Datenschutzrichtlinie
Letzte Aktualisierung: 14.05.2026
Konform mit dem neuen Bundesgesetz über den Datenschutz (nDSG, CH) und der Datenschutz-Grundverordnung (DSGVO, EU/EWR).
1. Gegenstand
Die vorliegende Datenschutzrichtlinie beschreibt, wie IntimX Ihre personenbezogenen Daten erhebt, verarbeitet, speichert und schützt, wenn Sie den unter intimx.ch erreichbaren Dienst nutzen. Sie gilt für alle Nutzer (Mitglieder, Anbieter, Betriebe), unabhängig davon, ob sie über ein Konto verfügen. Die in den Allgemeinen Nutzungsbedingungen (AGB) definierten Begriffe gelten durch Verweis.
2. Verantwortlicher
Der Verantwortliche im Sinne von art. 5 let. j nLPD und art. 4 par. 7 RGPD ist: N.JULIEN Sion (VS), Schweiz Handelsname: Artenic Kontakt Datenschutz: privacy@intimx.ch Der Herausgeber hat keinen Datenschutzbeauftragten (DSB) im Sinne von art. 10 nLPD bestellt, da diese Bestellung nicht verpflichtend ist. Für alle Fragen zu Ihren Daten wenden Sie sich direkt an privacy@intimx.ch.
3. Rechtsgrundlagen der Verarbeitung
Die von IntimX durchgeführten Datenverarbeitungen stützen sich auf folgende Rechtsgrundlagen: — Vertragserfüllung (art. 6 al. 1 let. b RGPD / art. 31 al. 1 nLPD): Registrierung, Kontoverwaltung, Nachrichtenverkehr, Abonnements, Rechnungsstellung. — Überwiegende berechtigte Interessen (art. 6 al. 1 let. f RGPD / art. 31 al. 1 nLPD): Sicherheit des Dienstes, Betrugsprävention, aggregierte Statistiken, Verbesserung des Dienstes. — Gesetzliche Verpflichtung (art. 6 al. 1 let. c RGPD / art. 31 al. 1 nLPD): Aufbewahrung von Transaktionsdaten (CO art. 958f), Zusammenarbeit mit Behörden. — Einwilligung (art. 6 al. 1 let. a RGPD / art. 31 al. 1 nLPD): analytische Cookies, Push-Benachrichtigungen, Marketingkommunikation.
4. Erhobene Daten
Registrierungsdaten: — Alle Rollen: E-Mail-Adresse, Passwort (Argon2id-gehasht, niemals im Klartext gespeichert), Anzeigename, bevorzugte Sprache, Zeitstempel der Zustimmung zu AGB und Datenschutzrichtlinie. — Mitglied und Anbieter: Geburtsdatum (18+-Überprüfung). — Anbieter: Kategorie, Art der Dienstleistung, Biografie, physische Merkmale, Tarife, Verfügbarkeit, öffentliche Kontaktdaten. — Betrieb: Kategorie, gewerbliche Metadaten, öffentliche Kontaktdaten, Social-Media-Links. Nutzungsdaten: — Zugriffsprotokolle: IP-Adresse, User-Agent, Geolokalisierung (Stadt, Land) — 90 Tage aufbewahrt. — Sitzungen: Fingerabdruck des Aktualisierungstokens (SHA-256), IP- und User-Agent-Hash (SHA-256), geografischer Kontext, Geräteinformationen (Browser, Betriebssystem). — Vertrauenswürdige Geräte: Geräte-Fingerabdruck (SHA-256), Geräteinformationen (Browser, Betriebssystem, Mobilgerät). — Nachrichtenverkehr: Nachrichteninhalt (max. 5'000 Zeichen), Zeitstempel, Konversationskennung. — Galerie: Bilder (JPEG, PNG, WebP, HEIC, max. 8 MB), Dateimetadaten. — Profilstatistiken: aggregierte Zähler (Aufrufe, Klicks) pro Tag — keine individuellen Besucherdaten. — Präsenz: letzter Zugriff (über WebSocket aktualisiert). — Push-Benachrichtigungen (opt-in): vom Browser bereitgestellte Endpoint-URL (Firebase, Mozilla Push, Apple Push), öffentliche kryptographische Schlüssel (p256dh, auth) zur Verschlüsselung der Benachrichtigungen, Zeitstempel des Abonnements. Abbestellung jederzeit über die Browser- oder Kontoeinstellungen möglich. Sensible Daten (verschlüsselter Vault): — Identitätsüberprüfung (KYC, freiwillig): Vorname, Nachname, Geburtsdatum, Telefonnummer, Adresse — AES-256-GCM-verschlüsselt. — KYC-Dokumente: verschlüsselte Dateien, separat gespeichert. Zahlungsdaten: — Stripe-Kennungen (Customer ID, Payment Intent ID). IntimX erhebt und speichert niemals Ihre Kreditkartendaten.
