Datenschutzrichtlinie

Datum des Inkrafttretens: 13. Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenbearbeitung im Sinne des Schweizer Datenschutzgesetzes (DSG / nDSG) ist:

Datenschutzkontakt: [email protected]

2. Geltungsbereich und rechtlicher Rahmen

Diese Datenschutzerklärung erläutert, wie wir Personendaten erheben, bearbeiten, speichern und schützen, wenn Sie flat-finder.ch («der Dienst») nutzen, einschliesslich der Kontoregistrierung, Produktfunktionen, E-Mail-Benachrichtigungen und Support-Kommunikation.

Wir bearbeiten Personendaten im Einklang mit dem Schweizer Datenschutzgesetz (DSG / nDSG, in Kraft seit dem 1. September 2023) sowie den dazugehörigen Verordnungen. Soweit die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) anwendbar ist — beispielsweise wenn Sie sich in der EU bzw. im EWR befinden — halten wir auch deren Anforderungen ein.

3. Kategorien bearbeiteter Personendaten

Wir bearbeiten die folgenden Kategorien von Personendaten:

  • Kontodaten — E-Mail-Adresse, Vorname und Nachname, welche von unserem Identitätsanbieter (AWS Cognito) verwaltet werden. Unsere Anwendungsdatenbank speichert ausschliesslich Ihre Cognito-Benutzer-ID (eine pseudonyme UUID) sowie interne Identifikatoren; Ihr Name und Ihre E-Mail-Adresse werden nicht in unserer Anwendungsdatenbank gespeichert.
  • Produkt- und Suchdaten — Suchnamen, Suchkriterien und Bewertungspräferenzen, Empfängerkonfigurationen, Zeitplanungspräferenzen, Ausführungsprotokolle sowie Ergebnis-Metadaten.
  • Technische Daten und Protokolldaten — IP-Adressen, Browsertyp, Betriebssystem, Zugriffszeitpunkte, Referrer-URLs sowie serverseitig erzeugte Logeinträge. Diese Daten werden beim Zugriff auf den Dienst automatisch erhoben.
  • Kommunikationsdaten — Inhalte und Metadaten von Nachrichten, die Sie uns per E-Mail, Kontaktformular oder über andere Kommunikationskanäle senden.
  • Analysedaten — besuchte Seiten, Referrer-URL, Sitzungsdauer, Gerätetyp, Browser, Betriebssystem sowie ungefähre geografische Standortdaten (ausschliesslich auf Stadt- und Länderebene). IP-Adressen werden von Google vor jeder weiteren Verarbeitung anonymisiert und weder von uns noch von Google gespeichert. Zusätzlich wird eine pseudonyme Client-ID («GA Client ID») als First-Party-Browser-Cookie (_ga, _ga_*) für bis zu 14 Monate gespeichert (Standard-Aufbewahrungsdauer von Google).

4. Zwecke und Rechtsgrundlagen

Wir bearbeiten Personendaten zu den folgenden Zwecken. Soweit die DSGVO anwendbar ist, wird die entsprechende Rechtsgrundlage angegeben.

