1. Verantwortliche Stelle
Merkaba Codex LUX — Verein für Bewusstseinsforschung
Wolfackerstrasse 4, 4658 Däniken SO, Schweiz
E-Mail: info@merkabacodexlux.org
Ansprechperson für den Datenschutz ist der Vorstand, vertreten durch den Präsidenten Jeremia Muhlig.
2. Grundsätze
Wir bearbeiten personenbezogene Daten nur, soweit dies für Funktion und Betrieb der Website, die Sicherheit, die Kommunikation oder Aufgaben der Vereinsarbeit erforderlich ist. Wir achten auf Datensparsamkeit und Verhältnismässigkeit und setzen weder Werbe-Tracking noch personalisierte Profilbildung ein.
3. Kategorien von Daten
- Technische Zugriffsdaten (z. B. IP-Adresse, Datum/Uhrzeit, aufgerufene Seite/URL, Referrer, Browser/Betriebssystem)
- Kommunikationsdaten, wenn du uns per E-Mail kontaktierst
- Inhalt deiner Eingaben in die KI-Funktion „Mit dem Codex sprechen", also der von dir frei eingegebene Fragetext (siehe Ziffer 11)
- Daten im Zusammenhang mit Drittanbietern (z. B. Schriftarten, JavaScript-Bibliotheken, Zahlungs- und Suchdienste)
- Lokal in deinem Browser gespeicherte Nutzungsdaten (localStorage; siehe Ziffer 9), die dein Gerät nicht verlassen
4. Zwecke und Rechtsgrundlagen
Wir verarbeiten Daten zu folgenden Zwecken: Betrieb, Stabilität, IT-Sicherheit und Fehleranalyse; Kommunikation und Beantwortung von Anfragen; Bereitstellung der interaktiven Funktionen einschliesslich der KI-Funktion; technische Optimierung; Reichweitenmessung; sowie Überwachung der Sichtbarkeit und Indexierung in Suchmaschinen.
Rechtsgrundlage ist unser berechtigtes Interesse am sicheren und funktionsfähigen Betrieb der Website sowie an der Erfüllung der Vereinszwecke (Art. 6 Abs. 1 lit. f DSGVO), bei Kontaktaufnahme und Spenden die Anbahnung bzw. Erfüllung (Art. 6 Abs. 1 lit. b DSGVO) und, soweit eine Einwilligung erforderlich ist, Art. 6 Abs. 1 lit. a DSGVO. Mangels Niederlassung in der EU gilt für uns primär das Schweizer DSG; die DSGVO kommt zur Anwendung, soweit ein Markt- oder Verhaltensbezug nach Art. 3 Abs. 2 DSGVO besteht.
5. Hosting und Auftragsbearbeitung
Diese Website wird über Cloudflare (Cloudflare, Inc., USA — Workers und Pages) gehostet. Cloudflare verarbeitet im Rahmen der technischen Auslieferung notwendige Daten (z. B. IP-Adressen und Server-Logs) zur Sicherstellung von Betrieb, Performance und Sicherheit. Cloudflare ist nach dem EU-US Data Privacy Framework und dessen Schweizer Erweiterung (Swiss-US Data Privacy Framework) zertifiziert. Mit Cloudflare und weiteren Auftragsbearbeitern bestehen Auftragsbearbeitungsverträge nach Art. 9 DSG bzw. Art. 28 DSGVO. Mehr dazu unter Cloudflare-Datenschutzerklärung.
6. Server-Logfiles
Beim Besuch der Website werden automatisch technische Daten in Server-Logfiles erfasst und nur zeitlich begrenzt zur Sicherstellung von Betrieb, Stabilität und Sicherheit verarbeitet.
7. Kontaktaufnahme per E-Mail
Wenn du uns per E-Mail kontaktierst, verarbeiten wir deine Angaben ausschliesslich zur Bearbeitung deiner Anfrage. Eine Weitergabe erfolgt nur, wenn dies für die Bearbeitung erforderlich oder gesetzlich vorgeschrieben ist.
7a. Newsletter und E-Mail-Kommunikation
Wenn du dich dafür angemeldet hast oder Mitglied bzw. Unterstützer:in bist, senden wir dir E-Mails — etwa Informationen zum Projekt und zum Verein, eine Begrüssungs- und Einführungsreihe (Onboarding) sowie einen Newsletter. Verarbeitet werden dabei deine E-Mail-Adresse sowie technische Versand- und Interaktionsdaten (z. B. ob eine Nachricht zugestellt oder geöffnet wurde).
