Datenschutzerklärung
Stand: 10. Juni 2026
Diese Datenschutzerklärung informiert Sie darüber, wie in der iOS-App We+ und auf der Website www.weplus.care Personendaten bearbeitet werden. Wir halten uns an das Schweizer Datenschutzgesetz (DSG) und – soweit anwendbar – an die Datenschutz-Grundverordnung der EU (DSGVO).
1. Verantwortliche Stelle
We Technology Associationc/o Impact Hub Zürich AG
Sihlquai 131
8005 Zürich
Schweiz
E-Mail: privacy@weplus.care
2. Grundsatz: Verarbeitung auf Ihrem Gerät
We+ ist als «lokal zuerst» konzipiert. Ihre Eingaben – Profil-, Pflege-, Leistungs- und Finanzangaben, gescannte Dokumente und ausgefüllte Formulare – werden grundsätzlich ausschliesslich lokal auf Ihrem Gerät gespeichert und dort verarbeitet. Die Daten sind durch die Verschlüsselungsmechanismen von iOS («Data Protection») geschützt; sensible Zugangsdaten werden im iOS-Schlüsselbund (Keychain) abgelegt.
Die Texterkennung gescannter Dokumente (OCR) sowie – wo verfügbar – die KI-Auswertung erfolgen auf dem Gerät (Apple-Vision- und Apple-Intelligence-Modelle). Eine Übermittlung an unsere Server oder an Dritte findet nur in den unter Ziffer 4 und 5 beschriebenen Fällen statt.
Geräte-Backups: Wenn Sie ein iOS-Backup Ihres Geräts erstellen – in iCloud oder lokal auf einem Computer –, werden die lokal gespeicherten We+-Daten als Teil dieses Backups mitgesichert. Solche Backups liegen ausserhalb unseres Einflussbereichs und unterliegen den Bedingungen von Apple bzw. Ihres Backup-Mediums. Achten Sie darauf, dass Ihr Backup verschlüsselt ist (Daten im iOS-Schlüsselbund werden nur in verschlüsselte Backups übernommen).
3. Welche Daten bei Cloud-Funktionen bearbeitet werden
Wenn Sie die optionalen Cloud-Funktionen aktivieren (Ziffer 4), können – je nach Ihrer Nutzung – folgende Datenkategorien Ihr Gerät verlassen. Sie können je nach Inhalt mit Ihrer Identität verknüpfbar sein und werden ausschliesslich zur Bereitstellung der App-Funktion bearbeitet (keine Werbung, kein Tracking):
| Kategorie | Beispiele |
|---|---|
| Gesundheitsdaten | Diagnosen, Hilflosigkeits-/IV-Grad, Pflegebedarf aus Chat-Eingaben oder gescannten Dokumenten |
| Finanzdaten | Einkommen, Vermögen, Renten, IBAN, Krankheitskosten aus Eingaben oder Belegen |
| Name | Name der pflegebedürftigen Person und der betreuenden Person |
| Identifikationsdaten | AHV-Nummer, Adressen, Telefonnummern aus gescannten Dokumenten |
| Nutzerinhalte | frei verfasste Chat-Nachrichten, Belegtexte, App-Feedback |
| Kontaktdaten Dritter | in gescannten Dokumenten enthaltene Angaben zu Ärztinnen, Spitex, Versicherern usw. |
Automatische Datenminimierung: Den Situationskontext, den die App selbst erstellt, filtert sie nach Sensibilität, bevor er an die Cloud-KI geht: Namen werden weggelassen, Finanzangaben nur als grobe Bandbreite übermittelt (z. B. «CHF 40'000–60'000»), und besonders schützenswerte Angaben wie Diagnosen oder der genaue Hilflosigkeitsgrad werden entfernt oder verallgemeinert (z. B. nur «Hilflosenentschädigung vorhanden»). Die obigen Kategorien können Ihr Gerät daher vor allem dann verlassen, wenn Sie sie selbst in Chat-Nachrichten schreiben oder gescannte Dokumente auswerten lassen.
