Senyra
← Zur Startseite

Datenschutzerklärung

Nach revDSG (Schweiz) und DSGVO (EU). Stand: 21. April 2026

Kurzübersicht

  • Wer: VestaHealth GmbH, Zürich, Schweiz.
  • Was wir erheben: Konto- und Unternehmensdaten, Transaktionsdaten (Anfragen, Offerten, Rechnungen, Buchungen), Kommunikation, technische Zugriffsdaten.
  • Wofür: Bereitstellung der Plattform, Erfüllung gesetzlicher Pflichten (GeBüV, MWSTG), Sicherheit und Missbrauchsbekämpfung, Support.
  • An wen: Andere Plattform-Nutzer (im Marktplatzkontext), von Ihnen eingeladene Treuhänder, und eine begrenzte Liste technischer Auftragsverarbeiter (siehe Ziff. 6).
  • Kein Tracking, keine Werbung, keine Analytics-Tools.
  • Ihre Rechte: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit — Kontakt: info@senyra.com.

1. Verantwortliche Stelle und Rollen

Verantwortlich für die Datenbearbeitung ist:
VestaHealth GmbH
Musterstrasse 1, 8000 Zürich, Schweiz
E-Mail: info@senyra.com

Senyra nimmt im Rahmen seiner Tätigkeit zwei unterschiedliche datenschutzrechtliche Rollen wahr:

  • Als Verantwortlicher (Art. 5 lit. j revDSG / Art. 4 Nr. 7 DSGVO) bearbeitet Senyra Daten, die sich auf die Nutzer der Plattform selbst beziehen — insbesondere Konto-, Profil-, Marktplatz- und Nutzungsdaten.
  • Als Auftragsverarbeiter (Art. 5 lit. k revDSG / Art. 4 Nr. 8 DSGVO) bearbeitet Senyra Daten, die Unternehmen im Rahmen des Buchhaltungsmoduls hochladen oder eingeben — insbesondere Angaben zu Kunden, Lieferanten und Belegen dieser Unternehmen. Hier handelt das Unternehmen als Verantwortlicher, Senyra verarbeitet ausschliesslich nach dessen Weisung auf Grundlage dieser Datenschutzerklärung und ggf. einer separaten Auftragsverarbeitungsvereinbarung (siehe Ziff. 12).

2. Welche Daten wir bearbeiten

Wir bearbeiten die folgenden Personendaten, soweit sie für die Nutzung von Senyra erforderlich sind:

  • Kontodaten: Name, E-Mail-Adresse, Passwort-Hash, Rolle im Unternehmen, Spracheinstellung.
  • Unternehmensdaten: Firmenname, UID, Adresse, Kanton, Zefix-Registereintrag, Kontaktdaten, IBAN, Logo.
  • Transaktionsdaten: Anfragen, Offerten, Verträge, Rechnungen, Zahlungen, Buchungssätze, Belege, Bankauszüge (CAMT.053 / QR-Bill).
  • Daten Dritter: Im Buchhaltungsmodul verarbeitete Angaben zu Kunden und Lieferanten des Unternehmens (Name, Adresse, IBAN, Rechnungsbezüge). Für diese Daten ist das Unternehmen Verantwortlicher (vgl. Ziff. 1).
  • Kommunikation: Nachrichten zwischen Unternehmen auf der Plattform, Support-Anfragen.
  • Technische Daten: IP-Adresse (für Sicherheit und Rate-Limiting), Zugriffszeitpunkte, Browser- und Geräteinformationen.
  • Zahlungsdaten: bei Premium-Abonnements direkt durch unseren Zahlungsdienstleister verarbeitet; Senyra speichert nur eine anonymisierte Referenz (Kunden-ID beim Dienstleister).

3. Verarbeitungstätigkeiten und Zwecke

Wir bearbeiten Personendaten ausschliesslich zu den nachfolgend beschriebenen Zwecken. Jede Tätigkeit stützt sich auf eine der in Ziff. 4 genannten Rechtsgrundlagen.

3.1 Registrierung und Verifizierung

Wir bearbeiten die bei Registrierung angegebenen Daten zur Einrichtung und Verwaltung des Benutzerkontos. Zur Verhinderung von Identitätsmissbrauch übermitteln wir die Handelsregister-Adresse an Die Schweizerische Post zur Zustellung des Verifizierungsbriefs. Daten des Handelsregisters werden über den Zefix-Dienst geprüft.

