Datenschutzerklärung

Während der Pre-Launch-Phase (Anmeldungen Insider, Pioneer, Pioneer Plus):

Ihre E-Mail-Adresse, Ihre Position in der Warteliste und Ihre Empfehlungsaktivität. Für Pioneer Plus zusätzlich Ihre Lieferadresse.

Während der Produktnutzung (nach dem Launch):

• UID des NFC-Implantats und Chip-Metadaten. Der kryptographische Identifikator, der von Ihrem DESFire-EV3-Implantat ausgelesen wird, sowie ein chip-spezifischer AES-Masterschlüssel, der serverseitig beim Provisionieren erzeugt wird. Der AES-Masterschlüssel wird im Ruhezustand mit einem Schlüssel verschlüsselt, der von einem ausserhalb der Datenbank gehaltenen Master-Geheimnis abgeleitet wird.
• Gespeicherte Zugangsdaten (Passwörter). Website-URLs, Benutzernamen und Passwort-Chiffretexte, die Sie speichern. Jedes Passwort wird mit ChaCha20-Poly1305 AEAD unter einem credential-spezifischen Schlüssel verschlüsselt, der (HKDF-SHA256) aus dem Vault-Wrap-Key Ihres Chips abgeleitet wird. Ohne Ihren Chip im Lesefeld kann dieser Chiffretext nicht entschlüsselt werden, auch nicht von SkinID. Klartext-Passwörter werden niemals gespeichert.
• Private FIDO2- / Passkey-Schlüssel. Pro Website kryptographische private Schlüssel für die passwortlose Authentifizierung, verschlüsselt mit demselben chip-gebundenen Schema.
• Aktivitätsprotokolle. Authentifizierungsereignisse, FIDO-Registrierungen, Speicherung von Zugangsdaten und Zugriffskontrollereignisse. Mit Zeitstempeln protokolliert, für Ihr Sicherheits-Dashboard, die Anomalieerkennung und Audit-Zwecke (Compliance mit Schweizer DSG und EU-DSGVO).
• Geräteinformationen. Namen, die Sie vertrauenswürdigen NFC-Lesegeräten und verbundenen Geräten zuweisen.

• Wir verwenden keine Cookies zu Tracking- oder Werbezwecken.
• Wir verwenden keine Analyse-Skripte, Tracking-Pixel oder Verhaltensprofilierung.
• Wir verkaufen und übertragen Ihre Daten nicht zu Marketingzwecken an Dritte.
• Wir erheben keine biometrischen Daten. Die NFC-UID ist ein kryptographischer Identifikator, kein biometrisches Merkmal.

Zur Bereitstellung unseres Dienstes arbeiten wir im Rahmen von Auftragsverarbeitungsverträgen mit den folgenden vertrauenswürdigen Partnern zusammen:

• Infomaniak (Schweiz): Server-Hosting und Backups, vollständig in der Schweiz.
• Stripe: Zahlungsabwicklung für kostenpflichtige Stufen (gemäss der Datenschutzerklärung von Stripe).
• E-Mail-Anbieter: transaktionale E-Mails für Pre-Launch-Bestätigungen und Konto-Benachrichtigungen.

Alle Auftragsverarbeiter sind vertraglich verpflichtet, Ihre Daten zu schützen, und dürfen sie nicht für eigene Zwecke verwenden. Wir speichern Ihre Daten nicht ausserhalb der Schweiz.

