Gastrio Technologies AG
Gastrio ist von Grund auf datenschutzkonform aufgebaut — für die Schweiz nach DSG und für die EU nach DSGVO.
Zuletzt aktualisiert: Mai 2026
Bei Gastrio ist Datenschutz keine nachträgliche Massnahme, sondern ein Grundprinzip unserer Produktentwicklung. Wir setzen auf Privacy by Design und Privacy by Default: Jede neue Funktion wird unter Datenschutzgesichtspunkten bewertet, bevor sie implementiert wird. Wir erheben nur Daten, die wir tatsächlich benötigen, und speichern sie nur so lange, wie es nötig ist.
Als Schweizer Unternehmen mit Kunden in der gesamten EU und der Schweiz unterliegen wir sowohl dem revidierten Schweizer Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) als auch der Europäischen Datenschutz-Grundverordnung (DSGVO). Beide Regelwerke verfolgen ähnliche Ziele, unterscheiden sich jedoch in Details. Wir orientieren uns stets am strengeren Standard, um einen einheitlich hohen Schutz für alle Nutzer zu gewährleisten.
Unser Datenschutzbeauftragter steht für alle Fragen zur Verfügung. Wir veröffentlichen regelmässig Transparenzberichte und informieren Kunden proaktiv über Änderungen in unseren Datenschutzpraktiken.
Das revidierte Schweizer Datenschutzgesetz (DSG) ist seit dem 1. September 2023 in Kraft und bringt die Schweizer Datenschutzstandards näher an die DSGVO heran. Gastrio hat rechtzeitig alle erforderlichen Anpassungen vorgenommen, um vollständige Konformität sicherzustellen.
Wir haben ein Verzeichnis aller Datenbearbeitungen gemäss Art. 12 DSG geführt, das alle Kategorien von Personendaten, Bearbeitungszwecke, Empfänger und Aufbewahrungsfristen dokumentiert. Beim grenzüberschreitenden Datentransfer in Länder ohne angemessenes Schutzniveau stützen wir uns auf Standarddatenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) anerkannt sind.
Im Falle einer Datenschutzverletzung, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, informieren wir den EDÖB unverzüglich, spätestens aber innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Unser Incident-Response-Team ist rund um die Uhr erreichbar.
Als Schweizer Unternehmen, das Dienstleistungen an Kunden in der EU erbringt, unterliegen wir dem räumlichen Anwendungsbereich der DSGVO (Art. 3 Abs. 2 DSGVO). Wir haben alle strukturellen Anforderungen der DSGVO umgesetzt: Rechtsgrundlagen für jede Verarbeitungstätigkeit sind definiert und dokumentiert, Betroffenenrechte (Auskunft, Berichtigung, Löschung, Portabilität, Widerspruch) sind technisch und prozessual implementiert, und unser Datenschutz-Management-System wird regelmässig überprüft.
Gastrio führt ein vollständiges Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäss Art. 30 DSGVO. Für alle eingesetzten Subprozessoren haben wir Datenverarbeitungsverträge (DVV) gemäss Art. 28 DSGVO abgeschlossen. Bei Änderungen im Subprozessoren-Einsatz informieren wir Kunden mit einem Vorlauf von 30 Tagen.
EU-Kunden können gemäss Art. 20 DSGVO jederzeit eine Kopie ihrer Daten im JSON- oder CSV-Format exportieren. Die Export-Funktion steht direkt im Kunden-Dashboard unter Einstellungen > Datenschutz > Daten exportieren zur Verfügung.
Als Auftragsverarbeiter Ihrer Kundendaten schliessen wir mit jedem Kunden einen Datenverarbeitungsvertrag (DVV) gemäss Art. 28 DSGVO und Art. 9 DSG ab. Der DVV regelt den Umfang der Verarbeitung, die Sicherheitsmassnahmen, die Rechte der betroffenen Personen sowie die Subprozessoren, die wir einsetzen.
Der Abschluss des DVV erfolgt automatisch mit der Registrierung eines kostenpflichtigen Gastrio-Kontos. Den vollständigen DVV-Text können Sie hier herunterladen oder bei legal@gastrio.ch als unterzeichnetes Exemplar anfordern.
