Aktualisiert am 30. September 2025
Der transparente Umgang mit personenbezogenen Daten ist uns sehr wichtig. Diese Datenschutzerklärung informiert darüber, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir sie verarbeiten und an wen wir sie weitergeben. Wir überprüfen und aktualisieren diese Datenschutzerklärung regelmässig, um ein höchstmögliches Mass an Transparenz sicherzustellen.
Wenn Sie Fragen oder Anliegen zum Schutz Ihrer Daten haben, erreichen Sie uns jederzeit per E-Mail unter datenschutz@circlin.ch.
Für die Datenverarbeitung über diese Website und unsere App (der "Verantwortliche") ist zuständig:
Circlin AG
c/o Filip Mares
Steinmatt 4
6404 Greppen
Schweiz
Aufsichtsbehörde:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern, Schweiz
Sie haben das Recht, beim EDÖB Beschwerde einzureichen, wenn Sie der Auffassung sind, dass Ihre personenbezogenen Daten unrechtmässig verarbeitet werden.
Wenn Sie in einem EU-Mitgliedstaat wohnhaft sind, haben Sie zudem das Recht, bei Ihrer lokalen Datenschutzbehörde in der EU Beschwerde einzulegen.
Wir erheben personenbezogene Daten, wenn Sie in der App ein Circlin-Konto anlegen und nutzen (die Kontoerstellung ist für die Nutzung unserer App erforderlich) sowie wenn Sie unsere Website besuchen oder mit ihr interagieren. Wir verwenden diese Daten, damit Sie unsere Dienste nutzen können und damit wir rechtliche, sicherheitsbezogene und betriebliche Anforderungen erfüllen. Teilweise bitten wir Sie auch um Ihre Einwilligung für bestimmte Verwendungen (z. B. für Analytics, Werbe-Cookies oder Marketingkommunikation).
Rechtsgrundlagen: Wir verarbeiten Ihre Daten in erster Linie zur Erfüllung unseres Vertrags mit Ihnen (d. h. zur Bereitstellung der Circlin-Dienste gemäss unseren Nutzungsbedingungen). Wir verarbeiten Daten ausserdem, wenn wir rechtlichen Pflichten unterliegen, wenn Sie eingewilligt haben und wenn wir berechtigte Interessen verfolgen - etwa die Sicherheit der Plattform und Betrugsprävention, die Verbesserung und Messung unseres Dienstes sowie den Betrieb und Schutz unseres Unternehmens -, sofern Ihre Interessen oder Grundrechte diese Interessen nicht überwiegen.
Wir verarbeiten Ihre Daten nach Treu und Glauben und ausschliesslich zu den in dieser Datenschutzerklärung genannten Zwecken. Dabei stellen wir eine transparente und verhältnismässige Verarbeitung sicher.
Sollten wir ausnahmsweise diese Grundsätze nicht vollständig einhalten können, kann die Verarbeitung dennoch rechtmässig sein, wenn ein Rechtfertigungsgrund vorliegt. Solche Rechtfertigungen sind insbesondere:
Wenn Sie uns für bestimmte Zwecke Ihre Einwilligung zur Verarbeitung personenbezogener Daten gegeben haben, verarbeiten wir Ihre Daten nur in dem Umfang dieser Einwilligung, sofern wir keine andere Rechtsgrundlage haben.
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Das bedeutet, dass bis zum Widerruf erfolgte Verarbeitungen rechtmässig bleiben, die betreffende Verarbeitung jedoch künftig unterbleibt.
Zur Führung unseres Geschäfts und zur Bereitstellung unserer Dienste können wir Drittunternehmen oder verbundene Unternehmen einsetzen, um Ihre Daten in unserem Auftrag zu verarbeiten (als Auftragsverarbeiter) oder als eigenständige Verantwortliche mit uns zusammenzuarbeiten. Wichtige Kategorien solcher Empfänger sind:
Wir stellen sicher, dass Dritte (einschliesslich verbundener Unternehmen), die personenbezogene Daten in unserem Auftrag verarbeiten, an Datenschutzpflichten gebunden sind. Sie müssen Ihre personenbezogenen Daten vertraulich und sicher behandeln. Zudem können wir gesetzlich verpflichtet sein, personenbezogene Daten an Behörden oder Gerichte offenzulegen.
Unsere Website und App enthalten Links bzw. Einbindungen zu unseren Seiten auf Social-Media-Plattformen (z. B. Icons mit Links zu Facebook, Instagram, TikTok usw.). Wenn Sie diese anklicken, werden Sie zur jeweiligen Drittseite weitergeleitet. Dabei kann der Drittanbieter (z. B. die Plattform) personenbezogene Daten über Sie erhalten, etwa die Information, dass Sie unsere Website besucht und den Link angeklickt haben. Interaktionen mit diesen Plattformen unterliegen deren eigenen Datenschutzbestimmungen.
In bestimmten Fällen können wir personenbezogene Daten im Rahmen der Nutzung von Drittanbieterdiensten oder aufgrund unserer Geschäftstätigkeit an Unternehmen ausserhalb der Schweiz (und ggf. ausserhalb des EU/EWR-Raums) übermitteln. In all diesen Fällen sind die Empfänger verpflichtet, personenbezogene Daten im gleichen Umfang zu schützen wie wir. Übermittlungen können weltweit erfolgen (z. B. bei Cloud-Diensten mit globaler Infrastruktur).
Befindet sich ein Empfänger in einem Land ohne angemessenes Datenschutzniveau (gemäss Schweiz bzw. EU, soweit die DSGVO gilt), stellen wir durch vertragliche und andere Massnahmen ein angemessenes Schutzniveau sicher. Dazu gehört in der Regel eine Risikobewertung sowie der Einsatz von Garantien wie den Standardvertragsklauseln der Europäischen Kommission (SCC) oder anderen anerkannten Mechanismen, die den Empfänger vertraglich zum Datenschutz verpflichten. Bestehen nach der Risikobewertung verbleibende hohe Risiken, setzen wir zusätzliche technische Massnahmen ein (z. B. Verschlüsselung oder Pseudonymisierung). (Die Standardvertragsklauseln der EU-Kommission können Sie auf der Website der Kommission einsehen.) Standardvertragsklauseln der EU-Kommission.