3.2 Marktplatzbetrieb

Wenn Sie eine Anfrage (RFQ) veröffentlichen, eine Offerte einreichen oder einen Vertrag annehmen, machen wir Ihre Profil- und Angebotsdaten den beteiligten Gegenparteien zugänglich. Die Kommunikation zwischen Unternehmen auf der Plattform wird zur Zustellung und zur Nachvollziehbarkeit gespeichert.

3.3 Buchhaltungsmodul

Die von Ihnen im Buchhaltungsmodul erfassten Daten werden zur Bereitstellung des Moduls, zur Erfüllung der gesetzlichen Aufbewahrungspflicht (GeBüV Art. 5 und 958f OR) sowie zur Erzeugung von Reports (Bilanz, Erfolgsrechnung, MWST-Abrechnung, eCH-0217-Export) bearbeitet. Jede Buchung wird kryptographisch in einer SHA-256-Kette versiegelt und kann bei Revision auf Integrität geprüft werden.

3.4 Treuhänder-Zugriff

Wenn Sie einen externen Treuhänder einladen, gewähren Sie diesem nach Ihrer Wahl Lese- oder Schreibzugriff auf Ihr Buchhaltungsmodul. Die Freigabe ist datenschutzrechtlich eine Weitergabe an einen selbständig Verantwortlichen (bzw. einen Auftragsverarbeiter Ihres Unternehmens); die Rechtmässigkeit der zwischen Ihnen und dem Treuhänder bestehenden Mandatsvereinbarung fällt in Ihre Verantwortung. Sie können den Zugriff jederzeit widerrufen.

3.5 KI-gestützte Hilfsfunktionen

Für Beleg-OCR, Buchungsvorschläge, Smart-Matching und vergleichbare Hilfsfunktionen übermitteln wir die dazu notwendigen Texte und Bilder an einen externen KI-Dienstleister. Details zum Dienstleister, zur Aufbewahrungsdauer dort und zu den Schutzmassnahmen finden Sie in Ziff. 9.

3.6 Kommunikation mit uns und Kundensupport

Wenn Sie uns per E-Mail, Kontaktformular oder Telefon kontaktieren, bearbeiten wir Ihre Angaben zur Bearbeitung Ihres Anliegens. Support-Fälle werden zur Qualitätssicherung und Nachvollziehbarkeit dokumentiert.

3.7 System- und Service-Nachrichten

Wir versenden transaktionale E-Mails (Bestellbestätigungen, Zahlungsquittungen, sicherheitsrelevante Hinweise wie Passwortänderungen, Verifizierungsbrief- Folgenachrichten). Diese Nachrichten sind Bestandteil der Dienstleistung und können nicht abbestellt werden, solange ein aktives Konto besteht. Newsletter oder werbende Kommunikation versenden wir nur mit Ihrer vorherigen Einwilligung und können jederzeit widerrufen werden.

3.8 Online-Zahlungen

Bei kostenpflichtigen Abonnements und gebührenpflichtigen Zusatzleistungen erfolgt die Zahlungsabwicklung über einen externen Zahlungsdienstleister (siehe Ziff. 6). Zahlungsdaten (Kartennummer etc.) werden dabei direkt beim Dienstleister verarbeitet; Senyra erhält nur eine Transaktions- und Kundenreferenz.

3.9 Sicherheit, Missbrauchs- und Betrugsbekämpfung

Wir bearbeiten IP-Adressen, Zugriffsmuster und Verifizierungs-Versuche, um die Plattform vor unbefugten Zugriffen, Missbrauch und Betrug zu schützen. Verdächtige Aktivitäten können zur vorübergehenden Sperre eines Kontos oder zur Anzeige bei zuständigen Behörden führen.

3.10 Betrieb, Analyse und Weiterentwicklung

Zur Fehlerbehebung, Kapazitätsplanung und Verbesserung der Plattform werten wir Zugriffs- und Nutzungsdaten in aggregierter, nicht auf Einzelpersonen zurückführbarer Form aus. Es kommen keine externen Analyse- oder Tracking-Dienste zum Einsatz.

