Datenschutzerklärung
Datenschutzerklärung — alles24.ch
ENTWURF — keine Anwalts-Review. revDSG-orientiert (gültig seit 01.09.2023), aber juristisch nicht final geprüft. Vor Live durch CH-Datenschutz-spezialisierte:n Anwalt:in prüfen oder als „Beta — Entwurf" markieren.
Grundlage: Bundesgesetz über den Datenschutz vom 25.09.2020 (revDSG), Datenschutzverordnung (DSV).
Datum des Entwurfs: 2026-06-07.
1. Verantwortlicher
[Firmenname] ([Adresse, Stadt], CH), nachfolgend "alles24" oder "wir".
Kontakt für Datenschutz: datenschutz@alles24.ch (oder Fallback: hi@alles24.ch)
2. Erhebung und Verarbeitung von Personendaten
Wir verarbeiten Personendaten, wenn Sie unsere Plattform alles24.ch nutzen.
2.1 Datenarten
Konto-Daten: Name, E-Mail-Adresse, Passwort (gehasht), Telefonnummer (optional, für SMS-OTP), Anschrift (bei Firmen-Profilen), UID-Nummer (CHE) bei Firmen.
Nutzungsdaten: IP-Adresse (je nach Verwendungszweck anonymisiert oder voll gespeichert), Logfiles, Cookies (siehe Cookie-Richtlinie), Suchanfragen, geklickte Anzeigen.
Inhaltsdaten: Inhalte, die Sie selbst erstellen — Inserate, Firmenprofile, Bewertungen, Nachrichten, Bilder.
Zahlungsdaten: Bei kostenpflichtigen Diensten verarbeiten unsere Zahlungsdienstleister (Stripe, Inc., USA — DPF-zertifiziert; ggf. Payrexx AG, Schweiz) Ihre Kreditkarten-/IBAN-Daten. Wir selbst speichern nur Anonyme Transaktions-IDs und Belegnummern.
2.2 Zwecke (revDSG Art. 6)
- Vertragserfüllung: Konto, Zahlungsabwicklung, Anfragenvermittlung.
- Berechtigte Interessen: Sicherheit (Rate-Limit, Audit-Trail), Plattform-Optimierung.
- Einwilligung: Analytics, Marketing-Cookies, Newsletter (nur opt-in).
- Gesetzliche Pflichten: Rechnungs- und Buchhaltungsaufbewahrung (10 Jahre nach OR Art. 958f).
2.3 Rechtsgrundlagen
Hauptsächlich: Vertragserfüllung (Art. 31 Abs. 2 revDSG), berechtigtes Interesse (Art. 31 Abs. 1), bei sensiblen Daten oder Tracking: ausdrückliche Einwilligung (Art. 6 Abs. 6).
3. Empfänger / Auftragsbearbeiter
Wir nutzen folgende Auftragsbearbeiter (Art. 9 revDSG):
| Dienst | Anbieter | Sitz | Verarbeitete Daten |
|---|---|---|---|
| Hosting | Vercel Inc. | USA (DPF-zertifiziert) | alle Plattform-Daten |
| Datenbank | [Vercel Postgres / Neon / Hetzner] | [EU/CH] | alle Plattform-Daten |
| Bild-Speicher | Cloudflare Inc. | USA (DPF) | Inserats- und Profilbilder |
| Rate-Limit | Upstash Inc. | USA / EU | Anonymisierte IP-Limit-Keys |
| Resend Inc. | USA (DPF) | E-Mail-Adressen für Versand | |
| SMS-OTP | [Twilio / ASPSMS] | [USA / CH] | Telefonnummern für 2FA |
| Zahlungen | Stripe Inc. | USA (DPF) | Kartendaten (von Stripe verarbeitet) |
| Marktplatz-Treuhand | [Payrexx AG] | Schweiz | Treuhand-Transaktionen |
| KYC-Verifikation | [Onfido Ltd.] | UK (DPF-äquivalent) | Identitätsdokumente bei Firmen |
| Error-Tracking | Sentry Inc. | USA (DPF) | Fehler-Stacktraces |
| Suchindex | [Selbst-gehostet via Hetzner] | Deutschland | Inserats-/Firmen-Suchindex |
Mit allen Auftragsbearbeitern bestehen revDSG-konforme Datenschutz-Verträge (Art. 9). Datenübermittlungen in Drittstaaten erfolgen auf Basis des EU-US Data Privacy Framework, Schweiz-US DPF oder Standardvertragsklauseln (SCCs) gemäss Anhang 1 DSV.
