Datenschutzerklärung

Letzte Aktualisierung: 12.04.2026

1. Einleitung

IntimX ist eine Premium-Plattform für Erwachsene, die von Artenic_ GmbH in der Schweiz betrieben wird. Der Schutz Ihrer personenbezogenen Daten steht im Mittelpunkt unserer Verpflichtungen. Diese Datenschutzerklärung beschreibt transparent, welche Daten wir erheben, warum und wie wir sie verarbeiten, wie lange wir sie aufbewahren und welche Rechte Sie haben.

Diese Richtlinie entspricht dem Schweizer Bundesgesetz über den Datenschutz (nDSG, in Kraft seit dem 1. September 2023) und, soweit anwendbar, der Europäischen Datenschutz-Grundverordnung (DSGVO). Bei Abweichungen hat das nDSG als anwendbares Recht Vorrang.

Durch die Nutzung von IntimX bestätigen Sie, dass Sie diese Richtlinie gelesen und verstanden haben. Wenn Sie mit den beschriebenen Praktiken nicht einverstanden sind, nutzen Sie unsere Dienste bitte nicht.

2. Verantwortlicher

Der Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten ist:

Artenic_ GmbH

1950 Sion, Suisse

E-mail : support@intimx.ch

Site : intimx.ch

3. Erhobene Daten

3.1 Direkt bereitgestellte Daten

Wenn Sie ein Konto erstellen, Ihr Profil vervollständigen oder unsere Dienste nutzen, stellen Sie uns folgende Daten zur Verfügung:

Kontodaten: E-Mail-Adresse, Passwort (als Argon2id-Hash gespeichert, niemals im Klartext), bevorzugte Sprache, Zustimmung zu den Nutzungsbedingungen
Profildaten: Anzeigename, Biografie, Profilbild, körperliche Merkmale (für Anbieter), Vorlieben, freiwillige öffentliche Kontaktdaten
Identitätsprüfung (KYC): Vorname, Nachname, Geburtsdatum, Telefonnummer, Adresse, Ausweisdokumente — alle diese Daten werden verschlüsselt (AES-256-GCM) in einer separaten Datenbank (Vault) gespeichert
Finanzdaten: IBAN (AES-256-GCM-verschlüsselt), Kontoinhaber, Transaktionsverlauf über Stripe
Inhalte: Beiträge, Stories, Medien (Fotos/Videos), Kommentare, Bewertungen
Kommunikation: private Nachrichten, Buchungsnachrichten, Meldungen, Supportanfragen
Betriebsdaten: Firmenname, MwSt-Nummer, Geschäftsadresse, Kontaktdaten — im Vault verschlüsselt

3.2 Automatisch erhobene Daten

Bei Ihrer Nutzung der Plattform werden bestimmte Daten automatisch erhoben:

Technische Daten: IP-Adresse (SHA-256-gehasht in Sitzungen, im Klartext in Sicherheitsprotokollen), Browser-User-Agent
Sitzungsdaten: Sitzungskennung, Anmelde- und letzte Aktivitätsdaten, Status (aktiv/widerrufen)
Ungefähre Geolokalisierung: Land und Stadt, abgeleitet von der IP-Adresse über eine lokale Datenbank (GeoIP), ohne Aufruf eines externen Dienstes
Cookies: für den Betrieb unbedingt erforderliche technische Cookies (siehe Abschnitt 9)
Geräteinformationen: Browsertyp, Betriebssystem, Mobil-/Desktop-Indikator — verwendet für Gerätevertrauen

3.3 Sensible Daten

Angesichts der Art der Plattform können einige Daten, die Sie veröffentlichen, sensible Informationen offenlegen (sexuelle Orientierung, Vorlieben). Diese Daten werden nur auf Grundlage Ihrer ausdrücklichen Einwilligung verarbeitet, die durch die freiwillige Veröffentlichung in Ihrem Profil zum Ausdruck kommt. Sie können diese jederzeit löschen.

3.4 Daten, die wir NICHT erheben

Wir erheben niemals: AHV-/Sozialversicherungsnummern (AVS/SSN), medizinische Daten, politische oder religiöse Meinungen, biometrische Daten zur Identifizierung, Browserdaten ausserhalb der Plattform. Wir verwenden keine Werbe-Cookies, Tracking-Pixel oder Analysetools von Drittanbietern (kein Google Analytics, Facebook Pixel usw.).

