Datenschutzerklärung

Last Updated: 19. Januar 2026 | Version 1.0

1. Responsible Party

Mergixa (operated by MProfi AG)

[Strasse + PLZ — siehe Handelsregister Zürich]

8000 Zürich

Schweiz

E-Mail: datenschutz@mergixa.ch

2. Introduction

Introduction Text

3. Data Collection

E-Mail
Name
Organisation
IP-Adresse (anonymisiert)
Login-Daten

3a. Mandanten-Isolation & Multi-Tenant-Datentrennung

Mergixa ist als Multi-Mandanten-Plattform für M&A-Berater konzipiert. Jede Berater-Organisation (Tenant) hat einen vollständig isolierten Datenraum. Cross-Tenant-Daten-Vermischung ist technisch ausgeschlossen:

PostgreSQL Row-Level-Security (RLS) auf 39+ Tabellen — jede Datenbank-Abfrage wird automatisch mit dem Tenant-Kontext gefiltert. Berater können niemals auf Daten anderer Berater zugreifen, auch nicht durch fehlerhafte Application-Logik.
Object-Storage-Isolation: Hochgeladene Dokumente (Datenraum-Inhalt) werden in tenant-spezifischen S3-Bucket-Pfaden abgelegt. Cross-Bucket-Zugriff ist auf Application-Layer-Ebene blockiert.
Audit-Logs pro Tenant — jeder Berater sieht nur seine eigene Audit-Historie, niemals fremde.
Tenant-Isolation-Tests in CI — Cross-Tenant-Access-Versuche werden automatisch mit HTTP 403 abgelehnt und sind Teil der Continuous-Integration-Pipeline.

Diese Garantie gilt für alle Tarife (Starter / Professional / Enterprise) und ist nicht an Whitelabel-Konfiguration gebunden. Weitere Details im Whitelabel-Konzept (auf Anfrage: datenschutz@mergixa.ch).

4. Cookies

Cookie	Purpose	Duration
session_token	Authentication	Session
refresh_token	Token refresh	7 days
csrf_token	CSRF protection	Session

5. Data Retention

Data	Retention
Account	Until deletion + 14 days
Projects	Until deletion by user
Logs	90 days
Audit	10 years (legal)

6. Your Rights

Art. 15 GDPR / Art. 25 DSG

Right of access

Art. 16 GDPR / Art. 6 DSG

Right to rectification

Art. 17 GDPR / Art. 6 DSG

Right to erasure

Art. 20 GDPR / Art. 28 DSG

Data portability

7. Contact

Mergixa - Datenschutz

E-Mail: datenschutz@mergixa.ch