4. Speicherdauer
| Datenart | Aufbewahrung |
|---|---|
| Konto-Daten | bis Account-Löschung + 30 Tage Backup-Retention |
| Inserate (publiziert) | bis manuelle Löschung oder 12 Monate nach Ablauf |
| Bewertungen | bis Account-Löschung des Verfassers |
| Audit-Logs (Login, Admin-Aktionen) | 540 Tage |
| Audit-Logs (niedrig-forensisch, Lead/View) | 90 Tage, IPs auf /24 truncated |
| Rechnungen / Zahlungsbelege | 10 Jahre (OR Art. 958f) |
| Cookie-Consent | 12 Monate |
| Backups (Datenbank) | tägliches Backup, 30 Tage rolling |
5. Ihre Rechte (revDSG Art. 25-28)
Sie haben jederzeit das Recht:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 25). Sie können dies via Konto → "Datenexport" anfordern; wir liefern innert 30 Tagen einen maschinenlesbaren ZIP-Download.
- Berichtigung unrichtiger Daten (Art. 32 Abs. 1 lit. a).
- Löschung Ihrer Daten ("Recht auf Vergessen") via Konto → "Konto löschen". Ausnahme: gesetzlich aufbewahrungspflichtige Rechnungen werden anonymisiert.
- Einschränkung der Bearbeitung (Art. 32 Abs. 1 lit. b).
- Datenübertragbarkeit (Art. 28) — Sie erhalten Ihre Daten in einem strukturierten, gängigen Format (JSON/CSV).
- Widerspruch gegen die Bearbeitung zu Werbezwecken (Art. 30 Abs. 2 lit. b).
- Widerruf der Einwilligung jederzeit für Cookies/Analytics/Newsletter ohne Folgen.
- Beschwerderecht bei der zuständigen Datenschutzbehörde: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), https://www.edoeb.admin.ch.
Zur Wahrnehmung Ihrer Rechte schreiben Sie uns: datenschutz@alles24.ch.
6. Cookies und Tracking
Detaillierte Informationen siehe Cookie-Richtlinie unter /cookie-richtlinie.
Kurzfassung:
- Technisch notwendige Cookies (Session, CSRF) — keine Einwilligung nötig (Art. 45c FMG-konform).
- Funktionale, statistische und Marketing-Cookies — nur bei expliziter Opt-in-Einwilligung über unseren Cookie-Banner (4 Kategorien, default-OFF).
- Sie können Ihre Einwilligung jederzeit unter /cookie-einstellungen anpassen.
7. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen (Art. 8 revDSG):
- TLS 1.3 verschlüsselte Übertragung
- Passwörter mit bcrypt + Salt gehasht (cost-factor 12)
- 2FA via TOTP (RFC 6238) optional + Backup-Codes
- Session-Tokens als SHA-256-Hash in DB
- Rollenbasiertes Zugriffssystem (RBAC)
- Audit-Trail für alle Admin-Aktionen
- Daily Backups, point-in-time recovery
- Penetrationstests durch externe Reviewer (geplant Q4 2026)
8. Profiling und automatisierte Einzelentscheidungen
alles24 trifft keine automatisierten Entscheidungen mit erheblichen Folgen für Sie (Art. 21 revDSG). Suchergebnis-Sortierung nutzt einen offen dokumentierten Ranking-Algorithmus (Trust-Score, Vollständigkeit, Verifikation), aber alle Entscheidungen sind übersteuerbar.
9. Minderjährige
Unser Service ist ab 16 Jahren. Für Jüngere ist die Einwilligung der gesetzlichen Vertreter erforderlich (Art. 31 Abs. 1 ZGB).
10. Änderungen dieser Erklärung
Wir aktualisieren diese Erklärung bei wesentlichen Änderungen. Die jeweils aktuelle Version mit Datum am Ende ist verbindlich. Bei wesentlichen Änderungen informieren wir Sie via E-Mail oder Plattform-Banner mindestens 30 Tage vor Inkrafttreten.
Stand: 2026-06-07 — Entwurf Verantwortliche Stelle: [Firmenname + Adresse]