Datenschutzrichtlinie
CY.SEND Digitale Belohnungsplattform
Inhaltsverzeichnis
- Einleitung
- Informationen zum Verantwortlichen für die Datenverarbeitung
- Von uns erhobene personenbezogene Daten
- Wie wir Daten erheben
- Rechtsgrundlage der Verarbeitung
- Wie wir personenbezogene Daten verwenden
- Datenweitergabe und Offenlegung
- Internationale Datenübermittlungen
- Datenspeicherung
- Datensicherheit
- Ihre Datenschutzrechte
- Cookies und Tracking
- Automatisierte Verarbeitung
- Datenschutz für Kinder
- Änderungen dieser Richtlinie
- Kontaktinformationen
Zugehörige Richtlinien
Nutzungsbedingungen der Website - Regelt die allgemeine Nutzung unserer Website.
Dienstleistungsbedingungen - Gilt für unsere B2B-Kunden.
Cookie-Richtlinie - Erläutert unsere Verwendung von Cookies und Tracking-Technologien.
Cashback-Club-Bedingungen - Erläutert die Datenverarbeitung im Zusammenhang mit unserem Treueprogramm.
1. Einführung
1.1 Unser Engagement für den Datenschutz
CY.TALK SWITZERLAND S.A., tätig unter der Marke CY.SEND, verpflichtet sich zum Schutz Ihrer Privatsphäre und Ihrer personenbezogenen Daten. Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten erfassen, verwenden, weitergeben und schützen, wenn Sie unsere digitale Prämienplattform und unsere Dienste nutzen.
Unsere Datenschutz-Governance ist offiziell nach ISO/IEC 27701:2019 zertifiziert, dem internationalen Standard für Privacy Information Management Systems (PIMS). Diese Zertifizierung, ausgestellt von einer akkreditierten Drittzertifizierungsstelle, bestätigt, dass unsere Datenschutzkontrollen, Datenverarbeitungsverfahren und unser Governance-Rahmen unabhängig geprüft und gemäß international anerkannten Best Practices für den Umgang mit personenbezogenen Daten (PII) verifiziert wurden. ISO 27701:2019 erweitert unser Informationssicherheits-Managementsystem (ISMS) um eine dedizierte Datenschutzschicht, die unsere Rollen als PII Controller und PII Processor abdeckt.
1.2 Rechtlicher Rahmen
Unsere Datenverarbeitung entspricht den geltenden Datenschutzgesetzen, einschließlich des Schweizer Bundesgesetzes über den Datenschutz (FADP) und der Datenschutz-Grundverordnung der Europäischen Union (GDPR), soweit anwendbar.
Unsere ISO 27701:2019-Zertifizierung bietet einen strukturierten, prüfbaren Rahmen, der die Einhaltung dieser Vorschriften operationalisiert und die Angleichung an andere internationale Datenschutzgesetze unterstützt, einschließlich Brasiliens LGPD, Südafrikas POPIA und der australischen Datenschutzgrundsätze.
2. Informationen zum Verantwortlichen
Verantwortlicher für die Datenverarbeitung
3. Von uns erhobene personenbezogene Daten
3.1 Kontoinformationen
Einzelne Nutzer: Name, E-Mail-Adresse, Telefonnummer, Wohnsitzland, Geburtsdatum und Zugangsdaten zum Konto.
Geschäftskunden: Firmenname, Handelsregisterangaben, Steuernummern, Geschäftsadresse, Angaben zum bevollmächtigten Vertreter sowie Zugangsdaten zum Unternehmenskonto.
3.2 Transaktionsdaten
- Zahlungsinformationen (werden sicher über Drittanbieter-Zahlungsdienstleister verarbeitet)
- Kaufhistorie und Transaktionsaufzeichnungen
- Bestelldaten und Produktinformationen
- Kontostand- und Abrechnungsinformationen
3.3 Technische Daten
- IP-Adressen und Geräteinformationen
- Browsertyp und -version
- Nutzungsmuster und Interaktionen mit der Website
- API-Nutzungsprotokolle und Systemleistungsdaten
4. Wie wir Daten erheben
4.1 Direkte Erhebung
Informationen, die Sie bei der Kontoerstellung angeben, über Formulare und Kommunikation übermittelte Daten, zur Verifizierung hochgeladene Dokumente sowie von Ihnen konfigurierte Einstellungen.