Wir bewahren personenbezogene Daten nur so lange auf, wie es zur Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist oder wie es gesetzliche Vorschriften verlangen.
Ist die massgebliche Aufbewahrungsfrist abgelaufen oder besteht kein rechtlicher oder geschäftlicher Zweck zur weiteren Aufbewahrung, löschen wir die Daten oder anonymisieren sie irreversibel.
Wir setzen geeignete technische und organisatorische Massnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Missbrauch oder Veränderung zu schützen. Diese Massnahmen werden laufend aktualisiert, orientieren sich an bewährten Industriestandards und adressieren neue Bedrohungen.
Daten, die zwischen Ihrem Gerät und unseren Servern übertragen werden, sind beispielsweise durch SSL/TLS-Verschlüsselung geschützt (in der Adresszeile Ihres Browsers erkennen Sie dies am Schloss-Symbol bzw. an "https://"). Intern beschränken wir den Zugriff auf personenbezogene Daten: Nur Mitarbeitende oder Dienstleister, die den Zugriff zur Erfüllung ihrer Aufgaben benötigen (z. B. Support oder Entwicklung bei der Fehleranalyse), erhalten Einsicht, und sie sind zur Vertraulichkeit verpflichtet.
Externe Partner, die in unserem Auftrag personenbezogene Daten verarbeiten, verpflichten wir vertraglich zu strengen Datenschutzstandards (siehe Ziffer 3.4a). In Einzelfällen leiten wir auf Ihren Wunsch Anfragen oder Daten an ein verbundenes Unternehmen weiter, um Sie bestmöglich zu unterstützen - auch in diesen Fällen werden Ihre Daten vertraulich und gemäss dieser Erklärung behandelt.
Sie haben das Recht, unentgeltlich eine Kopie der personenbezogenen Daten zu erhalten, die wir über Sie gespeichert haben. Auf Anfrage informieren wir Sie darüber, welche Daten wir verarbeiten, wie wir diese verarbeiten und zu welchen Zwecken. Aus Sicherheitsgründen können wir einen Identitätsnachweis verlangen. Bitte richten Sie Auskunftsanfragen an datenschutz@circlin.ch mit dem Betreff "Data Access Request" und fügen Sie eine Kopie eines amtlichen Ausweises zur Identifikation bei.
Sofern wir Daten automatisiert auf Grundlage Ihrer Einwilligung oder eines Vertrags mit Ihnen verarbeiten, haben Sie zudem das Recht, die von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Datenübertragbarkeit) bzw. an einen Dritten übermitteln zu lassen.
Bitte beachten Sie, dass wir die Auskunft in bestimmten Situationen verweigern oder einschränken dürfen (etwa wenn dadurch Rechte anderer beeinträchtigt würden oder wenn die Auskunft gesetzlich unzulässig ist). Wir informieren Sie, falls solche Einschränkungen greifen.
Sie haben das Recht, die Löschung der über Sie gespeicherten personenbezogenen Daten zu verlangen oder fehlerhafte Daten berichtigen zu lassen. Wir werden unrichtige Daten zeitnah korrigieren oder löschen, es sei denn, wir sind gesetzlich zur Aufbewahrung verpflichtet oder haben ein überwiegendes berechtigtes Interesse an der Aufbewahrung. Beispielsweise können wir Daten nicht löschen, die einer gesetzlichen Aufbewahrungspflicht unterliegen (z. B. bestimmte Transaktionsnachweise), und wir können einen Löschantrag ablehnen, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.
Bitte beachten Sie, dass die Löschung bestimmter Daten dazu führen kann, dass wir Ihnen Dienste, die auf diesen Daten beruhen, nicht mehr bereitstellen können (z. B. können wir Sie ohne Kontaktangaben nicht über wichtige Kontoereignisse informieren). Ebenso sollten von Ihnen bereitgestellte, kontobezogene Daten korrekt sein; falsche Angaben können Auswirkungen gemäss unseren Nutzungsbedingungen haben.
Sie haben unter bestimmten Umständen das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen oder die Einschränkung der Verarbeitung zu verlangen. Verarbeiten wir Daten auf Grundlage berechtigter Interessen, können Sie widersprechen, wenn Sie sich in Ihren Rechten beeinträchtigt sehen. Nach einem Widerspruch prüfen wir dies und stellen die Verarbeitung für diesen Zweck ein, sofern keine zwingenden schutzwürdigen Gründe entgegenstehen oder die Daten für Rechtsansprüche benötigt werden.
Ebenso können Sie die Einschränkung der Verarbeitung verlangen (blosse Speicherung ohne weitere Nutzung), wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmässig ist oder Sie die Daten zur Geltendmachung von Rechtsansprüchen benötigen.
Wenn Sie der Ansicht sind, dass Ihre Datenschutzrechte verletzt wurden, haben Sie das Recht, rechtliche Schritte zu ergreifen. Sie können bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde einlegen (siehe Ziffer 2 oben für den EDÖB; EU-Bewohner können ihre lokale Behörde kontaktieren) oder gerichtliche Rechtsbehelfe in Anspruch nehmen. Wir würden es jedoch begrüssen, wenn Sie sich zunächst an uns wenden: datenschutz@circlin.ch - wir bemühen uns, Ihr Anliegen zu klären. https://www.edoeb.admin.ch.
(Hinweis: Die Ausübung der vorstehenden Rechte ist grundsätzlich kostenlos. Offensichtlich unbegründete oder exzessive Anträge (z. B. sich wiederholende Anträge) können mit einer angemessenen Gebühr belegt oder abgelehnt werden, soweit gesetzlich zulässig. Ausserdem ergreifen wir beim Gebrauch dieser Rechte Identitätsprüfungen, um Ihre Privatsphäre zu schützen.)
