahlungsmittel-/Transaktionsdaten); die Zahlungsabwicklung erfolgt über den Dienstleister Stripe (Art. 6 Abs. 1 lit. b DSGVO).

7. KI-gestützte Funktionen (nur Portal)

Die KI-Funktionen sind vollständig konfigurierbar und standardmässig aktiviert; im Default läuft die selbst gehostete KI (Ollama) serverseitig — im SaaS-Modell auf den Servern von codAIx, im On-Premise-Modell beim Kunden — ohne Übermittlung an Dritte.

7.1 Unterstützte KI-Anbieter

  • Cloud (USA): Anthropic Claude API und OpenAI GPT API. Die Übermittlung in die USA erfolgt nur bei aktivierter Cloud-KI und gewähltem Anbieter — bei OpenAI gestützt auf den EU-US Data Privacy Framework (Angemessenheitsbeschluss, Art. 45 DSGVO), bei Anthropic auf Standardvertragsklauseln (Art. 46 DSGVO).
  • Selbst gehostet (lokales Modell): Ollama (z. B. gpt-oss) als selbst gehostetes Modell — keine externe Datenübermittlung. Achtung: das lokale Modell via Ollama ist nicht mit der OpenAI-Cloud-API zu verwechseln.

Standardzustand ist die selbst gehostete KI (Ollama, serverseitig); der Kunde kann stattdessen eine Cloud-KI (Anthropic/OpenAI, USA) wählen oder die KI ganz abschalten. Die Anbieterwahl gilt als Weisung des Kunden, welche (etwaige) Drittlandübermittlung stattfindet.

7.2–7.5 Zwecke, übermittelte Daten, Transparenz, Opt-Out

Zwecke: Schwachstellen-Triage, Dokumentgenerierung, Risikobewertung, KI-Chat.

Nur bei expliziter Aktivierung werden an den gewählten Anbieter übermittelt: CVE-Daten, Produktinformationen, SBOM-Metadaten (Zusammenfassungen, keine Roh-SBOMs) und Benutzereingaben (Prompts; können beschreibende Produktinhalte enthalten).

Niemals übermittelt werden: Passwörter/Authentifizierungsdaten, Portal-API-Schlüssel, Lieferkettendaten/Kundenbeziehungen, Audit-Logs, vollständige SBOM-Rohdateien.

Transparenz nach Art. 50 AI Act: KI-Inhalte werden gekennzeichnet, Nutzer werden über KI-Verarbeitung informiert, KI-Empfehlungen sind unverbindliche Vorschläge ohne rechtlich bindende Wirkung; alle finalen Entscheidungen treffen Menschen (Human-in-the-Loop).

Opt-Out: KI jederzeit vollständig deaktivierbar oder ausschliesslich lokal (Ollama) betreibbar; die Kernfunktionen des Portals sind auch ohne KI nutzbar (KI-gestützte Funktionen sind optional und abschaltbar).

8. Externe Dienste und APIs (nur Portal)

Zur Anreicherung von SBOM- und Schwachstellendaten greift das Portal auf folgende Quellen zu:

DienstBetreiber / StandortZweckÜbermittelte Daten
NVD APINIST (USA)CVE-/SchwachstellendatenCVE-IDs, Produktversionen
OSV.devGoogle (USA)Open-Source-SchwachstellenPaketname + Ökosystem + Version
CISA KEVCISA (USA)Bekannte ausgenutzte Schwachstellenreiner Feed-Abruf (Download) — keine Übermittlung
EUVDENISA (EU)EU-SchwachstellendatenbankCVE-/Schwachstellen-Kennungen
Paket-Registries (PyPI, npm, crates.io, Maven Central)div. (überw. USA)Lizenz-/MetadatenPaketnamen
GitHub APIMicrosoft (USA)OSS-Lebenszyklus/EOL (archiviert? letztes Release? Lizenz?)Repository-Namen (URL-Pfad); zentrales codAIx-Token
Anthropic Claude APIAnthropic (USA)KI (optional, nur bei Aktivierung)siehe Abschnitt 7
OpenAI GPT APIOpenAI (USA)KI (optional, nur bei Aktivierung)siehe Abschnitt 7

Richtung der Übermittlung (serverseitig). Sämtliche vorgenannten Anreicherungsabfragen baut die codAIx-Plattform serverseitig auf (im On-Premise-Betrieb der lokale Server des Kunden). Der Browser des Nutzers kontaktiert diese Dienste nie direkt; es wird keine Nutzer-IP an sie übermittelt. Übermittelt werden ausschliesslich technische Komponenten-Kennungen (CVE-Nummern, Paketnamen/-versionen, Repository-Namen) ohne Rückschluss auf Kunde, Produkt oder Person.

