Hangar OS · ETH · Innovationspark Zürich
Datenschutzerklärung
Stand: 2026-05-27. Gilt für die Plattform unter hangar-os.net.
1. Verantwortliche Stelle
Verantwortlich im Sinne des schweizerischen Bundesgesetzes über den Datenschutz (revDSG) sowie der EU-Datenschutz-Grundverordnung (DSGVO) ist:
[Name / Rechtsform der verantwortlichen Stelle]
[Strasse + Hausnummer]
[PLZ + Ort]
Schweiz
Kontakt für Datenschutzanfragen: datenschutz@hangar-os.net.
[Platzhalter — formale Klärung mit ETH-Legal bezüglich Trägerschaft des Hangar steht aus. Vor Live-Schaltung an reale Mitglieder muss dieser Abschnitt finalisiert sein.]
2. Anwendbares Recht
Diese Erklärung berücksichtigt parallel das schweizerische revDSG und die EU-DSGVO. Soweit Bestimmungen abweichen, gilt jeweils das für die betroffene Person günstigere Recht.
3. Zwecke der Verarbeitung
Hangar OS verarbeitet personenbezogene Daten ausschliesslich für:
- Authentifizierung berechtigter Hangar-Mitglieder (Magic-Link)
- Reservation von Sitzungsräumen im Hangar
- Anmeldung von Gästen und externen Besucher:innen
- Anfragen für Hangar-Führungen (Touren)
- Beantragung von Gebäudezutritt (Excel-Übergabe an ETH-Services)
- Verwaltung der Mitgliederliste und Team-Zuordnung
- Sicherheits-Logs, Audit-Trail und Missbrauchs-Erkennung
4. Datenkategorien
Gespeichert werden, je nach Funktion:
| Kategorie | Felder |
|---|---|
| Account | Name, E-Mail-Adresse, Rolle, Team-Zugehörigkeit |
| Erweitertes Profil | ETH-Legi-Nummer, Telefonnummer (optional), Korrespondenz-E-Mail, Status «externe Person» |
| Buchungen | Raum, Start- und Endzeit, Notiz, Bucher-Identität |
| Gäste-Anmeldungen | Besucher-Name, -E-Mail, -Firma, Datum, Bereich, anmeldendes Mitglied |
| Touren | Gruppenname, Grösse, Organisator, Datum, Bereich, Bewilligungsstatus |
| Gebäudezutritt | Antragsteller-Daten, Hausordnungs-Bestätigung, gewünschte Gültigkeit, Entscheidungs-Audit |
| Authentifizierung | Sitzungs-Cookie (Supabase JWT), TOTP-Faktor-Metadaten bei aktivierter 2FA |
| Technische Daten | IP-Adresse (für Rate-Limit und Sicherheits-Logs), User-Agent, Zeitstempel |
5. Rechtsgrundlagen
- Vertrag / vertragsähnliches Verhältnis (Art. 6 Abs. 1 lit. b DSGVO; Art. 31 revDSG): Buchungen, Gäste- und Tour-Anmeldungen, Gebäudezutritts-Workflow.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO; Art. 31 revDSG): Sicherheits-Logs, Audit-Trail, Missbrauchs-Schutz, Hausrecht der ETH.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung im Rahmen der Hausordnung beziehungsweise von ETH-internen Vorschriften.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; Art. 31 Abs. 1 revDSG): zukünftige optionale Funktionen (z.B. Newsletter, Event-Benachrichtigungen) ausschliesslich nach ausdrücklicher Zustimmung.
6. Speicherdauer
| Datenkategorie | Dauer |
|---|---|
| Account-Daten | Bis Austritt aus dem Hangar + 30 Tage Karenz |
| Buchungen | 6 Monate nach Buchungs-Ende |
| Gäste-Anmeldungen | 12 Monate |
| Tour-Anfragen | 24 Monate (saisonale Auswertung) |
| Gebäudezutritts-Anträge | Bis Ablauf + 12 Monate |
| Audit-Log | 24 Monate |
| Sicherheits-/Server-Logs | 90 Tage |
| Datenbank-Backups | Täglich, 7-Tage-Punkt-in-Zeit-Rücksicherung (Supabase Pro) |
7. Empfänger und Auftragsverarbeiter
Hangar OS verarbeitet Daten ausschliesslich gemeinsam mit folgenden sorgfältig ausgewählten Auftragsverarbeitern (Art. 28 DSGVO; Art. 9 revDSG). Auftragsverarbeitungsverträge (AVV) liegen mit jedem Anbieter vor; Standardvertragsklauseln der EU-Kommission sowie das Schweizer Addendum kommen zum Einsatz, wo Daten ausserhalb der Schweiz/EU transferiert werden.