Wir können diese Datenschutzerklärung jederzeit und ohne vorherige Ankündigung ändern oder aktualisieren. Es gilt die jeweils auf unserer Website/App veröffentlichte Version. Wir empfehlen, die Seite von Zeit zu Zeit zu besuchen. Ist diese Datenschutzerklärung Bestandteil einer Vereinbarung mit Ihnen (z. B. in unseren Nutzungsbedingungen) und nehmen wir wesentliche Änderungen vor, informieren wir Sie hierüber in geeigneter Weise (z. B. per E-Mail oder In-App-Hinweis).
Wir verwenden Cookies und ähnliche Technologien (wie Local Storage oder SDKs in unserer App), um unsere Website und App zu betreiben und zu verbessern, die Nutzung zu messen und - sofern Sie uns dies erlauben - für Werbung und Marketing. Ein "Cookie" ist eine kleine Textdatei, die auf Ihrem Gerät gespeichert wird und Informationen über Ihren Besuch speichert. In der mobilen App werden vergleichbare Technologien eingesetzt, um Einstellungen zu merken oder Nutzungen ähnlich zu verfolgen.
Sie können Ihre Cookie-Präferenzen jederzeit über unser Usercentrics-Consent-Tool (zugänglich im Website-Footer bzw. in den App-Einstellungen) und/oder über die Einstellungen Ihres Webbrowsers verwalten. Sie können Cookies z. B. ablehnen oder löschen. Bitte beachten Sie jedoch, dass einige Funktionen unseres Dienstes ohne Cookies nicht ordnungsgemäss funktionieren. Essenzielle Cookies (für den Betrieb der Website/App erforderlich) können im Consent-Tool nicht deaktiviert werden, da der Dienst ohne sie nicht lauffähig ist.
Weitere Details zur Nutzung von Cookies und zur Anpassung Ihrer Präferenzen finden Sie in den Cookie-Einstellungen über Usercentrics in unserer Site/App.
Nachfolgend beschreiben wir detaillierter, wie wir personenbezogene Daten in bestimmten Kontexten und bei Einsatz konkreter Dienste/Funktionen verarbeiten:
Immer wenn Sie unsere Website besuchen oder unsere App verwenden, werden aus technischen und sicherheitsrelevanten Gründen bestimmte Informationen automatisch in unseren Systemprotokollen (sowie in Logs eingesetzter Drittanbieter) gespeichert. Erfasst werden insbesondere:
Wir verwenden diese Daten nicht, um Sie als Person zu identifizieren. Hauptzweck der Protokollierung ist die Sicherstellung des ordnungsgemässen Betriebs unserer Website/App und die Aufrechterhaltung der Sicherheit unserer Systeme. Protokolle helfen uns etwa bei der Fehleranalyse, der Erkennung potenzieller Sicherheitsvorfälle (z. B. unbefugter Zugriffsversuche) und bei aggregierten Nutzungsstatistiken (z. B. Besucheraufkommen). Diese Verarbeitung liegt in unserem berechtigten Interesse.
Diese Verbindungsdaten fallen automatisch mit dem Zugriff auf Site/App an; dies ist technisch erforderlich. Wir bewahren Logdaten nur so lange wie nötig auf und löschen sie anschliessend. In der Regel werden Anfragen nach jeder Sitzung oder nach kurzer Frist gelöscht oder anonymisiert. Da diese Verarbeitung für den Betrieb unerlässlich ist, gibt es kein allgemeines Opt-out. Wenn Sie nicht möchten, dass diese Daten erhoben werden, können Sie unsere digitalen Dienste nicht nutzen. (Wir speichern diese Daten nicht langfristig, sofern keine Sicherheitsanalyse erforderlich ist, und verwenden sie nicht für Marketing oder Profiling.)
Unsere Website/App und deren Backend-Infrastruktur werden auf Amazon Web Services (AWS) betrieben, einem Cloud-Dienst von Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, USA.
Wir nutzen verschiedene AWS-Services. Wenn Sie mit Circlin interagieren (Website oder App), werden Ihre Anfragen und Daten über AWS-Server geleitet. Dies ist erforderlich, um Ihre Anfragen schnell und zuverlässig zu beantworten. An AWS übermittelte und in unserem Auftrag verarbeitete Daten umfassen u. a.:
AWS kann diese Daten in verschiedenen Rechenzentren verarbeiten. Wenn möglich, nutzen wir primär EU-Regionen für das Hosting. Abhängig vom Service/Setup kann jedoch ein Transfer oder Zugriff aus den USA oder anderen Ländern erfolgen. Wir haben mit AWS einen Auftragsverarbeitungsvertrag (inkl. Standardvertragsklauseln) abgeschlossen, um personenbezogene Daten bei Übermittlungen ausserhalb der Schweiz/Europa zu schützen. Zudem ist AWS (Stand Datum dieser Erklärung) unter dem EU-US Data Privacy Framework zertifiziert.
Weitere Informationen zu den Datenschutzpraktiken von AWS finden Sie hier: Datenschutzhinweis von AWS.
Zusätzlich zu AWS betreiben wir Teile unserer Backend-Infrastruktur auf Microsoft Azure, bereitgestellt von Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA.
Wir nutzen verschiedene Azure-Dienste zur Unterstützung von Funktionalität und Zuverlässigkeit unserer Anwendung. Soweit Azure beteiligt ist, verarbeitet Azure ähnliche Daten wie unter AWS beschrieben: Netzwerkkennungen (IP-Adressen), Geräte- und Nutzungsinformationen sowie ggf. Inhalte, die für den jeweiligen Dienst erforderlich sind (einschliesslich personenbezogener Daten, wenn Azure z. B. zur Speicherung von Nutzerdaten oder zum Versand von Mitteilungen genutzt wird).
Daten können in Rechenzentren innerhalb oder ausserhalb der Schweiz verarbeitet werden. Wir wählen nach Möglichkeit Schweizer oder EU-Azure-Regionen, jedoch können begleitende Verarbeitungen in den USA oder anderen Jurisdiktionen stattfinden. Mit Microsoft besteht ein Vertrag mit Standarddatenschutzklauseln, um Übermittlungen datenschutzkonform zu gestalten. Microsoft verfügt über strenge Sicherheits- und Datenschutzkontrollen und erfüllt u. a. die Vorgaben der DSGVO. Microsoft-Datenschutzerklärung.