4. Cloud-KI-Beratung (Anthropic) – nur mit Ihrer Einwilligung
Die KI-gestützte Beratung und die Dokumentauswertung können wahlweise über ein leistungsfähigeres Cloud-Modell erfolgen. Diese Funktion ist standardmässig deaktiviert und wird erst nach Ihrer ausdrücklichen Einwilligung in den Einstellungen genutzt. Solange Sie nicht einwilligen, werden keine Inhalte an die Cloud-KI gesendet.
Wenn Sie einwilligen, werden die von Ihnen ausgelösten Inhalte (Chat-Nachrichten, der vollständige Text gescannter Dokumente, ein minimierter Situationskontext) an unseren Auftragsbearbeiter Anthropic PBC, San Francisco, USA übermittelt und dort zur Erzeugung der Antwort verarbeitet. Die Übermittlung läuft über unseren eigenen, mittels Apple App Attest abgesicherten Server; Anthropic verarbeitet die Daten als Unterauftragsbearbeiter und verwendet sie nicht zum Training ihrer Modelle.
Dokumentauswertung: Lassen Sie ein gescanntes Dokument per Cloud-KI auswerten, wird dessen vollständiger Text übermittelt. Er kann – je nach Dokument – Namen, AHV-Nummern, Adressen, Telefonnummern, IBAN und Diagnosen enthalten. Die automatische Datenminimierung (Ziffer 3) gilt nur für den Situationskontext, den die App selbst erstellt – nicht für den Text des Dokuments.
Unser Server leitet Ihre Anfrage lediglich durch und speichert die Inhalte Ihrer Fragen und der Antworten nicht. Gespeichert werden ausschliesslich technische Verbrauchsdaten (Ziffer 5).
Rechtsgrundlage: Ihre ausdrückliche Einwilligung (Art. 6 Abs. 6 und 7 DSG; für DSGVO-Betroffene Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO). Sie können die Einwilligung jederzeit in den Einstellungen widerrufen; danach werden keine weiteren Inhalte an die Cloud-KI gesendet.
5. Weitere Serverkommunikation
- Pseudonymes Installations-Token (App Attest): Zur Missbrauchsvermeidung und zur Durchsetzung des Nutzungskontingents erzeugt die App ein zufälliges, pseudonymes, hardwaregestützt bestätigtes Installations-Token und registriert es bei unserem Server. Das Token enthält keine Angaben zu Ihrer Person und wird nicht mit Namen, Apple-ID oder anderen identifizierenden Daten zusammengeführt. Das Token wird bei Anfragen an unseren Server (Cloud-KI, Feedback, Nutzungsstatistik) mitgesendet. Inaktive Token verlieren ihre Registrierung nach 90 Tagen.
- Technische Verbrauchsdaten der Cloud-KI: Pro Cloud-Anfrage (Ziffer 4) speichert unser Server ausschliesslich technische Verbrauchsdaten – Umfang der Anfrage in Recheneinheiten (Tokens), verwendetes Modell und Kosten –, verknüpft mit dem pseudonymen Installations-Token. So setzen wir das Tageskontingent durch (Gratis-Stufe: 25 Cloud-Anfragen pro Tag). Keine Inhalte, Gesundheits- oder Finanzdaten werden gespeichert.
- Mitgliedschafts-Abgleich (KI-Kontingent): Die App gleicht Ihre Mitgliedschafts-Stufe mit unserem Server ab – beim App-Start sowie nach einem In-App-Kauf, einer Wiederherstellung oder einer Verlängerung. Übermittelt werden die Stufe und – bei einer bezahlten Mitgliedschaft – die zugehörige Apple-Produkt- und die pseudonyme Transaktions-Kennung sowie das Ablaufdatum, verknüpft mit dem pseudonymen Installations-Token. So entspricht Ihr KI-Kontingent Ihrer Mitgliedschafts-Stufe. Name, Apple-Account und Zahlungsdaten erhalten wir dabei nicht; die Zahlung wickelt ausschliesslich Apple ab.
- Feedback: Wenn Sie aktiv Feedback senden, übermitteln wir Ihren Text sowie App- und iOS-Version an unseren Server, der die Meldung serverseitig an unser internes Ticketsystem (GitHub) weiterleitet. Ihre IP-Adresse wird dabei nicht an GitHub weitergegeben.