Auslöser. OSV-/NVD-/Registry-Anreicherung erfolgt automatisch bei jedem SBOM-Scan/Import; KEV-/Schwachstellen-Polling automatisch im Hintergrund (alle 6 h); GitHub-EOL-Prüfung automatisch (täglich). Der Git-Repository-Import und eine etwaige GitHub-Issue-Benachrichtigung an Upstream erfolgen nur auf ausdrückliche Nutzeraktion.

Abschaltbarkeit. Die Anreicherungsabfragen (OSV, NVD, CISA KEV, EUVD, Paket-Registries, GitHub-EOL) sind betriebsnotwendig und derzeit nicht einzeln deaktivierbar. Die KI-Funktionen sind hingegen vollständig optional, standardmässig aktiviert und laufen im Default selbst gehostet (Ollama, serverseitig); eine Cloud-KI ist wählbar oder die KI ganz abschaltbar.

[Webseite] Die Marketing-Webseite lädt das codAIx-Logo von codaix.gmbh; Schriftarten werden lokal gehostet. Ein externes CDN wird nicht eingesetzt.

9. Rechtsgrundlagen

VerarbeitungszweckDSGVOnDSG
Betrieb Webseite/Portal, Server-LogfilesArt. 6 Abs. 1 lit. fArt. 31 Abs. 1
Vertragserfüllung (Account, Kundenvertrag)Art. 6 Abs. 1 lit. bArt. 31 Abs. 2 lit. a
Web-Analytics (Umami, nur Portal)Art. 6 Abs. 1 lit. fArt. 31 Abs. 1
KI-Funktionen (bei Aktivierung)Art. 6 Abs. 1 lit. bArt. 31 Abs. 1
CRA-Dokumentation, Audit-LogsArt. 6 Abs. 1 lit. cArt. 31 Abs. 2 lit. b
Kontaktformulare, Demo-AnfragenArt. 6 Abs. 1 lit. bArt. 31 Abs. 2 lit. a

Zusätzlich: Art. 50 AI Act (EU) 2024/1689, Art. 13/14 CRA (EU) 2024/2847, Art. 5 Abs. 3 ePrivacy-RL / § 25 TDDDG / Art. 45c nFMG.

10. Weitergabe an Dritte und Auftragsverarbeiter

  • Hosting-Anbieter (Webseite und Portal): JULITH GmbH, Thayngen (CH) — eigener Server; AVV nach Art. 28 DSGVO geschlossen.
  • JULITH GmbH (Thayngen, CH): Betrieb des Umami-Servers (AVV nach Art. 28 DSGVO).
  • KI-Anbieter (nur bei Aktivierung): Anthropic (USA) oder OpenAI (USA) — Anbieterwahl durch den Kunden; Alternative Ollama (lokal, keine Übermittlung).
  • Öffentliche/technische Quellen (serverseitig): NVD (NIST), OSV (Google), CISA KEV, EUVD (ENISA), GitHub sowie Paket-Registries (PyPI/npm/crates.io/Maven Central) — ausschliesslich technische Kennungen ohne Personenbezug.
  • Zahlungsdienstleister: Stripe Payments Europe, Ltd. (Irland) — Abrechnung und Zahlungsabwicklung kostenpflichtiger Pläne; Verarbeitung in der EU, teilweise in den USA durch Stripe, Inc.

Tailwind CSS und alle weiteren Assets werden lokal auf dem eigenen Server gehostet; ein externes Content-Delivery-Network (CDN) wird nicht eingesetzt.

11. Datenübermittlung ins Ausland

11.1 Schweiz

Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission (fortgeltend gemäss Art. 45 DSGVO). Übermittlungen an den Umami-Server in Thayngen (CH) bedürfen keiner zusätzlichen Garantien.