Wir nutzen Google Analytics auf unserer Website (und in begrenztem Umfang in unserer App), um zu verstehen, wie Nutzer mit unserem Dienst interagieren. Google Analytics wird von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, bereitgestellt.
Google Analytics erfasst Informationen über Ihren Besuch, z. B. welche Seiten Sie ansehen, wie lange Sie bleiben, wie Sie auf unsere Site gelangt sind (z. B. über eine Suche oder einen Link) und Ihre grobe Region (z. B. Stadt oder Land). Wir haben Google Analytics so konfiguriert, dass IP-Adressen vor der Speicherung anonymisiert werden (d. h. Google kürzt die IP innerhalb der EU/EWR oder Schweiz).
Von Google Analytics erfasste Datenpunkte sind u. a.:
Google kann diese Daten auf Servern in den USA oder anderen Ländern speichern. Google ist unter einschlägigen Datentransfer-Rahmenwerken zertifiziert; zudem bestehen Standardvertragsklauseln.
Wir verwenden ausserdem den Google Tag Manager zur Verwaltung von Skripten. Der Tag Manager erhebt keine personenbezogenen Daten; er hilft lediglich, Tags (z. B. Analytics, Marketing-Pixel) effizient auszuliefern. Über den Tag Manager stellen wir sicher, dass bestimmte Skripte nur nach Ihrer Einwilligung (Usercentrics) geladen werden.
Opt-out: Sie werden nur dann durch Google Analytics getrackt, wenn Sie Analytik-Cookies zugestimmt haben. Beim ersten Besuch können Sie im Consent-Banner entscheiden. Sie können Ihre Einwilligung jederzeit über die Einstellungen (Usercentrics) widerrufen. Zusätzlich bietet Google ein Browser-Add-on an, das Analytics global deaktiviert. Datenschutzerklärung von Google.
Unsere Site und App setzen eine Consent-Management-Plattform von Usercentrics GmbH (Rosental 4, 80331 München, Deutschland) ein, um Einwilligungen rechtskonform einzuholen und zu dokumentieren.
Beim Besuch wird Ihnen ein Einwilligungs-Banner angezeigt. Darüber können Sie optionale Cookies/Tracker (z. B. Analytics, Marketing) erlauben oder ablehnen. Ihre Auswahl wird in einem kleinen Cookie (bzw. einem ähnlichen Token in der App) gespeichert, damit Ihre Präferenzen gemerkt werden.
Usercentrics verarbeitet in unserem Auftrag u. a.:
Datenschutzeinstellungen hier ändern.
Weitere Informationen finden Sie in der Datenschutzerklärung von Usercentrics.
Wir nutzen ZeroBounce, bereitgestellt von Hertza, LLC (d/b/a ZeroBounce), 10 E Yanonali St, Santa Barbara, CA 93101, USA, um E-Mail-Adressen zu validieren.
Wenn Sie uns Ihre E-Mail mitteilen (z. B. bei der Registrierung oder Newsletter-Anmeldung), kann unsere Anwendung diese an ZeroBounce senden, um zu prüfen, ob die Adresse gültig und zustellbar ist (und nicht z. B. ein Tippfehler oder eine Adresse, die bounct).
Wir übermitteln an ZeroBounce ausschliesslich die E-Mail-Adresse. Die Validierung kann über Server in den USA erfolgen. Vertraglich ist sichergestellt, dass Ihre Adresse nur zur Erbringung des Dienstes genutzt wird.
So reduzieren wir Zustellfehler und vermeiden unnötige Datenverarbeitung (z. B. das Senden von Belegen oder Newslettern an falsche Adressen).
Weitere Informationen finden Sie in der Datenschutzerklärung von ZeroBounce.
Zum Schutz vor Spam und Missbrauch nutzen wir Dienste des Spamhaus Project (UK/CH). Spamhaus stellt Echtzeit-Bedrohungsinformationen bereit, insbesondere zu IP-Adressen, die für Spam, Malware oder Angriffe bekannt sind.
Sobald eine IP mit unseren Servern interagiert (z. B. Login, Kontoerstellung, Nachrichtenversand), prüfen wir nahezu in Echtzeit, ob diese IP in Spamhaus-Listen auffällig ist.
Dabei übermitteln wir minimal Daten: die betroffene IP-Adresse; die Antwort ist ein Status (z. B. "gelistet" oder "clean"). Namen oder E-Mails werden nicht an Spamhaus gesendet.
Ist eine IP auffällig, können wir Schutzmassnahmen ergreifen (z. B. blockieren oder zusätzliche Verifizierung verlangen).
Spamhaus verarbeitet die IP-Adresse ausschliesslich zum Zweck dieser Abfrage und verfügt als gemeinnützige Sicherheitsorganisation über eigene, strenge Datenschutzrichtlinien. Im Rahmen unserer Abfrage findet auf Seiten von Spamhaus keine dauerhafte Speicherung personenbezogener Daten statt - über die übliche Pflege ihrer Threat-Intelligence-Listen hinaus.
Weitere Informationen finden Sie in der Datenschutzhinweise von Spamhaus.
Unsere Website/App verwendet Schriftarten, die von Google Fonts, einem Dienst der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA), bereitgestellt werden, um sicherzustellen, dass unsere Texte auf verschiedenen Geräten und in unterschiedlichen Browsern einheitlich und ansprechend dargestellt werden.
Wenn Sie eine Seite unserer Website oder einen Bildschirm in unserer App laden, der eine Google-Schriftart verwendet, kann Ihr Browser eine Verbindung zu den Servern von Google herstellen, um die Schriftdateien herunterzuladen (falls sie nicht bereits im Cache Ihres Geräts vorhanden sind). Dabei können folgende Informationen an Google übermittelt werden:
Google gibt an, die Schriftanfragen zur Leistungsüberwachung und zur Sicherstellung des ordnungsgemässen Betriebs des Fonts-Dienstes zu verwenden und diese Informationen nicht zur Profilbildung von Endnutzern oder für Werbezwecke zu nutzen. Die Daten können von Google gespeichert und verarbeitet werden, möglicherweise auch in den USA.