Rechtsgrundlage: Der Versand erfolgt auf Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; Art. 3 Abs. 1 lit. o UWG). Du erteilst die Einwilligung durch deine Anmeldung; wir bestätigen diese über eine Bestätigungs-E-Mail (Double-Opt-in). Bei Mitgliedern bzw. Unterstützer:innen stützt sich die vereinsbezogene Kommunikation zusätzlich auf das jeweilige Mitglieds- oder Unterstützungsverhältnis.
Abmeldung: Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Jede E-Mail enthält einen Abmeldelink; alternativ genügt eine kurze Nachricht an info@merkabacodexlux.org. Nach der Abmeldung wird deine Adresse aus dem Verteiler entfernt bzw. für weitere Sendungen gesperrt.
Versanddienste: Für den Versand nutzen wir unser E-Mail-Postfach bei Infomaniak (Infomaniak Network SA, Schweiz) sowie — für Newsletter und automatisierte Sequenzen — MailerSend (EU-Server) und Substack (Substack, Inc., USA). Diese Dienste verarbeiten die Versanddaten in unserem Auftrag; bei Substack erfolgt die Verarbeitung auch in den USA (siehe Ziffer 16).
8. Unterstützungsbeiträge und Spenden
Unterstützungsbeiträge werden über folgende Wege abgewickelt:
- Banküberweisung und eBanking über unser Konto bei der Raiffeisen Schweiz (Raiffeisen Däniken). Auf der Website werden dazu nur IBAN und eine Swiss-QR-Bill-Grafik angezeigt; eine Datenerfassung findet dabei auf der Website nicht statt.
- PayPal über einen Spenden-Button (PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg, sowie PayPal, Inc., USA). Der Button öffnet die Zahlungsseite von PayPal in einem neuen Fenster; deine Eingaben (z. B. Name, E-Mail, Zahlungsmittel, Betrag) erfolgen vollständig bei PayPal. Es gelten zusätzlich die Datenschutzbestimmungen von PayPal. PayPal ist als aktiver Zahlungsweg eingebunden; für die Übermittlung in die USA stützen wir uns auf die Standardvertragsklauseln.
Wir verarbeiten nur die zur Zuordnung und Buchhaltung erforderlichen Daten. Künftig können weitere Zahlungsdienste (z. B. TWINT, Stripe, RaiseNow) hinzukommen; in diesem Fall gelten zusätzlich deren Bestimmungen, und diese Erklärung wird entsprechend aktualisiert.
9. Cookies und lokale Speicherung
Die Website setzt nur technisch notwendige Cookies und Token ein (z. B. Cloudflare-Sicherheitstoken; künftig ein Session-Cookie bei einem Abo-Login). Wir verwenden keine Werbe-Cookies und kein Marketing-Tracking. Details findest du im Cookie-Hinweis.
Lokale Speicherung (localStorage): Damit dein Fortschritt erhalten bleibt, speichern wir bestimmte Angaben lokal in deinem Browser. Dazu gehören je nach Nutzung dein Praxisfortschritt und versiegelte Punkte, besuchte Bereiche, Datumsstempel und Streaks, Lesezeichen, Anzeige-Einstellungen wie das Farbthema sowie technische Status-/Zugangsmerkmale. Diese Daten enthalten keinen Namen, keine E-Mail-Adresse und keinen Freitext, verlassen dein Gerät nicht und werden nicht an uns oder Dritte übertragen. Du kannst sie jederzeit über die Einstellungen deines Browsers löschen. Zusätzlich kannst du deinen Fortschritt freiwillig als lokale Datei exportieren und wieder importieren; diese Datei wird ausschliesslich auf deinem Gerät gespeichert.
Journal- und Reflexionsfelder: Auf den Praxis- und Tagesseiten (49-Tage-Pfad) stehen Eingabefelder für persönliche Reflexionen bereit. Eingaben in diese Felder werden ausschliesslich flüchtig in deinem Browser angezeigt, nicht gespeichert, nicht an uns oder Dritte übertragen und gehen beim Neuladen der Seite verloren.