5. Cookies und ähnliche Technologien
IntimX verwendet folgende Cookies: Essentielle Cookies (ohne Einwilligung, art. 45c al. 2 LTC): — ix_access: JWT-Zugriffstoken. Dauer: 1 Stunde. HttpOnly, Secure, SameSite=Strict. — ix_refresh: JWT-Aktualisierungstoken. Dauer: 7 Tage (30 Tage mit «Angemeldet bleiben»). HttpOnly, Secure, SameSite=Lax. — ix_csrf: CSRF-Token. Dauer: Sitzung. Für JavaScript zur Formularvalidierung zugänglich. — ix_age: Altersverifikation (art. 197 CP). Dauer: 365 Tage. Wert: Bestätigung der Volljährigkeit. Analytische Cookies (nur mit Einwilligung): — Derzeit werden keine analytischen Drittanbieter-Cookies eingesetzt. Sollte künftig ein Analysedienst integriert werden, wird Ihre ausdrückliche Einwilligung eingeholt. Sie können Ihren Browser so konfigurieren, dass Cookies abgelehnt werden. Die Ablehnung essentieller Cookies macht die Nutzung des Dienstes unmöglich (Authentifizierung erforderlich).
6. Zwecke der Verarbeitung
Ihre Daten werden für folgende Zwecke verarbeitet: — Bereitstellung des Dienstes: Erstellung und Verwaltung Ihres Kontos, Anzeige Ihres Profils, Nachrichtenverkehr zwischen Nutzern, Verwaltung von Reservierungen. — Abonnements und Zahlungen: Zahlungsabwicklung über Stripe, Aktivierung und Verwaltung von Premium-/VIP-Abonnements. — Sicherheit: Altersverifikation, E-Mail-Verifizierung, Erkennung verdächtiger Anmeldungen, Kontosperrung, Verwaltung vertrauenswürdiger Geräte. — Moderation: Bearbeitung von Meldungen, Bekämpfung illegaler Inhalte, Zusammenarbeit mit Behörden. — Kommunikation: Transaktions-E-Mails (Verifizierung, Passwort, Abonnement, Reservierung), integrierte Benachrichtigungen. — Statistiken: aggregierte Zähler der Profilaufrufe (Aufrufe, Klicks). Kein individuelles Profiling. — Gesetzliche Konformität: Aufbewahrung von Transaktionsdaten, Audit-Protokolle, Nachweis der Einwilligung.
7. Empfänger und Auftragsverarbeiter
Ihre Daten können an folgende Empfänger weitergegeben werden: — Stripe, Inc. (San Francisco, USA): Abwicklung von Kreditkartenzahlungen. Stripe handelt als gemeinsam Verantwortlicher für die Zahlungsdaten. Datenschutzrichtlinie: stripe.com/privacy. Die Übermittlung in die USA wird durch die Standardvertragsklauseln der Europäischen Kommission abgesichert. — Infomaniak Network SA (Genf, Schweiz): Hosting der Infrastruktur (Server, PostgreSQL-Datenbanken, S3-Objektspeicher, transaktionaler E-Mail-Dienst). Alle Daten werden in der Schweiz gehostet. — GeoIP (lokale Datenbank): Auflösung der Geolokalisierung (Stadt, Land) anhand der IP-Adresse. Keine Übermittlung an Dritte — die Datenbank ist in die Anwendung integriert. — Telegram (optional): Alarm-Benachrichtigungen an Administratoren bei Sicherheitsereignissen. Es werden keine Nutzerdaten übermittelt. — Zuständige Behörden: auf gesetzliche Anforderung gemäss schweizerischem Recht. IntimX verkauft, vermietet oder teilt Ihre personenbezogenen Daten niemals zu Werbe- oder kommerziellen Zwecken.