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Bereitstellung und Betrieb des Dienstes, einschliesslich Kontoverwaltung, Ausführung von Suchläufen, KI-basierter Bewertung sowie E-Mail-Zustellung von Ergebnissen.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 Abs. 2 lit. d DSG) — Gewährleistung der Sicherheit und Integrität des Dienstes, Betrugsprävention, Missbrauchserkennung, Systemüberwachung, Fehleranalyse sowie allgemeine Verbesserung des Dienstes; ferner aggregierte Nutzungsanalysen mittels Google Analytics 4 (mit verpflichtender IP-Anonymisierung), um die Nutzung des Dienstes zu verstehen und zu verbessern. Unser berechtigtes Interesse an aggregierter Nutzungsanalyse wird mit Ihren Datenschutzinteressen abgewogen durch: (a) verpflichtende IP-Anonymisierung durch Google bereits zum Zeitpunkt der Datenerhebung, (b) keine aktivierten Werbe- oder Cross-Site-Tracking-Funktionen, (c) Beschränkung der Daten auf aggregierte Nutzungsmuster sowie (d) Ihr jederzeitiges Widerspruchsrecht (siehe Abschnitt 13).
  • Gesetzliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) — Erfüllung gesetzlicher Anforderungen, einschliesslich gesetzlicher Aufbewahrungs- und Dokumentationspflichten.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — sofern wir Daten auf Grundlage Ihrer ausdrücklichen Einwilligung bearbeiten (z. B. für zukünftige Marketingkommunikation). Sie können Ihre Einwilligung jederzeit widerrufen, ohne dass dadurch die Rechtmässigkeit der bis zum Widerruf erfolgten Bearbeitung berührt wird.

Nach dem Schweizer Datenschutzgesetz ist die Bearbeitung von Personendaten grundsätzlich zulässig, sofern dadurch keine Persönlichkeitsrechte der betroffenen Person verletzt werden (Art. 30 ff. DSG). Soweit erforderlich, stützt sich unsere Datenbearbeitung auf die Erfüllung eines Vertrags, unsere überwiegenden berechtigten Interessen oder Ihre Einwilligung (Art. 31 DSG).

5. Automatisierte Verarbeitung und KI-Bewertung

Der Dienst verwendet KI-Dienste, um Immobilieninserate anhand Ihrer persönlichen Suchkriterien zusammenzufassen, zu kategorisieren und zu bewerten. Diese Ausgaben werden algorithmisch erzeugt und dienen ausschliesslich Informationszwecken. Sie können unvollständig, ungenau oder veraltet sein.

Wir treffen keine Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung ausschliesslich auf Grundlage automatisierter Verarbeitung (Art. 21 DSG). KI-generierte Inhalte stellen keine rechtliche, finanzielle oder wohnungsbezogene Beratung dar.

Zur Verhinderung von Missbrauch und zur Gewährleistung der Sicherheit der Plattform versehen wir KI-Verarbeitungsanfragen mit einer pseudonymen «Safety Identifier»-Kennung. Diese Kennung ermöglicht es uns, die Nutzung einem Konto zuzuordnen, ohne dem KI-Verarbeitungsanbieter Ihren Namen oder Ihre E-Mail-Adresse offenzulegen. Siehe hierzu auch die OpenAI Terms of Use, welche darauf hinweisen, dass KI-generierte Ausgaben nicht immer korrekt sein müssen.

6. Datenempfänger und Unterauftragsbearbeiter

Für den Betrieb des Dienstes setzen wir die folgenden Kategorien von Drittanbietern ein. Wir behalten uns vor, konkrete Anbieter im Laufe der Zeit zu wechseln, sofern dabei gleichwertige Schutzmassnahmen gewährleistet bleiben.

KategorieZweckRechtsraum
Identität & AuthentifizierungBenutzerkonten, Anmeldung, VerifizierungCH / EU
E-Mail-VersandTransaktions- und Benachrichtigungs-E-MailsEU / US
KI-VerarbeitungInseratebewertung, Zusammenfassungen, AnalysenUS
Cloud-InfrastrukturHosting, Rechenleistung, Speicherung, BackupsCH / EU
DNS- & Domain-DiensteDomainauflösung, SSL-ZertifikateUS
Container-RegistryVerteilung von Anwendungs-ImagesUS
HintergrundverarbeitungSelbstgehostete Queue- und Cache-Systeme (Redis/BullMQ)CH (selbst gehostet)
WebanalyseAggregierte Nutzungsanalyse und Verbesserung des Dienstes (Google Analytics 4, IP-anonymisiert)EU / US (Google Ireland Ltd. + Google LLC; Teilnehmer am EU-U.S. DPF)
Messaging & SupportSupport-E-Mails, Messaging-KanäleUS

7. Internationale Datenübermittlungen und Schutzmassnahmen

Unsere primäre Infrastruktur wird in der Schweiz betrieben (AWS eu-central-2). Einige Unterauftragsbearbeiter können Daten innerhalb der EU/des EWR oder in Staaten ausserhalb der Schweiz und der EU bearbeiten (insbesondere in den Vereinigten Staaten).