• Zero-Knowledge-Verschlüsselung im Ruhezustand. Jedes Credential wird mit ChaCha20-Poly1305 AEAD unter einem credential-spezifischen Schlüssel verschlüsselt, der von dem 32-Byte-Vault-Wrap-Key Ihres Chips via HKDF-SHA256 abgeleitet wird. Die zugehörigen Daten binden jeden Chiffretext an seinen Benutzer, seine Website und seine Credential-ID, sodass ein Angreifer mit Datenbankzugriff Chiffretexte nicht zwischen Konten austauschen kann. Ohne Ihren Chip im Lesefeld ist der Chiffretext unleserlich, auch für SkinID.
• Verschlüsselung bei der Übertragung. Jegliche Kommunikation erfolgt über HTTPS mit TLS 1.3 und HSTS Preload. Es werden keine Daten über unverschlüsselte Verbindungen übertragen.
• Token-Sicherheit. Benutzer-Token und Operator-Session-Token werden ausschliesslich als SHA-256-Hashes gespeichert. Rohe Token werden niemals auf dem Server persistiert. Operator-Passwörter werden als PBKDF2-SHA256-Hashes mit der von OWASP empfohlenen Iterationszahl gespeichert.
• Datenisolation. Jeder Benutzer hat nur Zugriff auf seine eigenen Zugangsdaten und Schlüssel. Die Mehrbenutzerisolation wird auf Datenbankebene durchgesetzt. Der Operator-Zugriff erfolgt rollenbasiert in drei Stufen (Support, Senior, Super); destruktive Aktionen erfordern die Zustimmung mehrerer Operator.
• CSRF- und XSS-Schutz. SameSite-Strict-Cookies bei Operator-Sessions, Origin/Referer-Validierung, Defense-in-Depth-Header-Prüfungen und eine strikte Content-Security-Policy, die Inline-Skript-Injektionen und Cross-Origin-Skript-Laden verhindert.
• Widerrufbare Schlüssel. Anders als biometrische Daten, die bei Kompromittierung nicht geändert werden können, lassen sich die kryptographischen Schlüssel von SkinID widerrufen und ersetzen, ohne Ihre Identität zu beeinträchtigen. Ein neuer Chip kann Ihr Konto über einen von drei dokumentierten Wiederherstellungswegen reaktivieren (Backup-Chip, druckbarer Shamir-Schlüssel oder Identitätsprüfung mit Multi-Operator-Genehmigung).
• Verschlüsselte Backups. Datenbank-Backups werden mit dem Tool age (X25519 mit ChaCha20-Poly1305) verschlüsselt, wobei ein öffentlicher Schlüssel verwendet wird, dessen private Hälfte auf einem separaten, isolierten System aufbewahrt wird. Ein Backup-Leck allein legt keine Kundendaten offen.

Ihre Daten werden auf einem gesicherten Server gehostet von Infomaniak in der Schweiz gespeichert. Die Schweiz bietet einen starken Datenschutz gemäss dem revidierten Bundesgesetz über den Datenschutz (DSG) und ist international für ihre Datenschutzstandards anerkannt. SkinID ist ein Schweizer Produkt und unterliegt dem Schweizer Datenschutzrecht. Wir übermitteln keine Daten ausserhalb der Schweiz.

Wir verarbeiten Ihre Daten auf Grundlage von:

• Vertragserfüllung (Art. 6.1.b DSGVO / Art. 31 DSG): zur Erstellung und zum Betrieb Ihres SkinID-Kontos.
• Berechtigtes Interesse (Art. 6.1.f DSGVO): für Aktivitätsprotokolle, Anomalieerkennung, Sicherheitsaudits und Backup-Erstellung.
• Einwilligung (Art. 6.1.a DSGVO): für die E-Mail-Anmeldungen in der Pre-Launch-Phase.

• Zugangsdaten und Passkeys: gespeichert, bis Sie sie oder Ihr Konto löschen.
• Autofill-Profil: gespeichert, bis Sie es ändern oder löschen oder Ihr Konto löschen.
• Aktivitätsprotokolle: 12 Monate aufbewahrt, danach automatisch gelöscht.
• Vertrauenswürdige Geräte: gespeichert, bis Sie das Gerät entfernen oder Ihr Konto löschen.
• Server-Logs: 30 Tage aufbewahrt (automatische Rotation).
• Pre-Launch-E-Mail-Adressen: aufbewahrt, bis Sie sich abmelden oder der Produkt-Launch abgeschlossen ist.
• Inaktive Konten: Konten ohne Authentifizierungsaktivität für 24 Monate können nach einer Benachrichtigungsfrist gelöscht werden (Benachrichtigung an die hinterlegte E-Mail-Adresse, sofern vorhanden).