8. Internationale Übermittlungen
Sämtliche von IntimX verarbeiteten Daten werden auf der Infrastruktur von Infomaniak in der Schweiz gehostet. Es findet keine systematische Übermittlung von Daten ausserhalb der Schweiz statt. Ausnahme: Zahlungsdaten werden an Stripe, Inc. in den Vereinigten Staaten übermittelt. Diese Übermittlung wird durch die Standardvertragsklauseln (SCC) der Europäischen Kommission abgesichert, die vom PFPDT/FDPIC als angemessenes Schutzniveau anerkannt sind (art. 16 al. 2 let. d nLPD).
9. Aufbewahrungsdauer
Aktives Konto: Ihre Daten werden für die gesamte Dauer Ihrer Registrierung aufbewahrt. Kontolöschung: Es gilt eine Schonfrist von 30 Tagen (widerrufbar). Nach Ablauf wird das Konto geschlossen und die Daten wie folgt behandelt: — Verschlüsselte Identitätsdaten (Vault): 3 Jahre nach Schliessung gelöscht (nLPD art. 31 al. 1 let. c). — KYC-Dokumente: 3 Jahre nach Schliessung gelöscht (Dateien und verschlüsselte Spalten). — Transaktionsdaten (Abonnements): 10 Jahre aufbewahrt (CO art. 958f). — Zugriffsprotokolle (IP, User-Agent, Geo): nach 90 Tagen gelöscht. — Sitzungen: bei Ablauf (7 oder 30 Tage) oder bei Widerruf gelöscht. — KYC-Audit-Protokoll: unbefristet aufbewahrt (Nachweis der nLPD-Konformität, art. 32 nLPD). — Einwilligungsprotokoll: unbefristet aufbewahrt (Nachweis der Einwilligung, art. 6 al. 7 nLPD / art. 7 al. 1 RGPD). — Administrative Massnahmen: unbefristet aufbewahrt (Rechtsnachweis).
10. Sicherheitsmassnahmen
IntimX setzt folgende technische und organisatorische Massnahmen um: — Drei-Datenbank-Architektur: Anwendungsdaten (öffentlich), sensible Daten (verschlüsselter Vault) und Systemdaten sind physisch getrennt. — Verschlüsselung im Ruhezustand: personenbezogene Identifikationsdaten (Vorname, Nachname, Geburtsdatum, Telefonnummer, Adresse) sind im Vault mit AES-256-GCM verschlüsselt. — Passwort-Hashing: Argon2id (64 MB Speicher, 3 Iterationen, OWASP 2023+ konform). Kompromittierte Passwörter (HIBP-Datenbank) werden abgelehnt. Verlauf der letzten 5 Passwörter zur Verhinderung der Wiederverwendung. — Token-Hashing: Aktualisierungstoken werden als SHA-256-Hash gespeichert (niemals im Klartext). — Transport: obligatorisches HTTPS (TLS 1.3), Secure-Cookies. — CSRF: CSRF-Token bei allen mutativen Aktionen. — Kontosperrung: progressiver Mechanismus (15 Min., 1 Std., 24 Std., administrative Sperrung). — Verstärkte Authentifizierung: optionale Unterstützung von Passkey/WebAuthn. — Gerätevertrauen: SHA-256-gehashter Geräte-Fingerabdruck, E-Mail-OTP-Verifizierung bei unbekannten Geräten. — Zugangskontrolle: Row-Level Security (RLS) PostgreSQL auf allen Tabellen mit Nutzerdaten. — Audit-Protokollierung: unveränderliche (append-only) Protokolle für KYC-Aktionen, Einwilligungen und administrative Massnahmen.