4. Verarbeitungszwecke

Diensterbringung — Erstellung und Verwaltung Ihres Kontos, Anzeige Ihres Profils, Verbindung von Nutzern, Nachrichten, Buchungen, Abonnements.
Sicherheit und Verifizierung — KYC-Verifizierung, Betrugserkennung, Kontosperrung nach fehlgeschlagenen Versuchen, Gerätevertrauen (OTP), Prüfung kompromittierter Passwörter (HIBP, k-Anonymity), Protokollierung von Sicherheitsereignissen.
Zahlungen — Abwicklung von Abonnements, Trinkgeldern und Zahlungen über Stripe. IntimX speichert niemals Ihre Kreditkartendaten — diese werden direkt von Stripe verarbeitet.
Kommunikation — Transaktionale E-Mails (Verifizierung, Zurücksetzung, Buchungsbenachrichtigungen), In-App-Benachrichtigungen, Support-Antworten.
Verbesserung des Dienstes — Interne aggregierte Metriken (Leistung, Latenz, Fehlerquoten) ohne personenbezogene Daten. Kein Marketing-Profiling.
Gesetzliche Pflichten — Aufbewahrung von Buchhaltungsdaten (10 Jahre, CO Art. 958f), KYC-Datenaufbewahrung (3 Jahre, berechtigtes Interesse an Betrugsprävention), CSAM-Meldung an die Behörden (Art. 197 StGB).

5. Rechtsgrundlagen

Jede Datenverarbeitung stützt sich auf eine Rechtsgrundlage gemäss nDSG und DSGVO:

Verarbeitung	Rechtsgrundlage	Referenz
Konto, Profil, Nachrichten, Buchungen	Vertragserfüllung	nDSG Art. 31 / DSGVO Art. 6(1)(b)
KYC-Verifizierung	Gesetzliche Verpflichtung	nDSG Art. 31(1)(c) + (d)
Nachrichten, Benachrichtigungen	Vertragserfüllung	DSGVO Art. 6(1)(b)
Zahlungen (Stripe)	Vertragserfüllung	DSGVO Art. 6(1)(b)
Sicherheit (Protokolle, Sperrung, Gerätevertrauen, HIBP)	Berechtigtes Interesse	nDSG Art. 31 / DSGVO Art. 6(1)(f)
Sensible Daten (Orientierung, Vorlieben)	Ausdrückliche Einwilligung	nDSG Art. 5 / DSGVO Art. 9(2)(a)
KYC-Audit (3 Jahre)	Berechtigtes Interesse	nDSG Art. 31(1)(c)
Buchhaltungsdaten (10 Jahre)	Gesetzliche Verpflichtung	CO Art. 958f

7. Auftragsverarbeiter und Partner

Wir setzen eine begrenzte Anzahl von Auftragsverarbeitern ein, um den Betrieb der Plattform zu gewährleisten:

Dienst	Anbieter	Land	Übermittelte Daten
Server-Hosting	Infomaniak Network SA	Schweiz	Alle Daten (Server in der Schweiz gehostet)
Transaktionale E-Mails	Resend Inc.	Schweiz	E-Mail-Adresse des Empfängers, E-Mail-Inhalt (SMTP Infomaniak Mail)
Zahlungen	Stripe Inc.	Vereinigte Staaten / Irland	Beträge, Nutzerkennung, Kartendaten (direkt an Stripe)
Kartografie	Mapbox Inc.	Vereinigte Staaten	GPS-Koordinaten für die Kartenanzeige (keine personenbezogenen Daten)
Passwortprüfung	HIBP (Troy Hunt)	Australien	Erste 5 Zeichen des SHA-1-Passwort-Hashs (k-Anonymity, kein Passwort übermittelt)

8. Aufbewahrungsfristen

Wir bewahren Ihre Daten nur so lange auf, wie es für die beschriebenen Zwecke erforderlich ist oder um einer gesetzlichen Pflicht nachzukommen:

Daten	Aufbewahrungsfrist
Konto und Profil	Dauer des Kontos + 30 Tage Karenzzeit nach Löschanfrage
KYC-Dokumente und -Daten	3 Jahre nach Kontoschliessung (berechtigtes Interesse an Betrugsprävention)
Nachrichten und Inhalte	Dauer des Kontos + 30 Tage Karenzzeit
Buchhaltungsdaten und Transaktionen	10 Jahre (CO Art. 958f-Pflicht)
Sicherheitsprotokolle (Zugriffsprotokolle)	90 Tage
Authentifizierungssitzungen	7 Tage (Standard) oder 30 Tage (dauerhafte Anmeldung)
Stories	24 Stunden (automatische Löschung)
Systemmetriken	7 Tage (Rohdaten), 90 Tage (stündlich), 1 Jahr (täglich) — keine personenbezogenen Daten

9. Cookies und ähnliche Technologien

IntimX verwendet ausschliesslich Cookies, die für den Betrieb des Dienstes unerlässlich sind. Wir verwenden keine Werbe-, Tracking- oder Drittanbieter-Analyse-Cookies.