• Auskunft. Sie können jederzeit alle gespeicherten Daten im Verwaltungspanel einsehen, indem Sie Ihr Implantat scannen.
• Löschung. Sie können einzelne Zugangsdaten, FIDO-Schlüssel, geteilte Zugriffsrechte oder Ihr gesamtes Konto löschen.
• Export. Sie können Ihre Zugangsdaten als CSV exportieren und alle Ihre Daten (Zugangsdaten, Passkeys, Autofill-Profil, Aktivitätsprotokolle, Geräte, Freigabeverlauf) als einzelne JSON-Datei aus dem Konto-Bereich herunterladen.
• Datenportabilität. Die Exportformate sind standardisiert und maschinenlesbar, sodass Sie nie an SkinID gebunden sind.
• Widerruf. Sie können Authentifizierungstoken und den Zugriff verbundener Geräte jederzeit widerrufen.
• Widerspruch und Einschränkung. Sie können verlangen, dass wir die Verarbeitung Ihrer Daten einstellen oder auf die reine Speicherung beschränken.

Wenn Sie sich in der Europäischen Union oder im Europäischen Wirtschaftsraum befinden, gilt die Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten zusätzlich zum Schweizer Recht. Nach der DSGVO haben Sie folgende zusätzliche Rechte:

• Recht auf Information (Art. 13-14 DSGVO): Sie werden über alle Datenverarbeitungen mit dieser Datenschutzerklärung informiert.
• Auskunftsrecht (Art. 15 DSGVO): Sie können eine Kopie aller personenbezogenen Daten anfordern, die wir über Sie führen. Nutzen Sie die Schaltfläche „Alle meine Daten herunterladen“ im Konto-Bereich.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können Ihre Daten jederzeit über das Verwaltungspanel korrigieren.
• Recht auf Löschung (Art. 17 DSGVO): Sie können Ihr Konto und alle zugehörigen Daten jederzeit löschen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können alle Ihre Daten in maschinenlesbaren Formaten exportieren (CSV, JSON).
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Grundlage berechtigten Interesses widersprechen.
• Beschwerderecht: Sie können zusätzlich zum EDÖB bei Ihrer nationalen Datenschutzbehörde Beschwerde einlegen.

SkinID setzt keine automatisierte Entscheidungsfindung oder Profilbildung ein. Wir verwenden Ihre Daten nicht zu Marketingzwecken. Wir geben Ihre Daten nicht zur eigenen Nutzung an Dritte weiter.

Die SkinID-Browser-Erweiterung (Chrome) und die nativen Apps (Mac, Windows, iPhone) werden nur auf Seiten mit Anmeldeformularen oder bei einer von Ihnen initiierten Authentifizierung aktiv. Sie kommunizieren ausschliesslich mit dem SkinID-Server über HTTPS. Sie erfassen keinen Browserverlauf, lesen keine Seiteninhalte über die Erkennung von Anmeldeformularen hinaus und übermitteln keine Daten an Dritte. Die iPhone-App nutzt Core NFC zum Lesen Ihres Implantats. Es werden keine Daten an Apple gesendet.

Das SkinID-Implantat verwendet einen kryptographischen DESFire-EV3-NFC-Chip mit gegenseitiger AES-128-Authentifizierung, eingekapselt in biokompatiblem Glas (Schott 8625). Die Kommunikation erfolgt über das Standardprotokoll ISO 14443. Der Lesevorgang ist vollständig passiv und verändert den Speicher des Implantats in keiner Weise über das Auslesen der kryptographischen UID hinaus. Das Implantat enthält keine Batterie und wird passiv durch das NFC-Feld mit Energie versorgt. Die MRT-Kompatibilität kann je nach Chip-Generation variieren: Informieren Sie vor jeder MRT-Untersuchung stets Ihren Radiologen über das Implantat.

Wir können diese Erklärung im Zuge der Weiterentwicklung von SkinID aktualisieren. Das Datum „Letzte Aktualisierung“ am Anfang der Seite wird etwaige Änderungen widerspiegeln. Die fortgesetzte Nutzung von SkinID nach einer Änderung gilt als Zustimmung zur aktualisierten Erklärung.

Für datenschutzbezogene Fragen: support@skinid.ch

Sollten Sie der Ansicht sein, dass Ihre Datenschutzrechte nicht gewahrt wurden, können Sie beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Beschwerde einreichen: www.edoeb.admin.ch