Wir setzen folgende Subprozessoren ein, die möglicherweise Zugang zu personenbezogenen Daten haben. Mit allen haben wir DVV nach Art. 28 DSGVO abgeschlossen:
Änderungen am Subprozessoren-Einsatz kommunizieren wir per E-Mail und unter dieser URL mindestens 30 Tage vor Inkrafttreten. Kunden haben das Recht, Änderungen zu widersprechen; in diesem Fall kann Gastrio ein neues angemessenes Arrangement vorschlagen oder der Kunde kann den Vertrag kündigen.
Einige unserer Subprozessoren befinden sich in den USA. Für Datentransfers in die USA stützen wir uns auf folgende Mechanismen: EU-Standardvertragsklauseln (SCCs) gemäss Durchführungsbeschluss (EU) 2021/914, das Swiss-US Data Privacy Framework für Transfers aus der Schweiz in die USA sowie ggf. Binding Corporate Rules (BCRs) bei Anbietern, die diese vorweisen.
Wir führen regelmässig Transfer Impact Assessments (TIAs) durch, um die Angemessenheit des Schutzniveaus in den Empfängerländern zu bewerten. Kunden, die ihre Daten ausschliesslich in der EU/Schweiz verarbeiten möchten, können dies als Enterprise-Option vereinbaren.
Gastrio implementiert Privacy by Design nach Art. 25 DSGVO auf technischer Ebene: Alle Passwörter werden mit bcrypt (Cost Factor 12) gehashed, nie im Klartext gespeichert. Datenbankinhalte werden at rest mit AES-256 verschlüsselt. Alle Verbindungen nutzen TLS 1.3 mit Forward Secrecy. Rollenbasierte Zugriffskontrolle (RBAC) stellt sicher, dass Mitarbeitende nur auf die Daten zugreifen, die für ihre Funktion notwendig sind.
Daten werden nach dem Prinzip der Datensparsamkeit erhoben: Wir erfassen nur Daten, die für den jeweiligen Verwendungszweck tatsächlich notwendig sind, und überprüfen regelmässig, ob erhobene Daten noch benötigt werden. Automatisierte Löschroutinen entfernen abgelaufene Daten zeitnah aus allen Systemen.
Gastrio befindet sich auf dem Weg zur Erlangung branchenüblicher Sicherheitszertifizierungen. Der aktuelle Stand ist wie folgt: SOC 2 Type II Audit ist für Q4 2026 geplant; ISO 27001 Zertifizierung ist mittelfristig angestrebt; PCI DSS wird über unseren Zahlungspartner Stripe (Level 1) abgedeckt. Jährliche Penetrationstests werden durch externe Sicherheitsexperten durchgeführt.
Bis zur formellen Zertifizierung lassen wir unsere Sicherheitsmassnahmen durch unabhängige Dritte prüfen und stellen Kunden auf Anfrage Sicherheitsfragebögen und Auskunft zu unserem Sicherheitsprogramm zur Verfügung. Wenden Sie sich dazu an security@gastrio.ch.
Im Falle eines Sicherheitsvorfalls, der personenbezogene Daten betrifft, folgen wir einem strukturierten Incident-Response-Prozess: Innerhalb von 24 Stunden nach Entdeckung wird der Vorfall intern eskaliert und eine erste Risikobeurteilung vorgenommen. Innerhalb von 72 Stunden nach Bekanntwerden wird die zuständige Aufsichtsbehörde (EDÖB für die Schweiz, die zuständige nationale Behörde für EU-Kunden) informiert, sofern ein Risiko für Betroffene besteht.
Betroffene Kunden werden unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden per E-Mail benachrichtigt, wenn voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten besteht. Die Benachrichtigung enthält Art und Umfang des Vorfalls, die betroffenen Datenkategorien, ergriffene Massnahmen und Kontaktinformationen. Ein abschliessendes Incident-Report wird innerhalb von 30 Tagen bereitgestellt.
Für alle Fragen zur DSGVO- und DSG-Konformität, zu Datenverarbeitungsverträgen oder zur Ausübung von Betroffenenrechten wenden Sie sich an unseren Datenschutzbeauftragten:
Datenschutzbeauftragter
Gastrio Technologies AG
Bahnhofstrasse 10, 8001 Zürich
E-Mail: dpo@gastrio.ch
Antwortzeit: innerhalb von 5 Werktagen
Für dringende Datenschutzvorfälle steht unser Security-Team rund um die Uhr unter security@gastrio.ch zur Verfügung. Alle Anfragen werden vertraulich behandelt.