4.2 Automatische Erhebung
Nutzungsdaten der Website über Cookies und Analyse-Tools, API-Nutzungsprotokolle und Systeminteraktionen, Sicherheitsüberwachung und Betrugserkennung sowie Leistungsüberwachung.
4.3 Quellen Dritter
Zahlungsdienstleister zur Bestätigung von Transaktionen, Identitätsprüfungsdienste zur Einhaltung gesetzlicher Vorgaben, Unternehmensdatenbanken für Firmeninformationen sowie Produktausgeber zur Lieferbestätigung.
5. Rechtsgrundlage der Verarbeitung
5.1 Vertragserfüllung
Wir verarbeiten personenbezogene Daten zur Erbringung unserer Dienstleistungen, zur Kontoverwaltung, zur Abwicklung von Transaktionen und zur Erfüllung unserer vertraglichen Verpflichtungen gegenüber unseren Kunden.
5.2 Rechtliche Verpflichtungen
Wir verarbeiten Daten zur Erfüllung gesetzlicher Verpflichtungen, einschließlich Vorschriften zur Bekämpfung von Geldwäsche, steuerlicher Anforderungen und regulatorischer Meldepflichten.
5.3 Berechtigte Interessen
Wir verarbeiten Daten für berechtigte geschäftliche Zwecke, einschließlich Betrugsprävention, Serviceverbesserung, Sicherheitsüberwachung und Kundenbeziehungsmanagement.
5.4 Einwilligung
Wir holen Ihre Einwilligung für Marketingkommunikation, optionale Funktionen und bestimmte Datenverarbeitungstätigkeiten ein, sofern dies gesetzlich erforderlich ist.
6. Wie wir personenbezogene Daten verwenden
6.1 Leistungserbringung
Erstellung und Verwaltung von Nutzerkonten, Bearbeitung von Bestellungen und Bereitstellung digitaler Produkte, Kundenservice und technischer Support sowie Zahlungs- und Abrechnungsmanagement.
6.2 Geschäftsabläufe
Analyse von Nutzungsmustern zur Verbesserung unserer Dienstleistungen, Durchführung von Maßnahmen zur Betrugsprävention, Aufrechterhaltung der Sicherheit und Systemintegrität sowie Verwaltung von Geschäftsbeziehungen.
6.3 Compliance-Aktivitäten
Überprüfung der Kundenidentität (KYC-Verfahren), Überwachung der Einhaltung von Geldwäschevorschriften, Abgleich mit Sanktionslisten sowie Aufbewahrung von Unterlagen zur Erfüllung regulatorischer Anforderungen.
7. Datenweitergabe und Offenlegung
7.1 Dienstleistungspartner und Datenverarbeiter
Wir teilen Daten mit vertrauenswürdigen Drittpartnern und Datenverarbeitern, die bei der Bereitstellung unserer Dienste helfen. Dazu gehören:
- Zahlungsabwickler: Wir verwenden Stripe, PayPal, Neteller, Skrill und Bank-Zahlungsanbieter für sichere Transaktionsverarbeitung und Betrugserkennung.
- Identitätsprüfung: Wir verwenden Shufti Pro (shufti.com), um Kundenidentitäten (KYC) zu verifizieren und die Einhaltung sicherzustellen.
- Produktanbieter & Lieferanten: Für mobile Aufladungen und sofort lieferbare Produkte können wir Ihre Mobilnummer oder E-Mail-Adresse mit dem Telekommunikationsanbieter, Lieferanten oder Produkthersteller teilen.
- Sicherheit & Betrugsprävention: Wir verwenden Cloudflare Turnstile zum Schutz vor Bots und MaxMind für Geolokalisierung und Browser-Fingerprinting zur Betrugsvermeidung.