3.11 Einhaltung gesetzlicher Pflichten und Zusammenarbeit mit Behörden

Wir bearbeiten Ihre Daten, soweit wir gesetzlich dazu verpflichtet sind — insbesondere zur Aufbewahrung von Buchhaltungsunterlagen (GeBüV / OR Art. 958f), zur Erfüllung mehrwertsteuerlicher Pflichten (MWSTG) und zur Erteilung von Auskünften gegenüber Steuer-, Aufsichts- oder Strafverfolgungsbehörden aufgrund rechtsgültiger Verfügungen.

4. Rechtsgrundlagen

  • Vertragserfüllung (Art. 31 Abs. 2 lit. a revDSG / Art. 6 Abs. 1 lit. b DSGVO) — Bereitstellung der Plattform-Dienste.
  • Gesetzliche Pflicht (Art. 31 Abs. 2 lit. b revDSG / Art. 6 Abs. 1 lit. c DSGVO) — Aufbewahrung nach GeBüV (10 Jahre), MWSTG, Pflichten gegenüber Behörden.
  • Berechtigtes Interesse (Art. 31 Abs. 1 revDSG / Art. 6 Abs. 1 lit. f DSGVO) — Sicherheit der Plattform, Betrugsprävention, Produktverbesserung, Support-Dokumentation.
  • Einwilligung (Art. 31 Abs. 1 revDSG / Art. 6 Abs. 1 lit. a DSGVO) — für werbende Kommunikation (Newsletter), soweit vorgesehen.

5. Weitergabe und Empfänger

Wir geben Ihre Daten nur an folgende Empfänger und nur im für den jeweiligen Zweck notwendigen Umfang weiter:

  • Andere Plattform-Nutzer: Ihre Unternehmensprofildaten und Angebots-/Offerten-Inhalte werden im Rahmen des Marktplatzes für die jeweilige Gegenpartei sichtbar.
  • Von Ihnen eingeladene Treuhänder: erhalten Zugriff auf die von Ihnen freigegebenen Buchhaltungsdaten im vom Ihnen zugewiesenen Umfang (Lesen / Schreiben).
  • Auftragsverarbeiter: siehe Ziff. 6.
  • Behörden: nur auf Grundlage rechtsgültiger Anordnungen (z.B. ESTV bei MWST-Revision, Strafverfolgungsbehörden bei richterlicher Verfügung, EDÖB bei Datenschutzaufsicht).
  • Rechtsnachfolger: im Falle einer Fusion, Übernahme oder sonstigen Transaktion können Daten auf den Rechtsnachfolger übertragen werden; wir informieren Sie in diesem Fall rechtzeitig.

6. Auftragsverarbeiter

Zur Erbringung unserer Dienstleistungen setzen wir folgende technische Auftragsverarbeiter ein. Mit jedem dieser Dienstleister besteht ein Auftragsverarbeitungsvertrag (AVV/DPA) gemäss Art. 9 revDSG und Art. 28 DSGVO:

  • Anthropic, PBC (San Francisco, USA) — KI-Modellinferenz (Claude-Modellfamilie); siehe Ziff. 9 für Details.
  • Stripe Payments Europe Ltd. (Dublin, Irland) — Zahlungsabwicklung für Abonnements und gebührenpflichtige Leistungen.
  • Exoscale AG (Lausanne, Schweiz) — Hosting und Rechenzentrum in der Schweiz.
  • Hostpoint AG (Rapperswil-Jona, Schweiz) — E-Mail-Zustellung für Systemnachrichten.
  • Die Schweizerische Post (Bern, Schweiz) — Zustellung des physischen Verifizierungsbriefs.
  • Zefix (Eidgenössisches Amt für das Handelsregister, Bern) — Abgleich der von Ihnen angegebenen Handelsregisterdaten.

Die Liste kann sich im Laufe der Zeit ändern. Änderungen werden im Rahmen einer Aktualisierung dieser Datenschutzerklärung publiziert.

7. Übermittlung ins Ausland

Wir bearbeiten Ihre Personendaten grundsätzlich in der Schweiz. In folgenden Fällen erfolgt eine Übermittlung in andere Länder:

  • USA — im Rahmen der KI-Inferenz an Anthropic, PBC.
  • Irland / EU — im Rahmen der Zahlungsabwicklung an Stripe Payments Europe Ltd. Die EU verfügt über einen vom Bundesrat anerkannten angemessenen Datenschutz.