Wir binden Google Fonts ein, um die Nutzererfahrung zu verbessern (schnelle und zuverlässige Darstellung von Schriftarten). Die Verwendung von Google Fonts erfolgt auf Grundlage unseres berechtigten Interesses, unsere Inhalte mit einem einheitlichen Erscheinungsbild zu präsentieren.
Weitere Informationen dazu, wie Google im Rahmen des Fonts-Dienstes mit Daten umgeht, finden Sie in der Datenschutzerklärung von Google.
Die Nutzung von Google Fonts ist durch die Datenschutzverpflichtungen von Google abgedeckt; weitere Hinweise finden Sie in den FAQ zu „Fonts und Datenschutz“.
Bei der Apple-Anmeldung authentifiziert Sie Apple über Ihre Apple-ID. Sie können Ihre E-Mail verbergen (Apple erstellt dann eine Relais-Adresse) oder freigeben. Apple übermittelt uns dann entweder Ihre echte E-Mail oder die Relais-E-Mail, ausserdem Ihren Namen (sofern nicht von Ihnen geändert oder unterdrückt) und eine eindeutige Kennung, die Ihre Apple-ID mit unserer App verknüpft. Wir verwenden diese Informationen zur Kontoerstellung bzw. zum Login. Apple teilt weder Ihr Passwort noch sonstige Gerätedaten. Die Nutzung durch Apple richtet sich nach Apples Datenschutzrichtlinie. Wenn Sie Ihre E-Mail verbergen, werden unsere E-Mails (z. B. Benachrichtigungen) über den privaten Relay-Dienst an Ihre echte Adresse weitergeleitet. Datenschutzrichtlinie von Apple.
Wenn Sie sich über Facebook anmelden, werden Sie zu Facebook (Meta) weitergeleitet. Facebook fragt, welche Informationen Sie teilen möchten; standardmässig sind dies z. B. Ihr öffentliches Profil (Name, Profilfoto, Spracheinstellungen usw.) und Ihre E-Mail. Facebook sendet uns danach ein Token und die freigegebenen Angaben (z. B. Name, E-Mail), damit wir Sie einloggen/registrieren können. Wir erhalten weder Ihr Facebook-Passwort noch andere Daten, die Sie nicht freigegeben haben. Facebook kann protokollieren, dass Sie sich über Facebook bei unserer App angemeldet haben; dessen Nutzung richtet sich nach der Datenrichtlinie von Meta. Wenn Sie Circlin in Ihren Facebook-Einstellungen die Berechtigungen entziehen, können wir nicht mehr auf die Facebook-verbundenen Daten zugreifen. Datenrichtlinie von Meta (Facebook).
Bei der Google-Anmeldung bestätigt Google Ihre Identität. Google fragt, ob bestimmte Angaben (in der Regel Name, E-Mail, Profilbild) mit uns geteilt werden dürfen. Nach Ihrer Zustimmung übermittelt Google uns diese Basisinformationen sowie ein sicheres Token, mit dem wir Sie anmelden/registrieren. Wir sehen weder Ihr Google-Passwort noch andere Kontodaten als die von Ihnen freigegebenen. Google kann protokollieren, dass Sie sich mit Google bei unserem Dienst angemeldet haben. Die Nutzung durch Google richtet sich nach den Google-Datenschutzbestimmungen. Datenschutzerklärung von Google.
In allen oben genannten Fällen behandeln wir die Informationen, die wir nach der erstmaligen Anmeldung erhalten (z. B. Ihren Namen und Ihre E-Mail-Adresse), so, als hätten Sie sie uns direkt bereitgestellt. Sie werden Teil Ihres Circlin-Kontoprofils. Wir empfehlen Ihnen nachdrücklich, die Datenschutzeinstellungen und -richtlinien von Apple, Facebook oder Google (je nachdem, welchen Dienst Sie nutzen) zu prüfen, um zu verstehen, wie diese Ihre Daten verwenden. Sie können den Zugriff unserer App auch über die Einstellungen Ihres Apple-, Facebook- oder Google-Kontos widerrufen; beachten Sie jedoch, dass dadurch die Nutzung dieser Anmeldemethode ohne erneute Autorisierung ggf. nicht mehr möglich ist.
Wir setzen Intercom ein, um Support-Chats, In-App-Nachrichten und andere Nutzerkommunikation zu ermöglichen. Anbieter ist Intercom, Inc., 55 2nd Street, 4th Floor, San Francisco, CA 94105, USA.
Bei Interaktion mit Intercom (z. B. Öffnen des Chat-Widgets oder Lesen einer Nachricht) verarbeitet Intercom:
Intercom agiert als unser Auftragsverarbeiter. Wir haben einen Auftragsverarbeitungsvertrag inkl. Standardvertragsklauseln abgeschlossen; Intercom ist zudem unter dem EU-US Data Privacy Framework zertifiziert.
Wir nutzen diese Daten ausschliesslich zur Unterstützung und zur Verbesserung unserer Dienste. Support-Verläufe bewahren wir bis zu 12 Monate auf. Sie können eine Kopie oder Löschung Ihrer Intercom-Chats anfordern. Weitere Details finden Sie in der Intercom-Datenschutzerklärung.
Der Betrieb des Circlin-Marktplatzes erfordert die Verarbeitung verschiedener Arten von Daten, die Sie erzeugen oder bereitstellen. Nachfolgend erläutern wir die wichtigsten Kategorien personenbezogener Daten, die wir in der App verarbeiten, und wie wir sie verwenden:
Bei der Registrierung legen wir ein Profil an. Dieses umfasst Ihre Zugangsdaten (z. B. E-Mail und gehashtes Passwort oder Auth-Tokens bei Social-Login), Ihren Namen und Ihre Kontaktdaten (z. B. Telefonnummer, E-Mail), Ihr Geburtsdatum (zur Eignungsprüfung) sowie ggf. Profilbild oder Bio. Diese Informationen identifizieren Sie auf der Plattform, helfen anderen Nutzern zu wissen, mit wem sie handeln (z. B. Anzeige des Vornamens und Anfangsbuchstabens des Nachnamens) und ermöglichen uns die Kontaktaufnahme zu Transaktionen oder Konto.