- Analyse & Monitoring: Wir verwenden Google Analytics (GA4), Cloudflare Browser Insights und Sentry (für Fehlerverfolgung und Problembehebung).
- Adressverifizierung: Wir verwenden Google Address Autocomplete, um genaue Rechnungs- und Lieferdetails sicherzustellen.
7.2 Gesetzliche Anforderungen
Wir können Daten offenlegen, wenn dies gesetzlich vorgeschrieben ist, z. B. gegenüber Aufsichtsbehörden, Strafverfolgungsbehörden bei rechtmäßigen Anfragen, Gerichten und in rechtlichen Verfahren oder in Notfällen zur Abwendung von Schäden.
8. Internationale Datenübermittlungen
8.1 Grenzüberschreitende Verarbeitung
Wir können personenbezogene Daten international übermitteln, um unsere globalen Dienstleistungen bereitzustellen, die Systemzuverlässigkeit sicherzustellen und Geschäftsabläufe zu unterstützen.
8.2 Schutzmaßnahmen bei Übermittlungen
Internationale Datenübermittlungen werden durch Angemessenheitsbeschlüsse der Europäischen Kommission, Standardvertragsklauseln (SCCs), geeignete technische und organisatorische Maßnahmen sowie regelmäßige Bewertungen des Schutzniveaus abgesichert.
9. Datenspeicherung
9.1 Aufbewahrungsfristen
| Datentyp | Aufbewahrungsdauer |
|---|---|
| Kontodaten | Während der Kundenbeziehung + 7 Jahre nach Beendigung |
| Transaktionsaufzeichnungen | 10 Jahre zu Compliance-Zwecken |
| Support-Kommunikationen | 3 Jahre zur Sicherstellung der Servicequalität |
| Technische Protokolle | In der Regel 1 Jahr |
| Marketingdaten | Bis zum Widerruf der Einwilligung oder 3 Jahre Inaktivität |
10. Datensicherheit und Datenschutz-Governance
10.1 ISO/IEC 27701:2019 Zertifizierung
CY.TALK SWITZERLAND S.A. verfügt über die ISO/IEC 27701:2019-Zertifizierung für sein Privacy Information Management System (PIMS). Diese Zertifizierung ist eine Erweiterung unseres ISO/IEC 27001 Informationssicherheits-Managementsystems (ISMS) und bestätigt die Implementierung eines umfassenden, unabhängig geprüften Rahmens zur Verwaltung personenbezogener Daten (PII).
Die Zertifizierung umfasst unsere Tätigkeiten als PII Controller (Bestimmung von Zweck und Mitteln der Datenverarbeitung) sowie als PII Processor (Verarbeitung personenbezogener Daten im Auftrag unserer Geschäftskunden). Zentrale Elemente unseres zertifizierten PIMS sind:
- Dokumentierte Datenschutzrichtlinien, Verfahren und Kontrollen gemäß ISO 27701:2019 Anhang A und B
- Formalisierte Datenschutz-Risikoanalyse und -Behandlung integriert in unser Informationssicherheits-Risikomanagement
- Privacy-by-Design- und Privacy-by-Default-Prinzipien in der Systementwicklung
- Strukturierte Verfahren zur Bearbeitung von Betroffenenanfragen mit definierten Antwortzeiten
- Dokumentierte Auftragsverarbeitungsverträge und Datenschutzprüfung von Drittanbietern
- Kontinuierlicher Verbesserungszyklus (Plan-Do-Check-Act) für Datenschutz-Governance
- Jährliche Überwachungsaudits und dreijährliche Re-Zertifizierung durch eine akkreditierte Stelle
10.2 Technische und organisatorische Sicherheitsmaßnahmen
Wir setzen umfassende Sicherheitsmaßnahmen ein, darunter:
- Verschlüsselung von Daten während der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256)
- Mehrfaktor-Authentifizierung für den Kontozugriff
- Regelmäßige Sicherheitsüberprüfungen und Penetrationstests
- Schulungen der Mitarbeiter zum Datenschutz
- Verfahren zur Reaktion auf Sicherheitsvorfälle und Benachrichtigung bei Datenschutzverletzungen
- Daten werden ausschließlich in der Schweiz in unserem eigenen Tier-3-Rechenzentrum gespeichert, ohne Nutzung externer Public-Cloud-Infrastrukturen
11. Ihre Datenschutzrechte
Zugriff
Recht auf Auskunft über Ihre personenbezogenen Daten
Berichtigung
Recht auf Berichtigung unrichtiger Daten
Löschung
Recht auf Löschung Ihrer Daten
Einschränkung
Recht auf Einschränkung der Verarbeitung
Übertragbarkeit
Recht auf Datenübertragbarkeit
Widerspruch
Recht auf Widerspruch gegen die Verarbeitung
11.1 Ausübung Ihrer Rechte
Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte über unsere Kontaktseite. Wir verifizieren Ihre Identität und antworten innerhalb der gesetzlich vorgeschriebenen Fristen.