- Mittragen politischer Anliegen: In den Nachrichten können Sie politische Geschäfte «mittragen». Dabei übermitteln wir weder Namen noch Inhalte, sondern nur die Kennung des Geschäfts und einen gehashten, gerätebezogenen Wert (SHA-256 aus einer von iOS vergebenen Gerätekennung und der Geschäfts-Kennung). Er bestätigt lediglich «gleiche Installation», damit jede Installation pro Geschäft nur einmal zählt. Eine Klartext-Gerätekennung wird nicht übermittelt; unser Server speichert davon nur einen weiteren Hashwert. Ein Rückschluss auf Ihre Person ist uns daraus nicht möglich.
- Nachrichten / Anlaufstellen-Verzeichnis: Die App lädt öffentliche Inhalte (News, Verzeichnis von Anlaufstellen) von unseren Servern. Dabei werden keine Nutzerdaten übermittelt.
- Nutzungsstatistik zur Mitgliedschaft: Zur Verbesserung der App erfassen wir pseudonyme, inhaltsfreie Ereignisse rund um die Mitgliedschaft – etwa dass eine Mitgliedschafts-Übersicht angezeigt wurde, dass eine Funktion eine höhere Mitgliedschaftsstufe erfordert hätte, welche Stufe vorgeschlagen wurde, dass eine Anzeige geschlossen oder ein Kauf abgeschlossen wurde. Übermittelt werden ausschliesslich der Ereignistyp, ein technischer Kontext (z. B. die betroffene Mitgliedschaftsstufe oder die Kennung eines Formulars) und das pseudonyme Installations-Token – keine Inhalte, Namen, Gesundheits- oder Finanzdaten. Diese Auswertung erfolgt ausschliesslich auf unserem eigenen Server; es findet kein Drittanbieter-Tracking statt (vgl. Ziffer 10).
6. Website-Analyse (Plausible)
Auf der Website www.weplus.care setzen wir Plausible Analytics ein – eine cookielose, datenschutzfreundliche Reichweitenmessung. Plausible verwendet keine Cookies, speichert keine personenbezogenen Daten und ermöglicht kein geräteübergreifendes Tracking. Erfasst werden nur aggregierte, anonyme Nutzungsstatistiken (z. B. aufgerufene Seiten, ungefähre Herkunft auf Landesebene) sowie anonymisierte Interaktions-Ereignisse (z. B. «Chat geöffnet»). Die Daten werden in der EU verarbeitet. Diese Analyse betrifft nur die Website, nicht die App.
7. Chat und Support auf der Website
Auf www.weplus.care steht ein Chat-Assistent zur Verfügung. Ihre Chat-Eingaben werden über unseren bei Cloudflare, Inc. (USA) betriebenen Server an unseren Auftragsbearbeiter Anthropic PBC (USA) übermittelt und dort ausschliesslich zur Erzeugung der Antwort verarbeitet; wir speichern die Inhalte nicht. Zur Begrenzung der Nutzung verwenden wir ein kurzlebiges, signiertes Sitzungs-Token ohne Personenbezug. Zum Schutz vor automatisiertem Missbrauch setzen wir Cloudflare Turnstile ein, das technische Browser-Signale und Ihre IP-Adresse prüft, ohne Cookies zu setzen.
Geben Sie im Website-Chat keine besonders schützenswerten Personendaten ein (z. B. Gesundheitsangaben mit Namensbezug) – für persönliche Berechnungen nutzen Sie die App, die standardmässig auf dem Gerät arbeitet. Zur Übermittlung in die USA siehe Ziffer 9.
Support-Formular: Wenn Sie über www.weplus.care/support eine Anfrage senden, übermitteln wir Betreff, Nachricht und – falls von Ihnen angegeben – Ihre E-Mail-Adresse an unser internes Ticketsystem (GitHub, USA; Ziffern 8 und 9). Ihre IP-Adresse wird nicht an GitHub weitergegeben. Eine angegebene E-Mail-Adresse verwenden wir ausschliesslich zur Beantwortung Ihrer Anfrage. Auch hier setzen wir Cloudflare Turnstile gegen automatisierten Missbrauch ein.