Werden Personendaten in ein Land übermittelt, das kein angemessenes Datenschutzniveau gemäss Feststellung des Schweizer Bundesrats (Art. 16 DSG) oder der Europäischen Kommission bietet, treffen wir geeignete Schutzmassnahmen, insbesondere:

  • EU-/Schweizer Standardvertragsklauseln (SCCs);
  • Teilnahme des Datenimporteurs an einem anerkannten Datenschutz-Transfermechanismus (z. B. dem EU-U.S. Data Privacy Framework);
  • andere gesetzlich zulässige Übermittlungsmechanismen gemäss Art. 17 DSG oder Kapitel V DSGVO.

Details sowie Aktualisierungen zu unseren Unterauftragsbearbeitern und den eingesetzten Schutzmassnahmen stellen wir Ihnen auf Anfrage unter [email protected] zur Verfügung.

Im Zusammenhang mit Google Analytics werden Personendaten insbesondere an Google LLC (USA) sowie Google Ireland Ltd. (EU) übermittelt. Google LLC nimmt am EU-U.S. Data Privacy Framework (DPF) teil, welches von der Europäischen Kommission gemäss Art. 45 DSGVO als angemessenes Datenschutzniveau anerkannt wurde. Der Schweizer Bundesrat erkennt das DPF zudem als geeignete Schutzmassnahme im Sinne von Art. 16 DSG an. Darüber hinaus verarbeitet Google Ireland Ltd. Daten innerhalb der EU/des EWR, wodurch das Ausmass der Datenübermittlung ausserhalb Europas zusätzlich reduziert wird.

8. Aufbewahrungsfristen

  • Kontodaten — werden gespeichert, solange Ihr Konto aktiv ist. Nach Löschung des Kontos werden die Daten innerhalb von 30 Tagen gelöscht.
  • Such- und Ausführungsdaten — werden bis zu 12 Monate nach der letzten Aktivität der jeweiligen Suche gespeichert.
  • Technische Daten und Systemprotokolle — werden aus Sicherheits- und Betriebsgründen bis zu 90 Tage gespeichert.
  • Verschlüsselte Backups (sofern aktiviert) — rollierende Aufbewahrung von bis zu 30 Tagen.
  • Kommunikationsdaten — werden so lange gespeichert, wie dies zur Bearbeitung der Anfrage erforderlich ist, sowie für einen angemessenen Zeitraum darüber hinaus zu Nachverfolgungs- und rechtlichen Zwecken.

Nach Ablauf der jeweiligen Aufbewahrungsfrist werden Personendaten gelöscht oder anonymisiert, sofern keine längere gesetzliche Aufbewahrungspflicht besteht.

9. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen, um Personendaten vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen (Art. 8 DSG). Zu diesen Massnahmen gehören insbesondere:

  • Transportverschlüsselung (TLS) für sämtliche Datenübertragungen unter Verwendung von Zertifikaten einer vertrauenswürdigen Zertifizierungsstelle;
  • Verschlüsselung ruhender Daten («Encryption at Rest») für in Cloud-Speichern abgelegte Backups;
  • Zugriffskontrollen nach dem Least-Privilege-Prinzip (AWS IAM) für sämtliche Infrastrukturkomponenten;
  • Sichere Verwaltung von Zugangsdaten, Geheimnissen und API-Schlüsseln;
  • Regelmässige Sicherheitsüberprüfungen und Aktualisierungen von Abhängigkeiten und Komponenten.