10. Externe Ressourcen (CDN für 3D-Bibliotheken)
Für die interaktiven 3D-Darstellungen wird auf einzelnen Seiten eine externe Ressource geladen. Dabei wird technisch bedingt deine IP-Adresse sowie Browser- und Geräteinformationen an den Anbieter übermittelt:
- Cloudflare CDN (cdnjs.cloudflare.com), Cloudflare, Inc., USA — JavaScript-Bibliotheken für 3D-Geometrien und Animationen (z. B. Three.js, GSAP), ausschliesslich auf den Seiten mit 3D-Darstellung.
Die verwendete Schriftart (Cormorant Garamond) wird selbst von dieser Website ausgeliefert (selbst gehostet) — es findet keine Übertragung an Google oder andere Dritte statt. Auch der QR-Code auf der Unterstützen-Seite wird lokal als Grafik bereitgestellt und überträgt beim Anzeigen keine Daten an Dritte. Es werden keine Google Fonts und keine Google-Dienste geladen.
Diese Übermittlung ist für die Darstellung der betreffenden 3D-Seiten erforderlich und erfolgt ohne Werbezweck.
11. KI-Funktion „Mit dem Codex sprechen"
Die Website bietet eine interaktive Funktion, bei der du eine frei formulierte Frage in ein Textfeld eingeben kannst und eine automatisch erzeugte Antwort erhältst. Diese Funktion ist auf den Seiten der Website verfügbar und zusätzlich über einen direkten Verweis erreichbar, der die Anwendung in einem neuen Fenster auf der Cloudflare-Worker-Adresse öffnet; dabei gelten dieselben Verarbeitungs- und Drittlandhinweise.
Was übermittelt wird: ausschliesslich der von dir eingegebene Fragetext sowie eine Modus- und Stimmen-Auswahl. Es werden kein Name, keine E-Mail-Adresse und keine Login-Daten mitgesendet; die Funktion ist nicht mit einem Konto verknüpft. Technisch bedingt werden mit der Anfrage deine IP-Adresse und Browserinformationen übertragen.
Verarbeitung: Die Anfrage wird über einen von uns betriebenen Cloudflare Worker verarbeitet, der auf der weltweiten Infrastruktur von Cloudflare (Cloudflare, Inc., USA) läuft. Die Antwort wird mithilfe von Cloudflare Workers AI erzeugt; zum Einsatz kommen ein Sprachmodell der Llama-3.3-Familie sowie ein Einbettungsmodell (BGE-M3) in Verbindung mit einer Wissensdatenbank auf Basis von Cloudflare Vectorize. Die Eingaben werden nicht an Dritt-Anbieter wie OpenAI oder Anthropic gesendet.
Zwischenspeicherung: Zur Entlastung der Systeme kann eine erzeugte Antwort für bis zu 24 Stunden zwischengespeichert werden. Kein KI-Training, keine Profilbildung: Deine Eingaben werden nicht zum Training von KI-Modellen verwendet und nicht zu Marketingzwecken weitergegeben.
Rechtsgrundlage ist unser berechtigtes Interesse an der Bereitstellung der interaktiven Funktion (Art. 6 Abs. 1 lit. f DSGVO). Es findet keine automatisierte Einzelentscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt.
Bitte beachte: Gib in dieses Feld keine sensiblen personenbezogenen Daten ein, insbesondere keine Gesundheitsdaten, keine Namen oder Kontaktdaten Dritter und keine vertraulichen Informationen. Die Antworten werden automatisiert erzeugt, können unvollständig oder unzutreffend sein und stellen keine medizinische, psychologische, rechtliche oder finanzielle Beratung dar.
12. Cloudflare Web Analytics (ohne Cookies)
Wir nutzen Cloudflare Web Analytics zur aggregierten Erfassung von Seitenaufrufen, Verweildauer und Gerätetypen. Der Dienst arbeitet ohne Cookies, ohne Fingerprinting und ohne personenbezogene Profilbildung. IP-Adressen werden dabei nicht gespeichert. Rechtsgrundlage ist unser berechtigtes Interesse an der reichweitenstatistischen Auswertung zur Verbesserung des Angebots (Art. 6 Abs. 1 lit. f DSGVO).