11.2 USA

In den USA befinden sich: NVD (NIST), OSV (Google), CISA KEV, GitHub (Microsoft) sowie überwiegend die Paket-Registries — und, nur bei Aktivierung der Cloud-KI, Anthropic und OpenAI.

  • EU-US Data Privacy Framework (DPF): OpenAI ist DPF-zertifiziert (Übermittlung gestützt auf Art. 45 DSGVO). Anthropic ist nicht DPF-zertifiziert — Übermittlung ausschliesslich auf Grundlage von Standardvertragsklauseln (SCCs, Art. 46 DSGVO).
  • Stripe: Die Zahlungsabwicklung kann eine Übermittlung an Stripe, Inc. (USA) umfassen; Grundlage ist das EU-US Data Privacy Framework (Stripe, Inc. zertifiziert) bzw. EU-Standardvertragsklauseln.
  • Technische Quellen (NVD, OSV, CISA, GitHub, Registries): serverseitige Abfragen, ausschliesslich öffentliche/technische Kennungen (CVE-Nummern, Paketnamen, Repository-Namen) ohne Personenbezug; ein Personenbezug ist dabei nicht gegeben.
  • Schweizer Recht: Art. 16–17 nDSG, Staatenliste des EDÖB.

11.3 EU

Die EU-Schwachstellendatenbank EUVD wird von der ENISA in der EU betrieben; Abfragen stellen keine Drittlandübermittlung dar.

12. Speicherdauer

DatenkategorieSpeicherdauerRechtsgrundlage
Server-Logfiles14 TageArt. 6 Abs. 1 lit. f DSGVO
Sprach-Cookie (Webseite)Browser-Sitzungtechnisch notwendig
Session-Cookie (Portal)24 Stundentechnisch notwendig
Kontaktformular-Daten3–10 JahreArt. 958f OR
Benutzerkonto-Daten (Portal)bis KontolöschungArt. 6 Abs. 1 lit. b DSGVO
SBOM-/Produktdaten, Lieferkettendatenwährend VertragslaufzeitKunde: Art. 13 Abs. 13 CRA
Audit-Logswährend Vertragslaufzeit (mind. 3 J.)Art. 6 Abs. 1 lit. c DSGVO
Umami Analytics (nur Portal)aggregiert (ca. 90 Tage)Art. 6 Abs. 1 lit. f DSGVO

13. Datensicherheit

Technische und organisatorische Massnahmen (Art. 32 DSGVO, Art. 8 nDSG): HTTPS/TLS, bcrypt-Passwort-Hashing, AES-256 für API-Schlüssel, rollenbasierte Zugriffskontrolle (RBAC), Audit-Logging, regelmässige Sicherheitsupdates, Monitoring. Eine absolute Sicherheit kann nicht garantiert werden. Die Kundenumgebungen werden als Single-Tenant (eigene, abgeschottete Instanz je Kunde mit automatischer Bereitstellung) betrieben; eine Vermischung von Kundendaten findet nicht statt.

14. Ihre Rechte

Sie haben nach DSGVO (Art. 15–22) und nDSG (Art. 25–29) das Recht auf Auskunft, Berichtigung, Löschung (soweit keine Aufbewahrungspflicht entgegensteht, z. B. 10-Jahres-Frist nach CRA), Einschränkung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen (z. B. KI-Funktionen). Kontakt: datenschutz@codaix.ch.

15. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

KI-generierte Empfehlungen (Triage, Risikobewertung, Dokumentvorschläge) sind ausschliesslich Vorschläge ohne rechtlich bindende Wirkung. Alle Entscheidungen mit rechtlichen Folgen treffen Menschen. Eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt.

16. Beschwerderecht

Schweiz: EDÖB (edoeb.admin.ch). EU: zuständige Datenschutzbehörde des Mitgliedstaats Ihres Aufenthalts bzw. des mutmasslichen Verstosses.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren. Änderungen treten mit Veröffentlichung in Kraft; registrierte Portal-Nutzer werden bei wesentlichen Änderungen per E-Mail benachrichtigt.

18. Stand

Stand: 16.07.2026 · codAIx GmbH — craiready.com, craiready.ch & platform.craiready.ch.
Kontakt: datenschutz@codaix.ch.