| Anbieter | Zweck | Sitz |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | USA (Frankfurt-Region) |
| Vercel Inc. | Hosting, Edge-Auslieferung | USA (EU-Edge) |
| Resend | E-Mail-Versand (Magic-Link) | USA |
| Cloudflare Inc. | Bot-Schutz (Turnstile) | USA |
| ETH-Services | Gebäudezutritts-Abwicklung | Schweiz |
Drittland-Transfer in die USA stützt sich auf das EU-US Data Privacy Framework und die Standardvertragsklauseln 2021/914; für die Schweiz gilt das Schweizer Addendum gemäss Empfehlungen des EDÖB.
8. Cookies und ähnliche Technologien
Hangar OS verwendet ausschliesslich technisch notwendige Cookies. Es findet kein Tracking, keine Werbung und keine Web-Analytik statt.
| Cookie | Zweck | Dauer |
|---|---|---|
| sb-<projekt>-auth-token | Sitzungs-Cookie (Supabase-Auth) | Bis Abmeldung |
| theme | Dunkel-/Hell-Modus-Präferenz | 1 Jahr (lokal im Browser) |
Mangels Tracking-Cookies ist kein Cookie-Einwilligungs-Banner erforderlich. Funktionale Cookies sind zur Erbringung der ausdrücklich angeforderten Dienstleistung notwendig (Art. 6 Abs. 1 lit. b DSGVO).
9. Authentifizierung, 2FA und Sitzungsdauer
Anmeldung erfolgt ausschliesslich per Magic-Link an die hinterlegte E-Mail-Adresse. Es existiert keine Passwort-Authentifizierung. Der Magic-Link ist 15 Minuten gültig und einmalig nutzbar.
Für Konten mit erhöhten Berechtigungen (Admin, Webmaster, Hangar-Boss) ist eine zusätzliche Zwei-Faktor-Authentifizierung mittels TOTP (Authenticator-App) zwingend. Sitzungs-Cookies dieser Konten haben eine verkürzte Lebensdauer von 8 Stunden, um das Risiko bei Endgeräte-Kompromittierung zu reduzieren.
10. Sicherheitsmassnahmen
Wir setzen umfassende technische und organisatorische Massnahmen ein:
- Vollständige Transport-Verschlüsselung (HTTPS/TLS, HSTS preload)
- Content-Security-Policy und Schutz vor Cross-Site-Angriffen
- Row-Level-Security mit spaltenbasierten Zugriffsrechten auf der Datenbank (sensible Felder nicht für Mitglieder direkt abrufbar)
- Strikte Trennung von Daten-Zugriff und Datenmodifikation; Service-Role Schlüssel ausschliesslich serverseitig
- Schlüssel-Rotation alle sechs Monate
- Verschlüsselte tägliche Backups (Supabase Pro)
- Audit-Log über alle Admin-Aktionen und Datenexporte
- Rate-Limit auf Login- und öffentlichen Formularen
- Bot-Schutz auf öffentlich erreichbaren Formularen
11. Betroffenenrechte
Ihnen stehen folgende Rechte zu:
- Auskunft über gespeicherte Daten
- Berichtigung unrichtiger Daten
- Löschung («Recht auf Vergessenwerden»)
- Einschränkung der Verarbeitung
- Datenübertragbarkeit in maschinenlesbarem Format
- Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen
- Widerruf erteilter Einwilligungen jederzeit für die Zukunft
- Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB, edoeb.admin.ch) beziehungsweise bei der zuständigen DSGVO-Aufsichtsbehörde.
Anfragen senden Sie bitte an datenschutz@hangar-os.net. Wir antworten innerhalb von 30 Tagen.
12. Automatisierte Entscheidungen
Hangar OS trifft keine ausschliesslich automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Die «Auto-Approve»- Regel für Gäste-Anmeldungen im eigenen Team-Areal ist eine Bequemlichkeits-Voreinstellung und kann von Administratoren jederzeit überschrieben werden.
13. Änderungen dieser Erklärung
Diese Datenschutzerklärung kann angepasst werden, wenn sich Funktionen oder Verarbeitungen ändern. Die jeweils aktuelle Version ist unter /datenschutz abrufbar. Wesentliche Änderungen kommunizieren wir per E-Mail an alle registrierten Mitglieder.