Dazu zählen alle Angaben, die Sie beim Einstellen eines Artikels machen: Vorschaubilder und Videos, Titel und Beschreibung, Kategorie, Preis sowie Metadaten (Zeitpunkt, Tags/Attribute wie Zustand, Marke). Diese Daten sind öffentlich sichtbar. Wir verarbeiten sie, um Ihre Inserate zu präsentieren, Such-/Filterfunktionen zu ermöglichen und Kategorien/Algorithmen zu verbessern (aggregiert).
Käufer und Verkäufer kommunizieren über ein In-App-Messaging. Wir speichern Inhalte (Text/Anhänge) und Zeitstempel. Die Kommunikation ist grundsätzlich privat; unser System kann jedoch automatisiert auf Trust-&-Safety-Anzeichen (Spam/Betrug) prüfen. Bei Streitfällen oder Meldungen kann befugtes Personal relevante Nachrichten einsehen, um zu untersuchen. Eine Weitergabe an Dritte erfolgt nur, wenn es für die Sicherheit nötig ist (z. B. an Strafverfolgungsbehörden, soweit rechtlich zulässig).
Kommt ein Kauf/Verkauf zustande, entsteht eine Bestellung. Wir verarbeiten u. a. Artikel, Preis, Datum/Uhrzeit, Zustellmethode und Zahlungsstatus. Bei Versand erfassen wir Lieferadresse des Käufers und Absenderadresse des Verkäufers sowie Trackingnummern (siehe 4.12 zur Schweizerischen Post). Bei persönlicher Übergabe erzeugen wir einen eindeutigen Abhol-PIN, den wir dem Käufer zur Bestätigung mitteilen. Benötigte Informationen (z. B. Versandlabel für den Verkäufer, Abhol-Code für den Käufer) übermitteln wir per E-Mail oder In-App-Benachrichtigung. Die Weitergabe persönlicher Kontaktdaten zwischen Käufer/Verkäufer beschränken wir auf das Notwendige.
Wird ein Käuferschutzfall eröffnet (z. B. Artikel nicht erhalten oder wesentlich abweichend), erheben und erzeugen wir Daten zur Klärung: Angaben im Formular (Streitgrund, Beschreibung), Belege (Fotos, Screenshots, Versandnachweise), Kommunikationsdokumentation und interne Fallnotizen mit Entscheid. Wir verarbeiten dies zur Vertragserfüllung (Käuferschutz), für faire Ergebnisse und zur Verbesserung unserer Sicherheitsprozesse. Ergebnisse können künftige Massnahmen beeinflussen (z. B. Ausschluss bei Betrug).
Die genannten Verarbeitungen sind überwiegend zur Vertragserfüllung erforderlich (ohne diese Daten können wir den Marktplatz bzw. Käuferschutz nicht bereitstellen). Bestimmte Verarbeitungen beruhen auf berechtigten Interessen (z. B. Kommunikationsmonitoring zur Betrugsprävention, Aufbewahrung von Streitfalldaten zur rechtlichen Absicherung und Serviceverbesserung). Wir achten darauf, dass Ihre Rechte nicht überwiegen.
Marktplatzbezogene Daten speichern wir, solange Ihr Konto aktiv ist und für eine gewisse Zeit danach (zur Erfüllung rechtlicher Pflichten oder Streitbeilegung). Bei Kontolöschung oder längerer Inaktivität anonymisieren wir ggf. bestimmte Daten (z. B. historische Inserate ohne Personenbezug). Transaktionsunterlagen werden - wie in 3.5 beschrieben - bis zu 10 Jahre aufbewahrt. Nachrichten werden in der Regel nicht so lange vorgehalten und können nach einem Zeitraum (z. B. älter als 2 Jahre) automatisch gelöscht/archiviert werden, sofern kein Streitfall anhängig ist.
Bei Versandtransaktionen arbeiten wir mit der Schweizerischen Post (Die Schweizerische Post AG, Wankdorfallee 4, 3030 Bern, Schweiz) zusammen.
Wenn Käufer und Verkäufer Versand wählen, erheben wir die dafür notwendigen Daten: Name/Adresse des Absenders (Verkäufer) sowie Name/Lieferadresse des Empfängers (Käufer), ggf. Telefonnummer/E-Mail für Zustellinformationen. Diese Daten übermitteln wir sicher an die Post, um ein Versandlabel zu erzeugen und die Sendung zu starten.
Die Post nutzt die Daten für Transport und Tracking und agiert als eigenständige Verantwortliche mit eigenen gesetzlichen Pflichten und Aufbewahrungsfristen. Wir verwenden die Adresse ausschliesslich zur Abwicklung der konkreten Bestellung. Weitere Informationen finden Sie in den Datenschutzhinweisen der Schweizerischen Post.
Wir verwenden die von Ihnen angegebene Lieferadresse nicht zu anderen Zwecken als zur Abwicklung der jeweiligen Bestellung (sowie für notwendige After-Sales-Leistungen, z. B. die Bearbeitung einer Rücksendung oder eines Versicherungsfalls, falls beim Transport etwas schiefgeht). Wir können zu Analysezwecken speichern, dass ein bestimmter Nutzer Sendungen an eine bestimmte Postleitzahl oder Stadt erhalten hat (z. B. um regional zu verstehen, wo sich unsere Nutzer überwiegend befinden), geben jedoch vollständige Adressen nicht an andere Nutzer weiter - ausser soweit dies zwischen den Vertragsparteien für die Abwicklung erforderlich ist.
Mit der Wahl des Versands stimmen Sie zu, dass wir Ihre relevanten Angaben an die Schweizerische Post weitergeben. Wenn Sie mehr darüber erfahren möchten, wie die Schweizerische Post personenbezogene Daten verarbeitet (z. B. zu Aufbewahrungsfristen oder möglichen Datenweitergaben), konsultieren Sie bitte die Datenschutzhinweise der Schweizerischen Post oder wenden Sie sich direkt an die Post. Als Schweizer Unternehmen unterliegt die Schweizerische Post dem schweizerischen Datenschutzrecht.