Für Übermittlungen in Länder ohne anerkannt angemessenen Datenschutz (namentlich USA) stützen wir uns auf geeignete Garantien im Sinne von Art. 16 revDSG und Art. 46 DSGVO — insbesondere auf die Standardvertragsklauseln der EU-Kommission (SCC) in Verbindung mit den jeweiligen Data Processing Addenda der Dienstleister und zusätzlichen technischen und organisatorischen Massnahmen (insb. Verschlüsselung bei Übertragung und Speicherung).

8. Speicherdauer

Wir speichern Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder wie es gesetzlich vorgeschrieben ist:

  • Konto- und Profildaten: bis zur Löschung des Kontos.
  • Buchhaltungsdaten, Rechnungen, Belege: mindestens 10 Jahre nach Abschluss des jeweiligen Geschäftsjahres (GeBüV Art. 958f OR, MWSTG Art. 70). Diese gesetzliche Aufbewahrungspflicht geht einem Löschungsersuchen vor (siehe auch Ziff. 10).
  • Marktplatz-Transaktionsdaten (Anfragen, Offerten, Verträge): 10 Jahre ab Vertragsabschluss (OR Art. 127, allgemeine Verjährung).
  • Kommunikation: bis zur Löschung durch den Nutzer, längstens jedoch bis zur Kontolöschung.
  • Zugriffs- und Sicherheits-Logs: bis zu 90 Tage.
  • KI-Eingaben bei Anthropic: maximal 30 Tage zu Zwecken der Missbrauchsprävention, danach automatische Löschung (siehe Ziff. 9).

Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht oder unwiderruflich anonymisiert.

9. KI-Funktionen

Bestimmte Funktionen der Plattform (Beleg-OCR, Buchungsvorschläge, Smart-Matching, RFQ-Assistent) nutzen das KI-Modell Claude der Anthropic, PBC, 548 Market Street, San Francisco, CA 94104, USA.

Übermittelt werden ausschliesslich die für die jeweilige Anfrage notwendigen Texte oder Bilder. Die Übermittlung erfolgt verschlüsselt (TLS). Rechtsgrundlage der Übermittlung ist der zwischen Senyra und Anthropic abgeschlossene Data Processing Addendum inklusive der EU-Standardvertragsklauseln (SCC).

Anthropic sichert vertraglich zu:

  • Nutzereingaben werden nicht zum Training von KI-Modellen verwendet.
  • Eingaben werden maximal 30 Tage zu Missbrauchspräventions- zwecken aufbewahrt und anschliessend unwiderruflich gelöscht.
  • Unterauftragsverarbeiter von Anthropic werden im Rahmen deren eigener Transparenzpflichten publiziert.

Details zur Datenbearbeitung bei Anthropic: anthropic.com/legal/privacy.

Die durch die KI erzeugten Vorschläge sind unverbindliche Hilfestellungen und stellen keine Rechts-, Steuer- oder Fachberatung dar. Die Übernahme oder Verwerfung eines Vorschlags liegt in Ihrer Verantwortung.

10. Ihre Rechte

Als betroffene Person stehen Ihnen im Rahmen des anwendbaren Rechts folgende Rechte zu:

  • Auskunft über die bearbeiteten Daten und die zugehörigen Angaben (Zweck, Empfänger, Aufbewahrungsdauer).
  • Berichtigung unrichtiger oder unvollständiger Daten.
  • Löschung Ihrer Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Buchhaltungsdaten unterliegen der 10-jährigen Aufbewahrungspflicht (GeBüV) und können vor Ablauf dieser Frist nicht gelöscht werden.
  • Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (insb. CSV, PDF, eCH-0217 XML für die MWST-Abrechnung, Jahresendpaket als ZIP).
  • Einschränkung der Bearbeitung oder Widerspruch, soweit zulässig.
  • Widerruf erteilter Einwilligungen jederzeit mit Wirkung für die Zukunft.

Zur Ausübung dieser Rechte genügt eine E-Mail an info@senyra.com mit der Angabe des Kontos und des Anliegens. Zur Verhinderung von Missbrauch müssen wir uns vergewissern, dass die Anfrage tatsächlich von Ihnen stammt (z.B. Bestätigung über die hinterlegte E-Mail-Adresse). Wir antworten innert 30 Tagen.

Zudem haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Für die Schweiz ist dies: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern. Für die EU finden Sie die zuständige Datenschutzaufsichtsbehörde Ihres Mitgliedstaats unter edpb.europa.eu.

