Hangar OS · ETH · Innovationspark Zürich

Datenschutzerklärung

Stand: 2026-06-18. Gilt für die Plattform unter hangar-os.net.

1. Verantwortliche Stelle

Verantwortlich im Sinne des schweizerischen Bundesgesetzes über den Datenschutz (revDSG) sowie der EU-Datenschutz-Grundverordnung (DSGVO) ist:

ETH Zürich (Eidgenössische Technische Hochschule Zürich)
autonome öffentlich-rechtliche Anstalt des Bundes
Rämistrasse 101, 8092 Zürich, Schweiz
Betriebsstätte: ETH Hangar, Wangenstrasse 72, 8600 Dübendorf

Kontakt für Datenschutzanfragen: eth-hangar@ethz.ch.

Für formelle Datenschutzanliegen ist zudem der Datenschutzberater der ETH Zürich zuständig: ETH Zürich, Rechtsdienst (Datenschutz), Rämistrasse 101, 8092 Zürich.

2. Anwendbares Recht

Diese Erklärung berücksichtigt parallel das schweizerische revDSG und die EU-DSGVO. Soweit Bestimmungen abweichen, gilt jeweils das für die betroffene Person günstigere Recht.

3. Zwecke der Verarbeitung

Hangar OS verarbeitet personenbezogene Daten ausschliesslich für:

4. Datenkategorien

Gespeichert werden, je nach Funktion:

KategorieFelder
AccountName, E-Mail-Adresse, Rolle, Team-Zugehörigkeit
Erweitertes ProfilETH-Legi-Nummer, Telefonnummer (optional), Korrespondenz-E-Mail, Status «externe Person»
BuchungenRaum, Start- und Endzeit, Notiz, Bucher-Identität
Gäste-AnmeldungenBesucher-Name, -E-Mail, -Firma, Datum, Bereich, anmeldendes Mitglied
TourenGruppenname, Grösse, Organisator, Datum, Bereich, Bewilligungsstatus
GebäudezutrittAntragsteller-Daten, Hausordnungs-Bestätigung, gewünschte Gültigkeit, Entscheidungs-Audit
AuthentifizierungSitzungs-Cookie (Supabase JWT), TOTP-Faktor-Metadaten bei aktivierter 2FA
Technische DatenIP-Adresse (für Rate-Limit und Sicherheits-Logs), User-Agent, Zeitstempel

5. Rechtsgrundlagen

6. Speicherdauer

DatenkategorieDauer
Account-DatenBis Austritt aus dem Hangar + 30 Tage Karenz
Buchungen6 Monate nach Buchungs-Ende
Gäste-Anmeldungen12 Monate
Tour-Anfragen24 Monate (saisonale Auswertung)
Gebäudezutritts-AnträgeBis Ablauf + 12 Monate
Audit-Log24 Monate
Sicherheits-/Server-Logs90 Tage
Datenbank-BackupsTäglich, 7-Tage-Punkt-in-Zeit-Rücksicherung (Supabase Pro)

7. Empfänger und Auftragsverarbeiter

Hangar OS verarbeitet Daten ausschliesslich gemeinsam mit folgenden sorgfältig ausgewählten Auftragsverarbeitern (Art. 28 DSGVO; Art. 9 revDSG). Auftragsverarbeitungsverträge (AVV) liegen mit jedem Anbieter vor; Standardvertragsklauseln der EU-Kommission sowie das Schweizer Addendum kommen zum Einsatz, wo Daten ausserhalb der Schweiz/EU transferiert werden.

AnbieterZweckSitz
Supabase Inc.Datenbank, AuthentifizierungDaten in Zürich (CH); Anbieter USA
Vercel Inc.Hosting, Edge-AuslieferungRegion Frankfurt (EU); Anbieter USA
ResendE-Mail-Versand (Login-Code, Bestätigungen)USA
ETH-ServicesGebäudezutritts-AbwicklungSchweiz

Drittland-Transfer in die USA stützt sich auf das EU-US Data Privacy Framework und die Standardvertragsklauseln 2021/914; für die Schweiz gilt das Schweizer Addendum gemäss Empfehlungen des EDÖB.

8. Cookies und ähnliche Technologien

Hangar OS verwendet ausschliesslich technisch notwendige Cookies. Es findet kein Tracking, keine Werbung und keine Web-Analytik statt.

CookieZweckDauer
sb-<projekt>-auth-tokenSitzungs-Cookie (Supabase-Auth)Bis Abmeldung
themeDunkel-/Hell-Modus-Präferenz1 Jahr (lokal im Browser)

Mangels Tracking-Cookies ist kein Cookie-Einwilligungs-Banner erforderlich. Funktionale Cookies sind zur Erbringung der ausdrücklich angeforderten Dienstleistung notwendig (Art. 6 Abs. 1 lit. b DSGVO).

9. Authentifizierung, 2FA und Sitzungsdauer

Anmeldung erfolgt ausschliesslich per achtstelligem Einmalcode (OTP), der an die hinterlegte E-Mail-Adresse gesendet und im Anmeldeformular eingegeben wird. Es existiert keine Passwort-Authentifizierung. Der Code ist einmalig nutzbar und nur kurze Zeit gültig.

Für Konten mit erhöhten Berechtigungen (Admin, Webmaster, Hangar-Lead) ist eine zusätzliche Zwei-Faktor-Authentifizierung mittels TOTP (Authenticator-App) zwingend. Sitzungs-Cookies dieser Konten haben eine verkürzte Lebensdauer von 8 Stunden, um das Risiko bei Endgeräte-Kompromittierung zu reduzieren.

10. Sicherheitsmassnahmen

Wir setzen umfassende technische und organisatorische Massnahmen ein:

11. Betroffenenrechte

Ihnen stehen folgende Rechte zu:

Anfragen senden Sie bitte an eth-hangar@ethz.ch. Wir antworten innerhalb von 30 Tagen.

12. Automatisierte Entscheidungen

Hangar OS trifft keine ausschliesslich automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Die «Auto-Approve»- Regel für Gäste-Anmeldungen im eigenen Team-Areal ist eine Bequemlichkeits-Voreinstellung und kann von Administratoren jederzeit überschrieben werden.

13. Änderungen dieser Erklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich Funktionen oder Verarbeitungen ändern. Die jeweils aktuelle Version ist unter /datenschutz abrufbar. Wesentliche Änderungen kommunizieren wir per E-Mail an alle registrierten Mitglieder.