Name	Zweck	Dauer	Typ
ix_access	JWT-Authentifizierungstoken (Zugriff)	1h	Essenziell
ix_refresh	Sitzungserneuerungstoken	7-30j	Essenziell
age_confirmed	Altersbestätigung (18+)	30j	Essenziell

Die Cookies ix_access und ix_refresh sind durch die Attribute HttpOnly und Secure (in der Produktion) geschützt, wodurch jeder JavaScript-Zugriff verhindert wird. Wir verwenden ausserdem localStorage zur Speicherung eines Altersbestätigungsindikators (ageConfirmed) und eines temporären Navigationsstatus (listing-slugs) — keine personenbezogenen Daten.

Ein Cookie-Einwilligungsbanner ist nicht erforderlich, da wir nur für den Betrieb des Dienstes unbedingt notwendige Cookies verwenden, die gemäss nDSG und der ePrivacy-Richtlinie von der Einwilligung befreit sind.

10. Sicherheit

Technische Massnahmen

Verschlüsselung bei der Übertragung: HTTPS/TLS 1.3 auf der gesamten Plattform
Zero-Trust-Vault-Architektur: Alle Identitätsdaten (Vorname, Nachname, Geburtsdatum, Telefonnummer, Adresse, IBAN) werden mit AES-256-GCM auf Anwendungsebene in einer separaten Datenbank verschlüsselt. Die Datenbank sieht nur verschlüsselten Text.
Passwort-Hashing: Argon2id (64 MiB Speicher, 3 Iterationen) — von OWASP empfohlener Standard
Token und Geheimnisse: niemals im Klartext gespeichert, immer SHA-256-gehasht
Datenisolierung: Row Level Security (RLS) auf allen Tabellen mit strikter Trennung zwischen Nutzern
Schutz vor Injektionen: strikte Content Security Policy (CSP) mit Nonce, keine Inline-Skripte

Organisatorische Massnahmen

Prinzip der geringsten Berechtigung: Datenzugriff auf das unbedingt Notwendige beschränkt, unveränderlicher Audit-Trail für alle administrativen Aktionen
Audit-Protokolle: Jede administrative Aktion (Moderation, KYC, Statusänderung) wird unveränderlich mit Zeitstempel und Identität des Akteurs protokolliert
Kontinuierliche Überwachung: Echtzeit-Sicherheitsmetriken (fehlgeschlagene Versuche, Sperrungen, GeoIP-Anomalien)
Vorfallverfahren: definiertes Protokoll für die Erkennung, Bewertung und Meldung von Datenschutzverletzungen

Hosting

Die gesamte Infrastruktur wird in der Schweiz bei Infomaniak Network SA gehostet (Server in der Schweiz). Daten verlassen das Schweizer Territorium nur für die in Abschnitt 7 aufgeführten Auftragsverarbeiter.

11. Ihre Rechte

Gemäss nDSG und DSGVO haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht — Sie können eine Kopie aller Ihrer personenbezogenen Daten anfordern. Eine Exportfunktion steht in Ihren Kontoeinstellungen zur Verfügung (Passwort-Reauthentifizierung erforderlich).
Recht auf Berichtigung — Sie können Ihre Profildaten jederzeit ändern. Für KYC-Daten kontaktieren Sie bitte den Support.
Recht auf Löschung — Sie können Ihr Konto in Ihren Einstellungen löschen. Eine 30-tägige Karenzzeit ermöglicht Ihnen, die Anfrage rückgängig zu machen. Nach Ablauf dieser Frist werden Ihre Daten unwiderruflich gelöscht, mit Ausnahme von Daten, die einer gesetzlichen Aufbewahrungspflicht unterliegen (Buchhaltungsdaten 10 Jahre) und KYC-Daten, die 3 Jahre zur Betrugsprävention aufbewahrt werden (berechtigtes Interesse).
Recht auf Datenübertragbarkeit — Der Datenexport ist im JSON-Format in Ihren Kontoeinstellungen verfügbar und umfasst 10 Datenkategorien.
Widerspruchsrecht — Sie können Ihre Datenschutzeinstellungen konfigurieren (Profilsichtbarkeit, Online-Status, Lesebestätigungen, Ländersperrung) und einzelne Nutzer blockieren.
Widerruf der Einwilligung — Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die betreffenden Daten aus Ihrem Profil löschen oder Ihr Konto löschen.