13. Cloudflare Access (Test- und Soft-Launch-Phase)
Während der Test- und Soft-Launch-Phase kann die Website durch Cloudflare Access mit einer E-Mail-Whitelist geschützt sein. Beim Zugriff wird die eingegebene E-Mail-Adresse gegen eine vom Verein gepflegte Liste geprüft; bei berechtigtem Zugriff wird ein Einmalcode an diese E-Mail-Adresse gesendet. Diese Daten werden ausschliesslich zur Zugangskontrolle verwendet. Rechtsgrundlage ist unser berechtigtes Interesse am Schutz der Vorab-Inhalte (Art. 6 Abs. 1 lit. f DSGVO). Die Whitelist und zugehörige Zugriffsprotokolle werden nach Abschluss der Soft-Launch-Phase gelöscht und dieser Schutz deaktiviert.
14. Google Search Console
Wir nutzen Google Search Console (Google LLC, USA) zur technischen Überwachung der Indexierung und Suchleistung. Dabei werden aggregierte Such- und Crawling-Daten verarbeitet. Eine personenbezogene Profilbildung oder personalisiertes Tracking zu Werbezwecken erfolgt nicht. Google Analytics wird nicht verwendet.
15. Empfänger und Kategorien von Empfängern
- Cloudflare, Inc., USA (Hosting, CDN, Web Analytics, Access, Workers AI, Vectorize)
- jsDelivr (CDN, ausgeliefert über Cloudflare und Fastly)
- Google LLC, USA (Schriftarten, QR-Code-Erzeugung, Search Console)
- PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg, und PayPal, Inc., USA (Spendenabwicklung)
- Raiffeisen Schweiz (Banküberweisung)
- Infomaniak Network SA, Schweiz (E-Mail-Postfach), sowie MailerSend (EU) und Substack, Inc., USA (Newsletter- und E-Mail-Versand)
- interne Vereinsstellen (Bearbeitung und Zuordnung)
- künftig gegebenenfalls weitere Zahlungsdienste (TWINT, Stripe, RaiseNow)
16. Übermittlung ins Ausland
Mehrere der genannten Dienste (insbesondere Cloudflare, Google, jsDelivr, PayPal und Substack) verarbeiten Daten auch in den USA oder in weiteren Drittstaaten. Wir stützen diese Übermittlungen auf anerkannte Garantien: bei zertifizierten Empfängern auf das EU-US und das Swiss-US Data Privacy Framework, ergänzend bzw. bei nicht zertifizierten Empfängern (z. B. PayPal) auf die Standardvertragsklauseln. Ein dem schweizerischen oder europäischen Niveau vollständig entsprechender Datenschutz kann in Drittstaaten nicht in jedem Fall garantiert werden.
17. Aufbewahrungsdauer
Personendaten werden nur so lange gespeichert, wie dies für die genannten Zwecke oder aufgrund gesetzlicher Aufbewahrungspflichten (z. B. buchhalterische Aufbewahrung von Spendendaten) erforderlich ist. Technische Logdaten werden kurzfristig, zwischengespeicherte KI-Antworten für bis zu 24 Stunden vorgehalten.
18. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen, um deine Daten zu schützen, insbesondere HTTPS-Verschlüsselung über Cloudflare und Zugriffsbeschränkungen.
19. Minderjährige
Die Angebote der Website richten sich an Erwachsene. Personen unter 16 Jahren sollten die interaktiven Funktionen, insbesondere die KI-Funktion und die körperlichen Übungen, nur mit Zustimmung und unter Aufsicht einer erziehungsberechtigten Person nutzen. Wir erheben nicht gezielt Daten von Minderjährigen.
20. Rechte betroffener Personen
Im Rahmen des anwendbaren Datenschutzrechts kannst du insbesondere verlangen: Auskunft über deine bei uns bearbeiteten Personendaten (Art. 25 DSG; Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung bzw. Vernichtung (Art. 17 DSGVO), Einschränkung der Bearbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie Widerspruch gegen Bearbeitungen, die wir auf berechtigtes Interesse stützen (Art. 21 DSGVO). Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen. Anfragen richtest du an info@merkabacodexlux.org; zur Missbrauchsverhinderung können wir deine Identität prüfen.
Zudem hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Feldeggweg 1, 3003 Bern (edoeb.admin.ch). Personen in der EU können sich an die Aufsichtsbehörde ihres Mitgliedstaats wenden.
21. Änderungen
Diese Datenschutzerklärung kann angepasst werden, insbesondere bei neuen Funktionen oder Diensten. Es gilt jeweils die aktuelle, auf der Website veröffentlichte Fassung; das Datum unter „Stand" zeigt die letzte Aktualisierung.