11. Ihre Rechte
Gemäss nLPD (art. 25-29) und DSGVO (art. 15-22 RGPD) stehen Ihnen folgende Rechte zu: — Auskunftsrecht: Erhalt einer Kopie Ihrer personenbezogenen Daten. — Recht auf Berichtigung: Korrektur unrichtiger oder unvollständiger Daten. — Recht auf Löschung: Beantragung der Löschung Ihrer Daten (vorbehaltlich gesetzlicher Aufbewahrungspflichten). — Recht auf Datenübertragbarkeit: Erhalt Ihrer Daten in einem strukturierten und maschinenlesbaren Format (siehe Art. 12). — Widerspruchsrecht: Widerspruch gegen eine auf berechtigtem Interesse beruhende Verarbeitung. — Recht auf Widerruf der Einwilligung: jederzeitiger Widerruf Ihrer Einwilligung (ohne Beeinträchtigung der Rechtmässigkeit der vorherigen Verarbeitung). Um Ihre Rechte auszuüben, senden Sie eine E-Mail an privacy@intimx.ch unter Angabe Ihrer Identität und des gewünschten Rechts. Wir antworten innerhalb von 30 Tagen (nLPD) bzw. 30 Tagen, verlängerbar auf 90 Tage bei Komplexität (DSGVO). Sie haben das Recht, eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Feldeggweg 1, 3003 Bern, Schweiz (edoeb.admin.ch) einzureichen.
12. Datenübertragbarkeit
IntimX bietet eine Exportfunktion für Ihre Daten über die Kontoeinstellungen an. Der Export umfasst: — Kontodaten: Kennung, E-Mail, Rolle, Sprache, Registrierungs- und Schliessungsdatum. — Profil: Anzeigename, Biografie, Präferenzen, Datenschutzeinstellungen. — Nachrichten: Konversationsverlauf (begrenzt auf die letzten Einträge). — Reservierungen, Bewertungen, Favoriten, Support-Tickets. — Abonnements: Abonnementverlauf. — Einwilligungen: Verlauf der Zustimmungen und Widerrufe. — Aktive Sitzungen: geografischer Kontext und Gerät. Der Export erfordert eine erneute Passwortverifizierung (innerhalb der letzten 5 Minuten) und ist auf eine Anfrage pro 24 Stunden beschränkt. Die Daten werden im strukturierten JSON-Format bereitgestellt.
13. Schutz von Minderjährigen
IntimX ist ausschliesslich für volljährige Personen (ab 18 Jahren) bestimmt. Gemäss art. 197 CP wird bei jedem Erstbesuch ein Age Gate angezeigt. IntimX erhebt wissentlich keine personenbezogenen Daten von Minderjährigen. Wenn wir erfahren, dass ein Minderjähriger ein Konto erstellt hat, wird dieses unverzüglich gesperrt und die Daten werden gelöscht. Jede Meldung von Inhalten, die Minderjährige betreffen, wird mit absoluter Priorität über legal@intimx.ch behandelt.
14. Änderung der Richtlinie
Der Herausgeber behält sich das Recht vor, die vorliegende Richtlinie jederzeit zu ändern. Registrierte Nutzer werden über jede wesentliche Änderung per E-Mail oder durch eine Benachrichtigung auf der Plattform mindestens 30 Tage vor Inkrafttreten informiert. Das Datum der letzten Aktualisierung ist am Anfang dieses Dokuments angegeben. Frühere Fassungen sind auf Anfrage unter support@intimx.ch erhältlich.
15. Kontakt
Für alle Fragen zum Schutz Ihrer personenbezogenen Daten: Verantwortlicher: N.JULIEN Kontakt: privacy@intimx.ch Für allgemeine Fragen oder Support: support@intimx.ch Für dringende Meldungen (Behörden, Minderjährige): legal@intimx.ch Aufsichtsbehörde: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Feldeggweg 1, 3003 Bern, Schweiz edoeb.admin.ch