Da sich der Dienst derzeit in der Beta-Phase befindet, befindet sich ein formelles Audit-Logging noch im Aufbau und ist noch nicht vollständig implementiert.

10. Cookies und Tracking

Wir verwenden auf dieser Website die folgenden Kategorien von Cookies:

  • Essenzielle Cookies — technisch notwendige Cookies für den Betrieb des Dienstes, insbesondere für Sitzungsverwaltung, Authentifizierung und Sicherheitsfunktionen.
  • Google Analytics 4 (GA4) — wir verwenden Google Analytics 4 zur aggregierten Nutzungsanalyse und Verbesserung des Dienstes.

    Rechtsgrundlage und Datenschutzmassnahmen für Google Analytics 4:
    • Verpflichtende IP-Anonymisierung — GA4 anonymisiert Ihre IP-Adresse bereits zum Zeitpunkt der Erhebung, bevor Daten durch Google gespeichert werden. Wir erhalten oder speichern keine vollständigen IP-Adressen.
    • Keine Werbung oder Cross-Site-Tracking — wir haben keine Google-Werbe- oder Remarketing-Funktionen aktiviert. Ihre Daten werden weder zur Erstellung von Werbeprofilen noch zur Nachverfolgung über andere Websites hinweg verwendet.
    • Ausschliesslich aggregierte Daten — wir greifen ausschliesslich auf aggregierte Statistiken zu (z. B. Seitenaufrufe oder Sitzungsanzahlen) und analysieren keine individuellen Nutzerbewegungen.

    Durch Google Analytics gesetzte Cookies: _ga dient der Unterscheidung von Nutzern mittels pseudonymer Kennung. _ga_* dient der Speicherung sitzungsbezogener Zustände und Nutzungsmetriken

    Aufbewahrungsdauer der Analysedaten: Google Analytics-Daten werden gemäss der standardmässigen Aufbewahrungsdauer von Google für bis zu 14 Monate gespeichert.

    Ihre Möglichkeiten zum Widerspruch («Opt-out»):
    • Installation des Google-Analytics-Opt-out-Browser-Add-ons — verhindert die Übermittlung Ihrer Daten an Google Analytics auf sämtlichen Websites.
    • Nutzung der Cookie-Einstellungen Ihres Browsers zum Blockieren oder Löschen von Cookies (Hinweis: dies kann die Funktionalität anderer Teile des Dienstes beeinträchtigen).
    • Widerspruchsrecht (Nutzer aus der EU/dem EWR): Sofern die DSGVO auf Sie anwendbar ist, können Sie der Verarbeitung auf Grundlage berechtigter Interessen jederzeit gemäss Art. 21 DSGVO widersprechen. Kontaktieren Sie uns hierzu unter [email protected] oder verwenden Sie das oben genannte Opt-out-Add-on.

Wir verwenden keine Werbe-Cookies, Social-Media-Tracking-Pixel oder sonstige Drittanbieter-Cookies ausser den oben beschriebenen Google-Analytics-Cookies.

11. Registrierung und Kontoverifizierung

Wir verwenden AWS Cognito als Anbieter für Identitäts- und Authentifizierungsdienste. Während der Registrierung wird ein Verifizierungscode an die von Ihnen angegebene E-Mail-Adresse gesendet. Bis die Verifizierung abgeschlossen ist, bleibt Ihr Konto in einem ausstehenden Status («pending state»). Unsere Anwendungsdatenbank speichert ausschliesslich die Cognito-Benutzer-ID (eine pseudonyme UUID); Ihr Name und Ihre E-Mail-Adresse verbleiben ausschliesslich innerhalb von Cognito.

12. E-Mail-Kommunikation

Benachrichtigungs- und System-E-Mails werden an die von Ihnen angegebene E-Mail-Adresse versendet.