Zahlungen auf unserer Plattform (z. B. Kaufpreiszahlung durch Käufer oder Auszahlungen an Verkäufer) erfolgen über externe Zahlungsdienstleister (Payment Service Provider, PSP). Wir integrieren diese, um Zahlungsdaten sicher zu verarbeiten.
Visa Privacy Center • Datenschutzhinweis von Mastercard • TWINT-Datenschutzerklärung • Stripe-Datenschutzerklärung
Wenn Sie über Circlin eine Zahlung vornehmen - z. B. mit einer Kreditkarte oder einer Direktzahlungs-App - interagieren Sie mit einem dieser Zahlungsanbieter. Wir übermitteln die für die Transaktion erforderlichen Zahlungsangaben: Dazu können der zu belastende Betrag, Ihre Benutzer- oder Bestell-ID (zur Zuordnung zu Ihrem Circlin-Konto) sowie die relevanten Zahlungsdaten gehören. Bei Kreditkartenzahlungen geben Sie die Karte über unser sicheres Zahlungsformular ein (die Eingabe wird direkt an den PSP übermittelt und nicht über unsere Server), oder - falls Sie einen Karten-Token gespeichert haben - veranlassen wir den PSP, diesen Token zu belasten. Bei TWINT oder ähnlichen Diensten werden Sie ggf. weitergeleitet oder zur Bestätigung in Ihrer mobilen App aufgefordert.
Hierzu gehören in der Regel Ihr Name, die Rechnungsadresse und Zahlungsinformationen (z. B. Kreditkartennummer und Ablaufdatum, Bankverbindung oder - bei TWINT - die Mobilnummer) sowie Beträge und Details der Transaktion. Diese Anbieter können zudem Informationen zur Betrugsprävention erheben, etwa Geräteinformationen oder Verifizierungscodes (z. B. SMS-Codes für die 3-D-Secure-Authentifizierung bei Karten). Wir sehen oder speichern Ihre sensiblen Zahlungsdaten (wie vollständige Kartennummern) nicht. Der PSP bestätigt uns entweder die erfolgreiche Zahlung oder meldet einen Fehler - jeweils mit einer Transaktions-ID.
Wir nutzen diese Zahlungsanbieter auf Grundlage der vertraglichen Erforderlichkeit - wir müssen Zahlungen verarbeiten, um den Kaufvertrag zwischen Käufer und Verkäufer zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO, soweit anwendbar, sowie die entsprechenden Bestimmungen nach schweizerischem Recht). Zudem haben wir ein berechtigtes Interesse daran, unseren Nutzern sichere und komfortable Zahlungsmethoden anzubieten (Art. 6 Abs. 1 lit. f DSGVO).
Einige PSPs können Bonitätsabfragen durchführen. Die hier aufgeführten (Visa, Mastercard, TWINT, Stripe) führen für Standardtransaktionen in der Regel keine Bonitätsscores durch, verfügen jedoch über Massnahmen zur Betrugsbekämpfung. So können Stripe oder Kartennetzwerke automatisierte Systeme einsetzen, um verdächtige Transaktionen zu markieren (z. B. bei Abweichungen zwischen Standort und Rechnungsadresse). Solche Systeme können auf Blacklists oder Betrugsdatenbanken Bezug nehmen. Dies erfolgt durch den PSP im Rahmen seiner Leistung für uns und für Sie (um die unbefugte Nutzung Ihres Kontos zu verhindern). Zusätzlich ist Stripe gesetzlich verpflichtet, vor der Auszahlung an Verkäufer KYC-Prüfungen durchzuführen. Dazu kann die Verifizierung personenbezogener Angaben gehören und - wenn eine automatische Verifizierung nicht möglich ist - die Anforderung von Identitätsdokumenten über Stripe Identity (z. B. ein amtlicher Ausweis und ein Selfie). Solche Dokumente erheben wir nur, wenn Stripe sie anfordert, und sie werden sicher über das System von Stripe übermittelt. Wenn ein Verkäufer die Verifizierung nicht abschliesst, kann Stripe Auszahlungen verzögern oder verweigern, bis der Prozess abgeschlossen ist.
Die von Ihnen angegebenen Zahlungsinformationen werden vom PSP verarbeitet und nicht auf unseren Servern gespeichert (ausgenommen ggf. ein Token oder maskierte Kartendaten, etwa die letzten vier Ziffern zur Referenz). PSPs speichern Ihre Daten auf ihren sicheren Servern. Sie können verpflichtet sein, Transaktionsinformationen an Banken oder Kartennetzwerke sowie in Fällen verdächtiger Aktivitäten oder gesetzlicher Vorgaben (z. B. Geldwäschevorschriften) an Behörden weiterzugeben.
Jeder Zahlungsanbieter hat eigene Aufbewahrungsrichtlinien; typischerweise müssen Finanzunterlagen mehrere Jahre für aufsichts- und prüfungsrechtliche Zwecke aufbewahrt werden. Auch wir bewahren Transaktionsnachweise (Betrag, Datum, Zahler, Zahlungsempfänger) zu Buchhaltungszwecken bis zu 10 Jahre auf; diese Unterlagen enthalten jedoch keine vollständigen Zahlungsdetails - im Wesentlichen Referenzen und Beträge.
Wenn Sie eine Zahlung vornehmen, gehen Sie auch ein Rechtsverhältnis mit dem Zahlungsanbieter ein. Dessen Bedingungen und Datenschutzhinweise gelten zusätzlich zu unserer Richtlinie für diese Transaktion. Wir empfehlen, die Datenschutzinformationen des von Ihnen genutzten Anbieters zu lesen (siehe Verweise oben). Diese Dokumente erläutern auch Ihre Rechte gegenüber diesen Anbietern (z. B. wie Sie auf dort gespeicherte Daten zugreifen oder eine Transaktion beanstanden können). Wenn Sie Hilfe beim Kontakt mit einem Zahlungsanbieter oder beim Verständnis seiner Rolle benötigen, können Sie sich jederzeit an uns wenden.