11. Automatisierte Entscheidungen und Profiling

Es findet keine ausschliesslich automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder in vergleichbar erheblichem Ausmass im Sinne von Art. 21 revDSG und Art. 22 DSGVO statt. Insbesondere werden KI-gestützte Vorschläge (z.B. Buchungsempfehlungen, Kategorisierungen) erst nach Prüfung und Freigabe durch den Nutzer wirksam.

12. Auftragsverarbeitung im Buchhaltungsmodul

Wie in Ziff. 1 erläutert, handelt Senyra bezüglich der im Buchhaltungsmodul verarbeiteten Daten von Kunden und Lieferanten eines Unternehmens als Auftragsverarbeiter. Die einschlägigen Verpflichtungen (Weisungsgebundenheit, technisch-organisatorische Massnahmen, Unterauftragsverarbeiter, Unterstützung bei Betroffenenrechten) ergeben sich aus dieser Datenschutzerklärung, den AGB sowie — auf Wunsch — aus einer separaten Auftragsverarbeitungsvereinbarung (AVV/DPA).

Unternehmen können eine AVV kostenlos per E-Mail an info@senyra.com anfordern.

13. Datensicherheit

Wir setzen angemessene technische und organisatorische Massnahmen ein, um Ihre Daten gegen Manipulation, Verlust und unberechtigten Zugriff zu schützen. Dazu gehören insbesondere:

  • Verschlüsselte Übertragung per TLS 1.3.
  • Passwort-Speicherung als bcrypt-Hash.
  • Kryptographische Integritätssicherung aller Buchungen (SHA-256 Hash-Kette) gemäss GeBüV Art. 5.
  • Rollen- und Rechtekonzept mit Mehrmandantenfähigkeit.
  • Zugriffsprotokollierung, Rate-Limiting, IP-basierte Missbrauchsprävention.
  • Regelmässige Sicherheitsüberprüfungen.
  • Hosting in der Schweiz (Exoscale) mit physischer und organisatorischer Zutrittskontrolle.

14. Meldung von Datenpannen

Sollte es trotz unserer Sicherheitsmassnahmen zu einer Verletzung der Datensicherheit kommen, die voraussichtlich zu einem hohen Risiko für die Persönlichkeitsrechte oder die Grundrechte betroffener Personen führt, werden wir den Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch wie möglich informieren (Art. 24 revDSG) und — wo erforderlich — auch die betroffenen Personen benachrichtigen.

15. Cookies und lokaler Speicher

Senyra verwendet ausschliesslich technisch notwendige Cookies (Session-Cookie für die Anmeldung, CSRF-Token). Für diese ist nach Art. 45c FMG keine Einwilligung erforderlich, da sie für den Betrieb der Plattform unerlässlich sind.

Zusätzlich nutzen wir den lokalen Browser-Speicher (localStorage) für Komfortfunktionen wie Theme-Präferenz (Hell / Dunkel) und zuletzt verwendete Konten. Diese Daten verlassen niemals Ihr Gerät.

Wir verwenden kein Tracking, keine Analytics-Tools (kein Google Analytics, kein Facebook Pixel o.ä.), keine Werbenetzwerke und keine Social-Media-Plugins. Eine Consent-Management-Plattform (Cookie-Banner) ist daher nicht erforderlich.

16. Minderjährige

Senyra richtet sich ausschliesslich an Unternehmen bzw. deren bevollmächtigte Mitarbeitende. Eine Nutzung durch Personen unter 18 Jahren ist nicht vorgesehen und wird nicht gestattet.

17. Kontakt

Für Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Rechte stehen wir Ihnen zur Verfügung:

VestaHealth GmbH
Musterstrasse 1, 8000 Zürich, Schweiz
E-Mail: info@senyra.com

18. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung bei Bedarf an. Die jeweils aktuelle Fassung ist auf der Plattform abrufbar. Bei wesentlichen Änderungen — insb. bei Hinzunahme eines neuen Auftragsverarbeiters oder bei Änderung der Verarbeitungszwecke — informieren wir Sie per E-Mail rechtzeitig vor dem Inkrafttreten.

Massgebend ist die deutschsprachige Fassung. Übersetzungen dienen ausschliesslich der leichteren Verständlichkeit; im Zweifel geht der deutsche Text vor.

Stand: 21. April 2026