Der E-Mail-Versand erfolgt über einen Drittanbieter. Nach der Übergabe an diesen Anbieter hängt die Zustellung von den Mailservern der Empfänger sowie deren Filterrichtlinien ab. Wir können keine Zustellung garantieren; Nachrichten können verzögert, gefiltert, blockiert oder zurückgewiesen werden.

Wenn Sie uns per E-Mail (z. B. Gmail) oder über Messaging-Dienste (z. B. WhatsApp) kontaktieren, bearbeiten die jeweiligen Anbieter Ihre Nachrichtendaten gemäss ihren eigenen Datenschutzrichtlinien. Wir empfehlen, über diese Kanäle keine besonders sensiblen Personendaten zu übermitteln. Für Supportanfragen können Sie uns jederzeit unter [email protected] kontaktieren.

13. Ihre Rechte

Nach dem Schweizer Datenschutzgesetz sowie — soweit anwendbar — der DSGVO stehen Ihnen in Bezug auf Ihre Personendaten insbesondere die folgenden Rechte zu:

  • Auskunftsrecht (Art. 25 DSG / Art. 15 DSGVO) — Sie können eine Bestätigung darüber verlangen, ob wir Personendaten über Sie bearbeiten, und gegebenenfalls Auskunft über diese Daten sowie weitere damit zusammenhängende Informationen erhalten.
  • Recht auf Berichtigung (Art. 32 DSG / Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger oder unvollständiger Personendaten verlangen.
  • Recht auf Löschung (Art. 32 DSG / Art. 17 DSGVO) — Sie können die Löschung Ihrer Personendaten verlangen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Recht auf Datenherausgabe oder Datenübertragbarkeit (Art. 28 DSG / Art. 20 DSGVO) — Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.
  • Widerspruchsrecht (Art. 21 DSGVO) — sofern die Bearbeitung auf einem berechtigten Interesse beruht, können Sie dieser Bearbeitung widersprechen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) — unter bestimmten Voraussetzungen können Sie die Einschränkung der Bearbeitung Ihrer Daten verlangen.
  • Recht auf Widerruf einer Einwilligung — sofern die Bearbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen.
  • Sie haben zudem das Recht, eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzureichen (www.edoeb.admin.ch). Sofern die DSGVO auf Sie anwendbar ist, können Sie sich ausserdem bei der Datenschutzaufsichtsbehörde Ihres Wohnsitzstaates beschweren.

14. Ausübung Ihrer Rechte

Zur Ausübung der oben genannten Rechte kontaktieren Sie uns bitte unter [email protected]. Vor der Bearbeitung Ihrer Anfrage können wir zusätzliche Informationen zur Überprüfung Ihrer Identität verlangen. Wir bemühen uns, Anfragen betroffener Personen innerhalb von 30 Tagen zu beantworten. In komplexen Fällen kann diese Frist um weitere 60 Tage verlängert werden. In diesem Fall informieren wir Sie über die Verlängerung sowie die Gründe für die Verzögerung.

15. Datenschutz von Kindern

Der Dienst richtet sich nicht an Kinder. Wir erheben wissentlich keine Personendaten von Kindern. Falls Sie der Ansicht sind, dass ein Kind uns Personendaten übermittelt hat, kontaktieren Sie uns bitte unter [email protected] . Wir werden in diesem Fall geeignete Schritte zur Löschung dieser Daten unternehmen.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen. Die jeweils aktuelle Version ist jederzeit auf dieser Seite verfügbar; das Inkrafttretungsdatum ist am Anfang der Erklärung angegeben. Falls wir wesentliche Änderungen vornehmen, welche die Bearbeitung Ihrer Personendaten betreffen, werden wir angemessene Massnahmen ergreifen, um Sie vor Inkrafttreten der Änderungen darüber zu informieren (z. B. per E-Mail oder durch einen Hinweis innerhalb des Dienstes). Wir empfehlen Ihnen, diese Seite regelmässig zu überprüfen.