Wir verwenden Werbeplattformen, um Circlin zu bewerben und mit bestehenden Nutzern zu interagieren (z. B. Google Ads, Microsoft Advertising, Meta Ads, TikTok Ads). Hierzu setzen wir Tracking-Tools dieser Plattformen ein (z. B. Google-Conversion-Tag, Meta Pixel, Microsoft UET, TikTok Pixel/SDK).
Dies umfasst das Schalten von Anzeigen auf anderen Websites, in Suchergebnissen, in sozialen Netzwerken oder innerhalb von Apps. Um die Wirksamkeit dieser Anzeigen zu messen und die Ausspielung zielgerichtet zu steuern, binden wir bestimmte Tracking-Tools der jeweiligen Plattformen ein - zum Beispiel das Google Ads Conversion-Tag, den Meta Pixel (Facebook Pixel), das Microsoft UET (Universal Event Tracking)-Tag und den TikTok Pixel/SDK.
Solches Tracking erfolgt nur nach Ihrer Einwilligung (Usercentrics im Web bzw. App-Tracking-Freigaben). Sie können die Einwilligung jederzeit widerrufen (siehe 3.9).
Die von diesen Drittanbietern erhobenen Daten können mit Informationen kombiniert werden, die sie bereits über Sie besitzen (z. B. wenn Sie bei Google oder Facebook angemeldet sind, können sie den Besuch Ihrem Konto auf ihrer Plattform zuordnen). Sie nutzen dies, um Sie Marketing-Segmenten für die Anzeigenausspielung zuzuordnen. Wir erhalten in diesem Prozess keine personenbezogenen Daten von ihnen - vielmehr erhalten wir aggregierte Berichte (z. B. "X Personen haben die Anzeige angeklickt und sich anschliessend registriert").
Wir möchten transparent darauf hinweisen, dass durch die Zulassung dieser Tracking-Technologien Ihre Nutzung/Browsing unseres Dienstes mit Ihren Profilen auf diesen Werbenetzwerken verknüpft werden kann. Wenn Sie nicht auf diese Weise verfolgt werden möchten, können Sie über unsere Einwilligungs-Tools oder über plattformspezifische Opt-outs widersprechen (z. B. in den Geräteeinstellungen die Werbeverfolgung beschränken oder die Einstellungen für Google Ads bzw. Facebook-Werbepräferenzen anpassen). Es gibt ausserdem branchenweite Opt-out-Seiten wie die Network Advertising Initiative oder YourAdChoices (DAA), mit denen Sie sich allgemein von vielen solcher Netzwerke abmelden können - diese decken jedoch möglicherweise kein Tracking über mobile App-SDKs ab.
Datenschutzerklärung von Google • Microsoft-Datenschutzerklärung • Datenrichtlinie von Meta • TikTok-Datenschutzrichtlinie (EWR) • NAI-Opt-out • DAA YourAdChoices Opt-out
Wenn Sie unseren Newsletter oder andere Marketing-Mitteilungen abonnieren, verwenden wir Ihre E-Mail-Adresse, um Ihnen Neuigkeiten zu Circlin (z. B. Feature-Updates, Aktionen oder kuratierte Inhalte) zu senden. Ähnliche Informationen können wir - sofern aktiviert - auch per Push versenden.
Bei der Anmeldung protokollieren wir Ihre Einwilligung mit Datum/Uhrzeit. Der Versand erfolgt über einen sicheren E-Mail-Dienst (externer Anbieter oder unsere Infrastruktur, z. B. AWS SES). Jede Marketing-E-Mail enthält einen Abmeldelink. Sie können Ihre Präferenzen auch in den Konto-Einstellungen anpassen.
Wir können die Interaktion mit unseren E-Mails auf aggregierter Ebene analysieren - z. B. wie viele Nutzer eine E-Mail geöffnet oder auf einen bestimmten Link geklickt haben (dies erfolgt häufig über ein unsichtbares Bild-Pixel in der E-Mail oder über eindeutig verfolgte Links). Das hilft uns zu verstehen, welche Inhalte für Abonnenten interessant sind. Dies ist optional und dient in erster Linie unserem internen Gebrauch; wir erstellen keine Profile des individuellen Leseverhaltens einzelner Nutzer über eine grundlegende Segmentierung hinaus (z. B. um eine E-Mail einmalig erneut an Nicht-Öffner zu senden oder bestimmte E-Mail-Typen an Personen zu vermeiden, die nie interagieren).
Wenn Sie Marketing-E-Mails abbestellen, unterdrücken wir Ihre Adresse in unserer Versandliste (d. h. wir markieren sie so, dass Sie keine Marketing-E-Mails mehr erhalten). Es kann kurze Zeit dauern (höchstens einige Tage), bis Sie aus allen Kampagnenlisten vollständig entfernt sind, jedoch bemühen wir uns, Abmeldungen umgehend zu verarbeiten. Beachten Sie, dass transaktionale E-Mails (z. B. Kaufbelege, Zurücksetzen von Passwörtern, wichtige Konto-Benachrichtigungen) von einer Abmeldung von Marketing-E-Mails nicht betroffen sind, da es sich nicht um Werbung handelt - wir beschränken diese jedoch auf das Notwendige.
Wir verkaufen oder teilen unsere Verteilerliste nicht mit Drittanbietern zu Marketingzwecken. Sollten wir jemals mit einem Partner für eine gemeinsame Aktion zusammenarbeiten, würden Sie die Nachricht von uns erhalten, und der Partner bekäme Ihre Kontaktdaten nicht, es sei denn, Sie melden sich separat direkt bei ihm an.
Wir können diese Datenschutzerklärung von Zeit zu Zeit anpassen. Bei Änderungen veröffentlichen wir die aktualisierte Version auf unserer Website und passen das Datum "Aktualisiert am" oben an. Es gilt stets die aktuelle Version auf unserer Website/App.
Bei wesentlichen Änderungen und sofern diese Erklärung Teil einer Vereinbarung mit Ihnen ist, informieren wir Sie zusätzlich (z. B. per E-Mail oder In-App-Hinweis). Durch die fortgesetzte Nutzung unserer Dienste nach Wirksamwerden erkennen Sie die neue Erklärung an.