Unser ISO 27701:2019-zertifiziertes PIMS enthält dokumentierte Verfahren zur Bearbeitung von Betroffenenrechten, um konsistente, prüfbare und fristgerechte Antworten sicherzustellen.
12. Cookies und Tracking
Für detaillierte Informationen zu den von uns verwendeten Cookies und Tracking-Technologien verweisen wir auf unsere separate Cookie-Richtlinie.
12.1 Arten von Cookies
- Essenzielle Cookies: Erforderlich für die Funktionalität der Website
- Analyse-Cookies: Zur Analyse der Websitenutzung
- Funktionale Cookies: Zum Speichern von Einstellungen
- Marketing-Cookies: Für Werbezwecke (mit Einwilligung)
13. Automatisierte Verarbeitung
13.1 Automatisierte Systeme
Wir setzen automatisierte Systeme zur Betrugserkennung und Risikobewertung, zur Transaktionsverarbeitung und -freigabe, zur Weiterleitung von Kundenanfragen sowie zur Sicherheitsüberwachung ein.
13.2 Künstliche Intelligenz und maschinelles Lernen
Wir können künstliche Intelligenz und maschinelles Lernen einsetzen, um Transaktionsmuster zur Betrugsprävention zu analysieren, den Kundenservice zu verbessern, die Plattformsicherheit zu erhöhen und personalisierte Empfehlungen bereitzustellen.
13.3 Ihre Rechte
Sie haben das Recht, Informationen über automatisierte Entscheidungsfindung zu erhalten, eine menschliche Überprüfung automatisierter Entscheidungen zu verlangen und bestimmten Arten der automatisierten Verarbeitung zu widersprechen.
14. Datenschutz für Kinder
Unsere Dienstleistungen richten sich an Nutzer ab 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 18 Jahren ohne elterliche Zustimmung. Sollten wir feststellen, dass wir solche Daten ohne entsprechende Zustimmung erhoben haben, werden wir diese unverzüglich löschen.
15. Änderungen dieser Richtlinie
Wir können diese Datenschutzerklärung aktualisieren, um Änderungen unserer Praktiken, Technologien oder rechtlichen Anforderungen widerzuspiegeln. Wesentliche Änderungen werden über unsere Plattform oder per E-Mail mitgeteilt. Die fortgesetzte Nutzung unserer Dienstleistungen nach einer Aktualisierung gilt als Zustimmung zur überarbeiteten Richtlinie.
16. Kontaktinformationen
Datenschutzanfragen
Für alle Anfragen, einschließlich Kundensupport, geschäftlicher Anfragen, rechtlicher Angelegenheiten und Datenschutzanfragen, besuchen Sie bitte unsere Kontaktseite.
Antwortzeit: Wir antworten innerhalb von 5 Werktagen
16.1 Regulatorische Beschwerden
Sie können Beschwerden bei den zuständigen Datenschutzbehörden einreichen:
- Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB/FDPIC)
- EU: Ihre zuständige lokale Datenschutzbehörde