Vertrauen und Sicherheit
Was eine Gemeinde wissen muss, bevor sie hitzemonitor beschafft: wo die Daten liegen, wer sie verarbeitet, wie sie gesichert sind und was bei Vertragsende geschieht. Kurz und vollständig.
Datenstandort
Datenbank, Anmeldung und Dateispeicher laufen bei Supabase in der Region Zürich (AWS eu-central-2). Die Messdaten, Ihre Auswertungen und die Berichte liegen damit in der Schweiz.
Vollständigkeit gehört zur Ehrlichkeit: Supabase Inc. ist ein Unternehmen mit Sitz in den USA; der Serverstandort ist Zürich auf der Infrastruktur von AWS. Für die verarbeiteten Datenarten (Behördenkontakte, offene Umweltdaten) ist das zulässig und vertraglich abgesichert. Damit keine Abhängigkeit entsteht, bleibt das Datenmodell reines PostgreSQL: Der Umzug zu einem Schweizer Anbieter ist vorbereitet und dokumentiert.
Personendaten
hitzemonitor verarbeitet wenig: Name, geschäftliche E-Mail-Adresse und Rolle der Portal-Nutzenden, dazu technische Protokolle. Die Sensordaten sind offene Umweltdaten ohne Personenbezug. Es gibt keine Profile, kein Tracking durch Werbenetzwerke und keinen Datenverkauf.
Verschlüsselung und Zugriff
Übertragung ausschliesslich verschlüsselt (TLS), Speicherung verschlüsselt (AES-256). Die Mandanten sind bis in die Datenbank getrennt (Row Level Security): Mitarbeitende einer Gemeinde sehen nur ihre Gemeinde. Die Anmeldung läuft über persönliche E-Mail-Links ohne Passwortlisten. Administrativer Zugriff ist minimal gehalten und protokolliert.
Backups und Kontinuität
Tägliche Sicherungen mit Punkt-in-Zeit-Wiederherstellung. Zusätzlich archiviert hitzemonitor jede Antwort des Messnetzes unverändert im eigenen Speicher. Fällt die Quelle aus, laufen Portal und Berichte aus dem Archiv weiter. Das offene Netz selbst kennt keine Verfügbarkeitsgarantie; genau deshalb existiert das Archiv seit dem ersten Tag.
Löschung und Portabilität
Bei Vertragsende erhalten Sie Ihre Auswertungen, Berichte und Massnahmendaten als Export (CSV und PDF). Danach werden die Mandantendaten innert 30 Tagen gelöscht; Rechnungsunterlagen bleiben nach Obligationenrecht zehn Jahre aufbewahrt. Die offenen Messdaten bleiben öffentlich, unabhängig von hitzemonitor.
AVV und Recht
Für die Auftragsverarbeitung liegt eine Vorlage nach Art. 9 nDSG bereit, mit Verweis auf das Berner Datenschutzgesetz (KDSG) und dem Subprozessoren-Anhang dieser Seite. Verletzungen der Datensicherheit melden wir der Gemeinde unverzüglich. Die revidierten Berner Erlasse (KDSG und ICSG, in Kraft ab 1. September 2026) sind berücksichtigt.
Barrierefreiheit
Portal, öffentliches Widget und Berichte folgen eCH-0059 Version 3.0, also WCAG 2.1 AA. Für das Widget auf Ihrer Website ist das keine Kür, sondern Ihre gesetzliche Pflicht; hitzemonitor liefert es entsprechend aus.
Beschaffung
Der Auftragswert liegt über vier Jahre gerechnet deutlich unter der IVöB-Schwelle für die freihändige Vergabe (CHF 150’000 für Dienstleistungen). Massgebend bleiben die Kompetenzregeln Ihrer Gemeinde.
Subprozessoren
Alle Dienstleister, die im Auftrag von hitzemonitor Daten verarbeiten. Diese Liste ist zugleich der Anhang des AVV.
| Dienst | Zweck | Standort der Verarbeitung |
|---|---|---|
| Supabase | Datenbank, Anmeldung, Dateispeicher | Zürich, Schweiz (AWS eu-central-2) |
| Resend | E-Mail-Versand (Berichte, Anmeldelinks, Hinweise) | USA (Swiss-U.S. Data Privacy Framework) |
| Sentry | Fehlerdiagnose | EU (Frankfurt) |
| Plausible Analytics | Reichweitenmessung, ohne Cookies | EU |
| GitHub | Quellcode und Build-Infrastruktur, keine Produktionsdaten | EU/USA |
Dokumente für Ihre Unterlagen
- AVV-Vorlage nach nDSG Art. 9 und Berner KDSGauf Anfrage
- Sicherheits-Selbstdeklaration (eine Seite)auf Anfrage
- Vergabenotiz zur freihändigen Vergabeauf Anfrage
Die Dokumente werden zurzeit als unterschriftsfertige PDFs aufbereitet und sind bis dahin per E-Mail erhältlich: kontakt@hitzemonitor.ch.