Wie Sie Ihre Rechte ausüben

Für jede Anfrage bezüglich Ihrer Rechte senden Sie eine E-Mail an support@intimx.ch unter Angabe Ihrer Identität und des Rechts, das Sie ausüben möchten. Wir antworten innerhalb von 30 Tagen. Bei komplexen Anfragen kann diese Frist mit Benachrichtigung um 60 Tage verlängert werden.

Aufsichtsbehörde

Wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer Daten Ihre Rechte verletzt, können Sie eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einreichen: edoeb.admin.ch.

12. Internationale Übermittlungen

Ihre Daten werden in der Schweiz gehostet. Einige Auftragsverarbeiter (Stripe, Mapbox, MaxMind, HIBP) haben ihren Sitz in den Vereinigten Staaten oder in Australien. Diese Übermittlungen werden durch Standardvertragsklauseln (SCCs) und zusätzliche Sicherheitsmassnahmen gemäss den Anforderungen des nDSG geregelt.

Der Passwortprüfungsdienst (HIBP) erhält nur die ersten 5 Zeichen eines SHA-1-Hashs (k-Anonymity) — kein Passwort und keine identifizierenden Daten werden übermittelt. Die GeoIP-Auflösung erfolgt lokal über eine eingebettete Datenbank, ohne externe Aufrufe.

13. Schutz von Minderjährigen

IntimX ist ein Dienst, der ausschliesslich volljährigen Personen (ab 18 Jahren) vorbehalten ist. Bei jedem Erstzugriff wird eine Altersverifizierung angezeigt. Anbieter und Ersteller müssen sich einer Identitätsprüfung (KYC) einschliesslich Altersverifizierung unterziehen.

IntimX wendet eine Null-Toleranz-Politik gegenüber jeglichem Material über sexuellen Kindesmissbrauch (CSAM) an. Jeder verdächtige Inhalt wird sofort entfernt und den zuständigen Behörden gemäss Art. 197 des Schweizerischen Strafgesetzbuches gemeldet. Das betroffene Konto wird ohne Vorankündigung gesperrt.

14. Automatisierte Entscheidungen und Profiling

IntimX setzt automatisierte Verarbeitungen in folgenden Bereichen ein: Betrugserkennung (Kontosperrung nach fehlgeschlagenen Versuchen), Prüfung kompromittierter Passwörter (HIBP), Moderation gemeldeter Inhalte und Empfehlungen basierend auf Suchparametern.

Keine Entscheidung mit rechtlichen oder erheblichen Auswirkungen wird vollständig automatisiert ohne menschliches Eingreifen getroffen. Sie haben das Recht, jede automatisierte Entscheidung anzufechten, indem Sie den Support kontaktieren.

15. Meldung von Datenschutzverletzungen

Im Falle einer Datenschutzverletzung, die voraussichtlich ein hohes Risiko für Ihre Rechte darstellt, werden wir den EDÖB innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls benachrichtigen, gemäss Art. 24 nDSG. Wenn die Verletzung ein hohes Risiko für Sie darstellt, werden Sie ebenfalls schnellstmöglich direkt informiert.

Jeder Vorfall wird in einem internen Register dokumentiert, das die Art der Verletzung, die betroffenen Daten, die ergriffenen Massnahmen und die betroffenen Personen umfasst.

16. Änderungen der Richtlinie

Wir behalten uns das Recht vor, diese Richtlinie zu ändern. Bei wesentlichen Änderungen werden wir Sie mindestens 30 Tage vor Inkrafttreten per E-Mail oder In-App-Benachrichtigung informieren. Das Datum der letzten Aktualisierung ist oben in diesem Dokument angegeben. Geringfügige Änderungen (Umformulierungen, Korrekturen von Tippfehlern) werden nicht gesondert mitgeteilt.

17. Kontakt

Bei Fragen zum Schutz Ihrer Daten oder zu dieser Richtlinie:

Artenic_ GmbH — Datenschutz