8. Auftragsbearbeiter und Unterauftragsbearbeiter
| Dienstleister | Zweck | Standort |
|---|---|---|
| Anthropic PBC | Cloud-KI: App-Beratung / Dokumentauswertung (nur mit Einwilligung) sowie Website-Chat | USA |
| Cloudflare, Inc. | Betrieb der Website (Hosting, Auslieferung) und Bot-Schutz (Turnstile) | USA (weltweites Netz) |
| Fly.io, Inc. | Betrieb unseres Backend-Servers | Serverstandort Frankfurt (DE, EU); Anbieter mit Sitz in den USA |
| Plausible Insights OÜ | anonyme, cookielose Reichweitenmessung der Website | EU |
| GitHub (Microsoft Corp.) | internes Ticketsystem für Feedback | USA |
9. Bekanntgabe ins Ausland
Unser Backend-Server wird in Frankfurt (Deutschland, EU) betrieben; die EU bietet aus Sicht des DSG einen angemessenen Datenschutz. Bei Nutzung der Cloud-KI-Beratung in der App (Ziffer 4) und des Website-Chats (Ziffer 7) werden Inhalte an Anthropic in die USA übermittelt. Daneben können Daten an weitere Dienstleister in den USA gelangen: Cloudflare (Website-Betrieb), GitHub/Microsoft (Feedback-Tickets) und Fly.io (Anbieter unseres EU-Servers).
Diese Übermittlungen in die USA stützen wir auf das Swiss-U.S. Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist, bzw. auf die Standardvertragsklauseln (Art. 16 Abs. 1 und 2 DSG; Art. 44 ff. DSGVO) – bei der Cloud-KI-Beratung in der App zusätzlich auf Ihre ausdrückliche Einwilligung.
10. Kein Tracking, keine Werbung
We+ verwendet keine Werbe-Dienste von Dritten, keine Werbe-ID (IDFA) und gibt keine Daten zu Werbezwecken oder an Datenhändler weiter. Es findet kein App- oder geräteübergreifendes Tracking zur Profilbildung statt.
11. Berechtigungen der App
- Kamera: zum Scannen von Dokumenten (z. B. Spitalberichte, Formulare).
- Kontakte: nur, wenn Sie eine Kontaktperson aus Ihrem Netzwerk in Ihre iOS-Kontakte übernehmen möchten.
- Siri / Kurzbefehle: für Sprachbefehle (z. B. Leistungen prüfen, Pflegestunden erfassen).
Sie können jede Berechtigung in den iOS-Einstellungen jederzeit widerrufen.
12. Aufbewahrung und Löschung
Lokal gespeicherte Daten bleiben auf Ihrem Gerät, bis Sie sie in der App löschen oder die App deinstallieren. In der App können Sie Ihre Daten jederzeit löschen («Alle Daten löschen»). Beim Cloud-KI-Dienst speichern wir die Inhalte nicht (Ziffer 4 und 7); Anthropic verarbeitet sie nur zur Erzeugung der Antwort und löscht sie gemäss seinen kurzen Aufbewahrungsfristen. Serverseitige technische Daten (Ziffer 5) bewahren wir nur so lange auf, wie es für Missbrauchsvermeidung, Kontingente und aggregierte Statistik erforderlich ist; inaktive Installations-Token verlieren ihre Registrierung nach 90 Tagen.
13. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen: Verschlüsselung der lokalen Daten («Complete»-Dateischutz), Ablage von Geheimnissen im Schlüsselbund, abgesicherte Serververbindungen (TLS) sowie Geräteattestierung (App Attest) für den Cloud-Zugang.
14. Ihre Rechte
Sie haben das Recht auf Auskunft, Berichtigung, Löschung und Herausgabe/Übertragung Ihrer Daten sowie das Recht, eine erteilte Einwilligung zu widerrufen. Sie können sich zudem bei der zuständigen Aufsichtsbehörde beschweren (in der Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, EDÖB). Wenden Sie sich für die Ausübung Ihrer Rechte an die unter Ziffer 1 genannte Adresse.
15. Änderungen
Wir können diese Datenschutzerklärung anpassen. Massgebend ist die jeweils unter dieser URL veröffentlichte Fassung.